RISE with SAP und das Modell der geteilten Verantwortung
Das „RISE with SAP“-Modell der geteilten Verantwortung legt fest, wer bei Ihrer Transformation für welche Aspekte verantwortlich ist. In diesem Modell fungiert SAP als Ihr zentraler Ansprechpartner („Prime Contractor“) und verwaltet für Sie den Hyperscaler (AWS, Azure oder GCP) sowie die Infrastruktur (IaaS/PaaS). Dies führt zu einer gefährlichen „Sicherheitslücke“, da Kunden oft davon ausgehen, dass SAP die gesamte Sicherheit für RISE with SAP. In Wirklichkeit tragen Sie (der Kunde) jedoch weiterhin die volle Verantwortung für die Sicherheit aller Elemente innerhalb Ihrer Anwendung, wie im offiziellen SAP-Dokument zu Rollen und Verantwortlichkeiten (R&R) dargelegt. Dazu gehören Ihre Daten, alle Benutzerzugriffe und -rollen, der gesamte benutzerdefinierte Code sowie alle Konfigurationen auf Anwendungsebene. Dieser Artikel definiert die offizielle Trennlinie und baut dabei auf den Konzepten des grundlegenden SAP-Modells der geteilten Verantwortung.
Warum ist das RISE-Modell so verwirrend? Die „Versorgungslücke“
Der Kern der Verwirrung liegt in der „Sicherheitslücke“. Dabei handelt es sich um die gefährliche Diskrepanz zwischen dem, was Unternehmen annehmen, dass SAP sicherstellt, und dem, wofür SAP tatsächlich verantwortlich ist.
Herkömmliche cloud wie IaaS, PaaS und SaaS weisen relativ klare „Grenzen“ in Bezug auf die Sicherheit auf. RISE with SAP ist jedoch kein einfaches SaaS-Produkt, sondern ein „Business Transformation as a Service“ (BTaaS). In diesem Modell fungiert SAP als Ihr Hauptauftragnehmer und bündelt alle Dienstleistungen – einschließlich des Hyperscalers (AWS, Azure oder GCP), technischer Managed Services und der Software – in einem einzigen Vertrag.
Dieses „Einzelvertragskonzept“ ist das Problem. Es vermittelt ein falsches Gefühl der Sicherheit und verleitet viele CIOs und CISOs zu der Annahme, dass „SAP sich um alles kümmert“. In Wirklichkeit tragen Sie jedoch weiterhin die volle Verantwortung für alles, was innerhalb Ihrer Anwendung geschieht. Diese Sicherheitslücke ist das größte Risiko bei einer RISE-Migration, da sie kritische Bereiche wie Benutzerzugriff, benutzerdefinierten Code und Anwendungskonfigurationen völlig ungeschützt lässt.
Die entscheidende Trennlinie: Die Rolle von SAP im Vergleich zu Ihrer Rolle
Um die „Prüfungslücke“ zu vermeiden, müssen Sie die offizielle Abgrenzung verstehen. Am einfachsten lässt sich dies so verstehen: SAP ist für den Dienstleistung, aber Sie sind für Ihre Daten und deren Nutzung.
Die Verantwortung von SAP (Sicherheit in der Cloud)
Im RISE-Modell fungiert SAP als Hauptauftragnehmer. Das bedeutet, dass das Unternehmen die Verantwortung für die grundlegenden Elemente der Dienstleistung übernimmt. Dazu gehören:
- Physische Infrastruktur: Sicherung der physischen Rechenzentren (über ihre Hyperscaler-Partner).
- Hyperscaler-Management: Hyperscaler-Management: Verwaltung der IaaS/PaaS-Beziehungen und SLAs mit AWS, Azure oder GCP. Der Kunde hat keinen direkten Zugriff auf diese Ebene.
- Technische Managed Services: Dazu gehören die Installation von Patches auf Betriebssystemebene, die Datenbankverwaltung sowie grundlegende Systemzustandsprüfungen.
Ihre Verantwortung (Sicherheit in der Cloud)
Während SAP die Infrastruktur verwaltet, tragen Sie (als Kunde) weiterhin die volle Verantwortung für alles innerhalb Ihrer Anwendung. Dies ist der Teil des Modells, der als „Sicherheit in der cloudbezeichnet wird, und hier treten die meisten Sicherheitslücken auf. Die SAP-eigenen Leitlinien für die Private Edition machen deutlich, dass eine lange Liste von Sicherheitsaufgaben beim Kunden liegt.
In der folgenden Tabelle wird diese Trennlinie anhand bestimmter Sicherheitsdomänen definiert.
| Sicherheitsbereich | Die Verantwortung von SAP | Verantwortung des Kunden (Ihre Rolle) |
|---|---|---|
| Infrastruktur (IaaS) | Verwaltet die Beziehungen zu Hyperscalern und die entsprechende Infrastruktur. | k. A. |
| Patches für Betriebssysteme und Datenbanken | Installiert technische Patches für das Betriebssystem und die Standarddatenbank. | k. A. |
| Anwendungs-Patches (Sicherheitshinweise) | Im Rahmen des Managed Service werden einige kritische Patches installiert. | Es müssen ALLE Patches auf Anwendungsebene assess, angefordert und validiert werden. |
| Anwendungskonfiguration | Stellt das Standard-System („Vanilla“) bereit. | Zu 100 % verantwortlich für die gesamte sichere Konfiguration und die Absicherung des Systems. |
| Identität und Zugriff (Rollen, SoD) | Stellt die Standardwerkzeuge für Benutzer und Rollen bereit. | Zu 100 % verantwortlich für die gesamte Benutzerverwaltung, die Erstellung von Rollen und das SoD-Management. |
| Benutzerdefinierter Code (ABAP/BTP) | k. A. | 100 % VERANTWORTLICH für die Sicherheit, die Einhaltung von Vorschriften und die Leistung des gesamten benutzerdefinierten Codes. |
| Integrationen (APIs, RFCs) | Sichert platform eigenen platform . | 100 % VERANTWORTLICH für die Absicherung aller Integrationen von Drittanbietern, APIs und RFC-Verbindungen. |
| Datensicherheit und Klassifizierung | k. A. | 100 % VERANTWORTLICH für die Klassifizierung und den Schutz aller Geschäfts- und Benutzerdaten. |
| Überwachung von Anwendungsbedrohungen | Überwacht die eigene Infrastruktur. | 100 % VERANTWORTLICH für die Überwachung der Anwendungsschicht auf verdächtiges Nutzerverhalten. |
| Revision und Compliance | Stellt Prüfberichte auf Infrastrukturebene bereit (z. B. SOC 2). | 100 % VERANTWORTLICH für alle Prüfungsnachweise auf Anwendungsebene sowie für SOX-/DSGVO-Kontrollen. |
Die 5 Schwachstellen, die Sie unbedingt absichern müssen: Eine praktische Checkliste
Diese Tabelle lässt sich direkt in eine praktische Checkliste für die fünf entscheidenden Sicherheitsbereiche umsetzen, für die Sie als Kunde die Verantwortung tragen. Dies sind die häufigsten Bereiche, in denen Unternehmen eine „Sicherheitslücke“ übersehen – ein Umstand, den Gartner als erhebliches Risiko in S/4HANA- und cloud identifiziert.
1. Identitäts- und Zugriffsmanagement (IAM)
- Die Lücke: SAP verwaltet weder Ihre Benutzerrollen noch Ihre Berechtigungen oder Konflikte im Zusammenhang mit der Aufgabentrennung (SoD). Sie tragen die volle Verantwortung dafür, „wer was tun darf“.
- Ihre Aufgabe: Sie müssen alle Benutzerrollen definieren, einrichten und pflegen, den privilegierten Zugriff verwalten und sicherstellen, dass die SoD-Regeln eingehalten werden, um Betrug zu verhindern. Dies ist ein entscheidender Bereich für SAP GRC und die Compliance.
2. Sicherheit bei benutzerdefiniertem Code
- Die Lücke: Sie tragen das gesamte Risiko für jeglichen benutzerdefinierten ABAP-Code und BTP-Erweiterungen. SAP überprüft Ihren Code nicht auf Sicherheit, Compliance oder Stabilität.
- Ihre Verantwortung: Sie müssen den gesamten kundeneigenen Code vor, während und nach der Migration scannen, um Schwachstellen zu finden und zu beheben, wie im SAP-eigenen Anpassungsprozess für kundeneigenen Code beschrieben. Dieses Risiko muss mit einem SAP DevSecOps Strategie.
3. Absicherung von Anwendungen und Konfigurationen
- Die Lücke: SAP liefert ein „Standard“-System. Sie sind dafür verantwortlich, alle Einstellungen auf Anwendungsebene sicher zu konfigurieren, wie z. B. Passwortrichtlinien, sichere Netzwerkeinstellungen und kritische Konfigurationen.
- Ihre Verantwortung: Dies ist keine einmalige Aufgabe. Sie erfordert eine kontinuierliche SAP-Schwachstellenmanagement , um Konfigurationsabweichungen und neue Schwachstellen zu überwachen.
4. Erkennung von Anwendungsbedrohungen
- Die Lücke: SAP und der Hyperscaler überwachen ihre Infrastruktur auf Bedrohungen, aber sie überwachen Ihre Anwendungsebene nicht auf verdächtiges Benutzerverhalten (z. B. wenn ein Benutzer versucht, einen sensiblen Lohn- und Gehaltsbericht auszuführen) oder aktive Exploits.
- Ihre Aufgabe: Sie benötigen eine spezielle Lösung für die Erkennung und Abwehr von SAP-Bedrohungen , die SAP-spezifische Angriffsmuster erkennt.
5. Revision und Compliance
- Die Lücke: SAP übernimmt nicht die Durchführung Ihrer SOX-Kontrollen für Sie. Das Unternehmen stellt zwar Berichte auf Infrastrukturebene (z. B. SOC 2) zur Verfügung, doch Sie tragen die volle Verantwortung dafür, nachzuweisen, dass Ihre Kontrollen auf Anwendungsebene funktionieren.
- Ihre Verantwortung: Sie müssen Ihren Prüfern für alle Anwendungskontrollen Nachweise vorlegen können. Aus diesem Grund automatisierte SAP-Compliance unerlässlich ist, um Beanstandungen zu vermeiden.
Wie Onapsis die „Sicherheitslücke“ bei RISE schließt
Die Platform die Sicherheitslücke bei RISE, indem sie die Sicherheitsverantwortlichkeiten des Kunden auf der Ebene der SAP-Anwendung umsetzt. Während SAP die zugrunde liegende cloud absichert, setzen Unternehmen spezielle Plattformen für Anwendungssicherheitstests und die Erkennung von Bedrohungen ein, um die Identitäts- und Zugriffsverwaltung zu steuern, Konfigurationen zu härten und benutzerdefinierten Code auf Schwachstellen zu überwachen.
1. Sicherheitsoptimierung und IAM (Onapsis Assess) Onapsis Assess ist direkt auf die Anforderungen des Kunden hinsichtlich Anwendungssicherung und Identitätsmanagement abgestimmt. Die platform überprüft die RISE-Umgebung platform , um Fehlkonfigurationen, ungepatchte Sicherheitslücken und übermäßige Benutzerberechtigungen zu identifizieren. Sicherheitsteams nutzen Onapsis Assess baseline zu überprüfen und strenge Zugriffskontrollen vor und nach der cloud durchzusetzen.
2. Sicherung von benutzerdefiniertem Code und Einhaltung gesetzlicher Vorschriften (Onapsis Control) Onapsis Control unterstützt Kunden bei der Erfüllung ihrer Verantwortung für die Sicherheit von benutzerdefiniertem Code und die Einhaltung gesetzlicher Vorschriften. Die Lösung lässt sich direkt in die SAP-Entwicklungspipeline integrieren, um zu verhindern, dass unsicherer ABAP-Code oder SAP BTP in die Produktionsumgebung gelangen. Gleichzeitig Control Onapsis Control die Prüfung interner Kontrollen, um standardisierte Nachweise für SOX- und DSGVO-Audits zu erstellen.
3. Erkennung von Bedrohungen auf Anwendungsebene (Onapsis Defend) Onapsis Defend erfüllt die Anforderungen an eine kontinuierliche Überwachung von Bedrohungen auf Anwendungsebene. Während der Hyperscaler den Netzwerkverkehr überwacht, Defend Onapsis Defend SAP-Transaktionsprotokolle und das Benutzerverhalten in Echtzeit. Das System erkennt SAP-spezifische Angriffsversuche und unbefugten Datenzugriff und leitet umsetzbare Warnmeldungen direkt an das SIEM-System des Unternehmens weiter, um auf Vorfälle reagieren zu können.
Durch die Bündelung dieser technischen Funktionen Platform die Platform den Sicherheits-, SAP-Basis- und Audit-Teams, ihren jeweiligen Teil des Shared-Responsibility-Modells in der gesamten RISE with SAP-Landschaft effektiv zu verwalten, durchzusetzen und zu dokumentieren.
Häufig gestellte Fragen (FAQ)
Ich wechsle zu RISE with SAP – kümmert sich SAP jetzt nicht um die gesamte Sicherheit?
Nein, dies ist eines der häufigsten und kostspieligsten Missverständnisse. RISE basiert auf einem Modell der geteilten Verantwortung. Während SAP für die Sicherheit platform sorgt, sind Sie (der Kunde) weiterhin zu 100 % dafür verantwortlich, Ihre Daten zu schützen, den Benutzerzugriff zu verwalten, Ihren gesamten benutzerdefinierten Code abzusichern und sicherzustellen, dass Ihre Konfigurationen den Vorschriften entsprechen. Weitere Informationen finden Sie in unserem ausführlichen Leitfaden zum SAP-Modell der geteilten Verantwortung.
Wer wendet SAP-Sicherheitshinweise in RISE an?
Dies ist eine wichtige „gemeinsame“ Aufgabe. Auch wenn die Managed Services von SAP einige kritische technische Patches installieren, heißt es im offiziellen Dokument zu Rollen und Verantwortlichkeiten, dass Sie (der Kunde) weiterhin alle Sicherheitshinweise auf Anwendungsebeneassess, anfordern und validieren müssen. Sie können nicht davon ausgehen , dass alle Patches automatisch installiert werden.
Wie erhalte ich in einem RISE-Modell Belege für mein SOX-Audit?
Sie sind weiterhin zu 100 % für alle Ihre Kontrollen auf Anwendungsebene verantwortlich. Während SAP Prüfberichte auf Infrastrukturebene (wie z. B. SOC 2) bereitstellt, müssen Sie die Berichte für Ihren Zuständigkeitsbereich vorlegen. Dazu gehören alle Benutzerzugriffe (IAM), die Aufgabentrennung (SoD) und Änderungsprotokolle. Aus diesem Grund eine automatisierte SAP-Compliance unerlässlich ist, um negative Feststellungen zu vermeiden.
Was ist die größte Sicherheitslücke bei einer RISE-Migration?
Die „Sicherheitslücke“. Das größte Risiko besteht darin, davon auszugehen, dass SAP Ihre Anwendungsschicht schützt, obwohl dies vertraglich nicht vorgesehen ist. In dieser Lücke bleiben wichtige Aufgaben wie das Scannen von benutzerdefiniertem Code und die Verwaltung von Benutzerrollen ungeregelt.