12
ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm 1 Technische und organisatorische Maßnahmen für den Datenschutz im SAP-Umfeld Datenschutzbeauftragter Thomas Grimm 0170 / 80 19 535 [email protected]

CIM Infotag: Technische und organisatorische Maßnahmen für den Datenschutz im SAP-Umfeld

Embed Size (px)

DESCRIPTION

 

Citation preview

Page 1: CIM Infotag: Technische und organisatorische Maßnahmen für den Datenschutz im SAP-Umfeld

ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm

1

Technische und organisatorische Maßnahmen für den Datenschutz

im SAP-Umfeld

Datenschutzbeauftragter Thomas Grimm 0170 / 80 19 535

[email protected]

Page 2: CIM Infotag: Technische und organisatorische Maßnahmen für den Datenschutz im SAP-Umfeld

ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm

2

Zur Person Thomas Grimm

• geboren 09.06.1980

• ausgebildeter IT-Systemelektroniker

• ausgebildeter IT-Projektleiter

• Datenschutz-Ausbildung bei DESAG und TÜV

• seit 2004 Geschäftsführer der Firma IT-Service Thomas Grimm

• seit 2006 Datenschutzbeauftragter in div. mittelständischen Firmen

• seit 2012 Beratung im Bereich ISO 27000

Page 3: CIM Infotag: Technische und organisatorische Maßnahmen für den Datenschutz im SAP-Umfeld

ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm

Was sind personenbezogene Daten?

• Daten zu einer natürlichen Person

• Direkt oder indirekt mit der Person in Verbindung

– Direkt: Name, Vorname, Adresse

– Indirekt: KFZ-Kennzeichen, IP-Adresse

3

Page 4: CIM Infotag: Technische und organisatorische Maßnahmen für den Datenschutz im SAP-Umfeld

ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm

Schützenswerte personenbezogene Daten in SAP

• Personalabrechnung

• Personalmanagement

• Betriebsdatenerfassung

• Qualitätskontrolle / Qualitätsmanagement

• Log-Dateien

4

Page 5: CIM Infotag: Technische und organisatorische Maßnahmen für den Datenschutz im SAP-Umfeld

ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm

5

Rechtliche Grundlagen

• Bundesdatenschutzgesetz §9 mit Anlage – Zutrittskontrolle

– Zugangskontrolle

– Zugriffskontrolle

– Weitergabekontrolle

– Eingabekontrolle

– Auftragskontrolle

– Verfügbarkeitskontrolle

Page 6: CIM Infotag: Technische und organisatorische Maßnahmen für den Datenschutz im SAP-Umfeld

ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm

Herausforderung Zugangskontrolle

• Welche Mitarbeiter dürfen sich am System anmelden?

• Wie werden Mitarbeiter für das System berechtigt?

• Wer darf Mitarbeiter berechtigen?

• Wie ist es um die Passwortsicherheit bestellt?

6

Page 7: CIM Infotag: Technische und organisatorische Maßnahmen für den Datenschutz im SAP-Umfeld

ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm

Herausforderung Zugriffskontrolle

• Welche Mitarbeiter dürfen welche Daten bearbeiten, einsehen, löschen?

• Wie genau lässt sich eine Abstufung der Berechtigungen einstellen?

• Welche Auswertungen sind mit einsehbaren Daten möglich?

• Wie / Wann werden Zugriffsrechte entzogen?

• Wie werden Zugriffsrechte dokumentiert?

7

Page 8: CIM Infotag: Technische und organisatorische Maßnahmen für den Datenschutz im SAP-Umfeld

ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm

Herausforderung Weitergabekontrolle

• Welche Schnittstellen bestehen, um Daten aus SAP zu exportieren?

• Wie kann direkt auf die Daten in SAP zugegriffen werden?

• Welche Benutzerberechtigungen sind für den Export notwendig?

• Wer hat die Berechtigung Daten zu exportieren?

• Wissen die Mitarbeiter, welche Daten an wen und in welcher Form weitergegeben werden dürfen?

8

Page 9: CIM Infotag: Technische und organisatorische Maßnahmen für den Datenschutz im SAP-Umfeld

ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm

Wie lassen sich diese Fragen beantworten?

• Unternehmensspezifische Analyse

• Prozess zum Managen der Informationssicherheit

– Plan

– Do

– Check

– Act

9

Page 10: CIM Infotag: Technische und organisatorische Maßnahmen für den Datenschutz im SAP-Umfeld

ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm

Zusammenfassung

• Zuschnitt der SAP-Rollen und Hinterlegen der Rollen mit einer Stellenbeschreibung

• Klar strukturierter Prozess zur Anlage/Entfernung von Benutzern und deren Berechtigungen

• Dokumentation der eingestellten Berechtigungen

• Hohes Maß an Passwortsicherheit

10

Page 11: CIM Infotag: Technische und organisatorische Maßnahmen für den Datenschutz im SAP-Umfeld

ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm

Verbesserung der Benutzerakzeptanz

• Klares Statement der obersten Führungsebene zum Thema Informationssicherheit mit der Festlegung vonVerantwortlichkeiten und Kompetenzen

• Schulungen zu den Themen Informationssicherheit und Datenschutz

• Technische Vereinfachungen wie Single-SignOn oder Smartcard-Anmeldung

11

Page 12: CIM Infotag: Technische und organisatorische Maßnahmen für den Datenschutz im SAP-Umfeld

ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm

Vielen Dank für Ihre Aufmerksamkeit

Für Fragen und Anregungen stehe ich Ihnen jederzeit zur Verfügung