Deutsch | English | Español

Unsere SAP®-Systeme sind sicher. Oder?

19. Februar 2018 | Von Caroline Neuber, Virtual Forge GmbH

Viele Unternehmen gehen davon aus, dass ihre SAP®-Systeme sicher sind. Schließlich wurde viel Geld in die SAP-Software investiert und man vertraut SAP als einem der erfolgreichsten Softwareanbieter weltweit. Daher wird erwartet, dass die eingekauften Produkte auch dem aktuellen Sicherheitsstandard entsprechen. Doch wie sieht die Realität aus?

Dieser Text erschien als Advertorial in der Ausgabe 1/18 der DSAG-Zeitschrift "blaupause"

Der digitale Wandel ist rasant, und auch Großkonzerne wie SAP müssen viel investieren, um hier Schritt zu halten. Dass die Systeme immer auf dem aktuellsten Sicherheitsstandard sind, ist das Ziel, aber nicht immer Realität. Nicht umsonst gibt es die Patch Days, an denen SAP immer die wichtigsten Security Notes veröffentlicht. Doch, Hand aufs Herz, wie schnell werden diese bei Ihnen im Unternehmen umgesetzt und wer ist hierfür eigentlich verantwortlich?

Eigenentwicklungen als Sicherheitslücke

In vielen Unternehmen gibt es zudem Eigenentwicklungen, um die SAP-Systeme an die unternehmenseigenen Prozesse anzupassen. Wussten Sie, dass jedes Unternehmen durchschnittlich über rund 2 Millionen Zeilen selbstprogrammierten Code verfügt und sich pro tausend Zeilen Code ca. 1,1 Sicherheitslücken einschleichen? Auch hier stellt sich die Frage nach der Verantwortlichkeit. Wer ist es in Ihrem Unternehmen?

Eine weitverbreitete Meinung ist, dass die Entwickler verantwortlich sind. Von ihnen wird erwartet, den Code so zu programmieren, dass Hackern keine Möglichkeit geboten wird, die SAP-Systeme für ihre Zwecke zu missbrauchen. Es ist jedoch eine nicht zu unterschätzende Tatsache, dass viele Applikationen heutzutage über das Internet abrufbar und ohne explizite Sicherheitsmaßnahmen sehr leicht angreifbar sind. Hinzu kommt, dass es neben der gängigen SAP-Programmiersprache ABAP® mit der Einführung von SAP HANA® jetzt auch noch weitere Sprachen gibt, die Entwickler beherrschen müssen.

Doch sind es wirklich die Entwickler, denen Sicherheit, Qualität und Compliance am Herzen liegt? Geht es nicht vielmehr der Unternehmensleitung an den Kragen, wenn Sicherheitslücken missbraucht oder Compliance-Richtlinien missachtet werden? Wäre es nicht mehr als beruhigend, wenn die Geschäftsführung ihren Entwicklern Tools an die Hand geben könnte, mit denen sie Code programmieren können, der frei von Sicherheitslücken und Compliance-Verstößen ist?

Virtual Forge als Sicherheitsexperte

Virtual Forge hat sich auf Sicherheit von SAP-Systemen spezialisiert und stellt Unternehmen Tools dafür zur Verfügung. Mit dem CodeProfiler, einem Scanner für ABAP Code, hat sich Virtual Forge in der Sicherheitsbranche einen Namen gemacht. Der patentierte CodeProfiler for ABAP wird weltweit seit Jahren von SAP-Kunden erfolgreich eingesetzt.

Die grundlegenden Veränderungen in der SAP-Landschaft verlangen nach neuen Tools. Diese Entwicklung hat Virtual Forge frühzeitig erkannt und ist heute der erste Anbieter eines Code-Scanners für native SAP HANA-Anwendungen.

Der Virtual Forge CodeProfiler for HANA unterstützt Unternehmen dabei, zuverlässige, robuste und sichere Anwendungen für SAP HANA zu entwickeln und somit auch für die neuen Programmiersprachen gerüstet zu sein.

SAP-zertifizierte Tools für Systemsicherheit

Nahtlos integriert in die SAP HANA-Entwicklungsumgebung und vom SAP ICC zertifiziert, ermöglicht der Virtual Forge CodePofiler for HANA das Scannen von SQLScript, XSJS JavaScript und SAPUI5-Programmiercode. Auf Basis der hinterlegten Testfälle werden sicherheitsrelevante Schwachstellen im Coding identifiziert. Die Möglichkeiten von Cross Site Scripting oder SQL Injections werden aufgezeigt und Lösungsvorschläge unterbreitet, wie diese Sicherheitslücken geschlossen werden können. Dabei lassen sich auch Schwachstellen ermitteln, die die Anwendung hinsichtlich Performance und Stabilität beeinträchtigen.

Bei der Arbeit mit dem Virtual Forge CodeProfiler for HANA erhält der Entwickler während der Programmierung kontinuierliches Feedback, das mit einer Rechtschreibprüfung vergleichbar ist. Dadurch wird eine steile Lernkurve in der Programmierung erzielt. Außerdem können regelmäßige Batch-Scans von SAP HANA-Paketen eingeplant und automatisiert eingerichtet werden.

Einen noch umfassenderen Schutz bietet die Virtual Forge Security & Quality Suite. Sie umfasst außer dem reinen Codecheck für SAP HANA oder ABAP auch die Prüfung von Systemkonfigurationen, inkl. wichtiger Basisberechtigungen, sowie des Transportwesens.

Gewährleisten Sie mit dem Virtual Forge CodeProfiler for HANA höchste Standards hinsichtlich Sicherheit und Stabilität von SAP HANA®-Anwendungen von Anfang an.

Ihre Vorteile im Überblick:

  • Sicherheitsprüfungen von Anfang an
  • Echtzeit-Analysen mit Adhoc-Feedback bei Programmierungen
  • Integrierte Lösungsvorschläge
  • Steile Lernkurve bei Entwicklern
  • Keine nachträgliche Fehlerbehebung notwendig
  • Qualitätssteigerung von Eigenentwicklungen
  • Zeit- und Kostenersparnis durch Früherkennung
  • Leistungssteigerung der SAP-Systeme
  • Einhaltung von gesetzlichen Vorgaben und Industriestandards

Weitere Informationen zur Lösung erhalten Sie auf der CodeProfiler for HANA Webseite.

 

Topics: Secure Coding



@Virtual_Forge auf Social Media:

social_twitter_active.png social_xing_active.png social_linkedin_active.png social_google_active.png