Die Kronjuwelen schützen

Obwohl die Anzahl der Sicherheitsvorfälle bei großen und mittelständischen Unternehmen stetig zunimmt, ordnen viele das Thema Datensicherheit den Transformationsprojekten unter. Andreas Opfer und Holger Hügel von Secude erklären, wie moderne Sicherheitskonzepte aussehen sollten und wie SAP-Verantwortliche diese sinnvoll in aktuelle S/4-Hana-Migrationsprojekte integrieren können.
E-3 Magazin
21. September 2017
Inhalt:
Die Kronjuwelen schützen
avatar

SAP-Kunden weltweit befinden sich derzeit im digitalen Transformationsprozess. Welche Veränderungen ergeben sich mit dem Umstieg auf SAP S/4 Hana aus Ihrer Sicht für die Datensicherheit?

Holger Hügel: Hana bietet neben dem Abruf über den NetWeaver Stack auch die Möglichkeit, direkt bzw. über Hana XSA auf Daten zuzugreifen. Dadurch verfügt die Datenbank zwangsläufig über ein eigenes Berechtigungskonzept, das es in das bisherige Konzept zu integrieren gilt.

Zudem bietet Hana als Plattform zahlreiche neue Applikationsschnittstellen, die alle per se Sicherheitsrisiken in sich tragen. Die Gefahr, dass Daten unkontrolliert das SAP-System verlassen, steigt.

Auch der für die Sicherheitsverantwortlichen weitestgehend „undurchsichtige“ Hintergrunddatentransfer zwischen SAP und den Drittapplikationen nimmt zu und vergrößert so die Angriffsfläche für Hacking-Angriffe und Insider-Attacken.

Um SAP-Daten auch zukünftig verlässlich absichern zu können, müssen Unternehmen vorausschauend handeln und technische Lösungen einsetzen, die diese Risiken minimieren.

Wie könnte ein Berechtigungskonzept, das die neue und die alte Welt inte­griert, Ihrer Meinung nach aussehen?

Hügel: Zukünftige Berechtigungskonzepte orientieren sich zunächst an den Prozessen und den darin verarbeiteten Daten. Sie folgen gewissermaßen den Daten entlang der Verarbeitungskette über ihren gesamten Lebenszyklus hinweg.

Daraus leitet sich der Schutzbedarf der Daten ab, was letztlich einer Datenklassifikation entspricht und in ein datenzentriertes Berechtigungswesen mündet. Mit diesem Ansatz wird das bisherige rollenbasierte Konzept erweitert, jedoch nicht ersetzt. Denn die Schutzklasse beschreibt klar, welche Rolle in welcher Weise einzelne Daten verarbeiten darf.

Opfer Und Huegel, Datensicherheit

Welche Erfahrungen haben Sie hierzu in der Praxis gemacht? Gibt es bereits Unternehmen, die ihre Daten durchgängig und lückenlos klassifizieren?

Andreas Opfer: Obwohl sich insbesondere Vertreter aus der Automobilbranche bereits für das Thema Datenklassifikation einsetzen, existieren meines Wissens bisher noch keine Industrie- und Branchenstandards, die genau definieren, was sich z. B. hinter dem Status „vertraulich“ verbirgt und welche Auswirkungen dieser auf die Datenverarbeitung hat.

Um die Prozessketten mit ihren Partnern und Lieferanten in unserer zunehmend vernetzten Welt absichern zu können, besteht hier noch dringender Aufholbedarf für Unternehmen.

Wie dürfen wir uns die organisatorische und technische Umsetzung der neuen Sicherheitsansätze in der Praxis vorstellen?

Hügel: Um mit der Schnelllebigkeit und Austauschbarkeit heutiger IT-Technologien Schritt zu halten, werden die Kernprozesse von Unternehmen künftig zunehmend über Plattformarchitekturen abgewickelt werden.

IT-Sicherheit gehört in einer digitalen Welt ohne Zweifel zu diesen Kernprozessen und benötigt ihre eigene Plattform. Heute findet man vielfach zentrale Identity-Management-Systeme, die diese Rolle übernehmen.

Diese sind aber nur dann zukunftsfähig, wenn sie eine datenzentrierte Sicherheitskonzeption erlauben. In jedem Fall sollte man auf etablierte Standardplattformen setzen, die von allen gängigen Applikationen als „Sicherheits­instanz“ unterstützt werden.

Opfer: Und genau hierbei hilft Secude mit der SAP-Datensicherheitslösung ­Halocore. Sie ermöglicht als einzige Lösung, Microsoft-AIP/RMS-Sicherheitsstandards auf die SAP-Landschaft anzuwenden, und ist natürlich auch für S/4 Hana zertifiziert.

Dadurch, dass SAP mittlerweile die zentrale Datendrehscheibe in den meisten Unternehmen darstellt, werden Daten über unterschiedliche Schnittstellen, egal ob manuell oder automatisiert, mit zahlreichen Satellitensystemen ausgetauscht.

Die in Halocore eingebaute automatisierte Datenklassifikation ermöglicht die Anwendung des passenden RMS-Profils, sofern die Daten SAP verlassen dürfen. Ohne entsprechende Berechtigung wird der Export der Daten unterbunden.

Wie können Unternehmen diese Schritte in ihre aktuellen Migrationsprojekte integrieren?

Opfer: Wir können sehr gut nachvollziehen, dass solche großen Migrationsprojekte wie S/4 Hana einen Großteil der Ressourcen bindet. Viele Kunden versuchen deshalb jede weitere Komplexitätserhöhung aus dem Projekt fernzuhalten. Datensicherheit ist aber heute keine Option mehr, sondern ein Muss.

Die DSGVO verpflichtet und die Attacken auf die Unternehmens-IP nehmen zu. Die Architekturveränderungen, die mit S/4 Hana einhergehen, bieten auch eine Chance, alle IT-Architekturen in kleinen abgeschlossenen Teilprojekten auf den Prüfstand zu stellen und im Zuge der Migration gegebenenfalls anzupassen.

Die Aufwände dafür sind als Teil der S/4-Hana-Migration am niedrigsten. Später wird es immer teurer. Außerdem helfen zahlreiche Migrationstools, z. B. für Daten und Abap Custom Code, die Komplexität zu reduzieren und die Risiken zu beherrschen.

Halo­core lässt sich beispielsweise innerhalb weniger Tage implementieren und schützt die „Kronjuwelen“ der SAP-Kunden vom ersten Tag an – und zwar sowohl vor als auch nach der S/4-­Hana-Migration.

avatar
E-3 Magazin

Information und Bildungsarbeit von und für die SAP-Community.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb. Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren. Mit Ausstellung, Fachvorträgen und viel Gesprächsbedarf erwarten wir wieder zahlreiche Bestandskunden, Partner und Experten in Salzburg.
Das E3-Magazin ladet zum Lernen und Ideenaustausch am 5. und 6. Juni 2024 nach Salzburg ein. Die Summit-Teilnahmegebühr beträgt Euro 590 exkl. USt. Noch bis Freitag, 29. März 2024, gilt der Early-Bird-Tarif von Euro 440 exkl. USt.
Der Steampunk und BTP Summit 2024 findet am Mittwoch und Donnerstag, 28. und 29. Februar 2024, im Hotel Hilton Heidelberg, Kurfürstenanlage 1, statt. Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Die Teilnahmegebühr für den zweitägigen Summit beträgt Euro 590 exkl. USt. Bis Donnerstag, 30. November 2023, gibt es einen Early-Bird-Tarif von Euro 440 exkl. USt. Die Gebühr beinhaltet den Besuch aller Vorträge, des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.