Interview mit SECUDE

Die größte Gefahr bei SAP ist der Datenexport

| Redakteur: Stephan Augsten

Die Berechtigungskonzepte von SAP-Umgebungen greifen nur so lange, bis Daten exportiert werden.
Die Berechtigungskonzepte von SAP-Umgebungen greifen nur so lange, bis Daten exportiert werden. (Bild: Archiv)

Ob Personaldaten, Produktlisten oder Preiskonditionen: Daten in SAP-Systemen gehören zu den wertvollsten Geschäftsinformationen. Gut geschützt werden SAP-Umgebungen aber nur selten. Security-Insider hat sich mit Jörg Dietmann, CEO von SECUDE, über die Missstände ausgetauscht.

Security-Insider: Warum ist es so schwierig, den Zugriff auf sensible Daten in SAP-Umgebungen zu verhindern?

Jörg Dietmann: Häufig denken wir beim Thema Datensicherheit zunächst an Cyber-Attacken und andere Angriffe von außen. Ein viel gängigeres Sicherheitsrisiko liegt allerdings in der Preisgabe und Manipulation von Daten und Dokumenten durch Mitarbeiter. Der Schwachpunkt ist also der User, der täglich Daten aus dem SAP exportiert und sich oft gar nicht bewusst ist, dass dies sensible Informationen sind.

Dabei spielen nicht nur unabsichtliche Verstöße oder leichtsinniges Verhalten, z.B. bei der Ablage von sensiblen Daten in Cloud-Verzeichnissen, eine Rolle. Unter Umständen „entwenden“ Mitarbeiter sogar mutwillig Kunden- oder Finanzdaten und ähnliches aus dem SAP-System. Wenn es ganz schlecht läuft, landen diese beim Wettbewerb, spätesten wenn der Mitarbeiter aus dem Unternehmen ausscheidet.

Bisher gab es keine spezifische Lösung für diese Probleme, die den Datenexport absichern oder gegebenenfalls sogar verhindern kann. Im Allgemeinen verweisen die SAP-Verantwortlichen auf das Rollen- und Berechtigungskonzept, welches die Wirtschaftsprüfer in der Regel auditieren und welches solche Vorfälle unterbinden soll.

Das bestehende SAP-Rollen- und Berechtigungskonzept reicht dazu aber nicht aus. Jeder als voller User angelegte Nutzer im SAP, darf beliebig Daten bzw. Dokumente innerhalb seines Berechtigungsumfelds exportieren – und das kann unerwünschte Folgen haben.

Security-Insider: Wo liegen genau die Risiken?

Dietmann: Ein intensiver Informationsaustausch ist heute unerlässlich. Solange dies in einer gesicherten SAP-Umgebung erfolgt, wird das Informationsrisiko als sehr gering eingestuft. Zwar wägen viele Verantwortliche zwischen Sicherheit und Nutzen ab, die meisten Unternehmen aber tauschen regelmäßig aus SAP exportierte Daten mit ihren Kunden und Zulieferern aus, um Geschäftsprozesse zu beschleunigen.

Genau hier liegt dann das Risiko. Die exportierten Daten werden beispielsweise als Dokumente per E-Mail ausgetauscht, auf mobile Geräte oder in die Cloud übertragen und dort ohne Schutz gespeichert. So gelangen dann Informationen in die falschen Hände.

Security-Insider: Warum reicht das Rollen- und Berechtigungskonzept von SAP nicht aus?

Dietmann: Das SAP-Berechtigungskonzept regelt die Zugänge zum SAP-System, d.h. wer hat welche Rolle und darf auf welche Applikationen im SAP zugreifen. Das Berechtigungskonzept regelt aber nicht, wer Dateien aus dem SAP exportieren darf. HCM-Mitarbeiter, die Personalstammdaten anlegen oder ändern dürfen, haben also automatisch auch die Berechtigung, entsprechende Dokumente aus SAP zu exportieren oder Downloads zu machen. Es gibt nun einmal kein Berechtigungsobjekt auf Datenexporte.

Bislang kann man mit dem SAP-Berechtigungskonzept einem SAP-User entweder Downloads komplett entziehen, d.h. er bekommt einen entsprechenden „Read-only“ User, oder er hat einen vollwertigen User. In diesem letzteren Fall kann er aber auch alle Daten exportieren, basierend auf den Zugriffsberechtigungen, die das Berechtigungskonzept ihm gibt. Im Krankenhaus könnten etwa Krankenpfleger, die einen vollwertigen User-Berechtigungstatus haben, beispielsweise beliebig Patientendaten aus dem SAP-System exportieren.

Sobald ein Dokument SAP verlassen hat, ist das Berechtigungskonzept ohnehin außer Kraft gesetzt. Damit können User, die die Berechtigung hatten, Dokumente zu exportieren, diese beliebig weiterleiten, auch an Personen, die keine entsprechenden SAP-Berechtigungen haben – und dies lässt sich auch in keiner Weise nachverfolgen.

Security-Insider: Und was können Unternehmen dagegen tun?

Dietmann: Die Unternehmen, die sich bisher überhaupt mit diesem Thema auseinandergesetzt haben, behelfen sich meist mit Klassifizierungs- und DLP-Lösungen auf den Clients. Diese nicht speziell auf SAP ausgerichteten Lösungen können aber nur sehr wenige Informationen von Dokumenten aus dem SAP-System zur Klassifizierung nutzen. Zudem verhindern sie den Export erst einmal nicht, denn es sind dem SAP nachgelagerte Systeme.

Zunächst einmal sollte man wissen, aus welchen SAP-Anwendungen, Transaktionen, Tabellen sowie von welchem User in welcher Rolle oder von welcher IP Adresse etc. die Daten stammen. Im Idealfall werden solche Informationen automatisiert erhoben und dann standardmäßig in den Metadaten des Dokuments gespeichert. Mit diesen Daten können lassen sich dann die Dokumente im nächsten Schritt automatisch nach bestimmten Kriterien wie Formaten, Transaktionen, User-Rechten, Rollen usw. klassifizieren und als streng vertraulich, vertraulich, intern oder öffentlich einstufen.

Besonders sensible Daten sollten dann gegen unerlaubten Export aus dem SAP-System geschützt werden. Haben kritische Daten durch den Download einmal die geschlossene SAP-Umgebung verlassen, sind sie den bestehenden Sicherheitskonzepten quasi unwiederbringlich entzogen. Unsere Lösung Halocore automatisiert die Metadatenerhebung, Klassifizierung und den Schutz der SAP Daten und versieht alle Dokumente, die nicht vom Download blockiert werden und somit das SAP-System verlassen dürfen, auf Basis ihres Schutzbedarfs mit einer entsprechenden Richtlinie aus Microsoft RMS.

Somit ist das Dokument bereits in der Entstehung für den gesamten Lebenszyklus verschlüsselt und mit Zugriffsrechten versehen. Eine erweiterte GRC-Lösung (Governance, Risk & Compliance), die mit SAP Access Control integriert wird, kann zusätzlich automatisierte Alerts über alle SAP-Module hinweg erstellen und so unautorisierte Zugriffe zeitnah aufzeigen.

Security-Insider: Hilft das alles auch, wenn die Daten schon in der Cloud sind?

Dietmann: Wenn die Daten ohne Verschlüsselung in die Cloud gelangen, ist es bereits zu spät. Genau deshalb sind ja die vorherige Klassifizierung und eine entsprechende Sicherung so wichtig. Die meisten Datenexporte aus SAP landen als Dokument in einer Microsoft-Anwendung. Sinnvoll ist daher eine Kombination der SAP-Klassifizierungen und -Berechtigungen mit einer starken Verschlüsselung und abgestimmten Zugriffsrichtlinien für die Microsoftwelt.

Hier bietet sich eine Integration mit den Microsoft Rights Management Services (RMS) an. Damit ist jedes Dokument bereits in der Entstehung für den gesamten Lebenszyklus verschlüsselt und kann nur von berechtigten Personen gelesen, gedruckt oder weiterverarbeitet werden. Entscheidend für die Technologie ist, dass Dokumente geschützt werden, egal wo sie sich im Workflow befinden, unabhängig davon, ob sie lokal abgelegt, in der Cloud gespeichert oder per Mail verschickt werden.

Dieser Schutz kann für den Benutzer im Hintergrund automatisch erfolgen, um die Akzeptanz einer solchen Lösung zu erhöhen. Der Schutz, den die RMS-Technologie bietet, ist für sämtliche Dateitypen, wie Microsoft Office, PDF-, Bild- und Textdateien, plattformübergreifend. Die Dokumente können sogar nach Ablauf einer festgelegten Frist automatisch vernichtet werden.

Über SECUDE

SECUDE wurde als Joint Venture von SAP AG und Fraunhofer Institut gegründet, um speziell SAP-relevante Sicherheitssoftware zu entwickeln und unterstützt heute weltweit Kunden beim Schutz ihrer Daten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43720668 / Datenbanken)