Wie macht TGW Logistics sein S/4HANA sicherer?

Eine strukturierte Security-Planung und saubere Berechtigungen sind nur zwei Bestandteile, die SAP-Systeme vor Cyberangriffen und Manipulationen schützen können. Von Ralf Kempf (CTO SAST SOLUTIONS bei der akquinet AG) wollte ich wissen, welche Stolperfallen man bei der S/4HANA-Migration vermeiden sollte und was man tun kann, um S/4HANA sicher zu nutzen.

Manuel Rosenthaler (TGW Logistics Group) und Ralf Kempf sind Gäste eines Expert-Talks zur IT-Onlinekonferenz 2020 „Wie machen es andere Unternehmen?“ und berichten dort ausführlich über dieses Thema.

 

Herr Kempf, welche Fragen zur Sicherheit und Compliance sollte man sich bei der S/4HANA-Migration stellen? Welche sind alt, welche kommen neu hinzu?

akquinet_RalfKempfRalf Kempf: Die Themen SAP Basis Parameter- und Datenbank-Sicherheitseinstellungen bleiben weitestgehend erhalten. Ebenso die Authorization-Klassiker, die man seit Jahren aus dem SAP ERP-Umfeld kennt, wie kritische Berechtigungen und Funktionstrennungsrisiken. Und wenn wir mit Kunden über eine S/4HANA-Absicherung sprechen, fällt das Stichwort „Rollen und Berechtigung“ grundsätzlich zuerst.

Neu im S/4HANA-Umfeld ist jedoch, dass sich die technische Architektur verändert, sodass Risiken nun auf unterschiedlichen Ebenen (Frontend Server, Backend Server, Datenbank) ausgewertet und überwacht werden müssen. Bei den Benutzerzugriffen ist künftig darauf zu achten, welche Apps den Informationsbedarf der Anwender decken. Hierzu sollten Unternehmen unbedingt schon jetzt ihre Business Process Descriptions auf einen aktuellen Stand bringen.

Neben den Aufgaben im Berechtigungsumfeld sind aber auch die Themen systemische Sicherheit, insbesondere mit Fokus HANA DB und Webzugriff, sowie die Härtung beziehungsweise Eliminierung von kundeneigenem ABAP-Code essenziell.

 

Wenn Sie an Gespräche mit Anwenderunternehmen zurückdenken — was wird besonders gerne vergessen?

Wenn Sie mich fragen, ist der schwerwiegendste Fauxpas der, SAP Security & Compliance-Themen erst zu bedenken, wenn alle Systeme bereits konvertiert wurden. Eine feste Berücksichtigung von ebendiesen Aspekten im Migrationsplan ist jedoch unabdingbar. Das beginnt nicht zuletzt damit, dass mit der SAP S/4HANA-Migration auch ein Plattformwechsel verbunden ist. Mit dem Umstieg auf eine neue Technik sowie ein neues Betriebssystem gehen auch immer zusätzliche Anforderungen an die Systemsicherheit einher.

Im Eifer des Gefechts wird die Bereinigung von eigenem ABAB-Code ebenfalls viel zu häufig vernachlässigt. Wir empfehlen, mit der Korrektur nicht bis nach der Migration zu warten und vergleiche das Vorgehen hierbei gern mit einem privaten Umzug: Erst ausmisten, dann umziehen. Und die Arbeit lohnt sich, denn unsere Erfahrungen belegen, dass bis zu 90 Prozent der APAB-Eigenentwicklungen funktionsloser Ballast sind. Und der hindert Kunden schlussendlich daran, S/4HANA effizient nutzen zu können.

Nicht zuletzt geht es natürlich auch um die Anpassung und Aktualisierung der Fachberechtigungen, um von Anfang an neuen Transaktionen und Prozessen gerecht zu werden.

 

Zu welchem Zeitpunkt sollte man Sicherheitsfragen klären und wie geht man die Absicherung einer S/4HANA-Migration an?

Die Themen Absicherung und Compliance sollten von Beginn an fest in den Projektplan integriert werden. Dabei ergibt sich die Klärung von Sicherheitsfragen während der Architekturphase fast wie von selbst.

Ans Eingemachte geht es dann mit der technischen Absicherung der Zielplattform direkt im Anschluss. Mit dem ersten neu umgestellten System (DEV oder Sandboxsystem) ist eine gute Basis geschaffen, auf die Verantwortliche aufbauen können.

 

Welche Erfahrungen haben Sie im Projekt mit TGW Logistics gesammelt?

Besonders hilfreich – und das knüpft gut an bisher Gesagtes an – war, dass wir im Vorfeld einen gemeinsam abgestimmten Projektplan mit definierten Phasen für Vorbereitung, Durchführung und Abnahme der Test- und Produktivphasen der Berechtigungen definierten. So war es später ein Leichtes, notwendige Anpassungen rasch und effizient durchzuführen und zu kommunizieren.

Workshops mit den jeweiligen Fachbereichen und ihren jeweiligen Anforderungen trugen zudem dazu bei, dass der Großteil notwendiger Transaktionen und Programme dem jeweiligen Benutzerkreis direkt zur Verfügung stand.

Eine gezielte Tool-Unterstützung während des Projekts half nicht zuletzt bei der effizienten Umsetzung der notwendigen Arbeiten – sowohl uns als auch dem Kunden. Und durch den Greenfield-Approach hat es sich bei Erarbeitung der notwendigen Berechtigungen als äußerst nützlich erwiesen, sowohl in der Test- als auch Produktivphase den SAST Safe-Go-Live-Ansatz zu nutzen.

 

Was erfahren wir von Ihnen bei der IT-Onlinekonferenz 2020?

Neben dem Einblick in ein „Best Case“-Projekt ist uns wichtig, die Teilnehmer auch an Projekt-„Fails“ teilhaben zu lassen. Also an realen Situationen, in denen das Thema Security & Compliance zu spät, teils gar nicht oder auch nicht umfassend genug eingeplant war, bevor es in den Projektplan aufgenommen wurde.

Gerade diese Fettnäpfchen sind es, die wertvolle Tipps für die eigene S/4HANA-Conversion geben können und sicherstellen, dass eine Migration ohne böse Überraschungen sowohl im geplanten Zeit- als auch Budgetrahmen erfolgen kann.

 

Können Sie uns vorab schon eine SAP-Security-Empfehlung verraten?

Im Prinzip können wir von vier entscheidenden Schritten einer sicheren S/4HANA-Migration sprechen. Allen voran sollten sich Verantwortliche immer mit dem Aufbau der Zielplattform befassen. Anschließend erfolgt eine Systemhärtung auf allen Ebenen (OS, Datenbank, Application Server) und das Einspielen der SAP Security Notes.

Die fortlaufende Dokumentation im Testsystem muss dabei gewährleistet sein, um weitere Systeme analog aufbauen zu können. Last but not least steht der Test (z.B. mit der SAST SUITE), um mögliche Sicherheitslücken und -risiken zu ermitteln. Erst danach erfolgt die eigentliche Datenmigration.

 

Was wird für Sie in den kommenden 12 Monaten das dominierende Thema in der SAP-Community?

Diese Frage mit „erfolgreiche S/4HANA-Migrationen“ zu beantworten, fasst es sicher etwas kurz. Aus unserer Sicht ist zu erwarten, dass wir von einer stetig größer werdenden Anzahl äußert erfolgreicher Projekte hören werden.

Aber es wird auch die ersten Unternehmen geben, die scheitern – zumindest mit Blick auf den geplanten Projektzeitraum oder das Budget. Ebenso wird es spannend werden, wie Unternehmen, die das Thema Conversion noch deutlich hinauszögern, mit der zu erwartenden weiteren Verknappung an Fachpersonal/Berater-Expertise umgehen werden.

 

Vielen Dank für das Gespräch.

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

 

Safety first! Wie kann man Stolperfallen bei der S/4HANA-Migration vermeiden? Manuel Rosenthaler (TGW Logistics Group) und Ralf Kempf berichten aus ihrem Projekt und geben Empfehlungen. Hier anmelden …

Sie können diesen und alle Beiträge der IT-Onlinekonferenz live (28.01. – 06.02.) oder als Aufzeichnung verfolgen und eigene Fragen an die Experten stellen. Im Konferenzprogramm finden Sie Erfahrungsberichte aus mehr als 30 S/4HANA-Projekten, Migrationen und Prozessoptimierungen.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Jetzt zur IT-Onlinekonferenz anmelden:

ITOK20

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

SAP NOW 2020 Berlin

SAP NOW Berlin 2020: Größtes deutsches SAP-Event für Innovation und Digitalisierung

Am 19. und 20. März 2020 treffen sich SAP-Kunden, SAP-Partner und Interessierte zur SAP NOW …