Der Schutz des geistigen Eigentums von Unternehmen gewinnt in Zeiten wachsender Cyberkriminalität immer mehr an Bedeutung. Da geistiges Eigentum auf den IT-Systemen der Unternehmen gespeichert ist, müssen Netzwerke und IT-Systeme umfassend geschützt werden. Dies ist und bleibt ein ewiger Wettlauf gegen immer neue Angriffsvektoren. Neben dem geistigen Eigentum der Unternehmen sind vor allem personenbezogene Daten ein weiterer, sehr sensibler Bereich. Diese müssen nicht nur vor unberechtigtem Zugriff von außen, sondern auch von innen geschützt werden.

Branchen wie Banken und Versicherungen sowie Einrichtungen wie Krankenhäuser müssen den Zugang zu Kunden- und Patientendaten besonders umfassend absichern. Aber auch alle anderen Unternehmen in jeder Branche müssen dafür sorgen, dass geschäftskritische und sensible Daten vor unbefugtem Zugriff ausreichend geschützt sind. Das Datenschutzgesetz der EU untermauert dies, und sieht unter anderem Strafen für die Nichteinhaltung oder das Versäumnis vor, Schutzmaßnahmen im Umgang mit personenbezogenen Daten zu ergreifen. Der Lesezugriff auf sensible Daten muss protokolliert werden. Informationen zu geistigem Eigentum sowie personenbezogene Daten sind auch in SAP®-Systemen gespeichert. SAP bietet seinen Kunden mit dem sogenannten SAP Read Access Logging (RAL) eine Möglichkeit, den Zugriff auf sensible Daten zu protokollieren.

Die Konfiguration von SAP-Systemen und die Protokollierung des Lesezugriffs stellt Unternehmen jedoch vor große Herausforderungen.

  • Wo befinden sich die relevanten und personenbezogenen Daten?
  • Wie lässt sich SAP Read Access Logging konfigurieren?
  • Welche Transaktionen sowie Ein- und Ausgabefelder sind für die Protokollierung wichtig?
  • Wie können die Logdaten zu Lesezugriffen extrahiert werden?
  • Wie wird das Protokoll für den Lesezugriff abschließend ausgewertet?
  • Und wie kann ein Alarm generiert werden?

Die erzeugten SAP Read Access Logs sollten in Lösungen für Security-Log-Management oder in SIEM-Lösungen (SIEM: Security Information and Event Management) überwacht werden. Hier können die SAP Read Access Logs der gesamten angebundenen SAP-Systeme zentral eingesehen, geprüft und überwacht werden. Der Kundennutzen liegt auf der Hand:

  • Zentrale, automatisierte Überwachung des Read Access Logs im Hinblick auf verdächtige Zugriffe auf personenbezogene Daten durch nicht autorisierte Benutzergruppen
  • Überwachung der Zugriffszahlen für einzelne Nutzer und Meldung von Normabweichungen
  • Erstellung von Audit-Trails zu Lesezugriffen für eine nachträgliche Analyse
  • Alle angebundenen SAP-Systeme werden in einer Datensenke zusammengefasst
  • Ad-hoc-Berichte und
  • Regelbasierte Auswertung der Logdaten in Form von Alerts
  • Korrelation der Daten aus dem Read Access Logging mit Informationen aus dem Netzwerk (Erkennung von Datenverlusten)

Überwachung des Missbrauchs personenbezogener Daten mit SAP® Read Access Logging

Das SAP Read Access Log speichert Lese- und Schreibzugriffe in bestimmten Feldern von Transaktionen, Berichten oder Programmen und ist damit ein sehr wichtiger Bestandteil zur Erfüllung der Verpflichtungen der EU-Datenschutz-Grundverordnung (GDPR oder DSGVO) – der Protokollierung des Zugriffs auf personenbezogene Daten. Im Folgenden sind einige Beispiele aufgeführt, wie personenbezogene Daten in einem SAP-System missbräuchlich verwendet werden können:

  • Sozialversicherungs- oder Versicherungsnummern sind in vielen Ländern wichtige und personenbezogene Daten, von denen viele in SAP-Systemen, beispielsweise in Behörden, gespeichert sind. Ein unbefugter Zugriff auf diese Informationen kann leicht dazu führen, dass diese Daten aus dem SAP-System heruntergeladen und an ein privates E-Mail-Konto gesendet werden.
  • Finanzbehörden führen Informationen über Steuersünder in den SAP-Systemen. Die Spezialisten sind angewiesen, Suchhilfen im SAP-System zu verwenden, um mit Einschränkungen und Suchbegriffen nur nach bestimmten Personen zu suchen, und beispielsweise nicht die gesamte Liste der Steuerhinterzieher zu laden. Die Verwendung einer SAP-Eingabehilfe mit einem „*“-Platzhalter kann jedoch dazu führen, dass eine große Anzahl von Steuerhinterziehern im System angezeigt wird. In einem SAP-System ist es ein einfacher Schritt, diese Liste zu exportieren und herunterzuladen. Die Weitergabe dieser Liste mit den Informationen zu prominenten Steuersündern an die Presse ist denkbar – und auch bereits geschehen. Ohne das Read Access Logging für die wesentlichen Felder steht beispielsweise eine Finanzbehörde vor dem unlösbaren Problem, den Missbrauch der SAP-Eingabehilfe nachvollziehen zu können.
  • Informationen zu Gehalts- oder Rentenzahlungen in einem SAP-System können ausgedruckt und auf einem Drucker oder an einem öffentlich zugänglichen Ort hinterlassen werden. Natürlich bedürfen sensible Daten der Vertraulichkeit. Ein Ausdruck ist an und für sich bereits ein Verstoß, und die Weitergabe solcher Daten ist natürlich ein Missbrauch. Wie lässt sich feststellen, wer Zugang zu diesen Informationen hatte? Wer hat in den vergangenen Tagen auf welche Konten zugegriffen und wer hat die Daten ausgedruckt?
  • In Unternehmen ist Jobrotation willkommen. So kann es durchaus sein, dass Mitarbeiter beispielsweise alle drei Jahre eine andere Position in einem anderen Geschäftsbereich oder einer anderen Abteilung bekleiden. Es stellt sich jedoch die Frage, ob die SAP-Konten dieser Mitarbeiter und ihre Berechtigungen immer angepasst werden, oder ob einfach die notwendigen Rollen für die neue Abteilung und die benötigten Zugriffsrechte hinzugefügt werden. So kann es durchaus vorkommen, dass der Wechsel eines Mitarbeiters von der Personal- in die Rechtsabteilung oder umgekehrt zu interessanten Kombinationen aus Berechtigungen führt. Möglicherweise könnte ein Mitarbeiter – wohl wissend, dass er von einer Abteilung in eine andere wechselt – die bestehenden oder neu hinzugefügten SAP-Rollen ausnutzen, um auf sensible Daten zuzugreifen. So könnte dieser Mitarbeiter beispielsweise von einem Computer beziehungsweise einem Konto aus auf verschiedene Konten und sensible Mitarbeiterdaten zugreifen, obwohl er eigentlich keinen Zugriff mehr auf diese Daten haben sollte.

Dieser oder ein ähnlicher Missbrauch personenbezogener Daten kann in SAP-Systemen vorkommen. Die Konfiguration der Read Access Logs und deren Auswertung ist nicht zuletzt in Zeiten der DSGVO ein wesentlicher Bestandteil des SAP Security Monitorings. Mit Hilfe dieser Logdaten können zumindest Zugriffsprotokolle für SAP generiert, aus SAP extrahiert, zentral gesammelt und im besten Fall automatisch mit entsprechenden Regeln überwacht werden.

Mit einer Lösung für Security-Log-Management oder einer SIEM-Lösung werden verschiedenste Logdaten gesammelt und automatisch mit Hilfe von Regeln überwacht oder als Bericht zur Verfügung gestellt. Die Integration von SAP-Logdaten in solche Systeme hat nicht nur den Vorteil, dass eine Überwachung speziell für SAP eingerichtet wird, sondern auch, dass die SAP-Logdaten mit Informationen aus dem Netzwerk korreliert werden. Das erwähnte Szenario, SAP-Informationen unberechtigt anzusehen, herunterzuladen und an ein privates E-Mail-Konto zu senden, kann durch die Korrelation von SAP-Logdaten mit den Protokollen des E-Mail-Gateways und des VPN-Zugangs aufgedeckt werden.