{"id":28632,"date":"2017-09-21T00:09:22","date_gmt":"2017-09-20T22:09:22","guid":{"rendered":"http:\/\/e3mag.com\/?p=28632"},"modified":"2022-05-01T09:04:23","modified_gmt":"2022-05-01T07:04:23","slug":"la-classification-des-donnees-un-facteur-de-reussite","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/erfolgsfaktor-datenklassifizierung\/","title":{"rendered":"La classification des donn\u00e9es, un facteur de r\u00e9ussite"},"content":{"rendered":"

Klassische rollenbasierte Zugriffskonzepte sind statisch und beschreiben die Rolle des Anwenders mit Profilen wie \u201eMitarbeiter\u201c oder \u201eProjektleiter\u201c zun\u00e4chst nur abstrakt.<\/p>\n

Den Bezug zu Abteilungen und Projektgruppen stellen viele SAP-Administratoren durch die Definition von Varianten wie \u201eMitarbeiter Abt. 1\u201c, \u201eMitarbeiter Abt. 2\u201c oder \u201eProjektleiter Projekt A\u201c her. Damit zw\u00e4ngen sie die organisatorische Dynamik in ein an sich statisches Konzept, das langfristig weder administrierbar noch wirksam ist.<\/p>\n

Grenzen des SAP-Berechtigungskonzepts<\/h3>\n

Sobald ein Mitarbeiter seine Abteilung wechselt oder in mehreren Projekten gleichzeitig arbeitet, entsteht ein enormer Pflegeaufwand, der f\u00fcr die IT-Abteilungen kaum zu bew\u00e4ltigen ist.<\/p>\n

In vielen F\u00e4llen nimmt die Komplexit\u00e4t der Profile sogar so stark zu, dass niemand mehr wei\u00df, welche Zugriffsrechte de facto vergeben sind. Die Antwort der IT-Adminis\u00adtratoren liegt dann oft in einem sehr restriktiven Umgang mit Berechtigungen.<\/p>\n

Das Resultat: Die Anwender werden im operativen Tagesgesch\u00e4ft beeintr\u00e4chtigt und die Effizienz der Prozesse leidet. Nicht selten f\u00fchrt das zu einer kurzfristigen, gro\u00dfz\u00fcgigen Lockerung einzelner Rechtekorsetts, ohne eine tief greifende Analyse des Sicherheitsrisikos vorzunehmen.<\/p>\n

F\u00fcr den Moment scheint das Pro\u00adblem gel\u00f6st, aufgrund der hohen Ressourcenbindung in den IT-Abteilungen wird die Ma\u00dfnahme jedoch oft nicht mehr r\u00fcckg\u00e4ngig gemacht und das einst sichere Berechtigungskonzept entwickelt sich zu einem Freifahrtschein f\u00fcr Insider-Attacken und Datenklau.<\/p>\n

Auch die zunehmende Digitalisierung und Vernetzung der Applikationen treibt bew\u00e4hrte Verfahren an ihre Grenzen. Sowohl SAP S\/4 Hana als auch zahlreiche angebundene Anwendungen von Drittanbietern verf\u00fcgen \u00fcber eigene Berechtigungskonzepte, die nicht in das herk\u00f6mmliche SAP-Berechtigungswesen integriert sind.<\/p>\n

Die Sicherheitsrisiken, die dadurch entstehen, werden zwar von vielen Fachabteilungen erkannt, eine kontinuierliche Synchronisation scheitert aber oft an fehlenden Budgets und Ressourcen: Die CISOs (Chief Information Security Officer), die f\u00fcr das Thema eigentlich verantwortlich sind, haben meist keine eigenen Mittel und erhalten kaum Unterst\u00fctzung aus dem operativen IT-Betrieb, denn die Mitarbeiter sind bereits mit anderen Projekten ausgelastet.<\/p>\n

W\u00e4hrend sich der CIO an dieser Stelle trotzdem auf seine Spezialisten verl\u00e4sst, landet das Thema Datensicherheit am Ende dann doch auf den Tischen der CEOs und CFOs, die jedoch inhaltlich viel zu weit von der Thematik entfernt sind. Dabei sind sie es in den meisten F\u00e4llen, die haften, wenn es zu einem Vorfall kommt \u2013 ein Bermudadreieck, das es zu durchbrechen gilt.<\/p>\n

\"Holger<\/a><\/p>\n

Datenzentrierte Sicherheitskonzepte etablieren<\/h3>\n

Um auch in der digitalisierten Welt SAP-Daten wirksam absichern zu k\u00f6nnen, bedarf es neuartiger, dynamischer IT-Sicherheitskonzepte, die an das SAP-Berechtigungskonzept ankn\u00fcpfen, aber die Daten selbst in den Vordergrund stellen.<\/p>\n

Hierzu ist eine unternehmensweit standardisierte Datenklassifikation unerl\u00e4sslich. Um diese im Unternehmen umzusetzen, sollten Verantwortliche den Fokus zun\u00e4chst auf die Prozesse richten. Sie helfen dabei, zu verstehen, aber auch kritisch zu hinterfragen, wof\u00fcr die Daten ben\u00f6tigt und wie sie verarbeitet werden.<\/p>\n

Sobald diese Erkenntnisse vorliegen, k\u00f6nnen die Bedeutung f\u00fcr den Unternehmenserfolg und der jeweilige Schutzbedarf abgeleitet werden. Um den Vorgang zu beschleunigen, empfiehlt sich der Einsatz moderner Prozessanalyse-Software. Anschlie\u00dfend sollten deutlich abgrenzbare Daten- und Schutzbedarfsklassen definiert und beschrieben werden.<\/p>\n

Hierbei gilt es zwei entscheidende He\u00adrausforderungen zu meistern: Die erste betrifft die allgemeine Verst\u00e4ndlichkeit und Nachvollziehbarkeit der einzelnen Schutzbedarfsklassen.<\/p>\n

Anders ausgedr\u00fcckt: Was bedeutet es, wenn Daten beispielsweise als \u201evertraulich\u201c eingestuft werden? Welche Anwenderkreise und Rollen d\u00fcrfen auf welche Daten, in welchem Umfang zugreifen?<\/p>\n

Eine wirksame Datenklassifikation muss diese Fragen f\u00fcr alle Anwender nachvollziehbar beantworten und darf nicht im Widerspruch zu den Anforderungen stehen, die sich aus den einzelnen Prozessschritten ergeben.<\/p>\n

Die zweite Herausforderung ist eher technischer Natur und betrifft die dynamische bzw. adaptive Umsetzung des Schutzbedarfes. Hilfreich ist eine kontextbezogene Klassifikation, bei der das organisatorische und technische Umfeld der Datengenerierung oder -verwendung herangezogen und automatisch mit den Definitionen der Schutzbedarfsklassen abgeglichen wird.<\/p>\n

Diese Vorgehensweise hat gegen\u00fcber der klassischen, inhaltsbezogenen Klassifikation einige Vorteile: Zum einen ist sie weniger abh\u00e4ngig von \u00c4nderungen, die beispielsweise dann entstehen, wenn Inhalte oder Dateitypen angepasst werden.<\/p>\n

Zum anderen erm\u00f6glicht sie die Ber\u00fccksichtigung weiterer Dimensionen, wie den Zeitbezug. Finanzdaten oder Produktinnovationen zum Beispiel verlieren mit ihrer Ver\u00f6ffentlichung ihre Vertraulichkeit.<\/p>\n

Ein wirkungsvolles Datensicherheitskonzept kennt diese Dynamik und passt die Zugriffsrechte zum richtigen Zeitpunkt automatisiert an. Das Gleiche gilt f\u00fcr Organisationsstrukturen und -hierarchien.<\/p>\n

Im Idealfall fragt die Sicherheitsl\u00f6sung w\u00e4hrend der Berechtigungspr\u00fcfung \u00fcber ein zentral gepflegtes, digitales Organigramm ab, welcher Hierarchieebene der Anwender angeh\u00f6rt, und wendet die entsprechenden Schutzklassen automatisch an.<\/p>\n

\"2017<\/a>
Modell einer mehrdimensionalen, kontextbezogenen Datenklassifikation f\u00fcr Finanzdaten.<\/figcaption><\/figure>\n

SAP-Daten \u00fcber Systemgrenzen hinweg absichern<\/h3>\n

F\u00fcr SAP-Administratoren bedeutet das neue, datenzentrierte Vorgehen, dass sie beim Thema Sicherheit \u00fcber die SAP-Systemgrenzen hinaus denken m\u00fcssen. Wenn Daten, f\u00fcr die SAP die origin\u00e4re und ma\u00dfgebende Datenquelle ist, das SAP-System durch Anwender-Downloads oder Hintergrunddatentransfers verlassen, so sollten sie in jedem Fall mehrdimensional klassifiziert werden.<\/p>\n

SAP liefert dazu einen sehr umfangreichen Kontext an Attributen, der eine automatisierte Umsetzung der Klassifikation erleichtert. Diese hindert die Daten jedoch nicht daran, die sicheren SAP-Grenzen zu verlassen. Wer SAP-Daten auch au\u00dferhalb der SAP-Welt wirksam absichern will, ben\u00f6tigt zus\u00e4tzliche Technologien.<\/p>\n

Halocore von Secude setzt genau an dieser Stelle an. Auf der Basis einer kontextbezogenen Datenklassifikation kon\u00adtrolliert die Datensicherheitsl\u00f6sung SAP-Anwenderdownloads und -Exporte. Unautorisierte Downloads werden geblockt, sodass kritische oder sensible Daten das SAP-System gar nicht erst verlassen.<\/p>\n

Daten, die au\u00dferhalb von SAP ben\u00f6tigt werden, werden automatisch mit dem entsprechenden Microsoft-AIP\/RMS-Schutzprofil (\u00adAzure Information Protection\/Rights Management Service) versehen und verschl\u00fcsselt. Damit werden die Klassifikation und das Berechtigungsprofil aus SAP auf die exportierte Datei \u00fcbertragen.<\/p>\n

Das erm\u00f6glicht erstmals eine prozess\u00fcbergreifende Absicherung, die weder den operativen IT-Betrieb noch die Anwender in den Fachbereichen beeintr\u00e4chtigt. Die Datensicherheit folgt den Daten und wird nicht von den einzelnen Anwendungssilos immer wieder neu interpretiert.<\/p>\n

Fazit<\/h3>\n

Das Kernst\u00fcck der Umsetzung neuartiger Sicherheitskonzepte ist eine mehrdimensionale, kontextbezogene Klassifizierung aller Unternehmensdaten mit erh\u00f6htem Schutzbedarf. Dieser kann mithilfe automatisierter Analysen aus den Gesch\u00e4ftsprozessen abgeleitet werden. Entscheidend f\u00fcr die Definition der Daten- und Schutzbedarfsklassen ist die klare Nachvollziehbarkeit dar\u00fcber, welche Anwenderkreise und Rollen in welchem Umfang auf die entsprechenden Daten zugreifen d\u00fcrfen.<\/p>\n

F\u00fcr den Anwender muss beim Abspeichern des Dokuments offensichtlich sein, welche Datenklasse ausgew\u00e4hlt werden muss. Durch das Hinzuf\u00fcgen der Dimensionen Zeit und Hierarchie kann zudem sichergestellt werden, dass die Daten auch in allen weiteren SAP-gest\u00fctzten Prozessschritten wirksam gesch\u00fctzt werden k\u00f6nnen.<\/p>\n

Um die Daten auch \u00fcber Applikationsgrenzen hinweg abzusichern, sind allerdings zus\u00e4tzliche technische L\u00f6sungen gefragt, die die \u00dcbertragung des Schutzbedarfs auch au\u00dferhalb der SAP-Systeme sicherstellen. Empfehlenswert sind hier \u00fcbergreifende Datensicherheitsl\u00f6sungen, die neben Benutzerrollen auch Datenklassen abbilden k\u00f6nnen.<\/p>\n

In jedem Fall sollte man auf etablierte Standardplattformen setzen, die von allen g\u00e4ngigen Applikationen als \u201eSicherheitsinstanz\u201c unterst\u00fctzt werden. So nutzt Halocore beispielsweise Microsoft-Standardtechnologien, um ben\u00f6tigte Datenexporte jenseits der SAP-
\nGrenzen zu sch\u00fctzen.
\n[\/av_promobox]<\/p>\n

\"https:\/\/e3mag.com\/partners\/secude-gmbh\/\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Les donn\u00e9es qui pouvaient jusqu'\u00e0 pr\u00e9sent \u00eatre prot\u00e9g\u00e9es par des concepts d'autorisation SAP sont aujourd'hui de plus en plus souvent export\u00e9es des syst\u00e8mes SAP s\u00e9curis\u00e9s et redistribu\u00e9es via des applications tierces comme MS Office. Celui qui veut prot\u00e9ger ses donn\u00e9es devrait r\u00e9fl\u00e9chir \u00e0 de nouveaux concepts de s\u00e9curit\u00e9 centr\u00e9s sur les donn\u00e9es et les ancrer en tant que processus cl\u00e9 dans l'exploitation informatique op\u00e9rationnelle.<\/p>","protected":false},"author":355,"featured_media":28641,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[17712,17703],"tags":[11367,601,65,369,14540],"coauthors":[23277],"class_list":["post-28632","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-coverstory-1710","category-mag-1710","tag-berechtigungskonzept","tag-digitalisierung","tag-hana","tag-it","tag-sicherheitsrisiken","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619.jpg",1000,449,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619.jpg",400,180,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619-768x345.jpg",768,345,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619.jpg",1000,449,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619-640x287.jpg",640,287,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619-720x323.jpg",720,323,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619-960x431.jpg",960,431,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619.jpg",1000,449,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619.jpg",1000,449,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619.jpg",1000,449,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619.jpg",1000,449,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619.jpg",1000,449,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619.jpg",1000,449,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619.jpg",1000,449,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619.jpg",1000,449,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619.jpg",600,269,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619.jpg",600,269,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/09\/shutterstock_559086619-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Daten, die bislang durch SAP-Berechtigungskonzepte gesch\u00fctzt werden konnten, werden heute immer h\u00e4ufiger aus den sicheren SAP-Systemen exportiert und \u00fcber Drittanwendungen wie MS Office weiterverbreitet. Wer seine Daten sch\u00fctzen will, sollte \u00fcber neue, datenzentrierte Sicherheitskonzepte nachdenken und diese als Kernprozess im operativen IT-Betrieb verankern.<\/p>\n","category_list_v2":"Coverstory 17-10<\/a>, MAG 17-10<\/a>","author_info_v2":{"name":"Holger H\u00fcgel, Secude","url":"https:\/\/e3mag.com\/fr\/author\/holger-huegel\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/28632","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/355"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=28632"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/28632\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/28641"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=28632"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=28632"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=28632"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=28632"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}