SAP Reporting Systeme rechtzeitig nach VS-NfD Kriterien abgesichert

Im Zuge von Outsourcing Vorhaben werden SAP Reporting Systeme rechtzeitig nach VS-NfD Kriterien abgesichert und erreichen so maximale Sicherheit.

100 Prozent Perfektion bei maximaler Sicherheitsstufe: Das war bei dem Projekt gefragt, an dem das SAP-Beratungsunternehmen Xient gemeinsam mit der Siemens AG zusammenarbeitete.  

Die Ausgangslage: Die Siemens GS IT, die allen Geschäftseinheiten und externen Kunden IT-Services bereitstellt, wollte ein zentrales Berichtssystem (SAP BW) im Bereich des Supports an einen externen Dienstleister, dem Accenture-Support-Team, ausgliedern. Dabei wären sensible Daten im Umlauf, die nicht für jeden zugänglich gemacht werden durften und einer Geheimhaltungsstufe unterlagen. 

Um dieses Problem zu lösen, unterstützte Xient die Siemens AG als Vorbereitung auf das Outsourcing dabei, diese besonders klassifizierten Daten und VS-NfD-relevanten Informationen (“Verschlusssachen – nur für den Dienstgebrauch”) vollständig gegen unerlaubte Zugriffe zu verriegeln.  

“Zuverlässigkeit und Perfektion waren für die Zusammenarbeit essenziell”, sagt Mamun Natour, IT-Verantwortlicher bei Siemens. “Weil ein maximales Sicherheitsrisiko bestand, wäre es inakzeptabel gewesen, wenn jegliche Daten, selbst in kleinsten Ausmaß, einsehbar gewesen wären.” 

Ein Berechtigungskonzept für maximale Sicherheit 

Xient hat sich bei dem Projekt als idealer Partner erwiesen, weil das Team die notwendige Expertise und die passenden Skills in Data Analytics und BI sowie Security- und Datenschutz-Themen für diesen komplexen Case mitgebracht hat. Außerdem bildete Xient als Vermittler zwischen den Fachbereichen beim Kunden und der IT-Abteilung eine wichtige Schnittstelle. 

Der Lösungsansatz des Problems beinhaltete die Erstellung eines Berechtigungskonzepts. Der ursprüngliche Auftrag des Kunden an Xient war es, durch einen Algorithmus, Literale im gesamten BW-System aufzufinden. Dafür wurden bestimmte Daten und Begriffe im System anonymisiert. Die Anforderung war, dass die Anonymisierung nicht umkehrbar und nicht entschlüsselbar ist. Das Konzept stand – doch es wurde festgestellt, dass es für die Datenintegrität in einem BI-System mit täglich Millionen neuer Daten zu gefährlich und riskant war. Ein Plan B musste her, der schlussendlich erfolgreich war: Eine hybride Lösung aus Data Analytics Algorithms gestützt durch das Berechtigungskonzept. Xient identifizierte eine konkrete und vollständige Liste aller VS-NfD-relevanten Quellsysteme, ausgehend von den Datenquellen (Data Sources) und basierend auf ihren Datenzielen. 

Daraufhin wurden Maßnahmen getroffen, um den Zugang zu den vertraulichen Informationen vollständig zu beschränken. Dafür war ein neues und maßgeschneidertes Berechtigungskonzept notwendig, das Xient realisiert hat.  

Das Ziel war es, die Berechtigungsrollen derart zuzuschneiden, dass die Administrierbarkeit für die täglichen Arbeiten des Support-Teams gegeben ist – ohne dass dieser Personenkreis die VS-NfD-relevanten Daten einsehen kann. 

Beschreibung des Data Analytics-Suchalgorithmus 

Xient programmierte sämtliche Analyse-Tools per ABAP (Report), die im Zielsystem jederzeit ausführbar waren. Der Xient-Suchalgorithmus ist in der Lage, immer wieder aufs Neue alle Datenziele ausfindig zu machen, in die relevante Daten sich streuen können. Durch dieses Tool war selbst der Kunde überrascht: Denn es wurden unerwarteterweise Bereiche aufgezeigt, die sonst nicht bekannt waren und die automatisch berechtigt bzw. abgesperrt wurden. 

Bezüglich der Quellsysteme waren zwei logische Systeme mit dem Berichtssystem verbunden, aus denen Bewegungsdaten mit VS-NfD-relevanten Informationen extrahiert wurden.  

“Das Projekt war ein Erfolg. Durch die Zusammenarbeit haben wir uns in der Aufgabe stetig weiterentwickelt”, sagt Yavuz Yildiz, Geschäftsführer von Xient. “Die Erkenntnisse, die wir aus diesem Projekt gezogen haben, haben wir anschließend direkt in ein weiteres Projekt mit der Siemens AG eingebracht.” 

Fazit 

Xient hat es geschafft, die sensiblen Daten des entsprechenen SAP BW-Systems erfolgreich zu schützen, sodass externe Dienstleister des Kunden ihrer Arbeit nachgehen konnten, ohne dabei auf die verschlüsselten Informationen zugreifen zu können. 

Ein am Projekt anschließender Penetrationstest durch ein spezialisiertes Unternehmen hat das erfolgreiche Ergebnis bestätigt: Der Versuch, mit allen Mitteln an die sensiblen Daten und Informationen zu gelangen, ist missglückt, sodass Siemens sicher sein konnte, dass es tatsächlich unmöglich war, unautorisiert auf die Daten zuzugreifen. 

“Weil wir allgemein Outsourcing-Bestrebung verstärken und externe Dienstleister zur Kostenreduktion bei gleichbleibender Datensicherheit einbinden, haben wir in Zusammenarbeit mit Xient ein Verfahren entwickelt, das bei ähnlichen Situationen wieder anwendbar sein wird und den gesamten Prozess der Erstellung von Berechtigungskonzepten beschleunigt“, erklärt der IT-Verantwortliche bei Siemens. “Insgesamt war die Zusammenarbeit mit Xient sehr gut, kollaborativ und immer sehr konstruktiv.”