:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Case Study zu SAP-Sicherheit an der TU Darmstadt ABAP- und Security-Analysen auf Knopfdruck
Wo SAP-Systeme das Herzstück der IT bilden, ist ein lückenloses Sicherheitsmanagement vonnöten. Die TU Darmstadt setzt Tools ein, die Schwachstellen in Systemeinstellungen, kritische Berechtigungen und ABAP-Eigenentwicklungen aufspüren und beheben.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Mit rund 26.000 Studierenden und 4.700 Beschäftigten zählt die Technische Universität (TU) Darmstadt in Deutschland zu den führenden Bildungseinrichtungen ihrer Art. Vielfältige Wissenschaftskulturen verbinden sich zu einem charakteristischen Profil.
Neben der zentralen Universitätsverwaltung wird SAP in den Fachbereichen, Instituten und dezentralen Einrichtungen – wie dem Hochschulrechenzentrum – zur Steuerung der Kerngeschäftsprozesse genutzt: von der Budget- und Personalverwaltung über das Bau- und Immobilienmanagement bis hin zu Drittmittelverwaltung und Controlling.
Angebunden an die klassische SAP-Systemumgebung sind unter anderem ein SAP Data Warehouse und SAP Identity Management, das der Verwaltung von Benutzern und SAP-Berechtigungen dient. Im Durchschnitt greifen zwischen 1.200 und 1.500 Beschäftigte der TU Darmstadt auf die verschiedenen SAP-Anwendungen zu.
Steigende Compliance-Anforderungen
Dorothee Krohberger-Stock, Leiterin des SAP Customer Center of Expertise sowie der IT- und Prozesskoordination, unterstreicht die Notwendigkeit eines wirksamen SAP-Sicherheitsmanagements: „Gelingt es Angreifern etwa, in unsere SAP-Systeme einzudringen, können wichtige Verwaltungsprozesse zum Erliegen kommen, zum Beispiel Zahlungen nicht getätigt werden.“
Hinzu kommen die steigenden Compliance-Anforderungen, denen sich die SAP-Verantwortlichen an der TU Darmstadt gegenübersehen. Denn die externen Wirtschaftsprüfer nehmen bei ihren jährlichen Audits gezielt auch die SAP-Sicherheit unter die Lupe. Zudem müssen unter anderem die Vorgaben der internen Datenschutzbeauftragten eingehalten werden.
Um den möglichen Sicherheitsrisiken gezielt begegnen zu können, identifizierten die SAP-Verantwortlichen zunächst drei zentrale Gefahrenquellen innerhalb der vorhandenen SAP-Anwendungen: fehlerhafte oder nicht optimale Systemkonfigurationen, unzulässige Kombinationen systemkritischer Berechtigungen sowie Schwachstellen in selbstgeschriebenem Code in der SAP-eigenen Programmiersprache ABAP.
Da händische Kontrollen zu viel Aufwand erfordern würden, entschieden sich die Verantwortlichen für den Einsatz spezieller Werkzeuge zur automatischen Analyse und Bewertung der Sicherheitsrisiken. Idealerweise sollten diese Tools nicht nur auf der passenden Technologie basieren, sondern auch offizielle Sicherheitsrichtlinien und Empfehlungen berücksichtigen, zum Beispiel von SAP, der Deutschsprachigen SAP-Anwendergruppe (DSAG) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
Systemkonfigurationen im Visier
Die Wahl fiel auf zwei Analysewerkzeuge des Sicherheitsanbieters Virtual Forge, der seit 2019 zu Onapsis gehört: Das erste war der SystemProfiler, der fehlerhafte oder schlechte SAP-Systemeinstellungen identifiziert und beseitigt. Dieses Tool wurde mittlerweile ins Assess-Modul von Onapsis integriert.
„Mit dem SystemProfiler können wir unsere gesamten Systemkonfigurationen auf Knopfdruck überprüfen“, erläutert Silke Kubelka, Leiterin SAP-Anwendungen an der TU Darmstadt. „Treten dabei Schwachstellen zutage, lassen sich viele Parameter und Einstellungen mit geringem Aufwand automatisch anpassen.“
Zudem wird das Tool für die Analyse systemkritischer SAP-Berechtigungen genutzt. Es findet gezielt heraus, wenn eine Anwenderin oder ein Anwender über Zugriffsrechte verfügt, die in Kombination ein SAP-Sicherheitsrisiko verursachen könnten. „Sehr nützlich ist der SystemProfiler auch beim Einspielen von SAP-Updates“, berichtet Silke Kubelka, „denn er hilft uns, Wartungsanpassungen vorzunehmen oder neue Systeme nach seiner Best-Practices-Konfiguration auszurichten.“
Unternehmen und Organisationen, die einen ähnlichen Tool-Einsatz planen, rät Kubelka, diese Standardempfehlungen an die eigenen Anforderungen anzupassen, falls die internen Compliance-Vorgaben davon abweichen: „Dokumentieren Sie die erforderlichen Modifikationen allerdings unbedingt im SystemProfiler, dann sind Sie auch gegenüber einem Audit automatisch gut unterstützt!“
Schadhaftem Kundencode auf der Spur
Im zweiten Schritt führte die TU Darmstadt den Virtual Forge CodeProfiler zur Identifizierung des Risiko- und Optimierungspotenzials im ABAP-Kundencode ein. Er überprüft die SAP-Eigenentwicklungen auf Sicherheit, Compliance, Qualität und S/4HANA-Tauglichkeit.
Da die TU Darmstadt seit mehr als 15 Jahren SAP einsetzt, haben sich zahllose Zeilen selbstgeschriebenen Codes angesammelt. Durch die Scans erhalten die SAP-Verantwortlichen einen schnellen Überblick über potenzielle Schwachstellen und können entscheiden, ob diese bereinigt oder die betroffenen Eigenentwicklungen vollständig entfernt werden sollen.
Zugleich wird der CodeProfiler künftig bei der Abnahme neuer Programme und Add-ons eingesetzt, die intern oder von externen Partnern und Dienstleistern der TU Darmstadt entwickelt werden. Treten dabei Schwachstellen im Code zutage, werden Maßnahmen zur Bereinigung eingeleitet. So wird verhindert, dass schadhafter Code in die bestehenden SAP-Anwendungen gelangt.
Da die TU Darmstadt ABAP-Code nur in begrenztem Umfang selbst entwickelt oder Dienstleister damit beauftragt, nutzt sie das Analysetool „as a Service“. „Das Cloud-Modell erlaubt uns den Einsatz nach Bedarf und trägt dazu bei, den Betriebsaufwand und die Betriebskosten möglichst gering zu halten“, betont Dorothee Krohberger-Stock.
Die regelmäßige Anwendung des CodeProfilers soll der TU Darmstadt helfen, den kompletten Bestand an ABAP-Eigenentwicklungen robust, sicher und wartbar sowie kompatibel mit neuen Anforderungen wie SAP HANA zu halten. Aktuell laufen hier bereits die ersten Vorprojekte zur Migration auf SAPs Business Suite der nächsten Generation.
Mehr Sicherheit, mehr Qualität
„Durch den kombinierten Einsatz der beiden Analysewerkzeuge konnten wir die Sicherheit und Qualität unserer SAP-Systemlandschaft deutlich steigern“, ziehen Dorothee Krohberger-Stock und Silke Kubelka Bilanz. „In allen drei definierten Prüfbereichen kommen diese Tools unseren Sicherheits- und Compliance-Anforderungen weitgehend entgegen – und zwar mit geringem Arbeits- und Zeitaufwand.“
(ID:46303289)
:quality(80)/p7i.vogel.de/wcms/e4/f6/e4f6849215c4bb6165ac71d35c9e81ea/0110258442.jpeg "Ein Cloud-Service macht noch keinen Sommer, erklärt Seqis in diesem Beitrag und verweist auf Probleme, mit denen sich Entwickler in Unternehmen konfrontiert sehen könnten. (Bild: frei lizenziert Joe - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/fe/44/fe4462883b1d31232bd788c8be9a8510/0108822141.jpeg "Den Mangel an IT-Fachpersonal gilt es auszugleichen, Low-Code kann hierfür eine Lösung sein. (Bild: <a href=https://pixabay.com/users/roszie-6000120/>RosZie</a>)")