SAP-Sicherheit: Innentäter beim SAP-Datenexport aussperren

1
Posted 3. Dezember 2015 by Redaktion IT-Onlinemagazin in IT-Leiter

In SAP-Systemen werden täglich viele Datenexporte durchgeführt. Damit besteht die Gefahr des Verlusts schützenswerter Informationen. Mit der Lösung Halocore des Security-Spezialisten SECUDE kann man den Export von SAP-Daten kontrollieren, einschränken, blockieren und überwachen. Das Sicherheitsprodukt will Innentätern das Leben schwermachen: Es erkennt und klassifiziert sensible Datenexporte, verhindert den unbefugten Export oder verschlüsselt die genehmigten Inhalte und versieht diese Dokumente mit spezifischen Berechtigungen, um auch bei der Speicherung auf Mobilgeräten, Memory-Sticks, in der Cloud oder als E-Mail Anhang den Schutz vor Missbrauch zu erhöhen. Mehr als die Hälfte der Angriffe auf immaterielle Unternehmenswerte könnte nach BITKOM-Schätzungen auf Innentäter zurückgehen – und in den SAP-Systemen liegt das geistige Eigentum vieler Unternehmen.

 

IT-Sicherheit: 52 Prozent der Angreifer sind Innentäter

SAP Sicherheit Datenexport InnentäterEine BITKOM-Untersuchung zur IT-Sicherheit im Frühjahr 2015 hat ergeben, dass rund die Hälfte der Unternehmen innerhalb der letzten zwei Jahre Opfer eines digitalen Zwischenfalls geworden ist.

Bei mehr als der Hälfte (52 Prozent) der Fälle haben Innentäter, also aktuelle oder ehemalige Mitarbeiter, den Vorfall verursacht. Auch externe Mitarbeiter und Freiberufler haben oft Zugang zu den SAP-Systemen und könnten von innen leichter aktiv werden als von außen.

 

Rollen- und Berechtigungskonzept kann SAP-Datenexport nicht einschränken

Der SAP-Datenexport ist eine besonders einfache Möglichkeit, um Daten aus den SAP-Systemen „abzuziehen“. Man benötigt dafür im SAP-Rollen- und Berechtigungskonzept die Rolle eines „vollen Nutzers“, der auch zur Speicherung von Änderungen in der SAP-GUI benötigt wird. Damit darf dieser auch Daten und Dokumente im Berechtigungsbereich exportieren. Eine Einschränkung des Exports ist mit Hausmitteln nicht möglich, da kein Berechtigungsobjekt für Exporte existiert. Der Aufruf der Funktion zur Exporterstellung lässt sich nur ganz abschalten.

Diese Exportmöglichkeit ist eine beliebte und notwendige Methode, um beispielsweise EXCEL-Tabellen zu füllen, Berichte zu erstellen und Datenanalysen durchzuführen. Der SAP-Security Hersteller SECUDE hat auf Nachfrage mitgeteilt, bei SAP-Anwenderunternehmen festgestellt zu haben, dass innerhalb von vier Wochen – zur Überraschung der Verantwortlichen in den Unternehmen – oft mehrere zehntausend SAP-Exporte durchgeführt wurden. Wofür diese SAP-Datenexporte benötigt werden, ist dabei oft unklar. Genau hier setzt die mehrstufige SECUDE-Lösung an.

 

Halocore: SAP-Datenexport kontrollieren, verbieten oder stark verschlüsseln und mit Rechten versehen

Die modulare Architektur der SECUDE SAP Data Security Lösung soll die Kontrolle und den Schutz der Daten verbessern und ist tief in SAP integriert. Dadurch lassen sich bestehende Sicherheitsmechanismen nicht so leicht umgehen, Exportdateien werden intensiver und mit mehr Wissen über den Zusammenhang des Exports untersucht, bevor sie einem Benutzer zur Verfügung gestellt werden.

Im ersten Schritt erhöht Halocore die Transparenz der SAP-Nutzung, denn alle Datenexporte lassen sich nachverfolgen, protokollieren und analysieren – auch mit BI/BO -Lösungen. Dateien werden durch Halocore klassifiziert, mit Vertraulichkeitsstufen gekennzeichnet und die Metadaten mit sicherheitsbezogenen Merkmalen angereichert, um die Exportrechte gegebenenfalls einzuschränken. Unberechtigte Datenexporte werden blockiert, um das Risiko potenzieller Datenverluste zu reduzieren. Beim berechtigten Datenexport sensibler Informationen erhalten Nutzer Warnungen, um die Sensibilität zu erhöhen und auf Compliance Richtlinien – beispielsweise im Umgang mit Kunden, Lieferanten oder Geschäftspartnern – hinzuweisen.

Zugriffsrechte werden mittels Microsofts Rights Management Service (RMS) auch außerhalb der sicheren SAP-Umgebung, kontrolliert. Exportdateien (z.B. Office, Excel, Text, PDF, Bild) werden stark verschlüsselt und können über Microsoft RMS beispielsweise auch zu einem festgelegten Stichtag unlesbar gemacht werden.

 

Datenzugriffskontrolle in SAP-Systemen durchsetzen

Datenexport SAP sperrenMit dieser Sicherheitslösung lassen sich nach Herstellerangaben die Datenzugriffsmöglichkeiten für SAP-Daten auf das erforderliche Mindestmaß beschränken und das „Need-to-Know-Prinzip“ unterstützen. Jeder Benutzer und Administrator soll demnach nur auf die Da­tenbestände zugreifen dürfen, die er für seine Arbeit wirklich benötigt.

Das Produkt ergänzt die durch das SAP-Berechtigungssystem gegebenen Einschränkungsmöglichkeiten für den Datenexport aus SAP und erhöht plattformübergreifend die Sicherheit von SAP-Exportdateien nach dem Verlassen des SAP-Systems. Die Nutzung kann daher für SAP-Anwenderunternehmen und SAP-Partner, die sich auf SAP-Sicherheit spezialisiert haben, interessant sein.

 

Weiterführende Informationen:

 

SECUDE:
Herausforderungen der Datensicherheit von SAP-Exporten und deren Lösung

BITKOM:
Digitale Angriffe auf jedes zweite Unternehmen

Bundesamt für Sicherheit in der Informationstechnik (BSI):
Leitfaden Informationssicherheit : IT-Grundschutz kompakt

 

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:


Das IT-Onlinemagazin ist Medienpartner der DSAG Technologietage 2017:

Newsletter-Abo


Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter.   Etwa zweimal pro Monat werden Sie kompakt und unterhaltsam mit wichtigen Nachrichten aus der SAP- und ERP-Community versorgt.