DSGVO-Umsetzung erfordert ein stabiles Konzept für die SAP-Datensicherheit

So reduzieren CIOs durch eine automatisierte Weitergabekontrolle sensibler SAP-Daten innerhalb kurzer Zeit das Risiko für Strafzahlungen

Die Anforderungen der EU-DSGVO schmücken schon seit geraumer Zeit die Titelseiten der SAP- und Wirtschaftspresse. Für SAP-Kunden geht es insbesondere um die Identifizierung personenbezogener Daten in der SAP-Systemlandschaft, deren Pseudonymisierung in Kopien des Produktivsystems sowie das zeitnahe Beauskunften, das Sperren und schließlich das Löschen einzelner Nutzerdaten. Mit dem Ende der Übergangsfrist am 25. Mai 2018 wird die viel diskutierte Thematik nun zur Realität. Wer Anfang 2018 noch kein Projekt aufgesetzt hat, solle besser Rückstellungen für den Fall eines grundsätzlichen Verstoßes bilden – so die durchaus ernstgemeinte Empfehlung der Experten.

Fehlende Datensicherheit birgt größere Risiken für Strafzahlungen als das Verletzen der Auskunftsrechte Einzelner

Aber was macht die Umsetzung der DSGVO eigentlich so aufwendig? Die vorhergesagte Langwierigkeit des Vorhabens resultiert in erster Linie aus der Komplexität der heutigen Unternehmensprozesse. Auch wenn SAP-Anwendungen eine zentrale Rolle spielen, verteilen sich die einzelnen Prozessschritte oft über mehrere Anwendungen. Daten werden aus SAP-Systemen exportiert und in anderen Non-SAP-Applikationen, wie zum Beispiel Microsoft Excel, weiterverarbeitet. Dadurch werden sie der Kontrolle des SAP-Berechtigungswesens und des Information Lifecycle Managements (ILM) entzogen. Das Sperren und Löschen von Daten ist in solchen Fällen sehr schwer – wenn nicht sogar unmöglich. Die Folge: Unternehmen verletzen die Auskunfts-, Sperrungs- und Löschrechte Einzelner, und riskieren hohe Strafzahlungen. Es kann sogar noch schlimmer werden: Fehlen wichtige Datensicherheitsmechanismen, wird jeder Datenmissbrauch durch Hacker oder Insider zu einem potenziellen DSGVO-Vertstoß. Im Ernstfall bedeutet das eine Alarmierung der Aufsichtsbehörden und damit hohen Strafzahlungen. Kurzum: Ohne eine funktionierendes IT-Sicherheitskonzept, fehlt die Basis für jegliche Datenschutzmaßnahmen. Insbesondere die Kontrolle der Datenexporte aus SAP-Anwendungen gehört zu den grundsätzlichen Maßnahmen für eine DSGVO-konforme Verarbeitung personenbezogener Daten.

Je weniger personenbezogene Daten außerhalb von SAP im Umlauf sind, desto geringer ist der Aufwand für das Lokalisieren, Sperren und Löschen

Mit Hilfe schnell einsetzbarer Sicherheitslösungen wie SECUDE HALOCORE und automatisierter Klassifikation der Downloads lassen sich unautorisierte Exporte wirksam verhindern. Gleichzeitig können Daten, die außerhalb von SAP benötigt werden, mit dem gleichen Schutzbedarf wie innerhalb der SAP Anwendung versehen, und dadurch wirksam geschützt werden. Für die Absicherung der SAP-Daten in unstrukturierten Dokumenten ist im HALOCORE-Konzept der de-facto-Standard von Microsoft zuständig. Mit Microsoft AIP/RMS lassen sich alle Dokumentenarten verschlüsseln und dadurch der Zugriff sowie die Verarbeitungsrechte granular kontrollieren. Das schützt personenbezogene Daten und senkt den entscheidenden Anteil des Risikos für Strafzahlungen aufgrund von DSGVO-Verletzungen. Gleichzeitig werden auch unternehmenskritische Daten, wie zum Beispiel geistiges Eigentum, vor Missbrauch und Verlust bewahrt.

 

Mehr erfahren

Zur HALOCORE-Lösungsseite

Das könnte Sie auch interessieren

Leitfaden: SAP-Sicherheit im digitalen Zeitalter
Sichere Kommunikation trotz VPN-Verbot in China
Sicherheitsrisiko USB-Stick – So schützen sich SAP-Kunden vor Datenverlust und Schadsoftware