Information und Bildungsarbeit von und für die SAP-Community
IT Management, MAG 16-12

Datenverlust an der Quelle stoppen

Der unerwünschte Abfluss geschäftskritischer SAP-Daten kann für Unternehmen bedrohliche Folgen haben. Mit einem gemeinsamen Ansatz von Virtual Forge und KPMG packen Anwender das Problem an der Wurzel.
Schönhöfer/Lorenz, KPMG
24. November 2016
Inhalt:
[shutterstock:128689925, Artisticco]
avatar

Ob durch böswillige Hacker oder unachtsame eigene Mitarbeiter verursacht: Geraten sensible Daten in die falschen Hände, haben Unternehmen mit beträchtlichen finanziellen und rechtlichen Risiken zu rechnen.

So kann es beispielsweise Betriebe aus der Pharmabranche besonders teuer zu stehen kommen, wenn Rezepturen für Medikamente in die Hände der Konkurrenz gelangen und damit langjährige Forschungsarbeiten zunichtegemacht werden.

Für Kreditinstitute stellen sich die Bankinformationen der Kunden als besonders schützenswert dar, da bei unerlaubtem Abfluss neben Schadensersatzforderungen auch Reputationsschäden zu fürchten sind.

Branchenübergreifend müssen alle Unternehmen ein verstärktes Augenmerk auf die persönlichen Mitarbeiterinformationen haben, da ein unautorisierter Abfluss auch rechtlich geahndet werden kann.

Mit Data Leak Prevention (DLP) steht eine Reihe an Methoden und Werkzeugen zur Verfügung, die der Abdichtung möglicher Datenlecks dienen.

Allen ist gemeinsam, dass sie den Datenfluss im Unternehmensnetzwerk an definierten Austrittspunkten überwachen und dann Alarm schlagen, wenn geschäftskritische Informationen nach draußen gelangen oder bereits gelangt sind.

Austrittspunkte im Visier

Dafür setzen die einzelnen DLP-Lösungen auf verschiedenen Ebenen der IT-Infrastruktur an. So gibt es Werkzeuge, mit denen Unternehmen monitoren können, welche Daten von den Laptops der Mitarbeiter auf mobile Endgeräte, wie USB-Sticks, gespeichert werden.

In SAP-Umgebungen gibt es prinzipiell mehrere Möglichkeiten zum Datenabfluss. So werden bei der Ausführung eines bestimmten Abap-Programms die dafür benötigten Daten aus den SAP-Datenbanktabellen ausgelesen und über verschiedene
Kommunikationskanäle den Nutzern zugänglich gemacht: angefangen bei klassischen Ausgabelisten über spezielle SAPSchnittstellen bis hin zu modernen Webservices.

Um Datenverluste zu vermeiden, überwachen die herkömmlichen DLP-Ansätze genau die Stellen, an denen die Kommunikationskanäle so enden, dass die Daten entweder von den Endanwendern abgegriffen werden können oder durch technische Schnittstellen das SAP-System verlassen.

Eine weitere vielgenutzte Möglichkeit besteht darin, dass Anwender aus einem AbapProgramm eine E-Mail erstellen und die SAPDaten als Anhang mitversenden.

So unterschiedlich die einzelnen technischen DLP-Methoden sind, so ist allen gemeinsam, dass sie sehr viel Aufwand erfordern, um die kritischen SAPDaten sicher zu erkennen und die vielfältigen Austrittstellen aus dem Unternehmensnetzwerk wirksam zu überwachen.

Quellcode-Analyse

Um diesen Aufwand zu reduzieren, hat der SAP-Sicherheitsanbieter Virtual Forge mit dem CodeProfiler-Werkzeug einen neuen Ansatz entwickelt, der zeitlich deutlich früher und nachhaltiger ansetzt: Mit der sogenannten statischen DLP-Analyse lassen sich die Abflusskanäle sensibler SAPDaten bereits im SAPQuellcode identifizieren.

Im Gegensatz zu den üblichen reaktiven DLP-Ansätzen wirkt die statische DLP-Analyse also präventiv. Direkt im SAP-Code werden die Stellen identifiziert, die Angreifer aus Betrugsabsicht oder eigene Mitarbeiter aus Versehen nutzen könnten, um geschäftskritische SAPDaten zuerst aus den Datenbank-Tabellen, dann komplett aus den SAP-Anwendungen herauszuholen.

Da die Installation des CodeProfilers technisch sehr einfach ist, ist er in kurzer Zeit einsatzbereit und die Ergebnisse einer Analyse stehen schnell zur Verfügung.

Gleichzeitig muss jedoch auch geklärt werden, welche der SAPInformationen in einem Unternehmen besonders schützenswert sind. Dabei kann es sich – abhängig von der Branche – um Daten aus bestimmten Unternehmensbereichen wie Finanzen, Entwicklung, Marketing oder Vertrieb handeln.

Gleichzeitig müssen sich laufend ändernde gesetzliche Datenschutz- und Compliance-Vorgaben, unternehmensspezifische Firmenvereinbarungen sowie mit dem Betriebsrat getroffene Übereinkommen berücksichtigt werden.

Sind die sensiblen SAPDaten identifiziert, muss sichergestellt werden, dass nur diejenigen Nutzer darauf zugreifen können, die über die entsprechenden SAP-Berechtigungen verfügen.

Da die Klassifizierung der geschäftskritischen SAPDaten zum Teil umfassendes Fachwissen voraussetzt, arbeitet Virtual Forge in DLP-Kundenprojekten eng mit der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG zusammen.

Umgekehrt setzen die KPMG-Berater auf die statischen DLP-Analysen von Virtual Forge, wenn sie zu Kunden gerufen werden, bei denen unerwünschte SAP-Datenabflüsse festgestellt worden sind.

Immer häufiger wird KPMG auch bei Kunden aktiv, die solchen IT-Sicherheitsvorfällen zuvorkommen möchten. So verlangen die Fachabteilungen, Vertreter aus den Bereichen Governance, Risk & Compliance (GRC),  interne Datenschutzbeauftragte sowie Betriebsräte verstärkt nach wirksamen DLP-Ansätzen, um den Risiken möglicher SAP-Datenverluste frühzeitig zu begegnen.

Motiviert wird die wachsende Nachfrage dadurch, dass in vielen Unternehmen die Zahl der SAP-Systeme im Laufe der Jahre so stark gewachsen ist, dass oft der Überblick verloren ging, welche geschäftskritischen Daten von welchen SAP-Programmen und – vor allem – in welchem Kontext verarbeitet werden.

Dadurch steigen die Gefahren, dass die SAPDaten unberechtigte Adressaten innerhalb und außerhalb des Unternehmens erreichen.  Um Kunden die Zusammenarbeit in DLP-Projekten zu erleichtern, haben Virtual Forge und KPMG ihr Technologie- und Fachwissen in einem gemeinsamen Angebot gebündelt.

Dabei wird jedes Projekt in fünf Phasen gegliedert:

  1. Definition der rechtlichen und fachlichen Anforderungen. Zum Projektauftakt wird gemeinsam mit dem Kunden geklärt, welche der vorhandenen SAPInformationen geschäftskritisch und damit besonders schützenswert sind.
  2. Identifizierung der relevanten Datenfelder und SAP-Anwendungen, die die Daten verarbeiten. Dabei wird festgestellt, welche Anwender zur Ausführung welcher SAPProgramme autorisiert und ob die vorliegenden Berechtigungen korrekt sind. Im Ergebnis entsteht ein Soll-Bild, das zwischen erlaubten und nicht erlaubten Datenabflüssen differenziert.
  3. Einsatz des CodeProfilers. Dazu werden die fachlichen Anforderungen in eine technische Sprache übertragen, das heißt, das DLP-Verfahren wird parame­trisiert. Der CodeProfiler durchkämmt den AbapQuellcode mit Suchalgorithmen und liefert ein Ist-Bild der potenziellen Datenabflüsse.
  4. Vergleich des Soll- und Ist-Bildes möglicher SAP-Datenabflüsse. In dieser Phase werden die durch den Einsatz des CodeProfilers gewonnenen Erkenntnisse mit den rechtlichen und fachlichen Anforderungen des Unternehmens verglichen.
  5. Definition von Handlungsempfehlungen. Im Ergebnis erhalten die Unternehmen  konkrete Maßnahmen an die Hand, um das Soll-Bild zu erreichen und damit unerlaubte SAP-Datenabflüsse zu verhindern. Eine zentrale Maßnahme ist die Bereinigung des betroffenen SAP-Quellcodes.

Kontinuierliche Scans empfehlenswert

Um eine nachhaltige Abdichtung möglicher SAP-Datenlecks zu erzielen, empfiehlt es sich für die Unternehmen, die statischen DLP-Analysen nicht nur einmalig, sondern regelmäßig anzuwenden.

So können durch die ständigen Neuentwicklungen und Anpassungen innerhalb von SAP-Systemen zusätzliche Datenabflussmöglichkeiten entstehen, die nur dann erkennbar sind, wenn die Scans mit dem CodeProfiler laufend in die Entwicklungs- und Sicherheitsüberprüfungsprozesse integriert werden.

avatar
Schönhöfer/Lorenz, KPMG


Alle Artikel des Autors

Schreibe einen Kommentar

Power of Three

Computing und Datenmanagement

SAP Predictive Analytics Library

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren. Alle Informationen zum Event finden Sie hier:

SAP Competence Center Summit 2024

Veranstaltungsort

Eventraum, FourSide Hotel Salzburg,
Am Messezentrum 2,
A-5020 Salzburg

Veranstaltungsdatum

5. und 6. Juni 2024

Reguläres Ticket:

€ 590 exkl. USt.

Veranstaltungsort

Eventraum, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Veranstaltungsdatum

28. und 29. Februar 2024

Tickets

Regular Ticket
EUR 590 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2024, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.