Attributbasiertes Data Masking für SAP

Wie Sie den Schutz der ERP-Daten effektiv verbessern und Compliance-Risiken deutlich reduzieren!

SAP-Anwendungen enthalten große Mengen sensibler Daten. Von geschützten personenbezogenen bis hin zu privilegierten Finanzinformationen bergen diese stets auch Risiken, denen Unternehmen begegnen müssen, da es in SAP ERP von Haus aus keine Masking-Funktionen zur passgenauen Anonymisierung in den Ansichten gibt. Die ungehinderte Offenlegung von Daten stellt somit ein potenzielles Leck dar und bietet eine riesige Angriffsfläche, die ausgenutzt werden kann. Obwohl Add-ons und Lösungen von SAP und Drittanbietern existieren, um das Problem anzugehen, bestehen immer noch erhebliche Herausforderungen. Hier setzt das Konzept des attributbasierten Data Maskings an.

„ES GEHT UM DEN SCHUTZ VON DATEN, DIE NOTWENDIG UND DA SIND, DIE ABER NICHT JEDER SEHEN SOLL, UM DAS EINSCHRÄNKEN DER ANSICHTEN AUF SITUATIV RELEVANTE INFORMATIONEN.“

Ralf Kempf Vice President ABAP Architecture, Pathlock

Nicht erst seit der zunehmenden Internationalisierung, seit Corona und vermehrtem Homeoffice sind prozessrelevante, aber sensible Daten in Gefahr, auch von externen oder internen Betrachtern eingesehen zu werden, deren Einsicht situativ oder generell weder nötig noch gewünscht ist. Konkret bedeutete dies: Wenn der Mitarbeiter aus der Personalabteilung aus dem Ausland arbeitet und Stammdatenpflege betreibt, sollten weder ein Passant, der ihm über die Schulter blickt, noch der Sitznachbar ungehinderten Einblick auf sensible Daten bekommen. Ein Packer muss anhand der Materialstammnummer natürlich wissen, welches Paket er nehmen soll, aber er muss nicht im Detail wissen, welchen Inhalt es hat. Wenn ein Vertrieb mit Stammdaten arbeitet, um Angebote zu erstellen, muss er in der Stammkarte das richtige Produkt finden, die richtige Verpackungseinheit, das Gebinde sehen können, jedoch nicht alle Einkaufspreise kennen.

Data Loss Prevention

Data Masking erstreckt sich also nicht allein auf die Reduzierung missbräuchlicher Ansicht (Fraud) personenbezogener Daten und ist wesentlich weiter gefasst als die reine Anonymisierung und Pseudonymisierung von Personen- und Adressdaten. Vielmehr lassen sich alle denkbaren Datentypen maskieren. Ziel des Maskierens der Originaldaten ist stets die sogenannte Data Loss Prevention, das Problem von Datendiebstahl, Datenmissbrauch oder anderen Formen von Datenkriminalität dadurch zu lösen, dass man die Ansichten der Datenbasis selbst verändert: „Vereinfacht gesagt“, so Ralf Kempf, Vize Präsident ABAP Architecture der neuen multinationalen Pathlock-Gruppe, „geht es um den Schutz von Daten, die notwendig und da sind, die aber nicht jeder sehen soll, um das Einschränken der Ansichten auf situativ relevante Informationen.“

Datenmaskierung in einem Regelsatz

Die meisten Data-Masking-Lösungen von SAP und Drittanbietern stehen diesbezüglich immer noch vor einigen Herausforderungen, weil sie rein auf der Ebene von Berechtigungen operieren. Statische Maskierungsrichtlinien berücksichtigen dabei nicht den Kontext des Zugriffsrisikos und zwingen zu einem Kompromiss zwischen Datensicherheit und Zugänglichkeit. Privilegierte Benutzer können auf sensible Datenfelder zugreifen, selbst wenn dies in einem speziellen Kontext nicht erforderlich oder gewünscht ist. Add-ons zur Datenmaskierung erfordern zudem Anpassungen, die in jedem Feld der Anwendung repliziert werden müssen, was zu einer nicht skalierbaren Ad-hoc-Lösung führt. Im Gegensatz zu solchen Standard-Maskierungslösungen zentralisiert der Pathlock-Ansatz die Durchsetzung der Datenmaskierung in SAP in einem einzigen Regelsatz, um Daten in der gesamten Anwendung zu definieren und zu maskieren, und setzt zusätzlich dynamische Richtlinien ein, die den Risikokontext einbeziehen, um die sensiblen Daten zielgenauer zu schützen, ohne dass für die Implementierung zusätzliche Anpassungen an SAP nötig sind.

Diese attributbasierte Maskierungsfunktion bedeutet eine fein abgestufte Kontrolle darüber, welche Informationen für einen bestimmten Benutzer in einer bestimmten Situation maskiert werden. Dies ist etwa dann besonders wichtig, wenn ein multinationales Unternehmen missbräuchliche Ansichten verhindern will. Daten werden beispielsweise maskiert bei Zugriffen aus Ländern, die nicht zu den Unternehmensstandorten gehören, die von remoten Arbeitsplätzen von außerhalb des Netzwerks, unbekannten IP-Adressen oder VPNs ausgehen oder außerhalb der jeweiligen Geschäfts- bzw. plausiblen Uhrzeiten stattfinden. Eigentlich lesbare und für die Rolle erlaubte Inhalte sind so je nach Ausprägung von frei konfigurierbaren Attributen wie dem User, der IP-Adresse, Uhrzeit, von Ländern bzw. Standorten, der Zugriffsart – Remote-Arbeit von außerhalb oder Zugriff innerhalb des Netzwerks – oder der Netzwerk-Art (etwa VPN) nicht sichtbar. „Erfolgt ein Zugriff mit ungewöhnlichen Parametern, werden je nach Attribut für den konkreten Fall unnötige Daten auch nicht lesbar sein“, fasst Kempf zusammen.

Risiken minimieren

Dies ist allein über User-Berechtigungen so nicht umsetzbar und berücksichtigt die je nach Branche unterschiedliche Kritikalität etwa von Stammdaten wie: Personal-, Lokations-, Logistikdaten sowie Lieferanteninformationen oder Stücklisten, Einkaufspreisen und Rezepturen. Attributbasiertes Data Masking bedeutet hier einen erheblich verbesserten Schutz sensibler Unternehmensdaten durch feingranulare Einschränkung der Ansichten. Die richtlinienbasierte dynamische Maskierungsfunktion der zentralisierten und skalierbaren Maskierungslösung bietet Unternehmen damit zusätzlich zum Berechtigungsschutz eine individuell anpassbare Kontrolle darüber, welche sensiblen Datenfelder sie für einen bestimmten Benutzer in einer konkreten Situation maskieren wollen. Durch die Implementierung einer vollständigen oder teilweisen Maskierung eines Datensatzes minimiert sie damit das Risiko einer Datenpanne und erfüllt auch Verschlüsselungs- und Anonymisierungsanforderungen etwa von Aufsichtsbehörden.

Durch das Herausfiltern sensibler Daten auf der Darstellungsebene ohne zusätzliche Anpassungen an SAP entsteht kein zusätzlicher Wartungsaufwand für Aktualisierungen, aber es gelingt in hohem Maße, den Schutz von ERP-Daten zu verbessern und Compliance-Risiken zu reduzieren. Dies gilt für sensible Daten in Produktions- und Nicht-Produktionsumgebungen gleichermaßen. Kombiniert man das attributive Data Masking dann zusätzlich mit einem Data-Loss-Detection-Konzept und einer guten Echtzeitüberwachung der Abweichungen von Compliance-Vorschriften, führt dies zu einer signifikanten Steigerung des Datenschutzes in einer Qualität, die so kaum eine andere Lösung weltweit bieten kann.

Ralf Kempf (Vice President ABAP Architecture, Pathlock)

Dieser Artikel ist im IT Security Magazin Oktober 2022 (Seite 52+53) erschienen und steht als kostenloser online Leser-Service auf it-daily.net zur Verfügung: https://www.it-daily.net/leser-service

Weitere Infos zum Thema Data Masking:

In unserer Webinar-Aufzeichnung erhalten Sie noch tiefere Einblicke in die Thematik. Fordern Sie sich gleich den Zugangslink über unser Webinar-Archiv an.