Der DSAG-Prüfleitfaden

Autor: Tobias Harmes | 30. August 2018

2 | 29

Wenn ich mir die Feature-Liste diverser Fremd-Software für SAP Security ansehe, lese ich immer wieder: "… nach DSAG-Prüfleitfaden". Wo finde ich diesen Leitfaden und ist das alles, was ich für die Prüfung eines SAP Systems benötige?

  • Die DSAG Leitfäden sind so etwas wie der Industriestandard und gemeinsamer Nenner, auf den sich SAP Anwender, Fachbereiche, Prüfer (interne wie externe) und Softwarehersteller berufen.
  • Es gibt mehrere Versionen der Prüfleitfäden, die sich teilweise ergänzen
  • Prüfprogramme berufen sich auf die Leitfäden – in der Regel wird jedoch mehr geprüft bzw. muss geprüft werden

Update: Im Mai 2023 wurde ein neuer Prüfleitfaden für S/4HANA und SAP Cloud Services veröffentlicht. Er aktualisiert und erweitert den im Jahr 2015 herausgebenden Prüfleitfaden für ERP 6.0. Zur PDF-Version auf dsag.de

… als Podcast

Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast

…auf YouTube

Der DSAG-Prüfleitfaden – Der Leitfaden zur SAP

Die Deutschsprachige SAP-Anwendergruppe e. V. (DSAG) besteht im Wesentlichen aus Mitgliedern, die SAP einsetzen. Und einige dieser Mitglieder sind aktiv in Arbeitsgruppen engagiert und erstellen dabei Dokumente, die für die gesamte Gemeinschaft der SAP Nutzer hilfreich sind.

So haben einige Mitglieder des Arbeitskreises (AK) Revision u. Risikomanagement vor einigen Jahren einen Leitfaden entwickelt, der Prüfern und auch Systeminhabern dabei helfen soll, mögliche Sicherheitsrisiken im SAP aufzudecken. Darüber hinaus werden Best-Practices für die Prüfung von SAP Systemen und Anwendungen beschrieben.

Diese Leitfäden sind so etwas wie der Industriestandard und gemeinsamer Nenner, auf den sich SAP Anwender, Fachbereiche, Prüfer (interne wie externe) und Softwarehersteller berufen. Und es hilft tatsächlich auch in Prüfungen oder Umsetzung von Revisionsmaßnahmen ungemein, wenn ich auf den Leitfaden verweisen kann.

SAP Access Control SPM - Installation und Migration - RZ10.de Partner

Sie möchten gerne Umsteigen auf SAP GRC 12 Access Control Firefighter? Profitieren Sie von unsere langjährigen Projekterfahrung und Expertise.

Wo finde ich den DSAG-Prüfleitfaden?

Wenn in SAP Security-Software von dem DSAG Prüfleitfaden die Rede ist, sind im Wesentlichen zwei Dokumente gemeint, die auf der Webseite der DSAG ohne Registrierung direkt herunterladbar sind. Da die Version von 2009 noch Flash präsentiert, habe ich mal direkt die PDF-Links angegeben:

  • Prüfleitfaden SAP ERP 6.0 der Arbeitsgruppe Audit Roadmap | März 2009 (nicht mehr online verfügbar)
  • Prüfleitfaden SAP ERP 6.0 – Best Practice-Empfehlungen | Mai 2015 (PDF-Version)
  • SAP S/4HANA Prüfleitfaden | Mai 2023 (PDF-Version)

Leider ist der neuere Prüfleitfaden von 2015 kein vollständiger Ersatz für den alten Leitfaden, sondern eine Aktualisierung und Ergänzung des ersten Teils des Leitfadens von 2009. Es werden z.B. SAP GRC und SAP HANA ergänzt bzw. das erste Mal behandelt. Themen wie Funktionstrennungskonflikte auf Anwendungsebene (SoD-Konflikte) sind nicht Teil des Leitfadens von 2015 und sind deshalb nur im Leitfaden von 2009 zu finden. Der Prüfleitfaden aus 2023 aktualisiert und ergänzt die Version von 2015 für die Bereiche SAP S/4HANA On-Premise und S/4HANA Cloud Edition.

Zielgruppe des DSAG-Prüfleitfadens und Fallbeispiele

Obwohl sich die Prüfleitfäden an “den mit SAP vertrauten Prüfer” richtet, können auch Administratoren oder Berechtigungs-Entwickler die Leitfäden ohne Weiteres verwenden. Vorteil ist auch, dass in diesen Dokumenten “auf Deutsch” auch über das Risiko der jeweiligen Einstellung gesprochen wird. Welche Auswirkung die Änderung des Wertes eventuell auf Systemstabilität oder den Komfort für die Benutzer hat, muss allerdings jeder selbst herausfinden.

Beispiel Konfigurationsprüfung aus dem Leitfaden von 2015

Kontrollziel: Verhindern von Mehrfachanmeldungen
Risiko: Mehrere Benutzer teilen sich eine Benutzerkennung und melden sich getrennt am SAP-System an. Das ist ein Verstoß gegen die Lizenzbestimmungen von SAP.
Mehrfachanmeldungen sind ausgeschlossen, login/ disable_multi_gui_login (Standardwert: 1).
Vorschlagswert: 1, d.h., mehrfache Anmeldung ist nicht möglich.

Hier benötige ich als Know-How, wie ich den Wert des Profilparameters ermitteln kann, z.B. mit der Transaktion RZ10 oder dem Report RSPARAM.

Beispiel Berechtigungsprüfung aus dem Leitfaden von 2015

Welche Administratoren sollen Benutzer und ihre Berechtigungen auf welche Weise verwalten dürfen?
S_USER_AGR (Berechtigungswesen: Prüfer für Rollen) mit Aktivität “*” und Name der Rolle “*” ist kritisch.

Hier muss ich wissen, wie ich z.B. über die Transaktion SUIM->Benutzer->Suche nach komplexen Selektionskriterien das Berechtigungsobjekt als Filter eingebe und nach “*” bzw. #* suche, um wirklich die User zu bekommen, die dort eine Stern-Berechtigung haben.

Ist das alles, was ich zur Prüfung benötige?

Mit den 188 Seiten der PDF-Version des Prüfleitfadens von 2015 und den 184 Seiten des Prüfleitfadens von 2009 sind diese Dokumente für das manuelle Durcharbeiten nur bedingt geeignet. Und damit regelmäßig prüfen – daran ist gar nicht erst zu denken. Das ist der Grund, warum im Prinzip viele Software-Hersteller das Know-How der Leitfäden in automatisierte Prüfsoftware gegossen haben. Wenn der Roboter etwas kann, dann im großen Stil Werte abfragen.

Daher empfehle ich auch immer, auf händische Prüfungen zu verzichten und bestenfalls zur Stichprobenkontrolle durchzuführen. Die wirkliche Prüfungen sollte durch einen mit entsprechender Software unterstützen, am besten vollautomatisierten Prozess durchgeführt werden.

Wenn Sie eine Idee für so einen Prozess und eine Software benötigen, sprechen Sie mich gerne an. Und wie immer freue ich mich über Feedback, Ergänzungen und Hinweise per Kommentar oder per Mail.

Eine Übersicht aller Leitfäden der DSAG (auch z.B. den Datenschutz-Leitfäden) gibt es übrigens hier: https://www.dsag.de/leitfaeden

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

2 Kommentare zu "Der DSAG-Prüfleitfaden"

Mahlzeit!
Mir ist der Satz “… nach DSAG-Prüfleitfaden” tatsächlich auch schon des Öfteren begegnet. Sehr gut zu wissen, dass der neue Prüfleitfaden nur eine Ergänzung bzw. Aktualisierung des alten Leitfadens ist, das war mir bis dato nicht bewusst! Kann ich in dem aktualisierten Prüfleitfaden denn auch bereits Informationen über das Thema Berechtigungen in S/4HANA finden?

Hallo Herr Lorej.

Der Prüfleitfaden von 2015 behandelt die Version SAP ERP 6.0 EHP7. Es ist also dort noch nichts Spezielles zum neuen ERP-Release S/4HANA zu finden. Viele Hersteller nutzen die S/4HANA Simplification List der SAP um ihre Regelwerke zu aktualisieren, damit auch eine Prüfung von S/4HANA Systemen funktioniert. Ein aktueller kompakter Leitfaden ist mir leider nicht bekannt.

Mit freundlichen Grüßen,
Tobias Harmes

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice