SAP-Transporte: Setzen Sie im Security-Kontext nicht auf das Prinzip Hoffnung!

In der IT-Sicherheit dreht sich alles darum, Risiken zu minimieren und Schäden zu verhindern. Häufig verlassen sich Unternehmen im Sicherheitskontext jedoch auf ihre eigene Version des Prinzips Hoffnung: „Es wird schon gut gehen und nichts passieren.“ Viele hoffen, dass ihre Angriffsfläche zu klein und für Angreifer uninteressant ist, anderen fehlt schlicht das Know-how und sie wissen nicht, wie sie das Problem angehen sollen. Die Folge: Oft passiert gar nichts. Doch die Praxis zeigt: Untätigkeit wird früher oder später bestraft. Die Frage ist längst nicht mehr ob, sondern wann ein System angegriffen wird. Ein gutes SAP-Transportmanagement trägt wesentlich zur Risikominimierung bei.

Wozu dienen SAP-Transporte und warum bergen sie Risiken?

Transporte sind im SAP-Umfeld unverzichtbar und zentraler Bestandteil der Softwareentwicklung. Sie dienen dazu, Änderungen und Erweiterungen an SAP-Systemen von einer Entwicklungs- in eine Test- oder Produktivumgebung zu übertragen. Bestandteile eines Transports sind beispielsweise Programme, Tabellen, Änderungen an Objekten oder Konfigurationseinstellungen. Sie ermöglichen es, Softwareänderungen sicher und effizient durchzuführen und gleichzeitig die Integrität und Stabilität des Systems zu gewährleisten – ohne Transporte ist ein SAP-System nicht administrierbar.

Der Einsatz von Transporten birgt jedoch auch Risiken, da sie unkontrolliert oft unterschätzte Einfallstore für die Einschleusung schadhafter oder risikobehafteter Objekte bieten.

Kritische Inhalte von Transporten sind beispielsweise:

• Bösartige Programme oder Skripte, die eine Hintertür in das System öffnen oder die vollständige Kontrolle über das System erlangen können.
• Konfigurationsänderungen, die eine Schwachstelle im System erzeugen oder das System anfällig für Angriffe machen.
• Änderungen an Standardtransaktionen oder -programmen, die zu einem unvorhergesehenen Verhalten des Systems oder sogar zu einem Totalausfall führen können.
• Sicherheitskritische Einstellungen, die versehentlich oder absichtlich geändert wurden, wie z.B. Passwörter, Berechtigungen oder Rollen.
• Exploits, die speziell auf SAP-Systeme zugeschnitten sind und sich gezielt auf Schwachstellen im System ausnutzen.

Das Prinzip Hoffnung – fatal im Sicherheitskontext

Um Risiken zu minimieren, schaffen Sie Bewusstsein und untersuchen Sie alle Transporte auf ihren Inhalt, noch bevor sie in das System gelangen. Achten Sie darauf, dass der Code immer sowohl im Transport als auch im System gescannt wird. Stellen Sie sicher, dass Ihre Mitarbeiterinnen und Mitarbeiter über ausreichendes Know-how verfügen, um mit der Problematik umgehen zu können und bieten Sie entsprechende Schulungen an. Im Idealfall sollten Sie eine Transport- und Codierungskontrolle auf allen Ebenen einrichten: von der Codegenerierung über die Transporterstellung bis hin zum Einspielen der Transporte in die Systeme. Wenn Sie sich aller Risiken bewusst sind, die sich aus unkontrolliertem Transport und Coding ergeben, und frühzeitig entsprechende Maßnahmen ergreifen, können Sie hier ein höchstmögliches Maß an Sicherheit gewährleisten.

Toolbasierte Lösungen bieten Unterstützung

Mit den SAP-Standards stoßen Sie bei der Erkennung möglicher Bedrohungen schnell an Ihre Grenzen. Die Pathlock Software setzt auf die Standardprozesse auf und geht einen entscheidenden Schritt weiter. Mit ihr sind Sie in der Lage, Risiken von Anfang an und in Echtzeit zu erkennen und zu blockieren. Unsere Transportanalysen sorgen in Kombination mit unserem ABAP Code Scanning und unserer SAP-Echtzeitanalyse für einen sicheren SAP Transport Control Prozess und damit für eine Minimierung Ihres Gesamtrisikos.

Findet dieses Thema auch in Ihrem Unternehmen zu wenig Beachtung? Für weitere Informationen vereinbaren Sie gerne einen Beratungstermin oder besuchen Sie unser Webinar Archiv.

Raphael Kelbert, Product Management (Pathlock Deutschland)