Sichere SAP-Anwendungsentwicklung im Tempo der digitalen Transformation

Von:

8. Juni 2022

Geschäftskritische Anwendungen wie SAP tragen zum Betrieb von Unternehmen bei und unterstützen Finanzsysteme, Personalmanagement, Lieferketten, Lieferantenbeziehungen und vieles mehr. Angesichts der Tatsache, dass 94 % der 500 weltweit größten Unternehmen SAP nutzen und 87 % des weltweiten Umsatzes über diese Systeme abgewickelt werden, hat die Sicherheit dieser Anwendungen höchste Priorität. In den letzten zehn Jahren haben wir einen Anstieg von Cyberangriffen beobachtet, die auf diese Geschäftsanwendungen abzielen. Diese Angriffe können massive geschäftliche Folgen haben: So belaufen sich die durchschnittlichen Kosten für Ausfallzeiten von ERP-Anwendungen auf über 50.000 US-Dollar pro Stunde, und die durchschnittlichen jährlichen Kosten für Betriebsunterbrechungen aufgrund von Compliance-Verstößen liegen bei rund 5Millionen US-Dollar1.

Jetzt ansehen:Sichere SAP-Entwicklung im Tempo der digitalen Transformation

Die Entwicklung sicherer SAP-Anwendungen kann komplex sein … muss es aber nicht

Onapsis ist seit 2009 im Bereich des Schutzes kritischer ERP-Systeme tätig, daher wissen wir aus erster Hand, wie anspruchsvoll die sichere Entwicklung von SAP-Anwendungen sein kann. Eine der Herausforderungen ist das beschleunigte Tempo der digitalen Transformation. Die sichere Entwicklung von SAP-Anwendungen im Tempo des Geschäftsbetriebs ist aufwendig. Für CFOs tritt die Sicherheit hinter der Zweckmäßigkeit zurück, weshalb sie Budgets von der Sicherheit auf andere Initiativen verlagern. Gleichzeitig haben Initiativen zur digitalen Transformation für CEOs und CIOs eine höhere Priorität, doch angesichts reduzierter Sicherheitsausgaben laufen Unternehmen Gefahr, ihre Geschäftsprozesse auf Kosten der Einführung ausnutzbarer Schwachstellen in zentralen Geschäftsanwendungen zu transformieren. 

Es mangelt an Tools, die eine sichere SAP-Anwendungsentwicklung ausreichend unterstützen – und zwar nicht nur in Bezug auf SAP-spezifische Komponenten, sondern auch hinsichtlich der Integration in relevante Entwicklungs- und Änderungsmanagement-Umgebungen. Sicherheitstests für SAP bedeuten daher manuelle Sicherheitsüberprüfungen. Da ein durchschnittliches SAP-System jedoch über zwei Millionen Zeilen an benutzerdefiniertem Code enthält und die meisten Unternehmen mehrere Systeme betreiben, sind manuelle Überprüfungen nicht gerade praktikabel. Angesichts des hohen Zeitaufwands manueller Überprüfungsprozesse und des Mangels an Automatisierungstools besteht die Gefahr, dass die Sicherheitsprüfung im Interesse einer termingerechten Projektabwicklung überstürzt oder ganz übersprungen wird.

Laut einer PWC-Pulse-Umfrage aus dem Jahr 2020 sinken die Unternehmensausgaben für Sicherheit, währenddie Ausgaben für Personalsteigen2. Das Outsourcing von Software ist aufgrund des Fachkräftemangels und der aktuellen Marktbedingungen bei der Einstellung und Bindung von Fachkräften ein Trend, der in naher Zukunft weiter zunehmen wird. Auch die Auslagerung der SAP-Entwicklung ist erforderlich, um Anwendungen im Tempo des Geschäftsbetriebs zu entwickeln. Viele Unternehmen haben jedoch Schwierigkeiten bei der Abstimmung zwischen ihren bestehenden internen Entwicklungs- und Sicherheitsteams, wobei mehr als die Hälfte der Unternehmen angibt, dass die Zusammenarbeit zwischen Entwicklungs- undSicherheitsteams nur begrenzt oder gar nicht vorhandenist³. Wenn interne Sicherheits- und Entwicklungsteams nicht aufeinander abgestimmt sind, wird die Einbindung ausgelagerter Entwicklung das Problem nur noch verschärfen. Die sichere Entwicklung und das Testen von Anwendungen während des gesamten SAP-Anwendungsentwicklungsprozesses wird noch komplexer, wenn ausgelagerte Entwickler und deren Code in den Zyklus eingebunden werden. 

Ein besserer Ansatz, der den heutigen Herausforderungen gerecht wird

Es bedarf eines besseren Ansatzes, um gezielt die Herausforderungen zu bewältigen, die sich aus dem Spagat zwischen Geschwindigkeit und Weiterentwicklung sowie aus dem Umgang mit den Risiken ergeben, die mit der Code-Entwicklung für SAP-Systeme verbunden sind.

  • Beschleunigte Zyklen: Unternehmen müssen ein Gleichgewicht zwischen der Geschwindigkeit der SAP-Entwicklung und der Sicherheit finden: Sie sollten diese früher in den Prozess einbinden, Automatisierung nutzen und über zeitnahe, leicht verständliche Leitlinien zur Risikominderung verfügen. 
  • Umfassende Transparenz: Probleme im benutzerdefinierten Code müssen vor der Übernahme in die Produktion erkannt und behoben werden, um Zeit und Geld zu sparen. Unternehmen sollten zudem Einblick in das Ausmaß und den Schweregrad von Code-Risiken haben, um Prioritäten bei der Behebung zu setzen.
  • Teamkoordination: Es muss ein solides Berichtswesen vorhanden sein, um Entwicklungsprojekte unternehmensweit aufeinander abzustimmen und sicherzustellen, dass Projekte termin- und budgetgerecht bleiben. Ein effektives Berichtswesen bringt Sicherheitsteams, Entwicklungsteams und Führungskräfte zusammen.

Onapsis Control dabei helfen 

Onapsis Controlbietet Anwendungssicherheitstests für SAP-Anwendungen, einschließlich der Möglichkeit, intern oder von Drittanbietern erstellten benutzerdefinierten Code und Transporte zu überprüfen, sowie eine automatisierte Behebung häufiger Codefehler mit einem einzigen Klick. Es bietet automatisierte Bewertungen, Integrationen mit Entwicklungsumgebungen und Änderungsmanagementsystemen sowie schrittweise Anleitungen zur Fehlerbehebung, damit Anwendungsteams Probleme so schnell wie möglich identifizieren und beheben können. Unternehmen profitieren von Automatisierungs- und Priorisierungsfunktionen, wodurch sie Untersuchungs- und Behebungszeiten verkürzen, Entwicklungsarbeiten beschleunigen und Projekttermine einhalten können. Onapsis Control Teams, Probleme schnell zu beheben – bevor sie sich negativ auf die Systemsicherheit, Compliance, Leistung oder Verfügbarkeit auswirken. 

  • Code automatisch analysieren und Unternehmensrisiken minimieren: Onapsis Control Millionen von Codezeilen in wenigen Minuten, um die Zeit bis zum Auffinden von Fehlern zu verkürzen und die Entwicklungszeiten zu beschleunigen. Unser Code-Scanning ist sowohl für Entwickler in den Sprachen ABAP, HANA und Fiori ausgelegt als auch mit allen SAP-Entwicklungstools kompatibel. Sie können Control nutzen Control ABAP-Umgebungen vor der Migration zu S/4HANA Control bereinigen, sowie Control S/4HANA-Umgebungen sauber Control halten. Onapsis verfügt zudem über eine große Anzahl von Testfällen, die den Code auf die Wahrscheinlichkeit des Auftretens eines Problems sowie auf die Art des Problems scannen. Qualitätsberichte lassen sich einfach erstellen und sind leicht verständlich, sodass sie sowohl Führungskräften als auch Sicherheits- und Entwicklungsteams vorgelegt werden können, um sicherzustellen, dass Entwicklungsprojekte planmäßig verlaufen. 
  • Transporte identifizieren und blockieren, um den Import von Sicherheitslücken zu verhindern: Der Einblick in SAP-Transporte ist schwierig, und sobald diese aus der Entwicklung importiert wurden, ist es sowohl zeit- als auch kostenintensiv, sie neu zu schreiben und erneut zu importieren, falls der Transport Probleme verursacht. Onapsis Control Benutzern, Einblick in Transporte zu gewinnen und sich in allen Phasen vor Risiken zu schützen.
  • Fehler in umfangreichen benutzerdefinierten Codebasen automatisch erkennen und beheben: Mit unserer Ein-Klick-Lösung können Sie eine Workload auf die häufigsten Fehler im Code scannen und diese Fehler mit einem Klick automatisch beheben. Es ist auch möglich, eine Simulation durchzuführen, um die Auswirkungen der Korrekturen vor der automatischen Behebung in einer Vorschau anzuzeigen.

Erfahren Sie mehr darüber, wie Onapsis Control Tests zur Anwendungssicherheit Control , einschließlich automatisierter Code-Analyse und Transportüberprüfung speziell für SAP-Umgebungen. In dieser On-Demand-Veranstaltung berichtet Curtis über bewährte Verfahren zum Umgang mit den miteinander verknüpften Risiken und Herausforderungen der heutigen beschleunigten Entwicklungszyklen.

1 https://www.ascentregtech.com/blog/the-not-so-hidden-costs-of-compliance/

2 PwC COVID-19 CFO-Umfrage, Mai 2020

3. Verringerung von Sicherheitsrisiken bei Unternehmensanwendungen: Es bleibt noch viel zu tun – Ponemon Institute, Februar 2021

Stichworte, , , ,
Über den Autor

Curtis Parker

Curtis Parker ist eine erfahrene Führungskraft mit umfassender Erfahrung in den Bereichen Finanzdienstleistungen und Technologie. Mit den Schwerpunkten Betriebsabläufe, Strategie und Führung hatte Curtis verschiedene Schlüsselpositionen inne, in denen er die Effizienz und das Wachstum von Unternehmen vorangetrieben hat. Seine Fachkenntnisse reichen von der Unternehmensumgestaltung über Prozessoptimierung bis hin zur Kundenbindung, was ihn zu einer wertvollen Ressource bei der Umsetzung von Geschäftslösungen macht, die sowohl operative als auch strategische Ziele erfüllen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen