Wilder Westen BTP – und wo bleibt die SAP-Security?
Als neue Entwicklungsumgebung für SAP-Kunden bietet die Business Technology Platform (BTP) ungeahnte Variationsmöglichkeiten und glänzt dabei durch eine starke Integration zum SAP-Produkt. Die Adaption der neuen Technologieplattform in Kundenunternehmen ist rapide und es herrscht eine Art Wilder-Westen-Aufbruchstimmung.
Von Governance, festen Strukturen und Best Practices ist noch wenig zu sehen und das ist aus Gesichtspunkten der Informationssicherheit heraus erst einmal gefährlich. Es gibt Kunden, die von heute auf morgen, ohne vorherige Prüfung – Wer darf was? Ist das notwendig? Et cetera. – zahlreiche BTP-Tenants an ihr Produktivsystem angeschlossen vorfinden. Oft ist dabei überhaupt nicht geklärt, wo die Verantwortlichkeiten liegen, ob alle Tenants produktiv genutzt werden und was die einzelne fachliche Anforderung dahinter ist. Das ist die erste Anlaufhürde.
Die zweite Hürde baut sich auf, wenn Governance-Richtlinien einmal definiert sind. Ist geklärt, wer für BTP-Tenants verantwortlich ist, wer sie anlegen darf und wer wann einen Tenant genehmigt, dann muss frei definiert werden, wo man den Tenant anschließt.
Auf ein existierendes Staging-Konzept kann man hier nicht zurückgreifen, denn die in der Vergangenheit etablierten Best Practices in SAP funktionieren in der BTP-Welt nur bedingt.
Abseits von neuen Herausforderungen im Identity- und Access-Bereich (das heißt der Klärung, wie die User auf die Systeme kommen, wie und wo sie provisioniert und berechtigt werden) gilt es auch für die etablierten BTP-Prozesse die Frage zu stellen, ob diese auch eingehalten werden und langfristig wirksam sind.
Dies erfolgt mittels eines internen Kontrollsystems (IKS), welches den neuen Prozess kontinuierlich auf die Probe stellt und zum Beispiel validiert, ob nur eine bestimmte Anzahl Administratoren für den globalen BTP-Account existiert. Dass SAP das Thema Sicherheit für die BTP ernst nimmt, zeigen nicht zuletzt die bereits veröffentlichten 103 Sicherheitsempfehlungen.
BTP-Guidelines
Nach Klärung der Berechtigungen und der sicheren Konfiguration geht es schließlich darum, was in der BTP inhaltlich geschieht. Reine Abap/Steampunk-Programmierung ist dort kein Muss mehr, man kann u. a. in Python entwickeln. Hinzu kommen Fiori-Entwicklungen – auch hier also Wilder Westen im positiven Sinne, also Möglichkeiten der Verwirklichung ohne Grenzen.
Stärke der BTP sind ihre Anbindung und Integration zum SAP-Flaggschiffprodukt S/4 Hana. Im Prinzip aber handelt es sich bei ihr um eine freie Entwicklungsplattform – mit den für solche geltenden Herausforderungen: Man benötigt einen Prozess, ein Regelwerk und Guidelines für sicheres Coding. Es müssen Prüfmechanismen entwickelt werden, über die sich Abweichungen erkennen lassen. Wie Monitoring und Governance-Reviews im Einzelnen auszugestalten sind, dafür gilt es zunächst Verantwortlichkeiten zu definieren und Prozesse zu etablieren, ganz unabhängig von einer Sicherheitsplattform wie SecurityBridge. Dies ist die Hauptaufgabe, um für SAP-Sicherheit auch auf der BTP zu sorgen. Erst im weiteren Schritt folgen dann die Einrichtung des BTP-Tenants und die Überprüfung, ob es dort Einstellungen gibt, die potenzielle Einfallstore darstellen. Hier kann dann eine Sicherheitslösung beim Monitoring unterstützen, indem sie Transparenz schafft und dabei hilft, kritische Aktivitäten zu erkennen und im Unternehmensprozess sofort entsprechend zu reagieren.
So zukunftsweisend die Technologie also ist, so groß sind die (sicherheitsbezogenen) Herausforderungen, die mit ihrer Nutzung einhergehen. Dafür braucht es erst einmal neue Regeln und Prozesse – dann ist SAP-Security auch in der Business Technology Platform gewährleistet. Das wird umso wichtiger, wenn aus den (aktuellen Umfragen zufolge) jetzt zehn demnächst einmal 50 oder mehr Prozent SAP-User werden, die auf der neuen Plattform Erweiterungen bauen und produktiv nutzen.