Datensicherheit – Wenn der Datenexport aus SAP zur Sicherheitslücke wird

Preiskonditionen, Materiallisten, Konstruktionspläne oder Personaldaten – Daten aus SAP-Systemen gehören zu den wertvollsten Geschäftsinformationen vieler Unternehmen. Innerhalb der SAP-Umgebung sind diese Daten in der Regel umfangreich gesichert. Aber wie sieht es mit den Daten aus, die Mitarbeiter täglich aus SAP exportieren und mit Kollegen oder Geschäftspartnern teilen? Viele Unternehmen haben weder eine Übersicht über die Zugriffsrechte der Mitarbeiter, noch über die Daten, die ihr Unternehmen verlassen.

Alle 32 Minuten verlassen sensible Daten im Durchschnitt ein Unternehmen [1]. Durch Trends wie mobiles Arbeiten, BYOD, aber auch durch die stärkere Zusammenarbeit über Abteilungen und Organisationen hinweg, lösen sich traditionelle Unternehmensgrenzen immer weiter auf. Daher ist es fast unmöglich Daten in bestimmte Systeme »einzusperren«. Die meisten Unternehmen tauschen regelmäßig aus SAP exportierte Daten mit ihren Kunden und Zulieferern aus, um Geschäftsprozesse zu beschleunigen. An dieser Stelle kommt es nicht selten zu Sicherheitsverstößen und zur Manipulation unternehmensinterner Daten – selbst wenn das den Anwendern nicht immer bewusst ist. Denn sobald die Daten die geschützte SAP-Umgebung verlassen, enthält das mit den Informationen generierte Dokument keinerlei Sicherheitsinformationen mehr und verliert die gesamte SAP-Historie.

Exportiert ein Mitarbeiter Daten, beispielsweise für den Austausch mit Partnern, werden diese häufig ungeschützt zwischengespeichert. Sie werden per E-Mail mit Kollegen anderer Abteilungen oder externen Geschäftspartnern geteilt, auf mobile Geräte oder in die Cloud übertragen und dort meist ebenfalls ohne jegliche Sicherung gespeichert.

In den meisten Unternehmen fehlt außerdem die Übersicht darüber, welche Mitarbeiter Zugriff auf welche Informationen in SAP haben und diese exportieren können. Wechselt ein Angestellter die Abteilung, werden häufig nur neue Rechte hinzugefügt, seine alten Zugriffsberechtigungen aber nicht deaktiviert.

Auch bei einer Expansion ins Ausland kann sich die Gefahr von äußeren Zugriffen und Wirtschaftsspionage noch weiter erhöhen. Zu guter Letzt gibt es noch den bewussten Datendiebstahl durch Mitarbeiter, die Informationen wie Materiallisten, Kundendaten oder Pläne herunterladen und verkaufen. Diese Sicherheitslücke zu schließen – und das möglichst, ohne Arbeitsprozesse zu behindern – ist eine Herausforderung.

Die Überprüfung, welche Daten das Unternehmen verlassen und eine stärkere Absicherung sensibler Informationen, wie sie in ERP-Systemen wie SAP vorgehalten werden, werden durch neue Compliance-Vorgaben noch brisanter. Die EU-Datenschutzgrundverordnung (DSGVO), die 2018 in Kraft tritt, verpflichtet Unternehmen jeder Größe, die kundenbezogene Daten sammeln, speichern und verarbeiten, für deren Schutz gerade zu stehen. Unternehmen müssen dabei auch eindeutig nachverfolgen und nachweisen können, von wem und über welche Systeme und Kanäle die Informationen verarbeitet wurden. Bei Verstößen drohen massive Bußgelder von bis zu 20 Million Euro oder 4 Prozent des Jahresumsatzes.

Die modulare Lösung Halocore ist direkt in SAP-Applikationen integriert und ermöglicht damit umfassende, kontextbezogene Kenntnisse über Nutzerinformationen, die Daten selbst sowie über die technische Systemumgebung.

Die modulare Lösung Halocore ist direkt in SAP-Applikationen integriert und ermöglicht damit umfassende, kontextbezogene Kenntnisse über Nutzerinformationen, die Daten selbst sowie über die technische Systemumgebung.

Die wichtigsten Schritte für die Sicherheit von SAP-Daten. 

Auditieren und Protokollieren: Eine Audit-Lösung, die möglichst tief mit SAP integriert sein sollte, kann die nötige Transparenz über den Export und Austausch der geschäftskritischen SAP-Daten liefern. Auf diese Weise können Audit-Teams gefährdete Bereiche, Benutzer oder Transaktionen identifizieren und Download-Aktivitäten auswerten. Basierend auf Benutzer, Dateityp, Dateigröße, Transaktion, Anwendung und IP-Adresse werden dabei Datenexporte sichtbar gemacht.

Daten klassifizieren: Im Idealfall sollten Daten jedoch bereits bei der Erstellung im SAP-System klassifiziert werden. Der Aufwand ist jedoch für die meisten Unternehmen im Arbeitsprozess zu zeitaufwändig, wenn er manuell durchgeführt werden muss. Mit einer speziellen Klassifizierungslösung für SAP können Daten automatisch nach bestimmten Kriterien, wie Formaten (etwa SAP-Tabellen), Transaktionen, User-Rechten und Rollen, etc. klassifiziert und so beispielsweise als streng vertraulich, vertraulich, intern oder öffentlich definiert werden. Auch Compliance-Richtlinien können dabei granular umgesetzt werden.

Berechtigungen und Export-Beschränkung: Auf Basis einer entsprechenden Klassifizierung vergebene Berechtigungen können sicherstellen, dass besonders sensible Daten gar nicht oder nur von Personen mit den erforderlichen Berechtigungen exportiert werden können. In ausländischen Firmenniederlassungen kann beispielsweise der Export bestimmter Daten aus dem SAP (etwa CAD-Zeichnungen etc.) komplett blockiert werden.

Integration mit Governance, Risk und Compliance (GRC): Mithilfe einer GRC-Integration werden Verstöße erkannt und entsprechende Alerts generiert. Im Idealfall ermöglicht eine passende Lösung die Analyse von Downloads aus den SAP-Anwendungen nach GRC-Gesichtspunkten und erzeugt in Echtzeit auf diese Downloads bezogene auditierbare Protokolle. Die Lösung Halocore Notify integriert das Auditing von Downloads aus den SAP-Anwendungen nahtlos in SAP Access Control. Die Lösung ist damit eine Erweiterung des Governance-, Risk- und Compliance-Portfolios und kann auch in SAP Enterprise Threat Detection (ETD) visualisiert werden.

Schutz der SAP-Datenexporte in der Microsoftwelt: Die meisten Datenexporte aus SAP landen als Dokument in einer Microsoftanwendung. Sinnvoll ist daher eine Kombination der SAP-Klassifizierungen und -Berechtigungen mit einer starken Verschlüsselung und abgestimmten Zugriffsrichtlinien für die Microsoftwelt. In Verbindung mit Microsoft AIP (ehemals RMS) stellt Halocore Protect sicher, dass sämtliche Dokumente, die das SAP-System verlassen, über ihren gesamten Lebenszyklus verschlüsselt sind und nur von Mitarbeitern oder Geschäftspartnern gelesen, gedruckt oder weiterverarbeitet werden können, denen entsprechende Rechte eingeräumt wurden. So wird ein sicherer Informationsaustausch zwischen Mitarbeiter, Partner oder Lieferanten ermöglicht, der die Arbeitsabläufe nicht beeinträchtigt.

Das Unternehmen SECUDE ist auf Datensicherheits-Lösungen im SAP-Umfeld spezialisiert und hilft Unternehmen dabei ihre Daten vor Diebstahl zu schützen sowie die Auflagen branchenspezifischer Compliance-Richtlinien zu erfüllen. Die modulare Lösung Halocore zur Auditierung, Klassifizierung und dem Schutz der Daten ist direkt in SAP-Applikationen integriert und ermöglicht damit umfassende, kontextbezogene Kenntnisse über Nutzerinformationen, die Daten selbst sowie über die technische Systemumgebung.


Andreas Opfer,
Geschäftsführer und VP Sales
der Secude GmbH in der Region EMEA
www.secude.de

 

 

[1] Checkpoint Security Report 2016

 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

10 Fragen zur Selbstüberprüfung der unternehmenseigenen SAP-Sicherheitspolitik

Business-Kriterien: Prioritäten bei der SAP-Sicherheit setzen

5 Maßnahmen für mehr SAP-Sicherheit

Kritische Cyber-Sicherheitslücken bei SAP HANA

Neue Anforderungen an Datensicherheit und Datenschutz für SAP-Nutzer

Gefahr durch vermeintliche Sicherheit in SAP-Umgebungen

Hochriskante Sicherheitslücken in SAP Mobile

SAP-Sicherheit ist machbar

DSAG hält SAP-Vorgehen bei der indirekten Nutzung für unzureichend

Weitere Artikel zu