Mittwoch, 7. Dezember 2011

biz²CryptoServer schließt potenzielle Sicherheitslücke von Archivsystemen (Drittsystem-anbieter) für SAP http://www.themenportal.de/software/biz-cryptoserver-schliesst-potenzielle-sicherheitsluecke-von-archivsystemen-drittsystem-anbieter-fuer-sap-67666

biz²CryptoServer schließt potenzielle Sicherheitslücke von Archivsystemen (Drittsystem-anbieter) für SAP

Der Zugriff von SAP-Clients auf Archivdaten oder Dokumente eines SAP-Systems wird über die http-ContentServer-Schnittstelle geregelt. Gemäß den SAP Berechtigungen können SAP-Admins und -User auf diese Daten/Dokumente zugreifen. Archivsysteme von Drittanbietern sind überwiegend für diese SAP http CS Schnittstelle zertifiziert – unterstützen also die vorgegebene Kommunikation zu SAP. Wie aber sieht der Mechanismus zur Ablage der Daten/Dokumente im Archivsystem selbst aus? Wird hier keine Verschlüsselung praktiziert. Liegen die Daten/Dokumente also unverschlüsselt auf den Archiv-Medien, können sie von den zuständigen Admins eingesehen werden. Eine Sicherheitslücke, die der biz²CryptoServer von inPuncto erfolgreich schließt.

SAP-User müssen sich am SAP-System mit ihrem Passwort anmelden, sodass sämtliche Aktionen und Zugriffe, über die SAP Berechtigungen geregelt sind. Mittels verschiedener Sicherheitsstufen bzw. Zugangsberechtigungen werden so die Zugriffe auf sensible und hochsensible Daten/Dokumentenbereiche geschützt. Auch die reine Datenübertragung beim Aufruf von Dokumenten aus einem Archiv kann mittels https-Protokoll sicher gegenüber unbefugtem „Mitlesen“ von außen gestaltet werden.

Soweit so gut. Doch was geschieht, wenn ein Zugriff direkt auf die Archiv-Medien erfolgt (z.B. via Infrastruktur-Admins) und das Archivsystem keinen Verschlüsselungsmechanismus bei Ablage der Daten/Dokumente auf diese Medien beinhaltet? Zwar nicht komfortabel – aber die Daten/Dokumente können eingesehen werden!
inPuncto-Geschäftsführer Dr. Frank Marcial formuliert es drastisch: „In diesen Fällen liegt eine eklatante Sicherheitslücke vor. Vergleichbar mit einer Bank, die am Haupteingang mit Hochsicherheitsschleusen, Lichtschranken und Zugriffsberechtigungen über Fingerabdruck und Netzhautscans gesichert ist, der Lieferanteneingang aber mit einfachem Vorhängeschloss an der Holztür gesichert wird.“

Die Software-Entwickler von inPuncto aus Esslingen wissen um die Brisanz des Themas Datensicherheit. Das 1997 gegründete IT-Unternehmen GmbH hat sich auf Lösungen im Bereich des SAP Enterprise Content Management spezialisiert. Dies betrifft sowohl „Eingangskanäle“ für SAP (wie z.B.: Scanning, Dokumentenerkennung, bidirektionale Kopplung zwischen Microsoft Office und SAP) wie „Ausgangskanäle“ (Visualisierung und Export von Daten und Dokumenten oder e-Akten) sowie „Contentverarbeitung“ in SAP (Einbindung von OCR/ICR-Technologien) und „Ablage/Archivlösungen“ in SAP. Geschäftsführer Dr. Marcial: „Als zertifizierter Partner von SAP und Microsoft bieten wir mittelständischen Unternehmen und Institutionen, branchen- und SAP-Modul-übergreifende Lösungen an – natürlich unter vollständiger Berücksichtigung existierender SAP-Logik.“

Der deutschen Wirtschaft entstehen durch Industriespionage Schäden in Milliardenhöhe, hochgerechnet mindestens 2,8 Milliarden Euro jährlich. Eine Studie von Corporate Trust zufolge betrifft Wirtschaft- oder Konkurrenzspionage alle Unternehmensgrößen, doch sind mit 57,6 Prozent mittelständische Unternehmen am weitaus häufigsten betroffen. Insgesamt wurde jedes fünfte Unternehmen schon einmal ausspioniert, jedes dritte hatte bereits einen dahingehenden Verdacht. Ziel der Spionage waren meistens technische Innovationen oder das Know-how bei Produktionsabläufen sowie im Dienstleistungssektor die Kundendaten. 27,1 Prozent aller befragten Unternehmen gaben an, keinen ausreichenden Passwort-Schutz auf ihren IT-Geräten zu haben.

Doch wie eingangs erwähnt, nutzt auch der beste Passwortschutz nichts, wenn die „Hacker“ zur Hintertür hereinkommen. Ausreichenden Schutz sensibler Daten/Dokumente auf Archivmedien bringt nach Aussage der inPuncto-Experten deshalb nur eine komplette Verschlüsselung bei der Ablage/Archivierung derselben. Ein solches Instrument steht mit dem biz²CryptoServer nun zur Verfügung. „Dabei werden die übertragenen Daten im biz²CryptoServer nicht gespeichert, sondern lediglich zur Verschlüsselung durchgeleitet“ erklärt Dipl.-Ing. Andreas Gräble, der das Projekt bei inPuncto verantwortlich entwickelt hat. „Die zwischen dem biz²CryptoServer und dem Ablage/Archivsystem ausgetauschten Daten sind verschlüsselt und damit sicher.“ Zusätzlich könne auch hier nochmals https als Datenprotokoll eingesetzt werden. „Aber das ist eigentlich nicht mehr nötig“, ergänzt Gräbles Kollege, Dipl.-Ing. Johannes Knaupp, „denn sämtliche Daten, die über den biz²CryptoServer im
ContentServer abgelegt werden, sind nicht mehr im Klartext lesbar!“

Die Besonderheit bei diesem Prozedere: Alle in der SAP-Spezifikation vorgesehenen Sicherheitsfunktionen bleiben vollständig erhalten. „Der biz²CryptoServer wird zwischen SAP und dem Ablage/Archivsystem platziert und das beim Crypting verwendete AES-Verfahren wurde so erweitert, dass das SAP-ContentServer-Interface dauerhaft und konsistent unterstützt wird“, erklärt inPuncto-Geschäftsführer Dr. Frank Marcial.

Wie die Daten exakt verschlüsselt werden, wollen die IT-Experten natürlich nicht en Detail verraten. Nur so viel: Mehrere Komponenten wie Zufalls-Algorithmen und Passwörter wirken auf die Verschlüsselung ein. Da kommt natürlich die Frage auf, ob ein Passwort nicht auch zugleich eine Schwachstelle darstellt? „Nicht bei dem von uns entwickelten biz²CryptoServer“, erklärt inPuncto-Entwicklungsleiter Gräble. „Denn die verschlüsselten Passwörter werden zwar zunächst in der Registry eingetragen. Beim nächsten Start verschlüsselt der biz²CryptoServer aber das Passwort unter Einbeziehung weiterer Zufallsdaten.“ So werden die Registry-Einträge bei Zugriff oder bei der Übertragung auf einen anderen Rechner sofort ungültig.

„Unsere Konfiguration des biz²CryptoServers macht Daten/Dokumente im SAP Umfeld für Dritte absolut unlesbar“, erklärt der inPuncto-Chef. Dr. Frank Marcial ist überzeugt: „Das System ist so sicher wie Fort Knox.“



Shortlink zu dieser Pressemitteilung:
http://shortpr.com/65nc5c

Permanentlink zu dieser Pressemitteilung:
http://www.themenportal.de/software/biz-cryptoserver-schliesst-potenzielle-sicherheitsluecke-von-archivsystemen-drittsystem-anbieter-fuer-sap-67666

=== Pressekontakt ===

Frau Mojca Hengst

inPuncto GmbH
Fabrikstr. 5
73728
Esslingen
Deutschland

EMail: mojca.hengst@inpuncto.com
Website: www.inpuncto.com
Telefon: 0711-66 188-522
Fax: 0711-75 87 86 14


=== inPuncto GmbH ===

Die inPuncto GmbH aus Esslingen hat sich auf Lösungen für das SAP Enterprise Management spezialisiert, wobei der Schwerpunkt auf der Dokumentenverwaltung in SAP liegt. Die Add-on Lösungen sind dabei durch transparente Prozesse, eine schlanke Infrastruktur und benutzerfreundliche Oberflächen gekennzeichnet. Kostenersparnisse und ein schneller Return of Investment werden durch die grundlegende Philosophie der IT-Entwicklung bei inPuncto möglich: Jedes Produkt des inPuncto-Portfolios „biz²BusinessSuite“ benutzt die vorhandene SAP Business Logik und verwendet - wo immer sinnvoll - SAP-Standardfunktionalitäten.
Das 1997 gegründete IT-Unternehmen hat bei mehr als 200 internationalen Unternehmen Lösungsszenarien in den Bereichen Dokumentenmanagement, Archivierung, Scanning und MS-Office Integration realisiert. Die vornehmlich mittelständischen Kunden der inPuncto GmbH kommen aus den unterschiedlichsten Bereichen der Industrie, des Dienstleistungs- und Bankensektors oder der öffentlichen Hand und profitieren vom fundierten Know-how der inPuncto GmbH als zertifizierter Partner von SAP und Microsoft.





Website: http://www.inpuncto.com

Keine Kommentare:

Kommentar veröffentlichen