Tipps für die anstehende Wirtschaftsprüfung (Wirtschaftsprüfung und SAP Berechtigungen – Teil 2)

Autor: Jonas Krueger | 26. Januar 2021

9 | #RedesignBerechtigungen, #Wirtschaftsprüfung

Welche Maßnahmen können Sie treffen, um Ihre SAP Berechtigungen auf die nächste Wirtschaftsprüfung vorzubereiten? Im zweiten Teil unserer Blogbeitragsreihe geben wir Ihnen konkrete Tipps.

Weitere Artikel zum Thema Wirtschaftsprüfung und SAP Berechtigungen:

Im ersten Teil unserer Blogbeitragsreihe haben wir erklärt, wie eine IT-Prüfung abläuft und auf welche Dinge Prüfer bei den SAP Berechtigungen wert legen. In diesem Beitrag teilen wir konkrete Punkte, die Sie sich vor der Prüfung noch einmal anschauen sollten.

Wie bereite ich mich optimal auf die Prüfung vor?

Auf eine Prüfung des SAP-System kann man sich durch unterschiedliche Maßnahmen und Überprüfungen optimal vorbereiten. Unsere Quick-Wins umfassen hierbei kritische Berechtigungen, Standard-User und ungenutzte User sowie die ABAP Security

Berechtigungen – Welche sind kritisch?

SAP Prüfer untersuchen bei einer Systemprüfung besonders die kritischen Berechtigungen, also an welcher Stelle und wie diese vergeben sind. Um nicht gegen die DSGVO oder das HGB zu verstoßen und die Grundsätze ordnungsgemäßer Buchführung einzuhalten, sollten verschiedene kritische Berechtigungen überprüft und ggf. bereinigt werden.

Die erste kritische Berechtigung ist SAP_ALL. Diese Kombination aller Berechtigungen im System ist kritisch, da der User im SAP-System alle Daten einsehen und bearbeiten kann.

Entwickler und Debbuging-Rechte in der Produktivumgebung (S_DEVELOP) sind ebenfalls kritische Berechtigungen. Bei Entwlickerschlüsseln und die Berechtigungen S_DEVELOP könnten Sicherheitsmechanismen umgangen werden. Alle Informationen im SAP-System werden in Tabellen gespeichert und der uneingeschränkte Zugriff auf Tabellen ermöglicht es dem Nutzer Informationen anzuzeigen, zu denen er eigentlich nicht berechtigt ist. Auch die Passwörter aller User stehen in Tabellen. Dieser Zugriff stellt somit ein Sicherheitsrisiko dar.

Ebenfalls kritisch sind Verstöße gegen die Funktionstrennung (Segregation of Duties). Das bedeutet, ein Geschäftsprozess sollte im Idealfall nicht von Anfang bis Ende von einer Person – ohne Kontrolle – durchgeführt werden können.

Webinar: SAP Berechtigungen: Last-Minute-Tipps, bevor die Prüfer kommen

In diesem ca. 1-stündigen Webinar geben wir Ihnen Last-Minute-Tipps für Ihre SAP Berechtigungen und Systemsicherheit, damit die nächste Wirtschaftsprüfung nicht zum Schrecken wird!

Kritische Berechtigungen vermeiden

Um die kritischen Berechtigungen kurzfristig vor einer IT-Prüfung zu überprüfen und zu bereinigen, müssen diese zunächst identifiziert werden. Für die Identifizierung und Bereinigung gibt es im SAP die Transaktion SUIM.

Im Benutzerinformationssystems (SUIM) sind besonders zwei Reports wichtig:

  1. Benutzer mit kritischen Berechtigungen (auch in Kombination mehrerer Berechtigungen)
  2. Benutzer nach komplexen Selektionskriterien (Filtern nach Profilen oder Berechtigungsobjekten, wie SAP_ALL oder S_DEVELOP)

SAP liefert diese beiden Möglichkeiten zum Report aus, jedoch kein Regelwerk dazu. Das Standardregelwerk ist leer. Der Nutzer hat daher unterschiedliche Optionen für das Regelwerk. Dabei empfiehlt es sich ein Prüftool mit regelmäßig aktualisierten Regelwerken zu kaufen oder das Regelwerk selbst zu definieren und per Upload als Excel-Datei zu pflegen.

Überprüfung der SAP Standard-User

Eine weiteres Themengebiet, dass oft von SAP-Prüfern untersucht wird, ist die Absicherung der SAP Standard-User (z.B. DDIC, SAP*. TMSADM oder EARLYWATCH).

Die Prüfer untersuchen, ob diese SAP Standard-User beispielsweise noch das Standard-Kennwort nutzen oder umfassende Berechtigungen haben.

Bei den oben genannten Standardusern ist es bereits ausreichend, zunächst die Kennwörter der Benutzer zu ändern und nicht benötigte Standard-Benutzerkonnten zu sperren. Weitere Infos zur Überprüfung und Absicherung der Standardbenutzer gibt es in unserem Artikel: Überprüfung der SAP Standardbenutzer auf Initialkennwort.

Auch der SAP EarlyWatch Alert Report gibt Ihnen Informationen und einen Statusüberblick über das eigene SAP-System und zeigt beispielsweise ein Risiko bei SAP Standardusern auf. SAP EWA Report eignet sich somit, um kurz vor der Prüfung noch einmal zu überprüfen, ob ein User ein Risiko im eigenen SAP-System darstellt.

Ungenutzte SAP-User

SAP-Prüfer untersuchen auch, ob SAP-User im System nicht mehr genutzt werden, aber noch aktiv sind. Auch das ist ein Sicherheitsrisiko, da die nicht mehr genutzten SAP-User unbemerkt missbraucht werden können. In großen Unternehmen fällt es eventuell gar nicht erst auf, dass der ungenutzte User, der beispielsweise nicht mehr im Unternehmen tätig ist, noch weiterhin im System aktiv ist.

ABAP Code Security

Die Prüfer achten als letzten Punkt auf die Implementierung von bestimmten Schutzmechanismen, wie beispielsweise Berechtigungsprüfungen. Das gilt für Eigenentwicklungen als auch für zugekaufte Software. Zudem wird darauf geachtet, ob die aktuellen Sicherheitspatches für die verwendete Software eingespielt wurden.

SAP hat monatlich einen Security-Patch-Day, bei dem die aktuellen Sicherheitspatches nach Relevanz vorgestellt werden. SAP ordnet die Patch-News dabei nach einem Risikoscore low, medium, high und hot ein, je nachdem wie wichtig diese News sind.

Es empfiehlt sich bekanntwerdende Sicherheitslücken zeitnah zu schließen und Patches und Security Notes einzuspielen. In unseren RZ10-Updates erhalten Sie immer die aktuellen News rund um den SAP Patchday und bleiben bei den Sicherheitspatches immer auf dem neuesten Stand.

Die Implementierung von Berechtigungsprüfungen sollten zudem in die Entwicklerrichtlinien aufgenommen werden, dazu sollte das Wissen und ein Prozess (z.B. Solution Manager System Recommendation) zur Prüfung und Einspielung bei den Entwicklern in Ihrem Unternehmen etabliert werden.

Ihre SAP Berechtigungsprüfung – von uns vorbereitet

Lassen Sie sich nicht verunsichern. Es gibt viele Möglichkeiten, wie Sie sich auf die anstehende Prüfung vorbereiten können. In unserem Webinar Last-Minute-Tipps, bevor die Prüfer kommen gehen wir noch detailierter auf unsere Quick-Wins ein. Wenn die Prüfer schon da waren, können wir auch gerne die Ergebnisse und mögliche Folgemaßnahmen mit Ihnen durchsprechen.

Sie benötigen weitere Unterstützung zu dem Thema? Kontaktieren Sie uns gerne und schreiben Sie eine Mail an info@rz10.de. In unseren Webinaren geben wir immer wieder nützliche Tipps rund um das Thema SAP Basis und Security. Welche Webinare angeboten werden, sehen Sie unter: rz10.de/events


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Jonas Krueger

Autor

Jonas Krueger

B.Sc. Angewandte Informatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support