{"id":149308,"date":"2025-02-24T07:00:00","date_gmt":"2025-02-24T06:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=149308"},"modified":"2025-02-24T09:21:01","modified_gmt":"2025-02-24T08:21:01","slug":"sap-entwickler-abwehrchef-statt-sicherheitsproblem","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/sap-entwickler-abwehrchef-statt-sicherheitsproblem\/","title":{"rendered":"SAP-Entwickler: Abwehrchef statt Sicherheitsproblem?"},"content":{"rendered":"\n

SAP-Entwickler arbeiten in integrierten gesch\u00e4ftskritischen Umgebungen und erstellen Software, die Daten mit spezifischen Sicherheitseigenschaften und regulatorischen Anforderungen verarbeitet.<\/p>\n\n\n\n

Tragende Rolle der Entwickler<\/h2>\n\n\n\n

SAP-Entwickler haben eine tragende Rolle bei der Gestaltung der Sicherheitslandschaft von SAP-Umgebungen. Die Entwicklung von Code zu den \u00c4nderungen an bestehenden SAP-Funktionen oder neuen Anwendungen und Schnittstellen kann ein beliebig komplexes IT-Entwicklungsprojekt sein. Diese Anpassungen sind oft notwendig, k\u00f6nnen aber Schwachstellen beinhalten und das Sicherheitsniveau des Gesamtsystems reduzieren.<\/p>

\"\"<\/a><\/div><\/div>\n\n\n\n


Viele Sicherheitsl\u00fccken im SAP-Umfeld sind auf fehlende Anforderungen, falsche Entscheidungen im Softwaredesign und Werkzeugauswahl und fehlende Kenntnis \u00fcber sichere Programmierpraktiken mit den verwendeten Programmiersprachen und Frameworks zur\u00fcckzuf\u00fchren. Dabei erzeugen Entwickler unwissentlich mehrere Schwachstellen wie Directory Traversals, Cross-Site-Scripting-Schwachstellen oder Fehler in der Zugriffskontrolle. Eine einzige Schwachstelle kann sensible Gesch\u00e4ftsdaten offenlegen oder eine Kompromittierung des Systems durch einen Angreifer erm\u00f6glichen. Stand heute erzeugen Entwickler neben dem Nutzen durch ihre Arbeit neue Sicherheitsrisiken. Entwickler haben umfangreiche Berechtigungen. Mit umfassenden Zugriffsrechten k\u00f6nnen Entwickler versehentlich oder b\u00f6swillig Hintert\u00fcren einf\u00fchren, kritische Daten manipulieren oder Sicherheitskontrollen umgehen. Checklisten zur Pr\u00fcfung von Transportfreigaben umfassen oft bis heute keine Pr\u00fcfung auf Sicherheitsdefekte oder Schadsoftware.<\/p>\n\n\n\n

Wird keine Aufgabentrennung durchgesetzt und Entwickler haben ungehinderten Zugriff auf Entwicklungs-, Test- und Produktionsumgebungen, ist eine Erbeutung dieser Zug\u00e4nge f\u00fcr Angreifer besonders interessant. Au\u00dferhalb der SAP-Welt w\u00fcrde man das Profil eines SAP-Entwicklers als Full-Stack-\u00adEntwickler bezeichnen. Damit sind in Abgrenzung zu Frontend und Backend Programmierer gemeint, die eine Anwendung von der Benutzerschnittstelle \u00fcber Integrationen bis hin zur Gesch\u00e4ftslogik selbstst\u00e4ndig mit dem verf\u00fcgbaren Technologiestack realisieren.<\/p>\n\n\n\n

In Kombination mit ihrem Prozesswissen liefern SAP-Entwickler mit dem SAP-Werkzeugkasten zu Tausenden t\u00e4glich Erweiterungen und Anpassungen aus und stellen damit SAP-Kunden ein enormes Innovationspotenzial und Wettbewerbsvorteile zur Verf\u00fcgung. Der angebotene Werkzeugkasten der SAP wird dabei immer gr\u00f6\u00dfer und es wird oft erwartet, dass SAP-Entwickler die Klaviatur von der Pflege einer SAP-GUI-Bestandsanwendung bis hin zur Verwendung von Fiori-Elements und alles dazwischen beherrschen. Jede dieser Klaviaturen hat individuelle Sicherheitseigenschaften, die der SAP-Entwickler bei deren Verwendung ber\u00fccksichtigen sollte, um Schwachstellen zu vermeiden und Sicherheitsanforderungen korrekt umzusetzen.<\/p>\n\n\n\n

Fatales Learning by Doing<\/h2>\n\n\n\n

Selten k\u00f6nnen Sie daf\u00fcr Zeit und Ressourcen in Anspruch nehmen \u2013 meist herrscht eine \u201eLearning by Doing\u201c-Mentalit\u00e4t mit Folgen. \u201eIch h\u00e4tte bei dem Begriff \u201aTransport\u2018 nie an ein Softwareauslieferungsformat gedacht\u201c, so der Softwaresicherheitsarchitekt einer Bank. H\u00e4ufig wissen der \u00fcbrige IT-Betrieb und die Informationssicherheit \u00fcberhaupt nicht, in welcher Frequenz und welchem Umfang Softwareentwicklung mit SAP-Technologien als Anwendungsplattform stattfindet. Ein Softwarearchitekt bei einem Kunden hat das einmal als den \u201eHidden Elephant\u201c seiner Softwareentwicklungspraxis beschrieben. <\/p>\n\n\n\n

So passiert es aber auch, dass Initiativen zur Steuerung von Softwareentwicklungsprozessen oder der Verbesserung der Qualit\u00e4t und Sicherheit die SAP-Entwicklung nicht miteinbeziehen und daf\u00fcr definierte Prozesse und Werkzeuge f\u00fcr die SAP-Entwicklung nicht oder nur teilweise anwendbar sind. Dabei k\u00f6nnen Fehler in kundeneigenen Entwicklungen und Add-ons erhebliche Sicherheitsprobleme verursachen. Wie jede Programmiersprache haben auch Abap und Co. spezifische Eigenschaften, denen man als Entwickler Rechnung tragen muss.<\/p>\n\n\n\n

Abap-Fehlermuster<\/h2>\n\n\n\n

Aus den Dutzenden Code-Reviews, die ich in den vergangenen zehn Jahren durchgef\u00fchrt habe, stechen folgende Fehlermuster besonders hervor:<\/p>\n\n\n\n