Skip to Content

Sicherheit und Datenschutz

Maßnahmen für einen effektiven Datenschutz

Tag für Tag vertrauen uns Unternehmen auf der ganzen Welt ihre Daten an – in ihrer On-Premise-Umgebung, in der Cloud oder unterwegs bei der Nutzung mobiler Geräte. Unsere Kunden müssen sich darauf verlassen können, dass diese Daten bei uns sicher sind und wir sie unter Einhaltung lokaler Gesetzesvorschriften verarbeiten sowie vor Missbrauch schützen.

Aus diesem Grund sind Sicherheit und Datenschutz für uns von zentraler Bedeutung. Mit zahlreichen Maßnahmen gewährleisten wir den Schutz aller Kunden, Interessenten, Mitarbeiter und Partner, deren Daten durch SAP-Systeme verarbeitet werden. Darüber hinaus sorgen wir für die Einhaltung aller maßgeblichen Gesetzesvorschriften zum Datenschutz. Unser Sicherheitsbeauftragter (Global Security Officer) und unser Datenschutzbeauftragter (Data Protection and Privacy Officer) berichten an den Vorstand und überprüfen regelmäßig alle Aktivitäten zur Einhaltung der relevanten Anforderungen in diesen Bereichen.

Zunehmende Gefahren für die IT-Sicherheit

Der zuverlässige Schutz von Daten ist mit zunehmenden Herausforderungen verbunden. Unternehmen erfassen und speichern mehr Daten als je zuvor, die aus einer Vielzahl von Quellen stammen. Diese Daten werden heute nicht mehr auf einem Großrechner in der On-Premise-Umgebung verwahrt, der lediglich durch physische Sicherheitsmaßnahmen geschützt werden muss.

Vielmehr stehen Daten nun auch außerhalb des Unternehmens auf zahlreichen Endgeräten zur Verfügung und sind damit potenziellen Angriffen ausgesetzt. Zudem hat die Zahl der Angriffe, die technisch immer ausgefeilter werden, drastisch zugenommen. Unternehmen sehen sich mit einer „Kommerzialisierung von Hackerangriffen“ konfrontiert. Zugleich sind neue Advanced Persistent Threats (komplexe, zielgerichtete Angriffe auf kritische IT-Infrastrukturen und vertrauliche Daten) in der Lage, viele der herkömmlichen Sicherheitsmechanismen zu umgehen.

Umsetzung einer umfassenden Sicherheits­strategie

Wir möchten es unseren Kunden und Mitarbeitern ermöglichen, unsere Software und Dienste unabhängig von Zeit und Ort auf beliebigen Geräten zuverlässig und sicher zu nutzen. Infolge des steigenden Risikos und der zunehmenden Häufigkeit von Cyberangriffen sind wir jedoch mehr denn je gefordert, die Sicherheit kritischer Informationssysteme zu gewährleisten.

Deshalb bedeutet Sicherheit für uns und unsere Kunden weit mehr als die Einhaltung der einschlägigen Gesetzesvorschriften. Mit einem umfassenden Portfolio von Sicherheitsprodukten und -services, sicherem Support und Beratungsleistungen zum Thema Sicherheit sorgen wir für die Sicherheit der SAP-Softwarelandschaften unserer Kunden. Mit diesem Angebot unterstützen wir unsere Kunden dabei, Sicherheits- und Datenschutzmaßnahmen in ihren Unternehmen zu ergreifen.

Verschiedene unserer Sicherheitsmaßnahmen erstrecken sich auf alle Bereiche unseres Unternehmens und damit auch auf alle unsere Produkte und Services. Hierzu gehören unter anderem die regelmäßige Schulung von Mitarbeitern zum Thema IT-Sicherheit sowie Datenschutz, einschließlich des Umgangs mit vertraulichen Informationen und dem damit kontrollierten und restriktiven Zugang zu Kundeninformationen. Wir verfolgen außerdem eine Sicherheitsstrategie, die auf drei zentrale Bereiche ausgerichtet ist: unsere Produkte, unseren Systembetrieb und unser Unternehmen.

Gewährleistung der Sicherheit unserer Produkte

Unternehmen nutzen SAP-Anwendungen für die Verarbeitung geschäftskritischer Transaktionsdaten, die für Cyberangreifer besonders interessant sind. Ziel unserer Strategie für die Produktsicherheit ist es, durch die Integration von Sicherheitsfunktionen in unsere Anwendungen das Risiko von Sicherheitsverletzungen zu minimieren.

Unser Secure Software Development Lifecycle gibt eine Methodik vor, wie wir Sicherheitsfunktionen in unsere Anwendungen einbinden, und ermöglicht uns damit die Umsetzung dieser Strategie. Vor ihrer Freigabe wird unsere Software von unabhängigen IT-Sicherheitsexperten überprüft. Das Entwicklungsteam setzt die Empfehlungen dieser Experten um, bevor die Anwendung freigegeben wird.

Diese Vorgehensweise entspricht dem Standard ISO/IEC 27034 für Anwendungssicherheit und ist umfassend in unser nach ISO 9001 zertifiziertes Prozess-Framework für die Entwicklung von Standardsoftware integriert.

Sicherer Betrieb unserer Anwendungen und Systeme

Unsere Strategie für einen sicheren Betrieb zielt nach den Sicherheitsgrundsätzen „Vertraulichkeit, Integrität und Verfügbarkeit“ darauf ab, unser eigenes Unternehmen sowie die Unternehmen unserer Kunden zu schützen. Zu diesem Zweck stellen wir ein umfassendes Sicherheits-Framework für den Cloud- und IT-Betrieb bereit, das sämtliche Aspekte vom System- und Datenzugriff über die Systemhärtung bis hin zum Management von Sicherheits-Patches, der Sicherheitsüberwachung und der Reaktion auf Sicherheitsvorfälle abdeckt. Hierzu gehören zentrale Sicherheitsmaßnahmen auf sämtlichen Ebenen einschließlich der physischen Anlagen sowie in unsere Prozesse integrierte Kontrollen.

Ein Schwerpunkt unserer Strategie für einen sicheren Betrieb bildet außerdem die frühzeitige Erkennung jeglicher Abweichungen von den in unserem Sicherheits-Framework definierten Standards. Hierzu setzen wir eine Kombination aus automatischen und manuellen Prüfungen ein. Diese werden sowohl von Dritten als auch von SAP-Mitarbeitern durchgeführt und ermitteln, ob der Betrieb unserer Anwendungen und Systeme internationalen Standards und den globalen Sicherheitsstandards der SAP gerecht wird.

Für die erfolgreiche Umsetzung unserer Strategie für einen sicheren Betrieb sind Zertifizierungen nach branchenspezifischen Best Practices entscheidend. Viele unserer Cloud-Lösungen durchlaufen deshalb SOC-Audits (Service Organization Control) nach den Standards ISAE3402, SSAE16 SOC 1 Typ 2 und SSAE16 SOC 2 Typ 2. Die SOC-Standards sind mit verschiedenen ISO-Zertifizierungen harmonisiert, darunter die Zertifizierung nach ISO 9001, 27001 und 22301.

Ganzheitlicher Ansatz für die Sicherheit unseres Unternehmens

Im Hinblick auf die Sicherheit unseres Unternehmens verfolgen wir einen ganzheitlichen Ansatz, der Prozesse, Technologien und Mitarbeiter umfasst. Im Mittelpunkt unserer Strategie stehen ein effizientes Managementsystem für Informationssicherheit und ein Sicherheitssteuerungskonzept, mit dem wir sämtliche Sicherheitsaspekte in drei zentralen Bereichen abdecken:

  • Sicherheitskultur: Durch regelmäßige Pflichtschulungen, Bewertungen und Berichte sorgen wir dafür, dass unsere Mitarbeiter unsere Sicherheitsrichtlinien und -standards kennen und befolgen.
  • Sichere Umgebungen: Durch umfassende physische Sicherheitsvorkehrungen gewährleisten wir die Sicherheit unserer Rechenzentren und Entwicklungsstandorte sowie den wirksamen Schutz unserer Einrichtungen und Gebäude.
  • Business Continuity: Unser Corporate Continuity Framework, das der ständigen Aufrechterhaltung eines zuverlässigen Geschäftsbetriebs dient, wird jährlich überprüft und an neue oder geänderte geschäftliche Anforderungen angepasst.

Einhaltung von gesetzlichen Auflagen für Sicherheit und Datenschutz

Bei der Verarbeitung von Daten zu Mitarbeitern, Bewerbern, Kunden, Lieferanten und Partnern achten und schützen wir das Recht dieser Personen und sorgen für die erforderliche Sicherheit ihrer Daten. Die Entwicklung und Umsetzung unserer Strategie für Sicherheit und Datenschutz erfolgt im Einklang mit unserer Unternehmensstrategie.

Zur Einhaltung der für uns relevanten Datenschutzgesetze haben wir weltweit gültige Datenschutzrichtlinien definiert. Darin sind die konzernweiten Mindeststandards für den Umgang mit personenbezogenen Daten unter Einhaltung von gesetzlichen Sicherheits- und Datenschutzbestimmungen aufgeführt. In den Richtlinien sind außerdem die Anforderungen für alle operativen Prozesse im Zusammenhang mit der Verarbeitung von personenbezogenen Daten oder dem Zugriff auf diese Daten sowie die Zuständigkeiten und Organisationsstrukturen beschrieben. Wir überwachen aktiv Änderungen an den einschlägigen Gesetzen und Vorschriften, um unsere Standards kontinuierlich anpassen zu können.

Mit einer breiten Palette von Maßnahmen schützen wir außerdem die von uns und unseren Kunden kontrollierten Daten vor Zugriff und Verarbeitung durch Unbefugte sowie vor unbeabsichtigtem Verlust oder Zerstörung. Unter anderem haben wir in kritischen Bereichen, in denen es in besonderem Maße auf den Schutz von Daten ankommt, ein Datenschutzmanagementsystem eingeführt. Dieses System wird jährlich vom British Standards Institute zertifiziert.

Im Jahr 2016 kam es weder bei Daten, für die die SAP verantwortlich ist, noch bei Kundendaten zu Datenschutzverstößen. Es gab auch keine Zwischenfälle, die gemäß Bundesdatenschutzgesetz meldungspflichtig sind.

Back to top