SAP UI Masking und UI Logging
SAP UI Masking und UI Logging sind AddOns von SAP, die zusätzliche Datenschutzfunktionen für die wichtigsten SAP-Produkte ermöglichen. Mit den beiden Lösungen können Datenschutz-Anforderungen im SAP umgesetzt werden, die bisher nur durch personalintensive Funktionstrennung oder durch aufwändige Eigenentwicklungen realisiert werden konnten.
Inhaltsverzeichnis
- Sicherheit durch eingeschränkte Oberflächen: SAP UI Data Security
- Daten ausblenden: Funktionsweise SAP UI Masking
- Datenzugriffe protokollieren: Funktionsweise SAP UI Logging
- Das Risiko von innen?
- Welche UI Technologien können unterstützt werden?
- Kosten
- FAQ SAP UI Masking und UI Logging
- Weiterführende Informationen
Sicherheit durch eingeschränkte Oberflächen: SAP UI Data Security
SAP UI Data Security ist eine SAP-High-Level-Lösung, die zur Sicherheit und zum Datenschutz in der SAP-Landschaft eines Unternehmens beitragen soll. Es geht dabei darum, dass die Darstellung von Daten auf der grafischen Benutzeroberfläche angepasst und kontrolliert wird, nicht der Programmcode der aufgerufenen Applikation. Hierbei gibt es zwei Produkte von SAP, das UI Masking und das UI Logging. Beide Ansätze sollen davor schützen, dass Personen keinen unautorisierten Datenzugriff erhalten und sollen vor Datenmissbrauch und Datendiebstahl schützen.
Daten ausblenden: Funktionsweise SAP UI Masking
Das SAP UI Masking dient dazu, bestimmte sensible Daten nur autorisierten Personen zugänglich zu machen. Wenn ein Mitarbeiter nicht die erforderlichen Rechte besitzt, wird ihm ein bestimmter Wert in einer Datenübersicht nicht angezeigt. Datenelemente werden so für Missbrauch unzugänglich gemacht.
Diese Lösung maskiert serverseitig sensible Daten kurz vor der Ausgabe auf dem Endgerät. Zusätzlich wird die Bearbeitung im SAP User Interface blockiert. Es entsteht ein konsequenter Schutz in Tabellendarstellung, Export Szenarien, Download oder im Druck. Bei Zugriff auf geschützte Datenfelder, kann eine revisionsfähige und archivierbare Zugriffsverfolgung eingesetzt werden. Wer welche Daten sehen kann, wird vorher innerhalb der Rollen zugeteilt. Wenn der Leiter der HR-Abteilung Zugriff auf alle Personaldaten haben soll, ist es für einen Angestellten womöglich nicht gewollt, dass er Einsicht in alle Gehaltsabrechnungen oder Kontodaten aller Mitarbeiter hat. Diese Werte werden im User Interface des Angestellten dann maskiert.
Datenzugriffe protokollieren: Funktionsweise SAP UI Logging
Beim SAP UI Logging werden Zugriffe auf sensible Daten genau protokolliert. Heraus kommt ein strukturiertes und detailliertes Datenzugriffsprotokoll. Das ermöglicht eine Analyse, welcher User, wie und in welchem Kontext Daten erhalten hat. Die Protokollierung erfolgt auf der Basis von Roundtrips (frontend à server à frontend). Dabei werden die Benutzereingaben und Aktionen der User sowie die tatsächlich erhaltenen Daten des Nutzers protokolliert.
Finden Sie heraus, wie sicher Ihr System ist
Auch wenn Sie denken, dass es um Ihre Sicherheit gut bestellt ist - einmal durchchecken schadet nicht. Wir überprüfen, wie sicher Ihr System ist und ob sie evtl. auch vom SAP UI Masking und Logging profitieren könnten. Melden Sie sich für weitere Informationen!
Im Vergleich zum UI Masking ist das UI Logging ein eher weicher Ansatz. Die Zugriffe werden hier nicht direkt blockiert, sondern getrackt, um daraus gegebenenfalls Handlungspfade oder Konsequenzen für die Datensicherheit abzuleiten. Es gibt sowohl automatisierte Kontrollen, die bei fragwürdigen Datenzugriffen alarmieren, als auch die Möglichkeit von manuellen Kontrollen. Eine Integration in SAP ETD ist auch möglich. Dabei kann die Analyse zusätzlich automatisiert werden und das UI Logging als Datenquelle für ETD genutzt werden.
Quelle: SAP
Das Risiko von innen?
Untersuchungen haben immer wieder gezeigt, dass Datenlecks oft durch interne Stellen zustande kamen. Schätzungen gehen davon aus, dass etwa 35% der Unternehmen in den letzten vier Jahren schon einmal von so einem inneren Datenleck betroffen waren. Die Schadenhöhe kann für Unternehmen dann nicht nur finanziell stark sein, sondern auch Probleme mit compliance- und datenschutzrechtlichen Vorgaben verursachen.
Welche UI Technologien können unterstützt werden?
Mit der Nutzung der SAP UI Data Security können die Zugriffe auf ganze Bereiche im Unternehmen wie z.B. alle Gehaltsabrechnungen eingeschränkt werden oder komplexere Regeln auf einzelne Ressourcen anwenden. Die SAP UI Data Security wird auf dem Service-Endpunkt implementiert.
Die Technologie basiert auf SAP Netweaver und ist auch verfügbar für die ECC HEC Suite auf HANA S/4HANA. SAP integriert UI Masing und UI Logging in die Standardwartung bis Ende 2025. Außerdem sind Erweiterungen oder individuelle Anpassungen auf Anfrage auch möglich.
Quelle: SAP
Kosten
Möchte man das SAP UI Masking und SAP UI Logging implementieren, kommt es auf verschiedene Punkte an, nach denen die Kosten aufgeschlüsselt werden. Zunächst spielt die jeweilige SAP Version eine Rolle. Dann muss auch die jeweilige UI Technologie beachtet werden. Wie bei anderen SAP Produkten wird auch die Unternehmensgröße und die Anzahl der User in einer Kostenaufstellung beachtet. Die Lizenzgebühr ist einmal zu entrichten und beinhaltet die kompletten, unternehmensweiten und nicht limitierten Nutzungsrechte.
FAQ SAP UI Masking und UI Logging
Was sind SAP UI Masking und UI Logging?
SAP UI Masking und UI Logging sind AddOns von SAP, die zusätzliche Datenschutzfunktionen für die wichtigsten SAP-Produkte ermöglichen.
Welchen Nutzen habe ich von SAP UI Masking und UI Logging?
Mit den beiden Lösungen können Datenschutz-Anforderungen im SAP umgesetzt werden, die bisher nur durch personalintensive Funktionstrennung oder durch aufwändige Eigenentwicklungen realisiert werden konnten.
Welche Funktion hat SAP UI Masking?
Das SAP UI Masking dient dazu, bestimmte sensible Daten nur autorisierten Personen zugänglich zu machen. Wenn ein Mitarbeiter nicht die erforderlichen Rechte besitzt, wird ihm ein bestimmter Wert in einer Datenübersicht nicht angezeigt. Datenelemente werden so für Missbrauch unzugänglich gemacht.
Welche Funktion hat SAP UI Logging?
Beim SAP UI Logging werden Zugriffe auf sensible Daten genau protokolliert. Heraus kommt ein strukturiertes und detailliertes Datenzugriffsprotokoll. Das ermöglicht eine Analyse, welcher User, wie und in welchem Kontext Daten erhalten hat.
Welche UI Technologien können unterstützt werden?
Mit der Nutzung der SAP UI Data Security können die Zugriffe auf ganze Bereiche im Unternehmen wie z.B. alle Gehaltsabrechnungen eingeschränkt werden oder komplexere Regeln auf einzelne Ressourcen anwenden. Die SAP UI Data Security wird auf dem Service-Endpunkt implementiert.
Weiterführende Informationen
- Offizielle Produktpräsentation von SAP: https://dam.sap.com/mac/app/p/pdf/asset/preview/hQ7tEyd?ltr=a&rc=10
- UI Data Security (UI Masking and UI Logging): https://www.sap.com/documents/2015/06/0a0d918e-5b7c-0010-82c7-eda71af511fa.html
4 Kommentare zu "SAP UI Masking und UI Logging"
Guten Tag,
anhand der Architektur sehen wir, dass die Daten beim UI Logging im Log Storage/Repository gespeichert werden. Ich würde gerne wissen wo dieser sich befindet bzw. wie man die Daten auslesen kann.
Vielen Dank für die Antwort und Mühe im Voraus.
Hallo,
ich habe mich bei den Kollegen von SAP schlau gemacht (vielen Dank an dieser Stelle): Die Log Daten werden nach dem Transfer aus dem Temporären Log in das (permanente) Log Repository geschrieben, wo sie analysiert werden können. Das Log Repository ist in der Tabelle /LOGWIN/EXT_LOG bzw. /LOGS4H/EXT_LOG (S/4 Lösung) und in zahlreichen Untertabellen enthalten. Das Auslesen und Analysieren der Log Records geschieht mit Hilfe der Log Analyzer /LOGWIN/LOGANALYZER und /LOGWIN/TAGANALYZING bzw. /LOGS4H/LOGANALYZER und /LOGS4H/TAGANALYZING. Für die S/4 Lösung gibt es zusätzlich noch ein Fiori basiertes Analysetool.
Mich würde interessieren, wie lange es ganz grob dauert, um z.B. für 1000 Rollen ein Masking zu definieren.
Hallo,
wollen Sie tatsächlich für die Rollen ein Masking definieren? Also sollen für die Rollen Daten versteckt werden?
Oder sollen ca. 1000 Rollen angepasst werden, um die Berechtigungen für ein Masking (bzw. dessen Aufhebung) zu vergeben?
Viele Grüße