Information und Bildungsarbeit von und für die SAP-Community
Coverstory 17-10, MAG 17-10

Die Kronjuwelen schützen

Obwohl die Anzahl der Sicherheitsvorfälle bei großen und mittelständischen Unternehmen stetig zunimmt, ordnen viele das Thema Datensicherheit den Transformationsprojekten unter. Andreas Opfer und Holger Hügel von Secude erklären, wie moderne Sicherheitskonzepte aussehen sollten und wie SAP-Verantwortliche diese sinnvoll in aktuelle S/4-Hana-Migrationsprojekte integrieren können.
E-3 Magazin
21. September 2017
Inhalt:
Die Kronjuwelen schützen
avatar

SAP-Kunden weltweit befinden sich derzeit im digitalen Transformationsprozess. Welche Veränderungen ergeben sich mit dem Umstieg auf SAP S/4 Hana aus Ihrer Sicht für die Datensicherheit?

Holger Hügel: Hana bietet neben dem Abruf über den NetWeaver Stack auch die Möglichkeit, direkt bzw. über Hana XSA auf Daten zuzugreifen. Dadurch verfügt die Datenbank zwangsläufig über ein eigenes Berechtigungskonzept, das es in das bisherige Konzept zu integrieren gilt.

Zudem bietet Hana als Plattform zahlreiche neue Applikationsschnittstellen, die alle per se Sicherheitsrisiken in sich tragen. Die Gefahr, dass Daten unkontrolliert das SAP-System verlassen, steigt.

Auch der für die Sicherheitsverantwortlichen weitestgehend „undurchsichtige“ Hintergrunddatentransfer zwischen SAP und den Drittapplikationen nimmt zu und vergrößert so die Angriffsfläche für Hacking-Angriffe und Insider-Attacken.

Um SAP-Daten auch zukünftig verlässlich absichern zu können, müssen Unternehmen vorausschauend handeln und technische Lösungen einsetzen, die diese Risiken minimieren.

Wie könnte ein Berechtigungskonzept, das die neue und die alte Welt inte­griert, Ihrer Meinung nach aussehen?

Hügel: Zukünftige Berechtigungskonzepte orientieren sich zunächst an den Prozessen und den darin verarbeiteten Daten. Sie folgen gewissermaßen den Daten entlang der Verarbeitungskette über ihren gesamten Lebenszyklus hinweg.

Daraus leitet sich der Schutzbedarf der Daten ab, was letztlich einer Datenklassifikation entspricht und in ein datenzentriertes Berechtigungswesen mündet. Mit diesem Ansatz wird das bisherige rollenbasierte Konzept erweitert, jedoch nicht ersetzt. Denn die Schutzklasse beschreibt klar, welche Rolle in welcher Weise einzelne Daten verarbeiten darf.

Opfer Und Huegel, Datensicherheit

Welche Erfahrungen haben Sie hierzu in der Praxis gemacht? Gibt es bereits Unternehmen, die ihre Daten durchgängig und lückenlos klassifizieren?

Andreas Opfer: Obwohl sich insbesondere Vertreter aus der Automobilbranche bereits für das Thema Datenklassifikation einsetzen, existieren meines Wissens bisher noch keine Industrie- und Branchenstandards, die genau definieren, was sich z. B. hinter dem Status „vertraulich“ verbirgt und welche Auswirkungen dieser auf die Datenverarbeitung hat.

Um die Prozessketten mit ihren Partnern und Lieferanten in unserer zunehmend vernetzten Welt absichern zu können, besteht hier noch dringender Aufholbedarf für Unternehmen.

Wie dürfen wir uns die organisatorische und technische Umsetzung der neuen Sicherheitsansätze in der Praxis vorstellen?

Hügel: Um mit der Schnelllebigkeit und Austauschbarkeit heutiger IT-Technologien Schritt zu halten, werden die Kernprozesse von Unternehmen künftig zunehmend über Plattformarchitekturen abgewickelt werden.

IT-Sicherheit gehört in einer digitalen Welt ohne Zweifel zu diesen Kernprozessen und benötigt ihre eigene Plattform. Heute findet man vielfach zentrale Identity-Management-Systeme, die diese Rolle übernehmen.

Diese sind aber nur dann zukunftsfähig, wenn sie eine datenzentrierte Sicherheitskonzeption erlauben. In jedem Fall sollte man auf etablierte Standardplattformen setzen, die von allen gängigen Applikationen als „Sicherheits­instanz“ unterstützt werden.

Opfer: Und genau hierbei hilft Secude mit der SAP-Datensicherheitslösung ­Halocore. Sie ermöglicht als einzige Lösung, Microsoft-AIP/RMS-Sicherheitsstandards auf die SAP-Landschaft anzuwenden, und ist natürlich auch für S/4 Hana zertifiziert.

Dadurch, dass SAP mittlerweile die zentrale Datendrehscheibe in den meisten Unternehmen darstellt, werden Daten über unterschiedliche Schnittstellen, egal ob manuell oder automatisiert, mit zahlreichen Satellitensystemen ausgetauscht.

Die in Halocore eingebaute automatisierte Datenklassifikation ermöglicht die Anwendung des passenden RMS-Profils, sofern die Daten SAP verlassen dürfen. Ohne entsprechende Berechtigung wird der Export der Daten unterbunden.

Wie können Unternehmen diese Schritte in ihre aktuellen Migrationsprojekte integrieren?

Opfer: Wir können sehr gut nachvollziehen, dass solche großen Migrationsprojekte wie S/4 Hana einen Großteil der Ressourcen bindet. Viele Kunden versuchen deshalb jede weitere Komplexitätserhöhung aus dem Projekt fernzuhalten. Datensicherheit ist aber heute keine Option mehr, sondern ein Muss.

Die DSGVO verpflichtet und die Attacken auf die Unternehmens-IP nehmen zu. Die Architekturveränderungen, die mit S/4 Hana einhergehen, bieten auch eine Chance, alle IT-Architekturen in kleinen abgeschlossenen Teilprojekten auf den Prüfstand zu stellen und im Zuge der Migration gegebenenfalls anzupassen.

Die Aufwände dafür sind als Teil der S/4-Hana-Migration am niedrigsten. Später wird es immer teurer. Außerdem helfen zahlreiche Migrationstools, z. B. für Daten und Abap Custom Code, die Komplexität zu reduzieren und die Risiken zu beherrschen.

Halo­core lässt sich beispielsweise innerhalb weniger Tage implementieren und schützt die „Kronjuwelen“ der SAP-Kunden vom ersten Tag an – und zwar sowohl vor als auch nach der S/4-­Hana-Migration.

avatar
E-3 Magazin

Information und Bildungsarbeit von und für die SAP-Community.


Alle Artikel des Autors

Schreibe einen Kommentar

Nachbericht von der Boomi World London: Integration-Platform-as-a-Service (iPaaS)

Transformationsstau der SAP-Community

Clean Core

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.