Datenverlust an der Quelle stoppen
Ob durch böswillige Hacker oder unachtsame eigene Mitarbeiter verursacht: Geraten sensible Daten in die falschen Hände, haben Unternehmen mit beträchtlichen finanziellen und rechtlichen Risiken zu rechnen.
So kann es beispielsweise Betriebe aus der Pharmabranche besonders teuer zu stehen kommen, wenn Rezepturen für Medikamente in die Hände der Konkurrenz gelangen und damit langjährige Forschungsarbeiten zunichtegemacht werden.
Für Kreditinstitute stellen sich die Bankinformationen der Kunden als besonders schützenswert dar, da bei unerlaubtem Abfluss neben Schadensersatzforderungen auch Reputationsschäden zu fürchten sind.
Branchenübergreifend müssen alle Unternehmen ein verstärktes Augenmerk auf die persönlichen Mitarbeiterinformationen haben, da ein unautorisierter Abfluss auch rechtlich geahndet werden kann.
Mit Data Leak Prevention (DLP) steht eine Reihe an Methoden und Werkzeugen zur Verfügung, die der Abdichtung möglicher Datenlecks dienen.
Allen ist gemeinsam, dass sie den Datenfluss im Unternehmensnetzwerk an definierten Austrittspunkten überwachen und dann Alarm schlagen, wenn geschäftskritische Informationen nach draußen gelangen oder bereits gelangt sind.
Austrittspunkte im Visier
Dafür setzen die einzelnen DLP-Lösungen auf verschiedenen Ebenen der IT-Infrastruktur an. So gibt es Werkzeuge, mit denen Unternehmen monitoren können, welche Daten von den Laptops der Mitarbeiter auf mobile Endgeräte, wie USB-Sticks, gespeichert werden.
In SAP-Umgebungen gibt es prinzipiell mehrere Möglichkeiten zum Datenabfluss. So werden bei der Ausführung eines bestimmten Abap-Programms die dafür benötigten Daten aus den SAP-Datenbanktabellen ausgelesen und über verschiedene
Kommunikationskanäle den Nutzern zugänglich gemacht: angefangen bei klassischen Ausgabelisten über spezielle SAP–Schnittstellen bis hin zu modernen Webservices.
Um Datenverluste zu vermeiden, überwachen die herkömmlichen DLP-Ansätze genau die Stellen, an denen die Kommunikationskanäle so enden, dass die Daten entweder von den Endanwendern abgegriffen werden können oder durch technische Schnittstellen das SAP-System verlassen.
Eine weitere vielgenutzte Möglichkeit besteht darin, dass Anwender aus einem Abap–Programm eine E-Mail erstellen und die SAP–Daten als Anhang mitversenden.
So unterschiedlich die einzelnen technischen DLP-Methoden sind, so ist allen gemeinsam, dass sie sehr viel Aufwand erfordern, um die kritischen SAP–Daten sicher zu erkennen und die vielfältigen Austrittstellen aus dem Unternehmensnetzwerk wirksam zu überwachen.
Quellcode-Analyse
Um diesen Aufwand zu reduzieren, hat der SAP-Sicherheitsanbieter Virtual Forge mit dem CodeProfiler-Werkzeug einen neuen Ansatz entwickelt, der zeitlich deutlich früher und nachhaltiger ansetzt: Mit der sogenannten statischen DLP-Analyse lassen sich die Abflusskanäle sensibler SAP–Daten bereits im SAP–Quellcode identifizieren.
Im Gegensatz zu den üblichen reaktiven DLP-Ansätzen wirkt die statische DLP-Analyse also präventiv. Direkt im SAP-Code werden die Stellen identifiziert, die Angreifer aus Betrugsabsicht oder eigene Mitarbeiter aus Versehen nutzen könnten, um geschäftskritische SAP–Daten zuerst aus den Datenbank-Tabellen, dann komplett aus den SAP-Anwendungen herauszuholen.
Da die Installation des CodeProfilers technisch sehr einfach ist, ist er in kurzer Zeit einsatzbereit und die Ergebnisse einer Analyse stehen schnell zur Verfügung.
Gleichzeitig muss jedoch auch geklärt werden, welche der SAP–Informationen in einem Unternehmen besonders schützenswert sind. Dabei kann es sich – abhängig von der Branche – um Daten aus bestimmten Unternehmensbereichen wie Finanzen, Entwicklung, Marketing oder Vertrieb handeln.
Gleichzeitig müssen sich laufend ändernde gesetzliche Datenschutz- und Compliance-Vorgaben, unternehmensspezifische Firmenvereinbarungen sowie mit dem Betriebsrat getroffene Übereinkommen berücksichtigt werden.
Sind die sensiblen SAP–Daten identifiziert, muss sichergestellt werden, dass nur diejenigen Nutzer darauf zugreifen können, die über die entsprechenden SAP-Berechtigungen verfügen.
Da die Klassifizierung der geschäftskritischen SAP–Daten zum Teil umfassendes Fachwissen voraussetzt, arbeitet Virtual Forge in DLP-Kundenprojekten eng mit der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG zusammen.
Umgekehrt setzen die KPMG-Berater auf die statischen DLP-Analysen von Virtual Forge, wenn sie zu Kunden gerufen werden, bei denen unerwünschte SAP-Datenabflüsse festgestellt worden sind.
Immer häufiger wird KPMG auch bei Kunden aktiv, die solchen IT-Sicherheitsvorfällen zuvorkommen möchten. So verlangen die Fachabteilungen, Vertreter aus den Bereichen Governance, Risk & Compliance (GRC), interne Datenschutzbeauftragte sowie Betriebsräte verstärkt nach wirksamen DLP-Ansätzen, um den Risiken möglicher SAP-Datenverluste frühzeitig zu begegnen.
Motiviert wird die wachsende Nachfrage dadurch, dass in vielen Unternehmen die Zahl der SAP-Systeme im Laufe der Jahre so stark gewachsen ist, dass oft der Überblick verloren ging, welche geschäftskritischen Daten von welchen SAP-Programmen und – vor allem – in welchem Kontext verarbeitet werden.
Dadurch steigen die Gefahren, dass die SAP–Daten unberechtigte Adressaten innerhalb und außerhalb des Unternehmens erreichen. Um Kunden die Zusammenarbeit in DLP-Projekten zu erleichtern, haben Virtual Forge und KPMG ihr Technologie- und Fachwissen in einem gemeinsamen Angebot gebündelt.
Dabei wird jedes Projekt in fünf Phasen gegliedert:
- Definition der rechtlichen und fachlichen Anforderungen. Zum Projektauftakt wird gemeinsam mit dem Kunden geklärt, welche der vorhandenen SAP–Informationen geschäftskritisch und damit besonders schützenswert sind.
- Identifizierung der relevanten Datenfelder und SAP-Anwendungen, die die Daten verarbeiten. Dabei wird festgestellt, welche Anwender zur Ausführung welcher SAP–Programme autorisiert und ob die vorliegenden Berechtigungen korrekt sind. Im Ergebnis entsteht ein Soll-Bild, das zwischen erlaubten und nicht erlaubten Datenabflüssen differenziert.
- Einsatz des CodeProfilers. Dazu werden die fachlichen Anforderungen in eine technische Sprache übertragen, das heißt, das DLP-Verfahren wird parametrisiert. Der CodeProfiler durchkämmt den Abap–Quellcode mit Suchalgorithmen und liefert ein Ist-Bild der potenziellen Datenabflüsse.
- Vergleich des Soll- und Ist-Bildes möglicher SAP-Datenabflüsse. In dieser Phase werden die durch den Einsatz des CodeProfilers gewonnenen Erkenntnisse mit den rechtlichen und fachlichen Anforderungen des Unternehmens verglichen.
- Definition von Handlungsempfehlungen. Im Ergebnis erhalten die Unternehmen konkrete Maßnahmen an die Hand, um das Soll-Bild zu erreichen und damit unerlaubte SAP-Datenabflüsse zu verhindern. Eine zentrale Maßnahme ist die Bereinigung des betroffenen SAP-Quellcodes.
Kontinuierliche Scans empfehlenswert
Um eine nachhaltige Abdichtung möglicher SAP-Datenlecks zu erzielen, empfiehlt es sich für die Unternehmen, die statischen DLP-Analysen nicht nur einmalig, sondern regelmäßig anzuwenden.
So können durch die ständigen Neuentwicklungen und Anpassungen innerhalb von SAP-Systemen zusätzliche Datenabflussmöglichkeiten entstehen, die nur dann erkennbar sind, wenn die Scans mit dem CodeProfiler laufend in die Entwicklungs- und Sicherheitsüberprüfungsprozesse integriert werden.