computerwoche.de

Web

Vorsicht vor R/3 und dem Internet

23.05.2001
Deutschlands oberster Datenschützer Joachim Jacob warnt vor datenschutzrechtlichen Problemen bei der Nutzung der kommerziellen SAP-Software R/3 und vor bösen Fallen, die Internet-Surfer beim Einkauf im Web meistens übersehen.

Von CW-Redakteur Jan-Bernd Meyer

MÜNCHEN (COMPUTERWOCHE) - Der Bundesbeauftragte für den Datenschutz, Joachim Jacob, hat in seinem aktuellen Tätigkeitsbericht (PDF, ~4,1 MB) nicht nur eine massiv angewachsene Überwachungstätigkeit staatlicher Stellen moniert und sich damit viel Gehör verschafft. Quasi im Kleingedruckten warnte er auch vor bösen Fallen, die Internet-Surfer beim Einkauf im Web meistens übersehen. Und er erkennt im Zusammenhang mit der Nutzung der kommerziellen SAP-Software R/3 erhebliche datenschutzrechtliche Probleme.

Jakob moniert, das Teledienste-Datenschutzgesetz (TDDSG) aus dem Jahr 1997 habe zwar seine erste Bewährungsprobe bestanden. Allerdings müsse es unbedingt an die technischen Entwicklungen und an die Erfahrungen mit dem Internet angepasst werden.

Deutschlands oberster Datenschützer denkt dabei vor allem an die Praktiken von Internet-Kaufhäusern. Diese würden die kaum durchschaubare Gesetzeslage ausnutzen, um Daten in illegitimer Weise gegen den Willen ihrer Kunden weiterzuverarbeiten. Jakob schreibt in seinem "Tätigkeitsbericht 1999 - 2000", die Transparenz auch der Gesetzeslage stoße beim Kauf via Internet da an Grenzen, wo Online- und Offline-Welt sich überschneiden. Was Folgen hat, denn diese beiden Sphären werden juristisch unterschiedlich bewertet.

Bestellt etwa ein Surfer via Internet bei einem virtuellen Kaufhaus, so gilt für die Daten, die während des Online-Handels beim Versenden des Bestellformulars erstellt wurden, das strenge TDDSG. Dieses verbietet die Weitergabe von Nutzungsdaten an Dritte. Die Daten der Bestellung selbst jedoch, das heißt die Lieferadresse und die Bezeichnung der bestellten Ware etwa, fallen unter das weniger strenge Bundesdatenschutzgesetz (BDSG). Grund: Diese Angaben sind auch für die Abwicklung des Handels außerhalb der Online-Welt erforderlich, für die korrekte Zulieferung beispielsweise.

Das BDSG erlaubt die Weitergabe dieser Daten für Werbezwecke unter der Bedingung, dass der Kunde dem nicht ausdrücklich widerspricht. Und genau hier beginnen die Probleme: Weil nämlich, moniert Jakob, der Verbraucher das "Einkaufen über das Internet als einheitlichen Dienst" ansieht, würde er eine beruhigende Zusicherung von Vertraulichkeit auch auf den gesamten Vorgang beziehen - also von der Online-Bestellung bis zur Auslieferung der gewünschten Ware bei ihm zu Hause.

Aber genau diese Zusicherung ist immer nur für den Online-Teil des Handels gemeint. Der Kunde, der das nicht weiß, sieht keinen Anlass, der weiteren Verwendung seiner Daten zu widersprechen. Der Täuschung folgt dann die Enttäuschung, schreibt Jakob, wenn der Kunde später, etwa bei Zusendung von Direktwerbung durch Dritte, erkennen muss, dass seine Daten doch nicht vertraulich behandelt wurden. "Der damit erzeugte Vertrauensschaden trifft nachher nicht nur die Anbieter, die solche Verfahren praktizieren, sondern den gesamten Bereich des E-Commerce", warnt Jakob.

Vertrauen per Datenschutz-Audit

Hier könne ein Datenschutz-Audit abhelfen, das die Redlichkeit der gegenüber dem Kunden abgegebenen Erklärungen nicht am gesetzlichen Minimum misst, sondern am vernünftigen Alltagsverständnis der Kunden. Vor allem für den E-Commerce werden Gütesiegel angeboten, die dem Verbraucherschutz insgesamt dienen sollen und somit die Einhaltung von Datenschutz-Mindeststandards nur als eine von vielen "Eigenschaften" eines Online-Shops bestätigen.

Als beispielhaft nennt der oberste deutsche Datenschützer hier etwa die "Trusted Site" des

TÜViT (www.trusted-site.de), den "Geprüften Online-Shop" des Europäischen Handelsinstituts (www.shopinfo.net) und die "Trusted Shops" des Gerling-Konzerns (www.trusted-shops.de).

Allerdings kritisiert Jakob, dass Datenschutzerklärungen im Sinne einer Privacy Policy immer noch selten sind. Wenn überhaupt, fänden sich solche Hinweise vornehmlich versteckt in den Allgemeinen Geschäftsbedingungen (AGB). Und dann seien sie oft inhaltlich auch nur sehr dürftig oder zu allgemein gehalten. Ebenso selten sei eine Unterrichtung der Nutzer über den Umfang und Zweck der Datenerhebung, -verarbeitung und -nutzung durch Zugangs-Provider.

Diskret indiskret: Informationen sammeln

Jacob geißelt die Untugend von Providern, die entgegen dem Wunsch von Kunden heimlich Daten über diese sammeln und sie mit Hilfe von Cookies und Web-Bugs ausforschen. Dies sei mittlerweile zu einem eigenständigen Gewerbe geworden. Im Ergebnis wachse das Misstrauen der potenziellen Kunden gegen Internet-Geschäfte aller Art. US-amerikanische Anbieter reagieren hierauf mit einem "Marketing by permission". Hierbei wird dem Kunden in einem klaren Verfahren die alleinige Entscheidung eingeräumt, ob seine Daten weiterbehandelt werden dürfen und wie dies zu geschehen hat.

Daten im Gesundheitswesen -

Vorsicht

Richtig bedenklich ist, was Jakob über den Umgang mit personenbezogenen Daten beispielsweise im Gesundheitswesen schreibt. Sogar gegen den unberechtigten Zugang zu hochsensiblen Daten, zum Beispiel zur Gesundheit der Betroffenen, gebe es keinen ausreichenden Schutz. Diese würden nicht einmal verschlüsselt. Zwar werden die Informationen auf organisatorisch abgeschotteten Rechnern bearbeitet, dann aber häufig auf einem zentralen Server gesichert, der in einem anderen Bereich oder Gebäude oder gar in einer anderen Liegenschaft steht. Die Daten werden, so Jakob, in aller Regel von einem Anwender-PC über ein LAN oder eine ISDN-Leitung ungeschützt zum Server übertragen. Dort sichert man sie mit anderen, nicht personenbezogenen Daten auf ein und demselben Datenträger.

Problemfall Firewalls - zu alt und löchrig

Bei seinen Recherchen in Unternehmen und Behörden stieß Jakob häufig auf technisch völlig überholte Firewalls. Er zitiert den Fall einer Behörde, die eine stark veraltete Software benutzte, deren Herstellerfirma gar nicht mehr existierte. Firewall-Systeme, fordert der Datenschützer, bedürften einer ständigen Aktualisierung, um den Angriffen aus dem Internet auf Dauer widerstehen zu können. Mit der bloßen Inbetriebnahme eines Firewall-Systems sei es nicht getan. Der finanzielle und personelle Aufwand für solche Technik sei nicht zu unterschätzen.

R/3-Einsatz - Datenschutz mit Fragezeichen

Spezielles Augenmerk richtete Jakob in seinem Datenschutzbericht auf die SAP und die datenschutzrechtlichen Aspekte des Einsatzes von R/3 im Personalwesen. Die branchenunabhängige Unternehmenssoftware könne ohne Übertreibung als Defacto-Standard in der Wirtschaft angesehen werden. Dessen Erfolg mache vor allem die Flexibilität aus, mit der sich R/3 an Betriebs- und Verwaltungsstrukturen anpassen lasse.

Josef Knittelfelder, Leiter Kaufmännische EDV-Organisation und R/3-Projektleiter bei der Andreas Stihl AG & Co., Waiblingen:

"Ganz grundsätzlich stellt sich das Problem, dass man in der R/3-Anwendung Daten nicht hundertprozentig schützen kann. Ein potenziell Interessierter, dabei aber nicht Zugriffsberechtigter kann nämlich beispielsweise auch über das Datenbanksystem auf R/3-Daten zugreifen. Auch hier müssen die Zugangsberechtigungen ganz klar geregelt sein und sollten nur einige wenige Personen Berechtigungen erhalten.

Dem prinzipiellen Problem, dass R/3-Daten auch von der Datenbank- oder der Betriebssystem-Ebene abgegriffen werden können, begegnen wir damit, dass wir Anwendern nur streng limitiert Rechte zuweisen beziehungsweise so gut wie keine.

Die Download-Funktion von Daten auf Clients in dem Client-Server-System SAP R/3 ist hierbei mit Vorbehalt zu sehen: Bei uns etwa sind die Ergebnisrechnungsdaten datenschutzrechtlich am höchsten eingestuft. Ergo dürfen nur Mitarbeiter aus dem Controlling solche Daten überhaupt auf ihren Rechner herunterladen.

Ein weiteres Problem, das wir sehr wohl auch sehen, ist das Single-Sign-on-Procedere von Mysap.com. Prinzipiell ist dieses zwar sinnvoll, denn man benutzt ja nicht nur ein SAP-System, sondern verschiedene. Wir testen dazu auf einer Pilotinstallation einen Workplace und werden die Systeme später für andere Mitarbeiter öffnen. Die inhärente Problematik dieses Zugangsverfahrens, dass es nämlich keine einheitliche Zugriffskontrolle über alle Systeme hinweg gibt, ist uns dabei bekannt."

Diese hohe Flexibilität und Skalierbarkeit birgt aber auch die Gefahr der Unübersichtlichkeit, wenn bestimmte Größenordnungen überschritten werden, schreibt Jakob. Das R/3-Berechtigungskonzept erscheine zwar an sich datenschutzrechtlich sinnvoll. Danach bekommt jeder Benutzer exakt die Zugriffsrechte, die er für seine Aufgaben benötigt. Die aus Sicht des Datenschutzes grundsätzlich zu begrüßenden, sehr feinen Rechtestrukturen könnten aber auch bewirken, dass die Transparenz der Rechtevergabe schnell verloren geht und damit eine Revision der Zugriffs- und Benutzerkontrollen im Sinne des Paragraphen 9 BDSG faktisch unmöglich wird.

Selbst mit dem System vertraute Personen wie etwa Administratoren könnten Sicherheitslücken leicht übersehen oder gar unbewusst verursachen. Aus Datenschutz-Perspektive stehe bei der Nutzung von R/3 deshalb ein einwandfreies Berechtigungskonzept im Vordergrund des Interesses. Die Standardversion von SAP R/3 beinhaltet allein etwa 700 Berechtigungsobjekte, daneben können je Benutzerstammsatz nochmals zirka 1300 Berechtigungseinträge vorgenommen werden - ein weites Feld also für Sicherheitslücken.

Dr. Günter Steinau, Beit Systemhaus:

"Wer das R/3-Modul HR einsetzt mit dessen kritischen persönlichen Daten, der sollte die Zugriffsrechte extrem sauber vergeben. Solch ein System muss abgeschottet sein. Wir benutzen HR nicht, sondern Paisy. Aber auch auf dieses System hat ausschließlich die Personalabteilung Zugriff."

Immer wieder habe Jakob Fälle konstatieren müssen, in denen überforderte Administratoren zur Gewährleistung eines reibungslosen R/3-Betriebs den Benutzern mehr Rechte zugewiesen hätten als tatsächlich erforderlich. In einer solch unzulässigen Rechtevergabe sieht der Datenschützer die grundsätzliche Gefahr der Benutzung der SAP-Standardsoftware. Die Ausarbeitung eines guten Berechtigungskonzepts muss daher bereits in der Projektierungsphase vorbereitet werden, "denn wenn seine Erstellung erst mit der Installation des Systems beginnt, sind Fehler fast unvermeidlich". Auch hält Jakob deshalb den Einsatz von Softwarewerkzeugen für dringend erforderlich, die das jeweilige Berechtigungskonzept von R/3-Unternehmenslösungen prüfen und gegebenenfalls revidieren.

Eine Untersuchung der Technologieberatungsstelle (TBS) beim DGB Landesbezirk Nordrhein-Westfalen, die von der Hans-Böckler-Stiftung herausgegeben wird ("Datenschutz bei SAP R/3"), kommt zu fast identischen Ergebnissen und nennt Risikobeispiele. Würden beispielsweise Daten aus dem R/3-Modul Human Resources (HR) vom produktiven System in ein Testsystem kopiert, schütze das Berechtigungskonzept des produktiven Systems die Daten im Testsystem nicht. Auch wenn Daten per Download auf einen PC übertragen werden, wirken die SAP-eigenen Berechtigungsprüfungen nicht mehr.

Marita Meisel (Name von der Redaktion verändert, bei einer deutschen Versicherung für die Rechtevergabe im R/3-System zuständig):

"Völlig abschotten werden Sie ein System wie das von SAP nicht können. Auch wenn man die Zugriffsschlupflöcher über das Datenbanksystem oder über das Betriebssystem einmal nicht berücksichtigt, ist es trotzdem fast unmöglich, solch ein Berechtigungssystem in R/3 absolut wasserdicht zu bekommen.

Leider bietet SAP da auch keine vernünftige Unterstützung an, die auch praktikabel wäre. Es gibt allerdings Firmen, die Werkzeuge für SAP R/3 anbieten, um das Berechtigungsvergabeverfahren zu vereinfachen. Die sind sehr viel besser als alles, was SAP selbst anbietet."

Setzt man, heißt es in der Untersuchung, auf einem Windows-95-PC nicht zusätzliche Produkte zur Berechtigungsprüfung ein, existiere überhaupt kein Mechanismus mehr, der die Daten absichert. Und wenn Daten vom SAP-Datenbank-Server auf einen Client übertragen würden, liege im dann fehlenden Schutz ein größeres Problem als in falschen Einstellungen im SAP-eigenen Berechtigungskonzept.

Aufgrund dieser Konstruktion können R/3-Daten leicht missbraucht werden - schon allein deshalb, weil man auch von außerhalb der R/3-Systemebene auf die gespeicherten Daten zugreifen kann. Die Risiken auf den verschiedenen Ebenen seien erheblich. So ließen beispielsweise physikalische Datenträger kopieren, indem man sie auf einen anderen Rechner oder in ein anderes Rechenzentrum oder auf einen "Testrechner" übertrage. Ein Benutzer könne auch auf Betriebssystem-Ebene auf die Daten zugreifen, sie kopieren, verändern oder löschen. Sei der Datenbank-Server in ein Netz - oder gar ins Internet - eingebunden, dann könnten die Dateien einfach übertragen werden. Ein Anwender, der auf Betriebssystem-Ebene Zugriff hat, könne darüber hinaus ein Programm ausführen, das die von R/3 angelegten Daten verarbeite. Außerdem ließen sich im Betriebssystem Parameterdateien verändern, so dass die Berechtigungsprüfung in den R/3-Programmen ausgeschaltet werde.

Sascha Porbadnik, stellvertretender

Unternehmensbereichsleiter Informations- und Kommunikationstechnik bei der AOK Berlin:

"Wir haben das Problem der Berechtigungsvergabe in R/3 insofern gelöst, als wir jedes Jahr die Unternehmensberater von Ernst & Young beauftragen, nicht nur unsere Finanzergebnisse prüfen zu lassen. Bei der Gelegenheit nehmen deren Experten auch mit einem eigenen Tool unser SAP-System und unter anderem unser Berechtigungsverfahren ins Visier. Stellen sie dabei fest, dass etwa ein Benutzer Zugriffsrechte auf SAP-R/3-Daten besitzt, die er überhaupt nicht haben sollte oder haben darf, dann können wir das nach dieser Revision sofort abstellen."

Zugriff über Datenbanken

Auf der Ebene des Datenbank-Management-Systems sei ein Anwender mittels der DBMS-Tools in der Lage, eigene Programme zu erstellen, die auf die Daten zugreifen. Da etwa die Oracle-Datenbank auf unterschiedlichen Betriebssystemen läuft, ließen sich die auf einem Unix- oder Windows-NT-Rechner vorhandenen Daten auf ein anderes System transponieren. Im DBMS ist es auch möglich, Programme einzubinden, die dann über die Datenbank auf die R/3-Daten zugreifen.

Auf der Ebene des SAP-Systems ist ein Benutzer, der eine Abap-Programmierberechtigung besitzt, in der Lage, auf alle Daten des R/3-Systems zuzugreifen. Aus Sicht der darunter liegenden Ebenen wird er wie ein SAP-Benutzer mit sämtlichen Rechten behandelt. Der in SAP programmierte Mandantenbezug existiert für ihn nicht mehr.

Sonderproblem Mysap.com

Einen Marktplatz können unterschiedlichste Rechner ansprechen, die über das Intra- oder Internet miteinander verbunden sind und Daten austauschen. Nicht anders verhält es sich mit der Marktplatzkomponente in Mysap.com. Bei diesem SAP-eigenen Marktplatz gibt es die Institution eines Zertifizierungs-Servers. Auf diesem (und nur diesem) wird ein Single-Sign-on für die auf dem Marktplatz aktiven Benutzer betrieben.

Zugriff auf diesen Datenbank-Servern haben über ein Intra- oder Internet sowohl einzelne PCs als auch PC-Netze. Und auf all diesen Rechnern können schützenswerte Daten gespeichert sein, die zwischen ihnen ausgetauscht werden. Problematisch ist dabei, dass kein Mechanismus existiert, der für das gesamte heterogene System den Schutz der Daten, also etwa den Zugriffsschutz, einheitlich regeln würde.

Gravierende Konsequenzen

Das hat gravierende Konsequenzen: R/3 ist ein Client-Server-System. Der PC, auf dem das Client-Programm "SAP-GUI" geladen ist, arbeitet mit dem Programm des Datenbank-Servers zusammen. Im Grunde stellt das SAP-GUI die vom Server übertragenen Informationen nur grafisch dar. Sie werden auf den PC übertragen und temporär gespeichert. Diese Funktionsweise mag der Grund dafür sein, dass SAP erst ab Release 4 den Download einer Berechtigungsprüfung unterzieht, schreiben die Autoren der TBS-Untersuchung.

Der Benutzer, der mit dem R/3-System arbeiten will, nimmt über mehrere beteiligte Rechner hinweg Verbindung zu dem R/3-Programm auf dem Datenbank-Server auf, das seine Berechtigungen verwaltet. Aber keinem Betriebssystem der beteiligten Rechner muss er sich bekannt machen. In dem Netz werden die beteiligten Rechner als "vertrauenswürdig" behandelt.