Viele Manager vertrauen nach wie vor auf bestehende, veraltete Sicherheitskonzepte. Dabei übersehen sie oft die realen Gefahren, die von Cyberattacken und Malware für ihr Unternehmen ausgehen. Die All for One Group zeigt, wie Sie SAP-Daten effektiv schützen.
Viele Unternehmen wiegen sich in der Sicherheit, dass ihre Daten durch Firewall, Verschlüsselung und Betrieb on-premises oder in der Cloud ausreichend geschützt sind. Viel wichtiger als die Perimeter-Sicherheit ist aber der Schutz der Daten selbst. Denn die Gefahren von Missbrauch oder Diebstahl lauern überall – sowohl von außen als auch von innen. Die Data Centric Security rückt daher bei vielen Mittelständlern in den Vordergrund des Interesses, zumal mit der wachsenden Mobilität der Mitarbeiter auch mögliche Angriffe und versehentliche Datenlecks zunehmen.
Das ist besonders wichtig, wenn es um den Schutz vor Verlust oder Missbrauch von Daten in weltweit verteilten Prozessketten geht. Die All for One Group, Experte für digitale Unternehmenstransformation und Cybersicherheit, sowie der IT-Security-Spezialist Secude haben zusammen eine Lösung auf Basis von Azure Information Protection (AIP) für den sicheren Export von SAP-Daten entwickelt.
Derweil bleiben deutsche Unternehmen recht blauäugig, was ihre IT-Sicherheit betrifft. Neueste Umfrageergebnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) belegen das deutlich und sind alarmierend.
Soweit ein Ausschnitt aus der Mitte April 2019 veröffentlichten BSI-Studie. Gefahren, die von innen ausgehen, finden darin kaum Erwähnung. Dabei müssen es nicht mal missliebige oder ehemalige Mitarbeiter sein, die sich bereichern oder dem Betrieb schaden wollen. Denn mittlerweile ist es praktisch Usus, dass SAP-Anwender vertrauliche oder kritische Dateien und Informationen wie Finanzberichte exportieren, um sie auf lokale Datenträger, in der Cloud oder auf mobilen Geräten zu speichern.
So muss es gar keine böse Absicht sein, dass Daten an Unbefugte oder in die Hände von Hackern fallen. Cyberkriminelle schleichen sich über Links und E-Mails heimlich ein, um Nutzerprofile einzusehen und ungestört Daten abzugreifen. Eine E-Mail-Verschlüsselung ist daher oft wirkungslos. Eine Firewall bietet im Perimeter auch nur unzureichenden Schutz.
Daher wird es zukünftig immer mehr darauf ankommen, Daten selbst in den Mittelpunkt der IT-Security zu stellen. Es gibt dafür zwei Begriffe: Data Centric Security und Data Centric Audit and Protection (DCAP). Das Beratungsunternehmen Gartner hat eine Reihe von Security-Features ausgemacht, die DCAP-Anbieter für einen oder mehrere Datensilos bereitstellen sollten. Dazu gehören die Klassifizierung und Ermittlung (Discovery) von Daten, ein wirksames Datenschutzmanagement, die Überwachung der Benutzerprivilegien und Zugriffsaktivitäten sowie das Blocken von Daten.
Wie Peter Rosendahl, Experte für Cybersecurity der All for One Group sagt, „ist es nicht so, dass Daten sicher sind, solange sie on-premises im Unternehmen liegen“. Verlässliche Sicherheit gebe es nur noch durch den direkten Schutz einzelner Daten auf Basis einer Information Centric Protection.
Als IT-Experten für den Mittelstand im deutschsprachigen Raum nutzt die All-for-One-Gruppe nicht nur entsprechende Branchenlösungen, sondern entwickelt sie auch weiter. So hat der IT-Dienstleister aus Filderstadt bei Stuttgart zusammen mit Secude für den sicheren Export von SAP-Daten in Microsoft-Umgebungen „SAP Data Export Protection as a Service“ entwickelt.
Die Lösung basiert auf Microsoft Azure Information Protection und bietet vorgefertigte Templates (Regelwerke), mit denen Informationen sowohl in der Cloud als auch im jeweiligen System on-premises gescannt werden. Schützenswerte Informationen, wie Finanz- oder Personaldaten, Kontonummern, medizinische Interna, Passwörter und dergleichen, werden bei fehlender Zugriffsberechtigung je nach Klassifizierungsklasse automatisch herausgefiltert. Somit sind sie für den jeweiligen Nutzer gesperrt. Das betrifft nicht nur Microsoft-Anwendungen wie Excel und PowerPoint, sondern auch den E-Mail-Verkehr. Dabei müssen Unternehmen, die geschützte E-Mails empfangen, noch nicht mal Microsoft Office 365 oder eine eigene E-Mail-Domain haben – einzig der Absender muss Office 365 im Einsatz haben. Der Schutz kann auch auf Gmail und mit „Secure E-Mail to anyone“ auf private Mails ausgeweitet werden.
„Durch die Klassifizierung mit Azure Information Protection wird die gesamte E-Mail-Kommunikation geschützt“, betont IT-Security-Experte Rosendahl. Statt aufwändiger Verschlüsselung und Zertifikatvergabe wie bisher mit S/MIME oder PGP (Pretty Good Privacy), kann der E-Mail-Verkehr mit AIP so gesichert werden, dass nur der dafür bestimmte Empfänger die E-Mail öffnen kann – unabhängig vom Endgerät. Fast könne man bei AIP von einer Anwender-zu-Anwender-Verschlüsselung reden, so Rosendahl. Ist eine Schutzklasse definiert, bei der beispielsweise nur ein Vorstandsmitglied zugangsberechtigt ist, ist es selbst dessen persönlicher Assistenz nicht möglich, Mails zu öffnen oder einzusehen.
In kleineren und mittelständischen Unternehmen werden die Klassifizierungsstufen in der Regel von den Fachabteilungen entwickelt. Wie Rosendahl sagt, ist dies auch sinnvoll, denn eine HR-Abteilung wisse am besten, wie der Umgang mit den personenbezogenen Daten in Einklang mit der Datenschutzgrundverordnung (DSGVO) gebracht werden kann. Bei den Klassifizierungsrichtlinien sollten Unternehmen – dem Security-Experten zufolge – mit einfachen Hierarchien starten: Die All for One Group stellt Unternehmenskunden oder Fachabteilungen entsprechende Templates für Richtlinien zur Verfügung. Ferner bietet das IT-Beratungshaushaus auch Klassifizierungs-Workshops an.
Quelle: Titelbild unsplash, Hannah Wei