SAP Security Check – mit Luca Cremer
Autor: Tobias Harmes | 2. Februar 2019
Ich spreche mit SAP Security Experten Luca Cremer über den SAP Security Check. Was sind Erfahrungswerte und Empfehlung zur Feststellung von kritischen Berechtigungen, wie sieht die Service-Erbringung bei Kunden aus?
… als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
… auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
Was ist ein SAP Security Check?
Der SAP Security Check ist eine präventive Maßnahme und trägt zur Sicherheit Ihres Unternehmens und Geschäftsprozesse bei. Erfolgt kein regelmäßiger SAP Check, ist das Unternehmen über den aktuellen Sicherheitsstand des Systems nicht informiert. Im schlimmsten Fall kann die Buchführung nicht lückenlos nachgewiesen werden – ein Desaster bei einer Jahresprüfung.
Vorteile eines SAP Security Checks:
- Überblick über die Sicherheitssituation Ihres SAP Systems
- Identifikation von kritischen Berechtigungen und Risiken
- Vorsorge für die Sicherheit Ihres Betriebes
- Sie sorgen vor dem Wirtschaftsprüfer dafür, dass alle Auflagen erfüllt sind
Typische Top-Feststellung: Dialog-Benutzer mit „Debugging with Replace“ Berechtigung. Beim Debugging with Replace kann der Anwender den normalen Programmablauf beeinflussen und Werte während des Programmlaufs ändern. Eben die Grundsätze ordnungsgemäßer Buchführung untergraben.
SAP Security Check - Analyse Ihrer aktuellen Systemsicherheit
Wir verschaffen Ihnen einen klaren Einblick in die aktuelle Sicherheitssituation Ihres SAP-Systems - mit unserem SAP Security Check und Audit.
Warum brauche ich einen SAP Security Check, wenn der Wirtschaftsprüfer sowieso vorbeikommt?
Oft ist nicht definiert, was ein Wirtschaftsprüfer in welchem Umfang hinsichtlich SAP Security prüft. Es gibt also keine Garantie, dass der Prüfer auch eine Prüfung der SAP Security durchführt. Außerdem können so unangenehme Feststellungen im Vorfeld vermieden werden. Und es bleibt mehr Zeit für die Bereinigung von möglichen Feststellungen.
Wie funktioniert der SAP Security Check?
Bei einem eintägigen Workshop sind die SAP-Experten rund um Luca Cremer mit ihrem eigenen Tool beim Kunden vor Ort. Bevor das Tool das System auf Fehler überprüft, werden Unternehmen der Prüfungsablauf erklärt und gezeigt, welche Elemente geprüft werden. Anschließend werden mit dem Kunden Maßnahmen für die Bereinigung getroffen. Das Tool extrahiert dann die notwendigen Daten aus dem System und ein hoch-automatisierter Prüflauf gegen das Regelwerk wird durchgeführt. Nach der Überprüfung wird eine Ergebnisliste mit verschiedenen Risikostufen aufbereitet und präsentiert. So kann das Unternehmen selbst entscheiden, welche Ergebnisse relevant sind und wo Maßnahmen ergriffen werden müssen.
Was sind Anzeichen für problematische Berechtigungen?
Berechtigungskonzepte und Rollenkonzepte haben bestimmte Kennzahlen, die Anzeichen sein können für problematische Berechtigungen. Mehr als 30 Systemrollen bei einem User sind zum Beispiel ein Indiz für ein nicht optimales Berechtigungsset. Anfragen wie „die gleichen Berechtigungen wie Herr Müller“ oder „wir brauchen mal die Berechtigung für Transaktion xy für Hr. Müller“ sind fast sichere Indizien für degenerierte Berechtigungen.
Ist der SAP Security Check eine wichtige Maßnahme auch für mein Unternehmen?
Fakt ist, dass mangelhafte Berechtigungen auch schon von Laien ausgenutzt werden können. Die Google-Suche nach „sap hacken“ bietet bereits ein reichhaltiges Spektrum an Möglichkeiten das System zu seinem Vorteil auszunutzen. Es ist also kein Expertenwissen notwendig. Nur mit regelmäßigen Prüfungen erhält man eine Einschätzung der Sicherheit.
Welche Vorteile hat ein regelmäßiger SAP Security Check?
Eine regelmäßige Überprüfung der Befehle im SAP System schützt vor vielen Gefahren, bevor es zu spät wird. Der Check schafft vor allem:
- einen Überblick über vergebene Berechtigungen
- Kennzahlen für ein gesundes Rollen- und Berechtigungskonzept
- Einschätzung des Risikos von vorsätzlichen Schäden / Diebstahl
- Einschätzung des Risikos von fahrlässigen Schäden
Was machen andere?
Unternehmen schätzen immer mehr die Bedeutung der regelmäßigen SAP System Überprüfung und sind mit einem internen Kontrollsystem ausgerüstet, der aber meistens nur auf manueller Prüfung basiert. Automatisierte Tools, die regelmäßig prüfen und ein Report zur Verfügung stellen, sind die bessere Wahl. Ein automatisierter Check ist im Gegenzug zu manueller Überprüfung viel schneller und spart erheblich Zeit- und Personalaufwand. Während ein automatisiertes Tool über 200 Prüfungen verfügt und dadurch für einen effektiveren Einsatz sorgt, braucht man bei dem manuellen Check für 20 Überprüfungen den ganzen Tag.
Tipp: Kostenlose Selbsteinschätzung mit dem HBG-Check
Unser HGB Check Tool erlaubt eine SAP Sicherheitsprüfung ohne externe Hilfe selbst durchzuführen. Es bietet Ihnen die Möglichkeit schnell zu erfahren, ob ein Benutzer HGB-kritische SAP-Berechtigungen besitzt. Das Tool ist kostenlos und beinhaltet die Top-20-Überprüfungen.
HGB Check - SAP Sicherheitsprüfung selbst durchführen
HGB Check ist ein Tool zur SAP Sicherheitsprüfung, das von jedem Anwender selbst ausgeführt werden kann und typische HGB-kritische Berechtigungen ermittelt.
Links & Downloads
SAP Sicherheit selbst testen mit dem kostenlosen HGB Check:
https://rz10.de/angebot/hgb-check-sap-security-check/
Servicebeschreibung SAP Security Check:
https://rz10.de/angebot/sap-security-check/
DSAG Prüfleitfaden:
https://rz10.de/sap-grc/der-dsag-pruefleitfaden/
Z_SAP_ALL – Anleitung für reduziertes SAP_ALL:
https://rz10.de/sap-berechtigungen/z_sap_all-erstellung-eines-reduzierten-sap_all/
Auf dem Laufenden bleiben
Wenn das hilfreich war, freue ich mich wie immer über Feedback – ob per Mail oder hier unter dem Beitrag.
