Der Gamechanger für ERP-Softwaresicherheit So funktioniert DevSecOps für SAP

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

Fujitsu Technology Solutions GmbH

Insider Research

Kriminelle zielen immer öfter auf unternehmenskritische Anwendungen wie zum Beispiel ERP-(SAP)-Systeme weil sich solche Daten besonders lukrativ verkaufen lassen. Das ist für SAP-Kunden insofern ein Problem, als SAP-Systeme komplex und schwer zu patchen sind. Noch dazu sind sie für die IT-Security-Teams im Unternehmen oft nicht leicht durchschaubar.

DevSecOps für SAP könnte vor dem Hintergrund der steigenden Cyber-Risiken für ERP-Systeme ein neuer Ansatz für höhere Sicherheit im SAP-Kontext sein. Das Kunstwort (es steht für Development, Security und Operations) repräsentiert ein Konzept, das den DevOps-Gedanken um die Aspekte der Softwaresicherheit ergänzt. Damit verbindet sich eine neue Denkweise, die jede Person im Unternehmen für die Sicherheit verantwortlich macht.

Traditionelle Sicherheit steht nicht selten im Widerspruch zu den Unternehmenszielen, weswegen wichtige Sicherheitsmaßnahmen unterbleiben. Unwissenheit ist natürlich keine Option, aber sie ist einfach und bleibt mühelos. DevSecOps hingegen umfasst alle Abteilungen eines Unternehmens und bettet das Sicherheitsdenken in den gesamten Veränderungsprozess ein, von der Geschäftsleitung bis hin zu den einzelnen Teams. Dafür brauchen Unternehmen Werkzeuge und Prozesse, die sie dabei unterstützen. Für kontinuierliche Überwachung, zum Scannen auf Sicherheitsmängel, zur Erkennung von Angriffen, für Änderungsmanagement, Steuerung und regelmäßige Beurteilungen.

Warum ist DevSecOps für SAP der Game Changer für Softwaresicherheit?

Sicherheit wurde bei der Durchführung von Projekten oder Veröffentlichung neuer Funktionen in der Vergangenheit oft vernachlässigt – in der Annahme, dass Sicherheitsmängel in einem bestehenden System später vom IT-Security-Team schon behoben werden. Dies führt zu einer zusätzlichen Komplexität bei der Ermittlung und Beseitigung der Sicherheitsmängel. Darüber hinaus erfordert es Budget und qualifizierte Ressourcen, wozu nicht jedes Unternehmen bereits oder willens ist. Auch weil Aktualisierungen und Änderungen stets zu Betriebsunterbrechungen führen können.

Werden Sicherheitsüberlegungen hingegen bereits in einer frühen Projektphase angestellt, lassen sich Mängel rechtzeitig erkennen. Die Behebung potenzieller Schwachstellen macht dies effizienter und einfacher. Mit den entsprechenden Security-Tools ausgestattet, können Unternehmen sogar Schwachstellen identifizieren und beheben, die in früheren Iterationen der Änderungsprozesse eingeführt wurden. Der größte Nutzen ist jedoch, dass jeder Prozess/jede Funktion nach Maßgabe der Sicherheit implementiert wurde. Das führt zu einer Cyberangriffen gegenüber extrem widerstandsfähigen IT-Landschaft.

Startet das Unternehmen etwa ein IT-Projekt mit der Absicht, SAP-Anwendungen oder -Prozesse zu ändern, um neue Funktionen einzuführen, dann sind – wie bei jedem Projekt – Zeit, Budget und verfügbare Ressourcen Schlüsselelemente. Sicherheit wird da schnell mal hinten angestellt. Damit DevSecOps funktioniert, müssen wichtige Sicherheitsüberlegungen aber vielmehr genau in der frühen Projektphase stattfinden. Jedes IT-Vorhaben sollte man im Prinzip von vornherein als Sicherheitsprojekt auffassen, geschäftliche Anforderungen und Ziele dürfen Sicherheitsbedenken nicht ausschließen.

Dafür bedarf es Prozesse und Werkzeuge, die den Teams eine Zusammenarbeit in allen wichtigen Sicherheitsfragen ermöglichen. Wird das Projekt Auswirkungen auf die Sicherheit der enthaltenen Daten und etablierten Prozesse haben? Besteht ein Bedarf an zusätzlicher Software und einer Sicherheitsarchitektur? Sind bestimmte Fähigkeiten erforderlich, die es in das Projekt einzubringen gilt?

Sicherheitsdenken von Beginn an in IT-Projekte einbetten

In einer agilen Umgebung kann die Entwurfsphase beginnen, sobald alle Themen, Themenbereiche (Epics) und die darunterliegenden, nach strategischen Zielen gruppierten User-Stories geschrieben wurden. Ist Sicherheitsdenken in das Projekt von Beginn an eingebettet, wird dies automatisch zu einer Lösung führen, die durch ihr Design sicher ist. Während der Implementierung brauchen die Entwickler Tools, die den Quellcode auf potenzielle Schwachstellen untersuchen. Werden solche Lecks, die SQL-Injections, Cross-Site-Scripting oder fehlende Berechtigungsprüfungen ermöglichen, bereits im Entwicklungsprozess erkannt, lassen sie sich leicht beheben.

Bei SAP-Projekten liegt die Herausforderung nun genau darin, dass der Standard nicht die notwendigen Werkzeuge beinhaltet, um den Quellcode auf Sicherheitslücken zu überprüfen. Zusatztool wie der SecurityBridge Code Vulnerability Analyzer ergänzen SAP daher durch die Integration in SAP Web IDE (Integrated Development Environment), die Entwicklungsumgebung für SAPUI5-Anwendungen, mit dem SAP Code Inspector und dem ABAP Test Cockpit.

Das Resultat: Neue Geschäftsfunktionen werden ohne signifikante Sicherheitsmängel in der Testumgebung implementiert. Sicherheitsschleusen im SAP-Transportmanagementsystem helfen zu vermeiden, dass Quellcode ohne ordnungsgemäße Validierung verschoben wird. Das Transportmanagementsystem ist anfällig für Angriffe auf die Software Supply Chain, wenn nicht ein entsprechender Sicherheitspatch installiert wurde. Funktionale Probleme, die in der „User Acceptance“-Testphase entdeckt werden, lösen einen Neustart des Validierungszyklus aus.

Produktiv geht die neue Anwendung erst, wenn alle Sicherheits- und Funktionsanforderungen erfüllt sind. Der Go-Live beendet dann nicht den DevSecOps-Prozess, sondern definiert nur die Übergabe an die so genannten „Keep-System-Running“ (KSR) Teams. In dieser Phase des Lebenszyklus konzentriert sich DevSecOps für SAP auf die Überwachung, Erkennung von Angriffen, regelmäßige (kontinuierliche) Bewertung von Schwachstellen und das genaue Einspielen von Sicherheitspatches.

Welche Tools braucht man?

Während viele Unternehmen bereits Lösungen für Change Management und IT Service Management einsetzen, sieht es mit Tools für die DevSecOps-Reise mit SAP noch nicht so üppig aus. Mit ihrer offenen API erlaubt die SAP-Cybersecurity-Lösung von SecurityBridge eine Integration in bereits bestehende SAP-Lösungen und stellt somit das fehlende Bindeglied zwischen Change Management und Security Incident dar. Auch die Gesamtbetriebskosten (TCO) sinken mit einer Sicherheitslösung aus einer Hand, verglichen mit einzelnen, isolierten Tools für Code-Scanning und Schwachstellenmanagement.

* Der Autor Christoph Nagy ist Geschäftsführer von SecurityBridge einem Spezialisten für SAP-Sicherheit mit Hauptsitz in Ingolstadt.

(ID:48689952)