SAP Cloud und Datensicherheit

Cloud bietet zahlreiche Vorteile: es bindet wenig Kapital in Hardware und Software-Lizenzen und bietet eine sehr flexible Infrastruktur, die schnell an neue Anforderungen angepasst werden kann. Zudem können unterschiedliche Mitarbeiter von überall und jederzeit auf die gleichen Daten zugreifen. Die Installation und Wartung der IT-Systeme erfolgt nicht im Unternehmen, sondern wird ausgelagert und von Spezialisten übernommen.

Es gibt jedoch auch immer wieder Vorbehalte gegenüber Cloud-Lösungen, vor allem wenn es um die Sicherheit geht: Wo liegen die Daten? Wer behält die Kontrolle über diese Daten? Besonders wenn Unternehmen ihre Kernprozesse und ihre Daten in die Cloud verlagern, sind diese Fragen berechtigt. Seit mehr als 40 Jahren hostet SAP Daten für On-Premise-Kunden. Diese Erfahrung spiegelt sich auch im Umgang mit Daten der Cloud-Kunden wider.

Wo sind meine Daten?

Sie als Kunde legen selbst im Vertrag fest, welches Rechenzentrum Sie als „Datenstandort“ wünschen. Beispielsweise das deutsche Rechenzentrum der SAP in St. Leon-Rot (Deutschland), das sich nur 5 km von Walldorf befindet. Somit liegen Ihre Daten auf sicheren Servern in Deutschland.

Wie sicher sind die SAP-Rechenzentren?

Hier ist vor allem die Infrastruktur der Rechenzentren wichtig. Diese sind ausgestattet mit einem umfassenden Sicherheitssystem: biometrische Zugangskontrollen, redundante Datenspeicherung und Stromversorgung, Brand- und Hochwasserschutzmaßnahmen.

Auch die ständigen Backups werden im selben Rechtsraum vorgenommen. Aus Sicherheitsgründen allerdings räumlich getrennt von den Daten für den laufenden Betrieb. Mit umfangreichen Audits stellt SAP sicher, dass alle technischen und organisatorischen Maßnahmen umgesetzt und eingehalten werden.

Wie wird der Datenzugriff überwacht?

Bei allen SAP-Rechenzentren wird der Datenstrom in das Rechenzentrum kontinuierlich überwacht. Verdächtigte Aktivitäten werden durch ein „Intrusion Detection System“ (IDS) identifiziert, mehrere Firewalls verschiedener Hersteller schützen die Daten im Rechenzentrum. Daten werden mit Kunden immer verschlüsselt ausgetauscht und auch Backup-Dateien werden verschlüsselt oder über abhörsichere Glasfaserkabel übertragen.

Welcher Rechtsrahmen gilt beim Datenschutz?

SAP orientiert sich am Rechtsrahmen und den Standards der lokalen Gesetzgebung. Das heißt, wenn Ihre Daten in Deutschland liegen, dann gilt z.B. in Sachen Datenschutz das besonders strenge Bundesdatenschutzgesetz. Zusätzlich befolgt SAP weitere weltweit internationale Standards wie beispielsweise ISO 27001, ISAE-3402 oder SSAE-16.

Werden Daten weitergegeben?

Daten werden nicht an Dritte weitergegeben. Personenbezogene Daten werden weder gespeichert noch werden Geschäftsdaten der Kunden analysiert. SAP behält sich jedoch vor, das Nutzerverhalten zu analysieren und grafisch aufzuarbeiten, um die Verfügbarkeit und die Dienstsicherheit zu erhöhen. Alle SAP-Mitarbeiter sind vertraglich zum Daten- und Informationsschutz verpflichtet.

Wie greifen SAP-Mitarbeiter auf Daten zu?

Als Betreiber muss SAP seinen Mitarbeitern bei Bedarf Zugriff auf Kundeninstanzen für Wartungszwecke und Fehlerbehebungen gewähren. Dafür gibt es dedizierte Terminalserver, für welche die Mitarbeiter individuelle Accounts erhalten. Alle Zugänge sind zeitlich limitiert. Alle Support-Zugänge werden nur auf Antrag freigeschaltet und dabei mit einem speziellen Kennwort versehen.

Wie wird die Einhaltung der Datensicherheit überprüft?

Die Datensicherheit wird mehrmals pro Jahr über externe Audits begutachtet. Diese Zertifikate und Prüfberichte können Sie anfordern – teilweise allerdings nur gegen Unterzeichnung einer Vertraulichkeitsvereinbarung. Auf Wunsch sind darüber hinausgehende kundenindividuelle Vor-Ort-Audits ebenfalls möglich.

Worauf sollten Sie außerdem achten, wenn Sie Software aus der Cloud nutzen?

Der Zugriff über Mobilgeräte erfordert besondere Sicherheitsmaßnahmen. SAP bietet bei seiner Cloud-Lösung entsprechende Qualität und Sicherheit wie z.B. die zentrale Verwaltung mobiler Endgeräte sowie die Zugriffsrechte. Der größte Sicherheitsfaktor jedoch ist der Mitarbeiter selbst. Es ist wichtig, dass dieser vorsichtig mit seinen Passwörtern umgeht und Geräte immer sperrt, wenn diese nicht benutzt werden. Dies betrifft natürlich nicht nur die Anwender, sondern auch die Mitarbeiter des Anbieters. SAP schult seine Mitarbeiter mit einem umfassenden Sicherheitstraining und regelmäßigen Prüfungen, um diese auf das Thema zu sensibilisieren.

Wo finde ich weitere Informationen?

Weitere Informationen zum Thema finden Sie auch im SAP-Datacenter.

Posted on March 4, 2015 .