Information et éducation par et pour la communauté SAP

Maßgeschneidertes Masking

Von geschützten personenbezogenen bis zu privilegierten Finanzinformationen: SAP-Anwendungen enthalten große Mengen sensibler Daten. Diese bergen stets auch Risiken, denen Unternehmen begegnen müssen.
Ralf Kempf, Pathlock
19. janvier 2023
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Attributbasiertes Data Masking schützt ERP-Daten und reduziert Compliance-Risiken

Im SAP ERP gibt es standardmäßig keine Maskierungsfunktionen zur passgenauen Anonymisierung in den Ansichten. Das potenzielle Leck ungehinderter Offenlegung von Daten stellt somit eine riesige Angriffsfläche dar. Obwohl Add-ons und Lösungen von SAP und Drittanbietern existieren, bestehen immer noch erhebliche Herausforderungen. Hier setzt das attributbasierte Data Masking an.

Gerade im Zuge fortschreitender Internationalisierung und insbesondere seit Corona und häufigem Homeoffice sind prozessrelevante, aber sensible Daten vermehrt in Gefahr, auch von externen oder internen Betrachtern eingesehen zu werden, deren Einsicht situativ oder generell weder nötig noch gewünscht ist. Drei Beispiele: Wenn ein Mitarbeiter der Personalabteilung aus dem Ausland arbeitet und Stammdatenpflege betreibt, sollten nur absolut notwendige Felder sichtbar sein, damit niemand Externes versehentlich Einblick in sensible Daten erhält. Wenn ein Vertrieb mit Stammdaten arbeitet, um Angebote zu erstellen, muss er in der Stammkarte das richtige Produkt finden, die richtige Verpackungseinheit, das Gebinde sehen können, jedoch nicht alle Einkaufspreise kennen. Ein Packer muss anhand der Materialstammnummer natürlich wissen, welches Paket er nehmen soll, aber er muss nicht en détail erfahren, welchen Inhalt es hat.

Bei Data Masking geht es nicht um die Reduzierung missbräuchlicher Ansicht (Fraud) personenbezogener Daten, um die reine Anonymisierung und Pseudonymisierung von Personen- und Adressdaten, sondern es ist weiter gefasst. Letztlich lassen sich alle Datentypen maskieren. Ziel des Maskierens von Originaldaten ist die sogenannte Data Loss Prevention, das Problem von Datendiebstahl, Datenmissbrauch oder anderen Formen von Datenkriminalität dadurch zu lösen, dass man die Ansichten der Datenbasis selbst verändert: Im Grunde geht es um den Schutz von Daten, die notwendigerweise da sind, die aber nicht jeder sehen soll, um das Einschränken der Ansichten auf situativ relevante Informationen. Dies stellt die meisten Data-Masking-Lösungen von SAP und Drittanbietern immer noch vor einige Herausforderungen, weil sie rein auf der Ebene von Berechtigungen operieren. Statische Maskierungsrichtlinien berücksichtigen dabei allerdings nicht den Kontext des Zugriffsrisikos und zwingen zu einem Kompromiss zwischen Datensicherheit und Zugänglichkeit.

Privilegierte Benutzer können auf sensible Datenfelder zugreifen, selbst wenn dies in einem speziellen Kontext nicht erforderlich oder gewünscht ist. Add-ons zur Datenmaskierung erfordern zudem Anpassungen, die in jedem Feld der Anwendung repliziert werden müssen, was zu einer nicht skalierbaren Ad-hoc-Lösung führt. Im Gegensatz zu solchen Standard-Maskierungslösungen zentralisiert Data Masking nach dem Pathlock-Ansatz die Durchsetzung der Datenmaskierung in SAP in einem einzigen Regelsatz, um Daten in der gesamten Anwendung zu definieren und zu maskieren. Und er setzt, ohne dass für die Implementierung weitere Anpassungen an SAP nötig sind, zusätzlich dynamische Richtlinien ein, die den Risikokontext einbeziehen, um die sensiblen Daten zielgenauer zu schützen.

Frei konfigurierbare Attribute

Eine attributbasierte Maskierungsfunktion bedeutet somit eine fein abgestufte Kontrolle darüber, welche Informationen für einen bestimmten Benutzer in einer bestimmten Situation maskiert werden. Dies ist besonders wichtig, wenn ein multinationales Unternehmen missbräuchliche Ansichten verhindern will. Daten werden dann etwa maskiert bei Zugriffen aus Ländern, die nicht zu den Unternehmensstandorten gehören, bei Zugriffen, die von remoten Arbeitsplätzen außerhalb des Netzwerks, unbekannten IP-Adressen oder VPNs ausgehen oder die außerhalb der jeweiligen Geschäftsbeziehungsweise plausiblen Uhrzeiten stattfinden. Eigentlich lesbare und für die Rolle erlaubte Inhalte sind so je nach Ausprägung von frei konfigurierbaren Attributen wie dem User, der IP-Adresse, Uhrzeit, von Ländern beziehungsweise Standorten, der Zugriffsart – Remote-Arbeit von außerhalb oder Zugriff innerhalb des Netzwerks – oder der Netzwerk-Art (etwa VPN) nicht sichtbar. Erfolgt ein Zugriff mit ungewöhnlichen Parametern, werden so je nach Attribut für den konkreten Fall unnötige Daten auch nicht lesbar sein.

Unterschiedliche Kritikalität

Dies ist allein über User-Berechtigungen so nicht umsetzbar und berücksichtigt die je nach Branche unterschiedliche Kritikalität etwa von Stammdaten wie: Personal-, Lokations-, Logistikdaten sowie Lieferanteninformationen oder Stücklisten, Einkaufspreisen und Rezepturen. Attributbasiertes Data Masking bedeutet einen verbesserten Schutz sensibler Unternehmensdaten durch feingranulare Einschränkung der Ansichten. Die richtlinienbasierte dynamische Maskierungsfunktion der zentralisierten und skalierbaren Maskierungslösung bietet damit zusätzlich zum Berechtigungsschutz eine individuell anpassbare Kontrolle darüber, welche sensiblen Datenfelder für einen bestimmten Benutzer in einer konkreten Situation maskiert werden. Durch die Implementierung einer vollständigen oder teilweisen Maskierung eines Datensatzes minimiert die Lösung das Risiko einer Datenpanne und erfüllt auch Verschlüsselungs- und Anonymisierungsanforderungen etwa von Aufsichtsbehörden. Durch das Herausfiltern sensibler Daten ohne weitere Anpassungen an SAP entsteht kein zusätzlicher Wartungsaufwand.

Pathlock Partner-Eintrag
avatar
Ralf Kempf, Pathlock

Ralf Kempf est le PDG de Pathlock Allemagne.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.