Monat: Januar 2026

Sie vertrauen darauf, dass SAP seine Standardsoftware sicher entwickelt. Aber was ist mit den Millionen Zeilen Code, die Ihre eigenen Entwickler oder externe Dienstleister über die Jahre geschrieben haben?

In fast jedem SAP-System schlummern abertausende Z-Programme und Erweiterungen. Das Problem: ABAP-Entwickler werden für Funktionalität bezahlt, nicht für Sicherheit. Oft fehlt das Bewusstsein für Secure Coding. Das Ergebnis sind hausgemachte Einfallstore wie SQL-Injections, fehlende Berechtigungsprüfungen oder Backdoors, die selbst die beste Firewall umgehen.

In diesem Beitrag zeigen wir, wie der werthAUDITOR Ihren eigenentwickelten Code (Custom Code) durchleuchtet und Sicherheitslücken präzise aufzeigt – wie Sie im Screenshot sehen können.

1. Der unsichtbare Feind (Static Code Analysis)

Ein klassischer Virenscanner hilft bei ABAP nicht. Sie benötigen eine spezialisierte Analyse. Der werthAUDITOR scannt Ihren gesamten kundeneigenen Namensraum (Z* / Y*) auf typische Sicherheitsmuster.

Dabei geht es nicht um Syntaxfehler, sondern um handfeste Risiken:

• SQL-Injection: Unsichere Datenbankabfragen, über die Angreifer Daten manipulieren können.
• Backdoors: Hartcodierte User-Checks (z.B. IF sy-uname = 'DEVELOPER'), die als geheime Hintertüren dienen.
• OS Command Injection: Befehle, die direkt auf das Betriebssystem durchgreifen.

2. Präzision bis auf die Zeile (Finding Details)

Ein Scan-Ergebnis muss für Entwickler sofort verständlich sein. Pauschale Warnungen helfen niemandem. Der werthAUDITOR liefert daher – wie hier im Bild zu sehen – alle Details auf einen Blick:

• Die Fundstelle: Der Screenshot zeigt exakt die betroffene Code-Zeile und den Report-Namen. Sie sehen sofort den Kontext (z.B. ein dynamischer SELECT oder ein kritischer Funktionsaufruf), ohne erst im System suchen zu müssen.
• Die Bewertung: Der CVSS-Score (hier z.B. oben rechts im Bild) gibt Ihnen eine objektive Einschätzung der Gefährlichkeit. So können Sie priorisieren: Kritische Lücken zuerst!
• Die Lösung: Unter „Problemberichtigung“ liefert das Tool keine kryptischen Fehlercodes, sondern eine klare Handlungsanweisung. Oft wird direkt erklärt, wie der Code umgeschrieben werden muss oder welche SAP-Klasse stattdessen verwendet werden sollte.

3. Zero Footprint – Sicherheit ohne Ballast

Viele Code-Scanner erfordern aufwendige Installationen oder den Export des gesamten Quellcodes in externe Systeme. Der werthAUDITOR arbeitet nach dem Zero-Footprint-Ansatz. Die Analyse erfolgt ressourcenschonend über die RFC-Schnittstelle, ohne dass Sie zusätzliche Agenten auf Ihrem Produktions- oder Entwicklungssystem installieren müssen.

4. Integration in den Entwicklungsprozess

Am besten beheben Sie Fehler, noch bevor sie im Produktivsystem landen. Integrieren Sie den werthAUDITOR Scan in Ihre Transportwege. So etablieren Sie ein „Security Quality Gate“, das schlechten Code gar nicht erst durchlässt.

Fazit: Code-Sicherheit transparent gemacht

Ihr eigener Code ist oft die größte Unbekannte in Ihrer Sicherheitsgleichung. Mit der Custom ABAP Code Security des werthAUDITOR machen Sie diese „Blackbox“ transparent. Der Screenshot beweist: Sie erhalten keine abstrakten Daten, sondern eine klare Arbeitsanweisung für Ihre Entwickler.

Ihr nächster Schritt: Wissen Sie, ob in Ihren Z-Programmen versteckte DELETE-Befehle schlummern? Lassen Sie uns einen Scan über Ihren Custom Code laufen und die Ergebnisse gemeinsam analysieren.

Jeden zweiten Dienstag im Monat ist „Patch Day“. Die SAP veröffentlicht neue Security Notes, und für SAP-Basis-Administratoren beginnt das große Suchen: „Ist mein Kernel betroffen? Haben wir diesen Parameter schon gesetzt? Gilt dieser Hinweis überhaupt für unsere Version?“

Die Realität in vielen Unternehmen ist ernüchternd: Tausende Systemparameter und Patch-Level werden manuell oder mit selbstgebauten Skripten geprüft. Das ist nicht nur fehleranfällig, sondern bei der heutigen Schlagzahl an Sicherheitslücken schlichtweg nicht mehr leistbar. Oft bleiben Systeme monatelang ungepatcht, weil der Überblick fehlt oder die Priorisierung unklar ist.

In diesem Beitrag zeigen wir, wie Sie mit dem werthAUDITOR das Steuer übernehmen: Durch vollautomatisierte Configuration Validation und intelligentes Vulnerability Management.

1. Der automatisierte 360°-Check (Vulnerability Management)

Sicherheit ist kein statischer Zustand, sondern eine Momentaufnahme. Was heute sicher ist, kann morgen durch eine neu entdeckte Lücke (CVE) kritisch sein. Der werthAUDITOR prüft Ihre Systeme daher nicht punktuell, sondern kontinuierlich und ganzheitlich.

Unsere Security Engine scannt weit mehr als nur fehlende SAP-Hinweise. Wir prüfen den gesamten Stack:

• Patch-Level: Fehlen kritische Security Notes im ABAP-Stack, im Kernel oder in der Datenbank?
• Betriebssystem: Sind OS-Bibliotheken aktuell und gehärtet?
• Konfiguration: Sind Profilparameter (z.B. für Passwortrichtlinien oder Gateway-Sicherheit) korrekt gesetzt?

Das Ergebnis ist eine klare, priorisierte Risikoübersicht. Sie sehen sofort, wo der Schuh drückt – bewertet nach dem CVSS-Score (Common Vulnerability Scoring System), damit Sie wissen, was Sie zuerst fixen müssen.

(Alles auf einen Blick: Die Risikoübersicht zeigt fehlende Patches, kritische Berechtigungen und Konfigurationsfehler, sauber kategorisiert und bewertet)

2. Compliance auf Knopfdruck (Systemhärtung)

Neben fehlenden Updates sind Fehlkonfigurationen das größte Einfallstor. Doch wer kennt schon alle 2.000+ sicherheitsrelevanten SAP-Einstellungen auswendig?

Der werthAUDITOR bringt das Expertenwissen „Out of the Box“ mit. Wir prüfen Ihre Systeme automatisch gegen die wichtigsten Sicherheitsstandards:

• DSAG Prüfleitfaden
• BSI IT-Grundschutz
• SAP Security Baseline

Sie erhalten keinen abstrakten Report, sondern konkrete Handlungsempfehlungen. Wenn ein Parameter falsch gesetzt ist, sagt Ihnen das Tool nicht nur, dass es so ist, sondern auch, wie der korrekte Wert lauten muss und warum das wichtig ist.

3. Zero Footprint – Sicherheit ohne Ballast

Viele Security-Tools erfordern die Installation von Agenten auf jedem einzelnen SAP-Server. Das freut keinen Basis-Admin: Mehr Wartungsaufwand, potenzielle Performance-Probleme und Abhängigkeiten bei Upgrades.

Wir gehen einen anderen Weg. Der werthAUDITOR arbeitet nach dem „Zero Footprint“-Prinzip. Die Prüfung erfolgt von außen über Standard-Schnittstellen (RFC), ohne dass Sie Software auf Ihren produktiven SAP-Systemen installieren müssen. Das hält Ihre Systeme sauber und reduziert den administrativen Aufwand auf ein Minimum.

Fazit: Agieren statt Reagieren

Mit dem automatisierten Vulnerability Management des werthAUDITOR verwandeln Sie den monatlichen „Patch-Stress“ in einen geordneten Prozess. Sie wissen jederzeit, wie sicher Ihre Systeme sind, erfüllen Compliance-Vorgaben quasi nebenbei und können Auditoren jederzeit valide Berichte vorlegen.

Statt Listen zu pflegen, können Sie sich wieder darauf konzentrieren, Ihre SAP-Landschaft stabil und performant zu halten.

Ihr nächster Schritt: Sind Sie sicher, dass Ihr Gateway-Parameter gw/acl_mode korrekt gesetzt ist? Ein kurzer Scan gibt Ihnen Gewissheit. Sprechen Sie uns an!

Es ist das klassische Dilemma eines jeden SAP-Berechtigungsadministrators: Der Wirtschaftsprüfer fordert restriktive Berechtigungen (Need-to-Know-Prinzip), aber der Fachbereich fordert: „Es muss einfach laufen!“

Das Ergebnis in der Praxis ist oft ernüchternd: „Historisch gewachsene“ Rollen, User mit viel zu weiten Kompetenzen und die berühmte Angst vor Änderungen („Never touch a running system“). Denn wer Rechte entzieht, riskiert, dass kritische Geschäftsprozesse plötzlich stehenbleiben. Eine manuelle Bereinigung gleicht der Suche nach der Nadel im Heuhaufen und ist enorm zeitaufwendig.

In diesem Beitrag zeigen wir Ihnen, wie Sie mit dem werthAUDITOR diesen gordischen Knoten lösen – durch datenbasierte Role Minimization und proaktive Simulation.

Schritt 1: Messen statt Raten (Role Minimization)

Warum manuell erraten, was ein Sachbearbeiter im Einkauf wirklich tut, wenn das System es uns sagen kann? Der werthAUDITOR bietet hierfür die leistungsstarke Benutzertrace Analyse.

Anstatt Usern pauschal weitreichende Rechte zu geben, gehen Sie so vor:

1. Aufzeichnen: Sie aktivieren einen Trace für einen Referenzzeitraum (z.B. einen Monatsabschluss).
2. Analysieren: Der werthAUDITOR wertet die Trace-Daten aus. Das Dashboard zeigt Ihnen präzise, welche Berechtigungsobjekte, Feldwerte und Transaktionen tatsächlich erfolgreich genutzt wurden. Im Screenshot sehen Sie beispielsweise genau, dass der User das Objekt PLOG mit dem Infotyp 1001 und dem Subtyp B007 benötigt hat.
3. Generieren: Jetzt kommt der Clou. Statt die Rolle manuell in der PFCG zu bauen, nutzen Sie die Funktion „Rolle exportieren“. Der werthAUDITOR generiert einen Vorschlag für eine passgenaue Rolle, die exakt den genutzten Funktionen entspricht.

Das Ergebnis: Eine radikal entschlackte Rolle, die funktioniert – ohne das Risiko, zu viel wegzunehmen.

(Datenbasierte Entscheidung: Der werthAUDITOR zeigt genutzte Rechte und generiert daraus den Rollenvorschlag)

Schritt 2: Sicherheit vor dem Go-Live (Role Verification & Simulation)

Nachdem Sie eine Rolle entschlackt oder neu gebaut haben, stellt sich die nächste Frage: Habe ich versehentlich eine kritische Berechtigung (SoD-Konflikt) eingebaut? Oder reicht die neue Rolle für den Job aus?

Bevor Sie die Änderungen im Produktivsystem aktivieren, nutzen Sie die Berechtigungssimulation des werthAUDITOR.

• Simulation gegen Regelwerke: Prüfen Sie die geplante Rolle (oder den User) gegen gängige Sicherheitsstandards (DSAG, BSI) oder Ihre eigenen Compliance-Regeln.
• Risiko-Vorschau: Sie sehen sofort, ob die Änderung zu „Kritischen Berechtigungen“ (z.B. Debugging mit Speicheränderung oder direkter Tabellenpflege) führen würde.
• Transparenz: Die Simulation zeigt Ihnen nicht nur das „Ob“, sondern auch das „Warum“ – bis hinunter auf die Ebene der einzelnen Berechtigungsobjekte.

Fazit: Compliance ohne Kopfschmerzen

Mit der Kombination aus Role Minimization (Trace-Analyse) und Role Verification (Simulation) verwandeln Sie das Berechtigungsmanagement von einer angstgesteuerten Aufgabe in einen kontrollierten, sicheren Prozess.

Sie erfüllen die Anforderungen der Wirtschaftsprüfer (Least Privilege), ohne die Produktivität der Fachbereiche zu gefährden.

Ihr nächster Schritt: Möchten Sie wissen, wie viele überflüssige Berechtigungen in Ihren Rollen schlummern? Wir bieten Ihnen gerne eine Demo anhand Ihrer eigenen Daten an.