Mit Sicherheit macht die Digitalisierung Spaß

von  Dr. Uwe Wächter

Wir werden in Gesprächen mit Kunden immer wieder nach der Sicherheit unserer Prozesse gefragt. Der virtuelle Kundentag im Herbst letzten Jahres war eine gute Gelegenheit, das Thema Sicherheit und Digitalisierung ausführlich zu beleuchten.

Der Titel des Beitrags suggeriert, dass Digitalisierung Spaß macht. Der Weg dahin vielleicht nicht, aber die Möglichkeit, alle relevanten Informationen im Unternehmen digital zur Verfügung zu haben, macht mit Sicherheit Spaß. Und man muss ja ehrlich sein: Corona hat uns auf diesem Weg ordentlich Beine gemacht.

Aber der Titel ist auch bewusst doppeldeutig: die Digitalisierung und die dadurch neu entstehenden Potentiale bringen für Unternehmen großen Spaß, doch die Sicherheit neuer IT- und Business-Prozesse stellt dabei oft ein leidiges Thema dar. Mit SEAL Systems müssen Sie sich den Spaß jedoch nicht verderben lassen!

Natürlich ist es vor allem unsere Aufgabe als Hersteller, die Software möglichst sicher zu implementieren und wir dafür tun einiges:

Wir implementieren sicherheitskritische Bausteine nach Möglichkeit nicht selbst, sondern verwenden OS Bibliotheken oder verbreitete Software, die regelmäßig z. B. vom BSI geprüft wird. Wir verfolgen die Bekanntmachungen des BSI und patchen die Komponenten (z. B. Apache, Tomcat, PostgreSQL). Wenn durch Tests beim Kunden Lücken auffallen, schließen wir diese so schnell wie möglich. Diese Patches werden dann allgemein zur Verfügung gestellt. In der Lösung von SEAL System sollten außerdem Benutzerrechte auf das notwendige Maß eingeschränkt und sichere Protokolle SSL, SNC aktiviert werden.

Sicherheitsrelevante Komponenten bei SEAL Systems – von Berechtigungen und Rollen bis Verschlüsselung:

Damit wir Ihnen diese sicherheitsrelevanten Komponenten und Einstellungen etwas praktischer vermitteln können, haben wir ein paar unserer Experten vor die Kamera gebeten, um uns das genauer erklären zu lassen. Als roten Faden betrachten wir dabei den Durchlauf eines Satzes an Dokumenten durch unser System. Von der Suche und Beschaffung in SAP, über die Verarbeitung im PLOSSYS oder in der Digital Process Factory (DPF) bis hin zur Ausgabe auf Drucker oder zur digitalen Verteilung über Portale.

Die einzelnen Module unserer Software werden in diesem Zusammenhang nicht erklärt. Sprechen Sie uns dazu gesondert an, wenn Fragen bestehen.

Berechtigungen und Rollen in SAP

Zunächst erklärt Lars Palitzsch (Teamleiter SAP), wie SEAL Systems mit Berechtigungen und Rollen in SAP umgeht:


Wir haben also verstanden:

  1. Auch wenn unsere Prozesse in SAP automatisiert sind, so hat doch jeder Prozess einen User / Eigentümer. Außerdem sorgt SEAL Systems dafür, dass jeder Zugriff auf Dokumente nur das macht, was der User selbst auch tun dürfte.

2. Da wir auch neue Funktionen zur Verfügung stellen (z. B. Jobs wiederholen) bringen wir dafür eigene Berechtigungsrollen mit. Diese Rollen sind aber erst einmal nur Muster, die die SAP-Betreiber übernehmen und anpassen können.

Sichere Kommunikation mit SNC

Anschließend wird der Job an PLOSSYS übertragen. Und obwohl es sich bis hierher nur um ein paar Daten handelt, sind auch diese natürlich schützenswert. Dazu gibt SAP die Technik vor: SNC. Unser Kollege Christian Weiß ist Experte in diesem Bereich und hat schon viele Kunden bei der Einrichtung unterstützt. Lassen Sie sich überraschen, welche Geschichten in der Praxis dabei vorkommen können:

SNC ist quasi mit RFC gleichzusetzen, nur dass SNC Verschlüsselung die übliche Technik unsymmetrischer Schlüssel nutzt – oder einfach auch „Zertifikate“ genannt. Da SAP diese Technik vorgibt und viele, gerade große Kunden solche Zertifikate auf eigene Root Zertifikate aufsetzen, muss sich der PLOSSYS-Admin an diese strengen Spielregeln halten.

Bereitstellung von Dokumenten mit PLOSSYS

An dieser Stelle übernimmt PLOSSYS die aktive Rolle und checkt die Dokumente in SAP aus. Damit die Anwendung nicht ohne Prüfung beliebige Dokumente holen kann, gibt es innerhalb von SAP zusätzliche Rollen und Rechte. Lars Palitzsch erklärt Ihnen das nun wieder im Detail:

Nun ist der gesamte Auftrag sicher auf dem PLOSSYS Server angekommen. Dateien wurden aus SAP abgeholt. Sie liegen auf dem Server und warten auf ihre Verarbeitung. Gleiches gilt auch für die DPF.

User-Authentifizierung mit OpenID Connect

Support und Admin brauchen gelegentlich Zugriff über GUI um zu helfen. Die Anwender wollen Zugriff, um zu sehen wo ihr Auftrag ist. Wenn die Zugriffsberechtigungen nicht oder falsch konfiguriert sind kann hier leicht eine Sicherheitslücke entstehen. Michael Scherer ist einer der „stillen Stars“ bei SEAL Systems – er erläutert im folgenden Video wie eine moderne User-Authentifizierung mit OpenID Connect (OIDC) aussieht:

Hier haben wir jetzt also gelernt:

  • OIDC ist aktueller Standard und wird überall im Internet verwendet.
  • Alle neuen Produkte von SEAL Systems können mit OIDC umgehen; die bestehenden werden schrittweise nachgerüstet.

OIDC wird normalerweise an die Domäne gekoppelt: man kann also LDAP, Kerberos und OIDC mischen und hat dabei überall den gleichen Account.

Mit ODIC oder anderen Token-basierten Authentifizierungsverfahren kann man Berechtigungen über Rechnergrenzen hinweg weitergeben. Eine Applikation kann nur dann einen Auftrag verarbeiten, wenn das entsprechende Token übergeben wurde. Ein Passwort wird nie übertragen. Dieses kennt nur der ID-Provider.

Sichere Kommunikation mit PLOSSYS 5

Nachfolgend werden wir erfahren, wie PLOSSYS 5 (P5) dieses neue Konzept umsetzt. Michael Scherer erklärt das Konzept im folgenden Video:

System-Monitoring mit Prometheus

Wer sicherheitstechnisch noch einen draufsetzen möchte, dem stehen Monitoring-Systeme wie Nagios oder Prometheus zur Verfügung. Unser Referent Michael Scherer stellt Prometheus kurz vor:

Sichere Übertragung der Ausgabe

Bei der Ausgabe auf moderne Multifunktionsgeräte kann man ebenfalls modernste Sicherheitsmechanismen nutzen.

Spannend wird es außerdem bei elektronischen Ausgabeverfahren z. B. bei der Ablage ins Filesystem oder auf einem Portal. Lesen Sie hierzu unseren Blogbeitrag „Best Practice: SAP-Cryptshare-Anbindung“.

Rückmeldung des Ausgabestatus an SAP

Der letzte Schritt in der Prozesskette ist die Rückmeldung an SAP. Der Auftrag wurde in SAP initiiert. Dort muss auch die Fertigmeldung abgeliefert werden. Liegt der Ausgabeauftrag als Papier im Drucker oder wurde er als virtuelles Papier in einem Portal bereitgestellt? Auch solche Rückmeldungen können nur mit der entsprechenden Authentifizierung erfolgen, um Fehler zu vermeiden. Lars Palitzsch gibt Ihnen Einblicke:

Damit kann der Durchlauf des Dokumentensatzes durch unser System als erledigt betrachten.

Weiteres Sicherheitsfeature: die digitale Signatur

Wenn man über die Sicherheit in Digitalisierungsprozessen spricht, sollte man definitiv die Sicherheit der Dateien selbst nicht vergessen. Hierfür dient die digitale Signatur. Wir integrieren Signaturverfahren in Ihre Geschäftsprozesse – von der Aufnahme der technischen Rahmenbedingungen bis zur Implementierung der Signier- und Siegelfunktionen. Lesen Sie mehr dazu:


Vereinbaren Sie ein unverbindliches Beratungsgespräch!*

Gerne beantworten wir Ihre weiteren Fragen rund um unsere Lösungen und die damit verbundenen Sicherheitsvorkehrungen und -verfahren. Fordern Sie einfach ein kostenloses und unverbindliches Beratungsgespräch an.

*Kein Newsletter, keine Weitergabe, Kontaktaufnahme per E-Mail nur zum genannten Zweck.

Teilen

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert. *

* = erforderliche Felder

  • Blog-Kategorien

  • Anstehende Veranstaltungen

    1. Online-Seminar: Direct Publishing – wichtige Ergänzung für Ihre Dokumentationserstellung

      26. Oktober 2021 um 11:00 - 11:30
    2. SEAL Systems Schulungstage – jetzt online

      9. November 2021 - 11. November 2021