Sicherheitslücken sind überall gefährlich, wo sensible Daten verarbeitet werden. Im Controlling sind das Bilanz- oder Planungszahlen, die per Schnittstellen zwischen Systemen ausgetauscht werden. Warum gerade SAP-Schnittstellen im Controlling gefährdet sein können, erfahren Sie hier.

Sicherheitslücken bei SAP-Schnittstellen im Controlling – Der Gedanke ist erst einmal nicht sehr naheliegend. Ist SAP doch eines der bewährtesten und sichersten Systeme, denkt man immer. Da liegen Sie auch nicht falsch, aber da SAP-Systeme häufig auch kundenseitig mit der hauseigenen, proprietären Programmiersprache ABAP weiterentwickelt werden, hat der Hersteller nicht mehr die volle Kontrolle über die Qualität des Codes. Kundenunternehmen hingegen verzichten schnell auf externe Qualitätschecks ihres Codes. So hatte bereits in 2015 ein ABAP-Quality-Benchmark ergeben, dass bei 300 SAP-Kunden pro Anwendung rund 2000 kritische Sicherheitsfehler durch einen anonymisierten Scan entdeckt wurden.

Nun nutzen nicht nur Kundenunternehmen die Möglichkeit per selbstgeschriebenen ABAP-Code die SAP-Standardfunktionen an die eigenen Geschäftsprozesse anzupassen. Auch Anbieter von SAP-Schnittstellen für das Controlling bedienen sich der Methode. Hier ist besonders die Integration von SAP mit Planungs- oder Business Intelligence-Lösungen gefragt. Birgt der selbstgeschriebene ABAP-Code der SAP-Schnittstelle im Controlling Qualitätsmängel, kann dies ein Sicherheitsrisiko sein.

ABAP Command Injection problematisch bei SAP-Schnittstellen im Controlling

Ein Check mit dem „Code Profiler“ z.B. von Virtual Forge gibt Aufschluss darüber, welche Sicherheitslücken im Code Ihrer SAP-Schnittstelle lauern. Erste Alarmglocken sollten bei dem Auftreten einer ABAP Command Injection innerhalb des Programms und fehlenden Autoritätschecks in Reports läuten. Durch die sogenannte „Code Injection“-Sicherheitslücke ist es zum Beispiel möglich, dynamischen ABAP Quellcode in das System einzuschleusen, es auszuführen, um Unternehmenskennzahlen zu ändern, und es danach wieder zu löschen, ohne dass diese Manipulation bemerkt werden würde.

Als Alternative zu einem umfassenden Sicherheitscheck des ABAP-Codes der SAP-Schnittstelle im Controlling, kann auch beim Schnittstellen-Hersteller nachgefragt werden, ob diese überhaupt mit ABAP-Code arbeitet. Unsere SX Integrator SAP-Schnittstelle beispielsweise verwendet auf SAP-Seite nur die SAP-Funktion RFC_READ_TABLE, die vom SAP-System selbst im Standard benutzt wird und damit von SAP-Seite qualitätsgesichert ist.

Fakt ist: Wenn Sie auf Nummer Sicher gehen wollen, informieren Sie sich genau über die Sicherheit Ihrer SAP-Schnittstelle im Controlling.