So sichern Sie SAP Cloud

Wenn Unternehmen ihre Initiativen zur digitalen Transformation vorantreiben und Innovationen in ihren Geschäftsprozessen umsetzen, spielt dabei häufig eine cloud Komponente eine Rolle. Und was Geschäftsprozesse angeht, lassen sich manche davon leichter standardisiert umsetzen als andere. Beispiele hierfür sind Personalmanagement, Beschaffung oder Reisekostenabrechnung – Bereiche, in denen eine reine cloud Unternehmen dabei helfen kann, Standardprozesse einzuführen und gleichzeitig alle Vorteile der neuesten Innovationen zu nutzen, die in der cloud bereitgestellt werden. Trotzdem möchten viele SAP-Kunden ihren bestehenden, von SAP-Anwendungen in der cloud unterstützten Geschäftsprozessen weiterhin neue spezifische Funktionen hinzufügen. In der SAP-On-Premise-Welt ist das Hinzufügen neuer Funktionen in der Regel mit komplexen Entwicklungsaufwänden verbunden. Der Code muss geschrieben, getestet und in die SAP-Systeme transportiert werden. Zu den Vorteilen gehört die große Flexibilität innerhalb der Programmiersprache ABAP, während die potenziellen Nachteile ebenfalls offensichtlich sind: hohe Entwicklungs- und Wartungskosten sowie potenzielle neue Sicherheitslücken.

In der cloud gibt es jedoch Möglichkeiten, Ihr Kernsystem stabil zu halten und gleichzeitig schnell neue Geschäftsfunktionen hinzuzufügen – das ist das Konzept der SAP cloud “.

Mit dem Konzept der Erweiterungen bietet SAP eine hervorragende Möglichkeit, Kunden und Partnern die individuelle Anpassung und Erweiterung ihrer bestehenden cloud zu erleichtern. Doch was bedeuten diese Erweiterungen für die System-, Anwendungs- und Informationssicherheit? Sind diese neuen Erweiterungen sicherer oder unsicherer als klassischer kundeneigener Code und Konfigurationsanpassungen?

Schauen wir uns das einmal genauer an.

Das Konzept der „Erweiterungen“

Die Funktionalität von cloud lässt sich durch Erweiterungen erweitern. Diese Erweiterungen laufen unabhängig von der SAP-Standardsoftware, sodass Kunden den entsprechenden Software-Lebenszyklus völlig unabhängig vom SAP-Kern verwalten können. Die Anpassung oder Erweiterung des SAP-Systems kann entweder über eine „In-App-Erweiterung“ oder eine „Side-by-Side-Erweiterung“ erfolgen. 

Das Ziel beider Arten von Erweiterungen ist oft entweder eine größere Reichweite oder eine Erweiterung des Anwendungsbereichs einer Anwendung. Eine Vergrößerung der Reichweite bedeutet beispielsweise, dass eine Anwendung für Geräte oder Anwendungen außerhalb des Unternehmensnetzwerks verfügbar ist, etwa für Lieferanten oder Kunden. Dies würde die Reichweite der Anwendung und die Sichtbarkeit des Unternehmens erhöhen, aber auch die gesamte Angriffsfläche vergrößern. Ein weiteres Ziel einer Erweiterung ist die Erweiterung des Anwendungsumfangs. Ein erweiterter Anwendungsumfang kann beispielsweise zur Verbesserung interner Analyseberichte genutzt werden. Neue Datenquellen (z. B. IoT-Sensoren oder Social-Media-Daten) können in diese Berichte einbezogen werden, um präzisere Analysen zu ermöglichen.
 

In-App-Erweiterungen vs. Side-by-Side-Erweiterungen

In-App-Erweiterungen sind, wie der Name schon sagt, Erweiterungen oder Änderungen innerhalb einer Anwendung. Dabei kann es sich um geringfügige Änderungen handeln, wie zum Beispiel die Anpassung von Feldern, Tabellen oder Teilen der Benutzeroberfläche. Diese Änderungen können von einem versierten Geschäftsanwender problemlos umgesetzt werden. Ein Beispiel für eine komplexere Änderung ist die Modifizierung oder Ergänzung der Geschäftslogik einer Anwendung, wofür ein technisch versierterer Anwender erforderlich wäre. Alle von SAP unterstützten In-App-Erweiterungen gelten als „upgrade-sicher“, was bedeutet, dass Änderungen, die das Unternehmen als In-App-Erweiterung einführt, keinen Einfluss auf die Möglichkeit haben, die Anwendung zu aktualisieren oder zu upgraden. Die Nutzung von In-App-Erweiterungen bietet zahlreiche Vorteile, sofern die Funktionen, die das Unternehmen entwickeln möchte, tatsächlich mit diesem Framework realisiert werden können. Das in SAP SuccessFactors verfügbare In-App-Erweiterungs-Framework SAP SuccessFactors beispielsweise „Metadata Framework Objects“ (MDF), doch dieses Konzept lässt sich auf die meisten Geschäftsanwendungen übertragen.

Was passiert, wenn das Unternehmen die Funktionalität der zentralen cloud „erweitern“ muss, dies aber nicht über In-App-Erweiterungen bewerkstelligen kann? Side-by-Side-Erweiterungen sind die Lösung und das Gegenstück zu In-App-Erweiterungen. Sie sind vollständig von der cloud entkoppelt und laufen separat, wodurch sie sich leichter in externe Datenquellen integrieren lassen, wie beispielsweise andere cloud , Anwendungen von Drittanbietern oder Daten aus sozialen Netzwerken. Die Entkopplung von SAP-Systemen eröffnet viele neue potenzielle Anwendungsfälle für Unternehmen, schafft aber auch eine völlig neue Angriffsfläche für Hacker, derer sich das Unternehmen bewusst sein muss. Side-by-Side-Erweiterungen werden in der Regel als Multi-Target-Anwendungen (MTA) entwickelt.

Sicherheit bei Erweiterungen ist wichtig

Lassen wir nun alle Vorteile von Erweiterungen einmal beiseite und konzentrieren wir uns auf den Aspekt der System-, Anwendungs- und Informationssicherheit. Die jüngsten Datenpannen bei Facebook, MyFitnessPal und Marriott Hotels sollten uns daran erinnern, dass Sicherheit im täglichen Geschäftsbetrieb oberste Priorität haben muss. Die wichtigsten Sicherheitsziele im Bereich der Informationssicherheit sind:

1. Verfügbarkeit: Stellen Sie sicher, dass berechtigte Personen jederzeit auf die Informationen zugreifen können
2. Integrität: Schutz der Informationen vor unbefugten Änderungen
3. Vertraulichkeit: Schutz von Informationen vor der Weitergabe an Unbefugte

Vor dem Hintergrund dieser Informationssicherheitsziele kann eine Erweiterung das Risiko einer Sicherheitslücke erheblich erhöhen – sei es durch ihre größere Reichweite oder ihren erweiterten Anwendungsbereich. Daher sollten Standards wie OWASP, BIZEC TEC/11 und BIZEC APP/11 bei der Entwicklung und Konfiguration von SAP-Erweiterungen stets im Vordergrund stehen. Beispiele aus diesen Standards sind unter anderem:

• Verfügt die Erweiterung über die erforderlichen Berechtigungsprüfungen?
• Werden sensible Daten offengelegt? Falls ja, ist diese Offenlegung im geschäftlichen Kontext erforderlich?
• Sind die Schnittstellen gesichert?
• Ist die Kommunikation verschlüsselt?

Da wir wissen, wie komplex es ist, eine Anwendung abzusichern, ihre Sicherheit aufrechtzuerhalten und sie vor Angreifern zu schützen, haben wir verschiedene Lösungen entwickelt, um Unternehmensanwendungen auf eine Vielzahl von Risiken wie Schwachstellen in benutzerdefiniertem Code, Fehlkonfigurationen, fehlende Patches oder unsichere Schnittstellen assess diese vor ihnen zu schützen. Bei der Umstellung auf cloud Anwendungen ist es wichtig, dass wir unsere Kunden dabei unterstützen, insbesondere wenn es um das Scannen von Multi-Target-Anwendungen geht. 

Anhand einer detaillierten Analyse Ihres benutzerdefinierten Codes, Ihrer Systemkonfigurationen und Schwachstellen bieten wir Ihnen umfassenden Schutz für Ihre ERP-Systeme und Geschäftsanwendungen. Wenn Sie mehr darüber erfahren möchten, wie wir Ihnen helfen können, besuchen Sie unsere Seite „Onapsis für cloud “.