Datenverlust an der Quelle stoppen

Ob durch böswillige Hacker oder unachtsame eigene Collaborateurs verursacht: Geraten sensible Données in die falschen Hände, haben Entreprise mit beträchtlichen finanziellen und rechtlichen Risiken zu rechnen.

So kann es beispielsweise Betriebe aus der Pharmabranche besonders teuer zu stehen kommen, wenn Rezepturen für Medikamente in die Hände der Konkurrenz gelangen und damit langjährige Forschungsarbeiten zunichtegemacht werden.

Für Kreditinstitute stellen sich die Bankinformationen der Clients als besonders schützenswert dar, da bei unerlaubtem Abfluss neben Schadensersatzforderungen auch Reputationsschäden zu fürchten sind.

Branchenübergreifend müssen alle Entreprise ein verstärktes Augenmerk auf die persönlichen Mitarbeiterinformationen haben, da ein unautorisierter Abfluss auch rechtlich geahndet werden kann.

Mit Data Leak Prevention (DLP) steht eine Reihe an Methoden und Werkzeugen zur Verfügung, die der Abdichtung möglicher Datenlecks dienen.

Allen ist gemeinsam, dass sie den Datenfluss im Unternehmensnetzwerk an definierten Austrittspunkten überwachen und dann Alarm schlagen, wenn geschäftskritische Informations nach draußen gelangen oder bereits gelangt sind.

Austrittspunkte im Visier

Dafür setzen die einzelnen DLP-Lösungen auf verschiedenen Ebenen der IT-Infrastructure an. So gibt es Werkzeuge, mit denen Entreprise monitoren können, welche Données von den Laptops der Collaborateurs auf mobile Endgeräte, wie USB-Sticks, gespeichert werden.

In SAP-Umgebungen gibt es prinzipiell mehrere Möglichkeiten zum Datenabfluss. So werden bei der Ausführung eines bestimmten Abap-Programms die dafür benötigten Données aus den SAP-Datenbanktabellen ausgelesen und über verschiedene
Kommunikationskanäle den Nutzern zugänglich gemacht: angefangen bei klassischen Ausgabelisten über spezielle SAP–Interfaces bis hin zu modernen Webservices.

Um Datenverluste zu vermeiden, überwachen die herkömmlichen DLP-Ansätze genau die Stellen, an denen die Kommunikationskanäle so enden, dass die Données entweder von den Endanwendern abgegriffen werden können oder durch technische Interfaces das SAP-System verlassen.

Eine weitere vielgenutzte Möglichkeit besteht darin, dass Utilisateurs aus einem Abap–Programme eine E-Mail erstellen und die SAP–Données als Anhang mitversenden.

So unterschiedlich die einzelnen technischen DLP-Methoden sind, so ist allen gemeinsam, dass sie sehr viel Aufwand erfordern, um die kritischen SAP–Données sicher zu erkennen und die vielfältigen Austrittstellen aus dem Unternehmensnetzwerk wirksam zu überwachen.

Quellcode-Analyse

Um diesen Aufwand zu reduzieren, hat der SAP-Sicherheitsanbieter Virtual Forge mit dem CodeProfiler-Werkzeug einen neuen Ansatz entwickelt, der zeitlich deutlich früher und nachhaltiger ansetzt: Mit der sogenannten statischen DLP-Analyse lassen sich die Abflusskanäle sensibler SAP–Données bereits im SAP–Quellcode identifizieren.

Im Gegensatz zu den üblichen reaktiven DLP-Ansätzen wirkt die statische DLP-Analyse also präventiv. Direkt im SAP-Code werden die Stellen identifiziert, die Angreifer aus Betrugsabsicht oder eigene Collaborateurs aus Versehen nutzen könnten, um geschäftskritische SAP–Données zuerst aus den Datenbank-Tabellen, dann komplett aus den SAP-Anwendungen herauszuholen.

Da die Installation des CodeProfilers technisch sehr einfach ist, ist er in kurzer Zeit einsatzbereit und die Ergebnisse einer Analyse stehen schnell zur Verfügung.

Gleichzeitig muss jedoch auch geklärt werden, welche der SAP–Informations in einem Entreprise besonders schützenswert sind. Dabei kann es sich – abhängig von der Branche – um Données aus bestimmten Unternehmensbereichen wie Finanzen, Entwicklung, Marketing oder Vertrieb handeln.

Gleichzeitig müssen sich laufend ändernde gesetzliche Datenschutz- und Conformité-Vorgaben, unternehmensspezifische Firmenvereinbarungen sowie mit dem Betriebsrat getroffene Übereinkommen berücksichtigt werden.

Sind die sensiblen SAP–Données identifiziert, muss sichergestellt werden, dass nur diejenigen Nutzer darauf zugreifen können, die über die entsprechenden SAP-Berechtigungen verfügen.

Da die Klassifizierung der geschäftskritischen SAP–Données zum Teil umfassendes Fachwissen voraussetzt, arbeitet Virtual Forge in DLP-Kundenprojekten eng mit der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG zusammen.

Umgekehrt setzen die KPMG-Berater auf die statischen DLP-Analyses von Virtual Forge, wenn sie zu Clients gerufen werden, bei denen unerwünschte SAP-Datenabflüsse festgestellt worden sind.

Immer häufiger wird KPMG auch bei Clients aktiv, die solchen IT-Sicherheitsvorfällen zuvorkommen möchten. So verlangen die Fachabteilungen, Vertreter aus den Bereichen Governance, Risk & Conformité (GRC),  interne Datenschutzbeauftragte sowie Betriebsräte verstärkt nach wirksamen DLP-Ansätzen, um den Risiken möglicher SAP-Datenverluste frühzeitig zu begegnen.

Motiviert wird die wachsende Nachfrage dadurch, dass in vielen Entreprise die Zahl der SAP-Systeme im Laufe der Jahre so stark gewachsen ist, dass oft der Überblick verloren ging, welche geschäftskritischen Données von welchen SAP-Programmen und – vor allem – in welchem Kontext verarbeitet werden.

Dadurch steigen die Gefahren, dass die SAP–Données unberechtigte Adressaten innerhalb und außerhalb des Entreprise erreichen.  Um Clients die Zusammenarbeit in DLP-Projekten zu erleichtern, haben Virtual Forge und KPMG ihr Technologie- und Fachwissen in einem gemeinsamen Angebot gebündelt.

Dabei wird jedes Projekt in fünf Phasen gegliedert:

1. Definition der rechtlichen und fachlichen Anforderungen. Zum Projektauftakt wird gemeinsam mit dem Clients geklärt, welche der vorhandenen SAP–Informations geschäftskritisch und damit besonders schützenswert sind.
2. Identifizierung der relevanten Datenfelder und SAP-Anwendungen, die die Données verarbeiten. Dabei wird festgestellt, welche Utilisateurs zur Ausführung welcher SAP–Programme autorisiert und ob die vorliegenden Berechtigungen korrekt sind. Im Ergebnis entsteht ein Soll-Bild, das zwischen erlaubten und nicht erlaubten Datenabflüssen differenziert.
3. Einsatz des CodeProfilers. Dazu werden die fachlichen Anforderungen in eine technische Sprache übertragen, das heißt, das DLP-Verfahren wird parame­trisiert. Der CodeProfiler durchkämmt den Abap–Quellcode mit Suchalgorithmen und liefert ein Ist-Bild der potenziellen Datenabflüsse.
4. Vergleich des Soll- und Ist-Bildes möglicher SAP-Datenabflüsse. In dieser Phase werden die durch den Einsatz des CodeProfilers gewonnenen Erkenntnisse mit den rechtlichen und fachlichen Anforderungen des Entreprise verglichen.
5. Definition von Handlungsempfehlungen. Im Ergebnis erhalten die Entreprise  konkrete Maßnahmen an die Hand, um das Soll-Bild zu erreichen und damit unerlaubte SAP-Datenabflüsse zu verhindern. Eine zentrale Maßnahme ist die Bereinigung des betroffenen SAP-Quellcodes.

Kontinuierliche Scans empfehlenswert

Um eine nachhaltige Abdichtung möglicher SAP-Datenlecks zu erzielen, empfiehlt es sich für die Entreprise, die statischen DLP-Analyses nicht nur einmalig, sondern regelmäßig anzuwenden.

So können durch die ständigen Neuentwicklungen und Anpassungen innerhalb von SAP-Systemen zusätzliche Datenabflussmöglichkeiten entstehen, die nur dann erkennbar sind, wenn die Scans mit dem CodeProfiler laufend in die Entwicklungs- und Sicherheitsüberprüfungsprozesse integriert werden.