Anwendungen sind Angriffsvektor #1 bei Cyberangriffen. Laut Forrester lässt sich mehr als ein Drittel aller Attacken auf einen Software-Exploit zurückzuführen. Geschäftskritische Anwendungen wie SAP sind dabei besonders beliebt bei Cyberkriminellen. Das Application Security Testing (AST) sollte daher eine Schlüsselposition in der IT-Sicherheit einnehmen.
Die Sicherheit von IT-Landschaften in Unternehmen hängt in erster Linie mit der Sicherheit der darin implementierten Anwendungen zusammen. Dabei geht es nicht mehr allein darum, Schwachstellen in laufenden Anwendungen möglichst schnell im Nachgang zu patchen. Vielmehr rückt im Rahmen von DevSecOp und Shift Left auch das Static Application Security Testing (SAST) im Vorfeld in den Fokus. Damit sollen mögliche Risiken rund um Datenverlust, Ransomware und DDOS-Attacken proaktiv und von Anfang an sicher entschärft werden. Das gilt insbesondere im SAP-Umfeld, das ein erhöhtes Maß an Aufmerksamkeit erfordert und spezifische, maßgeschneiderte Lösungen und Prozesse voraussetzt.
Warum das Application Security Testing von SAP-Eigenentwicklungen in Unternehmen so wichtig ist, zeigen fünf schlagende Argumente:
Wollen Unternehmen ihr hohes Tempo beim Einsatz von neuen Technologien beibehalten und weiter digitalisieren, müssen sie sich diesen Herausforderungen stellen und in entsprechende Lösungen, Ressourcen und neue Prozesse investieren. Andernfalls lässt sich der Balanceakt zwischen Sicherheit und Wettbewerbsfähigkeit nicht stemmen.
Die Beseitigung von Fehlern im ABAP-Kundencode ist zum Beispiel entscheidend für den sicheren und reibungslosen SAP-Betrieb. Doch nur die wenigsten AST-Tools sind auf die SAP ausgerichtet. Gefragt sind vielmehr Lösungen, die über eine Bandbreite an SAP-spezifischen Features verfügen, um die speziellen Anforderungen an Code, Sprache, Framework und SAP Transport Management zu erfüllen. Dazu gehört unter anderem die Integration mit spezifischen Change-Management-Systemen wie SAP ChaRM, um Änderungs- und Transportaufträge innerhalb von SAP zuverlässig und transparent verfolgen zu können.
Den benutzerdefinierten Code von SAP-Anwendungen zu bereinigen und entlang fest etablierter Sicherheitsstandards auch dauerhaft sauber zu halten, ist keine Aufgabe für Einzelkämpfer. Das SAP-System eines Kunden umfasst durchschnittlich etwa zwei Millionen Zeilen benutzerdefinierten Code. Bei Analysen von Onapsis stießen die Sicherheitsexperten dabei fast alle tausend Codezeilen auf ein Sicherheitsproblem. Pro System sehen sich Unternehmen also rund 4.000 kritischen Fälle gegenüber, die schlimmstenfalls zu Cyberattacken, Datenleaks, Geschäftsunterbrechungen und hohen Kosten führen.
Diese Flut an Sicherheitslücken im Rahmen der Qualitätssicherung (QA) oder von Code-Reviews manuell zu überprüfen, ist schlichtweg nicht realisierbar. Zumal auch die Angriffe auf geschäftskritische SAP-Anwendungen immer ausgefeilter werden und Hacker mittlerweile mehrere Schwachstellen miteinander verknüpfen, um Systeme zu infiltrieren. Angesichts der bis an ihre Grenzen ausgelasteten IT-Abteilungen, ist es also nur eine Frage der Zeit, bis Sicherheitsteams die Waffen strecken müssen.
Unterstützung bringt hier die automatisierte Codeanalyse. Neue maßgeschneiderte Lösungen bewerten automatisch die identifizierten Risiken, lassen sich in die Umgebung von SAP-Eigenentwicklungen sowie in Change-Management-Systeme integrieren und bieten darüber hinaus Schritt-für-Schritt-Anleitungen zur Fehlerbehebung und Mitigation.
Mit dem in SAP integrierten Transport Management können Unternehmen, Software und/oder Customizing-Daten aus dem Entwicklungs-System in ein anderes SAP-System (z. B. Test- oder Produktivsystem) transportieren. Diese Transporte stammen in der Regel aus den Entwicklungs- und QA-Systemen des Unternehmens sowie aus Anwendungen von Drittanbietern. Laut einem Onapsis Report werden monatlich im Durchschnitt 250 Transporte mit bis zu 5.000 Objekten pro SAP-System ausgelöst.
Je größer das Unternehmen und je umfangreicher das SAP-Portfolio, desto mehr Transporte gilt es zu managen – einschließlich der möglicherweise „mitgeschmuggelten“ Malware und falsch konfigurierten Inhalten. Selbst einfache Änderungen durch SAP-Transporte können so ein hohes Sicherheitsrisiko darstellen und wie ein trojanisches Pferd als Einfallstor für Hacker fungieren.
Herkömmliche Analysetools sind nicht in der Lage, den Inhalt der Transporte zu überprüfen. Bei SAP-Transporten durch Drittanbieter lässt sich nicht einmal eine manuelle technische Prüfung durchführen. Release-Manager brauchen auch hier automatisierte Werkzeuge, die auf SAP-Anwendungen spezialisiert sind und alle Transporte (auch die von Dritten) vor der Freigabe und dem Import prüfen. Die Investition lohnt sich: Die Systeme sind im Schnitt 25mal schneller als arbeitsintensive und fehleranfällige manuelle Codeprüfungsprozesse und reduzieren die Sicherheits- und Qualitätsfehler, die in die Produktionssysteme gelangen, um bis zu 75 %.
Der Rückgriff auf Drittanbieter ist angesichts immer kürzerer Entwicklungszyklen in der Softwarewelt zur Norm geworden. Verschärft wird diese Situation von der anhaltenden Ressourcenknappheit und der oft frustrierenden Suche nach erfahrenen SAP-Entwicklern. Das Problem: Das Outsourcing der Softwareentwicklung hat auch neuen Sicherheitsrisiken die Tür geöffnet – von undokumentierten Open Source Software-Komponenten (OSS) bis hin zu böswillig eingeschmuggelten Schadprogrammen.
Angesichts der immer komplexeren und teils undurchsichtigen Software Supply Chain müssen Unternehmen noch stärker in die Validierung und das Monitoring von Programmiercode investieren. Transparenz ist hier das Schlüsselwort, um sicherzustellen, dass interne Richtlinien sowie externe Anforderungen (z. B. Kunde, Gesetzgeber) erfüllt sind, der Code qualitativ hochwertig und sicher ist und die Sicherheitsprüfungen die Projektfristen von Teams nicht beeinträchtigen.
Geschäftskritische Anwendungen wie SAP sind auch deswegen für Cyberkriminelle so interessant, weil sie oft zentrale und hochsensible Informationen enthalten. Dazu gehören auch personenbezogene Daten. Kommt es zu einem erfolgreichen Exploit dieser Systeme, haben Unternehmen nicht nur mit Störungen im Geschäftsbetrieb und Reputationsverlust zu kämpfen. Sie sehen sich auch Compliance-Verstößen, rechtlichen Konsequenzen und hohen Strafzahlungen gegenüber (z. B. DSGVO).
Die Einhaltung von Compliance-Standards ist dabei alles andere als einfach. Zum einen sind definierte Prozesse für die Code-Governance nötig. Zum anderen heißt es, diese Richtlinien und Best Practices auch in der Praxis – und entlang der Software Supply Chain – umzusetzen. Nur so lässt sich auch wirklich verhindern, dass jemand Einschränkungen umgeht und Änderungen durch das Erstellen und Ausführen von Befehlen erzwingt. Dezidierte Teams sowie die abteilungsübergreifende Zusammenarbeit zwischen IT-Sicherheit, Entwicklung und dem Compliance-Management sind hier grundlegend. Für SAP entwickelte AST-Tools können hier unterstützen, indem sie unsicheren, instabilen und nicht-gesetzeskonformen Code in der Entwicklungsphase identifizieren und entfernen.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…