Information et éducation par et pour la communauté SAP

Open Source im Enterprise – trotz Log4J

SAP und die gesamte SAP-Community nutzen seit vielen Jahren erfolgreich immer mehr Open Source. Der Einsatz Hunderter oder Tausender unterschiedlicher Komponenten bei SAP-Kunden ist im Jahr 2022 die Regel, nicht die Ausnahme.
Ralf Meyer, Synomic
5 avril 2022
Open-Source
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Ohne die stark wachsende Anzahl von Open-Source-Software funktionieren heute schlichtweg weder SAP-Systeme noch die meisten modernen Unternehmen. Aktuell warnen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Fachpresse – wie unser E-3 Magazin – mit „Warnstufe Rot“ vor einer schwerwiegenden Sicherheitslücke in der weitverbreiteten Log4J-Software. Diese Lücke ist auch deshalb so kritisch, weil sie Hackern nicht nur ein unbemerktes Eindringen in Firmennetze erlaubt, sondern die Installation von nur schwer (wenn überhaupt) auffindbaren Hintertüren und die Installation von umfangreichem Schadcode in Firmensystemen ermöglicht. Dieser kann dann selbst nach erfolgreichem Update von Log4J erst viel später und hiervon unabhängig für kriminelle Angriffe genutzt werden.

Auch wenn dies für viele nach einem theoretischen Risiko klingt, wurden leider schon viele Systeme angegriffen, erfolgreich kompromittiert und ein großer Schaden angerichtet. Im Gegensatz zur SAP-Software gibt es für Open-Source-Software in der Regel keine automatischen Updates und keine Hinweise wie SAP-Notes (für Log4J hat SAP eine spezielle SAP-Note erstellt). Erschwerend hinzu kommt, dass Log4J – wie viel Open-Source-Software – integraler und versteckter Bestandteil von vielen weiteren Komponenten und Lösungen ist, was die Suche erschwert und aufwändig macht.

Wichtig ist, dass der Einsatz von Open-Source-Komponenten im Unternehmen durch einen professionellen Prozess geregelt und überwacht wird. Hierfür stehen spezielle Lösungen, wie die des Mannheimer Start-ups VersionEye oder Snyk aus Israel zur Verfügung. Beide Lösungen kennen nicht nur die aktuelle Version von einzelnen Komponenten, sondern können auch ineinander verschachtelte Stücklisten von Open-Source-Komponenten überwachen; wissen also, wo Komponenten auch noch verbaut wurden. Darüber hinaus liefern diese Lösungen weitere wichtige Informationen, wie zur Qualität (zum Beispiel Updatefrequenz oder Verbreitung), bekannte Sicherheitslücken und zugrunde liegende Lizenz-typen. Sie können Entwickler automatisch warnen, wenn Risiken erkannt oder gegen Firmenstandards verstoßen wird, wie das beispielsweise bei einem Einsatz nicht genehmigter Open-Source-Komponenten der Fall ist.

Da durch die immer wichtigeren, komplexeren und ständigen Änderungen ausgesetzten IT- und SAP-Welten Cyberangriffe auf Unternehmen und deren Wertschöpfungsketten zunehmen, wird neben der Open-Source-Überwachung auch die der zugrunde liegenden Infrastruktur wie Server und Netzwerke immer wichtiger. Obwohl dies noch komplexer als die Open-Source-Überwachung ist, sollte man dennoch unverzüglich beginnen und sich ein Bild der aktuellen Risikolage im eigenen Unternehmen verschaffen. Neben detaillierten Informationen zur Sicherheitslage liefern moderne Lösungen, wie beispielsweise LocateRisk aus Darmstadt oder die deutlich ältere Security-Scorecard aus New York, auch einen Vergleich mit ähnlichen Firmen (Peer-Group), damit man messen kann, wo man aktuell bei der eigenen Cyber-Sicherheit steht.

Darüber hinaus werden meist noch Empfehlungen für die Behebung erkannter Probleme und zur Verbesserung der eigenen Sicherheitslage gegeben. So bietet beispielsweise LocateRisk einen speziellen Service, um die aktuelle Log4J-Bedrohung schneller zu erkennen und zu beheben. Wichtig ist, dass die Open-Source- und die Infrastruktur-Überwachung möglichst konfigurationsfrei und hochautomatisiert erfolgen und sie sich – bei Bedarf – in bereits vorhandene Systeme und Dashboards integrieren lassen.

Auch wenn die aktuellen weltweiten Lieferketten-Störungen (zumeist) nicht durch Cyber-Security-Angriffe, sondern unter anderem durch die Covid-19-Pandemie ausgelöst wurden, könnte sich das ändern. Einige Konzerne lassen daher bereits heute ihre wichtigen Lieferanten durch Cyber-Security-Monitoring-Lösungen überwachen oder verlangen Open-Source-Audits, so wie beispielsweise SAP bei Partnern mit Lösungen auf der SAP-Preisliste.

avatar
Ralf Meyer, Synomic

Ralf Meyer ist Geschäftsführer von Synomic und Mitgründer der IA4SP.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.