Hannover Messer 2018
23.04.18 - 27.04.18
In Hannover

Rethink! IT Security D/A/CH
25.04.18 - 27.04.18
In Hotel Atlantic Kempinski Hamburg

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

Cloud SecurityIn den letzten Monaten haben wir von Kunden immer wieder Fragen zum Thema SAP Cloud Security gestellt bekommen. Folgende Überlegungen sind dabei beispielhaft und gehen vielleicht auch Ihnen so oder ähnlich im Zuge der Entwicklung einer SAP Cloud Security Strategie durch den Kopf:

„Hier stehen Anwender mit dem iPhone vor der Tür und wollen SAP Fiori machen. Das ist doch Cloud? Gibt es das auch in sicher? Vielleicht als Mischung zwischen Cloud und meinem Rechenzentrum – als sogenannter Hybrid? Oder gleich richtig als SAP Fiori Cloud Edition?“

Mittlerweile arbeite ich bei diesen Fragen mit meinem Fragenkatalog. Dann müssen wir nicht immer bei null anfangen. Damit gehe ich dann detailliert auf die jeweilige Kundensituation ein – von Infrastrukturthemen bis hin zu individuellen Schutzbedürfnissen (Pharma, Lebensmittel, Banken, etc.). Es lässt sich anhand des Fragenkatalogs doch einiges recht schnell beantworten. Denn, ob Sie es glauben, oder nicht, Cloud ist tatsächlich etabliert in Deutschland – ein „das ist unsicher und deshalb machen wir das nicht" ist mittlerweile nicht mehr zeitgemäß.

Es gibt dabei ein paar grundlegende Fragen, die Sie sich stellen sollten, wenn Sie für das Thema Informationssicherheit & SAP Cloud Security verantwortlich sind. Denn aus meinen Erfahrungen heraus, sind es genau diese Fragen, die Ihnen von internen und externen Stellen wie z.B. Betriebsrat, Datenschutzbeauftragten, der Revision oder aber auch beispielsweise von externen Prüfern gestellt werden.

Vor allem beim Einsatz von Hybrid-Szenarien und Cloud-Diensten teile ich die zu klärenden Fragen gerne in folgende Themen auf:

  • Informationssicherheit
  • Verbindungssicherheit
  • Identitätssicherheit

Diese drei Themen klären meistens alle essentiellen Aufgaben, die sich in einem Unternehmen sammeln, ab. Damit Sie diese Aufgaben leisten können, ist es durchaus sinnvoll, sich mit einigen Kernfragen auseinanderzusetzen. Nachfolgend habe ich die für Sie wichtigsten strategischen Fragen passend zu Ihren Aufgabenbereichen einmal skizziert und mit weiteren Denkanstößen versehen.

Thema Informationssicherheit

Datenschutz-Anforderungen beachten

Hier sollten Sie Fragen beleuchten wie z.B.:

1. „Darf ich gemäß Rechtslage Mitarbeiterdaten in der Cloud speichern?" oder
2. „Kann der Provider die Daten lesen?". 

Fragen solcher Art kann Ihnen Ihr Cloud-Provider beantworten. Gerade in diesem Umfeld hat sich in den letzten Jahren eine Menge getan – es gilt längst nicht mehr, dass Daten in der Cloud generell ein Problem sind. Ganz im Gegenteil. Viele Anbieter bieten mittlerweile eine Datenverarbeitung in dedizierten deutschen Rechenzentren an. Und Sie umgehen damit unter Umständen viele Probleme, wie die aktuell noch unklare Rechtslage bei dem Safe Harbor Nachfolger „EU-US Privacy Shield".

Informationen schützen und absichern

Hier sind Fragen wichtig wie z.B.:

3. „Welches Risiko gibt es bezüglich Datenverlust?",
4. „Wie ist die Verfügbarkeit der Informationen?" oder
5. „Welchen Schutz gibt es bezüglich Desaster, z.B. Umwelt oder Sabotage?". 

Sie können bei einem Cloud-Anbieter wohl kaum mal eben vorbeigehen und ihm „Druck machen“. Hier ist es äußerst wichtig, die Verträge genauestens zu prüfen, damit es kein böses Erwachen im Falle eines Datenverlustes gibt. Auf der anderen Seite ist aber gerade z.B. der Schutz gegen Sabotage bei professionellen Cloud-Anbietern besser als bei den meisten selbst betriebenen Rechenzentren. Auch das sollten Sie in Ihren Überlegungen mit bedenken.

Informationen absichern auf Mobilgeräten

Speziell für den mobilen Zugriff stellen sich Fragen wie:

6. „Welchen Schutz gibt es vor Diebstahl?" und
7. „Welchen Schutz gibt es vor Schadsoftware?".

Hier gibt es bereits eine große Anzahl von Standard-Software, die ähnlich dem Management von großen Client-Umgebungen Funktionalitäten für mobile Endgeräte anbieten. Wichtige Stichwörter sind: Mobile Device Management (MDM), Mobile Application Management (MAM) oder globales Enterprise Mobility Management (EMM). Die Funktionen reichen hier von Geräte remote sperren über Softwareverteilung bis hin zu Applikation-Richtlinien (kein Kopieren von Text aus der App heraus). Damit sind Sie gut aufgestellt, wenn Sie sich für den Weg in die Cloud entscheiden sollten.

Thema Verbindungssicherheit

Unternehmensübergreifende Prozesse etablieren

Die Herausforderung bei der Integration von Geschäftsprozessen in die Cloud merkt die IT-Abteilung oft erst, wenn die Cloud das erste Mal streikt. Deshalb:

8. „Wer ist verantwortlich für die Entstörung eines Problems?" und
9. "Wer überwacht die ordnungsgemäße Funktion des übergreifenden Prozesses?".

Denn Sie werden kein Spezialisten-Team mal eben zusammenrufen können, um das Problem zu analysieren. Deshalb sind ausgearbeitete Strukturen an dieser Stelle auch sehr wichtig. Verantwortlichkeiten sollten geklärt und umgesetzt werden. Nur dann kann die Sicherheit Ihrer Daten in der Cloud auch garantiert werden.

Anfragen auf Applikationslevel schützen

Folgende Frage ist vor allem für Lösungen relevant, die ohne Cloud-Zugriff direkt auf Ihre eigenen Systeme gehen:

10. „Welche Maßnahmen werden installiert, um Applikationsangriffe zu erkennen".

Dort können z.B. Application Level Firewalls schadhafte Eingabewerte direkt abfangen, bevor Sie zu Ihrem SAP Backend gelangen. In jedem Fall sollte ein Zwischen-System zwischen dem Internet und Ihrem internen SAP-System liegen. Dadurch wird Ihr SAP-System in der Cloud wirksam gegen Angriffe von außen abgesichert.

Thema Identitätssicherheit

Off-Boarding von Mitarbeitern

Eine der wichtigsten Fragen, die aber oft viel zu spät gestellt wird:

11. „Wie wird ein schneller und zuverlässiger Prozess für das Blocken von Benutzerzugriff sichergestellt?".

Denken Sie deshalb bei der Integration externer Cloud Anbieter in Ihre Geschäftsprozesse daran, dass Sie zeitnah alle relevanten Accounts sperren müssen, wenn ein Mitarbeiter das Unternehmen verlässt. Nur so kann die Sicherheit Ihrer Daten weiterhin garantiert werden und es kommt nicht zu unerwarteten Zwischenfällen.

On-Boarding von Mitarbeitern

Hier kommen Fragen hoch wie:

12. „Wie funktioniert die schnelle und zuverlässige Replikation von Benutzerdaten?" und
13. „Wie werden Zugriffsrechte verteilt?".

Für mobile Szenarien kommen dann noch Fragen dazu wie

14. „Wie werden Sicherheitsrichtlinien durchgesetzt?" z.B. bei BYOD (Bring your own device)-Szenarien und
15. „Wie erhält der Mitarbeiter die Apps, die er benötigt?".

Dafür gibt es Standard-Lösungen, wie oben im Bereich Informationssicherheit bereits genannt.

Zentrale Authentifikation und Single Sign-on

Zuletzt ein wesentliches Kriterium für die Benutzerakzeptanz und in zweiter Linie für die Sicherheit:

16. „Wie können überflüssige Passworteingaben vermieden werden?"

Dieser Aspekt kann sich aus meiner Erfahrung bei der Einführung von mobilen Lösungen zum ernsthaften Stopper entwickeln.

Daher ist unsere Essenz beim Thema Identitätssicherheit auch, dass ein Einsatz von Cloud-Diensten und mobilen Zugriff nur in Kombination mit einem Identity Management und einer Single-Sign-On (SSO)-Lösung praktikabel ist. Denn selbst eine voll etablierte zentrale Benutzerverwaltung gibt beim Thema Cloud-Account auf. Immerhin ist es oft auch möglich, Single-Sign-On Lösungen von Nicht-SAP-Anbietern zu verwenden, die gegen z.B. das Active Directory laufen und passende Anmeldetickets für die mobilen Apps generieren. Somit werden ständige und nervige Passworteingaben zum größten Teil vermieden.

Fazit zum Thema SAP Cloud Security

Ich hoffe die hier aufgestellten Fragen helfen Ihnen bei der Entwicklung Ihrer Strategie für die SAP Cloud Security. Wie Sie sehen, ist der Weg in Die Cloud mittlerweile nicht mehr durch Sicherheitsprobleme gezeichnet. Ganz im Gegenteil, in der Cloud ist vieles möglich, wenn die richtigen Sicherheitseinstellungen und Lösungen vorliegen. Sie haben weitere Fragen zum Thema SAP Cloud Security? Dann scheuen Sie sich nicht, mich zu kontaktieren. Gerne beantworte ich Ihnen Ihre individuellen Fragen und gebe Tipps, damit der Weg in die Cloud für Sie nicht zu einem Security-Reinfall wird.

Das könnte Sie ebenfalls interessieren:

Webinar: The great CASB – Vertrauen Sie Ihren Daten in der Cloud?

Cloud-basierte Apps wie Office 365, Dropbox und Salesforce benötigen besonderen Schutz, um Angriffe auf Benutzerkonten zu vermeiden, Compliance-Anforderungen zu erfüllen und kritische Daten zu schützen. In diesem Webinar erfahren Sie, wie Sie mit dem Cloud Access Security Broker (CASB) Daten klassifizieren und schnell absichern können.

Das Webinar findet am Freitag, 15. September 2017, 11 bis 12 Uhr, statt. Sie können kostenlos teilnehmen und sich hier anmelden.

Tobias HarmesTobias Harmes (B.Sc.) ist Gründer und Fachbereichsleiter von RZ10, einem führenden Beratungsunternehmen für die Einführung und Erweiterungen von Berechtigungskonzepten in Deutschland. Gemeinsam mit seinem Team unterstützt Tobias Harmes Unternehmen bei der Behebung von Revisionsfeststellungen und Mängellisten und der Verbesserung der Compliance.

Seit mehr als 10 Jahren unterstützt Tobias Harmes Unternehmen im Bereich SAP Basis & Security. Er hat zahlreiche Kundenprojekte für mittelständische Unternehmen und DAX-Konzerne umgesetzt und mit RZ10.de einen der erfolgreichsten deutschsprachigen Blogs zu IT-Sicherheit im SAP-Umfeld aufgebaut.
 

GRID LIST
Tb W190 H80 Crop Int 1cc249adc87dd12d5b12b915fca30bb3

Der Mittelstand im Cloud-Zeitalter: Toshiba gibt Tipps zur IT-Security

Cloud-Computing, Cloud-Services, Cloud-Speicher – der Begriff ist in aller Munde. Doch…
Tb W190 H80 Crop Int D0056b181c01db247eae98c08298b41c

Cloud, Compliance und OT: Das wird wichtig bei der Cybersecurity

Die Bedrohung durch Cyberkriminalität hat im vergangenen Jahr neue Ausmaße erreicht.…
Tb W190 H80 Crop Int 4af3435e2cda495d376effd0fa1bcc7b

A10 Networks stellt on-premise Enterprise-Lösung für Cloud-Scrubbing vor

A10 Networks stellt gemeinsam mit Verisign die neue A10 DDoS Protection Cloud sowie seine…
Tb W190 H80 Crop Int Acaebebf6c43a1b7a1bbe75789fd2550

Tipps für DSGVO-konformen Datenschutz in der Cloud

Ab 25. Mai 2018 wird die EU-Datenschutzgrundverordnung (DSGVO) verbindlich - doch die…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security