Informationssicherheit – Sensibles Thema für sensible Daten

Jorg Dietmann CEO SECUDE

Jörg Dietmann, CEO von SECUDE

Durch Trends wie mobiles Arbeiten, BYOD, aber auch durch die stärkere Zusammenarbeit über Abteilungen und Organisationen hinweg, lösen sich traditionelle Unternehmensgrenzen immer weiter auf, und Daten können nicht mehr in bestimmten Systemen „eingesperrt“ werden. So verlassen durchschnittlich alle 49 Minuten Daten ein Unternehmen [1]. Diese sehen sich daher gezwungen, immer neue Lücken in ihren komplexen Sicherheitsinfrastrukturen zu flicken, während fast jeden Monat neue Fälle von aufsehenerregenden Datenverlusten in den Nachrichten erscheinen.

Traditioneller Sicherheitsansatz greift zu kurz

Häufig setzen Unternehmen DLP-Systeme (Data Loss Prevention) ein, um Datenverlusten unternehmensweit entgegenzuwirken. DLP-Lösungen sind nützliche Werkzeuge für die Datensicherheit und bietet den Vorteil von generischen Schutzfunktionen, für die keine tiefe Integration mit Anwendungen anderer Anbieter nötig ist. Sie überwachen Ports, Protokolle oder Speicherorte und verhindern, dass bestimmte Daten die Unternehmensgrenzen verlassen. Die Grundlage für diese Entscheidung bilden vordefinierte Regeln sowie erlernte Vorgänge. So kann das DLP beispielsweise so konfiguriert werden, dass Tabellen, Personal- oder Finanzdaten, die auf einen File-Server gespeichert werden, automatisch entfernt oder in Quarantäne verschoben werden.

Doch die Vorteile dieses generischen Lösungsansatzes erweisen sich gleichzeitig als sein Nachteil: Da das DLP so weit von den Anwendungen entfernt ist, in denen die Daten entstehen, fehlt dem System der Kontext und damit das Verständnis, um die Intention des Anwenders einzuschätzen und eine qualifizierte Entscheidung treffen zu können. So kann die Anweisung, dass eine Datei beispielsweise in die Quarantäne verschoben werden soll, auch einen negativen Einfluss auf die Produktivität haben – und zwar dann, wenn Anwender nicht mehr auf Informationen zugreifen können, die sie für ihre Arbeit benötigen. Hinzu kommt, dass laut Studien wie denen des Marktforschungsunternehmens Ponemom Institute durch DLP gerade einmal 19 Prozent der gezielten Sicherheitsverletzungen verhindert werden [2].

Problematisch: Kontextbezogener Dokumentenaustausch

Statt sich also darauf zu verlassen, dass die DLP-Lösung das Risiko richtig einschätzt oder die Endanwender die richtigen Entscheidungen fällen, sollten moderne Datenschutzlösungen zusätzlich den Kontext in eine fundierte Entscheidung einbeziehen. Ein solcher Kontextbezug kann nur durch eine tiefe Integration mit Anwendungen hergestellt werden. Damit erhält die Lösung den Zugriff auf Informationen wie die Benutzerrolle und Authentifizierungen, Datenformate (Transaktionen, Tabellen, etc.) sowie die technische Umgebung (Frontend, Funktionsmodul des Applikationsservers, etc.).

Durch die Analyse, wer was wo wann und warum macht, können Sicherheitsentscheidungen erheblich verbessert werden. Zudem erhalten die Unternehmen über ein entsprechendes Audit-Log eine Übersicht darüber, was mit ihren Daten gemacht wird, und können sich somit auch gegenüber den wachsenden Compliance-Anforderungen absichern.

ERP – Sicherheit nur bis zur Systemgrenze

Überdurchschnittlich oft bei Datenskandalen sind Informationen wie Personal-, Finanz- oder Kundendaten betroffen, die üblicherweise in ERP-Systemen vorgehalten werden. Aber auch wichtige Informationen zu neuen Produkten, Konstruktionen oder Materiallisten werden dort gespeichert. Damit ist auch SAP, eines der weltweit am meisten verbreiteten ERP-Systeme, einer der wichtigsten Speicherorte für derart sensible Informationen.

Innerhalb des SAP-Systems sind sensible Daten durch Benutzerrollen und Autorisierungsstrukturen gut geschützt. Sie stellen sicher, dass nur Benutzer mit entsprechenden Berechtigungen auf bestimmte Informationen zugreifen können. Das führt jedoch zu einem trügerischen Sicherheitsgefühl. Denn sobald die Informationen exportiert werden, greifen die Sicherheitsregeln des SAP-Systems nicht mehr. Im Arbeitsalltag exportieren Mitarbeiter aber fast täglich Informationen aus dem System, um diese mit Kollegen und Partnern auszutauschen oder in Reportformate zu übertragen – und dabei gehen alle Berechtigungs- und Sicherheitskonfigurationen verloren. Die Informationen in den exportieren Dokumenten sind anschließend ungeschützt in E-Mail-Systemen, auf Computern oder mobilen Geräten der Anwender oder in der Cloud gespeichert.

Auditieren, Klassifizieren und Schützen von Datenexporten aus SAP

Am Beispiel von SAP lassen sich die Vorteile einer kontextbezogenen Datensicherheitslösung anschaulich darstellen. Mit Auditing-Lösungen wie der SECUDE Halocore Suite, wird ein detailliertes Audit Log erstellt, das zeigt, welche Daten aus welcher SAP-Applikation in einem Dokument zusammengeführt werden, wer diese Daten aus SAP herunterlädt und wo diese Dokumente gespeichert werden. In einem zweiten Schritt bietet das Modul für Data Classification die Möglichkeit, Dokumente je nach Zusammenstellung der Daten aus verschiedenen Tabellen, Applikationen und Usern, mit Hilfe eines intelligenten Algorithmus kontextsensitiv zu klassifizieren und dies in den Metadaten des Dokuments zu verankern. Sämtliche Versuche, klassifizierte Daten aus dem SAP herunterzuladen, können der Compliance-Abteilung mithilfe der Integration in das SAP GRC-Modul gemeldet werden. Sind die Daten entsprechend klassifiziert, bietet die Lösung die Möglichkeit, das Herunterladen von z.B. als streng vertraulich identifizierten Dokumenten aus dem SAP-System generell zu verbieten.

SECUDE Halocore Datenkalssifizierung_Feb2016

Datenklassifizierung – Architektur und Prozess

Zusätzlich bietet die Lösung, in Verbindung mit der Microsoft Rights Management Services (RMS)-Verschlüsselungstechnologie, zusätzlich einen Schutz sämtlicher aus SAP exportierter Daten. Damit ist jedes Dokument bereits in der Entstehung für seinen gesamten Lebenszyklus verschlüsselt und kann nur von Mitarbeitern oder Geschäftspartnern gelesen, gedruckt oder weiterverarbeitet werden, denen entsprechende Rechte eingeräumt wurden. Entscheidend für die Technologie ist, dass Dokumente geschützt werden, unabhängig davon, ob sie lokal abgelegt, in der Cloud gespeichert und geteilt oder per Mail verschickt werden.

PPT_V1

Geschützter Datenexport aus SAP

Fazit

Statt so viele Sicherheitslösungen wie möglich zu installieren, um die Daten bestmöglich zu schützen, sollten Unternehmen den Einsatz von intelligenten Lösungen erwägen, die mit besonders wichtigen Anwendungen wie SAP integriert sind und die die Aktionen der Nutzer im Zusammenhang mit dem Kontext bewerten können. Diese sind eine ideale Ergänzung bewährter generischer Ansätze wie DLR-Systeme.

Darüber hinaus sollte die Aufmerksamkeit der Mitarbeiter unbedingt auf den sorgsamen Umgang mit Informationen gelenkt werden. Durch die Klassifizierung der Informationen und entsprechende Benachrichtigungen wird eine solche Sensibilisierung bereits umgesetzt. Der Hinweis, dass ein System überwacht wird, verhindert zudem den leichtfertigen Umgang mit den Dokumenten.

Quellen

[1] Checkpoint Security Report 2014

[2] The State of Data Security Intelligence – Ponemon Institute, April 2015

 

www.secude.com/de

SECUDE wurde 1996 als Joint Venture von SAP AG und Fraunhofer Institut gegründet und unterstützt heute SAP-Kunden beim Schutz ihrer sensiblen Daten. Zahlreiche Unternehmen aus der Fortune-500-Gruppe vertrauen auf die modularen SECUDE-Lösungen.