Sichere System-Migration zu SAP S/4HANA und HANA Simplification Lists dringend empfohlen

Eine Migration auf HANA-basierte Systeme gestaltet sich je nach Ausgangslage unterschiedlich komplex, da für die Zielplattform seitens SAP feste Anforderungen an Hardware und Betriebssystem für einen zertifizierten Betrieb existieren. Aktuell sind gemäß SAP Hinweis 2235581 betriebssystemseitig ausschließlich Linux-Systeme für den SAP HANA Betrieb zertifiziert. Als Hardware-Basis können dazu die POWER-Architektur (von IBM) oder aber die x86-basierten Standardserver Verwendung finden.

Plattformfrage

Betreiben Anwenderunternehmen ihre SAP-Systeme auf anderen Betriebsplattformen wie den UNIX-Derivaten oder Microsofts Windows Server-Plattformen, wird bei einer Migration in die „HANA-Welt“ neben einem eventuell notwendigen Hardware-Wechsel auch ein Plattformwechsel auf ein für SAP HANA zertifiziertes Linux-Release (derzeit werden SuSE SLES oder RedHat RHEL unterstützt) notwendig.

Basierend auf Erfahrungswerten aktueller Systemanalysen existieren in den Systemen bei den Anwenderunternehmen immer wieder Sicherheitslücken auf sämtlichen für den Betrieb von SAP Systemen relevanten Security-Ebenen. Das beginnt beim Betriebssystem und erstreckt sich über die Konfiguration des Netzwerkes und den Datenbankeinstellungen bis hin zu Schwachstellen des SAP Applikation Servers sowie den für die Absicherung der betriebswirtschaftlichen Prozesse notwendigen Berechtigungen, die einen sicheren Systembetrieb gefährden. Diese „Security Altlasten“ werden häufig nur zögerlich beseitigt, um Sicherheitslücken zu schließen und erfordern einen proaktiven Umgang mit dem Thema Risikomanagement in SAP-Systemen.

Im Rahmen einer Migration auf eine für SAP HANA zertifizierte Betriebsplattform lässt sich die neue Zielplattform optimal für einen sicheren Systembetrieb ausrichten und vorhandene Sicherheitslücken im Rahmen des Migrationsplans einbeziehen und schließen.

Ausgangsszenario

Ein beispielhaftes Ausgangszenario könnte lauten:

SAP ERP 6.0 / Netweaver 7.0x auf Basis AIX mit ORACLE 11.2.0.4

ist zu migrieren auf

SAP ERP 6.0 EhP7 /Netweaver 7.40 auf Basis SuSE LINUX mit SAP S/4 HANA.

Der Aufbau der künftigen Zielplattform ermöglicht es von Beginn an, unter Berücksichtigung der Umsetzung von herstellerseitigen oder unabhängigen Security-Empfehlungen, die neue Umgebung aufzusetzen, ohne in den Produktivbetrieb eingreifen zu müssen. Die Implementierung der SAP-HANA-Datenbank beinhaltet ebenfalls eine Liste von Security-Empfehlungen des Herstellers, die vielfach verschiedene manuelle Tätigkeiten sowie die Etablierung von Prozessen, wie etwa das Monitoring und die Audit-Regelungen, erfordern.

Sowohl das zugrundeliegende Betriebssystem als auch die Datenbank und der Application Server sind ohne die Befolgung der Security-Empfehlungen nach der Installation noch nicht sicher. Sie entsprechen noch nicht den aktuellen Sicherheitsempfehlungen und müssen in einem ersten Schritt entsprechend gehärtet werden, um dies zu erreichen.

Akquinet unterstützt diesen Prozess mit einer abschließenden Sicherheitsanalyse (SAP HANA Migration Security Audit – Phase 1) der neuen Betriebsplattform. Dabei werden sämtliche Konfigurationen und Einstellungen, beginnend mit Betriebssystem über Datenbank und Netzwerkeinstellungen bis hin zu Konfigurationseinstellungen des SAP Application Servers, berücksichtigt, durchführt und Empfehlungen zur Optimierung (bis hin zum Coaching und/oder Durchführung von notwendigen Härtungsmaßnahmen) gegeben.

Mehrstufige Sicherheit

Im zweiten Schritt erfolgt in der Cutover-Phase die Übernahme der Daten aus dem Quellsystem in das aktuell gehärtete Zielsystem. Das könnte eine Datenbank-Migration zum Beispiel mit heterogener Systemkopie oder alternativ über die neue Database Migration Option, kurz DMO bezeichne, sein.

Abhängig vom gewählten Szenario kann im zweiten Schritt eine Analyse der vorhandenen Berechtigungen hinsichtlich Kritikalität und Funktionstrennungskonflikten durchgeführt werden. Sie kann dann als Grundlage zur Bereinigung von Berechtigungsdefiziten dienen. Sollen im Rahmen der Migration auf eine S/4HANA-Umgebung auch neue Features (die sogenannten Simplificated Processes) der Applikationen verwendet werden, so können an dieser Stelle die von SAP bereitgestellten „Simplification Lists“ für S/4 HANA berücksichtigt werden.

Gemäß der aktuellen Simplification Lists von SAP S/4HANA (bei der „on-premise“ 1610 Edition) sind diese Simplifications als Hilfestellung für die Umstellung von SAP ERP 6.x auf SAP S/4HANA zu sehen. Das macht sie zum einen optional, zum anderen aber sind sie dringend zu empfehlen. Diese Liste dient als elementares Nachschlagewerk, weil sie deutlich macht, welche Transaktionen es bei S/4HANA nicht mehr gibt, und welche Dinge explizit bei einer Umstellung zu beachten sind. Darüber hinaus ermöglicht sie eine Aussage zu treffen, welche Auswirkungen auf kundeneigenen ABAP-Code zu erwarten sind, die diese Transaktionen nutzen.

Üblicherweise wird die Transformation eines SAP ERP 6.0 auf S/4 HANA mehrstufig durchgeführt, wobei zunächst die technische Migration und nach Erfolg die Anpassung und Nutzung der Simplifications für die S/4 HANA Transaktionen in einem zweiten Schritt durchgeführt werden. Akquinet unterstützt auch diesen zweiten Schritt durch eine umfassende Analyse der im System zugrundeliegenden Berechtigungsstrukturen – in Kürze auch mit optionaler Berücksichtigung der neuen S/4HANA-Prozesse (SAP HANA Migration Security Audit – Phase 2).

Im Ergebnis können die im Rahmen des Migrationsprozesses notwendigen Arbeiten und Downtimes genutzt werden, um Systemhärtungsmaßnahmen durchzuführen und durch ein Security Audit auch deren Erfolg attestieren zu lassen. Damit besteht für das migrierte System direkt vom Start weg ein deutlich höheres Security Level. Zudem werden die neuen Berechtigungsstrukturen im Umfeld der „Simplifications“ der S/4 HANA-Umgebung berücksichtigt.

Axel Giese

ist Leiter des Competence Center SAP Security bei akquinet enterprise solutions.