SAP Cloud Sicherheit: Bedenken und wichtige Fragen vor der Nutzung

0
Posted 20. März 2015 by Redaktion IT-Onlinemagazin in Geschäftsführer

Sicherheitsbedenken verhindern die schnellere Verbreitung von Cloud-Lösungen in Deutschland. Im internationalen Vergleich hinken wir hinterher. Welche Bedenken und Unsicherheiten gibt es in den Unternehmen und welche Fragen sollte man sich vor der Nutzung von Cloud-Lösungen grundsätzlich stellen?

 

SaaS: zusätzliche Angriffspunkte für sensible Daten

SAP Cloud SicherheitCloud Lösungen sind nicht nur klassischen Angriffsszenarien ausgesetzt, sondern bieten zusätzliche potenzielle Angriffspunkte, da sich Nutzer gemeinsam IT-Infrastruktur teilen, Daten über mehrere Standort verteilt sein und Software von mehreren Kunden gleichzeitig genutzt werden können.

Insbesondere bei Software-as-a-Service Lösungen (SaaS), gibt man die Kontrolle an den Anbieter ab und muss ihm vertrauen.

 

Schützenswerte Daten = geistiges Eigentum

Das geistige Eigentum und schützenswerte Informationen vieler Unternehmen liegen in SAP Systemen. Will man SAP Cloud Lösungen einsetzen, „verlassen“ oft auch sensible Daten das eigene Unternehmen und die gefühlte Sicherheit kann abnehmen, wenn man sie nicht mehr im eigenen Haus und unter der eigenen Kontrolle hat.

Dr. Marco Lenck, Vorstandsvorsitzender der Deutschsprachigen SAP-Anwendergruppe (DSAG) e. V., nahm kürzlich zur Datensicherheit in der Cloud Stellung:

„Die aktuelle Diskussion der Geschäftsbeziehungen zwischen SAP und dem amerikanischen Geheimdienst ist im Zusammenhang mit der Frage zur Sicherheit von Geschäftsdaten in der Cloud zu betrachten. Natürlich soll SAP ihre Produkte, darunter auch die HANA-Datenbank, an nahezu jedes Unternehmen dieser Welt verkaufen, auch an die NSA. Hier schließt sich jedoch die berechtigte Frage der SAP-Anwender an: Wirkt sich diese Kooperation auch auf meine Kundendaten in einer SAP-Cloud aus? Die aktuelle Diskussion rückt ein ungelöstes Thema erneut ganz stark in den Mittelpunkt:

Kunden haben Bedenken, wie sicher ihre Daten in der SAP-Cloud sind. Der derzeit bestehende Schutz von Know-how und geistigem Eigentum gibt Unternehmern nicht die volle Garantie und das Vertrauen, um Cloud-Lösungen, egal von welchem Anbieter, kompromisslos mitzutragen. Für die Sicherheit ausgelagerter Daten schafft der Gesetzgeber die Voraussetzungen und tragen sowohl der Provider als auch die Unternehmen die Verantwortung. Der gesetzliche Datenschutz muss konsequenter werden, um Firmen effektive Sicherheit zu geben.

Aufgabe von Anbietern wie SAP ist es, Dienste nachvollziehbar darzustellen und Klarheit darüber zu schaffen, ob die nötigen Sicherheitsanforderungen erfüllt werden können und wo die Daten liegen. Sobald ich als Unternehmer meine Daten in einer Cloud ablege, verliere ich ein Stückweit die Kontrolle darüber. Das heißt aber nicht, dass Nutzer dann auch die Verantwortung für ihre Daten abgeben. Ihre Pflicht ist es, gewissenhaft mit ihrem geistigen Eigentum umzugehen und Sorge dafür zu tragen, dass unternehmenskritische Daten gar nicht erst in einer Cloud landen.“

 

Fragen vor der SAP Cloud Nutzung 

Heidelberg, Virtual ForgeDr. Markus Schumacher, CEO des SAP-Sicherheitsspezialisten Virtual Forge, empfiehlt Unternehmen vor der SAP Cloud-Nutzung einige grundlegende Fragen zu klären: „Zunächst muss davon ausgegangen werden, dass die Verantwortung für die Sicherheit einer Anwendung immer beim einsetzenden Unternehmen liegt. Sie liegt nicht beim Anbieter der Anwendung – außer dieser handelt fahrlässig, was beispielsweise den Schutz gegen bekannte Schwachstellen angeht. Sie liegt nicht beim Gesetzgeber, denn wesentliche gesetzliche Forderungen sind grundsätzlich bekannt.

Aufgaben, die auf dieser Basis auf Unternehmen und Verantwortliche zukommen, können in folgende Bereiche gegliedert werden:

  • Machen Sie sich klar, welche Anwendungen und Daten in eine Cloud-Umgebung gehen können. Unternehmenskritische Anwendungen haben dort meiner Meinung nach nichts verloren.
  • Datenschutz: wo werden die Daten gespeichert und werden die eigenen relevanten Datenschutzbestimmungen in diesem Land eingehalten?
  • Datensicherheit: wurden die Schutzmaßnahmen des Anbieters vor Ort durch Begehung des Rechenzentrums geprüft (Vorgabe: einmal pro Jahr)? Ist die Kommunikation verschlüsselt? Sind die Verbindungen zum On-Premise Backend gesichert (Hybrid-Cloud)? Ist die Datentrennung von anderen Kunden gewährleistet? Wer muss dazu was tun, um dies sicherzustellen?
  • Datenhaltung: wie lange dürfen Daten aufbewahrt werden, wann müssen sie gelöscht werden und wir wird das sichergestellt?
  • Vertrauen ist gut, Kontrolle ist besser: was sich als Standardvorgehen etabliert hat, gilt insbesondere auch für die Cloud – haben Sie professionelle Penetrationstester mit entsprechendem SAP-Knowhow auf die Gesamtanwendung schauen lassen?

Ich kann nur dazu raten, sich zu diesen Themen Gedanken zu machen, sonst kann das Cloud-Abenteuer sehr schnell zu einem bösen Erwachen führen.“

 

 

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:


Das IT-Onlinemagazin ist Medienpartner der DSAG Technologietage 2017:

Newsletter-Abo


Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter.   Etwa zweimal pro Monat werden Sie kompakt und unterhaltsam mit wichtigen Nachrichten aus der SAP- und ERP-Community versorgt.