Sicherheit: Der stille Wegbereiter Ihrer Cloud

Von:

31. März 2026

Der Wettlauf um SAP Cloud (früher SAP S/4HANA Cloud) hat begonnen, und der Leitstern der Branche ist der „Clean Core“. Das Ziel ist einfach: Der Standard-SAP-Kern soll unangetastet bleiben, um Agilität, nahtlose Upgrades und niedrigere Gesamtbetriebskosten zu gewährleisten. Viele Unternehmen betrachten Sicherheit jedoch fälschlicherweise als eine separate Hürde, die erst kurz vor dem Go-Live genommen werden muss. Das ist ein riskantes Unterfangen.

In einer modernen SAP-Landschaft ist Sicherheit kein Engpass, sondern der stille Wegbereiter für den „Clean Core“. Ohne automatisierte Sicherheitstests SAP BTP Ihre kundenspezifischen Erweiterungen und Parallelentwicklungen auf SAP BTP Ihren makellosen Kern schnell in ein Wirrwarr aus technischen Schulden im Stil von Legacy-Systemen verwandeln. Der Umstieg auf die cloud eine „Shift-Left“-Mentalität, bei der Sicherheit bereits ab der allerersten Codezeile integriert wird.

Die fünf Säulen eines sauberen Kerns: Ein strategischer Rahmen

Um zu verstehen, warum Sicherheit der entscheidende Wegbereiter ist, müssen wir uns zunächst die fünf Grundprinzipien ansehen, die SAP aufgestellt hat, um Unternehmen auf dem Weg zu einer stabilen, agilen und innovationsfähigen Umgebung zu begleiten. Nur durch die Einhaltung dieser Prinzipien lässt sich der Falle der „Gesamtkomplexität“ und hoher „Gesamtbetriebskosten (TCO)“ entkommen.

  1. Geschäftsprozesse: Unternehmen müssen die Nutzung der Standardfunktionen von SAP optimal nutzen. Prozesse sollten kontinuierlich überprüft, vereinfacht und automatisiert werden, um unternehmensweit für Einheitlichkeit zu sorgen.
  2. Erweiterbarkeit: Dies ist ein entscheidender Aspekt bei der kundenspezifischen Entwicklung. Alle Erweiterungen müssen „upgrade-stabil“ sein und außerhalb des Kerns liegen, idealerweise auf SAP BTPbefinden. Für jegliche kundenspezifische Logik dürfen ausschließlich veröffentlichte und sichere APIs verwendet werden.
  3. Daten: Eine hohe Datenqualität ist das A und O eines modernen SAP-Systems. Daten müssen korrekt, vollständig und relevant sein. Dies erfordert ein aktives Datenvolumenmanagement und strenge Governance, um eine zuverlässige Entscheidungsfindung zu gewährleisten.
  4. Integration: Der gesamte Datenaustausch zwischen Systemen muss auf Standard-Integrationsszenarien basieren. Durch den Einsatz moderner, sicherer Technologien anstelle von „hausgemachten“ Legacy-Konnektoren senken Unternehmen ihre Gesamtbetriebskosten und gewährleisten langfristige Kompatibilität.
  5. Betrieb: Dieser Grundsatz konzentriert sich auf den Lebenszyklus des Systems. Dazu gehören die aktive Bereinigung von Legacy-Code (insbesondere bei Brownfield-Migrationen) sowie die Einrichtung robuster Überwachungs- und Warnsysteme zum Schutz der Integrität des Kernsystems.

Warum Standardwerkzeuge nicht ausreichen: Auf die Tiefe kommt es an

Die meisten Unternehmen nutzen einfache, integrierte Tools für die Codeüberprüfung. Diese sind zwar bei einfachen Syntaxfehlern hilfreich, stellen jedoch keine speziellen Sicherheitslösungen dar und lassen oft „Sicherheitslücken“ offen.

Der Unterschied liegt in der Breite und Tiefe der Prüfung. Während Standard-Scanner in der Regel nur begrenzte Sicherheitsprüfungen bieten, verfügen umfassende Plattformen für Anwendungssicherheitstests (AST) über umfangreiche Bibliotheken mit spezialisierten Sicherheitstestfällen. 

So Control Onapsis Control beispielsweise über 600 spezifische Prüfungen, die auf threat intelligence Onapsis Research Labs. Diese Testfälle gehen über allgemeine Qualitätsprüfungen hinaus und ermöglichen umfassende Überprüfungen in sechs entscheidenden Bereichen: Sicherheit, Compliance, Leistung, Wartbarkeit, Robustheit und Schutz vor Datenverlust.

Onapsis Control: Das Control für Clean Core

Während SAP den Kern baseline bereitstellt, fungieren speziell entwickelte AST-Lösungen als automatisierter Transportwächter. Als von SAP empfohlene Sicherheitslösung Control Onapsis Control darauf ausgelegt, sicherzustellen, dass kundenspezifische Entwicklungen von der allerersten Codezeile an den fünf „Clean Core“-Prinzipien entsprechen, wodurch verhindert wird, dass technische Schulden im Stil von Legacy-Systemen in die Umgebung gelangen.

Gewährleistung von Erweiterbarkeit und Betriebsstabilität

Advanced AST stellt sicher, dass bei Migrationen zu SAP BTP SAP Cloud keine technischen Altlasten übernommen werden. Durch die frühzeitige automatische Überprüfung auf effiziente Programmiermuster und sichere Fehlerbehandlung im Entwicklungsprozess erkennen diese Plattformen Schwachstellen, die sich negativ auf die Systemleistung, die Verfügbarkeit oder den Ressourcenverbrauch auswirken könnten. 

Darüber hinaus überprüfen spezielle Tools die Erweiterbarkeitsstrategien, indem sie sicherstellen, dass benutzerdefinierter Code nur über veröffentlichte, sichere APIs mit dem Kern interagiert. Dadurch werden komplexe, unsichere Integrationen vermieden, die zukünftige Upgrades erschweren.

Integration und Datenverwaltung

Mithilfe fortschrittlicher Analysen sorgen umfassende Sicherheitsplattformen dafür, dass Integrationspunkte gegen Angriffe abgesichert sind. Dazu gehört die Durchsetzung sicherer Kommunikationsprotokolle und die Verhinderung unbefugten Datenaustauschs. Gleichzeitig schützt AST die Grundsätze der Datenverwaltung, indem es unsichere Datenzugriffsmuster in benutzerdefiniertem Code identifiziert und Unternehmen dabei unterstützt, die Einhaltung globaler Vorschriften zu gewährleisten.

Integration von Sicherheitsmaßnahmen über den gesamten SAP-Lebenszyklus hinweg

Die Umsetzung eines „Clean Core“ ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Die Platform ist auf die SAP Activate und ermöglicht es Ihnen, den „Kern“ von Altlasten zu befreien und ihn für alle zukünftigen Änderungen zu „pflegen“. Dies wird durch drei integrierte Lösungen erreicht:

  • Onapsis Assess Erkennen und Priorisieren): Assess identifiziert Schwachstellen und Fehlkonfigurationen in Altsystemen und priorisiert die Behebung von technischem Schulden. Außerdem automatisiert es die Überprüfung von Benutzerberechtigungen und Anwendungskonfigurationen in der gesamten Landschaft, um sicherzustellen, dass Daten- und Betriebsprinzipien auf einer sicheren Grundlage beruhen.
  • Onapsis Control Vorbeugen und Steuern): Control unterstützt Entwickler durch IDE-Integrationen und das Scannen von Git-Repositorys, um die Governance für jede Erweiterung zu gewährleisten und gleichzeitig sicherzustellen, dass neuer Code und Änderungen vor der Bereitstellung den Qualitäts-, Sicherheits- und Clean-Core-Standards entsprechen. Es fungiert zudem als automatisierter Transportwächter, der verhindert, dass unerwünschte Änderungen in Ihren Produktionskern gelangen.
  • Onapsis Defend Überwachen und Reagieren): Defend bietet eine kontinuierliche Echtzeitüberwachung aktiver Systeme, Geschäftsprozesse und Daten. Durch die Erkennung ungewöhnlicher Daten-Downloads, verdächtiger Konfigurationsänderungen oder Exploit-Aktivitäten dient es als Frühwarnsystem für Bedrohungen, die auf den Clean Core abzielen, und steuert die Prozesse zur Reaktion auf Vorfälle.

Fazit: Die Cloud sicher gestalten

Eine erfolgreiche Migration zu RISE with SAP oder SAP Cloud erfordert umfassende Sicherheitsmaßnahmen. In einer Zeit, in der Agilität und Sicherheit Hand in Hand gehen müssen, ist es nicht mehr tragbar, sich bei geschäftskritischen Ressourcen auf einfache Tools zu verlassen.

Durch die Einführung einer speziellen platform können Unternehmen die Einhaltung von Vorschriften automatisieren und sicherstellen, dass ihre „Clean Core“-Strategie funktional sicher und skalierbar bleibt.

Häufig gestellte Fragen

Wie unterstützt Onapsis die „gemeinsame Verantwortung“ in einer Clean-Core-Umgebung?

Während SAP für die Sicherheit der cloud sorgt, ist der Kunde für die Sicherheit in der cloud verantwortlich. Onapsis ist der strategische Partner, der den Teil des Kunden im Rahmen dieser Vereinbarung absichert: insbesondere Anwendungskonfigurationen, Benutzer, benutzerdefinierten Code und Geschäftsdaten.

Warum sollten wir Onapsis Control verwenden, Control uns einfach an die Entwicklungsrichtlinien von SAP zu halten?


Die manuelle Einhaltung von Richtlinien ist anfällig für menschliche Fehler, insbesondere bei engen Terminvorgaben. Onapsis Control diesen Prozess durch die Bereitstellung von über 600 spezialisierten Testfällen, die als kontinuierliches control fungieren und sicherstellen, dass jede Erweiterung standardmäßig „Clean Core-konform“ ist.

Unterstützt Onapsis sowohl Greenfield- als auch Brownfield-Migrationen zu SAP Cloud ?


Ja. Bei Brownfield-Migrationen Assess Onapsis Assess , Probleme im Altcode zu identifizieren und zu beheben. Bei Greenfield-Migrationen Defend Onapsis Control Defend , dass die neue Umgebung sicher aufgebaut wird und von Anfang an geschützt bleibt.

Inwiefern platform die Onapsis platform zu den GSI- und SAP-Activate-Frameworks?


Onapsis bietet automatisierte technische Prüfungen, die auf diese Transformationsrahmenwerke abgestimmt sind. Damit können Unternehmen und ihre Global System Integrator (GSI)-Partner Sicherheits- und Qualitätsmaßnahmen in den Projektlebenszyklus integrieren, anstatt Sicherheit als riskante Aktivität nach der Inbetriebnahme zu betrachten.

 Wie wirkt sich Onapsis auf die Gesamtbetriebskosten (TCO) aus?


Indem Onapsis verhindert, dass technische Schulden und unsicherer Code in das System gelangen, senkt es die Kosten für zukünftige Upgrades und Regressionstests erheblich. So wird Sicherheit zu einer Investition, die die langfristigen Betriebskosten senkt und einen wirklich „upgrade-stabilen“ Kern gewährleistet.

Sind Sie bereit, Ihren Clean Core zu sichern? Erfahren Sie mehr über Onapsis und fordern Sie noch heute eine Demo an.

Stichworte, ,
Über den Autor

Elke Bastian

Senior-Produktmarketingmanager

Elke Bastian ist eine erfahrene Expertin für Produktmarketing und Vordenkerin bei Onapsis. Mit ihrer fundierten und langjährigen Expertise in den Bereichen Governance, Risk & Compliance sowie Prozessoptimierung leitet sie heute das Produktmarketing für Onapsis Control die Cybersicherheitslösung für die Prüfung der SAP-Codesicherheit, die Unternehmen dabei unterstützt, ihre geschäftskritischen Systeme vor Bedrohungen zu schützen und die Compliance zu gewährleisten. Ihr Ziel ist es, Unternehmen dabei zu unterstützen, ihre Widerstandsfähigkeit zu stärken und Risiken zu minimieren, ohne dabei die operative Exzellenz zu beeinträchtigen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen