Die Schwer- und Einzelindustrie sieht sich beispiellosen Cyberbedrohungen ausgesetzt, was durch den Datenverstoß bei Jaguar Land Rover im Wert von 1,9 Milliarden Pfund deutlich wird. Da die Branche KI einsetzt, um die Entwicklung von SAP-Sonderanpassungen zu beschleunigen, treten kritische neue Schwachstellen zutage. Angesichts strenger Vorschriften wie UN R155, NIS2 und TISAX, die „Secure-by-Design“-Systeme vorschreiben, ist reaktive Sicherheit überholt. Ein „Shifting Left“ im Rahmen eines DevSecOps-Ansatzes ist mittlerweile eine geschäftliche Notwendigkeit.
Das Wichtigste in Kürze
- Der Weckruf im Wert von 1,9 Milliarden Pfund: Der jüngste Hackerangriff auf Jaguar Land Rover zeigt, dass mehr denn je auf dem Spiel steht. Die Fertigungsindustrie ist bereits das fünfte Jahr in Folge das Hauptziel weltweiter Cybervorfälle. Schon ein einziger kompromittierter Zugangsdatensatz oder eine unsichere benutzerdefinierte Anwendung kann die weltweite Produktion zum Erliegen bringen, geistiges Eigentum gefährden und vernetzte Lieferketten erheblich stören.
- Der KI-Blindfleck: KI-Programmierassistenten (wie SAP Joule) schreiben Code blitzschnell, leiden jedoch unter „Kontextblindheit“ und lassen häufig wichtige Berechtigungsprüfungen aus, die sensible firmeneigene Daten schützen.
- Die regulatorische Realität: Hersteller aus der Schwerindustrie und der diskreten Fertigung sehen sich mit strengen neuen Vorschriften konfrontiert. Vorschriften wie UN R155, NIS2 und TISAX verlangen von den Herstellern, dass sie nachweisen, dass ihre Backend-Systeme und die damit verbundenen Lieferketten von Grund auf sicher sind.
- Das Gebot des Verteidigers: Durch „Shifting Left“ wird verhindert, dass Schwachstellen überhaupt in die Produktion gelangen, wodurch die Kosten für die Behebung erheblich gesenkt werden. Onapsis Control die Sicherheit Ihres SAP-eigenen Codes, um Ihren „Clean Core“ zu schützen, den Mangel an Cyber-Fachkräften auszugleichen und die digitale Transformation sicher voranzutreiben.
Eine Fertigungsstraße ist nur so stark wie ihr schwächster Code
Stellen Sie sich einen Just-in-Time-Logistikablauf (JIT) vor, bei dem Teile an eine geschäftige Automobilmontagelinie geliefert werden. Plötzlich kommen die Schweißroboter zum Stillstand. Die Bestandsanzeigen werden schwarz, doch die Ursache ist weder ein mechanischer Defekt noch ein Stromausfall. Vielmehr wurde ein ERP-System gehackt.
Cyberangriffe auf die Schwer- und diskrete Fertigung entwickeln sich von breit angelegten Ransomware-Kampagnen hin zu gezielten Angriffen, bei denen Schwachstellen in der SAP-Anwendungsschicht und im benutzerdefinierten Code ausgenutzt werden. Die finanziellen und betrieblichen Risiken sind enorm. Der jüngste Datenverstoß bei Jaguar Land Rover verursachte finanzielle Schäden in Höhe von schätzungsweise 1,9 Milliarden Pfund und beeinträchtigte über 5.000 Unternehmen in der Lieferkette. Angesichts der durchschnittlichen Kosten für Datenverstöße in der Fertigungsindustrie in Höhe von 5,56 Millionen US-Dollar kämpfen Unternehmen an zwei Fronten: Sie müssen kritische Systeme verteidigen und gleichzeitig massive digitale Transformationen vorantreiben.
Das zweischneidige Schwert: KI-Entwicklung und „Kontextblindheit“
Um den Anforderungen der Nachhaltigkeit und der raschen Innovation gerecht zu werden, setzt die Branche verstärkt auf KI. Entwickler nutzen zunehmend KI-Assistenten wie SAP Joule, um die Entwicklung von kundenspezifischem Code zu beschleunigen.
Diese Geschwindigkeit bringt jedoch gefährliche versteckte Kosten mit sich. Von KI generierter Code leidet unter „Kontextblindheit“. Da KI-Modelle auf Mustererkennung basieren, verstehen sie weder die spezifische Geschäftslogik noch die Sicherheitsarchitektur Ihres Unternehmens.
Beispielsweise könnte ein KI-Assistent zwar einwandfrei funktionierenden Code für ein Lieferkettenportal generieren, dabei jedoch vergessen, eine obligatorische SAP-Berechtigungsprüfung einzubauen. Plötzlich kann jeder Nutzer im Netzwerk streng vertrauliche Lieferantenpreise einsehen oder Versandlisten manipulieren. KI vergrößert unbeabsichtigt die Angriffsfläche, indem sie versteckte Schwachstellen, fehlende Berechtigungsprüfungen und versteckte Abhängigkeiten einführt, die ein menschlicher Prüfer in der Eile vor der Produktionsfreigabe leicht übersehen könnte.
Die regulatorische Realität: Strenge Compliance-Vorgaben in der Automobilbranche
Hersteller von Schwermaschinen und diskreten Produkten sehen sich mit strengen neuen Vorschriften konfrontiert. Unternehmen müssen nachweisen, dass ihre Backend-IT-Systeme, Software-Update-Mechanismen und die damit verbundenen Lieferketten widerstandsfähig gegen Cyberbedrohungen sind. Es reicht nicht mehr aus, Sicherheit einfach nachträglich in ein fertiges Produkt zu integrieren. Aufsichtsbehörden und Branchenverbände verlangen mittlerweile Architekturen, die von Grund auf sicher konzipiert sind („Secure-by-Design“). Sind die Backend-IT-Systeme eines Herstellers anfällig, riskiert dieser massive Geldstrafen, den Entzug von Zertifizierungen und den Verlust seiner Vertriebslizenz.
· UN R155: Diese verbindliche Vorschrift schreibt ein zertifiziertes Cybersicherheits-Managementsystem (CSMS) vor. Automobilhersteller müssen nachweisen, dass die Sicherheit fest in die Konstruktionsarchitektur integriert ist und den gesamten Lebenszyklus des Fahrzeugs abdeckt. Wenn eine Schwachstelle in Ihrem SAP-System es einem Angreifer ermöglicht, ein Software-Update des Fahrzeugs zu manipulieren, verstoßen Sie damit direkt gegen diese Vorschrift.
· Die EU-NIS2-Richtlinie: NIS2 stuft die Kraftfahrzeugherstellung als kritische Infrastruktur ein. Sie schreibt strenge Meldepflichten für Vorfälle vor, verlangt umfassende Risikobewertungen der Lieferkette und macht die Cybersicherheit zu einer Verantwortung der Unternehmensleitung. Führungskräfte können für systemische Fahrlässigkeit persönlich haftbar gemacht werden.
· TISAX (Trusted Information Security Assessment Exchange): Dies ist die „Eintrittskarte“ für die Automobilindustrie. Der Schwerpunkt liegt dabei stark auf dem Schutz hochsensibler Unternehmenssysteme. Wenn Ihr benutzerdefinierter Code die SAP-Datenbank ungeschützt lässt (d. h. dort, wo Prototypen von Elektrofahrzeugen der nächsten Generation, CAD-Zeichnungen und andere wichtige Daten gespeichert sind), können Sie das TISAX-Zertifikat nicht erhalten, das für die Teilnahme an Ausschreibungen für OEM-Aufträge erforderlich ist.
· DSGVO: Moderne vernetzte Fahrzeuge sind Datenerfassungsgeräte, die Telemetriedaten in Echtzeit übertragen. Da die Fahrzeugidentifikationsnummer (VIN) direkt mit einem registrierten Halter verknüpft ist, drohen bei Verstößen gegen die DSGVO massive Datenschutzbußgelder für die SAP-Backend-Systeme, die diese Fahrzeug- und Kundendaten verarbeiten.
Der Fachkräftemangel im Bereich Cybersicherheit und die „Clean Core“-Herausforderung
Der Wettlauf um die Migration zu SAP S/4HANA, SAP Cloud oder RISE with SAP erfordert eine „Clean Core“-Strategie. Der Druck, das System schnell bereitzustellen, führt jedoch häufig dazu, dass die Sicherheit erst ganz am Ende des Entwicklungszyklus berücksichtigt wird. Dieser reaktive Ansatz führt zu mühsamen manuellen Code-Prüfungen, kostspieligen Projektverzögerungen und dem Risiko, dass Sicherheitslücken aus dem Altsystem in neue cloud übertragen werden.
Erschwerend kommt ein gravierender Fachkräftemangel hinzu: 56 % der IT-Führungskräfte nennen einen Mangel an Kompetenzen im Bereich Cybersicherheit als Hauptursache für Sicherheitsvorfälle. Die Sicherheitsteams sind überlastet und verfügen schlichtweg nicht über das erforderliche fundierte, SAP-spezifische Wissen, um komplexen kundenspezifischen Code manuell abzusichern oder KI-generierte Entwicklungen zu validieren.
Die Pflicht des Verteidigers: SAP-Anwendungssicherheitstests mit Onapsis Control
Glücklicherweise muss die Sicherung des „Clean Core“ und die Beschleunigung von Innovationen nicht kompliziert sein – selbst angesichts all der hochentwickelten Bedrohungen und Angriffe, die derzeit im Umlauf sind. Eine IBM-Studie identifiziert einen DevSecOps-Ansatz bei der Softwareentwicklung als den wichtigsten Faktor zur Senkung der Kosten von Sicherheitsverletzungen. Als unangefochtene Experten für SAP-Cybersicherheit und als einziger Anbieter von Anwendungssicherheit im „SAP Endorsed Apps“-Programm ermöglicht Onapsis Unternehmen der Schwer- und diskreten Fertigung, Sicherheit direkt in ihre Entwicklungszyklen zu integrieren.
Als eine der tragenden Säulen der Platform, Onapsis Control ermöglicht Ihnen den Aufbau einer proaktiven Qualitätssicherung und einer reibungslosen DevSecOps-Pipeline. Es unterstützt Sie dabei:
- DevSecOps automatisieren und den „Clean Core“ schützen: Integrieren Sie Sicherheitsprüfungen direkt in Entwickler-IDEs, Git-Repositorys und CI/CD-Pipelines. Als automatisiertes Qualitätsgate überprüft Onapsis jeden neuen Code und jeden Transport, um sicherzustellen, dass bei kritischen RISE with SAP-Transformationen nur sauberer, sicherer Code in die Produktion gelangt.
- Sichere, KI-gestützte Entwicklung: Während Teams die ABAP- und Nicht-ABAP-Entwicklung mithilfe von KI-Assistenten (wie SAP Joule) beschleunigen, überprüft Onapsis automatisch sowohl von Menschen als auch von KI erstellten Code. Dadurch werden versteckte Schwachstellen, fehlende Berechtigungsprüfungen und Schattenabhängigkeiten beseitigt, die durch die „Kontextblindheit“ der KI verursacht werden.
- Strenge Compliance durchsetzen: Sorgen Sie kontinuierlich für eine sichere, auditfähige Infrastruktur. Onapsis Control den Code anhand von über 600 spezialisierten Testfällen und stellt so sicher, dass Ihre kundenspezifischen Entwicklungen den strengen internen Richtlinien und externen Vorschriften wie TISAX, UN R155, NIS2 und DSGVO entsprechen.
- Beschleunigung der Release-Zyklen: Der Aufwand für manuelle Code-Reviews lässt sich drastisch reduzieren. Durch die Bereitstellung priorisierter Erkenntnisse, umsetzbarer Anleitungen zur Behebung von Problemen und einer geringen Rate an Fehlalarmen können Teams kritische Datenverlust- und Sicherheitsprobleme schnell beheben, ohne dass es zu Engpässen im Projektzeitplan kommt.
Durch einen „Secure-by-Design“-Ansatz erzielen Unternehmen eine beeindruckende Effizienzsteigerung. So hat beispielsweise der führende Automobilhersteller Škoda Onapsis Control eingeführt und damit 300 Entwicklern dabei geholfen, den manuellen Aufwand bei Code-Reviews zu reduzieren. Dabei konnten 15.000 Befunde nahtlos behoben werden, was den Zeitaufwand verringerte und die Sicherheit, Leistung, Qualität sowie Stabilität verbesserte.
Im neuen Zeitalter der Fertigung bedeutet der Schutz der Fertigungslinie den Schutz Ihres Codes. Setzen Sie auf „Shift Left“, automatisieren Sie Ihre Sicherheitsmaßnahmen und treiben Sie Innovationen mit Zuversicht voran.
Häufig gestellte Fragen
Warum ist die Sicherheit von SAP-eigenem Code in der Schwer- und diskreten Fertigung von entscheidender Bedeutung?
Cyberangriffe auf die Schwer- und diskrete Fertigung entwickeln sich weiter, wobei Kriminelle Schwachstellen auf der Anwendungsebene aktiv ausnutzen. Da maßgeschneiderter SAP-Code die Abläufe in Ihrem Unternehmen bestimmt – von der Bestandsverfolgung bis zur Lieferantenverwaltung –, kann eine Schwachstelle an dieser Stelle die weltweite Produktion zum Erliegen bringen, geistiges Eigentum (wie CAD-Dateien) gefährden und vernetzte Lieferketten unterbrechen.
Was versteht man unter „Kontextblindheit“ bei KI-generiertem Code?
KI-Codierungsassistenten generieren Code schnell auf der Grundlage von Mustererkennung, doch ihnen fehlt ein echtes Verständnis für die spezifische SAP-Architektur, die Geschäftslogik oder die Benutzerrollen eines Unternehmens. Diese „Kontextblindheit“ führt häufig dazu, dass Code erstellt wird, der zwar funktionsfähig, aber unsicher ist, wodurch unbeabsichtigt versteckte Schwachstellen entstehen und wichtige Berechtigungsprüfungen ausgelassen werden.
Was ist eine „Clean Core“-Strategie, und inwiefern stellt benutzerdefinierter Code eine Gefahr für sie dar?
Eine „Clean Core“-Strategie zielt darauf ab, Ihr Standard-SAP-ERP-System so nah wie möglich an der Standardfunktionalität zu halten, um cloud (wie RISE with SAP) reibungsloser zu gestalten und zukünftige Upgrades nahtlos zu ermöglichen. Schlecht geschriebener, unsicherer oder übermäßig komplexer benutzerdefinierter Code verursacht technische Schulden, die den Kern „verunreinigen“, digitale Transformationsprojekte verzögern und Sicherheitsrisiken aus dem Altsystem in neue Umgebungen übertragen.
Inwiefern Control Onapsis Control DevSecOps und eine „Shift-Left“-Strategie?
„Shifting Left“ bedeutet, Sicherheitstests in die frühestmögliche Phase des Softwareentwicklungszyklus zu verlagern. Onapsis Control direkt in Entwickler-IDEs, CI/CD-Pipelines und Git-Repositorys Control und fungiert dabei als automatisierter Gatekeeper. Dadurch wird sichergestellt, dass sowohl von Menschen als auch von KI erstellter Code gescannt und korrigiert wird, bevor er überhaupt in die Produktion gelangt, was die Kosten für die Fehlerbehebung erheblich senkt und die Release-Zyklen beschleunigt.
