Weiterlesen mit NEWS. Jetzt testen.
Lesezeit ca. 6 Min.

Umfassende IT-Sicherheit für SAP HANA: Verschlüsselung in vielschichtigen Umgebungen


S@PPORT - epaper ⋅ Ausgabe 9/2019 vom 09.09.2019

Heute ist Verschlüsselung eines der wichtigsten Instrumente der IT-Sicherheit. Nicht zuletzt sind digitale Daten inzwischen zur wichtigsten Geschäftsgrundlage geworden; gleichzeitig nehmen Datenschutzverletzungen weiter zu. Häufig sind IT-Umgebungen äußerst komplex aufgebaut, was nicht selten zu Konfigurationsfehlern und unbeabsichtigt verursachten Schwachstellen führt. Compliance nachzuweisen ist erheblich schwieriger geworden. Das ist in SAP-HANA-Umgebungen prinzipiell nicht anders als in anderen komplexen Infrastrukturumgebungen.


Artikelbild für den Artikel "Umfassende IT-Sicherheit für SAP HANA: Verschlüsselung in vielschichtigen Umgebungen" aus der Ausgabe 9/2019 von S@PPORT. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: S@PPORT, Ausgabe 9/2019

Bildquelle: iStockphoto/Thales

Dabei werden Angriffe nicht nur ...
SAP-Lösungen sind in vielen Unternehmen zentrale Infrastrukturkomponenten. Sie weisen aber SAP-typische Besonderheiten und Anforderungen auf. Konfigurationsfehler und Sicherheitsrisiken wiegen dadurch schwerer. Verschlüsselung kann hier das Mittel der Wahl für eine umfassende IT-Sicherheit sein. ...

Weiterlesen
epaper-Einzelheft 8,99€
NEWS 30 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von S@PPORT. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 9/2019 von Analytics: Wissen in Daten suchen: Datenanalyse entlang der Wertschöpfungskette. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Analytics: Wissen in Daten suchen: Datenanalyse entlang der Wertschöpfungskette
Titelbild der Ausgabe 9/2019 von Und Action!: Digitalisierung konsequent machen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Und Action!: Digitalisierung konsequent machen
Titelbild der Ausgabe 9/2019 von SAP-Partner treffen DSAG-Mitglieder: Aussteller beim 20. DSAG-Jahreskongress. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
SAP-Partner treffen DSAG-Mitglieder: Aussteller beim 20. DSAG-Jahreskongress
Titelbild der Ausgabe 9/2019 von Finanzielle Prozesse neu gestalten: IBM und Volkswagen Sachsen: Lösungen für emissionsfreie E-Mobilität. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Finanzielle Prozesse neu gestalten: IBM und Volkswagen Sachsen: Lösungen für emissionsfreie E-Mobilität
Titelbild der Ausgabe 9/2019 von „Ein Unternehmen zu führen: ist wie Jazz!”. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
„Ein Unternehmen zu führen: ist wie Jazz!”
Titelbild der Ausgabe 9/2019 von SAP Data Hub: Datenkomplexität verringern und Business Continuity aufrechthalten. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
SAP Data Hub: Datenkomplexität verringern und Business Continuity aufrechthalten
Vorheriger Artikel
SAP Data Hub: Datenkomplexität verringern und Business Conti…
aus dieser Ausgabe
Nächster Artikel Komplex und kompliziert – nicht unbedingt: Identity- und Ac…
aus dieser Ausgabe

Dabei werden Angriffe nicht nur ausgefeilter, sie verändern sich zudem in einer immer schneller werdenden Taktung. Die Trennschärfe zwischen internen und externen Attacken ist dabei längst nicht mehr eindeutig gegeben. Dazu addieren sich die Herausforderungen von Cloud, gehosteten Umgebungen und Daten, die über unterschiedliche Orte verteilt sind. Das macht es schwieriger IT-Sicherheit umzusetzen und hat zudem die Angriffsfläche verbreitert.
SAP-Lösungen sind in vielen Unternehmen zentrale Infrastrukturkomponenten. Sie weisen aber SAP-typische Besonderheiten und Anforderungen auf. Konfigurationsfehler und Sicherheitsrisiken wiegen dadurch schwerer. Verschlüsselung kann hier das Mittel der Wahl für eine umfassende IT-Sicherheit sein.
Dass Unternehmen allerdings oftmals einem Trugschluss aufsitzen und mancherorts nicht mit den richtigen Strategien an das Thema herangehen, zeigen auch die Zahlen. 61 Prozent der im Rahmen des „2019 Thales Data Threat Reports – Europäische Ausgabe” Befragten geben an, bereits Opfer einer Datenschutzverletzung geworden zu sein, 29 Prozent davon allein im letzten Jahr. Die Herkunft der Bedrohungen ist vielfältig und schließt eine große Zahl externer und interner Quellen mit ein. Daten, darunter höchst vertrauliche, wie Kundendaten, finanzielle Informationen und Geschäftsgeheimnisse werden als Teil der digitalen Transformation verarbeitet, transportiert, geteilt und gespeichert. Sie haben den gesicherten Hort der Security-Operations-Center verlassen und werden in der Cloud, auf mobilen Endgeräten und im Internet der Dinge genutzt
In ganz Europa setzen 84 Prozent der Unternehmen digitale, transformative Technologien ein oder planen dies zu tun. Dazu zählen die Cloud, Big Data, mobiler Zahlungsverkehr, soziale Medien, Container, Blockchain und IoT. Wenn es darum geht, Datenschutzvorgaben zu entsprechen, verlassen sich die Befragten inzwischen primär auf zwei bewährte Methoden, um strikten Regularien zu genügen: die Verschlüsselung von persönlichen Daten (47 Prozent) und die „Tokenisierung” (23 Prozent).

Gründe für die Verschlüsselung
Für Unternehmen, die SAP HANA in öffentlichen Cloud-Umgebungen – wie zum Beispiel SAPs gehostete Manage-ervice-Implementierung – nutzen oder sich auf Hosting- und Co-Locatio-nbieter verlassen, gelten zusätzliche Sicherheitsanforderungen. Firmen brauchen Instrumente mit denen sie das Potenzial für die gesetzlich vorgeschriebene Offenlegung von Daten durch Dritte minimieren, aber gleichzeitig die Leistungsfähigkeit von SAP HANA und der Cloud ausschöpfen können.
Compliance-Standards und Best Practices empfehlen Verschlüsselung und die Kontrolle der Zugriffsberechtigungen gleichermaßen. Beides gewährleistet die Kontrolle und Verwaltung der Schlüssel On-Premises sowie nach den Speicherrichtlinien für Data-at-Rest in Remot-mgebungen und Datenspeichern. Dazu sind längst nicht alle Verschlüsselungssysteme gut geeignet. Hochsichere Systeme sollten dafür sorgen, dass die Schlüssel auch in Remote-Umgebungen vor Malware sicher sind, aber auch vor nicht berechtigten Nutzern oder vor solchen, die als privilegierte Nutzer über erweiterte Zugriffsberechtigungen verfügen und diese potenziell missbrauchen könnten.

Risikobasierter Ansatz für Verschlüsselungsprojekte

*Charles Goldberg,
Vice President, Product Management für Cloud-Protection-and-Licensin-ktivitäten bei Thales

Die Herausforderungen an die Verschlüsselung von Data-at-Rest wachsen schneller als die Compliance-Anforderungen. Externe Angriffe und die digitale Transformation mit ihren vielfältigen, gemischten Umgebungen haben die Angriffsfläche vergrößert und setzen vertrauliche Daten einem hohen Risiko aus. Verschlüsselung ist eines der wichtigsten Instrumente um kritische IP- und Personally Identifiable Information (PII)-Daten zu schützen, finanzielle Informationen ebenso wie Kundendaten und Profile von Bürgern, um nur einige zu nennen. Firmen sollten beim Thema Verschlüsselung einen risikobasierten Ansatz fahren und sich dann für eine Lösung entscheiden, die in der Lage ist diese Risiken zu senken.
Strategische Initiativen wie diese können naturgemäß nur von der Führungsund Vorstandsebene ausgehen. Die Spitze des Unternehmens sollte zuverlässige Berater ermächtigen und eine Cybersicherheitskultur etablieren. Technologien sollten umfassend und bestens recherchiert sein und möglichst sämtliche erläuterten Funktionen bieten. Dann bietet eine Verschlüsselungslösung umfassende Data-at-Rest-Sicherheit und lässt sich auf SAP-HANA-Implementierungen und die betreffenden Mandate einfach und kostengünstig ausdehnen.”

Data-at-Rest
Unternehmen müssen in der Lage sein, umfassende Kontrollen für Data-at-Rest innerhalb des Dateisystems oder auf Volum-evel einzuziehen. Diese Kontrollen dürfen aber weder SAP-HANANutzer noch betriebliche Prozesse beeinträchtigen.
Fortschrittliche Lösungen vereinen Funktionen zur Verschlüsselung, das Schlüssel-Management und die Kontrolle der Zugriffsberechtigungen für privilegierte Konten. Dazu kommen Auditprotokolle der tatsächlichen Zugriffe auf die Daten, um sowohl strukturierte Daten in SAP-Datenbankumgebungen als auch unstrukturierte Daten zu schützen. Und das für traditionelle Rechenzentrumsserver, in virtuellen Umgebungen, verbundenen Cloud-Speichern, Infrastructure-as-a-Service(IaaS)-Implementierungen, Big Data und Container.

Zu den üblichen IT-Sicherheitsanforderungen für Data-at-Rest gehören:
■ Sensible Daten verschlüsseln
■ Zugriffsberechtigungen für verschlüsselte Daten überwachen
■ Den eigentlichen Zugriff auf die Daten überprüfen: das heißt wissen, wer, wie und wann auf geschützte Daten zugreift
■ Regelmäßige Rotation der Schlüssel
■ Kontrolle der Schlüsselverwaltung und
der Zugriffsrichtlinien

Sind diese Voraussetzungen erfüllt, gewährleisten sie zunächst den Betrieb von IT-Sicherheitslösungen mit SAP HANA. Um allerdings gleichzeitig effizient zu arbeiten, muss die Lösung auf den erforderlichen Level und mit der nötigen Geschwindigkeit skalieren können. Es gibt eine Reihe von wichtigen Elementen, die man im Einzelnen betrachten muss. Eine grundlegende Sicherheitsregel besagt: „wer die Kodierungsschlüssel kontrolliert, kontrolliert auch die Daten”. Diese Grundregel gilt ganz direkt für Daten, die mit SAP HANA verwendet werden. Bei On-Premise SAPHANA-Umgebungen kann man bei der Verschlüsselung von Daten auf Dateiund Datenträgerebene, die gemeinsam mit Zugriffskontrollen implementiert wird, den Datenzugriff effektiv auf die SAP-HANA-Prozesse und -Benutzer beschränken, die Zugriff auf Klartextdaten benötigen. So vorzugehen schmälert die Angriffsfläche für böswillige Insider und gegenüber externen Bedrohungen bei denen interne Konten oder Systeme kompromittiert wurden.
Ein weiteres Problem ist oftmals die Verteilung und Verwaltung der Schlüssel. In aller Regel sind das mehrere Schlüssel pro Server bei Hunderten von Servern. Sie manuell zu verwalten, zu kontrollieren und innerhalb der gesamten Umgebung richtlinienkonform vorzuhalten ist extrem schwierig
Wenn SAP HANA in IaaS implementiert ist, auf Cloud-Datenspeicherung zugreift oder als Managed-Service implementiert ist, wird Verschlüsselung noch wichtiger. Das gilt auch für den gesetzlich vorgeschriebenen Zugriff durch die örtlich zuständige Gerichtsbarkeit, dort wo sich die Cloud befindet. Ohne Zugriff auf die Schlüssel für die Cloud-Umgebung kann niemand auf die verschlüsselten und vertraulichen Daten aus der Cloud oder beim Provider zugreifen.

Transparenz in betrieblichen Prozessen
Ein weiteres Hauptanliegen bei Verschlüsselung in SAP-HANA-Umgebungen ist es, die Auswirkungen von ITSicherheitsmaßnahmen auf die betrieblichen Prozesse und die Benutzer zu minimieren. Das gelingt am besten wenn man Verschlüsselung und die Kontrolle der Zugriffsberechtigungen auf Dateisystem- oder Datenträgerebene implementiert statt auf der Anwendungsebene. Mit dem richtlinienbasierten Zugriff auf Daten, lässt sich innerhalb der SAP-HANA-Anwendung der vollständige Zugriff auf Klartext festschreiben, bei anderen Anwendungen und Benutzern aber auch auf den verschlüsselten Zugriff beschränken – und in vielen Fällen nur auf den Lesezugriff. Sind die Zugriffsberechtigungen korrekt vergeben, können Administratoren von Systemen, Datenbanken und Anwendungen ihre Aufgaben erledigen, haben aber nach wie vor keinen Zugriff auf sensible Daten im Klartext.
SAP-HANA-Bereitstellungen erstrecken sich über Hybrid- und Multi-Clou-mgebungen, große Datenmengen, mehrere Repositories und Links zu Cloud-Applikationen, Social-Media-Informationen, externe Datenbanken und Big-Data-Umgebungen wie Hadoop. Es ist zwar prinzipiell möglich, die ITSicherheitsanforderungen für eine Umgebung und ein System gleichzeitig zu erfüllen, normalerweise ist das allerdings nicht kosteneffizient. Für jede eingesetzte Punktlösung braucht man eine eindeutige Verwaltungsumgebung, ein Infrastrukturset, es bestehen vertragliche Anforderungen und meistens benötigt man weitere Ressourcen. Die Integrationsanforderungen senkt man über eine zentralisierte Richtlinienkontrolle und Schlüsselverwaltung, wenn Datenspeicher und Umgebungen mit einer einzigen Infrastruktur und Verwaltungsumgebung abgedeckt werden.

Fein abgestufte Zugriffskontrollen

■ Insider-Angriffe sind eine reale Gefahr und haben eine hohe Eintrittswahrscheinlichkeit innerhalb eines jeden Unternehmens. Unabhängig davon, ob es sich um einen böswillig agierenden internen Nutzer handelt oder ob die Ursache ein kompromittiertes Konto ist.

■ Verschlüsselung und ein gutes Schlüssel-Management stärken Zugriffskontrollen und Rollentrennungen. Das gilt auch für Administratoren.

■ Administratoren ist es gestattet auf Dateien mit vertraulichen Inhalten zuzugreifen und die Dateien zu verwalten. Sie haben aber nicht die Möglichkeit, sich die Inhalte der gespeicherten Dateien im Klartext anzusehen.

■ Das gilt gleichermaßen für Cloud-Umgebungen. Unternehmen können verschlüsselte Inhalte in der Cloud bereitstellen und sich gleichzeitig sicher sein, dass ein Cloud-Administrator die Daten nicht im Klartext ansehen kann.

Integration in bestehende Sicherheitsumgebungen
Informationen über die Datenzugriffe – insbesondere solche, die detaillierter sind als die über Betriebssystemtools verfügbaren – sowie die Konsolidierung der Audit-Informationen sind ein seit langem bekannter Schwachpunkt der Threat-Intelligence. Unternehmen nutzen SIEM-Systeme (Security Information and Event Management) und andere Tools um Bedrohungen zu erkennen, Systeme zu überwachen sowie Sicherheitsbenachrichtigungen und -trends zu erstellen. Das sind leistungsstarke Lösungen, sie verfügen aber nicht über Informationen zu den Datenzugriffen. Sicherheitsimplementierungen für Daten in SAP HANA sollten aber detaillierte Informationen zum Datenzugriff auf Datei- und Laufwerkdaten liefern können, einschließlich der Informationen dazu wer oder was, wo, wann und wie auf sensible Datenspeicher oder Anwendungen zugreift. Dadurch lassen sich viele Bedrohungen identifizieren.
Diese Informationen dienen zudem als Grundlage für die Definition eines normalen Benutzerverhaltens, um später Anomalien und potenziell kompromittierte Konten zu erkennen. Solche Anomalien sind beispielsweise ungewöhnliche Zugriffsmuster. Man sollte immer die Aktivitäten der Administratoren überwachen, denn mit diesen Konten sind üblicherweise weitreichende Zugriffsberechtigungen verbunden. Diese zusätzlichen Informationen dienen als Warnung und helfen, ein Problem einzuschätzen und zu beseitigen, gegebenenfalls durch automatisierte Maßnahmen. Mit einer transparenten Verschlüsselungslösung lassen sich Kontrollen für sensible Daten auf Data-at-Rest und auf Dateisystem- oder Volume-Ebene implementieren, ohne die Benutzer und Betriebsprozesse von SAP HANA zu beeinträchtigen. Ein einziger Satz an Datensicherheitskontrollen schützt die Informationen, die in physischen und virtuellen Systemen gespeichert sind, in Big Data und Container sowie in verknüpften Cloud-Speichern auf System- oder Volumenebene. Dieser Schutz gilt für alle SAP-HANA-Umgebungen. Diese Maßnahmen senken die Risiken und verbessern die Fähigkeit Compliance-Anforderungen und andere Datenschutzregularien umzusetzen.(cr)

Integration in bestehende Sicherheitsumgebungen

Überwachung und Benachrichtigungen helfen, Malware und unzulässige Berechtigungserweiterungen zu erkennen. Letzteres ist der Fall, wenn Benutzer auf Dateien zugreifen, dazu aber nicht berechtigt sind. Wenn beispielsweise über das Konto eines Servic-dministrators versucht wird auf Dateien zuzugreifen, kann das ein Zeichen sein, das jemand versucht Rechte zu erweitern. Hier kann die IT-Sicherheit einschreiten.