Comment Microsoft protège ses données SAP

Wer sich die heutigen Unternehmensprozesse vom Anfang bis zum Ende anschaut, wird feststellen, dass die meisten nicht mehr auf eine bestimmte Anwendung oder Technologieplattform beschränkt sind und vielfach schon auf unterschiedlichen beziehungsweise hybriden Betriebsmodellen fußen.

Die nahtlose Verknüpfung dieser Anwendungen und Plattformen ist sicherlich eine zentrale Herausforderung im Rahmen der digitalen Transformation, jedoch darf die Datensicherheit nicht vernachlässigt werden, wenn die neuen automatisierten Prozesse den täglich stattfindenden Cyber-Angriffen nicht gleich zum Opfer fallen sollen.

Gerade global agierende Unternehmen bieten eine große Angriffsfläche für Hacker mit unterschiedlichster Motivation, Daten abzugreifen. In einer vernetzten IT-Welt ist es aber praktisch unmöglich, allein durch Firewalls und verschlüsselte Kommunikationswege die Datensicherheit zu gewährleisten.

Hacker finden immer eine Schwachstelle, um Sicherheitsperimeter zu durchdringen und wenn dahinter die Daten ungeschützt geteilt und verarbeitet werden, sind sie eine leichte Beute.

Sicherheitskonzept anpassen

Das hat auch Microsoft erkannt und seine interne IT-Sicherheitsstrategie entsprechend angepasst. Als Hersteller von Unternehmenssoftware, Cloud-Anbieter und Betreiber eigener IT-Systeme hat Microsoft vielfältige Perspektiven im Bezug auf Datensicherheit.

Der Schutz der eigenen Anwender und Daten spielt dabei ebenso eine Rolle wie der Schutz der Kundendaten und die damit verbundene Einhaltung internationaler Regularien, wie beispielsweise die neue EU-DSGVO.

Für die weltweiten Unternehmensprozesse setzt auch Microsoft intern SAP-­Anwendungen ein, die hochgradig mit anderen Non-SAP-Satelliten-Systemen inte­griert sind.

Darüber hinaus werden aus SAP täglich Daten in Form von unterschiedlichen Office-Dokumenten exportiert und in nachgelagerten Prozessschritten verarbeitet. Die Zugriffskontrolle auf diese sensiblen Daten ist innerhalb von SAP mit dem dort vorhandenen Berechtigungskonzept gewährleistet.

Durch den Datentransfer beziehungsweise Datei-Download werden sie jedoch dem SAP-Schutzsystem entzogen und es findet keine hinreichende technische Kontrolle mehr statt, wer in welchem Umfang auf diese Daten zugreifen darf.

Durch das sehr einfache Verteilen von Office-Dokumenten, beispielsweise per E-Mail, erweitert sich der Kreis möglicher Zugriffe rapide, was eine Weitergabekontrolle, so wie es die DSGVO für personenbezogene Daten vorsieht, unmöglich macht.

Zusammen mit Secude hat Microsoft deshalb sein Sicherheitskonzept für SAP-Daten angepasst. Es war dabei naheliegend, Azure Information Protection (AIP) als Lösung für Information Rights Management und Datei-Verschlüsselung aus dem Microsoft-Produktportfolio auch für SAP einzusetzen.

Für die nahtlose und automatisierte Integration von Microsoft AIP in SAP-Systemen sorgt die Sicherheitslösung Halocore vom SAP-Security-Spezialisten Secude.

SAP-Datenexporte kontrollieren

Die Herausforderungen bestanden einerseits darin, die unterschiedlichsten Daten­exportfunktionen im SAP-Standard unter Kontrolle zu bringen, damit keine Daten unautorisiert das SAP-System verlassen können.

Andererseits durften die Anwender und Prozesse nicht beeinträchtigt werden, was einen hohen Automationsgrad erfordert, insbesondere bei der Klassifikation der Daten.

Erst dadurch kann ohne Eingriff des SAP-Anwenders der passende AIP-Schutz (Label) angewendet werden. Je nach Schutzbedarf muss darüber hinaus die Exportdatei auch automatisch verschlüsselt werden.

Der Eingriff in die SAP-Download-Funktionen ist dabei der erste und entscheidende Schritt, weil sonst ein SAP-Anwender alle Daten exportieren kann, die er in SAP ein­sehen darf, sofern er die lediglich generell zuteilbare Download-Berechtigung (S_GUI) hat.

Das normale SAP Audit Log (SAL) oder ähnliche Monitoring-Lösungen helfen hier nicht, da sie nur in die Vergangenheit blicken und die Exportdatei selbst nicht kon­trollieren können.

Den Secude-­Spezialisten hilft hier ihre jahrelange Erfahrung im Bereich SAP-Security, um eine technische Lösung zu bauen, die ohne großen Aufwand implementierbar ist und unabhängig von SAP-Businessapplikationen oder Eigenentwicklungen des Kunden den SAP-Downloadprozess kontrolliert.

Die SAP-Kontext­informationen helfen dabei, gleichzeitig die passende Datenklassifikation automatisiert zu bestimmen und sie als Metainformation der Exportdatei mitzugeben.

Kritische Daten jenseits von SAP schützen

Dieser synchrone Kontrollprozess von Secude generiert geschützte SAP-Downloads, ohne dass der Anwender einen Unterschied im Downloadprozess bemerkt. Das ist ein entscheidender Vorteil gegenüber klassischen Data-Loss-Prevention-­Lösungen (DLP), die asynchron die Inhalte der Exportdateien analysieren oder Anwenderinteraktionen erfordern, um die passende Klassifikation zu ermitteln.

„Halocore bietet eine effektive Klassifizierung und den Schutz sensibler Daten, indem SAP-Exporte kontrolliert und extrahierte Dokumente mit Azure Information Protection verschlüsselt werden“

erläutert Sha­lini Gupta, Principal Privacy Lead in der Microsoft IT.

Darüber hinaus ist durch Microsoft AIP der Schutz auf beliebigen Geräten und Ablageorten, auch jenseits der Unternehmensgrenzen, gewährleistet, weil kein DLP-Agent für die Einhaltung der Datensicherheit benötigt wird.

Die mit Microsoft AIP verschlüsselte Datei ermittelt über Azure Active Directory automatisch die Zugriffsberechtigung des Anwenders, der die Datei öffnen möchte. Dieses Verfahren funktioniert für alle gängigen Dateiformate, nicht nur für native Office-Dateien.

Des Weiteren arbeiten Microsoft und Secude zusammen daran, auch Spezialformate wie sie beispielsweise im CAD-Bereich vorkommen, so zu unterstützen, dass die Benutzerfreundlichkeit erhalten bleibt.

„Secude teilt die Vision von Microsoft, die sensiblen Daten von Kunden zu schützen. Daher sehen wir Halocore als natürliche Brücke zwischen Microsoft Azure Information Protection und den Datensicherheitsmechanismen von SAP-Anwendungen“

betont Gagan Gulati, Leiter Product Management für Azure Information Protec­tion bei Microsoft.

„Der Einsatz der Secude-­Lösung Halocore bei Microsoft hilft uns dabei, unser Unternehmen sicherer und konform zu halten“

ergänzt Shalini Gupta.

Conclusion

Nur wenn die neuen digitalen Prozesse auch sicher sind, ist die Zukunftsfähigkeit des Unternehmens gewahrt. Das bedeutet aber auch, dass IT-Security als fester Bestandteil auf jede C-Level-Agenda gehört.

In letzter Konsequenz muss sich auch der CEO bewusst sein, dass digitale Geschäftsprozesse immer auch einen Preis für die Minimierung von IT-Sicherheitsrisiken einfordern.

Global agierende Unternehmen wie Microsoft, die SAP als zentrale Plattform für ihre Geschäftsprozesse nutzen, verarbeiten in den meisten Fällen kritische Daten auch außerhalb von SAP.

Damit das eigene geistige Eigentum (Intellectual Property) geschützt und im Falle von personenbezogenen Daten die DSGVO-Compliance gewahrt bleibt, muss die Datensicherheit anwendungs- und plattformübergreifend aufgesetzt und im Gleichschritt mit der digitalen Transformation umgesetzt werden.

Aufgrund der Komplexität dieser Geschäftsprozesse muss die IT-Sicherheit stets einen hohen Automationsgrad aufweisen, wenn sie nicht als Hindernis für den Unternehmenserfolg angesehen werden möchte.

Für Microsoft ist es deshalb nur konsequent, die eigenen IT-Sicherheitslösungen auch im internen SAP-Betrieb einzusetzen. Innerhalb von SAP sind die Daten durch das Berechtigungskonzept sicher.

Werden Daten jedoch auch außerhalb benötigt und über entsprechende Exportfunktionen aus SAP extrahiert, sorgt Azure Information Protection (AIP) von Microsoft dafür, dass die Dokumente geschützt sind und nur berechtigte Personen auf die darin enthaltenen Daten Zugriff erhalten.

Für die nahtlose und automatisierte Integration von AIP in SAP nutzt Microsoft die Lösung Halo­core vom SAP-Security-Spezialisten Se­cude. Jeder SAP-Download wird mit Halocore automatisch klassifiziert, die Exportdatei erhält das passende AIP-Label und öffnet sich in gewohnter Weise für den berechtigten Anwender. Unerwünschte Downloads werden bei Bedarf ebenfalls regelbasiert unterbunden.

Der Schutz kritischer SAP-Daten ist damit geräte- und plattformunabhängig gewährleistet. Der hohe Automationsgrad führt zu einer großen Akzeptanz bei den Anwendern und stellt sicher, dass das Konzept auch in großen, weltweit verteilten IT-Umgebungen, wie der von Microsoft, funktioniert.