Über die Grundlagen hinaus: Warum umfassende Tests der Anwendungssicherheit für SAP unverzichtbar sind

Der Umstieg auf die cloud die rasante Weiterentwicklung von SAP S/4HANA haben die Regeln für eine sichere Softwareentwicklung grundlegend verändert. Viele Unternehmen gehen davon aus, dass der Einsatz innerhalb des SAP-Ökosystems bedeutet, dass die integrierten Tools und die Infrastruktur des Anbieters ihre Sicherheits- und Compliance-Anforderungen vollständig abdecken.

Verlässt man sich jedoch ausschließlich auf die Sicherheit baseline , bleiben kritische Schwachstellen unentdeckt. Da SAP-Landschaften immer komplexer und vernetzter werden, führt die Lücke zwischen einfachen Syntaxprüfungen und umfassenden Anwendungssicherheitstests (AST) zu erheblichen operativen Risiken und Compliance-Risiken.

Das Wichtigste in Kürze:

• Der Mythos der geteilten Verantwortung: Unternehmen gehen oft davon aus, dass der cloud für die Sicherheit von kundenspezifischem Code verantwortlich ist. Nach dem Modell der geteilten Verantwortung trägt der Kunde die volle Verantwortung und das gesamte Risiko für alle kundenspezifischen Entwicklungen und Integrationen.
• Grundlegende Syntaxprüfungen vs. eingehende Analyse: Herkömmliche Entwicklungstools übersehen häufig komplexe, anwendungsübergreifende Schwachstellen im Datenfluss, für deren Erkennung speziell entwickelte Plattformen für Anwendungssicherheitstests (AST) konzipiert sind.
• Umfassende Testfallabdeckung: Während native Tools nur eine begrenzte Sicherheitsabdeckung bieten, Control spezielle AST-Lösungen wie Onapsis Control umfangreiche Bibliotheken mit speziellen Sicherheits- und Compliance-Prüfungen, um die SAP-Anwendungsschicht gründlich zu überprüfen.
• Gemeinsam stärker: Das umfassende AST-System lässt sich direkt in bestehende SAP-Umgebungen integrieren. Spezialisierte Lösungen, wie sie von SAP-zertifizierten Partnern wie Onapsis angeboten werden, ergänzen die nativen SAP-Tools und gewährleisten so eine sichere Migration zu SAP S/4HANA und SAP BTP.

Die Falle der „gemeinsamen Verantwortung“: Wer trägt das Risiko wirklich?

• Eines der gefährlichsten Missverständnisse in der Unternehmenswelt ist die Annahme, dass durch den Umstieg auf RISE oder SAP Cloud die Verantwortung für die Sicherheit auf den Anbieter übergeht. Zwar ist der Anbieter für die Sicherheit „der“ Cloud Infrastruktur und Standardkern) verantwortlich, doch tragen Sie weiterhin die volle Verantwortung für die Sicherheit „in“ der Cloud.
• Das bedeutet, dass Sie für jeden benutzerdefinierten Bericht, jede BTP-Erweiterung und jede API-Integration verantwortlich sind. Sollte eine benutzerdefinierte Transaktion einen unbefugten Datenverlust ermöglichen, liegt die Verantwortung dafür allein bei Ihrer Organisation.

Warum „Standard“-Tools nicht ausreichen: Auf die Tiefe kommt es an

Die meisten Unternehmen verlassen sich auf die grundlegenden, in ihrer Entwicklungsumgebung integrierten Tools. Diese sind zwar nützlich, um einfache Syntaxfehler zu erkennen, stellen jedoch keine speziellen Sicherheitslösungen dar.

Der wesentliche Unterschied liegt in der Breite und Tiefe der Prüfung. Während standardmäßige, integrierte Scanner in der Regel nur eine begrenzte Anzahl sicherheitsrelevanter Prüfungen bieten (oft weniger als 100 grundlegende Muster), verfügen speziell entwickelte AST-Plattformen über umfassende Bibliotheken mit spezialisierten Sicherheitstestfällen. So Control beispielsweise Onapsis Control über 600 spezifische Prüfungen, die auf threat intelligence Onapsis Research Labs. Da Forscher ständig neue Angriffsvektoren entdecken, werden diese Erkenntnisse direkt in automatisierte Scan-Workflows integriert.

Fortschrittliche AST-Lösungen gehen über allgemeine Qualitätsprüfungen hinaus und bieten umfassende Überprüfungen in entscheidenden Bereichen wie Sicherheit, Compliance, Leistung, Wartbarkeit, Robustheit und Schutz vor Datenverlust. Ein Paradebeispiel für diese Tiefe ist der Fokus auf die Sicherheit von Core Data Services (CDS). In modernen S/4HANA-Umgebungen dienen CDS-Ansichten als Grundlage der Datenmodellierung, bleiben jedoch für herkömmliche Scanner häufig ein blinder Fleck. Speziell entwickelte Anwendungstests behandeln die CDS-Sicherheit als grundlegende Anforderung, indem sie auf unsachgemäße Zugriffskontrollen, unsichere Client-Verarbeitung und ressourcenintensive Cross-Joins prüfen.

Eine umfassende AST-Abdeckung für alle unterstützten SAP-Sprachen und -Architekturen muss Folgendes umfassen:

• Schwachstellenanalyse: Erkennung hochriskanter Schwachstellen wie SQL-Injection, Cross-Site Scripting (XSS) und Directory Traversal. Dies erfordert eine erweiterte Datenflussanalyse, um nicht vertrauenswürdige Eingaben präzise bis zu gefährlichen Ausführungspunkten zurückverfolgen zu können.
• Autorisierung und Logik: Überprüfung auf fest codierte Anmeldedaten, unsichere Datenspeicherung und unzureichende Maskierung sensibler personenbezogener Daten (PII). Eine ausgereifte platform ordnet diese Ergebnisse platform den gesetzlichen Rahmenwerken wie DSGVO, SOX und NIS2 zu.
• Leistung und Robustheit: Erkennung kritischer Architekturfehler wie doppelter alternativer Schlüssel in transaktionalen CDS-Ansichten oder Cross-Joins, die zu Anwendungsabstürzen oder systemweiten Leistungseinbußen führen können.

Zudem beschränken sich einfache Scanner oft auf veraltetes ABAP und stützen sich auf einfache Mustererkennung. Dieser Ansatz führt häufig zu einer Flut von Fehlalarmen, da das Tool nicht feststellen kann, ob eine gefährliche Anweisung für einen Angreifer tatsächlich erreichbar ist.

Im Gegensatz dazu bieten fortschrittliche AST-Plattformen einen mehrsprachigen Sicherheitsschutz. Unabhängig davon, ob Entwicklungsteams moderne ABAP-Syntax, XSA Node.js, SAPUI5 oder XSJS verwenden, wenden umfassende Lösungen durchgängig dieselben strengen Standards an. Durch den Einsatz globaler Daten- und Control Control Plattformen wie Onapsis Control , wie eine Eingabe in einem Programm oder einer Sprache zu einem Exploit in einem anderen führen kann. Diese Methodik erkennt komplexe, anwendungsübergreifende Schwachstellen, die mit standardmäßigen, einsprachigen Tools einfach nicht erkannt werden können.

Gemeinsam stärker: Onapsis & SAP

Bei der Auswahl eines umfassenden AST-Tools geht es darum, diese zu stärken. Anstatt mit Standardprüfungen zu konkurrieren, knüpfen fortschrittliche AST-Lösungen aktiv an diese an und erweitern sie, um eine lückenlose Abdeckung zu gewährleisten. Dies wird durch eine nahtlose Erweiterung der Standard-SAP-Landschaft erreicht. So Control Onapsis Control beispielsweise parallel zum ABAP Test Cockpit (ATC) und lässt sich direkt in das SAP Transport Management System (TMS), den SAP Cloud Management Service (cTMS), das SAP Change Request Management (ChaRM) und die Eclipse-IDE integrieren.

Während Standardprüfungen beispielsweise nach grundlegenden Sicherheitsausnahmen suchen (wie die CVA-Prüfung 1162 oder 11A4), bieten spezialisierte Plattformen erweiterte Testfälle, die zusätzliche Entwicklungsobjekte abdecken und einen tieferen Kontext für Schwachstellen liefern. Als von SAP empfohlener Partner lässt sich Onapsis direkt in das SAP-Ökosystem integrieren, um die Lücken zu schließen, die von grundlegenden Tools hinterlassen werden, und stellt so sicher, dass Migrationen zu SAP S/4HANA oder SAP BTP grundlegend sicher sind.

Automatisierte Zugangskontrolle: Schutz des „Clean Core“

In vielen Standard-Entwicklungsumgebungen werden Sicherheitsbefunde als Empfehlungen behandelt, die oft ignoriert werden, um Termine einzuhalten. Umfassende automatisierte Sicherheitsüberprüfungen (AST) verändern diese Dynamik, indem sie umfassendere Workflow-Integrationen bieten, die Sicherheitsrichtlinien automatisch durchsetzen.

Während einfache Tools oft auf das SAP GUI beschränkt sind, stellen fortschrittliche AST-Lösungen eine direkte Verbindung zu Git-Repositorys (GitLab, GitHub, Azure Git, Bitbucket) her und lassen sich in moderne CI/CD-Pipelines wie Azure DevOps, SAP CI/CD Service und Piper integrieren. Durch ihre Funktion als spezialisierter Transportwächter innerhalb des SAP Cloud Management Systems (cTMS) Control Plattformen wie Onapsis Control , dass kein unsicherer Code in den Produktionskern gelangt.

Um das Entwicklungstempo aufrechtzuerhalten, müssen moderne Sicherheitstools auch eine schnelle Fehlerbehebung ermöglichen. Automatisierte Korrekturfunktionen können häufig auftretende Programmierfehler sofort beheben, sodass Entwickler ihren Code ohne manuelles Umschreiben absichern können. Darüber hinaus stellt die Bereitstellung einer schrittweisen Anleitung zur Fehlerbehebung für jeden Befund sicher, dass die „Clean Core“-Strategie eines Unternehmens umgesetzt wird, ohne dabei zu einem Entwicklungsengpass zu werden.

Fazit: Über die grundlegende Sicherheit hinaus

In einer Zeit zunehmenden regulatorischen Drucks (wie NIS2) und ausgefeilter Cyberbedrohungen ist es keine tragfähige Strategie mehr, sich bei Ihren geschäftskritischsten Ressourcen auf einfache Tools zu verlassen.

Durch die Implementierung einer fortschrittlichen AST-Lösung wie Onapsis Control schließen Sie die Lückeim Bereich der „gemeinsamen Verantwortung“. Die Zusammenarbeit mit einem von SAP empfohlenen Partner ermöglicht es Entwicklungsteams, über die einfache Fehlererkennung hinauszugehen und eine von Grund auf sichere SAP-Landschaft zu schaffen.

Sind Sie bereit zu erfahren, was Ihren derzeitigen Tools fehlt? Erfahren Sie mehr über Onapsis Control fordern Sie noch heute eine Demo an.

Häufig gestellte Fragen

Wenn ich bereits über integrierte SAP-Tools verfüge, wozu brauche ich dann ein umfassendes AST? 

Standardtools konzentrieren sich in erster Linie auf Codequalität, Leistung und grundlegende Syntax. Onapsis Control eine spezialisierte, umfassende platform. Mit über 600 Testfällen – im Vergleich zu der deutlich geringeren Anzahl bei Standardtools – identifiziert Onapsis tiefgreifende architektonische Mängel und Sicherheitsrisiken, die von einfachen Scannern übersehen werden.

Wie funktioniert die Philosophie „Gemeinsam stärker“ in der Praxis? 

Onapsis ersetzt Ihre SAP-Infrastruktur nicht, sondern erweitert sie. Als von SAP empfohlener Partner lässt sich unser Tool in Ihre bestehenden SAP-Landschaften (wie BTP, ECC und S/4HANA) integrieren und bietet so eine Ebene an Sicherheitsinformationen, die Standardtools nicht bereitstellen können. Stellen Sie sich das so vor, als würden Sie ein gut gebautes Haus mit einem hochmodernen Sicherheitssystem ausstatten.

Umfasst die umfassende AST-Zertifizierung mehr als nur ABAP? 

Ja. Moderne SAP-Umgebungen nutzen Java, Node.js und JavaScript (UI5). Während viele Standardtools ausschließlich auf ABAP ausgerichtet sind, Control Onapsis Control einen einheitlichen Sicherheitsrahmen für alle in Ihrem SAP-Ökosystem verwendeten Sprachen, einschließlich Side-by-Side-Erweiterungen auf BTP.

Wie unterstützt Onapsis meine „Clean Core“-Strategie? 

Ein „Clean Core“ setzt voraus, dass Anpassungen sicher und wartbar sind. Onapsis Control als automatisierter Transportwächter in Ihrem Cloud . Wenn Code Ihre Sicherheits- und Compliance-Standards nicht erfüllt, wird er blockiert, bevor er importiert werden kann, wodurch sichergestellt wird, dass Ihr Kern unverändert und sicher bleibt.