Information und Bildungsarbeit von und für die SAP-Community

Wilder Westen BTP – und wo bleibt die SAP-Security?

Viele SAP-Kunden sind mit der Business Technology Platform derzeit in der Early-Adopter-Phase einzelner Produktivszenarien. Jenseits etablierter SAP-Prozesse gilt es dabei die Governance und damit das Thema SAP-Security unter Kontrolle zu bekommen.
Christoph Nagy, SecurityBridge
25. Januar 2024
avatar

Als neue Entwicklungsumgebung für SAP-Kunden bietet die Business Technology Platform (BTP) ungeahnte Variationsmöglichkeiten und glänzt dabei durch eine starke Integration zum SAP-Produkt. Die Adaption der neuen Technologieplattform in Kundenunternehmen ist rapide und es herrscht eine Art Wilder-Westen-Aufbruchstimmung.

Von Governance, festen Strukturen und Best Practices ist noch wenig zu sehen und das ist aus Gesichtspunkten der Informationssicherheit heraus erst einmal gefährlich. Es gibt Kunden, die von heute auf morgen, ohne vorherige Prüfung – Wer darf was? Ist das notwendig? Et cetera. – zahlreiche BTP-Tenants an ihr Produktivsystem angeschlossen vorfinden. Oft ist dabei überhaupt nicht geklärt, wo die Verantwortlichkeiten liegen, ob alle Tenants produktiv genutzt werden und was die einzelne fachliche Anforderung dahinter ist. Das ist die erste Anlaufhürde.

Die zweite Hürde baut sich auf, wenn Governance-Richtlinien einmal definiert sind. Ist geklärt, wer für BTP-Tenants verantwortlich ist, wer sie anlegen darf und wer wann einen Tenant genehmigt, dann muss frei definiert werden, wo man den Tenant anschließt.

Auf ein existierendes Staging-Konzept kann man hier nicht zurückgreifen, denn die in der Vergangenheit etablierten Best Practices in SAP funktionieren in der BTP-Welt nur bedingt.

Abseits von neuen Herausforderungen im Identity- und Access-Bereich (das heißt der Klärung, wie die User auf die Systeme kommen, wie und wo sie provisioniert und berechtigt werden) gilt es auch für die etablierten BTP-Prozesse die Frage zu stellen, ob diese auch eingehalten werden und langfristig wirksam sind.

Dies erfolgt mittels eines internen Kontrollsystems (IKS), welches den neuen Prozess kontinuierlich auf die Probe stellt und zum Beispiel validiert, ob nur eine bestimmte Anzahl Administratoren für den globalen BTP-Account existiert. Dass SAP das Thema Sicherheit für die BTP ernst nimmt, zeigen nicht zuletzt die bereits veröffentlichten 103 Sicherheitsempfehlungen.

BTP-Guidelines

Nach Klärung der Berechtigungen und der sicheren Konfiguration geht es schließlich darum, was in der BTP inhaltlich geschieht. Reine Abap/Steampunk-Programmierung ist dort kein Muss mehr, man kann u. a. in Python entwickeln. Hinzu kommen Fiori-Entwicklungen – auch hier also Wilder Westen im positiven Sinne, also Möglichkeiten der Verwirklichung ohne Grenzen.

Stärke der BTP sind ihre Anbindung und Integration zum SAP-Flaggschiffprodukt S/4 Hana. Im Prinzip aber handelt es sich bei ihr um eine freie Entwicklungsplattform – mit den für solche geltenden Herausforderungen: Man benötigt einen Prozess, ein Regelwerk und Guidelines für sicheres Coding. Es müssen Prüfmechanismen entwickelt werden, über die sich Abweichungen erkennen lassen. Wie Monitoring und Governance-Reviews im Einzelnen auszugestalten sind, dafür gilt es zunächst Verantwortlichkeiten zu definieren und Prozesse zu etablieren, ganz unabhängig von einer Sicherheitsplattform wie SecurityBridge. Dies ist die Hauptaufgabe, um für SAP-Sicherheit auch auf der BTP zu sorgen. Erst im weiteren Schritt folgen dann die Einrichtung des BTP-Tenants und die Überprüfung, ob es dort Einstellungen gibt, die potenzielle Einfallstore darstellen. Hier kann dann eine Sicherheitslösung beim Monitoring unterstützen, indem sie Transparenz schafft und dabei hilft, kritische Aktivitäten zu erkennen und im Unternehmensprozess sofort entsprechend zu reagieren. 

So zukunftsweisend die Technologie also ist, so groß sind die (sicherheitsbezogenen) Herausforderungen, die mit ihrer Nutzung einhergehen. Dafür braucht es erst einmal neue Regeln und Prozesse – dann ist SAP-Security auch in der Business Technology Platform gewährleistet. Das wird umso wichtiger, wenn aus den (aktuellen Umfragen zufolge) jetzt zehn demnächst einmal 50 oder mehr Prozent SAP-User werden, die auf der neuen Plattform Erweiterungen bauen und produktiv nutzen.

securitybridge.com

avatar
Christoph Nagy, SecurityBridge

Christoph Nagy ist Geschäftsführer bei SecurityBridge


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.