Thought Leadership
In den letzten Monaten haben wir von Kunden immer wieder Fragen zum Thema SAP Cloud Security gestellt bekommen. Folgende Überlegungen sind dabei beispielhaft und gehen vielleicht auch Ihnen so oder ähnlich im Zuge der Entwicklung einer SAP Cloud Security Strategie durch den Kopf:
„Hier stehen Anwender mit dem iPhone vor der Tür und wollen SAP Fiori machen. Das ist doch Cloud? Gibt es das auch in sicher? Vielleicht als Mischung zwischen Cloud und meinem Rechenzentrum – als sogenannter Hybrid? Oder gleich richtig als SAP Fiori Cloud Edition?“
Mittlerweile arbeite ich bei diesen Fragen mit meinem Fragenkatalog. Dann müssen wir nicht immer bei null anfangen. Damit gehe ich dann detailliert auf die jeweilige Kundensituation ein – von Infrastrukturthemen bis hin zu individuellen Schutzbedürfnissen (Pharma, Lebensmittel, Banken, etc.). Es lässt sich anhand des Fragenkatalogs doch einiges recht schnell beantworten. Denn, ob Sie es glauben, oder nicht, Cloud ist tatsächlich etabliert in Deutschland – ein „das ist unsicher und deshalb machen wir das nicht” ist mittlerweile nicht mehr zeitgemäß.
Es gibt dabei ein paar grundlegende Fragen, die Sie sich stellen sollten, wenn Sie für das Thema Informationssicherheit & SAP Cloud Security verantwortlich sind. Denn aus meinen Erfahrungen heraus, sind es genau diese Fragen, die Ihnen von internen und externen Stellen wie z.B. Betriebsrat, Datenschutzbeauftragten, der Revision oder aber auch beispielsweise von externen Prüfern gestellt werden.
Vor allem beim Einsatz von Hybrid-Szenarien und Cloud-Diensten teile ich die zu klärenden Fragen gerne in folgende Themen auf:
- Informationssicherheit
- Verbindungssicherheit
- Identitätssicherheit
Diese drei Themen klären meistens alle essentiellen Aufgaben, die sich in einem Unternehmen sammeln, ab. Damit Sie diese Aufgaben leisten können, ist es durchaus sinnvoll, sich mit einigen Kernfragen auseinanderzusetzen. Nachfolgend habe ich die für Sie wichtigsten strategischen Fragen passend zu Ihren Aufgabenbereichen einmal skizziert und mit weiteren Denkanstößen versehen.
Thema Informationssicherheit
Datenschutz-Anforderungen beachten
Hier sollten Sie Fragen beleuchten wie z.B.:
1. „Darf ich gemäß Rechtslage Mitarbeiterdaten in der Cloud speichern?” oder
2. „Kann der Provider die Daten lesen?”.
Fragen solcher Art kann Ihnen Ihr Cloud-Provider beantworten. Gerade in diesem Umfeld hat sich in den letzten Jahren eine Menge getan – es gilt längst nicht mehr, dass Daten in der Cloud generell ein Problem sind. Ganz im Gegenteil. Viele Anbieter bieten mittlerweile eine Datenverarbeitung in dedizierten deutschen Rechenzentren an. Und Sie umgehen damit unter Umständen viele Probleme, wie die aktuell noch unklare Rechtslage bei dem Safe Harbor Nachfolger „EU-US Privacy Shield”.
Informationen schützen und absichern
Hier sind Fragen wichtig wie z.B.:
3. „Welches Risiko gibt es bezüglich Datenverlust?”,
4. „Wie ist die Verfügbarkeit der Informationen?” oder
5. „Welchen Schutz gibt es bezüglich Desaster, z.B. Umwelt oder Sabotage?”.
Sie können bei einem Cloud-Anbieter wohl kaum mal eben vorbeigehen und ihm „Druck machen“. Hier ist es äußerst wichtig, die Verträge genauestens zu prüfen, damit es kein böses Erwachen im Falle eines Datenverlustes gibt. Auf der anderen Seite ist aber gerade z.B. der Schutz gegen Sabotage bei professionellen Cloud-Anbietern besser als bei den meisten selbst betriebenen Rechenzentren. Auch das sollten Sie in Ihren Überlegungen mit bedenken.
Informationen absichern auf Mobilgeräten
Speziell für den mobilen Zugriff stellen sich Fragen wie:
6. „Welchen Schutz gibt es vor Diebstahl?” und
7. „Welchen Schutz gibt es vor Schadsoftware?”.
Hier gibt es bereits eine große Anzahl von Standard-Software, die ähnlich dem Management von großen Client-Umgebungen Funktionalitäten für mobile Endgeräte anbieten. Wichtige Stichwörter sind: Mobile Device Management (MDM), Mobile Application Management (MAM) oder globales Enterprise Mobility Management (EMM). Die Funktionen reichen hier von Geräte remote sperren über Softwareverteilung bis hin zu Applikation-Richtlinien (kein Kopieren von Text aus der App heraus). Damit sind Sie gut aufgestellt, wenn Sie sich für den Weg in die Cloud entscheiden sollten.
Thema Verbindungssicherheit
Unternehmensübergreifende Prozesse etablieren
Die Herausforderung bei der Integration von Geschäftsprozessen in die Cloud merkt die IT-Abteilung oft erst, wenn die Cloud das erste Mal streikt. Deshalb:
8. „Wer ist verantwortlich für die Entstörung eines Problems?” und
9. “Wer überwacht die ordnungsgemäße Funktion des übergreifenden Prozesses?”.
Denn Sie werden kein Spezialisten-Team mal eben zusammenrufen können, um das Problem zu analysieren. Deshalb sind ausgearbeitete Strukturen an dieser Stelle auch sehr wichtig. Verantwortlichkeiten sollten geklärt und umgesetzt werden. Nur dann kann die Sicherheit Ihrer Daten in der Cloud auch garantiert werden.
Anfragen auf Applikationslevel schützen
Folgende Frage ist vor allem für Lösungen relevant, die ohne Cloud-Zugriff direkt auf Ihre eigenen Systeme gehen:
10. „Welche Maßnahmen werden installiert, um Applikationsangriffe zu erkennen”.
Dort können z.B. Application Level Firewalls schadhafte Eingabewerte direkt abfangen, bevor Sie zu Ihrem SAP Backend gelangen. In jedem Fall sollte ein Zwischen-System zwischen dem Internet und Ihrem internen SAP-System liegen. Dadurch wird Ihr SAP-System in der Cloud wirksam gegen Angriffe von außen abgesichert.
Thema Identitätssicherheit
Off-Boarding von Mitarbeitern
Eine der wichtigsten Fragen, die aber oft viel zu spät gestellt wird:
11. „Wie wird ein schneller und zuverlässiger Prozess für das Blocken von Benutzerzugriff sichergestellt?”.
Denken Sie deshalb bei der Integration externer Cloud Anbieter in Ihre Geschäftsprozesse daran, dass Sie zeitnah alle relevanten Accounts sperren müssen, wenn ein Mitarbeiter das Unternehmen verlässt. Nur so kann die Sicherheit Ihrer Daten weiterhin garantiert werden und es kommt nicht zu unerwarteten Zwischenfällen.
On-Boarding von Mitarbeitern
Hier kommen Fragen hoch wie:
12. „Wie funktioniert die schnelle und zuverlässige Replikation von Benutzerdaten?” und
13. „Wie werden Zugriffsrechte verteilt?”.
Für mobile Szenarien kommen dann noch Fragen dazu wie
14. „Wie werden Sicherheitsrichtlinien durchgesetzt?” z.B. bei BYOD (Bring your own device)-Szenarien und
15. „Wie erhält der Mitarbeiter die Apps, die er benötigt?”.
Dafür gibt es Standard-Lösungen, wie oben im Bereich Informationssicherheit bereits genannt.
Zentrale Authentifikation und Single Sign-on
Zuletzt ein wesentliches Kriterium für die Benutzerakzeptanz und in zweiter Linie für die Sicherheit:
16. „Wie können überflüssige Passworteingaben vermieden werden?”
Dieser Aspekt kann sich aus meiner Erfahrung bei der Einführung von mobilen Lösungen zum ernsthaften Stopper entwickeln.
Daher ist unsere Essenz beim Thema Identitätssicherheit auch, dass ein Einsatz von Cloud-Diensten und mobilen Zugriff nur in Kombination mit einem Identity Management und einer Single-Sign-On (SSO)-Lösung praktikabel ist. Denn selbst eine voll etablierte zentrale Benutzerverwaltung gibt beim Thema Cloud-Account auf. Immerhin ist es oft auch möglich, Single-Sign-On Lösungen von Nicht-SAP-Anbietern zu verwenden, die gegen z.B. das Active Directory laufen und passende Anmeldetickets für die mobilen Apps generieren. Somit werden ständige und nervige Passworteingaben zum größten Teil vermieden.
Fazit zum Thema SAP Cloud Security
Ich hoffe die hier aufgestellten Fragen helfen Ihnen bei der Entwicklung Ihrer Strategie für die SAP Cloud Security. Wie Sie sehen, ist der Weg in Die Cloud mittlerweile nicht mehr durch Sicherheitsprobleme gezeichnet. Ganz im Gegenteil, in der Cloud ist vieles möglich, wenn die richtigen Sicherheitseinstellungen und Lösungen vorliegen. Sie haben weitere Fragen zum Thema SAP Cloud Security? Dann scheuen Sie sich nicht, mich zu kontaktieren. Gerne beantworte ich Ihnen Ihre individuellen Fragen und gebe Tipps, damit der Weg in die Cloud für Sie nicht zu einem Security-Reinfall wird.
|
Das könnte Sie ebenfalls interessieren: Webinar: The great CASB – Vertrauen Sie Ihren Daten in der Cloud? Cloud-basierte Apps wie Office 365, Dropbox und Salesforce benötigen besonderen Schutz, um Angriffe auf Benutzerkonten zu vermeiden, Compliance-Anforderungen zu erfüllen und kritische Daten zu schützen. In diesem Webinar erfahren Sie, wie Sie mit dem Cloud Access Security Broker (CASB) Daten klassifizieren und schnell absichern können. Das Webinar findet am Freitag, 15. September 2017, 11 bis 12 Uhr, statt. Sie können kostenlos teilnehmen und sich hier anmelden. |
Tobias Harmes (B.Sc.) ist Gründer und Fachbereichsleiter von RZ10, einem führenden Beratungsunternehmen für die Einführung und Erweiterungen von Berechtigungskonzepten in Deutschland. Gemeinsam mit seinem Team unterstützt Tobias Harmes Unternehmen bei der Behebung von Revisionsfeststellungen und Mängellisten und der Verbesserung der Compliance.
Seit mehr als 10 Jahren unterstützt Tobias Harmes Unternehmen im Bereich SAP Basis & Security. Er hat zahlreiche Kundenprojekte für mittelständische Unternehmen und DAX-Konzerne umgesetzt und mit RZ10.de einen der erfolgreichsten deutschsprachigen Blogs zu IT-Sicherheit im SAP-Umfeld aufgebaut.
