Jedes Unternehmen hat seine Erfolgsgeheimnisse. Gelangt dieses Know-how an die Öffentlichkeit, kann das verheerende Folgen haben – finanziell und für die Reputation. Wie können Entscheider dem Datenklau vorbeugen?
Es passiert jeden Tag: Kriminelle spielen sensible Geschäftsinformationen an Wettbewerber oder an die Öffentlichkeit. Beispielsweise veröffentlicht eine anonyme Gruppe vertrauliche Informationen zum neuen Flaggschiff noch vor dem Launch. Kundendaten werden gestohlen und im Darknet feilgeboten. Oder ein Angestellter lädt Produktrezepturen herunter und wechselt Tage später zum größten Wettbewerber.
Wie sich dieser Albtraum vermeiden lässt, erklärt Carsten Crantz, Director Cybersecurity & Privacy bei PwC Deutschland: „Zunächst müssen die Verantwortlichen ihre Systeme, ihre Daten und deren Bedeutung sehr gut kennen. Die kritischen Daten lagern häufig nicht zentral, sondern an verschiedenen Speicherorten, auch auf Anwendungsebene. Das ist gefährlich, denn häufig lässt sich ihre Bedeutung nicht auf den ersten Blick erkennen.“
Ein weiterer blinder Fleck: Die Unternehmen erwarten die Angriffe in der Regel von extern und richten ihre Maßnahmen entsprechend aus. Tatsächlich erfolgen Attacken etwa auf SAP-Applikationen aber häufig von innen. „Es ist nicht ratsam, ausschließlich externe Angreifer zu fokussieren. Wer sein Know-how schützen will, muss die internen Gefahren berücksichtigen. Mitarbeitende können vielerorts nahezu unbemerkt empfindliche Daten abgreifen.“
Datenschutz: Vorbeugen, erkennen und reagieren
Wie können Security-Verantwortliche handeln? „Zuerst muss klar sein, welche Daten überhaupt geschützt werden sollen, wo sie liegen und welche Risikofaktoren bestehen“, sagt Crantz. „Das klingt vielleicht banal, ist aber oft überaus knifflig.“ Notwendig sei es, mögliche Schadensszenarien durchzuspielen und exakt zu definieren, wann ein Datenzugriff zulässig ist und wann nicht.
Ist diese Vorarbeit geleistet, lässt sich der Informationsschutz zielgenau ausbauen. PwC-Experte Crantz empfiehlt eine dreistufige Verteidigung. „Wichtig sind zuerst die vorbeugenden Maßnahmen. Strikte Zugriffsbeschränkungen verringern das Risiko für einen Datenklau bereits deutlich. Zweitens muss das System permanent überwacht werden, um irreguläre Zugriffe und damit potenzielle Angriffe zu erkennen. Und schließlich braucht es eine Strategie, falls doch der Notfall eintritt. Die Verantwortlichen müssen wissen, wie sie richtig reagieren und den Schaden begrenzen. Das gelingt nur, wenn sie das Problem sofort erkennen und entsprechend schnell handeln.“
Die meisten dieser Sicherheitsaufgaben lassen sich heute automatisieren – zum Glück. Denn mit manuellen Mitteln allein lässt sich kein System schützen, nur automatisierte Systeme sind dafür performant und schnell genug.
Security-Lösungen: Lock it, log it, detect it!
SAP-Anwendern steht ein umfassendes Security-Set zur Verfügung. Den Kern bilden die Pakete UI Data Protection Masking und UI Data Protection Logging sowie die Anwendung SAP Enterprise Threat Detection.
„UI Data Protection Masking sorgt dafür, dass Mitarbeitende nur die Informationen angezeigt bekommen, die sie für ihre aktuelle Aufgabe brauchen“, erklärt Martin Müller, Customer Advisory Security bei SAP. „Alle anderen Zahlen und Begriffe werden durch Sternchen ersetzt oder ausgegraut, sie sind nur für speziell autorisierte Nutzer sichtbar – oder nach einer Genehmigung und Autorisierung. Eine simple Maßnahme mit großer Wirkung!“
UI Data Protection Logging macht die Nutzung des Systems transparent, indem es alle Zugriffe auf schützenswerte Benutzeroberflächen, Objekte und kritische Aktionen sofort den zuständigen Stellen meldet und protokolliert. „Bereits der bloße Einsatz der Lösung sorgt dafür, dass sich die Anwender korrekt verhalten“, sagt Müller. „Sollte es doch zu Unregelmäßigkeiten kommen, lassen diese sich sofort identifizieren und analysieren.“
SAP Enterprise Threat Detection schließlich erkennt kritische Zugriffe und Datenschutzverletzungen – in Echtzeit. Die Anwendung wacht wie ein allgegenwärtiges Auge darüber, wer gerade auf welche Daten zugreift, und schlägt bei Gefahr sofort Alarm. Transaktionen, Berichte, Funktionen: Jeder Zugriff wird registriert. Dasselbe gilt für Änderungen an Schutzmaßnahmen, etwa den Berechtigungen, der Systemkonfiguration, dem Benutzermanagement und der Systemkommunikation.
Hundertprozentige Datensicherheit gibt es nicht, da sind sich alle Security-Experten einig. Doch wer sensible Daten maskiert, die Zugriffe protokolliert und Betrugsversuche in Echtzeit erkennt, senkt das Risiko drastisch.
Webinar
Know-how-Schutz in SAP-Systemen: Datendiebstahl erkennen und verhindern
Mittwoch, 9. März, 14 Uhr
Möchten Sie mehr zum Thema erfahren und Fragen stellen? Dann erleben Sie Carsten Crantz und Martin Müller im Live-Webinar. Jetzt anmelden.