SAP-Risiken lauern im eigenen ABAP-Code

Doch was können SAP-Kunden tun, um ihren selbstgeschriebenen Code von Fehlern zu bereinigen und künftige Risiken zu vermeiden? Ein Fahrplan nennt die wichtigsten Stationen:

1. Scannen Sie Ihre SAP-Produktivsysteme auf schadhaften Kundencode! Dazu gibt es spezielle Prüf-Tools, die die Fehler und Risiken in Ihrem ABAP-Code automatisch identifizieren und, soweit möglich, korrigieren. Im Durchschnitt dauert es keine zwei Stunden, um Klarheit über die Ist-Situation in einem SAP-System zu gewinnen.

2. Sichern Sie Ihre Code-Qualität durch eine langfristige Strategie und wirksame Maßnahmen, wie

• ABAP-Sicherheitsschulungen für die Entwickler, um Fehler schon bei der Programmierung auszumerzen. Dazu bieten sich der Prüfleitfaden der Deutschsprachigen SAP-Anwendergruppe e. V. (DSAG) oder die Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) an;

• Scan aller neuen ABAP-Erweiterungen, bevor sie produktiv gehen;

• Aufnahme von Code-Qualitätsstandards in die Verträge mit Zulieferern;

• Zeitnahes Einspielen von Sicherheitspatches;

• Monitoring aller SAP-Systeme, um Angriffe möglichst zeitnah zu erkennen;

• Definition geeigneter Notfallpläne.

HANA bietet Neuanfang

Jeder SAP-Kunde sollte prüfen, ob seine aktuellen Maßnahmen zur Sicherung der Anwendungen tatsächlich sinnvoll und ausreichend sind. In der Praxis ist immer wieder zu beobachten, dass Unternehmen meinen, wenn die Rollen und Berechtigungen für die Mitarbeiter nur richtig konfiguriert sind, stellt ihr SAP-System eine uneinnehmbare Festung dar. Dies ist leider falsch, da solche Maßnahmen durch fehlerhaften Code unterlaufen werden.