UI Masking in SAP GUI für Windows (Teil 3/3)

Dies ist der dritte und letzte Teil unserer Blog-Serie, der über die Datensicherheitslösung „UI Masking und UI Logging“ von SAP spricht.

In diesem Blog möchte ich über die Details der UI-Masking sprechen, die bestimmte Daten wie Steuer-IDs oder Sozialversicherungsnummern in SAP GUI (auch in anderen UI-Technologien) verschleiert.

Diese Lösung maskiert Werte in gewünschten Feldern und Spalten, außer es sei denn, dass diese Informationen für eine spezifische Aufgabe benötigt werden.

Hier finden Sie Teil 1 + 2 dieser Blog-Serie:

Eine Einführung in die SAP UI Datensicherheitslösungen (Teil 1/3)

UI Logging im SAP GUI für Windows (Teil 2/3)

Einleitung

Möchten Sie Ihr Unternehmen vor unbefugter Offenlegung von internen, geheimen oder anderweitig sensiblen Daten schützen? Haben Sie schon einmal darüber nachgedacht, die Transparenz des Zugriffs auf vertrauliche Daten in Ihrem Unternehmen zu erhöhen? Und was ist mit Ihrem neuen Mitarbeiter? Haben Sie jemals darüber nachgedacht, dass er oder sie das schwarze Schaf sein könnte, das sich mit wichtigen Daten davonschleicht? Oder vielleicht ist es auch eine harmlose Aktion, die mehr preisgibt, als Sie eigentlich möchten.

Untersuchungen haben ergeben, dass 60% der Angriffe von Insidern (Personen, denen Sie vertrauen!) begangen werden und die meisten von ihnen dabei böswillige Absichten hatten.

Wenn Sie also darüber nachdenken, wie Sie das Insider-Risiko in Ihrer SAP-Landschaft angehen können, dann sind Sie hier herzlich willkommen und ab nun an der richtigen Hand.

Übersicht über UI Masking

Die UI-Maskierung ist eine Lösung, um die Bildschirmausgabe von eingeschränkten und vertraulichen Datenwerten auf Feldebene zu maskieren. Technisch gesehen bedeutet dies, dass man diese Daten von einem bestimmten User beschränkt, indem man diese Daten teilweise oder vollständig maskiert. Dies betrifft auch Systembenutzer auf hoher Ebene (in dynamischen Transaktionen, z. B. SE11, SE12, SE16, SE16n), sofern sie nicht ausdrücklich für ein Feld berechtigt sind.

Es wird dadurch eine Anonymisierung („Entpersönlichung“) bei Business-Transaktionen sowie technischen Transaktionen vorgenommen und gilt auch bei Aktionen wie Anzeigen, Herunterladen, Exportieren oder Drucken usw. Diese Lösung funktioniert mit vielen UI-Technologien wie SAP GUI für Windows / HTML / Java, UI5 / Fiori, Web Dynpro ABAP und anderen.  

Natürlich bietet die UI-Maskierung über das Business Add-In (BAdI) einen Erweiterungspunkt. Dies bedeutet, dass Ihre gewünschte benutzerdefinierte Logik darüber, was, wann und wie maskiert werden soll, mithilfe von BAdIs bis auf Feldebene implementiert werden kann. Sie haben auch die Möglichkeit zu steuern, wie die Trace-Einträge angereichert werden sollen.

Die UI Masking-Lösung von SAP auf hohem Niveau besteht aus den beiden Funktionen:

  1. Feldmaskierung: Die konfigurierbaren Optionen bieten die Erhöhung der Datensicherheit in SAP-Benutzeroberflächen, indem sensible Werte in Bildschirmfeldern maskiert werden, um den Datenzugriff über das bestehende Rollen-/Berechtigungskonzept hinaus zu verfeinern.
  2. Feld Access Trace: Es wird ein Zugriffsablaufeintrag erstellt, sobald der Benutzer auf die Felder zugreift, die für die Maskierung konfiguriert sind.
Unmaskierte Feldwerte
Maskierte Feldwerte

Funktionsweise der UI-Maskierung für SAP GUI

Die Feldmaskierung ermöglicht nur Benutzern mit einer Berechtigung auf Feldebene das Anzeigen des Feldwerts und der Periode. Wenn ein Benutzer nicht berechtigt ist, werden die Daten mit Maskierungszeichen maskiert. Nur Benutzer, die berechtigt sind, den Feldwert anzuzeigen, können den ursprünglichen Wert sehen.

Kurz bevor die Benutzeroberfläche angezeigt wird, erfolgt eine Maskierung und die Feldzugriffsablaufverfolgung wird aktiviert, je nach Konfiguration des Felds in der UI-Maskierung und der Berechtigung des Benutzers auf Feldebene. Die Maskierung des Datenwerts hängt vom Feldtyp und Zeichenmuster ab, wie es beim Anpassen konfiguriert wurde.

Mit anderen Worten, UI Masking ist an dem Punkt aktiv, kurz bevor die Daten zurück an den Benutzer verarbeitet werden. Die Originaldaten, die dem Benutzer angezeigt werden sollen, werden mit den Datenelementen verglichen, die für den Schutz konfiguriert sind (Maskierung).

Die Lösung überprüft, ob der Benutzer berechtigt ist, diese Informationen anzuzeigen oder nicht. Wenn Sie möchten, ist UI Masking auch in der Lage, eine kurze Ablaufverfolgung zu schreiben, dass der Benutzer die maskierten Daten angefordert hat.

Die folgende Abbildung bietet einen Überblick über den Prozess, in welcher Sie sehen, dass UI Masking weder die Datenbankebene noch die Geschäftslogik Ihres SAP-Systems beeinflusst.

Benutzerinteraktion mit maskierter Oberfläche (Quelle SAP SE)

Highlights der SAP UI Masking

Die globale Maskierung pflegen: In dieser Phase können Sie entscheiden, ob Sie die Maskierung für einen bestimmten Client aktivieren oder deaktivieren möchten. Diese Systemebeneneinstellung legt die Maskierung auf höchster Ebene fest. Wenn die Maskierung auf dieser Ebene nicht aktiv ist, wird keiner der konfigurierten Einträge maskiert und der Wert des ursprünglichen Felds (unmaskiert) wird für den Benutzer angezeigt.

 

 

 

 

 

 

 

 

Feldzugriffsablaufverfolgung: Hier wird eine Zugriffsdateneingabe geschrieben, wenn der Benutzer auf die für die Maskierung konfigurierten Felder zugreift. Die Ablaufverfolgung enthält verschiedene Informationen, z. B. den Benutzer, der auf maskierte Werte zugreift, Datum und Uhrzeit des Zugriffs und die Transaktion, die der Benutzer zum Anzeigen der konfigurierten Felder verwendet hat. Darüber hinaus verfügen Sie über umfangreiche Filteroptionen zum Einschränken und Minimieren der Informationen im Protokolldatensatz.

Transaktion (UIM_VIEW_FAT)

In der Feldzugriffsablaufverfolgung haben Sie die drei Möglichkeiten, um zu entscheiden, wie Sie Ihre maskierten Felder verfolgen möchten und können diese nacheinander überprüfen:

  • (L) Trace, wenn der ursprüngliche Feldwert ohne Maskierung angezeigt wird: Die Werte werden protokolliert, wenn das Feld von einem Benutzer abgerufen wird, der den unmaskierten Wert des Felds anzeigen darf.
  • (A) Always Trace (unabhängig von der Maskierung): Die Werte werden protokolliert, wenn ein autorisierter oder nicht autorisierter Benutzer auf das Feld zugreift.
  • (N) Never Trace (unabhängig von der Maskierung): Feldzugriffsablauf ist für dieses Feld oder diese Rolle deaktiviert.
Dies ist eine optionale Funktion auf Feldebene

Konfigurieren von E-Mail-Benachrichtigungen für PFCG-Rollenänderungen: Bei dieser Anpassung haben Sie die Möglichkeit, eine E-Mail-Benachrichtigung (Warnung) auszulösen, wenn jemand mit PFCG-Rollen verwechselt wird.

BAdI – UI-Maskierung und Feldzugriffsverfolgung: Mit Hilfe von BAdIs können Sie Ihre eigenen Regeln erstellen und Ihre eigene Geschäftslogik implementieren, um die maskierten Werte neu zu gestalten, kurz bevor sie an den Endbenutzer übertragen werden.

Für jeden Feldnamen, der in der Maskierungskonfiguration verwaltet wird, können Sie auf die Originaldaten sowie maskierten Daten zugreifen.

Fazit

SAP UI Masking ist eine starke Lösung für Ihre Datensicherheit. Das bedeutet, dass dieser Ansatz verhindert, dass unbefugte Mitarbeiter auf sensible Daten zugreifen können. Die Lösung reduziert das Risiko des Lecks sensibler Daten, indem Informationen einfach ausgeblendet werden, die nicht für den Job benötigt werden und sie damit dem Prinzip der Datenminimierung folgt.

Es gilt als kostengünstige Alternative zu Datenlösungen, wie zum Beispiel SAP ILM und ermöglicht Ihnen, die Datenschutzbestimmungen wie GDPR, HIPAA oder Sarbanes–Oxley einzuhalten.

Hier einige Vorteile, die Ihnen die SAP UI Maskierung bietet:

  • Schädliche und kostspielige Fälle von Datenverlust können vermieden werden
  • Die Transparenz des Zugriffs auf sensible Daten mit Audit-Trail auf Feldebene wird erhöht
  • Ein opportunistisches Datenleck wird verhindert
  • Eine menschliche Firewall wird erstellt und stärkt Mitarbeiter, indem das Bewusstsein für Datensicherheit erhöht wird
  • Ihre Mitarbeiter werden vor unbeabsichtigten Sicherheitsbrüchen geschützt
  • Die Sicherheit Ihrer Mitarbeiter ihre Arbeit selbstbewusst zu erledigen wird gesteigert

Ich wünsche Ihnen ein sicheres und geschütztes System und hoffe, dass Ihnen unsere kleine Reise in die Welt der SAP UI Masking und Logging gefallen hat.

 

2 Responses to "UI Masking in SAP GUI für Windows (Teil 3/3)"