Suchen

Case Study zu SAP-Sicherheit an der TU Darmstadt ABAP- und Security-Analysen auf Knopfdruck

| Autor / Redakteur: Sibylle Hofmeyer / Stephan Augsten

Wo SAP-Systeme das Herzstück der IT bilden, ist ein lückenloses Sicherheitsmanagement vonnöten. Die TU Darmstadt setzt Tools ein, die Schwachstellen in Systemeinstellungen, kritische Berechtigungen und ABAP-Eigenentwicklungen aufspüren und beheben.

Firmen zum Thema

Schwachstellen in der SAP-Systemkonfiguration lassen sich mit dem SystemProfiler automatisch anpassen.
Schwachstellen in der SAP-Systemkonfiguration lassen sich mit dem SystemProfiler automatisch anpassen.
(Bild: Virtual Forge)

Mit rund 26.000 Studierenden und 4.700 Beschäftigten zählt die Technische Universität (TU) Darmstadt in Deutschland zu den führenden Bildungseinrichtungen ihrer Art. Vielfältige Wissenschaftskulturen verbinden sich zu einem charakteristischen Profil.

Neben der zentralen Universitätsverwaltung wird SAP in den Fachbereichen, Instituten und dezentralen Einrichtungen – wie dem Hochschulrechenzentrum – zur Steuerung der Kerngeschäftsprozesse genutzt: von der Budget- und Personalverwaltung über das Bau- und Immobilienmanagement bis hin zu Drittmittelverwaltung und Controlling.

Angebunden an die klassische SAP-Systemumgebung sind unter anderem ein SAP Data Warehouse und SAP Identity Management, das der Verwaltung von Benutzern und SAP-Berechtigungen dient. Im Durchschnitt greifen zwischen 1.200 und 1.500 Beschäftigte der TU Darmstadt auf die verschiedenen SAP-Anwendungen zu.

Steigende Compliance-Anforderungen

Dorothee Krohberger-Stock
Dorothee Krohberger-Stock
(Bild: Foto Studio Hirch, Darmstadt)

Dorothee Krohberger-Stock, Leiterin des SAP Customer Center of Expertise sowie der IT- und Prozesskoordination, unterstreicht die Notwendigkeit eines wirksamen SAP-Sicherheitsmanagements: „Gelingt es Angreifern etwa, in unsere SAP-Systeme einzudringen, können wichtige Verwaltungsprozesse zum Erliegen kommen, zum Beispiel Zahlungen nicht getätigt werden.“

Hinzu kommen die steigenden Compliance-Anforderungen, denen sich die SAP-Verantwortlichen an der TU Darmstadt gegenübersehen. Denn die externen Wirtschaftsprüfer nehmen bei ihren jährlichen Audits gezielt auch die SAP-Sicherheit unter die Lupe. Zudem müssen unter anderem die Vorgaben der internen Datenschutzbeauftragten eingehalten werden.

Um den möglichen Sicherheitsrisiken gezielt begegnen zu können, identifizierten die SAP-Verantwortlichen zunächst drei zentrale Gefahrenquellen innerhalb der vorhandenen SAP-Anwendungen: fehlerhafte oder nicht optimale Systemkonfigurationen, unzulässige Kombinationen systemkritischer Berechtigungen sowie Schwachstellen in selbstgeschriebenem Code in der SAP-eigenen Programmiersprache ABAP.

Da händische Kontrollen zu viel Aufwand erfordern würden, entschieden sich die Verantwortlichen für den Einsatz spezieller Werkzeuge zur automatischen Analyse und Bewertung der Sicherheitsrisiken. Idealerweise sollten diese Tools nicht nur auf der passenden Technologie basieren, sondern auch offizielle Sicherheitsrichtlinien und Empfehlungen berücksichtigen, zum Beispiel von SAP, der Deutschsprachigen SAP-Anwendergruppe (DSAG) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Systemkonfigurationen im Visier

Die Wahl fiel auf zwei Analysewerkzeuge des Sicherheitsanbieters Virtual Forge, der seit 2019 zu Onapsis gehört: Das erste war der SystemProfiler, der fehlerhafte oder schlechte SAP-Systemeinstellungen identifiziert und beseitigt. Dieses Tool wurde mittlerweile ins Assess-Modul von Onapsis integriert.

Silke Kubelka
Silke Kubelka
(Bild: TU Darmstadt)

„Mit dem SystemProfiler können wir unsere gesamten Systemkonfigurationen auf Knopfdruck überprüfen“, erläutert Silke Kubelka, Leiterin SAP-Anwendungen an der TU Darmstadt. „Treten dabei Schwachstellen zutage, lassen sich viele Parameter und Einstellungen mit geringem Aufwand automatisch anpassen.“

Zudem wird das Tool für die Analyse systemkritischer SAP-Berechtigungen genutzt. Es findet gezielt heraus, wenn eine Anwenderin oder ein Anwender über Zugriffsrechte verfügt, die in Kombination ein SAP-Sicherheitsrisiko verursachen könnten. „Sehr nützlich ist der SystemProfiler auch beim Einspielen von SAP-Updates“, berichtet Silke Kubelka, „denn er hilft uns, Wartungsanpassungen vorzunehmen oder neue Systeme nach seiner Best-Practices-Konfiguration auszurichten.“

Unternehmen und Organisationen, die einen ähnlichen Tool-Einsatz planen, rät Kubelka, diese Standardempfehlungen an die eigenen Anforderungen anzupassen, falls die internen Compliance-Vorgaben davon abweichen: „Dokumentieren Sie die erforderlichen Modifikationen allerdings unbedingt im SystemProfiler, dann sind Sie auch gegenüber einem Audit automatisch gut unterstützt!“

Schadhaftem Kundencode auf der Spur

Im zweiten Schritt führte die TU Darmstadt den Virtual Forge CodeProfiler zur Identifizierung des Risiko- und Optimierungspotenzials im ABAP-Kundencode ein. Er überprüft die SAP-Eigenentwicklungen auf Sicherheit, Compliance, Qualität und S/4HANA-Tauglichkeit.

Da die TU Darmstadt seit mehr als 15 Jahren SAP einsetzt, haben sich zahllose Zeilen selbstgeschriebenen Codes angesammelt. Durch die Scans erhalten die SAP-Verantwortlichen einen schnellen Überblick über potenzielle Schwachstellen und können entscheiden, ob diese bereinigt oder die betroffenen Eigenentwicklungen vollständig entfernt werden sollen.

Zugleich wird der CodeProfiler künftig bei der Abnahme neuer Programme und Add-ons eingesetzt, die intern oder von externen Partnern und Dienstleistern der TU Darmstadt entwickelt werden. Treten dabei Schwachstellen im Code zutage, werden Maßnahmen zur Bereinigung eingeleitet. So wird verhindert, dass schadhafter Code in die bestehenden SAP-Anwendungen gelangt.

Da die TU Darmstadt ABAP-Code nur in begrenztem Umfang selbst entwickelt oder Dienstleister damit beauftragt, nutzt sie das Analysetool „as a Service“. „Das Cloud-Modell erlaubt uns den Einsatz nach Bedarf und trägt dazu bei, den Betriebsaufwand und die Betriebskosten möglichst gering zu halten“, betont Dorothee Krohberger-Stock.

Die regelmäßige Anwendung des CodeProfilers soll der TU Darmstadt helfen, den kompletten Bestand an ABAP-Eigenentwicklungen robust, sicher und wartbar sowie kompatibel mit neuen Anforderungen wie SAP HANA zu halten. Aktuell laufen hier bereits die ersten Vorprojekte zur Migration auf SAPs Business Suite der nächsten Generation.

Mehr Sicherheit, mehr Qualität

„Durch den kombinierten Einsatz der beiden Analysewerkzeuge konnten wir die Sicherheit und Qualität unserer SAP-Systemlandschaft deutlich steigern“, ziehen Dorothee Krohberger-Stock und Silke Kubelka Bilanz. „In allen drei definierten Prüfbereichen kommen diese Tools unseren Sicherheits- und Compliance-Anforderungen weitgehend entgegen – und zwar mit geringem Arbeits- und Zeitaufwand.“

(ID:46303289)