Daten schützen mit SAP UI Masking – mit Tobias Keller
Autor: Tobias Harmes | 17. Januar 2020
Den Datenschutz im SAP erhöhen, ohne die Mitarbeiter einzuschränken oder große Änderungen zu machen – das hört sich wie ein Widerspruch an. Doch nichts weniger als das sollen SAP UI Masking und UI Logging ermöglichen. Ich spreche mit Tobias Keller, Productmanager UI Data Security bei SAP, über Praxiserfahrungen und Grenzen der Lösung.
Beitrag
… auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
… als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
Feedback? harmes@rz10.de
Was nicht angezeigt wird, kann auch nicht gestohlen werden
Die beiden Tools sollen sensible Daten wie Konditionstabellen, Gehälter oder persönliche Informationen innerhalb des SAP-Systems im Unternehmen schützen – haben dazu aber zwei unterschiedliche Ansätze.
UI Masking hat das Ziel, bestimmte Daten zu verbergen. Ausnahmen sind nur, wenn diese Daten für ganz spezifische Tätigkeiten genutzt werden. Dadurch sollen sensible Daten für den Datenmissbrauch unzugänglich gemacht werden
Das UI Logging hingegen wird verwendet, wenn Daten zugänglich sein sollen, aber der Datenzugriff jeweils genauestens protokolliert werden soll. Das hat zum Ziel, dass User sich automatisch konform verhalten und eine unregelmäßige Datennutzung identifiziert und nachgewiesen werden kann.
Wie funktionieren die Tools in der Praxis?
UI Masking: Daten ausblenden ohne Programmänderung
Das UI Masking bietet einen konfigurierbaren Umfang der zu schützenden Daten. Persönliche Informationen wie beispielsweise das Gehalt oder der Familienstand eines Mitarbeiters werden sozusagen „geschwärzt“. Man sieht zwar, dass ein Feld „Gehalt“ in den Daten vorhanden ist, der Wert wird aber durch „******“ unkenntlich gemacht. Bei Tabellen können einzelne Zeilen auch komplett ausgeblendet werden. Der Vorteil ist, dass sich das UI Masking so konfigurieren lässt, wie das Unternehmen es benötigt.
In der S/4HANA-Version gibt es beim UI Masking unter anderem auch die Möglichkeit eines „Reveal on Demand“ (RoD). Möchte ein User Zugriff auf die sensiblen Daten haben, die ihm nicht angezeigt werden, kann ein Workflow ausgelöst werden. Ist die Berechtigung zur Einsicht tatsächlich gegeben und wird durch den Vorgesetzten oder die Fachabteilung bestätigt, kann die Einsicht freigeschaltet werden. Es ist auch möglich, dass die betroffene Person dem Antragsteller selber die Berechtigung zur Einsicht der Daten gibt. In jedem Fall wird dieser Zugriff aber auch protokolliert.
UI Logging: Daten zeigen, wenn es sein muss – aber protokolliert
Im medizinischen Bereich kann das UI Logging beispielsweise dann sinnvoll sein, wenn man sensible Daten schützen möchte, aber das Stationspersonal auf die Daten unbedingt Zugriff haben muss. Patienten auf anderen Stationen haben das Personal aber eigentlich nicht zu interessieren. Neugierige Anfragen an das System à la „Was macht denn mein Nachbar hier…“ sollen dadurch vermieden werden, dass mit dem UI Logging genau protokolliert wird, wer auf die Daten zugegriffen hat. Gibt es keinen Grund für diese Anfrage, kann der neugierige Mitarbeiter an dieser Stelle damit konfrontiert werden. In der Praxis hat sich gezeigt, dass sich solche Fälle automatisch dezimieren, weil die Mitarbeiter wissen, dass solche Vorgänge nachvollzogen werden können.
Das UI Logging zeigt nicht nur auf, dass auf bestimmte Daten zugegriffen wurden, sondern auch, wie der User dorthin gelangt ist. So lässt sich analysieren, ob ein Mitarbeiter nur zufällig auf die Daten gestoßen ist oder gezielt danach gesucht hat.
Erhöhen Sie den Datenschutz in Ihrem SAP
Mit UI Masking und Logging tragen Sie dazu bei, die Sicherheit in Ihrem Unternehmen merklich zu erhöhen. Für unverbindliche und kostenlose Informationen zu diesem Thema melden Sie sich.
Wesentliche Funktionen im Überblick
- Kontrolle, wer sensible Informationen in SAP-Transaktionen und Anwendungen angezeigt bekommt
- Verstärkter Schutz von sensiblen Daten gegen Diebstahl und Missbrauch, wobei der Zugang für privilegierte Insider gewährleistet sein muss
- Erkennen von potenziell problematischen Zugriffen auf sensible Daten (in nahezu Echtzeit)
- Bessere Einhaltung der geschäftlichen oder gesetzlichen Anforderungen für die Nachverfolgung von sensiblen Daten (PII, Stücklisten, Preise, Kunden)
Eine Lizenz fürs Unternehmen
Tobias Keller nennt Kunden, die eine ganz unterschiedliche Unternehmensgröße haben. Von unter 100 Mitarbeitern bis zu 300.000 Mitarbeitern ist alles dabei. Die Lizenzkosten berechnen sich nach Größe des Unternehmens, sind aber einmal zu zahlen und beinhalten dann eine konzernweite und nicht limitierte Lizenz.
AddOn mit einfacher Installation
Nach Lizenzierung erhält man den Zugriff auf den Download, mit dem sich der Code ins System integrieren lässt. Das ist ein SAP Add-on, das klassisch über den SAP Add-on-Installer installiert wird. Im Implementation Guide gibt es dann zusätzliche Konfigurationsmöglichkeiten.
Die Detail-Implementierung wird nach kurzer Einarbeitung oft von Kunden selbst durchgeführt. Die Bestimmung der datenschutzrelevanten Informationen und Felder kann zwar von der IT konfiguriert werden. Sie sollte allerdings mit dem Business und der Rechtsabteilung abgestimmt werden. Ein Standard-Content für vordefinierte Datenschutz-relevante Felder wird zurzeit nicht ausgeliefert.
Interesse?
Ein Webinar mit Demoszenario ist bereits verfügbar und das Team um Tobias Keller arbeitet gerade daran, ein Testszenario über die CAL zur Verfügung zu stellen, sodass sich interessierte Kunden ein genaueres Bild von den Tools machen können. Melden Sie sich bei uns, wenn Sie diesbezüglich Interesse haben. Weitere Details können Sie auch der Präsentation als Download entnehmen.
Weiterführende Informationen
- SAP UI Masking und UI Logging https://rz10.de/knowhow/sap-ui-masking-und-ui-logging/