Mehr Security für SAP-Umgebungen

Sicherheitsrisiken durch Datenexporte aus SAP

22.01.2016
Von Jörg Dietmann

Wie können diese Sicherheitsverstöße verhindert werden, ohne Arbeitsprozesse zu behindern?

  • Auditieren und Protokollieren: Eine für SAP geeignete Audit-Lösung schafft Transparenz über den Export und Austausch der geschäftskritischen SAP-Datenexporte. Audit-Teams können so gefährdete Bereiche, Benutzer oder Transaktionen identifizieren und Download-Aktivitäten auswerten. Basierend auf Benutzer, Dateityp, Dateigröße, Transaktion, Anwendung und IP-Adresse werden dabei Datenexporte sichtbar gemacht.

  • Daten klassifizieren: Im Idealfall sollten die Dokumente bereits im Moment des Exports aus SAP heraus im SAP-System klassifiziert werden. Da dies manuell zu zeitaufwändig wäre, lassen sich Dokumente automatisch nach bestimmten Kriterien, wie Formaten (z.B. SAP-Tabellen), Transaktionen, User- Rechten und Rollen, etc. klassifizieren und so beispielsweise als streng vertraulich, vertraulich, intern oder öffentlich definieren.

  • Berechtigungen und Export-Beschränkung: Auf Basis einer entsprechenden Klassifizierung können Berechtigungen dafür sorgen, dass besonders sensible Daten gar nicht oder nur von Personen mit den erforderlichen Berechtigungen exportiert werden können. In ausländischen Niederlassungen kann beispielsweise der Export bestimmter Daten aus dem SAP (zum Beispiel CAD-Zeichnungen etc.) komplett blockiert werden.

  • Integration mit Governance, Risk und ComplianceCompliance (GRC): Mithilfe einer GRC-Integration werden entsprechende Verstöße kenntlich gemacht und entsprechende Alerts generiert. Im Idealfall ermöglicht eine entsprechende Lösung die Analyse von Downloads aus den SAP-Anwendungen nach GRC-Gesichtspunkten und erzeugt in Echtzeit auf diese Downloads bezogene auditierbare Protokolle. Alles zu Compliance auf CIO.de

  • Schutz der SAP-Datenexporte in der Microsoft-Welt: Die meisten Datenexporte aus SAP landen als Dokument in einer Microsoft-Anwendung. Sinnvoll ist daher eine Kombination der SAP-Klassifizierungen und -Berechtigungen mit einer starken Verschlüsselung und abgestimmten Zugriffsrichtlinien für die Microsoft-Welt. Über eine Integration mit Microsoft RMS (Rights Management Services) können Unternehmen somit sicherstellen, dass sämtliche Dokumente, die das SAP-System verlassen, über ihren gesamten Lebenszyklus verschlüsselt sind und nur von Mitarbeitern oder Geschäftspartnern gelesen, gedruckt oder weiterverarbeitet werden können, denen entsprechende Rechte eingeräumt wurden. Dieser Schutz kann für den Benutzer im Hintergrund automatisch erfolgen, um die Akzeptanz einer solchen Lösung zu erhöhen. Der Schutz, den die RMS-Technologie bietet, ist für sämtliche Dateitypen, wie Microsoft Office, PDF-, Bild- und Textdateien, plattformübergreifend. Somit können Nutzer sicher innerhalb des Unternehmens sowie mit externen Geschäftspartnern zusammenarbeiten und Daten austauschen.

Intellektuelles Eigentum als Vermögenswert erkennen und schützen

Fazit: Intellektuelles Eigentum ist heute für Unternehmen einer der schützenswertesten Vermögenswerte. Die Erkenntnis, dass ein Dokument keinerlei Sicherheitsinformationen mehr enthält, sobald es die geschützte Umgebung von SAP verlässt, ist für viele Unternehmen ein 'Augenöffner'. Das führt zu der Erkenntnis: Nicht jeder, der eine Software nutzen darf, sollte auch gleichzeitig die Berechtigung haben, Daten zu exportieren und außerhalb des Systems ungeschützt weiter zu verarbeiten und zu versenden. Häufig ist es Mitarbeitern gar nicht bewusst, ob und wann sie es mit vertraulichen Daten zu tun haben und diese besser gar nicht oder, wenn überhaupt, nur speziell gesichert exportieren sollten. Mit Hilfe einer automatischen Klassifizierung werden sie darauf hingewiesen und damit gleichzeitig im Umgang mit Daten und Dokumenten sensibilisiert.

Zur Startseite