Datenschutz nur mit Datensicherheit
Nicht zuletzt wegen der neuen EU-Regeln waren die Vorträge zum Thema Datenschutz bei den diesjährigen DSAG-Technologietagen stark besucht – speziell diejenigen zu Funktionen in SAP, die den Datenschutz gewährleisten können.
Fazit: SAP ist für den Datenschutz gut aufgestellt, selbst wenn man für einige Funktionen SAP GRC einsetzen müsste.
Allerdings ist Datenschutz wenig wert, wenn die Datensicherheit nicht gewährleistet wird. Hier gilt es, einige offene Hintertüren zu schließen. Im SAP-System selbst sind die Daten durch das Berechtigungskonzept gut geschützt.
Durch Datenexporte, Druckaufträge und E-Mails aus SAP verlassen SAP-Daten jedoch den „schützenden Hafen“. Denn in SAP kann man entweder alles herunterladen, auf das man Zugriff hat, oder gar keine Daten exportieren, wenn diese Berechtigung fehlt.
Im Zeitalter der „Open Economy“, in der Unternehmen immer stärker mit Partnern, externen und freien Mitarbeitern zusammenarbeiten, kann man Exporte nicht verbieten – sonst stehen wichtige Prozesse still.
Nötig ist daher die Kontrolle darüber, wer welche Daten zu welchem Zweck außerhalb des SAP-Systems verarbeiten darf. Auch der maschinelle Datenaustausch zwischen Applikationen und Systemen, etwa mittels RFC oder Webservice-Schnittstellen, schwächt den Datenschutz.
Dass die Zugriffs- und Weitergabekontrolle mit den Daten ins Zielsystem wandert, ist fast unmöglich zu gewährleisten. Denn verschiedene Systeme haben in der Regel auch verschiedene Berechtigungskonzepte.
Die fortschreitende Digitalisierung der letzten Jahre hat zu zahlreichen kleineren SAP-fremden Satellitenanwendungen rund um das SAP ERP geführt, die sehr intensiv Daten mit dem zentralen SAP austauschen. Mit dem Internet of Things (IoT) wird der Datenverkehr noch intensiver und die Datenendpunkte werden noch zahlreicher.
Wer also in den nächsten Monaten über Datenschutz nachdenkt, sollte unbedingt entsprechende Voraussetzungen schaffen und in Datensicherheit investieren. Es ist schwer, alle Endpunkte, die Daten generieren und konsumieren, sowie alle Kanäle, die Daten transportieren, zu sichern.
Angreifer werden sich stets die schwächste Stelle suchen und aufgrund der starken Vernetzung der Systeme schnell Zugriff auf sensible oder geschäftskritische Daten bekommen.
Daher ist es ein intelligenter und zukunftsorientierter Ansatz, die Daten selbst zu schützen. Umsetzen lässt sich dies durch Klassifizierung der Informationen bei der Entstehung als Basis für eine granulare Steuerung der Downloads.
So verlassen nur die Daten das Quellsystem, die tatsächlich in den Zielsystemen benötigt werden. Voraussetzung ist, dass das Zielsystem auch den Datenschutz gewährleisten kann.
Wichtig ist dabei eine tiefe Integration der Klassifizierungslösung in SAP, damit dieser Vorgang automatisiert umgesetzt werden kann. Manuelle Klassifizierung verlangsamt Prozesse und wird im Berufsalltag daher häufig nicht konsequent umgesetzt.
Außerdem lässt sich bereits heute das SAP-Berechtigungskonzept mit DRM-Technologien wie RMS von Microsoft auch auf Datenexporte erweitern. Anwender können damit steuern, wer auf das verschlüsselte Dokument zugreifen kann und welche Nutzungsmöglichkeiten (Lesen, Schreiben, Drucken etc.) zulässig sind.
Betrachtet man die Welt der Datenexporte und -Verarbeitung durch Mitarbeiter, die traditionell das größte Risiko für die Datensicherheit darstellen, gibt es heute bereits sehr gute Lösungen, um die Sicherheit auch für neue Compliance-Vorgaben zu gewährleisten.
Aktuell arbeiten Experten daher bereits an der nächsten Herausforderung: die Sicherung der Daten, die im Hintergrund automatisiert zwischen Applikationen transferiert werden.
Denn diese „Machine-to-Machine“-Kommunikation wird in Zukunft noch stärker zunehmen und die Zugriffskontrolle ist hier noch komplexer.
