Personaldaten absichern

| freundschaftlich. visionär. exzellent
On-Premise oder Cloud: Personaldaten absichern
Personaldaten absichern
1x1 Risikominimierung für Personaldaten
Schützenswerte
Daten ermitteln
Datenfreigabe
erkennen &
minimieren
Sicherheit prüfen
& kontrollieren
Sicherheitskonzept ergänzen
& anwenden
freundschaftlich. visionär. exzellent.
2
Personaldaten absichern
Schützenswerte Daten ermitteln – Schutzbedarf festlegen
Der Fall:
 Automobilzulieferer, 600 Mitarbeiter
 Auftrag Mindsquare SAP Security Check
Ergebnis:
 Feststellung: Freier Zugriff durch alle
SAP User auf Konstruktionsdaten (PDF,
CAD)
 Schutzbedarf:
nicht festgelegt
 Absicherung:
mangelhaft
 Schadensrisiko: sehr hoch
 Maßnahme: Berechtigung einschränken
und als kritisch einstufen
freundschaftlich. visionär. exzellent.
3
Personaldaten absichern
Schützenswerte Daten ermitteln
 Welche Art von
Informationen im System?
 Welchen Stellenwert in
meinem Unternehmen?
 Wo die maximale
Sicherheit für das gleiche
Geld?
freundschaftlich. visionär. exzellent.
4
Personaldaten absichern
1x1 Risikominimierung für Personaldaten
Schützenswerte
Daten ermitteln
Datenfreigabe
erkennen &
minimieren
Sicherheit prüfen
& kontrollieren
Sicherheitskonzept ergänzen
& anwenden
freundschaftlich. visionär. exzellent.
5
Personaldaten absichern
Angriffspunkt RFC-Schnittstellenbenutzer
MI7
SAP ERP
Lieferant
SAP HCMSystem
RFC
SM2
Solution
Manager
Zeitterminal
 RFC-Schnittstellen werden
intensiv genutzt
 Viele Schnittstellen
verwenden Systemuser mit
SAP_ALL
 DEMO-Szenario
 HR-System MI7 als Opfer
 Solution Manager SM2 als
Angreifer
freundschaftlich. visionär. exzellent.
6
Personaldaten absichern
Angriffspunkt RFC-Schnittstellenbenutzer
MI7
SAP ERP
Lieferant
SAP HCMSystem
 Notwendige Maßnahmen:
 Schnittstellenuser
separieren („RFC“)
 Berechtigungen reduzieren
RFC
SM2
Solution
Manager
Zeitterminal
freundschaftlich. visionär. exzellent.
8
Personaldaten absichern
Datenfreigabe minimieren: Google Hacking
Jedermann Hacking via Google:
 Googlen nach
„inurl:/sap/bc/bsp“ erzeugt
Liste mit SAP BSP Servern
 Einfaches manipulieren der
URLs erlaubt Prüfen auf
ungeschützte Webdienste
„sap/public/info“
freundschaftlich. visionär. exzellent.
9
Personaldaten absichern
Datenfreigabe minimieren
Der Fall:
 Elektrotechnik, 9000 Mitarbeiter
 Auftrag: Prüfung e-Recruitment System
Ergebnis:
 Feststellung: Manipulation der URL im
Browser -> WebDynpro-Anmeldemaske
 Schutzbedarf:
festgelegt
 Absicherung:
mangelhaft
 Schadensrisiko:
hoch
 Maßnahme: Konfiguration der SICF-Services,
Umsetzung SAP Sicherheitsleitfaden für
WebDynpro-Anwendungen
freundschaftlich. visionär. exzellent.
10
Personaldaten absichern
Datenfreigabe minimieren: Abspecken!
 Positivlisten einführen: „Folgende
Datenzugriffe sind erlaubt:…“
 Überflüssige Dienste deaktiveren
(Produktion <> Entwicklung!)
 Separate Systeme mit reduzierten
Daten (Schutzbedarf!)
 Datenzugriff durch Customizing
und Berechtigungen einschränken
ACHTUNG: Schnittstellenuser
 Nicht freigegebene Daten
reduzieren Aufwand und Risiko!
freundschaftlich. visionär. exzellent.
11
Personaldaten absichern
1x1 Risikominimierung für Personaldaten
Schützenswerte
Daten ermitteln
Datenfreigabe
erkennen &
minimieren
Sicherheit prüfen
& kontrollieren
Sicherheitskonzept ergänzen
& anwenden
freundschaftlich. visionär. exzellent.
12
Personaldaten absichern
Sicherheitskonzept ergänzen & anwenden: Automatisches Berechtigungskonzept
freundschaftlich. visionär. exzellent.
13
Personaldaten absichern
Sicherheitskonzept ergänzen & anwenden
 Etablierte SecurityMaßnahmen im
Sicherheitskonzept
dokumentieren
 Kritische Berechtigungen
definieren
 Notfall-Konzept definieren
 Zurückgreifen auf RZ10
BerechtigungskonzeptTemplates
freundschaftlich. visionär. exzellent.
14
Personaldaten absichern
1x1 Risikominimierung für Personaldaten
Schützenswerte
Daten ermitteln
Datenfreigabe
erkennen &
minimieren
Sicherheit prüfen
& kontrollieren
Sicherheitskonzept ergänzen
& anwenden
freundschaftlich. visionär. exzellent.
15
Personaldaten absichern
Sicherheit prüfen & kontrollieren
 Eine einzige
Fehlkonfiguration öffnet
die Tür
 Empfohlen: Security
Checks durchführen lassen
 Besser: Eingeplanter und
regelmäßiger Health-Check
freundschaftlich. visionär. exzellent.
16
Personaldaten absichern
Sicherheit prüfen & kontrollieren
 Solution Manager
System Recommendation
(Windows Update für SAP)
 Solution Manager
Configuration Validation
(Compliance eingehalten?)
freundschaftlich. visionär. exzellent.
17
Personaldaten absichern
1x1 Risikominimierung für Personaldaten
Schützenswerte
Daten ermitteln
Datenfreigabe
erkennen &
minimieren
Sicherheit prüfen
& kontrollieren
Sicherheitskonzept ergänzen
& anwenden
freundschaftlich. visionär. exzellent.
18
Personaldaten absichern
RZ10 – das Spezialisten-Team für Basis & Security
 Design von Identity Management–
kompatiblen SAP Berechtigungen
 Design und Einführung von SalesForce
Sicherheitskonzepten
 Beratung Auswahl und Einführung von
Berechtigungstools
 Durchführung vom SAP Security-Checks
 RFC-Schnittstellenbereinigung
www.rz10.de
freundschaftlich. visionär. exzellent.
19