SAP S/4HANA Security in Verbindung mit der ISO 27001

(Last Updated On: 30. Juni 2017)

 

Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Sie betrifft auch alle Unternehmen, welche im Zuge Ihrer Auftragsabwicklung personenbezogene Daten von Kunden und Lieferanten verarbeiten. Dabei spielt es keine Rolle, ob das Unternehmen den Firmensitz in einem EU-Mitgliedsstaat bezieht oder mit einem Firmensitz außerhalb der EU seine Dienstleistungen an EU-Bürger anbietet. Kurz gesagt: Verarbeiten Sie personenbezogene Daten in der EU oder personenbezogene Daten von EU-Bürgern, sind Sie von der Regelung betroffen.

Warum Sie als Unternehmen die ISO 27001 beachten sollten

Innerhalb der EU-DSGVO können Sie sowohl zeitgleich die Rolle von Informationsverantwortlichem und Informationsverarbeitenden einnehmen – oder die Verarbeitung an einen Dienstleister auslagern bzw. als ein solcher agieren. Doch aus großer Kraft folgt große Verantwortung, und deswegen fordert die EU-DSGVO auch zur Schaffung von Qualitätsstandards in der Informationssicherheit auf.

Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die — insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen — hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen — auch für die Sicherheit der Verarbeitung — getroffen werden, die den Anforderungen dieser Verordnung genügen.

Als informationsverarbeitendes Unternehmen müssen Sie also hinreichende Garantien liefern, welche Ihnen die Erfüllung eines Mindeststandards in der Welt der Informationssicherheit und IT-Security nachweisen. Dies bedeutet für Sie, dass Sie eine möglichst international anerkannte Akkreditierung in diesem Bereich erlangen sollten. Als IT Service Provider können Sie sich hierzu nach der ISO 27001 zertifzieren lassen, einem internationalen ISO-Standard im Bereich der Informationssicherheit.

Ihr Weg zur ISO 27001 Zertifizierung als SAP-Kunde

Die ISO 27001 fordert von Ihnen als Unternehmen regelmäßig einen internen und einen externen Audit durchführen zu lassen. Großer Wert wird dabei auf den externen Audit gelegt, welcher von einem objektiven, externen Dienstleister erfolgen sollte. So wird gewährleistet, dass die Informationssicherheit in Ihrem Unternehmen aus einem neutralen Blickwinkel betrachtet wird. Die Zertifizierung nach ISO 27001 ist grundsätzlich unabhängig von einem externen Audit und kann durch ein nach ISO 27006 zertifiziertem Akkreditierungsinstitut in Ihrem Unternehmen durchgeführt werden. Jedoch muss zum Bestehen dieser Zertifizierung ein nachweisbar gut durchdachtes und normgerechtes Information Security Management System (ISMS) definiert worden sein. Mit der Zertifizierung erlischt außerdem nicht die Pflicht zum regelmäßigen Audit der internen Sicherheitslandschaft. Zudem schadet es nicht darauf zu achten, aktuelle Sicherheits-Hinweise der Deutschen SAP Anwendergruppe (DSAG) und des BSI einzuhalten.

Wie schaffen Sie nun die Integration einer IT Security nach ISO 27001 unter SAP HANA? Besonderes interessant für Sie als SAP-Kunde ist die Frage nach einer kompetenten IT-Security Beratung. Diese muss dazu in der Lage sein, in Zusammenarbeit mit Ihnen ein ISMS unter Berücksichtigung der im Einsatz befindlichen SAP-Technologien zu definieren. Hierbei ist nicht nur SAP Know-How in den Bereichen IT Security und IT Governance erforderlich, sondern vor allen Dingen auch Kenntnisse im Risikomanagement, da Sie Ihre Entscheidungen für und wider einer Sicherheitsmaßnahme im ISMS anhand einer Risikobewertung begründen müssen.

Insbesondere müssen Sie darauf achten, dass Sie aktuelle Sicherheits-Standards, die Sie heute schon in Ihren Non-HANA NetWeaver Systemen einhalten, nun auch unter S/4HANA einhalten. Während die Gestaltung auf Ebene von Betriebssystem noch zum Großteil der alten SAP-Welt ähnelt, müssen Sie sich auf Datenbankebene mit einer komplett neuen Technologie – SAP HANA – befassen. Zudem gibt es auch im ABAP-Stack Neuerungen, da mit SAP Fiori komplett neue Interaktionsmuster eingeführt werden und sich damit das ABAP-Rollenkonzept weitgehend ändert.

Schritt 1: Definieren Sie Ihr Information Security Management System (ISMS)

Zu aller erst ist die Informationssicherheit eines Unternehmens eine organisatorische Frage. Mehr als die Hälfte der Informationssicherheit geschieht auf dem Papier und in den Köpfen Ihrer Mitarbeiter. Der erste Schritt ist also die Definition eines gut strukturierten Sicherheitsstandards. Hier fließen vor allen Dingen Themen der Corporate Compliance und der IT Compliance hinein. Außerdem wird definiert, welche Standards und Verhaltensgrundlagen im  Unternehmen eingehalten werden müssen, um die Informationssicherheit zu gewährleisten. An dieser Stelle können Sie sich diverser Quer-Referenzen auf andere Management-Frameworks Ihres Unternehmens bedienen. So können Sie etwa auf die ISO 9000 hinweisen, wenn es um das Qualitätsmanagement Ihrer IT-Sicherheit geht, oder auf Ihre unternehmensinterne ITIL-Implementierung, wenn es um die kontinuierliche Verbesserung geht. Hier bewerten Sie auch, welche technischen und organisatorischen Sicherheitsmaßnahmen unter Berücksichtigung von Risiko und aufzuwendendem Kapital Sie konkret angreifen. Hier können Sie sich beispielsweise dem M_o_R Framework bedienen oder ein eigens erdachtes Risikomanagement bemühen.

Das ISMS befasst sich mit verschiedenen Themen der IT-Sicherheit. Neben den zu ergreifenden technischen Maßnahmen wie etwa der Verschlüsselung von Daten und Kommunikationskanälen spielen hier jedoch vor allen Dingen organisatorische Werte eine große Rolle. So wird beispielsweise definiert, wie der kontinuierliche Verbesserungsprozess der Informationssicherheit gestaltet ist, also welche KPIs in Audits revisioniert werden müssen, wer für die Daten in den verschiedenen Systemen verantworltich ist, und welche Funktionäre in welchen sicherheitsrelevanten Prozessen mit eingebunden werden müssen. Wichtige Funktionen im ISMS bekleiden etwa die Datenverantwortlichen (häufig Abteilungsleiter oder deren Deligierte), der Information Security Officer, das Benutzerzugriffsmanagement (häufig die Basis-Abteilung des Unternehmens) sowie der Datenschutzbeauftragte.

Desweiteren werden hier Themen wie die Funktionstrennung (Segregation of Duties) und das Firefighting aus organisatorischer Unternehmenssicht angesprochen. Sie bewerten sicherheitskritische Geschäftsprozesse, ganz gleich ob diese rein technisch oder noch auf dem Papier abgewickelt werden, und regeln an dieser Stelle eine sinnvolle Trennung. Kurz gesagt: Zwischen den Parteien gibt es keine gemeinsamen Interessen und: wer genehmigt pflegt nicht, wer pflegt genehmigt nicht.

Schritt 2: Implementieren Sie technische Maßnahmen

Nachdem Sie Ihr ISMS als Management-Grundlage Ihrer unternehmensinternen Informationssicherheit definiert haben, geht es daran, aus diesem technische Maßnahmen abzuleiten. So müssen Sie etwa zur Gestaltung der Funktionstrennung (Segregation of Duties, SoD) eine technische Revision Ihrer SAP-Benutzer und -Rollen durchführen. So erkennen Sie Berechtigungskonflikte bei Nutzern und können eine funktionierende Funktionstrennung auf Basis von SAP-Berechtigungsobjekten durchführen. Diese Revision müssen Sie unter Umständen nicht nur auf ABAP-Ebene, sondern auch auf Datenbankebene durchführen. Dies gilt besonders dann, wenn Sie sicherheitsrelevante Daten im Rahmen der Business Intelligence direkt auf SAP HANA verarbeiten oder etwa in einen Data Lake replizieren. Mit der Betrachtung der Ebenen ABAP und DB ist jedoch ein Berechtigungs-Audit häufig noch lange nicht abgeschlossen.

Im Rahmen einer Funktionstrennung wird häufig auch ein Firefighting-Prozess eingeführt. Häufig wird das Firefighting bei SAP-Kunden nur für Eskalationen im Bereich der Basis-Administration eingesetzt, dabei bietet dieser Prozess gerade hohes Potential für das Abbilden von Line of Business Eskalationen auf Fachebene. Häufig kommt hier SAP GRC zum Einsatz, es gibt jedoch auch Drittanbieterprodukte, die in der Praxis diverse Vor- und Nachteile mit sich bringen.

Die beste Funktionstrennung ist nichts wert ohne ein funktionierendes Auditing. Änderungen an Geschäftsdaten und administrative Vorgänge am System müssen einwandfrei nachvollziehbar sein. Hierbei müssen Sie sicher stellen, dass die Datenpfleger Ihre eigenen Spuren nicht verwischen können und die Einträge für einen Wirtschaftsprüfer nachvollziehbar abgelegt sind.

Selbstverständlich müssen Sie sich auch hier über die Verschlüsselung Gedanken machen. Nur, wenn etwa Betriebssystem-Administratoren keinen Zugriff auf die unverschlüsselten Datenbank-Daten haben, ist eine griffige Funktionstrennung etabliert worden. Um dies zu erreichen müssen Sie sich unter SAP HANA Gedanken um die Einführung der Transparent Data Encryption (TDE) machen. Zudem sind gegen Sniffing- und Man in the Middle Attacken häufig Maßnahmen zur Verschlüsselung der Kommunikationskanäle sowie eine Public Key Infrastructure notwendig. Haben Sie alle Verschlüsselungskanäle im Kopf? Die folgende Abbildung zeigt eine Aufzählung ohne Anspruch auf Vollständigkeit.

Eine weitere wichtige technische Maßnahme im SAP-Umfeld ist etwa die automatisierte Anonymisierung Ihrer Produktivdaten auf den Testsystemen. Somit verhindern Sie die Verletzung Ihrer IT Compliance in zeitkritischen Testszenarien, in denen Tester häufig mit SAP_ALL ausgestattet werden.

Häufig übersehen, jedoch von enormer Wichtigkeit ist das Auditing und die technische Organisation von Customizing und Eigenentwicklungen am System. Das fängt an mit einer regelmäßigen Analyse des Customer Codings in der ABAP-Welt. Häufig kommt bei der Entwicklung von kundeneigenen Objekten die Sicherheit etwas zu kurz. Regelmäßige Coding-Audits, automatisierbar durch entsprechende Scanning-Tools, implementieren einen kontinuierlichen Prozess zur Steigerung der Sicherheit eigenserstellter Programme.

Doch auch der Transport von Customizing und Coding in Folgesysteme muss sichergestellt werden. Hierzu müssen Quality Gates definiert und deren Einhaltung auf technischer Ebene erzwungen werden. Des Weiteren sollte auch in der Entwicklung eine Funktionstrennung (Segregation of Duties, SoD) in Form eines Genehmigungsverfahren gegeben sein. Entwicklungen müssen von den Dateneignern beantragt, vom Management genehmigt, von einem autorisierten Entwicklerteam gefertigt, durch das Change Management durchgewunken und durch die Basis transportiert werden. Häufig werden in diesem Zuge ChaRM und das SAP Quality Gate Management (QGM) eingeführt. Gerade zu Zeiten der S/4HANA „Keeping the Core Clean“ Philosophie müssen Sie umso mehr darauf achten, dass Ihr Coding sauber ist, bevor Sie es transportieren.

Schritt 3: Kontinuierliche Verbesserung

Nachdem wir im letzten Schritt sehr technisch vor gegangen sind, geht es jetzt wieder um das Management der Informationssicherheit. In diesem Schritt definieren Sie Maßnahmen zur kontinuierlichen Verbesserung der Informationssicherheit. Hierzu gilt es vor allen Dingen wertvolle Key Performance Indicators (PKI) zu identifzieren, diese technisch zu messen und diese im Rahmen des Qualitätsmanagements regelmäßig zu revisionieren und zu bewerten.

Wichtig ist in diesem Schritt auch die Einplanung regelmäßiger Audits und Revisionen aller wichtiger Komponenten in der IT Security. Dazu gehört beispielsweise nicht nur das ISMS selbst, sondern auch die Benutzer- und Berechtigungskonzepte, das Customer Coding, Firefighting-Prozesse, die technische Sicherheit usw. Hierzu definiert man Termine für regelmäßige Audits und Penetrationstests und legt Quality Gates fest, die im Rahmen dieser Maßnahmen erfüllt werden müssen.

Schritt 4: Die Zertifizierung

Nachdem Sie die ersten drei Schritte mit Erfolg abgearbeitet haben, gilt es die Erstzertifizierung in Angriff zu nehmen. In der Regel haben Sie zu diesem Zeitpunkt bereits eine Bestandsaufnahme über einen Voraudit durchgeführt und das Zertifizierungsaudit mit einem ISO 27006 akkreditierten Partner durchgeplant. Während des Zertifizierungsaudits wird die Dokumentation Ihres ISMS geprüft und die Wirksamkeit des ISMS durch Begehung der Technikräume, Büros, Kopiercenter und Entsorgungseinrichtungen geprüft. Desweiteren werden Interviews mit den Mitarbeitern geführt sowie Aufzeichnungen und Beobachtungen des Auditors in die Bewertung eingeflochten.

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

DaFRK

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

Das könnte Dich auch interessieren …

1 Antwort

  1. 6. Juli 2017

    […] SAP S/4HANA Security in Verbindung mit der ISO 27001 […]

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.