IT-Security-Kolumne

Sensible Unternehmensdaten, auch in SAP-Systemen, sind ein attraktives Angriffsziel für Hacker.  Wie können sich Unternehmen am wirksamsten vor den neuesten Methoden der Cyberkriminellen schützen?

It Security

IT-Sicherheit im Zeitalter der Quantencomputer

Alarmstimmung unter den IT-Sicherheitsexperten: Der Durchbruch der Quantencomputer kann für die herkömmlichen Verschlüsselungsverfahren zur tödlichen Bedrohung werden. Postquantenkryptografie lautet das Gebot der Stunde.

Quantencomputer sind längst keine Science-Fiction mehr. Während Europa, die USA und China sich ein Kopf-an-Kopf-Rennen um die Entwicklung des ersten Supercomputers des 21. Jahrhunderts liefern, sollen Geheimdienste bereits an Prototypen arbeiten, um heute sichere Algorithmen zu knacken. Auch wenn Quantencomputer die herkömmlichen Rechner nicht ersetzen werden, bietet sich ihr Einsatz für wissenschaftliche und andere komplexe Aufgaben an. So tragen Quantencomputer zum Beispiel bei Wettervorhersagen oder der Berechnung von Verkehrsströmen zu einer deutlichen Performance- und Effizienzsteigerung bei. Doch mit den neuen Möglichkeiten entstehen auch neue Gefahren für die IT-Sicherheit. In wenigen Jahren wird es Quantencomputer geben, die leistungsstark genug sind, um täglich milliardenfach genutzte Verschlüsselungsverfahren zu knacken. Allen voran den RSA-Algorithmus, der im Privatbereich bevorzugt bei Banküberweisungen, Kartenzahlungen, Online-Verkäufen und E-Mail-Verschlüsselungen […]

Lesen Sie weiter!

(Ältere Beiträge können Sie ohne Abo-Beschränkung lesen)

Informieren Sie sich HIER über unsere Abos

Sie sind schon Abonnent?

Passwort vergessen?
It Security

Forensische Datenanalyse in SAP

SAP ist eine tabellengesteuerte Applikation. Die Inhalte dieser Tabellen sind der Ausgangspunkt für forensische Datenanalysen im SAP-System. Im Folgenden sollen einige Grundsätze und Tools der forensischen Datenanalyse vorgestellt werden.

Wenn Datenanalysen durch Einsatz von Transaktionen und Reports durchgeführt werden, arbeitet man bereits auf von SAP verarbeiteten Daten. In dieser Verarbeitung können Fehler passieren. Um dies auszuschließen, sollte auf den Tabellen der Rohdaten analytisch gearbeitet werden. Dieser Ansatz wird mit SPOT (Single point of truth) bezeichnet. Transaktionen und Reports liefern häufig aggregierte Werte – es entsteht Informationsverlust. In Datenanalysen ist es aber sinnvoll, auf den einzelnen Datensätzen zu arbeiten. Durch Auswahl und Verknüpfen der richtigen Tabellen kann ein Geschäftsprozess datenanalytisch vollständig abgebildet und nach vielfältigen Aspekten analysiert werden (z. B. Verletzung von Funktionstrennungen, betrügerische Handlungen). Beispielsweise sind die vollständigen Beleg- und Zahllaufinformationen der Finanzbuchhaltung in fünf (BKPF, BSEG, BSEC, REGUH und REGUP), die wesentlichen Prozessschritte im Einkauf in acht Tabellen […]

Lesen Sie weiter!

(Ältere Beiträge können Sie ohne Abo-Beschränkung lesen)

Informieren Sie sich HIER über unsere Abos

Sie sind schon Abonnent?

Passwort vergessen?
It Security

Neue Ansätze beim Schutz vor Ransomware

Attacken wie WannaCry haben gezeigt, dass herkömmliche Schutzmaßnahmen oft unzulänglich sind. Zur Erhöhung der Sicherheit sollten die Benutzerrechteverwaltung und die Applikationskontrolle stärker in den Fokus rücken.

Klar ist, dass traditionelle Sicherheitsansätze, die auf der Nutzung von Antivirensoftware oder Malware-Scannern basieren, für die Ransomware-Abwehr unzureichend sind. Solche Lösungen versuchen, unter Verwendung von Signaturen Angriffe zu erkennen. Wird ein Schädling erkannt, blockiert ihn die Schutzsoftware und verhindert so den Zugriff auf Systemressourcen. Genau an diesem Punkt zeigt sich der gravierende Nachteil dieser Lösungen: Weil sie auf die Mal­ware-Erkennung angewiesen sind, können sie oftmals keine zuverlässige Sicherheit vor der wachsenden Anzahl neuer, bisher unbekannter Ransomware bieten. Unternehmen müssen zusätzliche Maßnahmen ergreifen, gängig sind etwa Blacklisting von Anwendungen, Whitelisting von Anwendungen, Greylisting von Anwendungen sowie Least-Privilege-Kontrolle. Beim Blacklisting können Unternehmen die Ausführung von Malware in ihrer Umgebung verhindern. Beim Schutz vor Ransomware ist diese Methode kaum sinnvoll einsetzbar. Das Whitelisting […]

Lesen Sie weiter!

(Ältere Beiträge können Sie ohne Abo-Beschränkung lesen)

Informieren Sie sich HIER über unsere Abos

Sie sind schon Abonnent?

Passwort vergessen?
It Security

IT-Sicherheitsgesetz: Was müssen Webseitenbetreiber beachten?

Im Juli 2015 trat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft. Dieser Artikel erläutert die Anforderungen, die das neue IT-Sicherheitsgesetz an Webseitenbetreiber stellt.

Bei dem IT-Sicherheitsgesetz handelt es sich um ein sogenanntes Artikelgesetz; ein Gesetz, durch das gleichzeitig mehrere Gesetze geändert und erweitert werden. Ziel des Gesetzes ist es, IT-Infrastrukturen in Deutschland auf einem höchstmöglichen Niveau zu halten und dramatische Folgen bei Versorgungsengpässen vor allem bei kritischen Infrastrukturen (KRITIS) zu vermeiden. Doch nicht nur KRITIS-Betreiber sind vom IT-Sicherheitsgesetz betroffen, auch für Diensteanbieter einer Webseite stellt der Gesetzgeber neue Anforderungen an die Informationssicherheit. Als Diensteanbieter im Sinne des Gesetzes ist jeder Betreiber einer geschäftsmäßigen Webseite zu sehen. Das IT-Sicherheitsgesetz hat unter anderem Änderungen des Telemediengesetzes (TMG) zur Folge. Zu den Telemedien zählen dabei unter anderem Webseiten. Das Ziel, das durch die Änderungen des TMGs erreicht werden soll, ist die Eindämmung der Verbreitung von Schadsoftware […]

It Security

Bei Industrie 4.0 kommt die Sicherheit schnell unter die Räder

free

Vor einigen Jahren prüfte ich das Berechtigungskonzept eines Anlagenbauers mit mehreren Tausend Mitarbeitern – und was musste ich da feststellen: Die Einkäufer eines Werks konnten in den jeweils anderen Werken des Unternehmens Zahlungsläufe auslösen.

Im Falle des Anlagenbauers kam diese Kombination an Berechtigungen durch ein historisch gewachsenes Berechtigungskonzept zustande, in dem Rollen immer weitervererbt und mit zusätzlichen Transaktionen angereichert wurden. Leider ist diese Vorgehensweise bei vielen Unternehmen auch heute noch gängige Praxis und macht es Mitarbeitern einfach, sich auf Kosten der eigenen Firma zu bereichern. Dem wirkt ein gutes SAP-Berechtigungsmanagement entgegen. Es reduziert die Gefahr, dass es zu unberechtigten Zugriffen auf kritische Daten in SAP-Systemen kommen kann. Wesentlich für den Datenschutz in Unternehmen und Organisationen ist ein auf dem neuesten Stand befindliches Berechtigungskonzept. Es belegt, wer in der Firma auf welche Daten Zugriff hat. Ein ausgefeiltes Berechtigungskonzept berücksichtigt auch Mitarbeiter-Vertretungen bei Krankheit und Urlaub. Es berücksichtigt den Wechsel von Mitarbeitern in andere Abteilungen – […]

It Security

Löschen und Sperren personenbezogener Daten im SAP HCM

free

Wer dem Informationsfluss zur aktuellen Rechtslage bezüglich Löschen und Sperren von personenbezogenen Daten folgt, wird unweigerlich zur Business Function SAP ILM und der Frage der Realisierbarkeit von Datenschutzaspekten in SAP Systemen geführt.

Geht man den aktuellen Entwicklungen zum Thema näher auf den Grund, so steht man der am 25. Mai 2018 anzuwendenden EU-Datenschutzgrundverordnung (DS-GVO) und dessen empfindliche Sanktionen bei Verstößen gegen den Datenschutz gegenüber. Grundsätzlich sieht die DS-GVO, wie das Bundesdatenschutzgesetz (BDSG) auch, die Berichtigung und Löschung von personenbezogenen Daten vor. Eine zeitlich unbegrenzte Aufbewahrung solcher Daten ist nicht zulässig. Solange weitere gesetzliche, tarifvertragliche oder innerbetriebliche Vorgaben zur Aufbewahrung von personenbezogenen Daten und Unterlagen vorliegen, sind die Daten jedoch noch nicht zu löschen sondern lediglich zu sperren. Mit den erprobten Möglichkeiten des Retention Managements lassen sich personalwirtschaftliche Sachverhalte über das SAP ILM abbilden und unter in der Praxis auch gesetzeskonform umsetzen. Überblick beschaffen Vorerst gilt es jedoch sich einen strukturierten Überblick aller […]

It Security

Sicherheitsrelevante Neuerungen im NetWeaver

free

SAP erweitert den Funktionsumfang ihrer Produkte regelmäßig auch hinsichtlich der Security-Komponenten. Hierbei „up to date“ zu bleiben ist wesentlich, ist davon doch die grundlegende Sicherheit der SAP-Systeme abhängig.

Mit dem NetWeaver 7.50, SP3, wurde ein neues Security Audit Log (SAL) ausgeliefert. Der SAP-Hinweis 2191612 beschreibt die neuen Funktionen des Audit Logs. Das bisherige Audit Log hat viele Schwachpunkte, wie z. B. die eingeschränkte Anzahl an Filtern, die fehlende Manipulationserkennung, die fehlende Archivierungsmöglichkeit und die unzureichenden Möglichkeiten zur Angabe zu überwachender Benutzer. Das neue Security Audit Log (Transaktionen RSAU_*) bietet nun verschiedene neue Funktionalitäten: Die Protokolle können teilweise oder vollständig in der Datenbank gespeichert und verwaltet werden. Die maximale Anzahl der Filter je Profil wurde von 10 auf 90 erhöht. Es können auch Benutzergruppen zur Protokollierung angegeben oder explizit ausgeschlossen werden. Zur Erkennung von Manipulationen an den Protokolldateien kann ein Integritätsschutz implementiert werden. Audit-Log-Konfigurationen können exportiert und importiert werden, […]

It Security

Datenschutz nur mit Datensicherheit

free

Mit der neuen EU-DSGVO ist Datenschutz zur Chefsache geworden. Verstöße gegen diese Verordnung werden ab Mai 2018 nicht mehr mit maximal 300.000 Euro, sondern mit bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes geahndet, je nachdem welcher Betrag höher liegt. Das lässt die CFOs und CIOs aufhorchen.

Nicht zuletzt wegen der neuen EU-Regeln waren die Vorträge zum Thema Datenschutz bei den diesjährigen DSAG-Technologietagen stark besucht – speziell diejenigen zu Funktionen in SAP, die den Datenschutz gewährleisten können. Fazit: SAP ist für den Datenschutz gut aufgestellt, selbst wenn man für einige Funktionen SAP GRC einsetzen müsste. Allerdings ist Datenschutz wenig wert, wenn die Datensicherheit nicht gewährleistet wird. Hier gilt es, einige offene Hintertüren zu schließen. Im SAP-System selbst sind die Daten durch das Berechtigungskonzept gut geschützt. Durch Datenexporte, Druckaufträge und E-Mails aus SAP verlassen SAP-Daten jedoch den „schützenden Hafen“. Denn in SAP kann man entweder alles herunterladen, auf das man Zugriff hat, oder gar keine Daten exportieren, wenn diese Berechtigung fehlt. Im Zeitalter der „Open Economy“, in der […]

it security Header

Hana Sicherheit – Neue Dimensionen

free

Mit der Datenbank Hana hat SAP eine neue Dimension geschaffen hinsichtlich der Sicherheit von SAP-Systemen.

Bisher waren die Datenhaltungs- und die Anwendungsebene klar voneinander getrennt. In der Datenbank selbst waren lediglich die Datenbankadministratoren als Benutzer angelegt. Die Entwickler und Endanwender befanden sich im Abap-Stack, in dem auch die gesamte Berechtigungsvergabe erfolgte. Neue Nutzerverteilung Auch wenn im ERP-Nachfolger S/4 Hana ein Großteil der Anwendungen noch über den Abap-Stack abgebildet ist, so finden doch viele Entwicklungen bereits in der Hana-Datenbank selbst statt. Das BW/4 Hana, offiziell nicht als Nachfolger von SAP BW deklariert, sondern als neues Produkt, ist bereits vollständig in der Hana-Datenbank abgebildet. Daher sind als Benutzer in der Hana-Datenbank nun nicht nur Datenbankadministratoren tätig, sondern auch Entwickler und zukünftig vermehrt auch Endanwender. Security Die Sicherheitsebenen beim Betrieb einer Hana-DB sind vielfältig, da sie DB- und […]