SAP Clean Core
„Clean Core“ ist ein strategischer Architekturansatz, bei dem der Schwerpunkt auf der Straffung eines SAP-Kernsystems liegt, indem unnötiger oder redundanter benutzerdefinierter Code entfernt und der verbleibende wesentliche benutzerdefinierte Code optimiert wird. Dies ist für SAP-Architektur- und Sicherheitsteams von entscheidender Bedeutung, da stark angepasste ERP-Systeme technische Schulden verursachen, Software-Upgrades erschweren und die Angriffsfläche vergrößern. Durch die Umsetzung dieser Strategie können Unternehmen einfachere Upgrades, Systemstabilität, beschleunigte Innovation und optimierte Gesamtbetriebskosten sicherstellen. Um diesen Zustand aufrechtzuerhalten, muss die Sicherheit als stiller Wegbereiter des „Clean Core“ fungieren und nicht als letzte Hürde vor der Bereitstellung.
So entwickeln Sie eine klare Kernstrategie
Die Umstellung auf ein „Clean Core“-Modell erfordert einen systematischen Ansatz, um bestehende Anpassungen von der zentralen ERP-Umgebung zu entkoppeln und die neuen Integrationspunkte abzusichern. Die Umstellung auf die cloud eine „Shift-Left“-Mentalität, bei der Sicherheit bereits ab der allerersten Codezeile integriert wird.
Voraussetzungen
- Eine umfassende Bestandsaufnahme aller vorhandenen benutzerdefinierten ABAP-Codes und Systemanpassungen.
- Zugriff auf die SAP Business Technology Platform BTP) zum Hosten entkoppelter Erweiterungen.
- Plattformen für erweiterte Anwendungssicherheitstests (AST), die umfassende Bibliotheken mit spezialisierten Sicherheitsprüfungen bereitstellen und nicht nur einfache Syntax-Scanner.
Der Sanierungsablauf
- Code-Bewertung: Die bestehende SAP-Landschaft wird analysiert, um festzustellen, welche kundenspezifischen Anpassungen stillgelegt, durch Standardfunktionen von SAP ersetzt oder umgestaltet werden können.
- Entkopplung und Migration: Verlegen Sie erforderliche kundenspezifische Anwendungen und Erweiterungen aus dem ERP-Kern auf SAP BTP.
- Sichere Integration: Setzen Sie sichere Kommunikationsprotokolle durch und verhindern Sie den unbefugten Datenaustausch an Integrationspunkten, indem Sie moderne, sichere Technologien anstelle von selbst entwickelten, veralteten Konnektoren einsetzen.
- Kontinuierliche Governance: Setzen Sie automatisierte Tools ein, um Sicherheitsprobleme frühzeitig zu erkennen, die Überprüfung der Code-Integrität zu automatisieren und das Compliance-Management zu vereinfachen.
Überprüfungsschritt
Führen Sie im Rahmen eines SAP-S/4HANA-Transformationsprojekts einen automatisierten Architektur-Scan durch, um sicherzustellen, dass Erweiterungen standardmäßig „Clean Core“-konform sind und keine nicht autorisierten ABAP-Änderungen in der Kernsystemschicht vorhanden sind.
Häufig gestellte Fragen
Warum ist ein „Clean Core“ für SAP S/4HANA erforderlich? SAP S/4HANA nutzt regelmäßige, cloud Updates. Ist das Kernsystem stark angepasst, erfordert jedes Update umfangreiche Regressionstests, um sicherzustellen, dass der benutzerdefinierte Code weiterhin einwandfrei funktioniert. Ein „Clean Core“ ermöglicht es Unternehmen, Hersteller-Updates schnell und sicher ohne Betriebsunterbrechungen zu implementieren, wodurch die Kosten für zukünftige Upgrades erheblich gesenkt werden.
Was sind die wichtigsten Sicherheitslücken bei einer „Clean Core“-Strategie? Wenn Unternehmen eine „Clean Core“-Strategie umsetzen, teilt sich die Angriffsfläche in zwei unterschiedliche Bereiche auf: die rasante Innovation bei SAP BTP und die tief verwurzelte Komplexität von benutzerdefiniertem ABAP-Code. Eine übersehene Schwachstelle in einer BTP-Anwendung kann kritische Geschäftsprozesse unbeabsichtigt gefährden. Gleichzeitig kann bereits eine einzige fehlerhafte ABAP-Zeile SAP_ALL-Berechtigungen gewähren, wodurch Angreifer Compliance-Kontrollen umgehen und Produktionsdatensätze verändern können.
Wie schaffen es Unternehmen, ihren Kern auf Dauer sicher zu halten? Unternehmen setzen automatisierte DevSecOps-Prozesse und Anwendungssicherheitstests (AST) ein, um die Einhaltung von Vorschriften kontinuierlich sicherzustellen. Mithilfe von Lösungen wie Onapsis Control, das über 600 spezialisierte Testfälle bereitstellt, können Teams SAP-Transporte automatisch ablehnen, die versuchen, das Kernsystem zu verändern. Dieser Ansatz verlagert die Sicherheit nach vorne und ermöglicht so die Erkennung und Behebung von Schwachstellen, bevor diese Auswirkungen auf die Umgebung haben.
