Im Zuge von Outsourcing Vorhaben werden SAP Reporting Systeme rechtzeitig nach VS-NfD Kriterien abgesichert und erreichen so maximale Sicherheit.

100 Prozent Perfektion bei maximaler Sicherheitsstufe: Das war bei dem Projekt gefragt, an dem das SAP-Beratungsunternehmen Xient gemeinsam mit der Siemens AG zusammenarbeitete.  

Die Ausgangslage: Die Siemens GS IT, die allen Geschäftseinheiten und externen Kunden IT-Services bereitstellt, wollte ein zentrales Berichtssystem (SAP BW) im Bereich des Supports an einen externen Dienstleister ausgliedern. Dabei waren sensible Daten im Umlauf, die nicht für jeden zugänglich sein sollten und einer Geheimhaltungsstufe unterlagen. 

Um dieses Problem zu lösen, unterstützte Xient die Siemens AG als Vorbereitung auf das Outsourcing dabei, diese besonders klassifizierten Daten und VS-NfD-relevanten Informationen (“Verschlusssachen – nur für den Dienstgebrauch”) vollständig gegen unerlaubte Zugriffe zu verriegeln.  

“Zuverlässigkeit und Perfektion waren für die Zusammenarbeit essenziell”, sagt Mamun Natour, IT-Verantwortlicher bei Siemens. “Weil ein maximales Sicherheitsrisiko bestand, wäre es inakzeptabel gewesen, wenn jegliche Daten, selbst in kleinstem Ausmaß, einsehbar gewesen wären.” 

Ein Berechtigungskonzept für maximale Sicherheit 

Xient hat sich bei dem Projekt als idealer Partner erwiesen, weil das Team die notwendige Expertise und die passenden Skills in Data Analytics und BI sowie Security- und Datenschutz-Themen für diesen komplexen Case mitgebracht hat. Außerdem bildete Xient als Vermittler zwischen den Fachbereichen beim Kunden und der IT-Abteilung eine wichtige Schnittstelle. 

Der Lösungsansatz des Problems beinhaltete die Erstellung eines Berechtigungskonzepts. Der ursprüngliche Auftrag des Kunden an Xient war es, durch einen Algorithmus, Literale im gesamten BW-System aufzufinden. Dafür wurden bestimmte Daten und Begriffe im System anonymisiert. Die Anforderung war, dass die Anonymisierung nicht umkehrbar und nicht entschlüsselbar ist. Das Konzept stand – doch es wurde festgestellt, dass es für die Datenintegrität in einem BI-System mit täglich Millionen neuer Daten zu gefährlich und riskant war. Ein Plan B musste her, der schlussendlich erfolgreich war: Eine hybride Lösung aus Data Analytics Algorithms gestützt durch das Berechtigungskonzept. Xient identifizierte eine konkrete und vollständige Liste aller VS-NfD-relevanten Quellsysteme, ausgehend von den Datenquellen (Data Sources) und basierend auf ihren Datenzielen. 

Daraufhin traf Xient Maßnahmen, um den Zugang zu den vertraulichen Informationen vollständig zu beschränken. Dafür war ein neues und maßgeschneidertes Berechtigungskonzept notwendig, das Xient realisiert hat.  

Ziel war, die Berechtigungsrollen derart zuzuschneiden, dass die Administrierbarkeit für die täglichen Arbeiten des Support-Teams gegeben ist. Und dies, ohne dass dieser Personenkreis die VS-NfD-relevanten Daten einsehen kann. 

Beschreibung des Data Analytics-Suchalgorithmus 

Xient programmierte sämtliche Analyse-Tools per ABAP (Report), die im Zielsystem jederzeit ausführbar waren. Der Xient-Suchalgorithmus ist in der Lage, immer wieder aufs Neue alle Datenziele ausfindig zu machen, in die sich relevante Daten streuen können. Das Tool überraschte selbst den Kunden. Denn es zeigte unerwarteterweise Bereiche auf, die sonst nicht bekannt waren und die automatisch berechtigt bzw. abgesperrt wurden. 

Bezüglich der Quellsysteme waren zwei logische Systeme mit dem Berichtssystem verbunden. Aus diesen erfolgte die Extraktion von Bewegungsdaten mit VS-NfD-relevanten Informationen.  

“Das Projekt war ein Erfolg. Durch die Zusammenarbeit haben wir uns in der Aufgabe stetig weiterentwickelt”, sagt Yavuz Yildiz, Geschäftsführer von Xient. “Die Erkenntnisse, die wir aus diesem Projekt gezogen haben, haben wir anschließend direkt in ein weiteres Projekt bei der Siemens AG eingebracht.” 

Fazit 

Xient hat es geschafft, die sensiblen Daten des entsprechenden SAP BW-Systems erfolgreich zu schützen. So konnten externe Dienstleister des Kunden ihrer Arbeit nachgehen, ohne dabei auf die verschlüsselten Informationen zugreifen zu können. 

Ein am Projekt anschließender Penetrationstest durch ein spezialisiertes Unternehmen hat das erfolgreiche Ergebnis bestätigt. Der Versuch, mit allen Mitteln an die sensiblen Daten und Informationen zu gelangen, ist missglückt. Infolgedessen konnte Siemens sicher sein, dass ein unautorisierter Zugriff auf die Daten tatsächlich unmöglich war. 

“Weil wir allgemein Outsourcing-Bestrebung verstärken und externe Dienstleister zur Kostenreduktion bei gleichbleibender Datensicherheit einbinden, haben wir in Zusammenarbeit mit Xient ein Verfahren entwickelt, das bei ähnlichen Situationen wieder anwendbar sein wird und den gesamten Prozess der Erstellung von Berechtigungskonzepten beschleunigt“, erklärt der IT-Verantwortliche bei Siemens. “Insgesamt war die Zusammenarbeit mit Xient sehr gut, kollaborativ und immer sehr konstruktiv.”