SECUDE GmbH

Secude

Altrottstraße 31
69190 Walldorf
Tel.: +49 6227 733 910
Fax: +49 6227 733 930
E-Mail: [email protected]
Web: www.secude.de

SECUDE unterstützt SAP-Kunden bei der Kontrolle von Datenexporten und sorgt so für eine plattformübergreifende Absicherung sensibler Informationen.

Mit SECUDE HALOCORE verbindet das international tätige Unternehmen weltweit erstmals die Sicherheitskonzepte von SAP und Microsoft. Integriert in SAP auditiert die Lösung alle SAP-Datenexporte, die das System über Standardfunktionen oder durch Copy-Paste-Vorgänge verlassen. Über eine intelligente Kontextklassifikation wird der Schutzbedarf der Daten automatisch ermittelt und auf die Exporte angewendet. Noch bevor die Dateien auf ein Gerät gelangen, werden sie mit Hilfe von Microsoft Azure Information Protection (AIP) verschlüssselt und geschützt. Nur wer berechtigt ist, erhält Zugriff auf die betroffenen Daten.

Mit modernen Technologien wie Data Stream Intelligence sorgt die Software zudem für eine lückenlose Überwachung der Datenströme zwischen SAP und angeschlossenen Drittsystemen. Dadurch gewinnen Unternehmen die notwendigen Einblicke in die „unsichtbaren“ SAP-Anwendungsaktivitäten, senken das Risiko für Datenmissbrauch und erfüllen die Dokumentationspflichten der EU-DSGVO.

 


Links



Videos

SAP-Sicherheitslücken schließen, ohne die Anwender zu beeinträchtigen

Erfahren Sie in nur 2 Minuten, wie Sie SAP-Exporte kontrollieren und Ihre sensiblen Daten prozessübergreifend absichern!


Branchen

Anlagen- und Schiffsbau
Automobilindustrie
Banken
Chemie
Dienstleistungen
Einkauf/Beschaffung
Elektronik/Elektro
Energiewirtschaft
Fertigungsindustrie
Finanzdienstleistungen
Gesundheitswesen, Medizintechnik
Handel, Großhandel, Genussmittel- und Konsumgüterindustrie
Hightech- und Elektronik
Immobilien
Innere und äußere Sicherheit
IT-Dienstleistung
Kosmetikindustrie
Life Sciences
Luft- und Raumfahrtindustrie
Maschinen-, Geräte-, Komponentenbau
Maschinen-/Anlagenbau
Medien
Medizin-/Pharmaindustrie
Metall-, Holz-, Kunststoff- und Papierindustrie
Öffentliche Verwaltung
Öl- und Gasindustrie
Personalwirtschaft (-wesen/-beschaffung)
Prozessindustrie
Steuerberatung/Wirtschaftsprüfung
Telekommunikation
Touristik
Transport-/Logistikdienstleister
Unternehmensberatung
Versicherungen
Versorgungswirtschaft
Zoll & Außenhandel

Produkte

Add-Ons


Autoren

Volker Kyra, Secude (2 Artikel)

Holger Hügel, Secude (6 Artikel)


Alle E-3 Artikel der Autoren:




1

Überholtes Silodenken und fehlende Budgets

Daten sind das neue Gold – um das zu erkennen, muss man als CIO kein Visionär mehr sein. Big Data und IoT sind Realität und haben die Datenmengen explodieren lassen.

Mit ihrer Hilfe und der Digitalisierung der Unternehmensprozesse versucht man nun Kundenmehrwerte und Wettbewerbsvorteile zu generieren. Dabei stehen vor allem neue Geschäftsmodelle im Vordergrund. Die Datensicherheit steht hinten an. Sie wird angesichts komplexer IT-Prozesse als „hinderlich“ angesehen, da sie „die Wertschöpfung nicht positiv beeinflusst“. Die wahre Bedeutung der Datensicherheit für den Unternehmenserfolg erkennen die meisten Entscheider erst dann, wenn der Datenverlust bereits eingetreten ist. In solchen Fällen verstehen CIOs, dass sie ihre IT neu ausrichten müssen, um mit den rasanten technologischen Veränderungen schritthalten und gleichzeitig die Sicherheit der Daten gewährleisten zu können. Aber Achtung: Digitalisierte Unternehmensprozesse kennen keine Systemgrenzen und leben von einem regen Datenaustausch zwischen Businessanwendungen unterschiedlicher Hersteller. Trotzdem konzentrieren sich IT-Sicherheitsverantwortliche immer noch weitestgehend auf die punktuelle Absicherung […]

2

Sicherheitsrisiko USB-Stick

Die aktuellen Schlagzeilen über den Fund eines USB-Sticks mit unverschlüsselten Daten über Überwachungskameras, Fluchtwege und Polizeipatrouillen des Heathrow Airport zeigen deutlich, was passieren kann, wenn derart sensible Informationen in die falschen Hände geraten.

Datenträger als Sicherheitslücke sind ein größeres Risiko als man denkt: Laut einer Studie, die im Auftrag der amerikanischen Computing Technology Industry Association (CompTIA) erstellt wurde, nimmt jede fünfte Person, die einen fremden Datenträger findet, diesen an sich und verbindet ihn bedenkenlos mit dem eigenen Computer. 69 Prozent der Finder treffen zudem gemäß einer Untersuchung der amerikanischen Universität in Illinois vor dem Öffnen der Datenträger und Dateien keinerlei Sicherheitsvorkehrungen. Damit verschaffen sie Viren und Spionagesoftware freien Zugang zu ihren Geräten und gefährden – in Zeiten von modernen Arbeitspraktiken wie Bring Your Own Device (BYOD) – nicht nur ihre private IT-Sicherheit, sondern auch die ihrer Arbeitgeber. Sicherheitsrisiko minimieren Die Basis für einen wirksamen Schutz ist ein weitreichendes Sicherheitskonzept mit einem durchdachten Maßnahmenkatalog, […]

3

SAP-Datensicherheit im digitalen Zeitalter

Digitale Plattformen wie SAP S/4 Hana und die zunehmende Applikationsintegration stellen SAP-Sicherheitsverantwortliche vor neue Herausforderungen. Wer geistiges Eigentum und sensible Daten künftig wirksam absichern will, muss über Systemgrenzen hinausdenken und neue datenzentrierte Sicherheitskonzepte etablieren. Ein neuer Leitfaden von SECUDE zeigt, was Unternehmen mittelfristig und langfristig tun können, um Prozesse systemübergreifend gegen Datenmissbrauch abzusichern und die Dokumenatationspflichten der neuen EU-DSGVO zu erfüllen.

Herausforderung Systemintegration Digitalisierte Prozesse kennen keine Systemgrenzen. Über moderne Entwicklungsplattformen wie SAP S/4 Hana werden täglich tausende sensible Daten ohne jegliche Kontrolle aus SAP in andere Applikationen, wie zum Beispiel Microsoft Office, exportiert. Klassische, rollenbasierte Berechtigungskonzepte stoßen hier an ihre Grenzen und vertrauliche Dateien geraten – sei es vorsätzlich oder versehentlich – schnell in Hände von Cyber-Kriminellen oder Insidern. Mehr als die Hälfte der deutschen Firmen wurden in den letzten zwei Jahren laut einer Bitkom-Studie bereits Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl – ein finanzieller Schaden von fast 55 Milliarden Euro jährlich. Nicht selten befinden sich die undichten Stellen in den eigenen Reihen. 62% der fast 600 befragten Unternehmen gaben an, dass die entsprechenden Handlungen von den eigenen Mitarbeitern ausgegangen […]

4

Sicherheitsrisiko Datenexport

Die meisten Unternehmensprozesse sind nicht auf SAP beschränkt. Viele sensible Daten werden durch die User in MS-Office-Anwen­dungen exportiert – ein Risiko, das deutlich unterschätzt wird.

SAP-Daten unterliegen per Definition einem hohen Sicherheitsstandard – zumindest solange sie sich innerhalb des SAP-Systems befinden. Aber ist das die Regel oder eher die Ausnahme? Fakt ist, dass täglich Tausende vertrauliche Daten durch unwissende Anwender, kriminelle Insider oder den Hintergrunddatenaustausch mit externen Satellitensystemen aus SAP exportiert werden. Das erhöht das Risiko für Datenmissbrauch, erschwert die Einhaltung der Dokumentationspflichten der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) und bedroht die Existenz eines jeden Unternehmens. Laut der aktuellen IDC-Studie „Mobile Security in Deutschland“ sind 52 Prozent der IT-Verantwortlichen der Meinung, dass das größte Sicherheitsrisiko bei den Anwendern selbst liegt. Dabei spielen sowohl die versehentliche Preisgabe von Informationen durch Mitarbeiter als auch cyberkriminelle Insider-Angriffe eine Rolle. Laut der Studie „The dark web’s increasing influence on insider risk“ […]

5

Erfolgsfaktor Datenklassifizierung

Daten, die bislang durch SAP-Berechtigungskonzepte geschützt werden konnten, werden heute immer häufiger aus den sicheren SAP-Systemen exportiert und über Drittanwendungen wie MS Office weiterverbreitet. Wer seine Daten schützen will, sollte über neue, datenzentrierte Sicherheitskonzepte nachdenken und diese als Kernprozess im operativen IT-Betrieb verankern.

Klassische rollenbasierte Zugriffskonzepte sind statisch und beschreiben die Rolle des Anwenders mit Profilen wie „Mitarbeiter“ oder „Projektleiter“ zunächst nur abstrakt. Den Bezug zu Abteilungen und Projektgruppen stellen viele SAP-Administratoren durch die Definition von Varianten wie „Mitarbeiter Abt. 1“, „Mitarbeiter Abt. 2“ oder „Projektleiter Projekt A“ her. Damit zwängen sie die organisatorische Dynamik in ein an sich statisches Konzept, das langfristig weder administrierbar noch wirksam ist. Grenzen des SAP-Berechtigungskonzepts Sobald ein Mitarbeiter seine Abteilung wechselt oder in mehreren Projekten gleichzeitig arbeitet, entsteht ein enormer Pflegeaufwand, der für die IT-Abteilungen kaum zu bewältigen ist. In vielen Fällen nimmt die Komplexität der Profile sogar so stark zu, dass niemand mehr weiß, welche Zugriffsrechte de facto vergeben sind. Die Antwort der IT-Adminis­tratoren liegt dann […]

6

Datenschutz nur mit Datensicherheit

Mit der neuen EU-DSGVO ist Datenschutz zur Chefsache geworden. Verstöße gegen diese Verordnung werden ab Mai 2018 nicht mehr mit maximal 300.000 Euro, sondern mit bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes geahndet, je nachdem welcher Betrag höher liegt. Das lässt die CFOs und CIOs aufhorchen.

Nicht zuletzt wegen der neuen EU-Regeln waren die Vorträge zum Thema Datenschutz bei den diesjährigen DSAG-Technologietagen stark besucht – speziell diejenigen zu Funktionen in SAP, die den Datenschutz gewährleisten können. Fazit: SAP ist für den Datenschutz gut aufgestellt, selbst wenn man für einige Funktionen SAP GRC einsetzen müsste. Allerdings ist Datenschutz wenig wert, wenn die Datensicherheit nicht gewährleistet wird. Hier gilt es, einige offene Hintertüren zu schließen. Im SAP-System selbst sind die Daten durch das Berechtigungskonzept gut geschützt. Durch Datenexporte, Druckaufträge und E-Mails aus SAP verlassen SAP-Daten jedoch den „schützenden Hafen“. Denn in SAP kann man entweder alles herunterladen, auf das man Zugriff hat, oder gar keine Daten exportieren, wenn diese Berechtigung fehlt. Im Zeitalter der „Open Economy“, in der […]

7

SAP Fiori und UI5 Über Umwege in die mobile Welt

Im Frühjahr: Das Thema Mobilität von Geschäftsanwendungen und verbesserte Nutzerakzeptanz ist im SAP Universum weiterhin ein spannendes Thema mit Potenzial. SAPs Antwort darauf sind HTML5-Anwendungen, die in modernen Browsern laufen und mittels des hauseigenen Werkzeugkastens SAPUI5 erstellt werden.

Soweit so gut – nur leider bedeutet eine neue Technologie nicht auch automatisch deren Nutzerakzeptanz. Seit 2013 arbeitet SAP intensiv und anwendungsunabhängig daran, die Nutzerakzeptanz neu zu definieren und liefert mit SAP Fiori ein Designkonzept aus, welches die Umsetzung mobiler Anwendungen auf der Grundlage von SAPUI5 vordefiniert. Partner und Kunden können sich damit auf die Umsetzung der Anwendung konzentrieren ohne aufwendig eine eigene UX-Strategie entwickeln zu müssen und so auch Gelegenheitsanwender zu erreichen. So schön die neue bunte Welt auf den ersten Blick aussieht, so holprig kann sich der Einstieg gestalten. SAP Fiori bedeutet, trotz des Designgrundsatzes der Geräteunabhängigkeit leider nicht, dass jede Fiori App aus der Fiori Apps Library auch automatisch mobil genutzt werden kann. Ein Blick in die […]

8

Fit für die EU-Datenschutz-Grundverordnung?

Im Frühjahr 2018 sollen die neuen EU-Datenschutzbestimmungen in Kraft treten. Unternehmen jeder Größe, die Daten speichern und verarbeiten, haben nun nur noch eineinhalb Jahre Zeit, die Vorgaben zur Datensicherheit sowie die umfangreichen Rechenschaftspflichten umzusetzen.

Ansonsten drohen ihnen bei Verstößen massive Bußgelder von bis zu 20 Millionen Euro oder vier Prozent ihres Jahresumsatzes. Auf was sollten Unternehmen, die SAP nutzen, in Zukunft achten und wie können sie sich vorbereiten? Was bedeutet dies nun für Unternehmen? Welche Datensysteme sind besonders betroffen? Welche Schritte müssen bis 2018 umgesetzt werden, um den neuen Vorgaben zu entsprechen? Das Stufensystem der neuen Datenschutzgrundverordnung sieht bereits Strafen von bis zu zwei Prozent des weltweit erwirtschafteten Jahresumsatzes vor, wenn Verarbeitungsvorgänge nicht ordnungsgemäß dokumentiert werden (Artikel 28). Bei einer Verletzung der Datensicherheit sind Unternehmen verpflichtet, innerhalb von 72 Stunden die Behörden zu informieren (Artikel 31). Nach der Definition der neuen Gesetzgebung handelt es sich auch um eine Datenschutzverletzung, wenn ein Mitarbeiter Einblick in […]