Falsch verbunden | Best-of SAP Basis & Security – Mai 2021
Autor: Tobias Harmes | 31. Mai 2021
Das Fax verliert den Anschluss, den Stecker zieht der Datenschutzbeauftragte. Die Begründung dafür sollte auch bei SAP Umgebungen beachtet werden. Denn hier wandelt sich die Basis ebenfalls grundlegend.
…zum Anschauen
…zum Hören
Editorial
Der Landesbeauftragte für Datenschutz in Bremen hat im Mai eine Mitteilung herausgegeben, dass die Übermittlung von personenbezogenen Daten über das Telefax nicht mehr datenschutzkonform ist. Wer diese antike Technologie für ausgestorben hält, darf sich glücklich schätzen. Dem gegenüber steht, dass es immerhin bis zum Januar 2021 gedauert hat, bis der Bundestag dem Fax endgültig Lebewohl gesagt hat.
Schutzlevel Postkarte
Das Ergebnis fand ich gar nicht so spannend wie die Begründung dieser Entscheidung. Es ist die Erkenntnis, dass das “reale” Faxgerät schon lange abgeschafft ist. Mittlerweile sind es Multifunktionsgeräte, die in Etagen stehen und neben drucken und kopieren eben auch faxen können. Nur nutzen sie dafür keine eigene Telefonleitung, sondern die normale Netzwerk-Infrastruktur. Spätestens bei Cloud-Fax-Diensten weiß dann niemand mehr, ob hier wirklich eine vertrauliche Fax-Verbindung aufgebaut werden konnte. Und so schlussfolgert der Bremer Datenschützer: “Aufgrund dieser Unwägbarkeiten hat ein Fax hinsichtlich des Schutzziels Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, die zu Recht als digitales Pendant zur offen einsehbaren Postkarte angesehen wird. Mehr nicht.”
Wo ist mein Server?
Der schleichende Wandel findet auch in der SAP Welt statt. Wenn nicht gerade frisch auf S/4HANA umgestellt wurde, greifen die Anwender wie immer per SAP GUI auf das SAP zu. Aber wo steht eigentlich “das SAP”? Während das früher relativ deutlich zu erklären war, ist es heutzutage kaum noch möglich, die Architektur von größeren SAP Landschaften auf einem Bierdeckel zu skizzieren.
Selbst “das liegt beim Hoster” funktioniert nicht, denn für SAP SuccessFactors, Business Technology Platform, Qualtrics und SAP Ariba stimmt das nicht. Und das ist nur ein kleiner Teil der Möglichkeiten. Noch spannender wird es dann, wenn ich weder mein eigenes Rechenzentrum noch einen mittelständischen Hoster benutze, sondern direkt auf die Hyperscaler Microsoft Azure, Google Cloud oder Amazon Web Services setze.
SAP Basis von morgen 2.0
Die sogenannte hybride SAP Landschaft ist ein wirklicher Segen für die Geschwindigkeit, wie die IT auf Anforderungen aus den Fachbereichen reagieren kann. Neuer Applikationsserver? Nur einen Klick entfernt. Das Beispiel Faxgeräte zeigt aber, dass nicht beliebig der Unterbau (in diesem Fall die ehemals direkte Telefonleitung) ausgetauscht werden kann, ohne nicht auch bei der besser skalierbaren Ersatzlösung (Fax via IP-Netzwerk) die Schutzziele zu erreichen (Vertraulichkeit).
Damit es keine solcher Überraschungen bei Ihnen und Ihrer Landschaft gibt, möchte ich Ihnen den im Februar aktualisierten Leitfaden “Hybrider Betrieb” der DSAG ans Herz legen. Das ist das Ergebnis eines Nachfolgeprojekts von “Die SAP Basis von morgen”, das ich vor längerer Zeit schon empfohlen hatte.
In diesem Leitfaden für SAP Basis Mitarbeiter werden Betriebskonzepte anhand eines fiktiven Unternehmens skizziert. Speziell für Umgebungen, die sowohl Cloud- als auch On-Premise-SAP-Dienste betreiben und nutzen. Dazu gehören dann eben Aspekte wie Datenschutz und Security, aber natürlich auch Integration, Betrieb, Life-Cycle-Management und Teamführung. Eben auch der letzte Aspekt, der in dem Leitfaden mit “People” überschrieben ist, führt gut aus, dass die Tage des “rage against the SAP machine” Basis Admins gezählt sind. Eine Beobachtung, die ich in Gesprächen mit sowohl Admins als auch Unternehmensmanagements ebenfalls mache.
Ich glaube, dass sich jeder mit dem Leitfaden – unabhängig von einem Dienstleister – aufschlauen und überlegen kann, wohin die Reise gehen sollte.
Herzliche Grüße
Tobias Harmes
PS: Wenn Sie mögen, vernetzen Sie sich mit mir auf Xing oder LinkedIn oder folgen uns auf unseren Kanälen bei YouTube und Instagram. Ich würde mich freuen.
Zuletzt auf Instagram
Sieh dir diesen Beitrag auf Instagram an
Meine nächsten Events
Compliance-Forum-Infotage 2021
Die virtuellen Compliance-Forum-Infotage stellen im Bereich der Sicherheit und Compliance wichtige Neuerungen und Praxisanwendungen vor. Am 22. & 23. Juni sind mein Kollege Luca Cremer und ich mit Vorträgen dabei.
Zur Anmeldung
Die RZ10-Webinare im Juni
- Am 01.06.2021: IT SiG 2.0 umsetzen im SAP
Zur Anmeldung - Am 10.06.2021: Zur automatisierten Benutzerverwaltung mit Identity Management
Zur Anmeldung - Am 24.06.2021: Best Practices für Pentests bei SAP Kunden
Zur Anmeldung
Crashkurs Fiori & S/4HANA Berechtigungen am 23.06.2021
In unserem “Crashkurs S/4HANA und Fiori Berechtigungen” am 23.06.21 erhalten Sie in einem halbtägigen Online-Learning alle nötigen Infos, um das neue Fiori-App-Konzept der SAP und S/4HANA skalierbar und optimal zu berechtigen. Die Teilnahme ist auf 10 Personen begrenzt und kostet 290€ pro Person.
Mehr Informationen und Anmeldung
Überblick der neuen Inhalte auf RZ10.de | Mai 2021
Überholer-Aufträge manuell finden und beheben
Überholer-Aufträge können schnell das Tagesgeschäft eines Unternehmens bedrohen, sofern sie nicht rechtzeitig behoben oder vermieden werden. Wie Sie die Aufträge finden und beheben, erfahren Sie in diesem Beitrag.
Artikel lesen
Herausforderungen und Best Practices in der SAP Benutzerverwaltung – Skalierbarkeit
Alle Berechtigungsanträge wurden gestellt und die Benutzerverwaltung pflegt die vergebenen Rollen. Doch erneut kommt es zu Schwierigkeiten, denn die Vielzahl der verwendeten Systeme führt zu einer großen Komplexität. Was dagegen hilft, erfahren Sie in diesem Beitrag.
Artikel lesen
Chancen für IT-Security durch das Krankenhauszukunftsgesetz
Mit Beginn des Jahres 2021 gilt das Krankenhauszukunftsgesetz (KHZG). Was dieses Gesetz ermöglicht und wie die IT-Security in Krankenhäusern davon profitieren kann, erfahren Sie in diesem Beitrag.
Artikel lesen
Herausforderungen und Best Practices in der SAP Benutzerverwaltung – Papieranträge
Eine effiziente Benutzerverwaltung braucht offizielle Anträge und Prozesse für neue Berechtigungsvergaben. Doch wie sollten diese aussehen? Typische Fehler und unsere Best Practices erfahren Sie in diesem Beitrag.
Artikel lesen
Security Patch Day, IT Sicherheitsgesetz 2.0, Doku automatisieren | RZ10 Update vom 12.05.2021
Im RZ10 Update spreche ich über aktuelle Themen und News in der Welt von SAP Basis & Security. Die Themen vom 12.05.2021: Der Security Patch Day, das IT Sicherheitsgesetz 2.0 und Doku automatisieren.
Artikel lesen | Video anschauen
Herausforderungen und Best Practices in der SAP Benutzerverwaltung – Fehlende Anträge
Die Benutzerverwaltung steuert die SAP Berechtigungen eines Mitarbeiters während seiner gesamten betrieblichen Laufbahn. Dabei treten häufig Herausforderungen für die Verwaltung auf. Damit trotz typischer Hindernisse alles reibungslos funktioniert, verrät dieser Beitrag unsere Best Practices.
Artikel lesen
Wie kommen Angreifer ins SAP?
Die IT-Sicherheit ist für jedes Unternehmen ein wichtiger Bereich, dem zunehmend mehr Aufmerksamkeit geschenkt wird. Oft fehlt aber eine konkrete Übersicht über mögliche Schwachstellen. In diesem Artikel nennen wir typische Einfallstore ins SAP und in die Cloud, damit Sie Ihr System in Zukunft gezielter und bewusster schützen können.
Artikel lesen
Das war unser Best-of Mai. Schön, dass Sie es bis hierhin geschafft haben. Oder scrollen Sie erst mal unverbindlich? Nicht schlimm. Wenn Sie mögen gibt es mein monatliches Editorial auch bequem per Mail: Best-of SAP Basis & Security abonnieren