Sichere AIOps - Brauche ich wirklich den SAP-Transport? - Fragen & Antworten

Während der Implementierung bei Kunden werden wir oft gefragt, ob die Avantra-SAP-Transporte wirklich notwendig sind. In diesem Beitrag beantworten wir viele der häufigen Fragen und erklären die Gründe hinter unseren Designentscheidungen für die Plattform.

Unsere Entscheidungen basieren auf Sicherheitsprinzipien, den Best Practices von SAP und über 23 Jahren gesammelter Erfahrung. Diese Prinzipien gewährleisten eine zuverlässige, sichere und effektive Lösung für unsere Kunden.

Sollten Sie eine Frage haben, die hier nicht beantwortet wird, lassen Sie es uns wissen – wir werden diese gerne in zukünftigen Updates berücksichtigen.

Übersicht

1. Sind Avantra-Transporte für alle Funktionen von Avantra notwendig?

2. Warum benötigt Avantra Code in meinem SAP-System?

3. Können Automatisierungen auch ohne Transporte ausgeführt werden?

4. Was ist mit Lösungen, die ohne Transporte auskommen wollen?

5. Warum bevorzugt Avantra eigene Transporte?

6. Wie sieht es mit meiner SAP RISE-Umgebung aus – kann ich dort Avantra-Transporte verwenden?

7. Wie sieht es mit SAP S/4HANA Cloud - Public Edition aus – benötige ich dort einen Transport?

Sind Avantra-Transporte für alle Funktionen von Avantra notwendig?

Nein, insbesondere im Bereich der Observability (Überwachung) lassen sich viele Prüfungen auch ohne implementierte Transporte durchführen. Das ist besonders praktisch während der Bereitstellung, wenn Kunden auf die Genehmigung von Änderungen warten.

Warum benötigt Avantra Code in meinem SAP-System?

Die meisten Aufgaben in einem SAP-System erfordern lokale Ausführung, was bedeutet, dass Benutzer sich über die SAP-GUI oder die Fiori-Oberfläche in das System einloggen müssen. Diese von SAP getroffene Designentscheidung erhöht die Sicherheit, Nachvollziehbarkeit und Konsistenz bei der Ausführung von Geschäftsprozessen.

Um Monitoring und Automatisierung zu ermöglichen, verwendet Avantra benutzerdefinierten Code, der über einen SAP-„Transport“ eingeführt wird. Transporte erlauben es, Code in einem SAP-System hinzuzufügen oder zu ändern. SAP stellt eindeutige Namensräume oder Codepräfixe für Drittanbieter bereit, um deren Code zu integrieren. Beispielsweise liegen alle Avantra-spezifischen Codes im Namensraum „/syslink/“ oder „/avantra/“.

Können Automatisierungen auch ohne Transporte ausgeführt werden?

Ja schon, aber in den meisten Fällen nicht. Wenn SAP es ausdrücklich erlaubt, einen Prozess remote auszuführen, wie beispielsweise das Anlegen neuer Benutzer, ist kein Transport erforderlich.

Für die Mehrheit der Anwendungsfälle gilt das jedoch nicht. SAP beschränkt Remote-Ausführungen ganz bewusst, um die Sicherheit des Systems zu gewährleisten. Komplexe Aufgaben wie Systemaktualisierungen, die Pflege von Profilparametern, der Austausch von Zertifikaten oder das Einspielen von SAP-HotNews-Updates sollten ausschließlich mit umfassender Fachkompetenz automatisiert werden.

Bei Avantra setzen wir eigenentwickelten Code innerhalb unserer Transporte ein, um diese Funktionen sicher effizient in unsere Automatisierungs-Engine zu integrieren.

Was ist mit Lösungen, die ohne Transporte auskommen wollen?

Avantra folgt konsequent den Richtlinien und Best Practices von SAP und verzichtet bewusst auf dynamische Code-Injektionen für komplexe Automatisierungen wie Systemaktualisierungen oder den Austausch von Zertifikaten. SAP warnt ausdrücklich davor, dass dynamische Programmiertechniken „ein ernsthaftes Sicherheitsrisiko darstellen“ können. Aus diesem Grund wird bei Avantra der gesamte Code statisch in unseren Transporten bereitgestellt, anstatt ihn zur Laufzeit ins System einzubringen.

Dynamische Programmiertechniken bergen aus drei wesentlichen Gründen erhebliche Risiken:

1. Gefährliche Berechtigungen
   Dynamische Programmiertechniken erfordern, dass Drittanbieter-Benutzer Berechtigungen haben, um Code zur Laufzeit zu generieren und zu löschen. Dies stellt ein erhebliches Sicherheitsrisiko dar, da keine Kontrolle oder Überwachung darüber besteht, was der ausgeführte Code tatsächlich macht.
   
   
2. Keine Revisionssicherheit
   Dynamisch generierter Code wird nach der Ausführung entfernt. Dadurch ist es unmöglich nachzuvollziehen, welche Aktionen durchgeführt oder welche Änderungen im System vorgenommen wurden. Diese fehlende Rückverfolgbarkeit stellt ein ernsthaftes Compliance- und Sicherheitsproblem dar.
   
   
3. Risiken der Code-Manipulation
   Dynamischer Code kann ohne angemessene Kontrolle oder Verifizierung verändert werden. Der ausgeführte Code kann sich im Laufe der Zeit unbemerkt ändern, ohne dass diese Änderungen überprüft werden können. Wenn ein Drittanbietersystem die Kontrolle über den generierten Code verliert, kann dies das SAP-System anfällig für Angriffe machen.

Avantra hat sich in enger Abstimmung mit einigen unserer wichtigsten Kunden bereits vor vielen Jahren bewusst von dynamischen Programmiertechniken verabschiedet, um unter Einhaltung von SAP-Richtlinien und bewährten Best Practices jederzeit sichere, revisionssichere und zuverlässige Automatisierungen zu gewährleisten.

Warum bevorzugt Avantra eigene Transporte?

Neben den offensichtlichen Sicherheitsvorteilen gibt es zahlreiche weitere Gründe, warum Avantra den Einsatz eigener SAP-Transporte bevorzugt:

SAP-zertifiziertes Add-in

Avantra trägt die Zertifizierungen „Works with SAP RISE“ (Report Nr. 20704), „Integration for SAP NetWeaver“ und „Integration with SAP S/4HANA“. Wir durchlaufen regelmäßig Zertifizierungsprozesse, bei denen SAP Funktionalität und Code eingehend prüft. So wird sichergestellt, dass wir die hohen Standards und Anforderungen der SAP für die Integration von Drittanbieter-Automatisierungen jederzeit erfüllen.

Audits

Avantras statische Transporte schaffen eine klare Grundlage für lückenlose Audits, bei denen Kunden die Funktionsweise und den Code detailliert nachvollziehen können. So stellen wir sicher, dass unsere Lösungen höchste Sicherheits- und Qualitätsanforderungen erfüllen. Diese Transparenz ist ein entscheidender Vorteil gegenüber dynamischen Code-Injektionen, die solche Einblicke nicht erlauben, und ein weiterer Beleg für unsere kompromisslose Ausrichtung auf einen sicheren und zuverlässigen Betrieb.

Penetrationstest

Avantra führt gemeinsam mit seinen Kunden regelmäßig umfassende Penetrationstests durch, um die Sicherheit der Plattform und ihrer Funktionen zu validieren. Dabei setzen wir nicht auf „Security through Obscurity“, sondern legen großen Wert auf maximale Transparenz bei unseren SAP-Transporten. Unsere Kunden werden ausdrücklich ermutigt, unsere Transporte vor ihrem Einsatz in geschäftskritischen Umgebungen umfassend zu prüfen, zu testen und zu validieren, um ihr Vertrauen in die Lösung zu stärken und sich von ihrer Zuverlässigkeit zu überzeugen.

Wie sieht es mit meiner SAP RISE-Umgebung aus – kann ich dort Avantra-Transporte verwenden?

Avantra ist für den Einsatz mit RISE with SAP zertifiziert (Report Nr. 20704). Sind Ihre Avantra-Transporte bereits vor der Migration auf SAP RISE eingerichtet, können sie nahtlos weiter genutzt werden. Fehlen diese noch, empfiehlt es sich, gemeinsam mit SAP oder Ihrem Dienstleister die Implementierung durchzuführen und die entsprechenden Benutzerzugriffe zu konfigurieren.

In RISE-Szenarien werden bestimmte Automatisierungen, wie beispielsweise Systemaktualisierungen, in der Regel von SAP oder Ihrem Dienstleister übernommen, die möglicherweise ebenfalls Avantra einsetzen. Dennoch stehen Ihnen zahlreiche weitere Automatisierungen von Avantra auch weiterhin zur Verfügung. 

Im Gegensatz dazu basieren Automatisierungen, die keinen ABAP-Code (via Transport) verwenden, üblicherweise auf Betriebssystembefehlen, Skripten oder Ansible und können daher in RISE-Umgebungen nicht genutzt werden.

Wie sieht es mit SAP S/4HANA Cloud - Public Edition aus – benötige ich dort einen Transport?

Die Public Edition von SAP S/4HANA Cloud basiert auf einem SaaS-Modell. Observability und Automatisierung erfolgen hier über offene APIs, anstelle der traditionellen Methoden wie On-Premises- oder Cloud-Installationen. Dank der offenen APIs sind Transporte in diesem Szenario überflüssig. Die Integration ist denkbar einfach: Sie müssen lediglich den System-Standort und die Zugangsdaten in Avantra konfigurieren – und alles funktioniert reibungslos.

Sprechen Sie noch heute mit einem unserer SAP-Experten und erfahren Sie mehr.