Skip to content
  • Das Produkt: OCT
    • Help Center
      • Handbuch
    • OCT-Support
    • Systemvoraussetzungen
    • Changelogs
  • Lösungen
    • Datenintegration
      • OCT Integration für das Rechnungswesen
      • OCT Integration für die Personalwirtschaft
      • OCT Integration für die Sozialwirtschaft
      • Weitere Standardschnittstellen
    • Detailplanung
      • OCT Vertragsmanagement
      • OCT Investitionsplanung
      • OCT Konten- und GuV-Planung
      • OCT Personalkostenplanung
      • OCT Personalkapazitätsplanung
      • OCT Darlehensplanung
      • IFRS 16 Leasing-Vertragsmanagement mit OCT
    • Standardauswertungen
      • OCT Reporting
      • Business Intelligence
  • Kunden & Partner
    • Referenzen
    • Saxess Stories
    • Partner
  • Unternehmen
    • Über uns
    • Karriere
    • Kontakt
  • Blog
  • Search
Saxess Software GmbH
Saxess Software GmbH
 
  • Das Produkt: OCT
    • Help Center
      • Handbuch
    • OCT-Support
    • Systemvoraussetzungen
    • Changelogs
  • Lösungen
    • Datenintegration
      • OCT Integration für das Rechnungswesen
      • OCT Integration für die Personalwirtschaft
      • OCT Integration für die Sozialwirtschaft
      • Weitere Standardschnittstellen
    • Detailplanung
      • OCT Vertragsmanagement
      • OCT Investitionsplanung
      • OCT Konten- und GuV-Planung
      • OCT Personalkostenplanung
      • OCT Personalkapazitätsplanung
      • OCT Darlehensplanung
      • IFRS 16 Leasing-Vertragsmanagement mit OCT
    • Standardauswertungen
      • OCT Reporting
      • Business Intelligence
  • Kunden & Partner
    • Referenzen
    • Saxess Stories
    • Partner
  • Unternehmen
    • Über uns
    • Karriere
    • Kontakt
  • Blog
  • Search
Demo
Home Blog Sicherheitslücke SAP-Schnittstellen im Controlling: Worauf Sie bei Ihrem Schnittstellen-Anbieter achten sollten
Sicherheitslücke SAP-Schnittstellen im Controlling: Worauf Sie bei Ihrem Schnittstellen-Anbieter achten sollten
Blog, Integration

Sicherheitslücke SAP-Schnittstellen im Controlling: Worauf Sie bei Ihrem Schnittstellen-Anbieter achten sollten

By RedesignUser Juli 31, 2018 Oktober 8, 2020  SAP-Schnittstelle im Controlling, SAP-Schnittstelle Sicherheit, Sicherheitslücke SAP

Sicherheitslücken sind überall gefährlich, wo sensible Daten verarbeitet werden. Im Controlling sind das Bilanz- oder Planungszahlen, die per Schnittstellen zwischen Systemen ausgetauscht werden. Warum gerade SAP-Schnittstellen im Controlling gefährdet sein können, erfahren Sie hier.

Sicherheitslücken bei SAP-Schnittstellen im Controlling – Der Gedanke ist erst einmal nicht sehr naheliegend. Ist SAP doch eines der bewährtesten und sichersten Systeme, denkt man immer. Da liegen Sie auch nicht falsch, aber da SAP-Systeme häufig auch kundenseitig mit der hauseigenen, proprietären Programmiersprache ABAP weiterentwickelt werden, hat der Hersteller nicht mehr die volle Kontrolle über die Qualität des Codes. Kundenunternehmen hingegen verzichten schnell auf externe Qualitätschecks ihres Codes. So hatte bereits in 2015 ein ABAP-Quality-Benchmark ergeben, dass bei 300 SAP-Kunden pro Anwendung rund 2000 kritische Sicherheitsfehler durch einen anonymisierten Scan entdeckt wurden.

Nun nutzen nicht nur Kundenunternehmen die Möglichkeit per selbstgeschriebenen ABAP-Code die SAP-Standardfunktionen an die eigenen Geschäftsprozesse anzupassen. Auch Anbieter von SAP-Schnittstellen für das Controlling bedienen sich der Methode. Hier ist besonders die Integration von SAP mit Planungs- oder Business Intelligence-Lösungen gefragt. Birgt der selbstgeschriebene ABAP-Code der SAP-Schnittstelle im Controlling Qualitätsmängel, kann dies ein Sicherheitsrisiko sein.

ABAP Command Injection problematisch bei SAP-Schnittstellen im Controlling

Ein Check mit dem „Code Profiler“ z.B. von Virtual Forge gibt Aufschluss darüber, welche Sicherheitslücken im Code Ihrer SAP-Schnittstelle lauern. Erste Alarmglocken sollten bei dem Auftreten einer ABAP Command Injection innerhalb des Programms und fehlenden Autoritätschecks in Reports läuten. Durch die sogenannte „Code Injection“-Sicherheitslücke ist es zum Beispiel möglich, dynamischen ABAP Quellcode in das System einzuschleusen, es auszuführen, um Unternehmenskennzahlen zu ändern, und es danach wieder zu löschen, ohne dass diese Manipulation bemerkt werden würde.

Als Alternative zu einem umfassenden Sicherheitscheck des ABAP-Codes der SAP-Schnittstelle im Controlling, kann auch beim Schnittstellen-Hersteller nachgefragt werden, ob diese überhaupt mit ABAP-Code arbeitet. Unsere SX Integrator SAP-Schnittstelle beispielsweise verwendet auf SAP-Seite nur die SAP-Funktion RFC_READ_TABLE, die vom SAP-System selbst im Standard benutzt wird und damit von SAP-Seite qualitätsgesichert ist.

Fakt ist: Wenn Sie auf Nummer Sicher gehen wollen, informieren Sie sich genau über die Sicherheit Ihrer SAP-Schnittstelle im Controlling.

Unzureichendes Metadatenmanagement bremst Business Intelligence – Mehr Fokus auf die Datenintegration im Controlling nötig
Jetzt anmelden zum Webinar „Leasingobjekte nach IFRS 16 und dem Right-of-Use-Ansatz richtig bewerten und berechnen“

Schreibe einen Kommentar Antworten abbrechen

Du musst angemeldet sein, um einen Kommentar abzugeben.

  • Impressum|
  • AGB|
  • Datenschutzerklärung|
  • Newsletter|
Back to Top
Powered by Fluida & WordPress.