DSGVO, SOX, PCI DSS und andere

Compliance richtig in SAP-Systemen umsetzen

06.05.2022
Von   IDG ExpertenNetzwerk
Christoph Aschauer berät Unternehmen im Bereich der Integration von SAP in das zentrale Sicherheitsmonitoring mit SIEM-Systemen. Zuvor war er in leitenden Positionen bei Orange Cyberdefense Germany, SecureLink Germany und iT-CUBE SYSTEMS. Davor arbeitete er mehrere Jahre als freiberuflicher SAP Technical Consultant, SAP-Entwickler und SAP-Consultant sowie Programmierer bei Plecto AG.
Viele Unternehmen haben sensible Daten in ihren SAP-Systemen abgelegt. Diese müssen Datenschutz-konform gesichert werden. Dafür gibt es SAP-Bordmittel.
Durch das Räderwerk von SAP-Systemen laufen viele sensible Daten. Unternehmen müssen angesichts der scharfen Datenschutzregeln ein Auge darauf haben, wer wie auf diese Daten zugreifen kann.
Durch das Räderwerk von SAP-Systemen laufen viele sensible Daten. Unternehmen müssen angesichts der scharfen Datenschutzregeln ein Auge darauf haben, wer wie auf diese Daten zugreifen kann.
Foto: EtiAmmos - shutterstock.com

Angesichts wachsender Cyberrisiken spielt SAP Compliance eine immer wichtigere Rolle. Es geht vor allem darum, geistiges Eigentum von Organisationen sowie sensible personenbezogene Daten zu schützen. Beide Informationsarten müssen sowohl extern wie intern vor unberechtigten Zugriffen geschützt werden.

Viele Branchen wie das Finanz- und Versicherungswesen sowie private und öffentliche Einrichtungen wie Krankenhäuser oder aber die öffentliche Verwaltung müssen den Zugang zu Kunden- und Patientendaten besonders umfassend absichern. Datenschutz betrifft alllerdings auch Unternehmen in allen anderen Branchen. Die DSGVO sieht bei Verstößen schließlich empfindliche Strafen vor.

Eine zentrale Forderung im Zuge des Datenschutzes ist die Protokollierung von Vorgängen rund um sensible Daten, beispielsweise im Falle eines Lesezugriffs. Sowohl Informationen über geistiges Eigentum als auch personenbezogene Daten von Kunden und Mitarbeitern sowie Partnern werden in vielen Unternehmen in SAP-Systemen abgelegt.

Lesezugriff-Protokollierung als Compliance-Grundlage

SAP hat für die Umsetzung der DSGVO das Information Lifecycle Management (ILM) eingeführt. Mit diesem Werkzeug können personenbezogene Daten gelöscht, gesperrt oder archiviert werden. Darüber hinaus wurde das SAP Read Access Logging (RAL) eingeführt. Dieses Tool protokolliert den Zugriff auf sensible Daten.

SAP-Systeme zu konfigurieren und den Lesezugriff zu protokollieren, stellt Unternehmen jedoch vor große Herausforderungen. Es geht zunächst einmal darum, herauszufinden, wo sich relevante und personenbezogene Daten überhaupt befinden. Die verantwortlichen in den Unternehmen müssen sich fragen, welche Transaktionen sowie Ein- und Ausgabefelder für die Protokollierung wichtig sind und wie Logdaten zu Lesezugriffen extrahiert werden können. Daran schließt sich die Aufgabe an, entsprechende Protokoll für den Lesezugriff auszuwerten und passende Alarme zu generieren.

Die so erzeugten SAP Read Access Logs sollten in Lösungen für Security-Log-Management oder Security Information and Event Management (SIEM) überwacht werden. Auf solchen Plattformen lassen sich die gesamten Logs aus den SAP-Systemen auslesen, um sie einzusehen, zu prüfen und zu kontrollieren. Nicht autorisierte Zugriffe auf personenbezogene Daten durch unbefugte Nutzer werden so erkannt.

Darüber hinaus können auch die Zugriffszahlen für Nutzer kontrolliert und Abweichungen vom normalen Verhalten nachvollzogen werden. Zur Vorbereitung von Audits sind Analysten in der Lage sogenannte "Trails" anzulegen. Nicht zuletzt ermöglicht eine zentrale Plattform die Erstellung von verschiedenen Berichten. Definierte Alerts und die Korrelation von Daten aus den SAP Logs erlauben es, automatisiert Datenverluste aus dem SAP-Umfeld zu erkennen.

Datenschutz bei Lese- und Schreibzugriffen beachten

Das bereits beschriebene SAP Read Access Log speichert Lese- und Schreibzugriffe in bestimmten Feldern von Transaktionen, Berichten oder Programmen und stellt damit einen sehr wichtigen Bestandteil zur Erfüllung der Verpflichtungen der DSGVO dar. Einige der in den SAP-Systemen gespeicherten personenbezogene Daten sind beispielsweise Sozialversicherungsnummern. Falls jemand Drittes außerhalb des verarbeitenden Unternehmens nun auf diese Daten zugreift, könnte er diese herunterladen und kopieren.

Ein weiteres Beispiel sind Daten von Steuerbetrügern, die in Karteien in SAP-Systemen angelegt und deren Fälle dort verwaltet werden. Im Zuge von Suchvorgängen muss jedoch vermieden werden, dass die Suchenden Zugriff auf andere Fälle erhalten. Wenn jedoch mit einem "*"-Platzhalter-Befehl gesucht wird, dann werden nicht nur der gewünschte, sondern zahlreiche weitere personenbezogene Datensätze angezeigt. Diese dann in einer Liste herunterzuladen, ist ein einfaches Unterfangen und dementsprechend auch für Nichtspezialisten möglich.

Die entsprechenden Daten könnten dann einfach weitergegeben oder veröffentlicht werden, was für das betroffene Finanzunternehmen fatal wäre. Derartige Vorfälle lassen sich dann zumindest mit dem Read Access Logging nachverfolgen.

Weitere mögliche Szenarien sind das Ausdrucken von Informationen zu Gehalts- und Bonuszahlungen, was in SAP-Systemen ebenfalls relativ einfach zu bewerkstelligen ist. Logs sorgen dafür, dass der Nutzer, der diesen Ausdruck vorgenommen hat, erkannt und der Vorgang den zuständigen Institutionen mitgeteilt werden kann. Positionswechsel in einem Großunternehmen sind ein weiterer Fall, wie vertrauliche und DSGVO-relevante Informationen in unbefugte Hände gelangen könnten - wenn beispielsweise Berechtigungen erweitert und durch menschliches Versagen zu hoch oder sogar uneingeschränkt erteilt werden.

Bei Wechseln in verschiedenen Abteilungen müssen ebenfalls der Zugriff auf Dateien und die damit verbundenen Berechtigungen hinterfragt werden. Aus der Projekterfahrung lässt sich feststellen, dass auch hier immer wieder Fehler passieren, die im Zweifel zu spät entdeckt werden. Insider-Angriffen beziehungsweise -Betrug ist dadurch Tür und Tor geöffnet und Gelegenheit macht Diebe.

Fazit

All diese Szenarien lassen sich über eine zentrale Plattform zur Erfassung aller SAP-Logs nachvollziehen. Durch die automatisierte Analyse und Auswertung können schnell Entscheidungen getroffen sowie Maßnahmen für den Datenschutz eingeleitet werden. Unternehmen sollten also branchenübergreifend ihre SAP-Systeme hinsichtlich der Einhaltung von Datenschutz und Compliance prüfen. Eine Möglichkeit dies zu tun, ist die Nutzung einer zentralen Plattform zur Sammlung, Korrelation und Analyse von Informationen aus den SAP Read Access Logs. (ba)