SAP und mobile Sicherheit

Mobile Nutzung von SAP effektiv absichern

| Autor / Redakteur: Tobias Harmes / Peter Schmitz

Viele Unternehmen wollen ihren Mitarbeitern auch mobil Zugriff auf Daten aus ihren SAP-Systemen geben. Dass dabei die Sicherheit eine große Rolle spielt versteht sich von selbst.
Viele Unternehmen wollen ihren Mitarbeitern auch mobil Zugriff auf Daten aus ihren SAP-Systemen geben. Dass dabei die Sicherheit eine große Rolle spielt versteht sich von selbst. (Bild: Pixabay / CC0)

Unternehmen, die auf Mobilgeräten kritische Daten aus SAP-Systemen zugänglich machen, müssen sie zuverlässig vor Verlust und Missbrauch schützen. SAP bietet für die Absicherung mobiler Geräte, Apps, Daten und Dokumente diverse Lösungen. Die mobile Sicherheit darf hierbei aber nicht isoliert betrachtet werden. Sie ist ein Baustein in einem ganzheitlichen IT-Sicherheitskonzept, das die Bereiche Organisation, Technologie und Menschen umfasst.

Die Zukunft der Arbeit ist mobil, heißt es. Zunehmend wollen Unternehmen ihre SAP-Software mithilfe mobiler Apps einsetzen um der Konkurrenz den entscheidenden Schritt voraus zu sein. Gewährt man Vertriebsmitarbeitern und Servicetechnikern im Außendienst oder Managern, aber auch für B2B2C-Kunden und Lieferanten über mobile Geräte und Apps Zugriff auf die SAP-Back-End-Systeme, birgt das allerdings nicht unerhebliche Risiken.

So erhöht die Öffnung nach außen die Gefahr eines nicht autorisierten Zugriffs auf die SAP-Applikationen und damit den Diebstahl oder gar den Verlust kritischer Geschäftsdaten. Umso wichtiger ist es daher, mobile Geräte, Apps und Dokumente sowie die Back-End-Systeme, egal ob SAP oder Nicht-SAP, bestmöglich gegen Angriffe von außen aber auch von innen abzusichern.

EMM-Strategie für mobile Sicherheit

Das A und O für eine effiziente mobile Sicherheit bildet eine unternehmensweit einheitliche Enterprise-Mobility-Management-(EMM)-Strategie, die alle Aspekte einbezieht: Mobilgeräte, Apps, Daten, Prozesse, Dokumente und Menschen. Für CIOs und IT-Verantwortliche in Unternehmen stellt dies eine Herausforderung dar, doch das Rad muss hier keineswegs neu erfunden werden.

SAP bietet bereits von Haus aus zahlreiche Funktionen und Lösungen für mobile Security an: über die SAP Mobile Platform, das Lösungsportfolio SAP Mobile Service for App and Device Management auf Basis von SAP Cloud Platform (früher: SAP Mobile Secure) und SAP Mobile Documents.

Sichere Verbindung und Kommunikation

Die SAP Mobile Platform, ein Paket aus Server-Komponenten und Werkzeugen für die Entwicklung mobiler Apps, bietet zahlreiche Funktionen, die eine sichere Verbindung und Kommunikation zwischen mobilen Anwendungen und SAP- oder Nicht-SAP-Back-End-Systemen herstellen.

Authentifizierung: Sie ermöglicht die sichere End-to-End-Authentifizierung vom mobilen Client bis hinein in das Back-End, ohne dass dafür ein VPN aufgebaut werden muss. Die Authentifizierung kann wahlweise mit Benutzername und Passwort, auf Basis von Tokens, per Single Sign On (SSO2 Tokens inklusive SiteMinder) oder über X.509-Zertifikate erfolgen.

Kommunikation: Die Datenkommunikation zwischen den mobilen Anwendungen und dem Back-End erfolgt zudem ausschließlich über das HTTPs-Protokoll und zugleich verschlüsselt. Die Verschlüsselung wird in Gang gesetzt, sobald ein mobiler Client sich mit der SAP Mobile Platform verbindet.

Integration mit vorhandener Sicherheitsinfrastruktur: Für die Integration mit einer vorhandenen Sicherheitsinfrastruktur LDAP oder Microsoft Active Directory etwa stellt die mobile Plattform eine Common Security Infrastruktur bereit (CSI), die mit dem Java Authentication and Authorization Service (JAAS) konform ist.

Mobile App- and Gerätesicherheit

Die Kernbereiche mobiler Sicherheit – das Mobile Device Management (MDM) und das Management mobiler Applikationen und Absicherung mobiler Apps (Mobile App Management, MAM) – bündelt SAP in dem Portfolio SAP Mobile Service for App and Device Management.

SAP Mobile Portal: SAP Mobile Portal bildet dabei den zentralen Einstiegspunkt für die Verwaltung unternehmenseigener und privater Mobilgeräte (Android, iOS, Windows-Phone ab Version 8). Ein Dashboard zeigt dem IT-Administrator übersichtlich im Unternehmen eingesetzten Mobilgeräte und mobile Betriebssysteme sowie die jeweiligen Mobilfunkbetreiber an. In einer speziellen Administrationskonsole lassen sich Sicherheitsrichtlinien für bestimmte Gruppen von mobilen Geräten aber auch für die mobilen Apps konfigurieren, verwalten, verändern und analysieren. Das gilt für die von der IT verwalteten Apps (Managed Apps) und aber auch für frei zugängliche kommerzielle sowie für genehmigte (approved) Apps aus den App-Stores von Apple oder Google.

SAP Mobile Place: Mit SAP Mobile Place stellt SAP darüber hinaus einen Appstore in Form eines End-User-Portals bereit, der sich individuell anpassen lässt, lokalisierbar und sicher ist und Funktionen für das App- und Gerätemanagement, also MAM und MDM, zusammenführt. SAP Mobile Place bietet Unternehmen eine einfache Möglichkeit, mobile Apps zur Verfügung zu stellen und zu verteilen – egal ob an die eigenen Mitarbeiter oder an Kunden und Lieferanten. Lizenzvereinbarungen für End-User lassen sich hier genauso konfigurieren wie der Authentifizierungsmodus oder die Browsing-Möglichkeiten nicht verwalteter Geräte. Im Ernstfall können IT-Administratoren jedes in SAP Mobile Place verwaltete Gerät sofort sperren, die installierten Apps entfernen und alle gespeicherten Daten, etwa E-Mails, Kalendereinträge oder Notizen, löschen. Per Self Service können Endanwender auf SAP Mobile Place im Rahmen eines Managed-User-Szenarios mobile Firmengeräte aber auch eigene Devices anmelden. Im Gegenzug können sie dort bereitgestellte Apps auf ihrem Mobilgerät installieren und gemäß den jeweiligen Berechtigungen nutzen. Sie werden automatisch informiert, wenn neue Apps oder Aktualisierungen zu installierten Anwendungen verfügbar sind.

Mocana App Protection Cloud: Die Absicherung mobiler Apps im Rahmen eines MAM erfolgt mit den App-Wrapping-Technologien der Lösung Mocana App Protection Cloud, die eine zusätzliche Schutzhülle um jede App zieht. Mit ihr lassen sich die Sicherheitseinstellungen der im Unternehmen verwendeten Apps individuell definieren. Der IT-Administrator kann so beispielsweise festlegen, dass eine App nur an Wochentagen oder innerhalb des Firmengeländes bzw. einer geografischen Region (Geo-Fencing) geöffnet werden darf und keine Daten aus dieser heraus oder in diese hinein kopiert werden dürfen. In der Mocana App Protection Cloud lässt sich auch einstellen, die Datenübertragung über einen sicheren VPN-Tunnel und nicht via Internet durchzuführen; darüber hinaus können die Datenbanken von Apps zusätzlich verschlüsselt werden.

Mobile Dokumente

Genauso wichtig wie die Absicherung von mobilen Geräten, Apps und Daten ist die mobil genutzter Dokumente.

SAP Mobile Documents: Hier setzt die passwortgeschützte Lösung SAP Mobile Documents an, die dem End-User einen zentralen Zugangspunkt für den Zugriff auf Geschäftsdokumente und -inhalte – egal ob per Desktop-PC oder mobil per Notebook, Smartphone oder Tablet. Mit ihr lassen sich Dokumente und Inhalte kontrollieren und es kann festgelegt werden, ob hochgeladene Dokumente mit Kollegen geteilt oder in weiteren Apps geöffnet werden dürfen. Die Kernkomponente der Lösung ist der Mobile Documents Server. Er implementiert den offenen Industriestandard CMIS (Content Management Interoperability Standard) für die App-, Desktop- und Web-Clients sowie die Back-End-Systeme – SAP, Nicht-SAP, Dokumentenmanagementsystem (DMS) – und gewährleistet die sichere Datenübertragung.

SAP Document Center: Mit dem SAP Document Center auf Basis von SAP Cloud Platform bietet SAP eine weitere Möglichkeit für den sicheren Zugriff, die Bearbeitung und Freigabe von Dokumenten via mobile App, die sich dort auch bearbeiten und zur gemeinsamen Verwendung freigeben.

Mobile Security: Baustein im IT-Sicherheitskonzept

Mobile Security auch im SAP-Umfeld darf nicht isoliert betrachtet werden. Sie ist ein Baustein in einem ganzheitlichen IT-Sicherheitskonzept, das die Bereiche Organisation (Rollen, Berechtigungen, Kommunikation), Technologie (Anwendungen, Patchlevel, IT-Infrastruktur) und Menschen (Zugangs- und Zugriffsrechte, SAP-Administration) umfasst.

SAP bietet dafür eine breite Palette an Lösungen und Services, von SAP Identity Management (SAP IDM), SAP Single Sign On (SSO) über SAP Access Control und SAP Enterprise Threat Detection (SAP ETD) bis hin zu Security Optimization Self Services (SOS) mit dem SAP Solution Manager für automatisierte Sicherheitschecks.

Über den Autor: Tobias Harmes (B.Sc.) ist Gründer und Fachbereichsleiter von RZ10. Seit mehr als 10 Jahren unterstützt er Unternehmen im Bereich SAP Basis & Security. Tobias Harmes hat zahlreiche Kundenprojekte für mittelständische Unternehmen und DAX-Konzerne umgesetzt und mit RZ10.de einen der erfolgreichsten deutschsprachigen Blogs zu IT-Sicherheit im SAP-Umfeld aufgebaut.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44993709 / Mobile Security)