Drei Erfolgsfaktoren für den Schutz sensibler SAP-Daten Sicherheitsrisiko SAP-Datenexport
11. Juli 2017SAP-Daten unterliegen per Definition einem hohen Sicherheitsstandard – zumindest solange sie sich innerhalb des SAP-Systems befinden. Aber ist das die Regel oder eher die Ausnahme? Fakt ist, dass täglich tausende vertrauliche Daten durch unwissende Anwender, kriminelle Insider oder den automatisierten Austausch mit externen Satellitensystemen aus SAP exportiert werden. Das steigert das Risiko für Datenmissbrauch, erschwert die Einhaltung der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) und bedroht die Existenz eines jeden Unternehmens. Mithilfe von durchdachten Zugriffskonzepten, intelligenter Datenklassifizierung und -verschlüsselung sowie einer kontinuierlichen Überwachung der M2M-Kommunikation können Unternehmen diese Schwachstellen jedoch trotzdem in den Griff bekommen. Die IT-Sicherheitslösungen von SECUDE sichern SAP-Daten, die das SAP-System gar nicht erst verlassen dürfen, schützen Daten, die in die Applikationswelt von Microsoft Office exportiert wurden und überwachen den Datenaustausch mit externen IT-Systemen.
Zugriff kontrollieren
Obwohl Unternehmen den Anforderungen der EU-DSGVO heute gereifter gegenübertreten als noch in 2015, unterschätzen nach wie vor viele IT-Verantwortliche die Gefahren, die von den Anwendern selbst ausgehen. Laut einer aktuellen IDC-Studie zum Thema Mobile Security in Deutschland, sind 52 Prozent der IT-Verantwortlichen der Meinung, dass das größte Sicherheitsrisiko bei den Anwendern selbst liegt.
Dabei spielen sowohl die versehentliche Preisgabe von Informationen durch Mitarbeiter als auch cyberkriminelle Insider-Angriffe eine Rolle. Laut einem Bericht von RedOwl und IntSights, der vor kurzem veröffentlicht wurde, ist die Zahl der Insider-Kontakte, die sensible Firmendaten im Dark Web zum Kauf anbieten, von 2015 auf 2016 um fast 50 Prozent angestiegen.
Die Absicherung der Unternehmens-DNA beginnt bereits bei der Kontrolle des Zugriffs. Wer darf welche Daten, zu welcher Zeit an welchem Ort öffnen? Und wie dürfen die Daten weiterverarbeitet werden? Die IT-Sicherheitslösung SECUDE HALOCORE ist direkt in SAP integriert und blockiert den Export derjenigen SAP-Datenexporte, die als zu kritisch erachtet werden, um die sichere SAP-Umgebung zu verlassen. Zudem werden alle Exporte dokumentiert. Eine automatische Alarmierung bei kritischem Benutzerverhalten ermöglicht eine schnelle Reaktion im Ernstfall und schließt die Sicherheitslücken in SAP-Access Control (GRC).
Schnittstellen absichern
Mit der zunehmenden Vernetzung von Geräten und Applikationen haben sich auch die Anforderungen an Informationssicherheit und Datenschutz geändert. Während es bislang noch ausreichte, den Zugriff auf die einzelnen Datensilos zu kontrollieren, gilt es nun die Daten selbst über alle Prozessschritte und Anwendungen hinweg abzusichern. Aber wie?
"Applikationsbrüche" wie zum Beispiel zwischen SAP und Microsoft Office erschweren die Umsetzung solcher übergreifenden Sicherheitskonzepte. Zwischen dem SAP-Berechtigungskonzept, das bekanntlich an den Grenzen des SAP-Systems endet, und der Microsoft-Sicherheitslösung Azure Information Protection (AIP, vormals RMS) besteht standardmäßig keine Integration. Alleine durch einen einfachen Copy-Paste-Vorgang oder das Weiterleiten eines Excel-Exports per E-Mail verwandeln sich strukturierte SAP-Daten so schnell und unbemerkt zu unstrukturierten Microsoft-Office-Dokumenten ohne jegliche Kontrolle.
SECUDE HALOCORE verbindet die Sicherheitskonzepte von SAP und Microsoft und ermöglicht einen prozess- und anwendungsübergreifenden Schutz sensibler Daten. Integriert in SAP auditiert die Lösung alle SAP-Datenexporte, die das System über Standardfunktionen oder durch Copy-Paste-Vorgänge verlassen. Über eine intelligente Kontextklassifikation wird der Schutzbedarf der Daten automatisch ermittelt und auf die Exporte angewendet. Noch bevor die Dateien auf ein Gerät gelangen, werden sie mit Hilfe von Microsoft Azure Information Protection (AIP) verschlüsselt und geschützt. Nur wer berechtigt ist, erhält Zugriff auf die betroffenen Daten.
M2M-Kommunikation überwachen
Das Internet der Dinge (IoT) und die Kommunikation zwischen Maschinen ist die Grundlage für zahlreiche neue Produkte, Services und Geschäftsfelder in nahezu allen Leitindustrien. IDC prognostiziert, dass die Anzahl der vernetzten Dinge von derzeit 12,1 Mrd. bis zum Jahr 2020 auf weltweit 30,3 Mrd. ansteigen wird (Stand November 2016).
Obwohl sich viele Unternehmen bereits in der Umsetzung von weitreichenden IoT-Projekten befinden, wird das Thema „Sicherheit“ in diesem Zusammenhang bislang auffallend wenig diskutiert. Dabei sind auch die Datenströme zwischen Geräten, Netzwerkverbindungen und Back-End-Systemen angreifbar – sowohl von innen als auch von außen.
SECUDE HALOCORE bietet eine klassifizierte Überwachung verschiedenster Datenströme (zum Beispiel RFC, IDOC) zwischen SAP-Systemen und den angeschlossenen Satellitensystemen, die bei Unregelmäßigkeiten sofort alarmiert. Dadurch gewinnen Unternehmen die notwendigen Einblicke in die „unsichtbaren“ SAP-Anwendungsaktivitäten und tragen einen wichtigen Bestandteil zum Schutz ihrer erfolgskritischen Daten bei. (rhh)
Hier gibt es weitere Informationen über SECUDE
Weitere Quellen:
IDC-Studie „Mobile Security in Deutschland 2017“