3 DevSecOps-Strategien zur Beschleunigung von SAP-S/4HANA-Transformationen

Aktualisiert: 5. August 2024

Man kommt nicht drum herum: Die Umstellung auf SAP S/4HANA ist ein gewaltiges Unterfangen, das den Input und die Zusammenarbeit von Führungskräften, Sicherheitsteams, Compliance-Experten, dem operativen Bereich, SAP Basis und Entwicklern erfordert. Unser neues E-Book „DevSecOps für SAP S/4HANA-Migrationen für Dummies“ zeigt auf, wie die Anwendung von DevSecOps-Ansätzen die Entwicklung von SAP-Anwendungen erleichtern und gleichzeitig die Sicherheit, Compliance und Qualität über den gesamten Entwicklungslebenszyklus hinweg verbessern kann. Es handelt sich um eine kurze und praxisorientierte Lektüre für alle Beteiligten, die dazu beitragen kann, die Wahrscheinlichkeit zu erhöhen, dass SAP-S/4HANA-Projekte termin- und budgetgerecht abgeschlossen werden, wobei Sicherheit und Compliance von Anfang an berücksichtigt werden. Im Folgenden stelle ich einige der im Buch behandelten Strategien vor. 

Download: DevSecOps für SAP S/4HANA-Migrationen für Dummies

1. Grundlagen schaffen: Festlegung von Sicherheits- und Compliance-Standards von Anfang an

Bei DevSecOps geht es darum, Sicherheit in die Anwendungsentwicklung zu integrieren, aber erinnern Sie sich an die Akteure, die ich oben erwähnt habe? Es ist sehr wahrscheinlich, dass jeder von ihnen seine eigene Definition davon hat, was eine Anwendung sicher macht. Damit eine SAP-S/4HANA-Migration erfolgreich verläuft, ist es unerlässlich, dass Sicherheits- (und Compliance-)Standards von Anfang an vereinbart und festgelegt werden. 

Ich hebe hier die Compliancebesonders hervor, denn obwohl sie Hand in Hand mit der Sicherheit geht (d. h., man kann im Allgemeinen keine Compliance gewährleisten, wenn man nicht sicher ist), wird sie bei Projekten wie diesen oft erst im Nachhinein berücksichtigt. Und angesichts der Folgen eines Verstoßes gegen einige dieser Vorschriften – Geldstrafen in Millionenhöhe, drastische Sanktionen für Führungskräfte – sollte das wirklich nicht der Fall sein.  

Was können Sie also tun, um Ihre Standards festzulegen? Hier sind einige Ideen; weitere Einzelheiten finden Sie in unserem Buch:

• SAP-Sicherheits Baseline  
• NIST-Rahmenwerk für Cybersicherheit
• Branchenspezifisch (z. B. Sarbanes-Oxley, NERC CIP) 
• Datenschutzbestimmungen (z. B. DSGVO, California Consumer Privacy Act)

2. Shift Left: Integration einer benutzerdefinierten Codeanalyse in Ihre Entwicklungsprozesse

„Shift Left“ ist ein Schlüsselkonzept von DevSecOps – je früher im Entwicklungszyklus Probleme erkannt werden, desto besser. Doch wie lassen sich Probleme in Ihrem SAP-Eigencode effizient und effektiv identifizieren? Manuelle Code-Reviews sind arbeitsintensiv, fehleranfällig und erkennen oft nicht einmal einen Bruchteil der kritischen Probleme, die die Sicherheit und Compliance geschäftskritischer Anwendungen beeinträchtigen können. 

Der wohl beste Ansatzpunkt – sozusagen „ganz am Anfang“ – ist der Programmierprozess selbst. Eine interaktive Codeanalyse kann Entwicklern in Echtzeit Hinweise darauf geben, dass sie sich nicht an bewährte Verfahren halten oder dass der von ihnen erstellte Code Fehler und Sicherheitslücken enthalten könnte. Probleme können erkannt und behoben werden, bevor sie an das nächste System weitergeleitet werden oder nennenswerte Folgen haben. 

Wenn Sie Ihren Code von dort aus automatisch scannen, bevor Sie ihn in Ihre Test- oder QA-Umgebung(en) übertragen, und dies erneut vor der Produktionsfreigabe tun, können Sie sicherstellen, dass Sie alle neuen oder übersehenen Probleme erkennen, bevor sie in die nächste Phase gelangen. 

Die Code-Bewertung ist auch bei Brownfield-Implementierungen von entscheidender Bedeutung. Stellen Sie sicher, dass Sie Ihren Altcode analysieren, bevor Sie ihn in Ihre neue SAP-S/4HANA-Umgebung übernehmen; Sie möchten schließlich nicht, dass alte Altlasten mit umziehen.

3. Das Recht wahren: Überwachung und Abwehr von Bedrohungen

Wir alle wissen, dass die Arbeit nicht getan ist, sobald eine Anwendung in Betrieb genommen wurde – auch wenn das schön wäre! Denken Sie daran, dass SAP oft die geschäftskritischsten Anwendungen Ihres Unternehmens betreibt. Der Schutz vor Sicherheitslücken, Angriffen und Fehlkonfigurationen ist absolut unerlässlich, damit alles reibungslos funktioniert. Wie gehen wir also vor? Hier sind einige Beispiele, die im Buch näher erläutert werden: 

• assess regelmäßig auf Schwachstellen und Fehlkonfigurationen, um Sicherheits- und Compliance-Lücken zu vermeiden
• Überwachen Sie kontinuierlich den Zugriff und die Aktivitäten der Benutzer auf verdächtiges Verhalten, wie beispielsweise die Ausweitung von Berechtigungen oder den Missbrauch von Berechtigungen
• Erhalten Sie Benachrichtigungen nahezu in Echtzeit bei vermuteten Bedrohungen und Systemangriffen

Anwendung von DevSecOps in SAP-S/4HANA-Projekten

Ich weiß, dass DevSecOps kein neues Konzept ist, aber ich hoffe, dass dieser Beitrag Ihnen vor Augen führt, wie es im Lebenszyklus der SAP-Anwendungsentwicklung umgesetzt werden kann. Ich lade Sie ein, das gesamte Buch zu lesen, um noch viel mehr Details zur Anwendung dieser Konzepte zu erfahren. Der im Buch beschriebene „Find-Fix-Repeat“-Prozess kann die Kosten und Zeitpläne von SAP-S/4HANA-Migrationsprojekten erheblich reduzieren und gleichzeitig Sicherheits- und Compliance-Risiken minimieren. Und das wird sicherlich alle glücklich machen!