{"id":1991,"date":"2016-11-24T13:50:45","date_gmt":"2016-11-24T12:50:45","guid":{"rendered":"http:\/\/e3mag.com\/?p=1991"},"modified":"2019-04-01T08:57:49","modified_gmt":"2019-04-01T06:57:49","slug":"datenverlust-an-der-quelle-stoppen","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/datenverlust-an-der-quelle-stoppen\/","title":{"rendered":"Datenverlust an der Quelle stoppen"},"content":{"rendered":"

Ob durch b\u00f6swillige Hacker<\/span> oder unachtsame eigene Mitarbeiter<\/span> verursacht: Geraten sensible Daten<\/span> in die falschen H\u00e4nde, haben Unternehmen<\/span> mit betr\u00e4chtlichen finanziellen und rechtlichen Risiken zu rechnen.<\/p>\n

So kann es beispielsweise Betriebe aus der Pharmabranche besonders teuer zu stehen kommen, wenn Rezepturen f\u00fcr Medikamente in die H\u00e4nde der Konkurrenz gelangen und damit langj\u00e4hrige Forschungsarbeiten zunichtegemacht werden.<\/p>

\"\"<\/a><\/div><\/div>\n

F\u00fcr Kreditinstitute stellen sich die Bankinformationen der Kunden<\/span> als besonders sch\u00fctzenswert dar, da bei unerlaubtem Abfluss neben Schadensersatzforderungen auch Reputationssch\u00e4den zu f\u00fcrchten sind.<\/p>\n

Branchen\u00fcbergreifend m\u00fcssen alle Unternehmen<\/span> ein verst\u00e4rktes Augenmerk auf die pers\u00f6nlichen Mitarbeiterinformationen haben, da ein unautorisierter Abfluss auch rechtlich geahndet werden kann.<\/p>\n

Mit Data Leak Prevention (DLP) steht eine Reihe an Methoden und Werkzeugen zur Verf\u00fcgung, die der Abdichtung m\u00f6glicher Datenlecks dienen.<\/p>\n

Allen<\/span> ist gemeinsam, dass sie den Datenfluss im Unternehmensnetzwerk an definierten Austrittspunkten \u00fcberwachen<\/span> und dann Alarm schlagen, wenn gesch\u00e4ftskritische Informationen<\/span> nach drau\u00dfen gelangen oder bereits gelangt sind.<\/p>\n

Austrittspunkte im Visier<\/h3>\n

Daf\u00fcr setzen die einzelnen DLP-L\u00f6sungen auf verschiedenen Ebenen der IT-Infrastruktur<\/span><\/span> an. So gibt es Werkzeuge, mit denen Unternehmen<\/span> monitoren k\u00f6nnen, welche Daten<\/span> von den Laptops der Mitarbeiter<\/span> auf mobile Endger\u00e4te, wie USB-Sticks, gespeichert werden.<\/p>\n

In SAP<\/span>-Umgebungen gibt es prinzipiell mehrere M\u00f6glichkeiten zum Datenabfluss. So werden bei der Ausf\u00fchrung eines bestimmten Abap<\/span>-Programms die daf\u00fcr ben\u00f6tigten Daten<\/span> aus den SAP<\/span>-Datenbanktabellen ausgelesen und \u00fcber verschiedene
\nKommunikationskan\u00e4le den Nutzern zug\u00e4nglich gemacht: angefangen bei klassischen Ausgabelisten \u00fcber spezielle SAP<\/span>–Schnittstellen<\/span> bis hin zu modernen Webservices.<\/p>\n

Um Datenverluste zu vermeiden, \u00fcberwachen<\/span> die herk\u00f6mmlichen DLP-Ans\u00e4tze genau die Stellen, an denen die Kommunikationskan\u00e4le so enden, dass die Daten<\/span> entweder von den Endanwendern abgegriffen werden k\u00f6nnen oder durch technische Schnittstellen<\/span> das SAP<\/span>-System verlassen.<\/p>\n

Eine weitere vielgenutzte M\u00f6glichkeit besteht darin, dass Anwender<\/span> aus einem Abap<\/span>–Programm<\/span> eine E-Mail erstellen und die SAP<\/span>–Daten<\/span> als Anhang mitversenden.<\/p>\n

So unterschiedlich die einzelnen technischen DLP-Methoden sind, so ist allen gemeinsam, dass sie sehr viel Aufwand erfordern, um die kritischen SAP<\/span>–Daten<\/span> sicher zu erkennen und die vielf\u00e4ltigen Austrittstellen aus dem Unternehmensnetzwerk wirksam zu \u00fcberwachen<\/span>.<\/p>\n

Quellcode<\/span>-Analyse<\/h3>\n

Um diesen Aufwand zu reduzieren, hat der SAP<\/span>-Sicherheitsanbieter Virtual Forge mit dem CodeProfiler-Werkzeug einen neuen Ansatz entwickelt, der zeitlich deutlich fr\u00fcher und nachhaltiger ansetzt: Mit der sogenannten statischen DLP-Analyse<\/span> lassen sich die Abflusskan\u00e4le sensibler SAP<\/span>–Daten<\/span> bereits im SAP<\/span>–Quellcode<\/span> identifizieren.<\/p>\n

Im Gegensatz zu den \u00fcblichen reaktiven DLP-Ans\u00e4tzen wirkt die statische DLP-Analyse<\/span> also pr\u00e4ventiv. Direkt im SAP<\/span>-Code werden die Stellen identifiziert, die Angreifer aus Betrugsabsicht oder eigene Mitarbeiter<\/span> aus Versehen nutzen k\u00f6nnten, um gesch\u00e4ftskritische SAP<\/span>–Daten<\/span> zuerst aus den Datenbank-Tabellen, dann komplett aus den SAP<\/span>-Anwendungen herauszuholen.<\/p>\n

Da die Installation des CodeProfilers technisch sehr einfach ist, ist er in kurzer Zeit einsatzbereit und die Ergebnisse einer Analyse<\/span> stehen schnell zur Verf\u00fcgung.<\/p>\n

Gleichzeitig muss jedoch auch gekl\u00e4rt werden, welche der SAP<\/span>–Informationen<\/span> in einem Unternehmen<\/span> besonders sch\u00fctzenswert sind. Dabei kann es sich \u2013 abh\u00e4ngig von der Branche \u2013 um Daten<\/span> aus bestimmten Unternehmensbereichen wie Finanzen, Entwicklung, Marketing oder Vertrieb handeln.<\/p>\n

Gleichzeitig m\u00fcssen sich laufend \u00e4ndernde gesetzliche Datenschutz- und Compliance<\/span>-Vorgaben, unternehmensspezifische Firmenvereinbarungen sowie mit dem Betriebsrat getroffene \u00dcbereinkommen ber\u00fccksichtigt werden.<\/p>\n

Sind die sensiblen SAP<\/span>–Daten<\/span> identifiziert, muss sichergestellt werden, dass nur diejenigen Nutzer darauf zugreifen k\u00f6nnen, die \u00fcber die entsprechenden SAP<\/span>-Berechtigungen verf\u00fcgen.<\/p>\n

Da die Klassifizierung der gesch\u00e4ftskritischen SAP<\/span>–Daten<\/span> zum Teil umfassendes Fachwissen voraussetzt, arbeitet Virtual Forge in DLP-Kundenprojekten eng mit der Wirtschaftspr\u00fcfungs- und Beratungsgesellschaft KPMG zusammen.<\/p>\n

Umgekehrt setzen die KPMG-Berater auf die statischen DLP-Analysen<\/span> von Virtual Forge, wenn sie zu Kunden<\/span> gerufen werden, bei denen unerw\u00fcnschte SAP<\/span>-Datenabfl\u00fcsse festgestellt worden sind.<\/p>\n

Immer h\u00e4ufiger wird KPMG auch bei Kunden<\/span> aktiv, die solchen IT-Sicherheitsvorf\u00e4llen zuvorkommen m\u00f6chten. So verlangen die Fachabteilungen, Vertreter aus den Bereichen Governance, Risk & Compliance<\/span> (GRC),\u00a0 interne Datenschutzbeauftragte sowie Betriebsr\u00e4te verst\u00e4rkt nach wirksamen DLP-Ans\u00e4tzen, um den Risiken m\u00f6glicher SAP<\/span>-Datenverluste fr\u00fchzeitig zu begegnen.<\/p>\n

Motiviert wird die wachsende Nachfrage dadurch, dass in vielen Unternehmen<\/span> die Zahl der SAP<\/span>-Systeme im Laufe der Jahre so stark gewachsen ist, dass oft der \u00dcberblick verloren ging, welche gesch\u00e4ftskritischen Daten<\/span> von welchen SAP-Programmen<\/span> und \u2013 vor allem \u2013 in welchem Kontext verarbeitet werden.<\/p>\n

Dadurch steigen die Gefahren, dass die SAP<\/span>–Daten<\/span> unberechtigte Adressaten innerhalb und au\u00dferhalb des Unternehmens<\/span> erreichen.\u00a0 Um Kunden<\/span> die Zusammenarbeit in DLP-Projekten zu erleichtern, haben Virtual Forge und KPMG ihr Technologie- und Fachwissen in einem gemeinsamen Angebot geb\u00fcndelt.<\/p>\n

Dabei wird jedes Projekt in f\u00fcnf Phasen gegliedert:<\/p>\n

    \n
  1. Definition der rechtlichen und fachlichen Anforderungen. Zum Projektauftakt wird gemeinsam mit dem Kunden<\/span> gekl\u00e4rt, welche der vorhandenen SAP<\/span>–Informationen<\/span> gesch\u00e4ftskritisch und damit besonders sch\u00fctzenswert sind.<\/li>\n
  2. Identifizierung der relevanten Datenfelder und SAP<\/span>-Anwendungen, die die Daten<\/span> verarbeiten. Dabei wird festgestellt, welche Anwender<\/span> zur Ausf\u00fchrung welcher SAP<\/span>–Programme<\/span> autorisiert und ob die vorliegenden Berechtigungen korrekt sind. Im Ergebnis entsteht ein Soll-Bild, das zwischen erlaubten und nicht erlaubten Datenabfl\u00fcssen differenziert.<\/li>\n
  3. Einsatz des CodeProfilers. Dazu werden die fachlichen Anforderungen in eine technische Sprache \u00fcbertragen, das hei\u00dft, das DLP-Verfahren wird parame\u00adtrisiert. Der CodeProfiler durchk\u00e4mmt den Abap<\/span>–Quellcode<\/span> mit Suchalgorithmen und liefert ein Ist-Bild der potenziellen Datenabfl\u00fcsse.<\/li>\n
  4. Vergleich des Soll- und Ist-Bildes m\u00f6glicher SAP<\/span>-Datenabfl\u00fcsse. In dieser Phase werden die durch den Einsatz des CodeProfilers gewonnenen Erkenntnisse mit den rechtlichen und fachlichen Anforderungen des Unternehmens<\/span> verglichen.<\/li>\n
  5. Definition von Handlungsempfehlungen. Im Ergebnis erhalten die Unternehmen<\/span>\u00a0 konkrete Ma\u00dfnahmen an die Hand, um das Soll-Bild zu erreichen und damit unerlaubte SAP<\/span>-Datenabfl\u00fcsse zu verhindern. Eine zentrale Ma\u00dfnahme ist die Bereinigung des betroffenen SAP<\/span>-Quellcodes.<\/li>\n<\/ol>\n

    Kontinuierliche Scans empfehlenswert<\/h3>\n

    Um eine nachhaltige Abdichtung m\u00f6glicher SAP<\/span>-Datenlecks zu erzielen, empfiehlt es sich f\u00fcr die Unternehmen<\/span>, die statischen DLP-Analysen<\/span> nicht nur einmalig, sondern regelm\u00e4\u00dfig anzuwenden.<\/p>\n

    So k\u00f6nnen durch die st\u00e4ndigen Neuentwicklungen und Anpassungen innerhalb von SAP<\/span>-Systemen zus\u00e4tzliche Datenabflussm\u00f6glichkeiten entstehen, die nur dann erkennbar sind, wenn die Scans mit dem CodeProfiler laufend in die Entwicklungs- und Sicherheits\u00fcberpr\u00fcfungsprozesse integriert werden.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Der unerw\u00fcnschte Abfluss gesch\u00e4ftskritischer SAP-Daten kann f\u00fcr Unternehmen bedrohliche Folgen haben. Mit einem gemeinsamen Ansatz von Virtual Forge und KPMG packen Anwender das Problem an der Wurzel. <\/p>\n","protected":false},"author":62,"featured_media":2008,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,740],"tags":[174,637,618,437],"coauthors":[23909],"class_list":["post-1991","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-mag1612","tag-compliance","tag-hacker","tag-kunde","tag-mitarbeiter","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK.jpg",1772,1268,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK.jpg",400,286,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK-768x550.jpg",768,550,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK-1200x859.jpg",1200,859,true],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK-100x72.jpg",100,72,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK-480x343.jpg",480,343,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK-640x458.jpg",640,458,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK-720x515.jpg",720,515,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK-960x687.jpg",960,687,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK-1168x836.jpg",1168,836,true],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK-1440x1030.jpg",1440,1030,true],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK.jpg",1772,1268,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK-1536x1099.jpg",1536,1099,true],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK.jpg",1772,1268,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK.jpg",18,12,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK.jpg",943,675,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK.jpg",1200,859,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK.jpg",1200,859,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK.jpg",600,429,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK.jpg",600,429,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/shutterstock_128689925_CMYK-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

    Der unerw\u00fcnschte Abfluss gesch\u00e4ftskritischer SAP-Daten kann f\u00fcr Unternehmen bedrohliche Folgen haben. Mit einem gemeinsamen Ansatz von Virtual Forge und KPMG packen Anwender das Problem an der Wurzel. <\/p>\n","category_list_v2":"IT-Management<\/a>, MAG 16-12<\/a>","author_info_v2":{"name":"Sch\u00f6nh\u00f6fer\/Lorenz, KPMG","url":"https:\/\/e3mag.com\/de\/author\/sebastians-und-eduart-lorenz\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/1991","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/62"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=1991"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/1991\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/2008"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=1991"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=1991"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=1991"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=1991"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}