EU-DSGVO: Auswirkung auf SAP-Systeme und eine Lösung durch die XAMS (Teil II)

Die EU-DSGVO (engl. GDPR) ist die „Vorschrift zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten“[1]. Diese Kernaussage sowie die Inhalte und Auswirkungen der Datenschutzgrundverordnung auf die Unternehmen habe ich Ihnen in meinem ersten Blog der Blogreihe „EU – DSGVO: Die wichtigsten Fakten im Überblick“ nähergebracht. Nun werde ich Ihnen die Herausforderungen im Kontext der SAP-Systeme und entsprechende Lösungsansätze aufzeigen. Dadurch bekommen Sie einen Einblick, wie Sie Ihre Berechtigungsstruktur in Zukunft GDPR-konform aufbereiten und die Compliance-Vorgaben mit unserer unternehmenseigenen Sicherheitssuite – der Xiting Authorizations Management Suite (kurz XAMS) – einarbeiten können.

Auswirkungen auf die SAP-Systeme

Besonders ERP-Systeme sind von diesen Neuerungen betroffen, da sie vornehmlich personenbezogene Daten halten. Auf welchen Systemen diese Daten gehalten bzw. auf welchen Kanälen sie verteilt werden, stellt die Unternehmen aufgrund ihrer komplexen IT-Strukturen vor eine Herausforderung. Bei regulierten und explizit berechtigten SAP-Systemen kann die Datenschutzgrundverordnung durch Audit-Logs und Berechtigungsprüfungen konsistent umgesetzt werden. Im Zuge des Alltagsgeschäfts werden diese Datensätze jedoch oft exportiert und über mehrere Systeme kommuniziert. Daher greifen dann nicht mehr die vorhandenen Berechtigungsstrukturen. Eine Nachweisbarkeit des Umganges mit den Daten kann somit nicht gewährleistet werden. Aus diesem Grund sind zum einem eine umfängliche Auditierung und zum anderen eine Protokollierung der personenbezogenen Datenverarbeitungen notwendig. Dadurch kann die Sammlung, Verarbeitung und Speicherung der Daten revisionskonform nachvollzogen werden. Gemäß diesem Anspruch ist es besonders wichtig, dass in solchen Systemen nicht nur statische Änderungen hinterlegt werden. Vielmehr müssen variable und aktuelle Anpassungen protokolliert werden. Zudem müssen Sie aufzeichnen, wer auf die Daten potenziell Zugriff hat und welche Anpassungen durch welche Person durchgeführt wurden.

Der Schutz von personenbezogenen sowie unternehmerischen Daten ist schon lange ein wichtiger Faktor bei der Entwicklung unserer Sicherheitssuite. Im Zuge einer Vielzahl von erfolgreichen Projekten bei namenhaften Kunden und Erfahrungen mit staatlichen Regularien konnten wir unser Sicherheitstool optimal auf das Thema Datenschutz abstimmen. Deshalb bietet die XAMS umfassende Lösungsansätze für Ihre Herausforderung bei der Bewältigung von SOD-Konflikten und der Einbindung der DSGVO.

XAMS – die Lösung

Vornehmlich spielen zwei Faktoren bei der Umsetzung der neuen Grundverordnung eine wesentliche Rolle. Das sind die Zugriffs- und Weitergabekontrolle. Demzufolge müssen Sie das vorherrschende Berechtigungskonzept so strukturieren, dass der Zugriff auf personenbezogene Daten möglichst minimal und mit einer zweckgebundenen Berechtigungsvergabe gestaltet wird. Außerdem müssen auch RFC-Schnittstellen entsprechend gesichert und protokolliert werden. Dadurch kann nachgewiesen werden, welche Verbindungsstelle eine Übermittlung von Personendaten vollzieht.

Einen nahtlosen Übergang Ihres alten Berechtigungskonzeptes in ein revisions- und DSGVO-konformes ermöglicht, schon vor der physischen Erstellung von Rollen auf Ihren Systemlandschaften, der Xiting Role Designer. Mit diesem Modul können Sie auf Basis von Nutzungsstatistiken einen virtuellen Rollenbau durchführen. Damit ist es möglich, DSGVO-konform zweckgebundene Berechtigungsrollen zu bauen. Zudem können Sie mit Hilfe dieses universellen Moduls auch die Deckungsgrade zur Vermeidung von bspw. Überberechtigungen berechnen lassen und zudem Ihr virtuelles Rollenkonstrukt schon vorab auf GDPR relevante und kritische Berechtigungen bzw. SODs prüfen. Zusätzlich kann auch ein vorhandenes GRC-Regelwerk an den Xiting Role Designer gekoppelt werden. Dadurch können Sie u.a. schon vorab stringent festlegen, welche Personen, in welchem Ausmaß Zugang zu bestimmten Daten haben.

Für eine vereinfachte Dokumentation Ihres vorhandenen Rollenkonzeptes bei etwaigen Prüfungen hilft Ihnen das Rollenkatalog-Tool. Dieses listet Ihnen eine detaillierte Übersicht Ihrer gesamten Rollen auf. Damit können Sie bei einer Revision per Excel-Download eine klare Struktur Ihrer Zugriffkontrollen vorweisen.

Falls Sie Ihr vorhandenes Berechtigungskonzept auf die Konformität hinsichtlich der DSGVO prüfen und bspw. auch sehen wollen, an welchen Stellen Handlungsbedarf besteht, können Sie auch den Xiting Role Profiler nutzen. Dieses umfassende Analysemodul beinhaltet neben Reports zur Analyse von kritischen Berechtigungen und SOD-Konflikten, auch Analyse- bzw. Lösungsansätze für den Bereich Datenschutz.

Mit diesem Modul können Sie Ihr vorhandenes Rollen- und Berechtigungsdesign mit Ihren und den Vorgaben der EU abstimmen. Dies ermöglicht Ihnen eine schnelle und umfassende Analyse, um konsequent die gesetzlichen Vorgaben mit Ihren vorhandenen Systemen zu verknüpfen. Unser Xiting Role Profiler hat jedoch noch einiges mehr zu bieten. Sie können mit ihm auch Ihre RFC-Sicherheit für eine Weitergabe- und Verarbeitungskontrolle prüfen. Dadurch kann das Gefahrenpotential gesenkt, die RFC-Schnittstellen vor nicht autorisierten Zugriffen geschützt und eine zweckgebundene Verarbeitung von personenbezogenen Daten dokumentiert werden. Durch eine Vielzahl an RFC-Service-Berichten können Sie Ihre RFC-Landschaften analysieren und produktive RFC-Schnittstellen bereinigen. Zudem können auf Basis der verschiedenen Reports technische Benutzer auditkonform berechtigt werden.

Dies rundet die Xiting-eigene produktive Testsimulation der XAMS-Module Xiting Times und Xiting Role Builder ab. Mit dieser Technologie können Sie eine zweckgebundene Berechtigungsvergabe analysieren und umsetzen.

Da besonders Eigenentwicklungen oft große Sicherheitslücken aufweisen, hat Xiting für Sie den ABAP Alchemist entwickelt. Mit diesem Codescanner bereinigen Sie u.a. fehlerhafte Berechtigungsprüfungen und können zugleich eine SU24-Optimierung durchführen.

Die auditkonforme Berechtigungsbereinigung bzw. -umsetzung rundet unser Security Architect ab. Mit diesem IKS-Modul können Sie nicht nur verschiedenste vorgefertigte Konzeptarten per Knopfdruck mit Inhalt und den Echtzeitdaten aus Ihrem System erstellen lassen. Des Weiteren gestattet er Ihnen bspw. die globalen Systemeinstellungen und Systemsicherheit ganzheitlich zu prüfen und Ihre gesamte Systemlandschaft dauerhaft zu analysieren.

Fazit

Durch die XAMS ergeben sich somit eine Vielzahl an Analyse- und Implementierungsmöglichkeiten sowie Lösungsansätze für Ihr Berechtigungskonzept gemäß den Anforderungen der EU-DSGVO. Mit Hilfe unserer Sicherheitssuite sind Sie bei der Überführung Ihrer IT-Struktur in eine datenschutzkonforme Systemlandschaft auf der sicheren Seite.

Wenn Sie eine praxisnahe Vorführung sehen wollen, können Sie sich auch für ein kostenloses Webinar auf unserer Homepage anmelden und sich selbst von den Vorzügen der XAMS überzeugen. Die Xiting AG bietet Ihnen zudem verschiedenste Services rund um das Thema SAP Security und GDPR an.

_________________________

[1] Vgl. Art. 1, EU-DSVGO.

• Über
• Letzte Artikel

Alexander Sambill

Senior SAP Security Consultant | SAP Authorizations bei Xiting GmbH

In his role as SAP Cyber Security & Authorizations expert at the Xiting AG, Alexander Sambill manages a multifaceted portfolio, like leading SAP Fiori projects, steering SAP S/4HANA migration endeavors, ERP authorization redesigns, integrating internal control and compliance systems, and revamping RFC-BATCH authorization frameworks. His final academic foundation is anchored in an MBA from the Technical University Bergakademie Freiberg, Germany. Alexander's proficiency is further validated by his accreditations like an IPMA certificate in Project Management, SAP security certificates by SAP, and an IHK certification as a federal instructor. As an official SAP trainer, he imparts his expertise through SAP authorization courses, to share his knowledge and enable others to maintain an entirely secured SAP system. Beyond his hands-on projects, Alexander contributes to the industry discourse as an SAP Press author and a dedicated blogger, producing specialized SAP publications that drive thought leadership. Outside of the bustling world of SAP, he indulges in table tennis and frequently immerses himself in nature, hiking through serene forests and mountains.

Letzte Artikel von Alexander Sambill (Alle anzeigen)

• Top Pain Points bei SAP Fiori-Berechtigungen und deren Lösungen – ein Erfahrungsbericht - 20. November 2023
• Das Risikoregelwerk CRAF der Xiting AG – Schluss mit kritischen Berechtigungen und SoD! - 20. November 2023
• Die TOP 20 SAP IT Basis-Tabellen mit besonderem Schutzbedürfnis in SAP S/4HANA - 7. September 2023