IT-Security-Kolumne

Sensible Unternehmensdaten, auch in SAP-Systemen, sind ein attraktives Angriffsziel für Hacker.  Wie können sich Unternehmen am wirksamsten vor den neuesten Methoden der Cyberkriminellen schützen?

It Security

IT-Security – Hackern auf der Spur

Cyber Security hat in den letzten Jahren weiterhin stark an Bedeutung gewonnen. Der Grund dafür ist die aktuelle Bedrohungslage. Schätzungsweise gibt es weltweit 45 Millionen Cyberangriffe pro Jahr, also 85 Angriffe pro Minute.

Hacking hat ja bei vielen Menschen noch etwas Ehrfurchtgebietendes. Man hat einen technisch extrem versierten Nerd vor Augen, der in einem dunklen Keller sitzt, umringt von vielen Monitoren, auf denen etliche Kommandozeilenfenster geöffnet sind. Und in der Praxis? Dort sieht es so aus, dass zum Eindringen von außen in Systeme natürlich großes technisches Know-how erforderlich ist, ebenso zum „Hacking“ von SAP-Systemen. Allerdings ist das meiste davon kein Insiderwissen, es ist frei im Internet verfügbar. Nehmen Sie sich ein paar Minuten Zeit und googeln Sie mal nach „SAP Hacking“ oder „SAP password cracking“. Sie werden überrascht sein über die Ergebnisse und wissen nach ein paar Minuten, wie zum Beispiel Kennwörter geknackt werden können und welche Software Sie dafür als Freeware runterladen […]

Lesen Sie weiter!

(Ältere Beiträge können Sie ohne Abo-Beschränkung lesen)

Informieren Sie sich HIER über unsere Abos

Sie sind schon Abonnent?

Passwort vergessen?
It Security

EU-DSGVO und Big Data

Der Trend in der IT zeigt klar in Richtung IoT, Industrie 4.0 und Verarbeitung riesiger Datenmengen in In-memory-Datenbanken – wie bei Hana. Dabei müssen die Anforderungen der EU-DSGVO von Anfang an berücksichtigt werden.

Die gute Nachricht zuerst: Auch mit der EU-DSGVO muss auf neue Technologien nicht verzichtet werden. Big Data, Industrie 4.0 und KI müssen aber von vornherein international-datenschutzrechtlich bis ins Detail durchgeplant werden. Zu berücksichtigen sind insbesondere die neuen Verpflichtungen zu „Privacy by Design/Default“ und der verpflichtenden Datenschutz-Folgeabschätzung (DFA). Denn bei den datenschutzrelevanten Handlungen, auf die die EU-DSGVO Anwendung findet, handelt es sich fast immer um die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten. Damit unterliegt die gesamte Datenverarbeitungs-Wertschöpfungskette den Datenschutzgesetzen, von der Generierung/Erhebung bis zur Löschung. Dies wurde mit der neuen Verordnung konkretisiert und verschärft – insbesondere die Rechte auf Vergessenwerden, Datenberichtigung, Löschung, Sperrung und Datenportabilität sowie die Verpflichtung zur Notifizierung von Datenschutzverletzungen. Die Dokumentationspflichten werden deutlich erweitert und künftig auf […]

Lesen Sie weiter!

(Ältere Beiträge können Sie ohne Abo-Beschränkung lesen)

Informieren Sie sich HIER über unsere Abos

Sie sind schon Abonnent?

Passwort vergessen?
It Security

IT-Sicherheit im Zeitalter der Quantencomputer

Alarmstimmung unter den IT-Sicherheitsexperten: Der Durchbruch der Quantencomputer kann für die herkömmlichen Verschlüsselungsverfahren zur tödlichen Bedrohung werden. Postquantenkryptografie lautet das Gebot der Stunde.

Quantencomputer sind längst keine Science-Fiction mehr. Während Europa, die USA und China sich ein Kopf-an-Kopf-Rennen um die Entwicklung des ersten Supercomputers des 21. Jahrhunderts liefern, sollen Geheimdienste bereits an Prototypen arbeiten, um heute sichere Algorithmen zu knacken. Auch wenn Quantencomputer die herkömmlichen Rechner nicht ersetzen werden, bietet sich ihr Einsatz für wissenschaftliche und andere komplexe Aufgaben an. So tragen Quantencomputer zum Beispiel bei Wettervorhersagen oder der Berechnung von Verkehrsströmen zu einer deutlichen Performance- und Effizienzsteigerung bei. Doch mit den neuen Möglichkeiten entstehen auch neue Gefahren für die IT-Sicherheit. In wenigen Jahren wird es Quantencomputer geben, die leistungsstark genug sind, um täglich milliardenfach genutzte Verschlüsselungsverfahren zu knacken. Allen voran den RSA-Algorithmus, der im Privatbereich bevorzugt bei Banküberweisungen, Kartenzahlungen, Online-Verkäufen und E-Mail-Verschlüsselungen […]

It Security

Forensische Datenanalyse in SAP

free

SAP ist eine tabellengesteuerte Applikation. Die Inhalte dieser Tabellen sind der Ausgangspunkt für forensische Datenanalysen im SAP-System. Im Folgenden sollen einige Grundsätze und Tools der forensischen Datenanalyse vorgestellt werden.

Wenn Datenanalysen durch Einsatz von Transaktionen und Reports durchgeführt werden, arbeitet man bereits auf von SAP verarbeiteten Daten. In dieser Verarbeitung können Fehler passieren. Um dies auszuschließen, sollte auf den Tabellen der Rohdaten analytisch gearbeitet werden. Dieser Ansatz wird mit SPOT (Single point of truth) bezeichnet. Transaktionen und Reports liefern häufig aggregierte Werte – es entsteht Informationsverlust. In Datenanalysen ist es aber sinnvoll, auf den einzelnen Datensätzen zu arbeiten. Durch Auswahl und Verknüpfen der richtigen Tabellen kann ein Geschäftsprozess datenanalytisch vollständig abgebildet und nach vielfältigen Aspekten analysiert werden (z. B. Verletzung von Funktionstrennungen, betrügerische Handlungen). Beispielsweise sind die vollständigen Beleg- und Zahllaufinformationen der Finanzbuchhaltung in fünf (BKPF, BSEG, BSEC, REGUH und REGUP), die wesentlichen Prozessschritte im Einkauf in acht Tabellen […]

It Security

Neue Ansätze beim Schutz vor Ransomware

free

Attacken wie WannaCry haben gezeigt, dass herkömmliche Schutzmaßnahmen oft unzulänglich sind. Zur Erhöhung der Sicherheit sollten die Benutzerrechteverwaltung und die Applikationskontrolle stärker in den Fokus rücken.

Klar ist, dass traditionelle Sicherheitsansätze, die auf der Nutzung von Antivirensoftware oder Malware-Scannern basieren, für die Ransomware-Abwehr unzureichend sind. Solche Lösungen versuchen, unter Verwendung von Signaturen Angriffe zu erkennen. Wird ein Schädling erkannt, blockiert ihn die Schutzsoftware und verhindert so den Zugriff auf Systemressourcen. Genau an diesem Punkt zeigt sich der gravierende Nachteil dieser Lösungen: Weil sie auf die Mal­ware-Erkennung angewiesen sind, können sie oftmals keine zuverlässige Sicherheit vor der wachsenden Anzahl neuer, bisher unbekannter Ransomware bieten. Unternehmen müssen zusätzliche Maßnahmen ergreifen, gängig sind etwa Blacklisting von Anwendungen, Whitelisting von Anwendungen, Greylisting von Anwendungen sowie Least-Privilege-Kontrolle. Beim Blacklisting können Unternehmen die Ausführung von Malware in ihrer Umgebung verhindern. Beim Schutz vor Ransomware ist diese Methode kaum sinnvoll einsetzbar. Das Whitelisting […]

It Security

IT-Sicherheitsgesetz: Was müssen Webseitenbetreiber beachten?

free

Im Juli 2015 trat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft. Dieser Artikel erläutert die Anforderungen, die das neue IT-Sicherheitsgesetz an Webseitenbetreiber stellt.

Bei dem IT-Sicherheitsgesetz handelt es sich um ein sogenanntes Artikelgesetz; ein Gesetz, durch das gleichzeitig mehrere Gesetze geändert und erweitert werden. Ziel des Gesetzes ist es, IT-Infrastrukturen in Deutschland auf einem höchstmöglichen Niveau zu halten und dramatische Folgen bei Versorgungsengpässen vor allem bei kritischen Infrastrukturen (KRITIS) zu vermeiden. Doch nicht nur KRITIS-Betreiber sind vom IT-Sicherheitsgesetz betroffen, auch für Diensteanbieter einer Webseite stellt der Gesetzgeber neue Anforderungen an die Informationssicherheit. Als Diensteanbieter im Sinne des Gesetzes ist jeder Betreiber einer geschäftsmäßigen Webseite zu sehen. Das IT-Sicherheitsgesetz hat unter anderem Änderungen des Telemediengesetzes (TMG) zur Folge. Zu den Telemedien zählen dabei unter anderem Webseiten. Das Ziel, das durch die Änderungen des TMGs erreicht werden soll, ist die Eindämmung der Verbreitung von Schadsoftware […]

It Security

Bei Industrie 4.0 kommt die Sicherheit schnell unter die Räder

free

Vor einigen Jahren prüfte ich das Berechtigungskonzept eines Anlagenbauers mit mehreren Tausend Mitarbeitern – und was musste ich da feststellen: Die Einkäufer eines Werks konnten in den jeweils anderen Werken des Unternehmens Zahlungsläufe auslösen.

Im Falle des Anlagenbauers kam diese Kombination an Berechtigungen durch ein historisch gewachsenes Berechtigungskonzept zustande, in dem Rollen immer weitervererbt und mit zusätzlichen Transaktionen angereichert wurden. Leider ist diese Vorgehensweise bei vielen Unternehmen auch heute noch gängige Praxis und macht es Mitarbeitern einfach, sich auf Kosten der eigenen Firma zu bereichern. Dem wirkt ein gutes SAP-Berechtigungsmanagement entgegen. Es reduziert die Gefahr, dass es zu unberechtigten Zugriffen auf kritische Daten in SAP-Systemen kommen kann. Wesentlich für den Datenschutz in Unternehmen und Organisationen ist ein auf dem neuesten Stand befindliches Berechtigungskonzept. Es belegt, wer in der Firma auf welche Daten Zugriff hat. Ein ausgefeiltes Berechtigungskonzept berücksichtigt auch Mitarbeiter-Vertretungen bei Krankheit und Urlaub. Es berücksichtigt den Wechsel von Mitarbeitern in andere Abteilungen – […]

It Security

Löschen und Sperren personenbezogener Daten im SAP HCM

free

Wer dem Informationsfluss zur aktuellen Rechtslage bezüglich Löschen und Sperren von personenbezogenen Daten folgt, wird unweigerlich zur Business Function SAP ILM und der Frage der Realisierbarkeit von Datenschutzaspekten in SAP Systemen geführt.

Geht man den aktuellen Entwicklungen zum Thema näher auf den Grund, so steht man der am 25. Mai 2018 anzuwendenden EU-Datenschutzgrundverordnung (DS-GVO) und dessen empfindliche Sanktionen bei Verstößen gegen den Datenschutz gegenüber. Grundsätzlich sieht die DS-GVO, wie das Bundesdatenschutzgesetz (BDSG) auch, die Berichtigung und Löschung von personenbezogenen Daten vor. Eine zeitlich unbegrenzte Aufbewahrung solcher Daten ist nicht zulässig. Solange weitere gesetzliche, tarifvertragliche oder innerbetriebliche Vorgaben zur Aufbewahrung von personenbezogenen Daten und Unterlagen vorliegen, sind die Daten jedoch noch nicht zu löschen sondern lediglich zu sperren. Mit den erprobten Möglichkeiten des Retention Managements lassen sich personalwirtschaftliche Sachverhalte über das SAP ILM abbilden und unter in der Praxis auch gesetzeskonform umsetzen. Überblick beschaffen Vorerst gilt es jedoch sich einen strukturierten Überblick aller […]

It Security

Sicherheitsrelevante Neuerungen im NetWeaver

free

SAP erweitert den Funktionsumfang ihrer Produkte regelmäßig auch hinsichtlich der Security-Komponenten. Hierbei „up to date“ zu bleiben ist wesentlich, ist davon doch die grundlegende Sicherheit der SAP-Systeme abhängig.

Mit dem NetWeaver 7.50, SP3, wurde ein neues Security Audit Log (SAL) ausgeliefert. Der SAP-Hinweis 2191612 beschreibt die neuen Funktionen des Audit Logs. Das bisherige Audit Log hat viele Schwachpunkte, wie z. B. die eingeschränkte Anzahl an Filtern, die fehlende Manipulationserkennung, die fehlende Archivierungsmöglichkeit und die unzureichenden Möglichkeiten zur Angabe zu überwachender Benutzer. Das neue Security Audit Log (Transaktionen RSAU_*) bietet nun verschiedene neue Funktionalitäten: Die Protokolle können teilweise oder vollständig in der Datenbank gespeichert und verwaltet werden. Die maximale Anzahl der Filter je Profil wurde von 10 auf 90 erhöht. Es können auch Benutzergruppen zur Protokollierung angegeben oder explizit ausgeschlossen werden. Zur Erkennung von Manipulationen an den Protokolldateien kann ein Integritätsschutz implementiert werden. Audit-Log-Konfigurationen können exportiert und importiert werden, […]