Datenverfremdung in SAP Systemen

Der Umgang mit personenbezogenen Daten ist immer wieder ein Thema: Sei es, dass die Politik Handydaten speichern will, sei es, dass Hacker sich Zugang zu Daten verschaffen und sie publizieren oder für kriminelle Zwecke Missbrauchen. Die IT ist irgendwie immer mitten drin.

Sowohl interne Revisionen als auch Wirtschaftsprüfer machen immer öfter Vermerke, dass der Umgang mit Daten neu geregelt werden muss (Stichwort: Compliance). Beispielsweise dürfen in QA- oder Schulungssystemen Daten, die für Test- oder Schulungszwecke verwendet werden, nicht im „Klartext“ lesbar sein. Dies ist ein verständliches Anliegen, aber: wie setzt man es in einer SAP-Umgebung am sinnvollsten um? Und: Wie anonymisiert man „richtig“?

Fangen wir mit der letzten Frage an:

Im einfachsten Fall werden die relevanten Felder einfach „unkenntlich“ gemacht, indem man bspw. in das Namensfeld lauter xxx einträgt und in das Vornamensfeld lauter yyy usw. Löst zwar das Problem, hilft aber nicht bei der Arbeit mit den Daten.

Eine Alternative ist es, Felder durch eine (oder mehrere) Konstanten zu ersetzen. Beispielsweise den seit Jahrzehnten berühmten Max Mustermann resp. Klara Müller. Ggf. hat man für jedes Feld mehrere Konstanten.

Der sinnvollste und schwierigste Weg ist es, feldsensitiv zu anonymisieren. Hierbei ist es wichtig, sich zunächst einen Überblick zu verschaffen, was alles anonymisiert werden soll: Adresse, Bankverbindung, Personalnummer, Kontodaten, usw. Dann stellt sich auch die Frage, welche Abhängigkeiten es gibt. So sollte bei Patientendaten das Alter beachtet werden. Aus einem Neu geborenem sollte kein Teenager werden. Auch die Frage, ob die anonymisierten Daten an anderer Stelle für eine weitere Verarbeitung relevant sind, kann wichtig sein: Wenn Adressen anonymisiert werden und in einem anderen Prozessschritt eine Plausibilitätsprüfung der Adresse erfolgt, muss sichergestellt sein, dass die anonymisierte Adresse existent ist. Diese Beispiele und Abhängigkeiten lassen sich beliebig fortsetzen.

Ein weiterer sehr wichtiger Punkt ist das Wissen, in welchen Tabellen innerhalb eines SAP-Systems die Daten überall gespeichert sind und welche Abhängigkeiten es gibt.

Dann bleibt noch die Frage, wann die Daten anonymisiert werden müssen. Anonymisierte Daten werden in Qualitätssicherungssystemen, Entwicklungssystemen, Sandboxen und Schulungssystemen benötigt. Somit sollten sie auf jeden Fall anonymisiert sein, bevor ein Anwender auf die Daten zugreift:

Möglichkeit 1: Wenn Daten gezielt transferiert werden, bspw. ein Patientenstammsatz oder eine Personalnummer, sollten die Daten bereits anonymisiert im Zielsystem ankommen.
Möglichkeit 2: Im Rahmen einer Systemkopie. Als einer der letzten Schritte der Systemkopie wird die Anonymisierung gestartet, danach das SAP-System freigegeben.
Da Anonymisierung wie oben beschrieben doch ein komplexes Thema ist, setzt Empirius hierfür auf die Zusammenarbeit mit Expertentools, speziell FIS/hrd. Der Mehrwert besteht in der Integration beider Verfahren gem. Möglichkeit zwei. Ein Beispiel aus der Praxis:

Das Klinikum Stuttgart investiert viel Zeit in Schulung und Weiterbildung seiner Mitarbeiterinnen und Mitarbeiter. Die Daten im Schulungssystem müssen so anonymisiert sein, dass die „Schülerinnen und Schüler“ (also Krankenschwestern, Ärzte und Pfleger/innen) keinen Bezug mehr zu den Originaldaten haben, aber dennoch anhand echter Fälle ausgebildet werden.

Zum regelmäßigen Aufbau des Schulungssystems wird eine Systemkopie des Produktivsystems mit BlueSystemCopy gemacht, für die Anonymisierung der Patientendaten wird FIS/hrd-ish verwendet. Die Integration beider Tools sorgt für ein sicheres, vollautomatisiertes Erstellen des Schulungssystems mit zwar anonymisierten, aber jederzeit aktuellen Daten. So können schnell und komplikationslos Schulungen mit relevanten Daten erfolgen.

Herr Pfeiffer, Fachbereichsleiter Systeme im Klinikum Stuttgart:

„Die Anonymisierung mit FIS/hrd-ish in Verbindung mit BlueSystemCopy ist für uns eine gute Möglichkeit, die wöchentlichen Kopien für das Schulungssystem mit geringem Aufwand durchzuführen. Entscheidend ist dabei, dass die Anonymisierungssoftware in sich logische, aber eben anonymisierte Patientendaten hinterlässt.“