Saxess – controlling intelligence

Monthly Archives: Juli 2018

Sicherheitslücke SAP-Schnittstellen im Controlling: Worauf Sie bei Ihrem Schnittstellen-Anbieter achten sollten

Sicherheitslücken sind überall gefährlich, wo sensible Daten verarbeitet werden. Im Controlling sind das Bilanz- oder Planungszahlen, die per Schnittstellen zwischen Systemen ausgetauscht werden. Warum gerade SAP-Schnittstellen im Controlling gefährdet sein können, erfahren Sie hier.

Sicherheitslücken bei SAP-Schnittstellen im Controlling – Der Gedanke ist erst einmal nicht sehr naheliegend. Ist SAP doch eines der bewährtesten und sichersten Systeme, denkt man immer. Da liegen Sie auch nicht falsch, aber da SAP-Systeme häufig auch kundenseitig mit der hauseigenen, proprietären Programmiersprache ABAP weiterentwickelt werden, hat der Hersteller nicht mehr die volle Kontrolle über die Qualität des Codes. Kundenunternehmen hingegen verzichten schnell auf externe Qualitätschecks ihres Codes. So hatte bereits in 2015 ein ABAP-Quality-Benchmark ergeben, dass bei 300 SAP-Kunden pro Anwendung rund 2000 kritische Sicherheitsfehler durch einen anonymisierten Scan entdeckt wurden.

Nun nutzen nicht nur Kundenunternehmen die Möglichkeit per selbstgeschriebenen ABAP-Code die SAP-Standardfunktionen an die eigenen Geschäftsprozesse anzupassen. Auch Anbieter von SAP-Schnittstellen für das Controlling bedienen sich der Methode. Hier ist besonders die Integration von SAP mit Planungs- oder Business Intelligence-Lösungen gefragt. Birgt der selbstgeschriebene ABAP-Code der SAP-Schnittstelle im Controlling Qualitätsmängel, kann dies ein Sicherheitsrisiko sein.

ABAP Command Injection problematisch bei SAP-Schnittstellen im Controlling

Ein Check mit dem „Code Profiler“ z.B. von Virtual Forge gibt Aufschluss darüber, welche Sicherheitslücken im Code Ihrer SAP-Schnittstelle lauern. Erste Alarmglocken sollten bei dem Auftreten einer ABAP Command Injection innerhalb des Programms und fehlenden Autoritätschecks in Reports läuten. Durch die sogenannte „Code Injection“-Sicherheitslücke ist es zum Beispiel möglich, dynamischen ABAP Quellcode in das System einzuschleusen, es auszuführen, um Unternehmenskennzahlen zu ändern, und es danach wieder zu löschen, ohne dass diese Manipulation bemerkt werden würde.

Als Alternative zu einem umfassenden Sicherheitscheck des ABAP-Codes der SAP-Schnittstelle im Controlling, kann auch beim Schnittstellen-Hersteller nachgefragt werden, ob diese überhaupt mit ABAP-Code arbeitet. Unsere SX Integrator SAP-Schnittstelle beispielsweise verwendet auf SAP-Seite nur die SAP-Funktion RFC_READ_TABLE, die vom SAP-System selbst im Standard benutzt wird und damit von SAP-Seite qualitätsgesichert ist.

Fakt ist: Wenn Sie auf Nummer Sicher gehen wollen, informieren Sie sich genau über die Sicherheit Ihrer SAP-Schnittstelle im Controlling.

Mitarbeiter (m/w) für Unternehmensplanung und Controlling

Wir suchen ab Januar 2019 zur unbefristeten Einstellung einen Mitarbeiter (m/w) für Unternehmensplanung und Controlling

Read more ›

Die Brücke für Business Intelligenc: Datenintegration im Controlling

Unzureichendes Metadatenmanagement bremst Business Intelligence – Mehr Fokus auf die Datenintegration im Controlling nötig

Laut einer neuen Studie von Sopra Steria Consulting und dem IT-Analysehaus Business Application Research Center (BARC) drohen die Mehrwerte der Digitalisierung verpasst zu werden, weil immer noch nicht alle verfügbaren Informationen für die Analysen genutzt werden. Warum aufgrund dessen die Datenintegration im Controlling immer mehr Bedeutung gewinnt, lesen Sie hier.

Auf Basis der Studie führte Michael Kroker in seinem Wirtschaftswoche-Blog letzte Woche drei zusammenhängende Ursachen für die geringen Fortschritte im Datenmanagement auf, die da wären:

  1. Stagnierende Budgets für Business Intelligence (BI) und Data Analytics resultierend aus
  2. bisher ausbleibenden oder stagnierenden Return-on-Investment (ROI) der BI & Analytics-Initiative resultierend aus
  3. schlechter Datenqualität und unzureichendem Metadatenmanagement

Folgerichtig würden Unternehmen das Potential wachsender Datenbestände und neuer Datenquellen nicht ausnutzen. Grund dafür ist, dass Daten wegen unzureichender Qualität bzw. fehlendem Metadatenmanagement nicht gefunden, verwendet oder sinnvoll verknüpft werden können. Ein ganz klares Resultat von mangelhafter oder fehlender Datenintegration, die oft nur in geringem Maße Teil von Business Intelligence-Lösungen ist.

Controlling-Abteilungen bei Business Intelligence weit vorn – auch bei der Datenintegration?

Dabei sind die Controlling-Abteilungen laut der Studie von Sopra Steria Consulting und dem IT-Analysehaus Business Application Research Center (BARC) mit 92% schon ganz vorn bei der Nutzung von BI & Analytics im Unternehmen. Auf dem Fuße folgen das Risikomanagement im Finanzsektor (70%) und das Kundenmanagement (60%). Doch während die systematische Erschließung von unternehmensinternen, strukturierten Daten zu 94% in den befragten Unternehmen abgeschlossen ist, tun sie sich mit der umfassenden Integration von Ereignis- und Prozessdaten noch schwer. Hier sehen sie sich bei einer Erfüllungsquote von 53%. Die Zukunftsmusik spielt dann bei den maschinengenerierten Daten aus der Industrie 4.0 (35%), Daten aus Weblogs und Clickstreams (30%) sowie unstrukturierten Textdaten (29%).

Die Datenintegration im Controlling muss also viel stärker als zuvor im Fokus und vor allem am Anfang von Business Intelligence-Initiativen stehen. Dabei ist weniger der Aufbau eines Data Warehouses als zentrale, standardisierte Datenbasis als große Herausforderung zu sehen. Sondern der Kernpunkt besteht darin, ein standardisiertes Datenmodell zu haben, welches die Daten aus möglichst vielen Datenquellen wie zum Beispiel ERP-, Kassen- und Zeiterfassungssystemen standardisiert extrahiert und im Data Warehouse speichert. Ein strukturierter aber auch flexibler Zugriff von Business Intelligence-Systemen auf diese gemeinsame Datenbasis – den Single Point of Truth – bildet dann den benötigten Abschluss des Prozesses.

An unseren Kundenanfragen erkennen wir bereits ein erhöhtes Interesse an der Datenintegration im Controlling. Besonders im Bereich des Vertriebscontrollings ist die Vernetzung mehrerer Systeme derzeit besonders gefragt. Doch auch hier ist noch Luft nach oben, besonders im reinen Unternehmenscontrolling, das sich bisweilen zu sehr auf die Standard-Unternehmensdaten beschränkt. Ebenso ist die Auffassung verbreitet, dass der Datenaustausch durch manuelle Exporte aus dem Quellsystem und Uploads von CSV-Listen in das Business Intelligence- oder Auswertungssystem ausreicht. Das hat auch durchaus seine Berechtigung, wenn nur jährlich oder halbjährlich ausgewertet wird. Dann lohnt sich das Investment in eine oder mehrere Schnittstellen sicherlich weniger. Doch der Sinn von Data Analytics und Business Intelligence liegt gerade in der kontinuierlichen, das heißt quartalsweisen, besser noch monatlichen oder sogar wöchentlichen Auswertung von Daten. Hier kann nur mittels flexibler Standardschnittstellen, die Datenintegration im Controlling und damit auch Data Analytics vorangetrieben werden.

Neuigkeiten
Jetzt Kontakt aufnehmen.
Wir helfen Ihnen gern weiter.
Jetzt testen.