DevOps + Sicherheit = DevSecOps
Zuletzt aktualisiert: 26. Juni 2026
Da Unternehmen ihre digitale Transformation vorantreiben, gewährleistet die Integration von DevOps für SAP eine schnelle und qualitativ hochwertige Anwendungsbereitstellung. Diese höhere Bereitstellungsgeschwindigkeit bringt jedoch neue Schwachstellen mit sich. Um kritische Unternehmensdaten zu schützen, müssen Unternehmen einen SAP-DevSecOps-Ansatz verfolgen. Durch die direkte Einbindung von Sicherheitsmaßnahmen in die Entwicklungspipeline können Teams SAP DevSecOps stärken und Code bereitstellen, der von Grund auf sicher ist, ohne dabei die Innovationsgeschwindigkeit zu beeinträchtigen.
Was ist DevOps für SAP?
DevOps für SAP bezeichnet die Integration von Entwicklung und IT-Betrieb, um die Bereitstellung von SAP-Anwendungen und Systemaktualisierungen zu beschleunigen. In der Vergangenheit basierten SAP-Umgebungen auf umfangreichen, seltenen Release-Zyklen. Heute ermöglichen moderne Plattformen wie SAP S/4HANA und Platform SAP Business Technology Platform BTP) eine agile Programmierung. Dadurch können Unternehmen kontinuierlich zahlreiche kleinere Funktionen veröffentlichen, flexibel auf sich ändernde Marktanforderungen reagieren und Wettbewerbsvorteile erzielen.
Warum die Informationssicherheit bei DevOps einen DevSecOps-Ansatz erfordert
Auch wenn der Zeitdruck in einer DevOps-Umgebung hoch ist, darf die Informationssicherheit nicht zu kurz kommen. Die Fülle an neuer, maßgeschneiderter Programmierung schafft eine größere Angriffsfläche für Cyberkriminelle. Um bestehen zu können, muss sich die DevOps-Informationssicherheit zu DevSecOps weiterentwickeln.
DevSecOps integriert automatisierte Sicherheitsprüfungen in jeden Schritt des DevOps-Zyklus. Im Kern stützt sich DevSecOps auf zwei Hauptsäulen:
- Funktionaler Schutz: Einsatz von Authentifizierung, strengen Berechtigungen und Verschlüsselung zum Schutz von Schnittstellen vor Manipulationen und zur Sicherung von Komponenten von Drittanbietern.
- Technische Integration: Die Einbindung von Sicherheitstest-Tools direkt in den Software-Lebenszyklus vom ersten Tag an. Dadurch wird sichergestellt, dass maßgeschneiderter Code globale Sicherheitsstandards wie die OWASP Top 10 erfüllt, bevor er überhaupt in eine Produktionsumgebung gelangt.
Die SAP DevSecOps-Roadmap für den Software-Lebenszyklus
Die Umsetzung von SAP DevSecOps erfordert spezifische Sicherheitskontrollen in den einzelnen Phasen des Software-Lebenszyklus.
Code-Entwicklung
Je früher eine SAP-Sicherheitslücke behoben wird, desto weniger Aufwand ist für die Behebung erforderlich. Daher müssen Fehler und Schwachstellen in benutzerdefiniertem ABAP- oder SAPUI5-Code bereits während der aktiven Programmierung identifiziert werden. Testtools von Drittanbietern lassen sich direkt in die native integrierte Entwicklungsumgebung (IDE) des Entwicklers integrieren. Diese Tools funktionieren wie eine interaktive Rechtschreibprüfung und analysieren den Quellcode automatisch anhand vorkonfigurierter Sicherheitskataloge, während der Entwickler tippt. Durch die automatische Quellcodeanalyse entfallen manuelle Eingriffe und es wird verhindert, dass anfälliger Code weiterverwendet wird.
Prüfung und Qualitätssicherung
Um das baseline weiter zu erhöhen, müssen unmittelbar nach der Entwicklung automatisierte Sicherheitstests obligatorisch durchgeführt werden. Erfüllt der Code in dieser Phase die strengen Qualitätskriterien nicht, muss das System die Freigabe des Codes blockieren. Code, der fest codierte Anmeldedaten enthält oder bei dem Autorisierungsprüfungen fehlen, darf niemals in die nächste Umgebung übertragen werden.
Erstellungs- und Transportphase
Während der Build-Phase werden einzelne Codefragmente zusammen mit Konfigurationen zu ausführbaren Einheiten, den sogenannten SAP-Transporten, gebündelt. Das SAP-Transportsystem überträgt neue Entwicklungen in das Produktivsystem. Das standardmäßige SAP-Transportmanagement führt jedoch keine detaillierten Sicherheitsprüfungen der im Transport enthaltenen Objekte durch. Unternehmen müssen während der Build-Phase automatisierte Sicherheits- und Qualitätstests durchführen, um sicherzustellen, dass Transportimporte keine kritischen Einstellungen überschreiben oder schädlichen Code einschleusen.
Laufzeitumgebung und Betrieb
Jede Konfigurationsänderung wirkt sich auf das Laufzeitverhalten eines SAP-Systems aus. Dies kann leicht zu einer Verschlechterung des allgemeinen Sicherheitsstatus führen. So kann beispielsweise bei einer neuen Bereitstellung versehentlich die Protokollierung von Sicherheitsereignissen deaktiviert werden. Um dies zu verhindern, müssen Sicherheitsteams den Systembetrieb mithilfe automatisierter Tools zum Schwachstellenmanagement kontinuierlich überwachen. Weicht eine Sicherheitskonfiguration von der baseline ab, muss das Security Operations Center (SOC) unverzüglich benachrichtigt werden.
Nahtlose Integration von SAP-Sicherheitstools
In der herkömmlichen SAP-Programmierung führten manuelle Tests häufig zu erheblichen betrieblichen Engpässen. In einer DevOps-Umgebung, die einen hohen Durchsatz und hohe Agilität erfordert, lassen sich manuelle Sicherheitsüberprüfungen nicht skalieren. Um sicher arbeiten zu können, müssen Unternehmen DevSecOps-Testtools einsetzen, die sich nahtlos in bestehende Continuous-Integration- und Continuous-Deployment-Pipelines (CI/CD) integrieren lassen.
Bei der Auswahl von Sicherheitstools müssen die einzelnen Komponenten nahtlos zusammenarbeiten, ohne den Arbeitsablauf der Entwickler zu stören. Automatisierte Plattformen stellen sicher, dass Entwickler direkt in ihrer IDE Anleitungen zur Behebung von Sicherheitslücken erhalten, wodurch verhindert wird, dass Listen mit Sicherheitsmängeln übersehen oder ignoriert werden, um eine Frist einzuhalten.
Automatisierung von DevSecOps mit Onapsis
Einige Sicherheitsverbesserungen sind bei modernen cloud bereits standardmäßig integriert, doch ein umfassender Schutz erfordert eine spezialisierte Überwachung. Die Platform lässt sich nahtlos in Ihren DevSecOps-Zyklus integrieren und bietet eine automatisierte Analyse von benutzerdefiniertem Quellcode sowie die Überprüfung von SAP-Transportinhalten.
Durch die Automatisierung von Warnmeldungen bei Abweichungen von baseline sorgt Onapsis dafür, dass Ihre Anwendungen in der Produktionsumgebung geschützt bleiben. Die platform überprüft Anwendungen platform auf Fehlkonfigurationen und überwacht sie auf aktive Cyberbedrohungen, sodass Sie mit voller Zuversicht im Tempo von DevOps innovativ sein können.
Häufig gestellte Fragen
Was ist DevOps für SAP?
DevOps für SAP bezeichnet die kulturelle und technische Abstimmung zwischen Entwicklung und IT-Betrieb, um SAP-Systemaktualisierungen, kundenspezifischen Code und Anwendungen kontinuierlich und mit hoher Geschwindigkeit bereitzustellen. Es ersetzt die traditionellen, trägen SAP-Release-Zyklen durch agile, automatisierte Bereitstellungen.
Was ist SAP DevSecOps?
SAP DevSecOps bezeichnet den Ansatz, automatisierte Anwendungssicherheitstests, Konfigurationsprüfungen und Compliance-Validierungen direkt in den SAP-Softwareentwicklungszyklus zu integrieren. Dadurch wird sichergestellt, dass kundenspezifischer Code und Transporte bereits von vornherein sicher sind, bevor sie in die Produktion gelangen.
Warum ist die Informationssicherheit bei DevOps so entscheidend?
Aufgrund der hohen Geschwindigkeit von DevOps-Bereitstellungen können menschliche Fehler, anfälliger Code oder Fehlkonfigurationen sehr schnell in Produktionsumgebungen gelangen. Die direkte Integration automatisierter Informationssicherheit in die Pipeline verhindert Datenlecks und Betriebsausfälle, ohne dabei die Geschwindigkeit der Bereitstellung zu beeinträchtigen.
Über den Autor
