Wie sicher sind Dokumente, wenn sie SAP verlassen?

Autor – Jörg Dietmann ist CEO von SECUDE

Mit mehr als 282.000 Kunden weltweit ist SAP eines der am weitesten verbreiteten ERP-Systeme und damit auch einer der wichtigsten Speicherorte für unternehmenskritische Informationen. Innerhalb der SAP-Umgebung sind diese Daten in der Regel umfangreich gesichert. Doch ein intensiver Informationsaustausch ist heute unerlässlich. Solange dies in einer gesicherten SAP-Umgebung erfolgt, wird das Informationsrisiko als sehr gering eingestuft – und führt oftmals zu einem trügerischen Sicherheitsgefühl.

Aber wie sieht es mit der Sicherheit der Dokumente aus, die Mitarbeiter täglich aus SAP exportieren und mit Kollegen oder Geschäftspartnern teilen? Zwar wägen viele Verantwortliche zwischen Sicherheit und Nutzen ab, die meisten Unternehmen aber tauschen regelmäßig aus SAP exportierte Daten mit ihren Kunden und Zulieferern aus, um Geschäftsprozesse zu beschleunigen. An dieser Stelle kommt es nicht selten zu Sicherheitsverstößen und zur Manipulation unternehmensinterner Daten – selbst wenn das den Anwendern nicht immer bewusst ist.

Lösungsansatz für den Datenschutz

Für den Austausch werden die Daten häufig ungeschützt zwischengespeichert, was beispielsweise eine unberechtigte Weitergabe an Dritte oder den Zugriff von außen möglich macht. Als Dokumente werden sie per E-Mail mit Kollegen anderer Abteilungen oder externe Geschäftspartnern geteilt, auf mobile Geräte oder in die Cloud übertragen und dort ohne jegliche Sicherung gespeichert. Einige Unternehmen räumen zudem Partnern wie Wirtschaftsprüfern während der Prüfungsphasen weitgehende Rechte im SAP ein. Sie wissen aber nicht, welche Dokumente diese herunterladen, ob diese für die Prüfung überhaupt relevant sind und wie sie anschließend gesichert werden.

Auch bei einer Expansion ins Ausland kann sich die Gefahr von äußeren Zugriffen und Wirtschaftsspionage noch weiter erhöhen. Zu guter Letzt gibt es noch den bewussten Datendiebstahl durch Mitarbeiter, die Informationen wie Materiallisten, Kundendaten oder Pläne herunterladen und verkaufen. Diese Sicherheitslücke zu schließen ist eine Herausforderung.

Um weltweit Kunden beim Schutz sensibler Daten und Dokumente vor Verlust oder Diebstahl und bei der Erfüllung gesetzlicher und branchentypischer Vorgaben und Richtlinien zu unterstützen, hat der Anbieter SECUDE einen speziell auf SAP ausgerichteten Lösungsansatz entwickelt. Er umfasst Maßnahmen auf verschiedenen Ebenen des SAP-Systems:

Sensible Informationen identifizieren
Um die Daten richtig identifizieren zu können, muss zuerst festgestellt werden, wie wertvoll die jeweiligen Daten für das Unternehmen sind, wo sie hinterlegt wurden und wie die Zugangs- sowie Zugriffsmodalitäten geregelt sind. Ein Großteil dieser Daten wird in den SAP-Systemen gespeichert. Doch es gilt zu klären, welche Daten die Systeme auch wieder verlassen.

SECUDE’s Halocore Auditing bietet ein Audit-Log, welches die verschiedenen Datenbewegungen, wie Datenzusammenführungen und Speichervorgänge sowie die damit verbundenen Akteure, detailliert aufzeichnet und sowohl graphisch als auch tabellarisch auswertet. Mittels eines SIEM-Systems (Security Information and Event Management) kann dieser Audit-Log auf unerwünschtes Verhalten analysiert werden. Für die Unternehmens-Compliance ist das zusätzliche Auditieren von Daten, die die SAP-Umgebung verlassen, ein weiterer Baustein zur Verbesserung der Transparenz von Unternehmensprozessen.

Klassifizierung der Daten und ihrer Nutzung
In einem zweiten Schritt können mithilfe von Halocore for Data Classification Dokumente, je nach Zusammenstellung der Daten aus verschiedenen Tabellen, Applikationen bzw. Usern, mit Hilfe eines intelligenten Algorithmus kontextsensitiv klassifiziert werden. Die in den Metadaten eines Dokuments verankerte Klassifizierung schützt nicht nur vor Verlusten und ermöglicht die Archivierung durch Drittanwendungen,N sondern sensibilisiert auch Mitarbeiter für den Umgang mit Daten und Dokumenten. So können diese Daten unter anderem als „streng vertraulich“, „vertraulich“, „intern“ oder auch „öffentlich“ gekennzeichnet werden, wobei die Klassifizierung für die verschiedenen Anwender optional transparent oder interaktiv ablaufen kann, je nach beabsichtigtem Lern- oder Aufklärungseffekt.

Klassifizierung von SAP-Daten

Sobald klassifizierte Daten aus dem SAP heruntergeladen oder die Klassifizierungen, beispielsweise von „streng vertraulich“ in „öffentlich“ verändert werden, kann dies über ein integriertes SAP GRC-Modul sofort der Compliance-Abteilung übermittelt werden. Bei entsprechender Klassifizierung der Daten kann das Herunterladen von als streng vertraulich identifizierten Dokumenten generell verboten werden (Data Loss Prevention). Diese Präventivmaßnahme bezieht sich insbesondere auf Bereiche wie Personaldaten, welche den Datenschutzgesetzen nach grundsätzlich als streng vertraulich gelten. Sie sollten generell nicht aus dem SAP geladen werden.

Klassifikation von Personaldaten

Aufzeichnung aller Nutzer-Aktivitäten
Dennoch können Sicherheitslücken entstehen, beispielsweise durch das automatische Versenden von Gehaltsabrechnungen. Deshalb ist es umso wichtiger, sie nur berechtigten Adressaten zugänglich zu machen. Darüber hinaus wird die Compliance-Abteilung über die detaillierten Aktivitäten der Nutzer automatisch informiert. Häufigkeit und Ausmaß der Sicherheitsvorfälle werden so reduziert, sowie gleichzeitig die gesetzlichen und regulatorischen Vorschriften erfüllt. Auf diese Weise könnten unter anderem Vorkommnisse, wie beispielsweise in einem Bauunternehmen, in dem ein Mitarbeiter eine streng vertrauliche Materialliste aus SAP heruntergeladen und verkauft hat, nachvollzogen und verhindert werden.

Zusätzliche Sicherheit durch Verschlüsselung

Zusätzlich zu der Klassifizierungslösung bietet Halocore for Data Protection in Verbindung mit der Microsoft Rights Management Services-Verschlüsselungs-Technologie (RMS) einen Schutz sämtlicher aus SAP heruntergeladener Dokumente. Jedes Dokument ist so für seinen gesamten Lebenszyklus verschlüsselt und kann nur von Mitarbeitern oder Geschäftspartnern gelesen, gedruckt oder weiterverarbeitet werden, denen entsprechende Rechte eingeräumt wurden. Die Dokumente könne sogar nach Ablauf einer festgelegten Frist automatisch vernichtet werden.

Beim eingangs erwähnten Beispiel eines Konzerns, der den Wirtschaftsprüfern Zugriff auf SAP erlaubt, verifiziert die Auditing-Lösung, ob bestimmte Dokumente relevant für die Wirtschaftsprüfung sind und heruntergeladen werden dürfen. Bestimmte Informationen, beispielsweise das Recipe Management, können blockiert werden. Es wird zudem protokolliert, welche Dokumente das System verlassen, und diese werden nach Ablauf der Prüfungszeit mithilfe des RMS automatisch vernichtet.

Zur Vereinfachung des Prozesses und um die Akzeptanz der Lösung zu erhöhen, kann dieser Schutz automatisch im Hintergrund erfolgen. Der Schutz, den die RMS-Technologie bietet, gilt plattformübergreifend für sämtliche Dateitypen, wie Microsoft Office, PDF-, Bild- und Textdateien. Auf diese Weise können Nutzer innerhalb des Unternehmens sowie mit externen Geschäftspartnern zusammenarbeiten und Dokumente austauschen, ohne die Datensicherheit zu gefährden. So möchte beispielsweise ein Fertigungsbetrieb, der nach China expandiert, seinen dortigen Mitarbeitern Zugriff auf diverse SAP-Applikationen ermöglichen, verhindert aber gleichzeitig durch die Klassifizierung und Rechtezuweisung das Herunterladen bestimmter Daten, wie Konstruktionszeichnungen.

Datenschutz und -verschlüsselung beim Export aus SAP

Datensicherheit auch für mobile Endgeräte und Cloud

Für die Technologie ist entscheidend, dass der Schutz der Daten unabhängig von Speicherort (lokal oder Cloud) und Übertragungsart wirksam ist. Gleichzeitig darf keine der Funktionalitäten an die Endgeräte gebunden oder für Anwender umgehbar sein. Prozesse wie Analyse und Klassifizierung, Blocking des Downloads und RMS-Schutz müssen daher frühzeitig – bevor das Dokument die SAP-Umgebung verlässt – tief in den SAP-Backendsystemen erfolgen. Zum einen können auf diese Weise die Daten das System, wenn überhaupt, nur noch verschlüsselt verlassen. Andererseits werden so möglichst viele Kontextinformationen zur Klassifizierung genutzt.

Aufgrund der serverseitigen Installation, die die Halocore-Lösung bietet, wird der Rollout im Unternehmen vereinfacht, die Akzeptanz gesteigert und die Betriebskosten verringert. Auditing, Klassifizierung und Blocking wirken als Komplementierung zur SAP-Software und erfolgen dank der engen Zusammenarbeit mit der SAP SE mit einem vergleichsweise geringen Implementierungsaufwand.

www.secude.com/de

Jörg Dietmann ist CEO von SECUDE, einem weltweit tätigen Anbieter von IT Datenschutzlösungen für SAP-Kunden. SECUDE wurde 1996 als Joint Venture von SAP AG und Fraunhofer Institut gegründet und unterstützt heute mit Niederlassungen in Europa, Nordamerika und Asien SAP-Kunden beim Schutz ihrer Daten. Viele Unternehmen aus der Fortune-500-Gruppe vertrauen auf SECUDE-Lösungen für das Auditieren, Klassifizieren, Alarmieren, Blockieren und Verschlüsseln von Daten.