[shutterstock:128689925, Artisticco]

[shutterstock:128689925, Artisticco]

Datenverlust an der Quelle stoppen

Der unerwünschte Abfluss geschäftskritischer SAP-Daten kann für Unternehmen bedrohliche Folgen haben. Mit einem gemeinsamen Ansatz von Virtual Forge und KPMG packen Anwender das Problem an der Wurzel.

Ob durch böswillige Hacker oder unachtsame eigene Mitarbeiter verursacht: Geraten sensible Daten in die falschen Hände, haben Unternehmen mit beträchtlichen finanziellen und rechtlichen Risiken zu rechnen.

So kann es beispielsweise Betriebe aus der Pharmabranche besonders teuer zu stehen kommen, wenn Rezepturen für Medikamente in die Hände der Konkurrenz gelangen und damit langjährige Forschungsarbeiten zunichtegemacht werden.

Für Kreditinstitute stellen sich die Bankinformationen der Kunden als besonders schützenswert dar, da bei unerlaubtem Abfluss neben Schadensersatzforderungen auch Reputationsschäden zu fürchten sind.

Branchenübergreifend müssen alle Unternehmen ein verstärktes Augenmerk auf die persönlichen Mitarbeiterinformationen haben, da ein unautorisierter Abfluss auch rechtlich geahndet werden kann.

Mit Data Leak Prevention (DLP) steht eine Reihe an Methoden und Werkzeugen zur Verfügung, die der Abdichtung möglicher Datenlecks dienen.

Allen ist gemeinsam, dass sie den Datenfluss im Unternehmensnetzwerk an definierten Austrittspunkten überwachen und dann Alarm schlagen, wenn geschäftskritische Informationen nach draußen gelangen oder bereits gelangt sind.

Austrittspunkte im Visier

Dafür setzen die einzelnen DLP-Lösungen auf verschiedenen Ebenen der IT-Infrastruktur an. So gibt es Werkzeuge, mit denen Unternehmen monitoren können, welche Daten von den Laptops der Mitarbeiter auf mobile Endgeräte, wie USB-Sticks, gespeichert werden.

In SAP-Umgebungen gibt es prinzipiell mehrere Möglichkeiten zum Datenabfluss. So werden bei der Ausführung eines bestimmten Abap-Programms die dafür benötigten Daten aus den SAP-Datenbanktabellen ausgelesen und über verschiedene
Kommunikationskanäle den Nutzern zugänglich gemacht: angefangen bei klassischen Ausgabelisten über spezielle SAPSchnittstellen bis hin zu modernen Webservices.

Um Datenverluste zu vermeiden, überwachen die herkömmlichen DLP-Ansätze genau die Stellen, an denen die Kommunikationskanäle so enden, dass die Daten entweder von den Endanwendern abgegriffen werden können oder durch technische Schnittstellen das SAP-System verlassen.

Eine weitere vielgenutzte Möglichkeit besteht darin, dass Anwender aus einem AbapProgramm eine E-Mail erstellen und die SAPDaten als Anhang mitversenden.

So unterschiedlich die einzelnen technischen DLP-Methoden sind, so ist allen gemeinsam, dass sie sehr viel Aufwand erfordern, um die kritischen SAPDaten sicher zu erkennen und die vielfältigen Austrittstellen aus dem Unternehmensnetzwerk wirksam zu überwachen.

Quellcode-Analyse

Um diesen Aufwand zu reduzieren, hat der SAP-Sicherheitsanbieter Virtual Forge mit dem CodeProfiler-Werkzeug einen neuen Ansatz entwickelt, der zeitlich deutlich früher und nachhaltiger ansetzt: Mit der sogenannten statischen DLP-Analyse lassen sich die Abflusskanäle sensibler SAPDaten bereits im SAPQuellcode identifizieren.

Im Gegensatz zu den üblichen reaktiven DLP-Ansätzen wirkt die statische DLP-Analyse also präventiv. Direkt im SAP-Code werden die Stellen identifiziert, die Angreifer aus Betrugsabsicht oder eigene Mitarbeiter aus Versehen nutzen könnten, um geschäftskritische SAPDaten zuerst aus den Datenbank-Tabellen, dann komplett aus den SAP-Anwendungen herauszuholen.

Da die Installation des CodeProfilers technisch sehr einfach ist, ist er in kurzer Zeit einsatzbereit und die Ergebnisse einer Analyse stehen schnell zur Verfügung.

Gleichzeitig muss jedoch auch geklärt werden, welche der SAPInformationen in einem Unternehmen besonders schützenswert sind. Dabei kann es sich – abhängig von der Branche – um Daten aus bestimmten Unternehmensbereichen wie Finanzen, Entwicklung, Marketing oder Vertrieb handeln.

Gleichzeitig müssen sich laufend ändernde gesetzliche Datenschutz- und Compliance-Vorgaben, unternehmensspezifische Firmenvereinbarungen sowie mit dem Betriebsrat getroffene Übereinkommen berücksichtigt werden.

Sind die sensiblen SAPDaten identifiziert, muss sichergestellt werden, dass nur diejenigen Nutzer darauf zugreifen können, die über die entsprechenden SAP-Berechtigungen verfügen.

Da die Klassifizierung der geschäftskritischen SAPDaten zum Teil umfassendes Fachwissen voraussetzt, arbeitet Virtual Forge in DLP-Kundenprojekten eng mit der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG zusammen.

Umgekehrt setzen die KPMG-Berater auf die statischen DLP-Analysen von Virtual Forge, wenn sie zu Kunden gerufen werden, bei denen unerwünschte SAP-Datenabflüsse festgestellt worden sind.

Immer häufiger wird KPMG auch bei Kunden aktiv, die solchen IT-Sicherheitsvorfällen zuvorkommen möchten. So verlangen die Fachabteilungen, Vertreter aus den Bereichen Governance, Risk & Compliance (GRC),  interne Datenschutzbeauftragte sowie Betriebsräte verstärkt nach wirksamen DLP-Ansätzen, um den Risiken möglicher SAP-Datenverluste frühzeitig zu begegnen.

Motiviert wird die wachsende Nachfrage dadurch, dass in vielen Unternehmen die Zahl der SAP-Systeme im Laufe der Jahre so stark gewachsen ist, dass oft der Überblick verloren ging, welche geschäftskritischen Daten von welchen SAP-Programmen und – vor allem – in welchem Kontext verarbeitet werden.

Dadurch steigen die Gefahren, dass die SAPDaten unberechtigte Adressaten innerhalb und außerhalb des Unternehmens erreichen.  Um Kunden die Zusammenarbeit in DLP-Projekten zu erleichtern, haben Virtual Forge und KPMG ihr Technologie- und Fachwissen in einem gemeinsamen Angebot gebündelt.

Dabei wird jedes Projekt in fünf Phasen gegliedert:

  1. Definition der rechtlichen und fachlichen Anforderungen. Zum Projektauftakt wird gemeinsam mit dem Kunden geklärt, welche der vorhandenen SAPInformationen geschäftskritisch und damit besonders schützenswert sind.
  2. Identifizierung der relevanten Datenfelder und SAP-Anwendungen, die die Daten verarbeiten. Dabei wird festgestellt, welche Anwender zur Ausführung welcher SAPProgramme autorisiert und ob die vorliegenden Berechtigungen korrekt sind. Im Ergebnis entsteht ein Soll-Bild, das zwischen erlaubten und nicht erlaubten Datenabflüssen differenziert.
  3. Einsatz des CodeProfilers. Dazu werden die fachlichen Anforderungen in eine technische Sprache übertragen, das heißt, das DLP-Verfahren wird parame­trisiert. Der CodeProfiler durchkämmt den AbapQuellcode mit Suchalgorithmen und liefert ein Ist-Bild der potenziellen Datenabflüsse.
  4. Vergleich des Soll- und Ist-Bildes möglicher SAP-Datenabflüsse. In dieser Phase werden die durch den Einsatz des CodeProfilers gewonnenen Erkenntnisse mit den rechtlichen und fachlichen Anforderungen des Unternehmens verglichen.
  5. Definition von Handlungsempfehlungen. Im Ergebnis erhalten die Unternehmen  konkrete Maßnahmen an die Hand, um das Soll-Bild zu erreichen und damit unerlaubte SAP-Datenabflüsse zu verhindern. Eine zentrale Maßnahme ist die Bereinigung des betroffenen SAP-Quellcodes.

Kontinuierliche Scans empfehlenswert

Um eine nachhaltige Abdichtung möglicher SAP-Datenlecks zu erzielen, empfiehlt es sich für die Unternehmen, die statischen DLP-Analysen nicht nur einmalig, sondern regelmäßig anzuwenden.

So können durch die ständigen Neuentwicklungen und Anpassungen innerhalb von SAP-Systemen zusätzliche Datenabflussmöglichkeiten entstehen, die nur dann erkennbar sind, wenn die Scans mit dem CodeProfiler laufend in die Entwicklungs- und Sicherheitsüberprüfungsprozesse integriert werden.

Das könnte Sie auch interessieren

0 Kommentare

Dein Kommentar

Möchten Sie uns Ihre Meinung zum Thema sagen?
Hinterlassen Sie uns einen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.