Das größte Hindernis für den Erfolg mit SAP RISE: Ein Leitfaden für „Secure-by-Design“
Das größte Hindernis für eine erfolgreiche „RISE with SAP“-Transformation ist es, die Sicherheit nicht als zentralen Bestandteil des Projekts zu betrachten. „RISE with SAP“ ist ein „Business Transformation as a Service“-Angebot (BTaaS), doch Unternehmen, die es als reine technische Migration betrachten, ohne die Sicherheit zu integrieren, gehen ein hohes Risiko ein. Untersuchungen zeigen , dass 70 % der SAP-S/4HANA-Migrationen scheitern ihre Ziele nicht erreichen, und 52 % der cloud aufgrund von Sicherheitsbedenken verzögert werden. Dieser Leitfaden bietet das „Secure-by-Design“-Framework, das unerlässlich ist, um die Vorteile von RISE with SAP voll auszuschöpfen.
Das Gebot der „Sicherheit“: Warum Sicherheit das größte Hindernis für die Transformation ist
Für viele Unternehmen gilt die Sicherheit als das größte Hindernis für die Transformation. Das Problem liegt darin, dass viele Teams ihr RISE with SAP-Projekt als einfache technische „Lift-and-Shift“-Migration betrachten. Dieser Ansatz überträgt lediglich jahrelange unkontrollierte Risiken und technische Schulden in eine neue Umgebung.
Diese Strategie ist praktisch zum Scheitern verurteilt. Untersuchungen zeigen, dass 70 % der SAP-S/4HANA-Migrationen die vorgesehenen Zeitpläne, Budgets oder Geschäftsziele nicht einhalten. Wenn kritische Sicherheitsprobleme zu spät entdeckt werden, kommt es zu kostspieligen Verzögerungen bei den Projekten. Die durchschnittlichen Kosten für ein gescheitertes, verzögertes oder zurückgefahrenes Projekt zur digitalen Transformation belaufen sich auf atemberaubende 4,12 Millionen US-Dollar.
Bei einer wirklich sicheren SAP-Modernisierung geht es nicht nur um den Umstieg auf die cloud. Es geht darum, den Umstiegsicher zu cloud , Flexibilität zu ermöglichen und sicherzustellen, dass Ihre wichtigsten Geschäftsanwendungen vom ersten Tag an geschützt sind.
Die strategische Entscheidung: Warum „Lift and Shift“ scheitert
Der häufigste Grund für das Scheitern von Projekten ist, dass der Umstieg auf RISE als „technische Migration“ (ein „Brownfield“- oder „Lift-and-Shift“-Projekt) betrachtet wird, anstatt als echte „Geschäftstransformation“ („Greenfield“). Bei einem „Lift-and-Shift“-Projekt werden nicht nur Ihre Daten übertragen, sondern auch alle Ihre Altlasten, schlechten Prozesse und technischen Schulden.
Sie geben den Kernwert von S/4HANA auf
Ein „Lift-and-Shift“-Ansatz macht die neue Architektur zunichte. Echte Transformation bedeutet, Prozesse neu zu gestalten, um die neuen Funktionen von S/4HANA zu nutzen, die in ECC nicht möglich sind, wie zum Beispiel:
- Das Universal Journal: Hier werden alle Daten aus dem Finanzwesen (FI) und dem Controlling (CO) in einer einzigen Tabelle (ACDOCA) zusammengeführt. Dies ist eine bahnbrechende Neuerung, die einen „kontinuierlichen Abschluss“ ermöglicht und Echtzeit-Rentabilitätsanalysen bietet, anstatt dass Sie auf Batch-Abstimmungen warten müssen.
- Das Geschäftspartnermodell: Hier werden die Stammdaten von „Kunden“ und „Lieferanten“ in einem einzigen „Geschäftspartner“-Objekt zusammengefasst. Ein „Lift-and-Shift“-Vorgang mit fehlerhaften Altdaten würde dieses Modell vom ersten Tag an zum Scheitern bringen.
Mit einem „schlechten Rumpf“ verlierst du an Beweglichkeit
Der zweite Teil der Transformation ist die SAP Business Technology Platform BTP), die eine „Clean Core“-Strategie. Das Ziel besteht darin, den S/4HANA-Kern standardmäßig zu belassen und alle neuen Innovationen auf der BTP-Ebene aufzubauen. So können Sie Ihren Kern mit minimalen Unterbrechungen patchen und aktualisieren. Ein „Lift-and-Shift“, bei dem Ihr gesamter alter kundenspezifischer Code in den neuen Kern übertragen wird, wiederholt den Fehler der letzten 30 Jahre und sorgt dafür, dass Ihr neues System genauso unflexibel und wartungsintensiv ist wie das alte.
Die „stillen Killer“, die für 70 % der Ausfälle verantwortlich sind
Wenn ein Projekt das Budget überschreitet, liegt das fast immer daran, dass die „technische Schuld“ der Altsystemumgebung unterschätzt wurde. Abgesehen von benutzerdefiniertem Code gibt es zwei „stille Killer“, die Projekte häufig zum Scheitern bringen:
- Hindernis 1: „Unsaubere“ Stammdaten: Die Migration „unsauberer“ Daten (Doppelteinträge, inkonsistente Datensätze und fehlende Attribute) ist eine der Hauptursachen für das Scheitern vieler Projekte. Dies gilt insbesondere für das neue Geschäftspartnermodell, das saubere, harmonisierte Kunden- und Lieferantendaten voraussetzt, um zu funktionieren.
- Hindernis 2: Unverschlüsselte personenbezogene Daten in Nicht-Produktionssystemen: Ein häufig übersehenes Hindernis ist die Praxis, Produktionsdaten (die zahlreiche unverschlüsselte personenbezogene Daten enthalten) in Ihre Entwicklungs-, QA- und Testsysteme zu kopieren. Im Zeitalter der DSGVO und anderer Datenschutzbestimmungen stellt dies einen schwerwiegenden Verstoß gegen die Compliance dar, der die gesamte Migration zum Stillstand bringen kann, wenn er mitten im Projekt entdeckt wird.
Ein dreistufiger Rahmen für eine von Grund auf sichere RISE-Transformation
Um Risiken und Verzögerungen zu vermeiden, muss bei einer erfolgreichen RISE with cloud die Sicherheit in jede Phase integriert werden. Es reicht nicht aus, erst am Ende „auf Sicherheit zu prüfen“. Dieses dreistufige Rahmenkonzept zeigt, wie die größten Herausforderungen zum richtigen Zeitpunkt angegangen werden können.
| Projektphase | Zentrale Herausforderung (basierend auf Forschungsergebnissen) | Empfohlene Vorgehensweise (Anleitung) |
|---|---|---|
| 1. Planung (vor der Migration) | Umfangreicher, komplexer benutzerdefinierter Code stellt ein Hauptproblem auf ihrem Weg zu S/4HANA dar. | „Get Clean“: Bevor Sie die Migration durchführen, müssen Sie den gesamten bestehenden ABAP-Eigencode analysieren. So stellen Sie sicher, dass Sie keine alten Sicherheitslücken in Ihre neue cloud übertragen. |
| 2. Umsetzung (während der Migration) | 71 % sind besorgt über einen Fachkräftemangel. Neue, ungeschützte cloud können bereits nach 3 Stunden ausgenutzt werden. | „Stay Clean“: Überprüfen Sie regelmäßig die Konfigurationen und den neuen Code von Systemintegratoren. Dieser „Security-as-Code“-Ansatz verhindert, dass während des Build-Prozesses neue Fehlkonfigurationen entstehen. |
| 3. Ausführen (nach der Bereitstellung) | Exploits für neue Patches können bereits nach 72 Stunden. Die durchschnittlichen jährlichen Kosten für die Nichteinhaltung betragen 5 Millionen Dollar. | „Stay Secure“: Führen Sie eine kontinuierliche Bedrohungsüberwachung und automatisierte Compliance-Prüfungen für Vorschriften wie SOX ein |
So setzen Sie Ihr 3-Phasen-Modell in die Praxis um
Die Anwendung dieses dreistufigen Rahmenwerks ist kein manueller Prozess. Es erfordert spezielle Tools, die die nötige Automatisierung und Transparenz bieten, um Risiken im gesamten Projekt zu steuern.
Für Phase 1 (Entgiftung):
Um die große Herausforderung des kundeneigenen Codes zu bewältigen, müssen Sie Ihr bestehendes ABAP-Code-Erbe überprüfen. Dies ist ein zentraler Bestandteil von SAP DevSecOpsund beinhaltet den Einsatz eines Tools wie Onapsis Control zur Automatisierung von Sicherheitsprüfungen, um Code-Schwachstellen zu finden und zu beheben, bevor sie in die cloud übertragen werden. Derselbe Prozess hilft dabei, Legacy-Rollen zu optimieren, um Lizenzkosten zu senken.
Für Phase 2 (Bleib sauber):
Um das Qualifikationsdefizit von 71 % und die Konfigurationsrisiken anzugehen, benötigen Sie eine platform zur kontinuierlichen Bewertung. Dazu gehören SAP-Schwachstellenmanagement mit einer Lösung wie Onapsis Assess. Diese Lösung validiert alle Ihre neuen Einstellungen, einschließlich derer auf der SAP Business Technology Platform BTP), anhand von Sicherheits-Best-Practices und Compliance-Anforderungen unter Verwendung von comply packsfür Vorschriften wie SOX, DSGVO und NIST und bietet so ein Sicherheitsnetz für Ihre SAP cloud .
Für Phase 3 (Sicherheit gewährleisten):
Um das 72-Stunden-Exploit-Fenster und Compliance-Kosten in Höhe von 5 Millionen Dollar zu bewältigen, benötigen Sie eine zweiteilige Lösung. Erstens, bietet Onapsis Defend bietet SAP-spezifische threat intelligence von Onapsis Research Labs die Echtzeitüberwachung. Zweitens bietet Onapsis Control übernimmt die automatisierte SAP-Compliance-Strategie von einem manuellen, periodischen Audit zu einem automatisierten, ständig laufenden Prozess.
- Entscheidend ist, dass diese Phase eine SOC-Integration erfordert. Da neue Exploits bereits innerhalb von 72 Stunden für Angriffe genutzt werden können, ist eine manuelle Überwachung überholt. Die Anbindung von S/4HANA an Ihr unternehmensweites SIEM (wie Splunk oder Microsoft Sentinel) ist eine grundlegende Voraussetzung. Onapsis Defend die Security Audit Log-APIs von S/4HANA, um alle kritischen Ereignisse (fehlgeschlagene Anmeldungen, kritische Transaktionen usw.) in Echtzeit an Ihr SOC zu übermitteln. Ein Unternehmen, das ohne diese Integration in Betrieb geht, agiert im Grunde genommen blind gegenüber modernen Bedrohungen auf Anwendungsebene.
Praxisbeispiel: Wie ein Energieversorger aus den Top 500 seine Transformation vorangetrieben hat
Dieses Konzept ist nicht nur theoretischer Natur. Ein Energieversorgungsunternehmen aus der Fortune-500-Liste stand bei seiner cloud im Rahmen von „RISE with SAP“ genau vor diesen Herausforderungen.
Ihre Herausforderung
Das Unternehmen, ein Energieversorger mit über 2.000 Mitarbeitern und einem Umsatz von mehr als 2 Milliarden US-Dollar, war dabei, ein zwanzig Jahre altes, lokal installiertes SAP-System zu migrieren. Als Energieversorger stand es vor besonderen Herausforderungen im Bereich Cybersicherheit. Es war sich bewusst, dass es gemäß dem SAP-Modell der geteilten Verantwortungfür die Anwendungssicherheit verantwortlich war, doch sein Team benötigte neue Kompetenzen, um Sicherheit und Compliance in der cloud zu gewährleisten.
Ihre Lösung
Anstatt abzuwarten, entschieden sie sich für einen Partner, der fundierte SAP-Sicherheitstechnologie und -Expertise bieten konnte. Sie integrierten die Onapsis Platform von Anfang an in ihre Migration ein, um Sicherheits- und Compliance-Prüfungen zu automatisieren.
Ihr Ergebnis
Sicherheit war kein Hindernis, sondern ein Wegbereiter. Indem das Versorgungsunternehmen von Anfang an auf Sicherheit und Compliance achtete, gelang es ihm, das Projekt sicher, termingerecht und im Rahmen des Budgets abzuschließen – praktisch ohne Verzögerungen.
Zu den wichtigsten Ergebnissen des Projekts gehörten:
- Reduzierung der durchschnittlichen Reparaturzeit (MTTR) um 75 %.
- 50 % kürzere Dauer der Sicherheitsüberprüfungen.
- Durch Automatisierung und den Wegfall manueller Prozesse werden erhebliche Zeit- und Kosteneinsparungen erzielt.
- Zentraler Überblick über sowohl bestehende lokale Systeme als auch neue RISE with SAP-Systeme.
Sichern Sie Ihre Transformation ab – migrieren Sie nicht einfach nur
RISE with SAP ist der Motor für Ihre digitale Transformation mit SAP, doch eine „Secure-by-Design“-Strategie ist der Treibstoff. Die Herausforderungen sind real – von komplexem benutzerdefiniertem Code bis hin zu Verzögerungen bei der Migration –, aber sie sind alle lösbar.
Wie die case study dem Versorgungssektor case study , verlangsamt die Integration von Sicherheitsmaßnahmen die Transformation nicht, sondern beschleunigt sie. Sie gibt Ihnen die Gewissheit, dass Sie termingerecht und im Rahmen des Budgets in Betrieb gehen können, da Risiken vom ersten Tag an kontrolliert werden.
Erfahren Sie, wie Onapsis RISE with SAP und wie wir Ihnen helfen können, Ihren gesamten Weg von der Planung bis zur Inbetriebnahme abzusichern.
Häufig gestellte Fragen (FAQ)
Wird die Konzentration auf die Sicherheit unsere RISE with SAP-Migration verzögern?
Nein, genau das Gegenteil ist der Fall. Untersuchungen zeigen, dass 52 % der cloud aufgrund unerwarteter Sicherheitsbedenken verzögert werden. Indem Sie Sicherheitsaspekte bereits in der Planungsphase berücksichtigen, beugen Sie in letzter Minute auftretenden, projektzerstörenden Fehlern vor und beschleunigen die Inbetriebnahme.
Wie gewährleisten wir die Einhaltung der SOX-Vorschriften in einem RISE with SAP-Shared-Modell?
Sie müssen von manuellen, regelmäßigen Audits auf eine kontinuierliche, automatisierte Überwachung umstellen. Die durchschnittlichen jährlichen Kosten für die Nichteinhaltung von Vorschriften belaufen sich auf 5 Millionen Dollar. Angesichts dieser Risiken können Sie sich nicht auf manuelle Kontrollen verlassen. Die Lösung besteht darin, automatisierte Compliance-Tools einzusetzen, die Echtzeit-Transparenz bieten.
Welche Sicherheitsverantwortung haben wir im RISE-Modell für benutzerdefinierten Code?
Im Rahmen des SAP-Modells der geteilten Verantwortung tragen Sie (als Kunde) die volle Verantwortung für die Sicherheit Ihrer eigenen Anwendungen und Ihres benutzerdefinierten Codes. Dies ist für Unternehmen ein zentrales Anliegen, da Legacy-Code möglicherweise nicht kompatibel ist oder neue Risiken mit sich bringt. Daher ist es unerlässlich, den gesamten benutzerdefinierten Code zu überprüfen, bevor Sie ihn in die cloud migrieren.
Was ist das größte Sicherheitsrisiko bei einer RISE-Transformation?
Das größte Risiko ergibt sich aus einer Kombination aus Komplexität und Qualifikationsdefizit. Unternehmen sind überwiegend besorgt über ihre bestehenden Anpassungen, und 71 % befürchten, dass ein Qualifikationsdefizit sie ausbremsen wird. Diese Kombination bedeutet, dass ohne eine automatisierte, von Grund auf sichere Strategie die Wahrscheinlichkeit hoch ist, dass Schwachstellen in die cloud übertragen werden, wodurch das Unternehmen vom ersten Tag an Risiken ausgesetzt ist.