C/4HANA: Und wie geht das mit der Sicherheit? Eine Einschätzung.

SAST SOLUTIONS C/4HANAC/4HANA heißt das jüngste Produkt aus dem SAP-Portfolio. Nicht weniger als die Revolution des Kundenerlebnisses versprechen die Walldorfer. Aber ist C/4HANA auch sicher? Und was verbirgt sich hinter dem Begriff C/4HANA überhaupt?

Fragen wir uns einmal, was C/4HANA überhaupt ist, und stellen uns ganz dumm. Dann können wir antworten: C/4HANA ist eine große, schwarze Blackbox. Das ist zwar ein geklautes Zitat, aber von der Wahrheit gar nicht so weit entfernt, zumindest wenn man es aus der Sicherheitsperspektive betrachtet. Am Ende des Tages ist C/4HANA nämlich (noch) nicht viel mehr als ein Konglomerat verschiedener Cloud-Dienste aus dem Hause SAP. Diese sollen zwar über kurz oder lang zusammenwachsen und vor allem ein einheitliches Frontend – bzw. eine einheitliche „Customer Experience“ bieten.

Ein Fokus auf die IT-Sicherheit

Bis dahin ist es aber noch etwas hin und gerade in der Übergangszeit sollten Kunden besonderen Wert auf die Sicherheit legen. Dafür gibt es hauptsächlich drei Gründe:

  1.  1+1 kann 3 ergeben: Das stimmt tatsächlich – im negativen Sinne – und gerade aus Sicht der IT-Security. Ein Beispiel dafür ist eine kürzlich bekannt gewordene Lücke in einem weit verbreiteten Plugin für WordPress – immerhin das meist genutzte Content-Management-System für Websites weltweit. Schätzungen sprechen sogar davon, dass fast zwei Drittel aller Websites insgesamt unter dem beliebten Open Source System laufen.
    So war die Lücke im Plugin Woo-Commerce eigentlich keine Lücke, denn in das Plugin an sich konnten Hacker trotz des Bugs nicht eindringen. In der Kombination von Plugin und WordPress hingegen entfaltete die Lücke ihre ganze Wirkung und ermöglichte eine vollständige Kompromittierung der jeweiligen Website. Natürlich ist nicht gesagt, dass C/4HANA eine ähnliche Lücke aufweist. Bei fünf unterschiedlichen Technologien, die in C/4HANA einfließen, ist die Möglichkeit aber zumindest nicht ausgeschlossen.
  2. Berechtigungen: Schon der Umstieg auf das komplett von SAP entwickelte S/4HANA stellt viele Kunden vor eine Herausforderung. Denn ganz zu schweigen von auf die neue Plattform anzupassende Berechtigungen, ändern sich zudem einige Berechtigungskonzepte grundlegend.  Bei C/4HANA gilt es für die SAP nun, fünf unterschiedliche Technologien – und damit Berechtigungskonzepte – auf ein einheitliches Konzept runter zu brechen. Gar nicht einfach, und für Kunden, die bereits eine oder mehrere der fünf Cloud-Produkte im Einsatz haben, besteht ein zusätzlicher Aufwand. Denn ihre bereits angepassten Berechtigungen müssen neu auf C/4HANA ausgerichtet werden.
  3. Mehr Schnittstellen: C/4HANA „wohnt“ in der Cloud. Um die Funktionalität aber sinnvoll einsetzen zu können, ist eine Integration ins Backend, also ins ERP-System, unerlässlich. Deswegen gilt auch hier: mehr Cloud-Systeme, mehr Schnittstellen, größere Angriffsfläche. Und im Gegensatz zu den beiden erstgenannten Punkten ist es erst einmal der Kunde, der für die Sicherheit der Schnittstellen sorgen muss.

Vorteile von C/4HANA

Immerhin gibt es einige positive Aspekte, die C/4HANA mitbringt. So wird aus den oben aufgeführten Punkten deutlich, dass C/4HANA in der Endausbaustufe – in der die jetzt getrennten Technologien zusammenwachsen – durchaus ein Plus an Sicherheit mitbringen kann. Dafür soll dann unter anderem ein einheitliches Datenmodell sorgen, dass dann (hoffentlich) gegenüber dem ERP-Backend ebenfalls nur eine Schnittstelle benötigt.

Vor allem für den Endkunden erfreulich ist, dass ein großes Ziel von C/4HANA der Datenschutz sein wird. Kunden- und Unternehmensdaten sollen sich so gemäß der DSGVO besonders gut schützen lassen – ein Plus an Sicherheit, das allen zugutekommen wird.

C/4HANA: Ein CRM der nächsten Generation

Zusammenfassend lässt sich sagen, dass C/4HANA als Produktvision nicht nur seine Berechtigung hat, sondern durchaus für ein Plus an Sicherheit sorgen kann. Allerdings erst in der Endausbaustufe, wenn Datenmodell, Frontend und die Integration ins Backend zusammengewachsen sind. Bis dahin müssen Kunden aber nicht auf das CRM der nächsten Generation verzichten, wenn ein paar grundlegende Tipps beachtet werden:

  1. Sicherheit prüfen: SAP lässt seine Cloud-Lösungen regelmäßig auf Sicherheitslücken testen. Die Rechenzentren, in denen die Cloud gehostet wird, sind zertifiziert und entsprechen somit vielen unterschiedlichen Sicherheitsstandards. Dennoch lohnt es sich, aufs Detail zu achten, speziell in Bezug auf die eigene Verantwortlichkeit. Dazu gehört vor allem die Sicherheit der Clients, die auf die Cloud zugreifen.
  2. Schnittstellensicherheit: Die Cloud mag sicher sein, aber sind es die Schnittstellen vom Backend in die Cloud auch? Hier ist es lohnenswert, sich durch den Einsatz eines Tools, wie dem Interface Management der SAST SUITE, zunächst eine Übersicht aller Schnittstellen zu verschaffen und diese entsprechend abzusichern.
  3. Berechtigungen: Zugegeben, bei fünf Clouds plus Backend ist es nicht einfach, die Berechtigungen immer im Auge zu behalten. Mit der SAST SUITE lassen sich Funktionstrennungskonflikte sowie potentiell kritische Berechtigungen jedoch leicht identifizieren.

In jedem Fall raten wir dazu, vor einem Einsatz von Cloud-Technologien oder gar einem vollständigen Wechsel bestimmter Geschäftsprozesse in die Cloud ein Sicherheitsaudit durchzuführen. So reduzieren Sie Risiken und können in einem weiteren Schritt Ihre Systeme fit und sicher für die Cloud – und damit auch für C/4HANA – machen.

Sie wollen mehr über die Absicherung Ihrer SAP-Systeme erfahren? Dann informieren Sie sich auf unserer SAST SOLUTIONS Website oder nehmen Sie Kontakt zu uns auf: sast@akquinet.de

Patrick Boch (SAST SOLUTIONS)
Patrick Boch, Produktmanager SAST SOLUTIONS