Welche Security-Maßnahmen S/4HANA-Migrationen beschleunigen

Eine S/4HANA-Migration mag ein langwieriges, kompliziertes und kostspieliges Projekt sein, doch bald wird es auch ein notwendiges Projekt sein.

Da der Termin im Jahr 2027 näher rückt, an dem SAP den Support für Legacy-Systeme einstellt, sollten SAP-Organisationen nach Möglichkeiten suchen, die Kosten und den Zeitaufwand für eine Migration zu reduzieren. Dazu gehört auch die frühzeitige Integration von Sicherheitsmaßnahmen wie Schwachstellentests in den Migrationsprozess, so Juan Pablo Perez-Etchegoyen, CTO bei Onapsis, einem Unternehmen, das Cybersicherheitsdienste und -produkte für SAP-, Oracle- und Salesforce-Systeme anbietet.

„Wir haben festgestellt, dass die Einbeziehung von Sicherheitsaspekten in SAP Activate diese Projekte nicht verzögert“, sagt er und bezieht sich dabei auf die Projektmanagementmethode von SAP für die S/4HANA-Implementierung, „sondern sie sogar beschleunigt, weil man nicht mehr die verschiedenen Sicherheitsteams in das Projekt einbinden muss, um die Sicherheitsvalidierungen durchzuführen und vor dem Go-Live hin und her zu gehen.“

In diesem Interview erörtert Perez-Etchegoyen einige der Gründe, warum S/4HANA-Projekte komplex sind, und wie die Einbeziehung von Sicherheitsmaßnahmen zu Beginn Projekte beschleunigen und Kosten senken kann.

Welche Punkte müssen SAP-Kunden bei der Vorbereitung einer S/4HANA-Migration als Erstes berücksichtigen?

Juan Pablo Perez-Etchegoyen: Zunächst einmal muss man den Kontext der SAP-Anwendungen berücksichtigen, die auf Dutzenden von Jahren an Code und Funktionen aufbauen, die bis zu SAP R/3 und NetWeaver auf dem zugrunde liegenden Framework zurückreichen. Bei einer S/4HANA-Migration werden viele der technischen Details, Konzepte und Komponenten dieser Codehistorie wiederbelebt.

SAP-Kunden setzen SAP in der Regel nicht als Standardlösung ein, sondern passen es stark an. Bei der Entwicklung von S/4HANA hat SAP unter anderem damit begonnen, sich von vielen älteren Konzepten zu verabschieden, zum Beispiel von einigen Tabellen und von der SAP GUI und anderen UI-Technologien. Wenn Sie auf S/4HANA umsteigen, müssen Sie die Transaktionen und den Code migrieren, die heute funktionieren, aber möglicherweise Probleme mit der neuen Technologie haben. Sie müssen diese Gelegenheit nutzen, um Ihr Unternehmen anzupassen und sich von altem Code und Funktionen zu trennen, die sich über Jahre hinweg angesammelt haben und nicht oder nur begrenzt genutzt werden.

Eine S/4HANA-Migration ist komplex, zeitaufwendig und kann teuer werden. Welche Möglichkeiten haben Kunden, dies zu vermeiden?

Perez-Etchegoyen: Sicherlich bedarf es einer gründlichen Planung. SAP bietet die SAP-Activate-Methode an, die Kunden bei der Umstellung von ihrem Legacy-System auf die neue Technologie unterstützen soll. Activate, das nicht nur für S/4HANA, sondern auch für eine Cloud-Migration verwendet werden kann, gibt Ihnen ein Framework an die Hand, mit dem Sie jeden Schritt des Weges verstehen können – Planung, Vorbereitung, Ausführung – mit sehr gut dokumentierten und detaillierten Schritten für den Übergang.

„Eine S/4HANA-Migration in die Cloud umfasst viele verschiedene Komponenten und kann viele Risiken mit sich bringen, insbesondere wenn die Kunden nicht risikobewusst sind.“

Pablo Perez-Etchegoyen, Onapsis

Sie haben erwähnt, dass Security ein Beschleuniger bei einer S/4HANA-Migration sein kann. Inwiefern ist die Einbeziehung der Sicherheit für das Projekt von Vorteil?

Perez-Etchegoyen: Bei Security geht es darum, Risiken zu verstehen und zu managen. In der Vergangenheit war es so, dass Security als zusätzliche Komponente in das Projekt aufgenommen wurde oder dass man sich kurz vor der Inbetriebnahme entschloss, einen Penetrationstest der Anwendung durchzuführen, um grünes Licht zu bekommen. Das bedeutet, dass das Risiko einer Verzögerung besteht oder dass Sie mit erheblichen Sicherheitsrisiken in Betrieb gehen. Wenn Sie jedoch Security zu Beginn des Projekts einbeziehen, was als Shift-Left-Ansatz bezeichnet wird, führen Sie die Sicherheitsvalidierung zu dem Zeitpunkt durch, zu dem der Code erstellt wird, und nicht zu dem Zeitpunkt, zu dem der Code bereitgestellt oder getestet wird. Das bedeutet, dass Sie verhindern können, dass diese Risiken Realität werden, oder dass diese Risiken die Entwicklungsumgebung verlassen, so dass sie in der Produktion nicht zum Tragen kommen.

Eine S/4HANA-Migration in die Cloud umfasst viele verschiedene Komponenten und kann viele Risiken mit sich bringen, insbesondere wenn die Kunden nicht risikobewusst sind. Die Behebung einer Schwachstelle, wenn das System in Produktion ist, ist wesentlich kostspieliger und störender als die Behebung der Schwachstelle, wenn der Entwickler gerade daran arbeitet.

S/4HANA-Projekte sind darauf ausgelegt, das ERP-System zu modernisieren und Anpassungen abzuschaffen. Macht dies ein System per se sicherer, weil es weniger Schwachstellen gibt?

Perez-Etchegoyen: Wenn man neue Technologien einführt, erwartet man, dass sie von Anfang an sicherer sind. Neue Technologien bringen jedoch auch neue Risiken mit sich, da sie komplex sind und neue Konzepte beinhalten, die man verstehen muss. So ist es beispielsweise nicht dasselbe, wenn Sie einen ECC-Benutzer einer SAP GUI aussetzen, als wenn Sie einen SAP Fiori HTTP-Server öffnen und Benutzer Fiori-Anwendungen aussetzen. Die Komponenten sind völlig anders, die Autorisierungskonzepte sind völlig anders, das sind also Konzepte, die Unternehmen verstehen müssen. Auf der anderen Seite ist es immer eine gute Gelegenheit, alten Code loszuwerden, um Probleme zu beseitigen.

Wer sollte für die Sicherheit in einem S/4HANA-Migrationsprojekt verantwortlich sein?

Perez-Etchegoyen: Es ist wichtig, die IT-Sicherheitsteams so früh wie möglich einzubeziehen, denn sie haben in der Regel einen umfassenden Überblick über die Sicherheitskontrollen in Ihrem Unternehmen. Sie wissen, wo die Grenzen liegen, welche Schnittstellen es gibt, wie die Landschaft aussieht, wie die Infrastruktur aussieht und welche Sicherheitsprodukte verwendet werden. Die Einbeziehung der IT-Sicherheitsabteilung kann also dazu beitragen, die Sicherheit zu gewährleisten und zu verstehen, welche Sicherheitskontrollen Sie speziell für SAP-Technologien implementieren müssen. Aufgrund der erforderlichen Umstellung und Investition wird eine S/4HANA-Migration in der Regel vom CIO oder manchmal auch vom CEO unterstützt, und es ist auch wichtig, den CISO mit ins Boot zu holen und ihm Einblick in diese Projekte zu gewähren.