Beschleunigen Sie die sichere SAP-Entwicklung mit Onapsis und Rev-Trac

Von:

16. November 2022

Auf SAP basierende Anwendungen stehen im Mittelpunkt jedes Unternehmens. Sie sind für Funktionen wie Finanzen, Fertigung, Personalwesen, Vertrieb und Lieferkettenmanagement zuständig. Allerdings stellen Sicherheitslücken in Anwendungen auch einen der wichtigsten Angriffsvektoren für Unternehmen dar – laut einer Studie von Forrester waren 39 % der externen Angriffe auf Sicherheitslücken in Webanwendungen und 30 % auf Sicherheitslücken in der Software zurückzuführen.  Unabhängig davon, ob sie vor Ort, in der cloud oder in beiden Umgebungen betrieben werden, ist es entscheidend, dass diese Anwendungsumgebungen sicher und widerstandsfähig gegen Angriffe sind. Anwendungsänderungen sowie neue Funktionen und Innovationen müssen zeitnah bereitgestellt werden, um das gesamte Unternehmen zu unterstützen, ohne gleichzeitig das Geschäftsrisiko in Form von Software-Schwachstellen zu erhöhen, die für Angriffe anfällig sind. 

Dennoch gefährden Software-Schwachstellen, die auf Entwicklungsfehler zurückzuführen sind – unabhängig davon, ob sie böswillig oder versehentlich eingebaut wurden –, SAP-Anwendungen. Hinzu kommt, dass die Zahl der Angriffe auf SAP-Systeme in den letzten zehn Jahren deutlich zugenommen hat. Tatsächlich hat ein aktueller Onapsis Research Labs schlüssige Beweise dafür gefunden, dass Angreifer über fundierte Kenntnisse geschäftskritischer Anwendungen verfügen und gezielt nach anfälligen SAP-Anwendungen suchen, um diese auszunutzen. 

Doch die überwältigende Nachfrage, neue Funktionen schnell zu entwickeln und in die Produktion zu bringen, lässt sich nur schwer mit der Gewährleistung ihrer Sicherheit in Einklang bringen. Da es an geeigneten Tools für Anwendungssicherheitstests fehlt, die speziell auf SAP-Code und -Transporte zugeschnitten sind , beinhalten Entwicklungszyklen oft umfangreiche, zeitaufwändige manuelle Überprüfungsprozesse. Diese führen häufig dazu, dass Fehler übersehen werden, die wiederum Sicherheitslücken zur Folge haben. Zudem ist zu beachten, dass Sicherheit während der Entwicklung oft nicht im Vordergrund steht. Eine aktuelle Umfrage ergab, dass 86 % der Entwickler angaben, Anwendungssicherheit beim Schreiben von Code nicht als oberste Priorität zu betrachten, und 36 % gaben an, dass die Gründe für Schwachstellen in ihrem Code in der Priorität der Einhaltung von Projektterminen liegen. 

Dieses Problem wird durch die Komplexität der Arbeitsabläufe und des Änderungsmanagements in SAP-Systemen noch verschärft. Entwicklungsteams haben Mühe, mit dem Tempo der Veränderungen Schritt zu halten sowie alle im Entwicklungsprozess anfallenden Änderungen präzise zu verwalten und nachzuverfolgen. Die Fähigkeit, parallele Entwicklungsstränge zu verfolgen sowie Sprints und Releases zu steuern und abzusichern, ist für eine erfolgreiche Entwicklung entscheidend. Es fehlen ihnen Change-Management-Tools, die einen durchsetzbaren Workflow-Prozess schaffen und alle Änderungen von ihrer Entstehung in der Entwicklung über den komplexen Sicherheits- und Testprozess bis hin zur Produktion verwalten können.

Onapsis und Rev-Trac: DevSecOps für die SAP-Anwendungsentwicklung 

Onapsis Control sich mithilfe der in Rev-Trac integrierten Customer-Exits direkt in den Rev-Trac-Workflow und den Änderungsmanagementprozess integrieren. Sobald ein Entwickler den vordefinierten Schritt im Änderungsmanagementprozess erreicht, Control Onapsis Control automatisch aufgerufen, und alle mit dem Rev-Trac-Auftrag verbundenen Transporte werden zur Analyse übermittelt. Falls Onapsis Control einen Fehler Control , wird der Entwickler benachrichtigt und aufgefordert, das Problem zu beheben, bevor die Änderung migriert wird. Der Entwickler hat zudem die Möglichkeit, den Transport fortzusetzen, wenn das Risiko als akzeptabel eingestuft wird. Während des gesamten Prozesses wird automatisch ein vollständiger Prüfpfad erfasst und ein Bericht zur Überprüfung bereitgestellt, bevor die Änderungen in die Produktion übernommen werden.

Gemeinsam bewältigen Onapsis Control Rev-Trac die Herausforderungen bei der Durchführung sicherer Anwendungsentwicklungsprojekte für SAP. Die gemeinsame Lösung ermöglicht es Anwendern, die Sicherheit und Schwachstellen von Code und Transporten vor dem Import zu überprüfen und so den Zeit- und Kostenaufwand für die Behebung von Fehlern in der Produktion zu reduzieren. Zusammen bietet diese Lösung zudem die Möglichkeit, die Sicherheit und Schwachstellen von Code und Transporten direkt aus Ihren Change-/Workflow-Management-Tools heraus zu überprüfen. Dies gewährleistet Konsistenz in der Entwicklung und reduziert unnötigen Entwicklungsaufwand durch die Behebung etwaiger Probleme direkt innerhalb des nahtlosen Workflow-/Change-Management-Tools.

Weitere Informationen zu unseren ERP-Sicherheitslösungen finden Sie unter: https://onapsis.com/solutions/ oder kontaktieren Sie uns.

Stichworte, , , ,
Über den Autor
Porträtfoto von David DAprile

David D'Aprile

Als Vice President of Product Marketing bringt David D’Aprile über 20 Jahre Erfahrung in der Förderung von transformativem Wachstum und disruptiven Innovationen bei Onapsis ein. Er ist verantwortlich für die globale Produktmarketingstrategie, die die Führungsposition von Onapsis auf dem SAP-Sicherheitsmarkt festigt. Vor seinem Eintritt bei Onapsis leitete David D’Aprile die Markteinführungsstrategien für marktführende KI-Technologien und hatte verschiedene Führungspositionen bei Unternehmen wie Dell EMC, RSA und Cisco inne. Seine Expertise umfasst Produktmanagement, Marketing und strategische Allianzen und hilft Onapsis dabei, die wichtigsten Herausforderungen im Bereich Schwachstellenmanagement und Compliance, denen moderne Unternehmen gegenüberstehen, effektiv zu bewältigen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen