- 16. März 2016

15 Fragen an Ihre SAP Cloud Security – Strategie

SAP Cloud Security Strategie

In den letzten Monaten bekommen wir immer wieder die Frage zum Thema SAP Cloud Security gestellt: Hier stehen Anwender mit dem iPhone vor der Tür und wollen SAP Fiori machen. Das ist doch Cloud. Gibt es das auch in sicher? Vielleicht als Mischung zwischen Cloud und meinem Rechenzentrum – als sogenannter Hybrid? Oder gleich richtig als SAP Fiori Cloud Edition?

In meinen Projekten hole ich dann mittlerweile den Fragenkatalog raus, damit wir nicht jedes Mal auf der grünen Wiese anfangen müssen. Damit gehe ich dann detailliert auf die jeweilige Kundensituation ein – von Infrastrukturthemen bis hin zu individuellen Schutzbedürfnissen (Pharma, Lebensmittel, Banken, etc.). Denn Cloud ist tatsächlich salonfähig in Deutschland geworden – ein „das ist unsicher und deshalb machen wir das nicht“ ist nicht mehr zeitgemäß.

Es gibt dabei ein paar grundlegende Fragen, die ich hier einmal vorstellen will, die Sie sich stellen sollten, wenn Sie für das Thema Informationssicherheit & SAP Cloud Security verantwortlich sind. Denn erfahrungsgemäß werden Ihnen genau diese Fragen von internen und externen Stellen wie z.B. Betriebsrat, Datenschutzbeauftragten, der Revision oder von externen Prüfern gestellt.

Vor allem beim Einsatz von Cloud-Diensten und Hybrid-Szenarien teile ich die zu klärenden Fragen in folgende Themen auf:

Diese Themen haben jeweils essentielle Aufgaben und Fragen in diesem Umfeld.

SAP Cloud Security

Keine Zeit zum Erarbeiten einer SAP Cloud Security Strategie?
Fachbereichsleiter Tobias Harmes

Holen Sie sich doch die Tonspur in meinem Vortrag zum Thema auf dem Tagesseminar „Individuelle Enterprise-Apps aus der Steckdose – Wunschdenken oder Realität?“. Hier gibt es alle Infos: Information und Anmeldung

Oder kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail harmes@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Informationssicherheit

– Aufgabe: Datenschutz Anforderungen beachten

Hier sollten Sie Fragen beleuchten wie z.B. „Darf ich gemäß Rechtslage Mitarbeiterdaten in der Cloud speichern?“ oder „Kann der Provider die Daten lesen?“. Diese Fragen kann Ihnen Ihr (zukünftiger) Cloud-Provider beantworten. Interessanterweise hat sich gerade in diesem Umfeld eine Menge getan – es gilt längst nicht mehr, dass Daten in der Cloud generell ein Problem sind. Viele Anbieter bieten mittlerweile eine Datenverarbeitung in dedizierten deutschen Rechenzentren an. Und Sie umgehen damit unter Umständen viele Probleme, wie die aktuell noch unklare Rechtslage bei dem Safe Harbor Nachfolger „EU-US Privacy Shield“.

– Aufgabe: Informationen schützen

Hier sind Fragen wichtig wie z.B. „Welches Risiko gibt es bezüglich Datenverlust?“, „Wie ist die Verfügbarkeit der Informationen?“ oder „Welchen Schutz gibt es bezüglich Desaster, z.B. Umwelt oder Sabotage?“. Sie können bei einem Cloud-Anbieter kaum mal eben vorbeigehen und „Druck machen“. Hier ist es essentiell die Verträge zu prüfen, damit es keine bösen Überraschungen im Falle eines Datenverlustes gibt. Auf der anderen Seite ist aber gerade z.B. der Schutz gegen Desaster und Sabotage bei professionellen Cloud-Anbietern besser als bei den meisten selbst betriebenen Rechenzentren.

– Aufgabe: Informationen absichern auf Mobilgeräten

Speziell für den mobilen Zugriff stellen sich Fragen wie „Welchen Schutz gibt es vor Diebstahl?“ und „Welchen Schutz gibt es vor Schadsoftware?“. Hier gibt es mittlerweile eine große Zahl von Standard-Software, die ähnlich dem Management von großen Client-Umgebungen Funktionalitäten für mobile Endgeräte anbieten. Wichtige Stichwörter sind: Mobile Device Management (MDM), Mobile Application Management (MAM) oder globaler Enterprise Mobility Management (EMM). Die Funktionen reichen hier von Geräte remote sperren über Softwareverteilung bis hin zu Applikation-Richtlinien (kein Kopieren von Text aus der App heraus).

Verbindungssicherheit

– Aufgabe: Unternehmensübergreifende Prozesse etablieren

Die Herausforderung bei der Integration von Geschäftsprozessen in die Cloud merkt die IT-Abteilung oft erst, wenn die Cloud das erste Mal streikt. Deshalb: „Wer ist verantwortlich für die Entstörung eines Problems?“ und „Wer überwacht die ordnungsgemäße Funktion des übergreifenden Prozesses?“. Denn Sie werden kein Spezialisten-Team „mal eben“ zusammenrufen können, um das Problem zu analysieren.

– Aufgabe: Anfragen auf Applikationslevel schützen

Die Frage: „Welche Maßnahmen werden installiert, um Applikationsangriffe zu erkennen“ ist vor allem für Lösungen relevant, die ohne Cloud-Zugriff direkt auf Ihre eigene Systeme gehen. Dort können z.B. Application Level Firewalls schadhafte Eingabewerte direkt abfangen, bevor Sie zu Ihrem SAP Backend gelangen. In jedem Fall sollte ein Zwischen-System zwischen dem Internet und Ihrem internen SAP-System liegen – sozusagen als Regenschirm und Schutzschild.

Identitätssicherheit

– Aufgabe: Schnelles Off-Boarding von Mitarbeitern

Eine der wichtigsten Fragen, die aber oft viel zu spät gestellt wird: „Wie wird ein schneller und zuverlässiger Prozess für das Blocken von Benutzerzugriff sichergestellt?“. Denken Sie bei der Integration externer Cloud Anbieter in Ihre Geschäftsprozesse daran, dass Sie zeitnah alle relevanten Accounts sperren müssen, wenn ein Mitarbeiter das Unternehmen verlässt.

– Aufgabe: On-Boarding von Mitarbeitern

Hier kommen Fragen hoch wie: „Wie funktioniert die schnelle und zuverlässige Replikation von Benutzerdaten?“ und „Wie werden Zugriffsrechte verteilt?“.

Für mobile Szenarien kommen dann noch Fragen dazu wie „Wie werden Sicherheitsrichtlinien durchgesetzt?“ z.B. bei BYOD (Bring your own device)-Szenarien und „Wie erhält der Mitarbeiter die Apps, die er benötigt?“. Dafür gibt es Standard-Lösungen, wie oben bei Informationssicherheit bereits genannt.

– Aufgabe: Zentrale Authentifikation und SSO

Zuletzt ein wesentliches Kriterium für die Benutzerakzeptanz und in zweiter Linie für die Sicherheit: „Wie können redundante Passworteingaben vermieden werden?“ Dieser Aspekt kann sich aus unserer Erfahrung bei der Einführungen von mobilen Lösungen zum ernsthaften Show-Stopper entwickeln.

Daher ist unsere Essenz beim Thema Identitätssicherheit auch, dass ein ernsthafter Einsatz von Cloud-Diensten und mobilen Zugriff nur in Kombination mit einem Identity Management und einer Single-Sign-On (SSO)-Lösung praktikabel ist. Denn selbst eine voll etablierte zentrale Benutzerverwaltung gibt beim Thema Cloud-Account auf. Immerhin ist es oft auch möglich, Single-Sign-On Lösungen von Nicht-SAP-Anbietern zu verwenden, die gegen z.B. das Active Directory laufen und passende Anmeldetickets für die mobilen Apps generieren.

Fazit und Meinung zu SAP Cloud Security

Ich hoffe die hier aufgestellten Fragen helfen Ihnen bei der Entwicklung Ihrer Strategie für die SAP Cloud Security. Welche Fragen würden Sie noch stellen? Ich freue mich auf Ihre Ergänzungen.

Kostenloses E-Book zum Thema SAP Berechtigungstools als Download:

Kostenloses E-Book zum Thema SAP Berechtigungskonzept als Download:

Jetzt das kostenlose E-Book zum Thema SAP Berechtigungen downloaden:


SHARE



Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.