Embed Size (px)
DESCRIPTION
Citation preview
ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm
1
Technische und organisatorische Maßnahmen für den Datenschutz
im SAP-Umfeld
Datenschutzbeauftragter Thomas Grimm 0170 / 80 19 535
ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm
2
Zur Person Thomas Grimm
• geboren 09.06.1980
• ausgebildeter IT-Systemelektroniker
• ausgebildeter IT-Projektleiter
• Datenschutz-Ausbildung bei DESAG und TÜV
• seit 2004 Geschäftsführer der Firma IT-Service Thomas Grimm
• seit 2006 Datenschutzbeauftragter in div. mittelständischen Firmen
• seit 2012 Beratung im Bereich ISO 27000
ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm
Was sind personenbezogene Daten?
• Daten zu einer natürlichen Person
• Direkt oder indirekt mit der Person in Verbindung
– Direkt: Name, Vorname, Adresse
– Indirekt: KFZ-Kennzeichen, IP-Adresse
3
ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm
Schützenswerte personenbezogene Daten in SAP
• Personalabrechnung
• Personalmanagement
• Betriebsdatenerfassung
• Qualitätskontrolle / Qualitätsmanagement
• Log-Dateien
4
ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm
5
Rechtliche Grundlagen
• Bundesdatenschutzgesetz §9 mit Anlage – Zutrittskontrolle
– Zugangskontrolle
– Zugriffskontrolle
– Weitergabekontrolle
– Eingabekontrolle
– Auftragskontrolle
– Verfügbarkeitskontrolle
ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm
Herausforderung Zugangskontrolle
• Welche Mitarbeiter dürfen sich am System anmelden?
• Wie werden Mitarbeiter für das System berechtigt?
• Wer darf Mitarbeiter berechtigen?
• Wie ist es um die Passwortsicherheit bestellt?
6
ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm
Herausforderung Zugriffskontrolle
• Welche Mitarbeiter dürfen welche Daten bearbeiten, einsehen, löschen?
• Wie genau lässt sich eine Abstufung der Berechtigungen einstellen?
• Welche Auswertungen sind mit einsehbaren Daten möglich?
• Wie / Wann werden Zugriffsrechte entzogen?
• Wie werden Zugriffsrechte dokumentiert?
7
ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm
Herausforderung Weitergabekontrolle
• Welche Schnittstellen bestehen, um Daten aus SAP zu exportieren?
• Wie kann direkt auf die Daten in SAP zugegriffen werden?
• Welche Benutzerberechtigungen sind für den Export notwendig?
• Wer hat die Berechtigung Daten zu exportieren?
• Wissen die Mitarbeiter, welche Daten an wen und in welcher Form weitergegeben werden dürfen?
8
ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm
Wie lassen sich diese Fragen beantworten?
• Unternehmensspezifische Analyse
• Prozess zum Managen der Informationssicherheit
– Plan
– Do
– Check
– Act
9
ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm
Zusammenfassung
• Zuschnitt der SAP-Rollen und Hinterlegen der Rollen mit einer Stellenbeschreibung
• Klar strukturierter Prozess zur Anlage/Entfernung von Benutzern und deren Berechtigungen
• Dokumentation der eingestellten Berechtigungen
• Hohes Maß an Passwortsicherheit
10
ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm
Verbesserung der Benutzerakzeptanz
• Klares Statement der obersten Führungsebene zum Thema Informationssicherheit mit der Festlegung vonVerantwortlichkeiten und Kompetenzen
• Schulungen zu den Themen Informationssicherheit und Datenschutz
• Technische Vereinfachungen wie Single-SignOn oder Smartcard-Anmeldung
11
ToMs im SAP-Umfeld| Walldorf 09.07.2013 Datenschutzbeauftragter Thomas Grimm
Vielen Dank für Ihre Aufmerksamkeit
Für Fragen und Anregungen stehe ich Ihnen jederzeit zur Verfügung
