Andreas Opfer und Holger Hügel von Secude

Andreas Opfer und Holger Hügel (v. l.) von Secude, kennen die Sicherheitslücken plattformübergreifender Prozesse und verstehen die Besorgnis der SAP-Kunden. In der E-3-Coverstory beschreiben Sie neue Ansätze für die Datensicherheit im Zeitalter von Hybrid Cloud Computing, Datenschutzgrundverordnung, SAP Hana und Co.

Datensicherheit

free

Die aktuellen Schlagzeilen belegen: Wer das Thema Datensicherheit auf die leichte Schulter nimmt, riskiert seine Existenz. Die Absicherung unternehmenskritischer Daten ist jedoch in Zeiten von SAP S/4 Hana alles andere als ein Kinderspiel. Andreas Opfer und Holger Hügel erklären, worauf Unternehmen heute achten sollten.

Ein SAP-Berechtigungswesen gab es von Beginn an, aber in einem abgeschlossenen und abgeschirmten System ist die Datensicherheit und der Datenschutz mit weniger Aufwand realisierbar als in einem mit dem Internet verbundenen 7-x-24-Stunden-ERP.

Auch im R/2-und R/3-Zeitalter war das Berechtigungswesen kein „Kinderspiel“ und ein ERP-System ist niemals ein „Ponyhof“. Die Öffnung der Blackbox R/3 und Cloud Computing haben jedoch ganz neue Aufgaben gebracht und damit dem „Berechtigungswesen“ zu einer eigenständigen Disziplin verholfen.

Secude hat sich der Herausforderung „Datensicherheit“ verschrieben und gilt als führender Anbieter in der globalen SAP-Com­munity. Mit Andreas Opfer, Geschäftsführer, und Holger Hügel, VP Products und Services bei Secude, sprach E-3 Chefredakteur Peter Färbinger.

Berechtigungswesen

Wenn ein SAP-Bestandskunde von „Security“ hört, denkt er zuerst an sein eigenes Berechtigungswesen: Ist dieser rollen- basierte Zugang zu Security noch zeitgemäß?

„Der Zugang ist und bleibt zeitgemäß, da er innerhalb der SAP-Landschaft ausreichend Schutz gewährt“

erklärt Andreas Opfer.

„Unser Fokus ist die Welt außerhalb der SAP. Daten verlassen das SAP-System, um etablierte Prozesse zu unterstützen, die in Microsoft-Anwendungen weiterverarbeitet werden.“

Außerhalb der SAP-Landschaft greift das Berechtigungswesen nicht mehr, die Daten sind „vogelfrei“, darin sieht man bei Secude eine große Gefahr. Und Holger Hügel ergänzt:

„Das rollenbasierte Berechtigungskonzept in SAP war für die Kunden schon immer mühselig, wenn es darum ging, die darin abgebildeten, meist maßgeschneiderten Geschäftsprozesse ebenso passend abzusichern.

Viele SAP-Kunden erzählen scherzhaft, dass sie vermutlich genauso viele SAP-Profile wie Anwender haben. Es gibt bereits viele Lösungen, die innerhalb des SAP-Systems Security vereinfachen. Secude verfolgt einen datenzentrischen Ansatz auf Basis einer automatisierten Datenklassifikation und konzentriert sich auf die Datenexportschnittstellen in SAP.“

Alles, was SAP-Kunden als geschäftskritisch oder sensibel erachten, sind schützenswerte Daten in SAP, definieren Andreas Opfer und Holger Hügel gemeinsam. Vonseiten des Gesetzgebers gehören dazu auch personenbezogene Daten.

Die Intellectual Property der Kunden liegt vielfach im Bereich der Finanz-, Material-, Produktionsplanungs- und Konstruktionsdaten. Sensibel sind natürlich auch die Kundendaten und Preiskonditionen.

„Für Secude gilt es, diese in den geschützten Raum des SAP-Systems zu halten und nur kontrolliert in Form von Anwender-Downloads oder Datentransfers herauszulassen. Unautorisierte Downloads müssen verhindert werden und notwendige Exportdateien gilt es durch Verschlüsselung und integrierte Zugriffprofile zu schützen“

erklärt Holger Hügel im E-3 Gespräch. Und Andreas Opfer präzisiert:

„Wir unterscheiden zwischen geschäftskritischen Informationen, die für den Fortbestand der Unternehmung von entscheidender Bedeutung sind, und personenbezogenen Daten, die im Rahmen der EU-Datenschutzgrundverordnung zukünftig besonders geschützt werden müssen.“

Was ist schützenswert?

Relevante Informationen sind beispielsweise eine neue Technologie für den Elektroantrieb, die eine Reichweite von mehr als 1000 Kilometern ermöglicht und den zukünftigen Erfolg und damit Profit des Automobilherstellers sicherstellt.

Sollte diese Information auf der Reise durch das Internet, auf dem Weg von Deutschland zu einer Produktionsstätte in China, geraubt werden, ist das ein unkalkulierbarer Schaden.

Personenbezogene Daten sind nicht nur die SAP-HR-Informationen der eigenen Mitarbeiter. Auch gespeicherte Kundendaten eines Telekommunikationsanbieters müssen zukünftig geschützt werden bzw. dürfen nicht verloren gehen.

„Alle Unternehmen, die mit Kundendaten arbeiten, sind von der EU-Verordnung betroffen, auch Unternehmen aus Nicht-EU-Staaten, die in Europa Geschäfte tätigen“

betont Andreas Opfer.


 

Globaler Ansatz

Der Data-Security-Ansatz von Secude für SAP gilt naturgemäß für alle Release-Stände, Andreas Opfer: „Wir sind für alle gängigen Releasestände zertifiziert.“

Die Secude-Lösung Halocore arbeitet auf dem NetWeaver-Layer. Auch wenn SAP mit S/4 diese Bezeichnung nicht mehr gern verwendet, ist es technisch immer noch der gleiche Layer. Holger Hügel:  „Deshalb ist unsere Lösung gleichermaßen für alle SAP-Releases ab 7.0 geeignet.“

SAP-Bestandskunden betrachten all diese Layer bei ihrem Datensicherheitskonzept. Jedoch werden meist die einzelnen Layer für sich und losgelöst von den Geschäftsprozessen und Datenflüssen betrachtet, weiß Holger Hügel aus seiner beruflichen Praxis und er präzisiert:

„Auch mangelt es vielfach an der Synchronisation der jeweiligen technischen Umsetzungen. Datensicherheit sollte bei den Prozessen und den darin verarbeiteten Daten beginnen.

Davon leitet sich der Sicherheitsbedarf ab, der dann technisch in den einzelnen Layern umgesetzt wird. Die Dynamik des SAP-Betriebes erfordert jedoch auch eine zentrale Instanz, eine Security-Lösung, die alle diese Layer automatisiert konsistent hält.“

„Wir fokussieren uns auf alle Daten, die in SAP verarbeitet werden“

erklärt Andreas Opfer.

„Das kann auf einer Hana-Datenbank oder auf einer beliebigen anderen sein, das spielt für uns keine Rolle. Als schützenswerte Daten bezeichnen wir auch eine CAD-Zeichnung aus F&E von genau dieser neuen Elektrobatterie – die ich zuerst erwähnte –, die auf einem Con­tent-Server extern abgelegt ist und die in SAP verarbeitet sowie versendet wird. Alle anderen erwähnten Komponenten, Betriebssystem usw., sind für uns von untergeordneter Rolle.“

Der Weg zu S/4 geht nur über ein Hana-Migrationsprojekt: Auf welche Sicherheitsaspekte sollte hier ein SAP-Bestandskunde achten?

Hana bringt zusätzlich zum NetWeaver Stack auch die Möglichkeit, direkt bzw. über Hana XSA auf Daten zuzugreifen. Dadurch hat Hana auch ein eigenes Berechtigungskonzept. Holger Hügel meint dazu:

„Das gilt es im bisherigen Konzept zu integrieren bzw. das bisherige auf Hana auszuweiten. Hana als Plattform bietet zahlreiche neue Applikationsschnittstellen, die alle per se Sicherheitsrisiken in sich tragen. Es braucht technische Lösungen, die diese Risiken minimieren.“

Cloud Computing

Für einige SAP-Bestandskunden ist „SAP on Azure“ eine sehr interessante Alternative zum eigenen Rechenzentrum. Security aus der Prozess- und Datenperspektive ist an sich unabhängig vom Betriebsmodell bzw. der Betriebsplattform der Anwendung, meint Holger Hügel.

„Jedoch fragen die Kunden erst in der Cloud, wer in welcher Form auf die Daten dort zugreifen kann. Dabei stellt der Datenmissbrauch durch den Insider, also bereits on-premise, zwei Drittel aller Vorfälle dar.“

Durch die Cloud ändert sich nichts, weiß auch Andreas Opfer. Auch wenn das RZ ausgelagert ist, laden SAP-Anwender Daten auf ihren lokalen Rechner, beispielsweise in eine Excel Tabelle, und sind damit genauso angreifbar wie in On-premise-Umgebungen. Und er verweist auf einen wichtigen Umstand:

„SAP-Kunden sollten bei externen Betriebsmodellen allerdings darauf achten, dass Schutzmechanismen auch bei der Administration durch Dienstleister vorhanden sind.

Eine SAP-Operations-Einheit, die in Indien sitzt und die Systeme des Kunden wartet, inklusive Firefighter-Sessions, hat alle Möglichkeiten, sensible und geschäftskritische Daten jederzeit herunterzuladen. Das ist ein erhebliches Risiko, das mit reinen Vertragsstrafen nicht zu schützen ist.“

Maschinelle Downloads in andere Applikationen gehören ebenfalls zum Leistungsspektrum von Secude. Und Andreas Opfer betont nachdrücklich im E-3 Gespräch, dass diese Downloads meist unbekannt sind, da sie ohne das aktive Zutun des Anwenders über eine Schnittstelle an die Drittapplikationen weitergegeben werden.

„Auch dies überwacht Secude und ermöglicht dadurch 100-prozentige Transparenz aller SAP-Datendownloads“

erklärt Andreas Opfer. Wenn Daten aus SAP in ein anderes System transferiert werden, stellt sich die Frage, wie das SAP-Sicherheitsprofil dieser Daten im anderen System übernommen und abgebildet wird. Holger Hügel beschreibt das Szenario so:

„In vielen Fällen sind diese Profile, wie bereits erwähnt, technisch nicht abgeglichen. Grundsätzlich ist das eine Datensicherheitsrisiko. Wenn die Standardsoftware sogar Microsoft Office heißt, was sehr häufig der Fall ist, gibt es ohne Microsoft AIP/RMS überhaupt keine Datensicherheit. Genau hier greift Secude nahtlos und automatisiert ein und verbindet die SAP- mit der Microsoft-Welt.“

Die Herausforderung besteht darin, Security als eine ständige, proaktive und vorbeugende Disziplin im operativen Betrieb zu betrachten.

„Nur Sicherheitslücken zu stopfen, sobald sie entdeckt werden, reicht nicht aus“

warnt Hügel. Clouds verstärken diese Notwendigkeit, da die Angriffsflächen schlicht größer, vielfältiger und komplexer sind. Andreas Opfer kennt die Situation genau:

„Die Cloud-Provider zögern, wenn es um Investitionen in Datensicherheit geht, bzw. wollen die Kosten an ihre Kunden weitergeben. Die Kunden hingegen erwarten diesen Schutz vom Dienstleister, drängen ihn aber nicht dazu, zu handeln. Hornberger Schießen!“

Und Holger Hügel ergänzt:

„Cloud-Provider konzentrieren sich in der Regel auf Angriffe von außen, also durch Hacker. Der Insider, der Zugriff auf die SAP-Applikation hat, steht nicht im Fokus.“

Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (­DSGVO) trat im Mai 2016 in Kraft. Andreas Opfer:

„Viele Unternehmen haben das noch gar nicht realisiert. Wir befinden uns in der Implementierungsphase, die für zwei Jahre großzügig angesetzt war. Sie endet am 25. Mai 2018. Es wird sehr unterschiedlich damit umgegangen.“

Die DSGVO hat im Wesentlichen die Strafen bei Verstößen drastisch erhöht, sodass die CFOs aufmerksam geworden sind. Die anderen Aspekte sind zumindest für die SAP-Kunden in Deutschland nichts Neues.

„SAP-Kunden sollten genau identifizieren, in welchen Prozessen sie personenbezogene Daten verarbeiten“

empfiehlt Holger Hügel. Solange die Daten während des Prozesses das SAP-System nicht verlassen, ist dem Datenschutz in der Regel Genüge getan. SAP ist da recht gut aufgestellt.

„Jedoch müssen Datenexporte unbedingt automatisiert kontrolliert werden“

betont Hügel.

„Nur die notwendigen und berechtigten Exporte dürfen das System verlassen. Der Datenschutz muss den Daten folgen, das ist technisch die größte Herausforderung und braucht Vorlauf, um geeignete Lösungen zu implementieren.“

SAP-Bestandskunden sollten jetzt schon reagieren, nicht erst wenn der erste Kunde klagt.

„Secude liefert eine den Vorgaben der Datenschutz-Grundverordnung entsprechende Lösung für alle personenbezogenen Daten einer SAP-Landschaft“

erklärt sich Andreas Opfer startklar.

„Das Aufzeichnen aller gewollten und ungewollten Downloads – das sind mehrere Tausend Downloads am Tag, die ohne eine ,Maschine‘ weder überwacht noch kon­trolliert werden können.“

Bei Verstößen gegen die von der Datenschutz-Grundverordnung vorgegebenen Richtlinien alarmiert Secude beispielsweise mittels SIEM und ermöglicht es den Kunden, innerhalb der vorgegebenen 72-Stunden-Frist zu reagieren und den Vorfall bei den Behörden zu melden.

Datensicherheit bleibt demnach auch 2018 ein wichtiges und essenzielles Thema, an dem kein CIO vorbeikommt.

SAP Datensicherheit

https://e-3.de/partners/secude-gmbh/

Das könnte Sie auch interessieren

0 Kommentare

Dein Kommentar

Möchten Sie uns Ihre Meinung zum Thema sagen?
Hinterlassen Sie uns einen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.