Mehr Schnittstellen - mehr Schwachstellen
SAP-Infrastrukturen richtig absichern
Schlupfloch durch funktionale Erweiterungen
Um die digitale Transformation zu beschleunigen, können sich Unternehmen jedoch nicht nur auf verfügbare On-Premise- und Cloud-Lösungen verlassen. Wer schnell und flexibel auf neue Markt- und Kundenanforderungen reagieren will, muss seine Anwendungen immer wieder funktional erweitern. Eine Möglichkeit dazu bietet der DevOps-Ansatz, bei dem die Entwicklung und der IT-Betrieb eng zusammenarbeiten, um die Auslieferung hochwertiger Software zu beschleunigen. So können Unternehmen laufend kleinere Funktionen und Lösungen in Betrieb nehmen, die auf ihre individuellen Bedürfnisse zugeschnitten sind.
Eine andere Möglichkeit besteht für SAP-Anwender darin, die benötigte Funktion im SAP App Center direkt bei Partnern zu erwerben. So umfasst das SAP App Center derzeit über 1000 Erweiterungslösungen von Partnern für das gesamte SAP-Lösungsportfolio, darunter SAP S/4HANA sowie SAP Cloud Platform- und SAP Cloud-Lösungen. Bei steigender Nachfrage könnte das SAP App Center in der SAP-Welt bald eine Bedeutung haben, wie sie der App Store von Apple im Consumer-Bereich genießt.
Deutlicher Zuwachs an Komplexität
Allerdings gilt es auch hier, den Sicherheitsaspekt nicht aus dem Auge zu verlieren. Wenn Unternehmen die gewünschten Funktionen selbst programmieren, entstehen jedes Mal neue Rahmenbedingungen. Da SAP die Cloud Foundry, eine quelloffene "Platform as a Service" (PaaS) unterstützt, können Erweiterungen in jeder beliebigen Programmiersprache vorgenommen und an die SAP Cloud Platform angehängt werden. Andere Programmiersprachen, Betriebssysteme, Schnittstellen und Plattformen kommen hinzu.
In der Folge steigen die Komplexität der vorhandenen Systemlandschaft und damit auch insgesamt das Sicherheitsrisiko. Ähnlich sieht es bei Einkaufstouren im SAP App Center aus. Auch wenn SAP dafür sorgt, dass die angebotenen Partnerlösungen bestimmten Sicherheitsstandards genügen, laufen Unternehmen Gefahr, dass die Apps nicht dem eigenen Security-Konzept entsprechen.
Daher sollten alle funktionalen Erweiterungen mit geeigneten Werkzeugen auf mögliche Sicherheitslücken analysiert werden. Dies gilt für Partnerlösungen aus dem SAP App Center genauso wie für DevOps-basierte Eigenentwicklungen. Hier empfiehlt es sich für Unternehmen, von Anfang an Prüfwerkzeuge einzusetzen, die direkt in die Programmierumgebung integriert werden und einen hohen Automatisierungsgrad gewährleisten: von der Code-Entwicklung über die Test- und Build-Phase bis hin zu Laufzeit-Umgebung und Betrieb. In jeder Phase des Software-Produktlebenszyklus sorgen die Analysen dafür, dass die neuen Funktionen und Anwendungen sicher programmiert, konfiguriert und auf das Zielsystem gebracht werden können.
Neues Verständnis von IT-Security
"Neue technologische Herausforderungen wie Digitalisierung oder das Internet of Things (IoT) erfordern bei einer Vielzahl von IT-Verantwortlichen ein neues Verständnis von IT-Security", ist das Ergebnis einer aktuellen IDC-Studie. Zu diesem neuen Verständnis sollten in jedem Fall die Sicherung der Schnittstellen, die Einhaltung der Compliance und automatische Analysen funktionaler Erweiterungen zählen.