SAP® S/4HANA-Migration: Ein Leitfaden für integrierte Sicherheit von Anfang an

Viele SAP-Kunden befinden sich derzeit in der Planungs- oder Umsetzungsphase einer Umstellung auf SAPs ERP-System der nächsten Generation, S/4HANA. Mehr als 18.800^{Unternehmen¹} haben SAP S/4HANA bereits eingeführt, und Tausende weitere sind dabei, auf die neue platform umzusteigen, wobei die Frist im Jahr 2027 abläuft. Zu diesem Zeitpunkt wird SAP den Support für ältere Versionen wie SAP ECC und SAP R/3 offiziell einstellen, was auch bedeutet, dass keine Sicherheitspatches mehr veröffentlicht werden. Unternehmen müssen vor Ablauf dieser Frist auf SAP S/4HANA umsteigen, um das Risiko zu vermeiden, dass ihre geschäftskritischsten Abläufe auf veralteter und nicht gepatchter Software laufen. 

Die Umstellung auf SAP S/4HANA bietet zwar zahlreiche Vorteile, bringt jedoch auch eine erhöhte Komplexität mit sich. Bei diesem umfangreichen Projekt zur digitalen Transformation gibt es viele Aspekte zu berücksichtigen, und die Sicherheit sollte für Unternehmen oberste Priorität haben.

Die Bedeutung der Sicherheit bei SAP-S/4HANA-Migrationen

SAP-Systeme sind für den Betrieb von Unternehmen, die Abwicklung von Geschäftsabläufen und die Förderung der Weltwirtschaft verantwortlich. Angesichts der Tatsache, dass 77 % des weltweiten Transaktionsumsatzes über ein SAP-System abgewickelt werden und 92 % der Forbes Global 2000-Unternehmen SAP nutzen, könnte ein erfolgreicher Angriff auf ungeschützte SAP-Anwendungen weitreichende Folgen haben. Das US-Heimatschutzministerium hat bis heute sechs Warnungen zu Cyberangriffen auf geschäftskritische Unternehmenssysteme, darunter SAP, herausgegeben. Im vergangenen April veröffentlichten SAP und Onapsis Forschungsergebnisse, wonach mehr als 300 bestätigte Ausnutzungen ungeschützter SAP-Anwendungen festgestellt wurden, darunter mehr als 100 praktische Angriffe auf Unternehmen in weniger als einem Jahr. Zu den kompromittierten Daten gehörten Vertriebs-, Personal-, Kunden-PII-, Technik-, geistige Eigentums- und Finanzinformationen.

Vielen Unternehmen fällt es nach wie vor schwer, Angriffe auf Anwendungsebene zu überwachen, zu erkennen und abzuwehren. Eine Ponemon-Studie aus dem Jahr 2021 zeigt, dass die meisten großen Unternehmen der Ansicht sind, ihr Anwendungsportfolio sei anfälliger geworden, wobei viele Fachleute anmerken, dass noch viel mehr getan werden muss, um Unternehmen auf der Ebene der Unternehmensanwendungen zu schützen: 57 % können Schwachstellen nicht schnell identifizieren und 63 % sind nicht in der Lage,^Angriffe zu überwachen und abzuwehren2. Darüber hinaus haben fast zwei Drittel der Unternehmen einen Rückstau an^{Sicherheitslücken3}. Es ist wichtig, Patches umgehend zu installieren, da Angreifer ebenfalls die Veröffentlichung von Patches im Auge behalten. Unsere threat intelligence haben ergeben, dass kritische SAP-Schwachstellen bereits weniger als 72 Stunden nach Veröffentlichung des Patches ausgenutzt wurden.

Angesichts der sich ständig verändernden Bedrohungslage für Geschäftsanwendungen und des wachsenden Fachwissens der Angreifer müssen Unternehmen Sicherheitsmaßnahmen bereits zu Beginn von Transformationsprojekten und der Anwendungsentwicklung einbeziehen, um Sicherheitsprobleme aufzudecken und zu beheben. Die potenziellen geschäftlichen Auswirkungen einer Vernachlässigung der SAP-Sicherheit auf Anwendungsebene sind zu gravierend, um sie zu ignorieren:

• Abfluss sensibler oder vertraulicher Unternehmensdaten, Benutzerzugangsdaten und personenbezogener Daten
• Betrügerische Transaktionen und finanzieller Schaden
• Ausfallzeiten und Projektverzögerungen
• Mängel bei den IT-Kontrollen in Bezug auf den Datenschutz (z. B. DSGVO), die Finanzberichterstattung (z. B. SOX) oder branchenspezifische Vorschriften (z. B. PCI-DSS)
• Schäden am Markenimage und am Ruf, die sich auf die Beziehungen zu Kunden, Aktionären und Aufsichtsbehörden auswirken

Die Einbindung von Sicherheitsaspekten zu Beginn eines Transformationsprojekts – auch als „Shifting Left“ bezeichnet – sorgt dafür, dass die Sicherheitsüberprüfung bereits bei der Erstellung des Codes erfolgt und nicht erst bei dessen Bereitstellung oder beim Testen. Auf diese Weise können Unternehmen verhindern, dass diese Risiken eintreten oder die Entwicklungsumgebung verlassen, sodass sie in der Produktion keine Auswirkungen haben.

Bewährte Verfahren für eine sichere SAP-S/4HANA-Migration

Angesichts des wachsenden Risikos von Sicherheitsverletzungen in ERP-Systemen benötigen Unternehmen beim Umstieg auf SAP S/4HANA eine wirksame Methode, um ihre Ressourcen funktionsübergreifend zu schützen. Indem sie Sicherheit von Anfang an einbeziehen, können Unternehmen sicherheitsbedingte Hindernisse und Verzögerungen vermeiden und so dazu beitragen, dass Projekte termin- und budgetgerecht abgeschlossen werden. Im Folgenden finden Sie fünf Maßnahmen, mit denen Unternehmen eine sichere Migration zu SAP S/4HANA gewährleisten können:

Altlasten aufspüren und beheben

Für Unternehmen ist es ideal, sich vor der Migration mit benutzerdefiniertem Code, Sicherheitslücken und Compliance-Problemen in ihren Altsystemen auseinanderzusetzen. Auf diese Weise kann das Unternehmen sicher sein, dass seine Anwendungen vor dem Umstieg auf die neue Umgebung so sicher wie möglich sind und dass die Compliance während des gesamten Projekts gewährleistet bleibt. 

Viele Unternehmen setzen seit Jahrzehnten SAP-Technologie ein und haben im Laufe der Jahre Millionen von Zeilen an benutzerdefiniertem Code erstellt. Auch wenn wahrscheinlich nicht alle Altsysteme migriert werden, bietet sich für die migrierten Systeme eine hervorragende Gelegenheit, den zugrunde liegenden benutzerdefinierten Code zu analysieren. Es ist anzunehmen, dass bei der Erstellung eines Teils dieses Codes die Sicherheit keine vorrangige Rolle spielte. Heute muss sicherer Code oberste Priorität haben. Dieser Prozess stellt sicher, dass schlechter, unnötiger oder veralteter Code nicht in die neue SAP-S/4HANA-Umgebung übernommen wird.

Sicherheit durch Design

Ein „Security-by-Design“-Ansatz ist unerlässlich, um Sicherheitslücken zu beseitigen und die geschäftskritischen Anwendungen eines Unternehmens sicher, verfügbar und konform zu halten. Unternehmen sollten zu Beginn des SAP-S/4HANA-Migrationsprojekts grundlegende Anforderungen an Sicherheits- und Compliance-Technologien sowie an die Tools festlegen. So können sicherer Code, Konfigurationen und bestehende Geschäftsprozesse während der gesamten Entwicklung einbezogen und bis in die Produktion übernommen werden. Ein solcher Ansatz optimiert die Transformation und Migration erheblich und kann dazu beitragen, dass Projekte termingerecht und im Rahmen des Budgets abgeschlossen werden. 

Vertrauen ist gut, Kontrolle ist besser

Viele Unternehmen verfügen nicht über die internen Ressourcen, die sie benötigen, um das SAP-S/4HANA-Transformationsprojekt selbst durchzuführen, und ziehen daher einen Systemintegrator oder externe Entwickler zur Unterstützung hinzu. Diese externen Partner können für die Erstellung von benutzerdefiniertem Code, die Einrichtung der Umgebung, die laufende Verwaltung (z. B. Patches) und vieles mehr zuständig sein. Unternehmen müssen sicherstellen, dass sie diese ausgelagerten Aufgaben überprüfen, um zu gewährleisten, dass bewährte Sicherheitsverfahren eingehalten werden und keine Risiken für ihre kritischen Systeme entstehen. 

Ein weiterer Aspekt im Zusammenhang mit Drittanbietern, der zu berücksichtigen ist, ist die Frage, welche anderen Systeme, Partner und Anbieter möglicherweise eine Verbindung zur neuen Umgebung herstellen. Unternehmen sollten sicherstellen, dass diesen Dritten angemessene Berechtigungen und Zugriffsrechte zugewiesen werden. Ein Partner, Anbieter oder ein anderer Dritter mit weitreichenden Zugriffsrechten kann das gesamte Unternehmen einem Risiko aussetzen. Die Sicherung des Zugriffs und der Authentifizierung für diese Anwendungen sollte der erste Schritt in diesem Prozess sein. Es ist entscheidend, mit einer Bestandsaufnahme aller Berechtigungen, Zugriffsrechte, Benutzer und Rollen zu beginnen. Dies sollte sowohl für Mitarbeiter als auch für Benutzer von Drittanbietern erfolgen. 

Automatisieren Sie Sicherheitsüberprüfungen, wo immer es möglich ist

Zu sagen, dass bei der Migration von Anwendungen auf S/4HANA viele Komponenten zu berücksichtigen sind, ist eine Untertreibung. Alter benutzerdefinierter Code, neu geschriebener benutzerdefinierter Code, Transporte, Benutzerberechtigungen und Rollen, allgemeine IT-Kontrollen sowie der Patch-Prozess sind nur einige davon. Die manuelle Überprüfung jeder dieser Komponenten ist nicht nur hinsichtlich des Ressourcen- und Zeitaufwands unpraktisch, sondern auch ineffektiv. Manuelle Überprüfungen sind anfällig für menschliche Fehler, und es besteht ein hohes Risiko, dass kritische Probleme übersehen werden.  

Dies ist ein weiterer Grund, warum es wichtig ist, Sicherheitsaspekte bereits zu Beginn des Projekts zu berücksichtigen. Durch die Auswahl der richtigen Tools zur Sicherheitsbewertung – also solcher, die speziell für SAP-Entwicklungs- und Schwachstellenmanagementprozesse konzipiert sind – müssen sich Unternehmen während des gesamten Transformationsprojekts nicht auf manuelle Überprüfungen verlassen. Dies spart Zeit, setzt Ressourcen frei, die dann für Kernkompetenzen genutzt werden können, und verringert das Risiko, dass Probleme übersehen werden. 

Weiterhin die Sicherheit und Compliance von SAP S/4HANA gewährleisten

Auch nach Abschluss des Migrationsprozesses ist die Arbeit noch nicht getan. Nun müssen Unternehmen sicherstellen, dass keine Sicherheitsprobleme und zusätzlichen Risiken in ihre neuen S/4-Systeme gelangen. Das bedeutet, weiterhin sichere Entwicklungsprozesse mit benutzerdefiniertem Code und Transportanalysen anzuwenden, neue SAP-Sicherheitshinweise im Blick zu behalten, regelmäßig Schwachstellenscans durchzuführen und die allgemeinen IT-Kontrollen zu überprüfen. 

Mit Onapsis sorgen Sie während Ihrer gesamten SAP S/4HANA-Migration für Sicherheit

Onapsis Assess das Schwachstellenmanagement:Assess automatisierte Schwachstellenanalysen, die Schwachstellen in Anwendungen identifizieren (Konfigurationsprobleme, Autorisierungsprobleme, fehlende Patches/Hinweise), die damit verbundenen geschäftlichen Auswirkungen erläutern und Schritt-für-Schritt-Anleitungen zur Behebung bereitstellen. 

Onapsis Control Anwendungssicherheitstests: Onapsis Control Anwendungssicherheitstests für SAP-Anwendungen, einschließlich der Möglichkeit, benutzerdefinierten Code und Transporte von Drittanbietern zu überprüfen, sowie der automatischen Behebung häufiger Codefehler. Dank automatisierter Bewertungen, Integrationen mit Entwicklungsumgebungen und Änderungsmanagementsystemen sowie schrittweisen Anleitungen zur Fehlerbehebung können Anwendungsteams Probleme so schnell wie möglich identifizieren und beheben – bevor sie sich negativ auf die Systemsicherheit, Compliance, Leistung oder Verfügbarkeit auswirken. 

Onapsis Comply automatisierte Compliance: Comply Unternehmen Comply IT-Kontrollen für ihre geschäftskritischen Anwendungen zu testen. Comply die Datenerfassung, was erhebliche Zeitersparnisse mit sich bringt und die Genauigkeit der Ergebnisse verbessert. Dank vorgefertigter Richtlinien für gängige regulatorische Rahmenbedingungen können Unternehmen sofort nach Platform mit der Überprüfung ihrer Systeme beginnen oder die Richtlinien an ihre spezifischen Anforderungen anpassen. 

Comply in SAP Process Control Comply Control viele Unternehmen zur Automatisierung ihrer internen control Compliance-Prozesse einsetzen. Durch die Nutzung der vorgefertigten Richtlinien Complyentfällt ein Großteil der manuellen Konfiguration, die erforderlich ist, um SAP Process Control nehmen und die relevanten Sicherheits- und allgemeinen IT-Kontrollen korrekt zu bewerten. 

Onapsis Defend die Erkennung und Bekämpfung von Bedrohungen:Defend wird von den branchenführenden Onapsis Research Labs unterstützt und Defend als Frühwarnsystem für unbefugte Änderungen, Missbrauch oder Cyberangriffe, die auf geschäftskritische Anwendungen abzielen. Security Operations Center (SOCs) können automatisch mehr als 2.000 Bedrohungsindikatoren überwachen, darunter Exploit-Aktivitäten gegen Zero-Day-Schwachstellen und bekannte, ungepatchte Schwachstellen, und bieten so „Pre-Patch“-Schutz für die kritischen Systeme eines Unternehmens. Echtzeit-Warnmeldungen, die sich leicht in SIEMs integrieren lassen, liefern wertvolle Details zu Schweregrad, Ursache und empfohlenen Abhilfemaßnahmen, um die Analyse- und Reaktionszeiten bei Vorfällen zu verkürzen.

Erfahren Sie mehr darüber, wie Onapsis Ihr SAP S/4HANA-Migrationsprojekt unterstützen – und sogar beschleunigen – kann , indem die Sicherheit von Anfang an integriert wird. Vereinbaren Sie noch heute einen Termin mit einem unserer Teammitglieder.
 

¹https://www.basistechnologies.com/blog/the-true-state-of-s4hana-in-2022/

2.^{https://www.mend.io/wp-content/media/2021/04/whitesource-ponemon-research-report.pdf}

^3Diedritte jährliche Studie zum Stand der Endgerätesicherheit – Ponemon Institute LLC Erscheinungsdatum: Januar 2020