Warum Sie Sicherheitstests für geschäftskritische Anwendungen benötigen: Teil 1

Von:

29. März 2022

Dieser Blogbeitrag ist der erste Teil einer fünfteiligen Serie über die Bedeutung der Entwicklung sicherer, geschäftskritischer Anwendungen mithilfe von Anwendungssicherheitstests. Zwar setzen viele Unternehmen mehrschichtige Sicherheitsmodelle ein, um ihre kritischen Systeme zu schützen, doch wird der Sicherheit des Codes, aus dem die Anwendungen bestehen, nicht genügend Beachtung geschenkt. Die Ausnutzung einer Schwachstelle auf Codeebene kann es einem Angreifer ermöglichen, eine Vielzahl böswilliger Aktivitäten durchzuführen, darunter die Beeinträchtigung von Lieferketten und Fertigungsprozessen oder die Kompromittierung sensibler Daten. 

Geschwindigkeit ist die treibende Kraft hinter der Anwendungsentwicklung. Die Veröffentlichung oder Aktualisierung von Anwendungen in Rekordzeit geht jedoch oft auf Kosten der Sicherheit in der Entwicklung. Da Unternehmen innovativ sind und ihre Abläufe digitalisieren, entstehen dadurch neue Möglichkeiten, Schwachstellen in Anwendungen auszunutzen.

Jetzt herunterladen:5 Gründe, warum Sie Anwendungssicherheitstests für geschäftskritische SAP-Anwendungen benötigen

Grund 1: Bei der digitalen Transformation ein Gleichgewicht zwischen Sicherheit und Entwicklungsgeschwindigkeit finden
 

Digitale Transformation

Obwohl bereits im letzten Jahrzehnt Projekte zur digitalen Transformation umgesetzt wurden, hat sich die Digitalisierung der Kunden- und Lieferkettenprozesse in den letzten zwei Jahren beschleunigt. Die Dringlichkeit dieser Veränderungen führte dazu, dass Schnelligkeit Vorrang vor Sicherheit hatte, wodurch die Anwendungen, auf die sich Unternehmen im Tagesgeschäft verlassen, einem Risiko ausgesetzt wurden.

Projekte zur digitalen Transformation müssen zügig umgesetzt werden, um die Geschäftskontinuität zu gewährleisten und eine termingerechte Fertigstellung zu erreichen. Es kann jedoch eine Herausforderung sein, diese Projektfristen einzuhalten und den maßgeschneiderten Code hinter den Anwendungen schnell und sicher zu entwickeln. Übereilte Anwendungsentwicklungsprozesse können zu Schwachstellen im maßgeschneiderten Code führen, sei es aufgrund fehlender Zeit für die Integration von Sicherheitsmaßnahmen in den Prozess oder weil Teams einen langwierigen manuellen Code-Testprozess komplett überspringen. Diese ungelösten Probleme können den Betrieb stören und die fortlaufende Bereitstellung von Updates beeinträchtigen.

Cloud

Projekte zur digitalen Transformation, wie beispielsweise die Verlagerung geschäftskritischer SAP-Anwendungen in die cloud die wichtigsten Vermögenswerte eines Unternehmens. Daher gilt es, das Ausfallrisiko zu minimieren und sicherzustellen, cloud die Anwendungen in der cloud das Geschäft ohne Unterbrechungen weiterhin unterstützen. Während SAP traditionell auf Servern vor Ort betrieben wurde, verlagern viele Unternehmen SAP cloud Skalierbarkeit, Ausfallsicherheit und einfachen Interoperabilität mit anderen Systemen in die cloud . Die Migration einer geschäftskritischen Anwendung in eine von einem Drittanbieter gehostete cloud bedeuten, dass Schwachstellen innerhalb der Anwendungen mit der Anwendung mitmigriert werden, da nicht genügend Zeit bleibt, um Sicherheitsmaßnahmen in den Prozess zu integrieren. Sicherheitsaspekte müssen berücksichtigt werden, da die zunehmende Vernetzung zwischen lokalen und cloud sowie zwischen internen und Drittanbietersystemen das Risiko erhöht. Unternehmen sollten diese Schwachstellen und Compliance-Probleme vor der Migration beheben. Auf diese Weise kann das Unternehmen sicher sein, dass seine Anwendungen vor dem Umzug so sicher wie möglich sind und dass die Compliance während des gesamten Projekts gewahrt bleibt.

Sicherheit in den Entwicklungsprozess integrieren

Durch Anwendungssicherheitstests können Unternehmen Sicherheit in ihre Entwicklungsprozesse integrieren, um Probleme so schnell wie möglich zu erkennen und zu beheben. Die Herausforderung bei Anwendungssicherheitstests für SAP liegt jedoch im Mangel an Tools, die mit SAP-Systemen verwendet werden können. Zudem bedeuten Sicherheitstests für SAP-Anwendungen für die meisten Unternehmen manuelle Sicherheitsüberprüfungen, was angesichts eines durchschnittlichen SAP-Systems mit über zwei Millionen Codezeilen nicht praktikabel ist. Angesichts des hohen Zeitaufwands dieser Prozesse besteht die Gefahr, dass die Sicherheitsprüfung überstürzt oder ganz übersprungen wird, um das Projekt termingerecht abzuschließen. Das bedeutet, dass Unternehmen benutzerdefinierten SAP-Code und Anwendungen entwickeln, die zahlreiche Fehler enthalten können, was zu kostspieligen Ausfallzeiten und Störungen im Geschäftsbetrieb führen kann. 

Laut einer Ponemon-Studie gibt mehr als die Hälfte der Befragten an, dass es keine oder nur eine begrenzte Zusammenarbeit zwischen Entwicklungs- undSicherheitsteams gibt¹ und nur 43 % der Unternehmen darauf achten, dass Sicherheit bei der Entwicklung neuerAnwendungen im Vordergrund steht². Es ist offensichtlich, dass Sicherheit oft erst im Nachhinein berücksichtigt, erst spät in den Entwicklungsprozess integriert oder gar nicht bedacht wird. Bei DevSecOps ist jeder im Softwareentwicklungszyklus für die Sicherheit verantwortlich. Das Konzept basiert darauf, dass je früher Sicherheit in den Entwicklungsprozess integriert wird, desto früher werden Probleme gelöst und der Code schneller und „sauberer“ entwickelt, was zu kürzeren Entwicklungszeiten und sichereren Anwendungen führt.

Es gibt eine bessere Möglichkeit, Anwendungssicherheitstests für Ihre geschäftskritischen Anwendungen durchzuführen: Onapsis Control. Onapsis Control Anwendungssicherheitstests, einschließlich automatisierter Code-Analyse und Transportprüfung speziell für SAP-Umgebungen. Control Onapsis Control bieten automatisierte Bewertungen, Integrationen mit Entwicklungsumgebungen und Änderungsmanagementsystemen sowie schrittweise Anleitungen zur Behebung von Problemen, damit Anwendungsteams Probleme so schnell wie möglich erkennen und beheben können. Unternehmen profitieren von Automatisierungs- und Priorisierungsfunktionen, sodass sie Untersuchungs- und Behebungszeiten verkürzen, Entwicklungsbemühungen beschleunigen und Projekttermine einhalten können. Onapsis ermöglicht es Teams, „nach links zu verschieben“ und Sicherheit früher in ihren Entwicklungsprozess zu integrieren, wodurch negative Auswirkungen auf Systemsicherheit, Compliance, Leistung oder Verfügbarkeit verhindert werden. Für weitere Informationen laden Sie unser whitepaper herunter.

Weitere Gründe, warum Sie Sicherheitsprüfungen für SAP-Anwendungen benötigen

1,2 PonemonInstitute, „Reduzierung von Sicherheitsrisiken bei Unternehmensanwendungen: Es bleibt noch viel zu tun“; Februar 2021
Stichworte, , , ,
Über den Autor

Beth Barach

Als eine der führenden Marketingverantwortlichen bei Onapsis konzentriert sich Beth Barach darauf, die Kompetenz des Unternehmens in den Bereichen SAP-Sicherheit und threat intelligence zu stärken. Sie ist für die Konzeption und Umsetzung digitaler Kampagnen verantwortlich, die die Marktpräsenz der Marke steigern und die Vordenkerrolle des Unternehmens festigen. Ihre Arbeit trägt unmittelbar dazu bei, die SAP-Cybersicherheits-Community über neue Bedrohungen und bewährte Verfahren zu informieren, und festigt damit ihre Rolle bei der Unterstützung von Kunden beim Schutz ihrer Systeme. Beths strategischer Ansatz stellt sicher, dass die bahnbrechenden Forschungsergebnisse und Lösungen von Onapsis die richtigen Zielgruppen erreichen, von IT-Fachleuten bis hin zur Unternehmensführung.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen