SAP-Webinar zur Transportsicherheit: Transformation mit weniger Risiko und mehr Effizienz

Mein Name ist Andreas Gloege, und ich bin Vice President of North American Sales Engineering bei Onapsis. Nach mehr als 25 Jahren Erfahrung in der Zusammenarbeit mit und für SAP habe ich auf zahlreichen Konferenzen weltweit darüber gesprochen, wie wichtig es ist, Ihre SAP-Systeme zu sichern – sowohl im Rahmen regulärer Change-Management-Prozesse als auch bei großen Transformationsprojekten wie einer cloud oder der bevorstehenden S/4HANA-Migrationsfrist.

Falls Sie nicht an meinem jüngsten Webinar „SAP Transport Security: Transformation mit weniger Risiko und mehr Effizienz“ teilnehmen konnten, fragen Sie sich vielleicht, wie Sie Ihre SAP-Umgebung beim Überführen von Änderungen in die Produktion schützen können. Ein perfektes Beispiel aus der Praxis wäre, wenn einige Mitarbeiter in Ihrem Unternehmen auf ihren Mobilgeräten auf Geschäftsprozesse zugreifen möchten. Letztendlich wird dieser spezifische Geschäftsprozess über die SAP-Anwendung ausgeführt, der Zugriff erfolgt jedoch über das Smartphone.

Was ist bei der Umsetzung einer solchen Änderung in SAP zu beachten?

Hinter den Kulissen sind zahlreiche Schritte erforderlich, um solche Änderungen umzusetzen. Hier sehen Sie eine grafische Darstellung, wie Änderungen durch die SAP-Landschaft bis hin zur Entwicklung gelangen:

Nachdem der Änderungsantrag eingegangen ist, durchlaufen wir die Entwicklungsphase. Sobald die Tests abgeschlossen sind, wird der Transport freigegeben und anschließend in das Zielsystem importiert – in diesem Fall das QA-System, wo wir Funktionstests, Regressionstests, Leistungstests sowie alle Arten von Benutzerakzeptanztests usw. durchführen können. Sobald die Tests erfolgreich abgeschlossen und überprüft wurden, übernehmen wir diese Änderungen in die Produktion (wiederum über einen Transportimport). Dies ist natürlich eine sehr allgemeine und stark vereinfachte Darstellung dessen, wie Änderungen von der Entwicklung in die Produktion gelangen, aber dennoch lässt sich die entscheidende Rolle erkennen, die Transporte in diesem Prozess spielen.

Verkehr: Unverzichtbar für den Wandel, birgt aber auch Gefahren

Während Produktionssysteme und die darin gespeicherten kritischen Personal-, Kunden-, Finanz- und Produktdaten in der Regel streng gesichert sind, bieten Transporte einen gefährlichen Zugang zu diesen kritischen Systemen. Indem sie die im Allgemeinen schwächere Sicherheit von Entwicklungssystemen ausnutzen, könnten böswillige Akteure etwas erstellen, was ihnen in der Produktion normalerweise nicht möglich wäre, und es dann in einem Transport verstecken, um es zu übertragen. Da die meisten Unternehmen im Durchschnitt etwa 170 Transporte pro Monat verzeichnen, eröffnet dies zahlreiche Möglichkeiten für Schwachstellen, darunter Datenspionage oder -manipulation. 

Nehmen wir zum Beispiel an, das aktuelle Gehalt eines Mitarbeiters ist im Produktionssystem auf 50.000 $ festgelegt. Ich bin der Entwickler; ich programmiere in der Entwicklungsumgebung, wo diese Daten keine Rolle spielen, aber ich kann das in unserem Entwicklungssystem festgelegte Gehalt anpassen. Ich könnte es ganz einfach auf 60.000 $ erhöhen – eine schöne Steigerung um 20 % –, aber da es sich nur um die Entwicklungsumgebung handelt, spielt das eigentlich keine Rolle … oder doch? Ich kann einen Transport nutzen, um diese Änderung in das Produktionssystem zu übertragen, und plötzlich hat dieser Mitarbeiter ein höheres Gehalt! Und das ist nicht nur schlecht, sondern es kommt noch schlimmer: Im Importprotokoll lässt sich diese Änderung sehr leicht entfernen, sodass alle Spuren davon verschwinden und keine Informationen in der Objektliste zurückbleiben.

Ob es sich nun um Manipulationen wie im obigen Beispiel, um Spionage oder um Sabotage handelt – Transporte bergen erhebliche Risiken für die SAP-Sicherheit. Und den meisten Unternehmen ist noch nicht bewusst, dass das SAP-Transportsystem mit extrem hohen Sicherheitsrisiken verbunden ist.

Um mehr über die versteckten Gefahren von Transports zu erfahren, wie diese Risiken für Ihre SAP-Landschaft mit sich bringen und wie Sie Sicherheitsprüfungen in Ihren Änderungsmanagementprozess integrieren können,sehen Sie sich jetzt das On-Demand-Webinar an.