S/4 HANA: ABAP-Code-Prüfungen machen HANA-Einsatz sicherer – Anwenderbericht MEAG
Mit dem Umstieg auf S/4HANA macht die MEAG ihr SAP-Immobilienmanagement fit für die digitale Zukunft. Um den reibungslosen Betrieb des neuen Systems nicht durch möglicherweise schadhafte Eigenentwicklungen zu gefährden, setzt der Münchner Finanzdienstleister auf automatische Kontrollen der Codequalität und -sicherheit.
Rainer Velten, Leiter IT Immobilien / Alternative Investment Lösungen, MEAG
Die MEAG steht für das Vermögensmanagement von Munich Re und ERGO, ist in Europa, Asien und Nordamerika vertreten und stellt ihr Know-how auch institutionellen Anlegern und Privatkunden zur Verfügung. Für die Finanzprodukte vielfach ausgezeichnet, ist die MEAG einem hohen Qualitätsanspruch verpflichtet. Ständig wird das Kapitalanlage-Portfolio, darunter auch Immobilien, für die Kunden weiterentwickelt und verbessert.Um die internationale Wettbewerbsposition weiter auszubauen, will die MEAG die Prozesse im Immobiliengeschäft systemtechnisch optimieren. Dazu wird aus der historisch gewachsenen SAP ERP-Systemlinie die Immobilienmanagementlösung auf ein eigenständiges S/4HANA-System migriert.
Die neue SAP Business Suite bietet dem Immobilienbereich der MEAG zahlreiche Vorteile. Neben Performance-Steigerungen durch HANA-optimierte Berichte ist mit einer langfristigen Senkung der IT-Betriebs- und -Wartungskosten zu rechnen, da das S/4HANA-System weniger komplex als das bisher genutzte SAP ERP-System ist. Zudem können die gesetzlichen IFRS 9-Anforderungen für die Bilanzierung von Finanzinstrumenten mit der Einführung von sFIN erfüllt werden. Die eingesetzte Fiori-Technologie erlaubt eine intuitive und personalisierte Benutzererfahrung und macht die Transaktionen mobil, das heißt jederzeit und überall verfügbar.Strenge Sicherheitsrichtlinien
Auch beim HANA-Umstieg hat die MEAG strenge Sicherheitsrichtlinien einzuhalten, die sich unter anderem aus den Mindestanforderungen der BaFin an das Risikomanagement (MaRisk) ergeben. Dazu zählen ein bereits vorhandenes Rollen- und Berechtigungskonzept, das im Zuge der Migration optimiert wird, sowie ein Sicherheitsleitfaden zur Einhaltung von Datenschutz und Datensicherheit. Hinzu kommt eine Entwicklerrichtlinie, die unter anderem Namenskonventionen, Sicherheitsrichtlinien und Berechtigungsabfragen festlegt. Diese Richtlinie gilt auch für die externen Dienstleister, an die die MEAG die Entwicklung von ABAP-Kundencode und SAP Add-ons nach Möglichkeit auslagert.
Um die Qualität und Sicherheit des selbstgeschriebenen ABAP-Codes zu gewährleisten, muss die MEAG wirksam kontrollieren können, ob die Fremdentwickler die internen Vorgaben auch tatsächlich einhalten. Da die MEAG hierfür kein eigenes Entwickler-Know-how aufbauen will und manuelle Code-Prüfungen auf Basis des Entwicklerleitfadens sehr zeitaufwändig sind, kommt der Virtual Forge CodeProfiler for ABAP zum Einsatz.
Scans in mehreren Projektphasen
Der CodeProfiler for ABAP wird in mehreren Projektstadien genutzt. Bereits in der Entwicklungsphase bei ITERGO und den Drittanbietern scannt er die SAP-Eigenentwicklungen und Add-ons schnell und komfortabel auf Fehler. Damit ist es der MEAG möglich, Risiken im Code frühzeitig zu erkennen und beseitigen zu lassen, bevor die Programme produktiv genutzt werden. Zudem wird der CodeProfiler for ABAP direkt vor der Produktivsetzung genutzt, um zu verhindern, dass schadhafter Code in die vorhandenen SAP-Systeme eingespielt wird. Einmal pro Quartal unterzieht die MEAG zusätzlich alle produktiven SAP-Systeme einem Komplett-Scan um Schwachstellen aufzuspüren, die zwischenzeitlich entstanden sein können – etwa infolge nicht ausreichend geprüfter Notfalltransporte. In jeder Projektphase werden durch die detaillierten Scan-Ergebnisse die Korrekturläufe verkürzt.
Durch den Einsatz des Virtual Forge CodeProfilers for ABAP steigert die MEAG die Sicherheit bei der digitalen Transformation nach S/4HANA. Ohne eigenes Entwickler-Know-how können der zugelieferte ABAP-Code und die Drittanbieter-AddOns auf mögliche Schwachstellen und Risiken untersucht werden. Mit jedem Prüfbericht stellen die Fremdentwickler den IT-Verantwortlichen eine Art „TÜV-Protokoll“ zur Verfügung, das die ordnungsgemäße Programmierung bestätigt. In Kombination mit den eigenen Scans erhält die MEAG damit die Sicherheit, dass nur fehlerfreier Code in die vorhandenen SAP-Anwendungen gelangt. Zugleich werden die Revisionsanforderungen an die Code-Sicherheit und Dokumentation erfüllt. Insgesamt spart der Vermögensmanager von Munich Re und ERGO durch die automatischen Code-Prüfungen Ressourcen, die Analysen werden deutlich beschleunigt und die Fehlerraten reduziert.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/58722
Schreiben Sie einen Kommentar