Information und Bildungsarbeit von und für die SAP-Community

Erfolgsfaktor Datenklassifizierung

Daten, die bislang durch SAP-Berechtigungskonzepte geschützt werden konnten, werden heute immer häufiger aus den sicheren SAP-Systemen exportiert und über Drittanwendungen wie MS Office weiterverbreitet. Wer seine Daten schützen will, sollte über neue, datenzentrierte Sicherheitskonzepte nachdenken und diese als Kernprozess im operativen IT-Betrieb verankern.
Holger Hügel, Secude
21. September 2017
Erfolgsfaktor Datenklassifizierung
avatar

Klassische rollenbasierte Zugriffskonzepte sind statisch und beschreiben die Rolle des Anwenders mit Profilen wie „Mitarbeiter“ oder „Projektleiter“ zunächst nur abstrakt.

Den Bezug zu Abteilungen und Projektgruppen stellen viele SAP-Administratoren durch die Definition von Varianten wie „Mitarbeiter Abt. 1“, „Mitarbeiter Abt. 2“ oder „Projektleiter Projekt A“ her. Damit zwängen sie die organisatorische Dynamik in ein an sich statisches Konzept, das langfristig weder administrierbar noch wirksam ist.

Grenzen des SAP-Berechtigungskonzepts

Sobald ein Mitarbeiter seine Abteilung wechselt oder in mehreren Projekten gleichzeitig arbeitet, entsteht ein enormer Pflegeaufwand, der für die IT-Abteilungen kaum zu bewältigen ist.

In vielen Fällen nimmt die Komplexität der Profile sogar so stark zu, dass niemand mehr weiß, welche Zugriffsrechte de facto vergeben sind. Die Antwort der IT-Adminis­tratoren liegt dann oft in einem sehr restriktiven Umgang mit Berechtigungen.

Das Resultat: Die Anwender werden im operativen Tagesgeschäft beeinträchtigt und die Effizienz der Prozesse leidet. Nicht selten führt das zu einer kurzfristigen, großzügigen Lockerung einzelner Rechtekorsetts, ohne eine tief greifende Analyse des Sicherheitsrisikos vorzunehmen.

Für den Moment scheint das Pro­blem gelöst, aufgrund der hohen Ressourcenbindung in den IT-Abteilungen wird die Maßnahme jedoch oft nicht mehr rückgängig gemacht und das einst sichere Berechtigungskonzept entwickelt sich zu einem Freifahrtschein für Insider-Attacken und Datenklau.

Auch die zunehmende Digitalisierung und Vernetzung der Applikationen treibt bewährte Verfahren an ihre Grenzen. Sowohl SAP S/4 Hana als auch zahlreiche angebundene Anwendungen von Drittanbietern verfügen über eigene Berechtigungskonzepte, die nicht in das herkömmliche SAP-Berechtigungswesen integriert sind.

Die Sicherheitsrisiken, die dadurch entstehen, werden zwar von vielen Fachabteilungen erkannt, eine kontinuierliche Synchronisation scheitert aber oft an fehlenden Budgets und Ressourcen: Die CISOs (Chief Information Security Officer), die für das Thema eigentlich verantwortlich sind, haben meist keine eigenen Mittel und erhalten kaum Unterstützung aus dem operativen IT-Betrieb, denn die Mitarbeiter sind bereits mit anderen Projekten ausgelastet.

Während sich der CIO an dieser Stelle trotzdem auf seine Spezialisten verlässt, landet das Thema Datensicherheit am Ende dann doch auf den Tischen der CEOs und CFOs, die jedoch inhaltlich viel zu weit von der Thematik entfernt sind. Dabei sind sie es in den meisten Fällen, die haften, wenn es zu einem Vorfall kommt – ein Bermudadreieck, das es zu durchbrechen gilt.

Holger Huegel

Datenzentrierte Sicherheitskonzepte etablieren

Um auch in der digitalisierten Welt SAP-Daten wirksam absichern zu können, bedarf es neuartiger, dynamischer IT-Sicherheitskonzepte, die an das SAP-Berechtigungskonzept anknüpfen, aber die Daten selbst in den Vordergrund stellen.

Hierzu ist eine unternehmensweit standardisierte Datenklassifikation unerlässlich. Um diese im Unternehmen umzusetzen, sollten Verantwortliche den Fokus zunächst auf die Prozesse richten. Sie helfen dabei, zu verstehen, aber auch kritisch zu hinterfragen, wofür die Daten benötigt und wie sie verarbeitet werden.

Sobald diese Erkenntnisse vorliegen, können die Bedeutung für den Unternehmenserfolg und der jeweilige Schutzbedarf abgeleitet werden. Um den Vorgang zu beschleunigen, empfiehlt sich der Einsatz moderner Prozessanalyse-Software. Anschließend sollten deutlich abgrenzbare Daten- und Schutzbedarfsklassen definiert und beschrieben werden.

Hierbei gilt es zwei entscheidende He­rausforderungen zu meistern: Die erste betrifft die allgemeine Verständlichkeit und Nachvollziehbarkeit der einzelnen Schutzbedarfsklassen.

Anders ausgedrückt: Was bedeutet es, wenn Daten beispielsweise als „vertraulich“ eingestuft werden? Welche Anwenderkreise und Rollen dürfen auf welche Daten, in welchem Umfang zugreifen?

Eine wirksame Datenklassifikation muss diese Fragen für alle Anwender nachvollziehbar beantworten und darf nicht im Widerspruch zu den Anforderungen stehen, die sich aus den einzelnen Prozessschritten ergeben.

Die zweite Herausforderung ist eher technischer Natur und betrifft die dynamische bzw. adaptive Umsetzung des Schutzbedarfes. Hilfreich ist eine kontextbezogene Klassifikation, bei der das organisatorische und technische Umfeld der Datengenerierung oder -verwendung herangezogen und automatisch mit den Definitionen der Schutzbedarfsklassen abgeglichen wird.

Diese Vorgehensweise hat gegenüber der klassischen, inhaltsbezogenen Klassifikation einige Vorteile: Zum einen ist sie weniger abhängig von Änderungen, die beispielsweise dann entstehen, wenn Inhalte oder Dateitypen angepasst werden.

Zum anderen ermöglicht sie die Berücksichtigung weiterer Dimensionen, wie den Zeitbezug. Finanzdaten oder Produktinnovationen zum Beispiel verlieren mit ihrer Veröffentlichung ihre Vertraulichkeit.

Ein wirkungsvolles Datensicherheitskonzept kennt diese Dynamik und passt die Zugriffsrechte zum richtigen Zeitpunkt automatisiert an. Das Gleiche gilt für Organisationsstrukturen und -hierarchien.

Im Idealfall fragt die Sicherheitslösung während der Berechtigungsprüfung über ein zentral gepflegtes, digitales Organigramm ab, welcher Hierarchieebene der Anwender angehört, und wendet die entsprechenden Schutzklassen automatisch an.

2017 09 E3 Abbildung Datenklassifizierung
Modell einer mehrdimensionalen, kontextbezogenen Datenklassifikation für Finanzdaten.

SAP-Daten über Systemgrenzen hinweg absichern

Für SAP-Administratoren bedeutet das neue, datenzentrierte Vorgehen, dass sie beim Thema Sicherheit über die SAP-Systemgrenzen hinaus denken müssen. Wenn Daten, für die SAP die originäre und maßgebende Datenquelle ist, das SAP-System durch Anwender-Downloads oder Hintergrunddatentransfers verlassen, so sollten sie in jedem Fall mehrdimensional klassifiziert werden.

SAP liefert dazu einen sehr umfangreichen Kontext an Attributen, der eine automatisierte Umsetzung der Klassifikation erleichtert. Diese hindert die Daten jedoch nicht daran, die sicheren SAP-Grenzen zu verlassen. Wer SAP-Daten auch außerhalb der SAP-Welt wirksam absichern will, benötigt zusätzliche Technologien.

Halocore von Secude setzt genau an dieser Stelle an. Auf der Basis einer kontextbezogenen Datenklassifikation kon­trolliert die Datensicherheitslösung SAP-Anwenderdownloads und -Exporte. Unautorisierte Downloads werden geblockt, sodass kritische oder sensible Daten das SAP-System gar nicht erst verlassen.

Daten, die außerhalb von SAP benötigt werden, werden automatisch mit dem entsprechenden Microsoft-AIP/RMS-Schutzprofil (­Azure Information Protection/Rights Management Service) versehen und verschlüsselt. Damit werden die Klassifikation und das Berechtigungsprofil aus SAP auf die exportierte Datei übertragen.

Das ermöglicht erstmals eine prozessübergreifende Absicherung, die weder den operativen IT-Betrieb noch die Anwender in den Fachbereichen beeinträchtigt. Die Datensicherheit folgt den Daten und wird nicht von den einzelnen Anwendungssilos immer wieder neu interpretiert.

Fazit

Das Kernstück der Umsetzung neuartiger Sicherheitskonzepte ist eine mehrdimensionale, kontextbezogene Klassifizierung aller Unternehmensdaten mit erhöhtem Schutzbedarf. Dieser kann mithilfe automatisierter Analysen aus den Geschäftsprozessen abgeleitet werden. Entscheidend für die Definition der Daten- und Schutzbedarfsklassen ist die klare Nachvollziehbarkeit darüber, welche Anwenderkreise und Rollen in welchem Umfang auf die entsprechenden Daten zugreifen dürfen.

Für den Anwender muss beim Abspeichern des Dokuments offensichtlich sein, welche Datenklasse ausgewählt werden muss. Durch das Hinzufügen der Dimensionen Zeit und Hierarchie kann zudem sichergestellt werden, dass die Daten auch in allen weiteren SAP-gestützten Prozessschritten wirksam geschützt werden können.

Um die Daten auch über Applikationsgrenzen hinweg abzusichern, sind allerdings zusätzliche technische Lösungen gefragt, die die Übertragung des Schutzbedarfs auch außerhalb der SAP-Systeme sicherstellen. Empfehlenswert sind hier übergreifende Datensicherheitslösungen, die neben Benutzerrollen auch Datenklassen abbilden können.

In jedem Fall sollte man auf etablierte Standardplattformen setzen, die von allen gängigen Applikationen als „Sicherheitsinstanz“ unterstützt werden. So nutzt Halocore beispielsweise Microsoft-Standardtechnologien, um benötigte Datenexporte jenseits der SAP-
Grenzen zu schützen.
[/av_promobox]

https://e3magpmp.greatsolution.dev/partners/secude-gmbh/

avatar
Holger Hügel, Secude

Holger Hügel ist Vice President Products and Sercvices bei Secude


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.