Gastbeitrag: SAP – Sicherheit als Problem (4)

Heuristika Unternehmensberatung

Teil IV: Der Entwickler als latentes Sicherheitsrisiko

Um diesen Teil des Artikels gleich mit einem Knall zu beginnen: Die Situation bei den Entwicklern ist beängstigend, dem Autor dieser Zeilen ist in mehr als 15 Jahren kein einziger Entwickler begegnet, der eine spezielle Schulung zum Datenschutz oder zur SAP-Systemsicherheit besucht hätte, in der Regel wurden nicht einmal die nach Bundesdatenschutzgesetz für alle Mitarbeiter vorgeschriebenen Datenschutzunterweisungen durchgeführt. Was bei “normalen” Mitarbeitern schon ein Gesetzesverstoß ist, ist bei Mitarbeitern solchen “Kalibers” eine nicht hinnehmbare Fahrlässigkeit der IT-Verantwortlichen und der Geschäftsführung. Jeder Entwickler, ob intern oder extern, hat weitreichende Möglichkeiten der Systemmanipulation und ist im Falle von Fehlern bei der Implementierung oder (auch das kann man nicht ausschließen) absichtlichen Manipulationen ein latentes Sicherheitsrisiko.

Aber das Problem liegt nicht nur beim Entwickler selbst. So werden Eigenentwicklungen grundsätzlich nur auf Funktion und Fehler, im Zweifel noch auf korrekt arbeitende Berechtigungsprüfungen hin getestet, aber nicht auf Sicherheit und Datenschutz, obschon eigentlich jede Eigenentwicklung, auch jede Erweiterung des SAP-Standards, auf Sicherheitslücken hin getestet werden muss, und zwar am besten automatisch durch entsprechende ABAP Unit Tests und/oder eCATT-Szenarien. Aber hierfür bedarf es schon einer Ressource, die es in vielen Unternehmen gar nicht gibt: Entwickler, Anwender und Modulverantwortliche mit einem Auge für Sicherheitsprobleme! Dieses Auge wird nicht angeboren, sondern ist ein Ergebnis von Schulungen und Workshops und der Fähigkeit, destruktiv und eben nicht aus der Sicht des gutmütigen SAP-Anwenders zu denken ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK