Anzeige


Risikobewertung: Welche kritischen SAP-Transporte gab es in der Vergangenheit?

0
Posted 12. Januar 2017 by Redaktion IT-Onlinemagazin in IT-Leiter

Welche kritischen SAP-Transportaufträge gab es in der Vergangenheit in der eigenen Systemlandschaft und wie kann ich Sicherheits-, Stabilitäts- oder Betriebsschwachstellen zukünftig im Vorfeld erkennen und verhindern? Diese Frage will der SAP-Partner Virtual Forge mit einer kostenfreien Risikoanalyse „Initial Risk Assessment“ beantworten.

Interessierte extrahieren aus ihrem SAP-System historische System-Log-Files, senden sie verschlüsselt an den Anbieter. Nach dessen Analyse erhalten sie eine Zusammenfassung und ausgewählte Ergebnisse, sowie eine Priorisierung und Klassifizierung von Schwachstellen aus der System-, ABAP-Code- und Transport-Sicht — und Empfehlungen, wie diese Handlungsfelder verbessert werden könnten.

 

SAP-Transporte dürften oft eine „Black-Box“ sein

Weil SAP-Systemlandschaften immer komplexer werden und IT-Abteilungen agiler und schneller auf Anforderungen eingehen, dürften Anzahl und Umfang der SAP-Transporte tendenziell steigen. Änderungen, Eigenwicklungen oder Drittlösungen, die mit dem SAP-Transportwesen in Entwicklungs-, Test- oder Produktivsysteme eingespielt werden, dürften oft „Black-Boxen“ darstellen.

SAP Transporte prüfen testenFunktional werden die Inhalte der Transporte zwar getestet, aber weitere Blickwinkel, wie beispielsweise Stabilität und Vollständigkeit, dürften oft nicht vollständig beleuchtet oder systematisch validiert werden. Schwachstellen treten erst bei Fehlfunktionen, Betriebsstörungen oder beim Diebstahl geistigen Eigentums auf.

Neben der Frage, ob Objekte erfolgreich generiert werden können, sind beispielsweise Auswirkungen von Transporte auf Nummernkreise, Tabelleneinträge, Berechtigungen, Passwörter und grundlegende Einstellungen nicht unwichtig, um potenzielle Risiken für SAP-Systeme zu kennen.

 

Was geht im eigenen SAP-System vor sich?

Wie schätzen Sie die Risiken rund um das SAP-Transportwesen für die eigene Systemlandschaft ein? Ob in Ihrem SAP-System in der Vergangenheit kritische SAP-Transporte durchgeführt worden sind, können Sie im Nachhinein prüfen und deren Schweregrade und Auswirkungen bewerten lassen. Der SAP-Partner Virtual Forge bietet ab sofort ein Initial Risk Assessment an — derzeit wird es nach Anbieterangaben kostenlos angeboten.

Das Ziel hinter der Risikoanalyse ist klar: Erfahrungsgemäß ist es aufwändig, unerwünschten Code, Objekte, Funktionen oder Benutzer nachträglich und nachhaltig aus SAP-Systemlandschaften zu entfernen. Daher sollen bereits im Vorfeld Implementierungsfehler, Sicherheitslücken, potenzielle Schäden und Bedrohungen für SAP-Systemlandschaft erkannt werden, damit sie von Entwicklern behoben werden können, bevor sie in den Entwicklungs-, Test- oder Produktivsystemen zu Sicherheitslücken oder Stabilitätsproblemen führen können. Korrekturkosten sollen sich so vermeiden oder zumindest reduzieren lassen.

Die Teilnahme ist nach Anbieterangaben einfach: Man erhält einen Extraktor, den man auf dem Entwicklungssystem installiert. Der Extraktor analysiert die im System befindlichen Transport-Logdateien und erstellt eine Liste aller kritischen Transportinformationen. Wenn man diese Liste verschlüsselt zurücksendet, erhält man einen kostenlosen Assessment- Bericht, der aufzeigt, welche Probleme und Schwachstellen in der Vergangenheit existierten und vielleicht sogar unbemerkt blieben. Diese Informationen dürften aufschlussreich sein und bei der Bewertung eigener Schwachstellen und Verbesserungspotenziale helfen.

 

„Initial Risk Assessment“: Was wird geprüft?

Die Risikoanalyse wird vom Anbieter unter anderem mit dem Produkt “TransportProfiler” und weiteren Lösungen aus der Virtual Forge Produktfamilie, durchgeführt. Alle Lösungen können von SAP-Anwenderunternehmen auch im eigenen Haus eingesetzt werden, auch eine Einbindung in den SAP Solution Manager soll möglich sein.

Der TransportProfiler führt sowohl eine technische und eine inhaltliche Transportvalidierung durch – ist der Transportauftrag fehlerfrei transportierbar und sind Objekte und Daten korrekt? Dabei werden die Aspekte „Sicherheit“, „Robustheit“ und „Wartbarkeit“ mit standardisierten Testfällen – derzeit nach Angaben des Herstellers rund dreißig Stück – auf typische Schwachstellen überprüft. Die mitgelieferten Testfälle werden regelmäßig erweitert, eigene kundenindividuelle Testfälle lassen sich ergänzen.

Dadurch sollen sich unter Sicherheitsaspekten die Manipulation von Benutzer-Daten, SNC-Identitätsdiebstahl, Namensraum-Verletzungen durch interne oder externe Transporte, kritische Transportobjekte und –inhalte, temporäre Manipulation von Benutzerberechtigungen, Deaktivierungen von Berechtigungsobjekten, das Überschreiben, Löschen oder Ändern kritischer Daten und auch Modifikationen an SAP-Standardeinstellungen und Sicherheitskonfigurationen erkennen lassen.

Bei den Robustheitsprüfungen werden beispielsweise die Vollständigkeit der Workbench- und Dictionary-Objekte, fehlende referenzierte Objekte, Syntaxfehler, kritische Datenbankaktivitäten und Downgrader, also das Überschreiben mit veralteten Versionen, identifiziert. Bei der Wartbarkeit geht es vorrangig um Namensraum- und Paketprüfungen.

 

Weitere Anwendungsfälle des TransportProfilers

Der TransportProfiler kann von IT-Abteilungen zur Analyse vor der Transport-Freigabe genutzt werden: Anstehende Transporte aus der Importqueue, die komplette Queue oder lokale Dateien werden ausgewählt und deren Reihenfolge bei der Validierung und die gewünschten anzuwendenden Testfälle werden festgelegt. So lassen sich neben internen Transport-Dateien beispielsweise auch von Drittanbietern oder externen Entwicklungspartner zur Verfügung gestellte Transport-Dateien validieren, bevor sie Schaden anrichten könnten.

SAP-Partner, Entwicklungspartner oder Drittanbieter können zusätzlich einen Test auf Vollständigkeit einer Transport-Datei durchführen und das Einspielen in ein leeres System simulieren: Damit lässt sich die Frage, ob alle kundenspezifischen Objekte in diesem Transport enthalten sind beantworten und gegebenenfalls nachbessern, bevor der Kunde in seiner Umgebung Fehler feststellt.


 

Weiterführende Informationen:

 

Initial Risk Assessment durchführen

 

Webinaraufzeichnung: Auswirkungen von Transporten im Voraus prüfen – Virtual Forge TransportProfiler

 

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:


Das IT-Onlinemagazin ist Medienpartner der C-FORGE 2017

Newsletter-Abo


Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter.   Etwa zweimal pro Monat werden Sie kompakt und unterhaltsam mit wichtigen Nachrichten aus der SAP- und ERP-Community versorgt.