[shutterstock.com:585565277, VAlekStudio]

[shutterstock.com:585565277, VAlekStudio]

Die Kronjuwelen schützen

free

Obwohl die Anzahl der Sicherheitsvorfälle bei großen und mittelständischen Unternehmen stetig zunimmt, ordnen viele das Thema Datensicherheit den Transformationsprojekten unter. Andreas Opfer und Holger Hügel von Secude erklären, wie moderne Sicherheitskonzepte aussehen sollten und wie SAP-Verantwortliche diese sinnvoll in aktuelle S/4-Hana-Migrationsprojekte integrieren können.

SAP-Kunden weltweit befinden sich derzeit im digitalen Transformationsprozess. Welche Veränderungen ergeben sich mit dem Umstieg auf SAP S/4 Hana aus Ihrer Sicht für die Datensicherheit?

Holger Hügel: Hana bietet neben dem Abruf über den NetWeaver Stack auch die Möglichkeit, direkt bzw. über Hana XSA auf Daten zuzugreifen. Dadurch verfügt die Datenbank zwangsläufig über ein eigenes Berechtigungskonzept, das es in das bisherige Konzept zu integrieren gilt.

Zudem bietet Hana als Plattform zahlreiche neue Applikationsschnittstellen, die alle per se Sicherheitsrisiken in sich tragen. Die Gefahr, dass Daten unkontrolliert das SAP-System verlassen, steigt.

Auch der für die Sicherheitsverantwortlichen weitestgehend „undurchsichtige“ Hintergrunddatentransfer zwischen SAP und den Drittapplikationen nimmt zu und vergrößert so die Angriffsfläche für Hacking-Angriffe und Insider-Attacken.

Um SAP-Daten auch zukünftig verlässlich absichern zu können, müssen Unternehmen vorausschauend handeln und technische Lösungen einsetzen, die diese Risiken minimieren.

Wie könnte ein Berechtigungskonzept, das die neue und die alte Welt inte­griert, Ihrer Meinung nach aussehen?

Hügel: Zukünftige Berechtigungskonzepte orientieren sich zunächst an den Prozessen und den darin verarbeiteten Daten. Sie folgen gewissermaßen den Daten entlang der Verarbeitungskette über ihren gesamten Lebenszyklus hinweg.

Daraus leitet sich der Schutzbedarf der Daten ab, was letztlich einer Datenklassifikation entspricht und in ein datenzentriertes Berechtigungswesen mündet. Mit diesem Ansatz wird das bisherige rollenbasierte Konzept erweitert, jedoch nicht ersetzt. Denn die Schutzklasse beschreibt klar, welche Rolle in welcher Weise einzelne Daten verarbeiten darf.

Opfer Und Huegel, Datensicherheit

Welche Erfahrungen haben Sie hierzu in der Praxis gemacht? Gibt es bereits Unternehmen, die ihre Daten durchgängig und lückenlos klassifizieren?

Andreas Opfer: Obwohl sich insbesondere Vertreter aus der Automobilbranche bereits für das Thema Datenklassifikation einsetzen, existieren meines Wissens bisher noch keine Industrie- und Branchenstandards, die genau definieren, was sich z. B. hinter dem Status „vertraulich“ verbirgt und welche Auswirkungen dieser auf die Datenverarbeitung hat.

Um die Prozessketten mit ihren Partnern und Lieferanten in unserer zunehmend vernetzten Welt absichern zu können, besteht hier noch dringender Aufholbedarf für Unternehmen.

Wie dürfen wir uns die organisatorische und technische Umsetzung der neuen Sicherheitsansätze in der Praxis vorstellen?

Hügel: Um mit der Schnelllebigkeit und Austauschbarkeit heutiger IT-Technologien Schritt zu halten, werden die Kernprozesse von Unternehmen künftig zunehmend über Plattformarchitekturen abgewickelt werden.

IT-Sicherheit gehört in einer digitalen Welt ohne Zweifel zu diesen Kernprozessen und benötigt ihre eigene Plattform. Heute findet man vielfach zentrale Identity-Management-Systeme, die diese Rolle übernehmen.

Diese sind aber nur dann zukunftsfähig, wenn sie eine datenzentrierte Sicherheitskonzeption erlauben. In jedem Fall sollte man auf etablierte Standardplattformen setzen, die von allen gängigen Applikationen als „Sicherheits­instanz“ unterstützt werden.

Opfer: Und genau hierbei hilft Secude mit der SAP-Datensicherheitslösung ­Halocore. Sie ermöglicht als einzige Lösung, Microsoft-AIP/RMS-Sicherheitsstandards auf die SAP-Landschaft anzuwenden, und ist natürlich auch für S/4 Hana zertifiziert.

Dadurch, dass SAP mittlerweile die zentrale Datendrehscheibe in den meisten Unternehmen darstellt, werden Daten über unterschiedliche Schnittstellen, egal ob manuell oder automatisiert, mit zahlreichen Satellitensystemen ausgetauscht.

Die in Halocore eingebaute automatisierte Datenklassifikation ermöglicht die Anwendung des passenden RMS-Profils, sofern die Daten SAP verlassen dürfen. Ohne entsprechende Berechtigung wird der Export der Daten unterbunden.

Wie können Unternehmen diese Schritte in ihre aktuellen Migrationsprojekte integrieren?

Opfer: Wir können sehr gut nachvollziehen, dass solche großen Migrationsprojekte wie S/4 Hana einen Großteil der Ressourcen bindet. Viele Kunden versuchen deshalb jede weitere Komplexitätserhöhung aus dem Projekt fernzuhalten. Datensicherheit ist aber heute keine Option mehr, sondern ein Muss.

Die DSGVO verpflichtet und die Attacken auf die Unternehmens-IP nehmen zu. Die Architekturveränderungen, die mit S/4 Hana einhergehen, bieten auch eine Chance, alle IT-Architekturen in kleinen abgeschlossenen Teilprojekten auf den Prüfstand zu stellen und im Zuge der Migration gegebenenfalls anzupassen.

Die Aufwände dafür sind als Teil der S/4-Hana-Migration am niedrigsten. Später wird es immer teurer. Außerdem helfen zahlreiche Migrationstools, z. B. für Daten und Abap Custom Code, die Komplexität zu reduzieren und die Risiken zu beherrschen.

Halo­core lässt sich beispielsweise innerhalb weniger Tage implementieren und schützt die „Kronjuwelen“ der SAP-Kunden vom ersten Tag an – und zwar sowohl vor als auch nach der S/4-­Hana-Migration.

Das könnte Sie auch interessieren

0 Kommentare

Dein Kommentar

Möchten Sie uns Ihre Meinung zum Thema sagen?
Hinterlassen Sie uns einen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.