Angebot anfordern
Preisliste herunterladen
Beratungsgespräch vereinbaren
Support
Tobias Harmes
 - 30. August 2018

Der DSAG-Prüfleitfaden

083018_1444_DerDSAGPrfl1.jpg Wenn ich mir die Feature-Liste diverser Fremd-Software für SAP Security ansehe, lese ich immer wieder: "… nach DSAG-Prüfleitfaden". Wo finde ich diesen Leitfaden und ist das alles, was ich für die Prüfung eines SAP Systems benötige?

Einleitung

Die Deutschsprachige SAP-Anwendergruppe e. V. (DSAG) besteht im Wesentlichen aus Mitgliedern, die SAP einsetzen. Und einige dieser Mitglieder sind aktiv in Arbeitsgruppen engagiert und erstellen dabei Dokumente, die für die gesamte Gemeinschaft der SAP Nutzer hilfreich sind.

So haben einige Mitglieder des Arbeitskreises (AK) Revision u. Risikomanagement vor einigen Jahren einen Leitfaden entwickelt, der Prüfern und auch Systeminhabern dabei helfen soll, mögliche Sicherheitsrisiken im SAP aufzudecken. Darüber hinaus werden Best-Practices für die Prüfung von SAP Systemen und Anwendungen beschrieben.

Diese Leitfäden sind so etwas wie der Industriestandard und gemeinsamer Nenner, auf den sich SAP Anwender, Fachbereiche, Prüfer (interne wie externe) und Softwarehersteller berufen. Und es hilft tatsächlich auch in Prüfungen oder Umsetzung von Revisionsmaßnahmen ungemein, wenn ich auf den Leitfaden verweisen kann.

Wo finde ich den Prüfleitfaden

Wenn in SAP Security-Software von dem DSAG Prüfleitfaden die Rede ist, sind im Wesentlichen zwei Dokumente gemeint, die auf der Webseite der DSAG ohne Registrierung direkt herunterladbar sind. Da die Version von 2009 noch Flash präsentiert, habe ich mal direkt die PDF-Links angegeben:

Prüfleitfaden SAP ERP 6.0 der Arbeitsgruppe Audit Roadmap | März 2009 (PDF-Version oder Online-Link, Flash)

Prüfleitfaden SAP ERP 6.0 – Best Practice-Empfehlungen | Mai 2015 (PDF-Version oder Online-Link)

Leider ist der neuere Prüfleitfaden von 2015 kein vollständiger Ersatz für den alten Leitfaden, sondern eine Aktualisierung und Ergänzung des ersten Teils des Leitfadens von 2009. Es werden z.B. SAP GRC und SAP HANA ergänzt bzw. das erste Mal behandelt. Themen wie Funktionstrennungskonflikte auf Anwendungsebene (SoD-Konflikte) sind nicht Teil des Leitfadens von 2015 und sind deshalb nur im Leitfaden von 2009 zu finden.

Wer kann den Leitfaden verwenden und Beispiele

Obwohl sich die Prüfleitfäden an „den mit SAP vertrauten Prüfer“ richtet, können auch Administratoren oder Berechtigungs-Entwickler die Leitfäden ohne weiteres verwenden. Vorteil ist auch, dass in diesen Dokumenten „auf Deutsch“ auch über das Risiko der jeweiligen Einstellung gesprochen wird. Welche Auswirkung die Änderung des Wertes eventuell auf Systemstabilität oder den Komfort für die Benutzer hat, muss allerdings jeder selbst herausfinden.

Beispiel Konfigurationsprüfung aus dem Leitfaden von 2015

Kontrollziel: Verhindern von Mehrfachanmeldungen
Risiko: Mehrere Benutzer teilen sich eine Benutzerkennung und melden sich getrennt am SAP-System an. Das ist ein Verstoß gegen die Lizenzbestimmungen von SAP.
Mehrfachanmeldungen sind ausgeschlossen, login/ disable_multi_gui_login (Standardwert: 1).
Vorschlagswert: 1, d.h., mehrfache Anmeldung ist nicht möglich.

Hier benötige ich als Know-How, wie ich den Wert des Profilparameters ermitteln kann, z.B. mit der Transaktion RZ10 oder dem Report RSPARAM.

Beispiel Berechtigungsprüfung aus dem Leitfaden von 2015

Welche Administratoren sollen Benutzer und ihre Berechtigungen auf welche Weise verwalten dürfen?
S_USER_AGR (Berechtigungswesen: Prüfer für Rollen) mit Aktivität „*“ und Name der Rolle „*“ ist kritisch.

Hier muss ich wissen, wie ich z.B. über die Transaktion SUIM->Benutzer->Suche nach komplexen Selektionskriterien das Berechtigungsobjekt als Filter eingebe und nach „*“ bzw. #* suche, um wirklich die User zu bekommen, die dort eine Stern-Berechtigung haben.

Ist das alles, was ich zur Prüfung benötige?

Mit den 188 Seiten der PDF-Version des Prüfleitfadens von 2015 und den 184 Seiten des Prüfleitfadens von 2009 sind diese Dokumente für das manuelle Durcharbeiten nur bedingt geeignet. Und damit regelmäßig prüfen – daran ist gar nicht erst zu denken. Das ist der Grund, warum im Prinzip viele Software-Hersteller das Know-How der Leitfäden in automatisierte Prüfsoftware gegossen haben. Wenn der Roboter etwas kann, dann im großen Stil Werte abfragen.

Daher empfehle ich auch immer, auf händische Prüfungen zu verzichten und bestenfalls zur Stichprobenkontrolle durchzuführen. Die wirkliche Prüfungen sollte durch einen mit entsprechender Software unterstützen, am besten vollautomatisierten Prozess durchgeführt werden.

Wenn Sie eine Idee für so einen Prozess und eine Software benötigen, sprechen Sie mich gerne an. Und wie immer freue ich mich über Feedback, Ergänzungen und Hinweise per Kommentar oder per Mail.

Eine Übersicht aller Leitfäden der DSAG (auch z.B. den Datenschutz-Leitfäden) gibt es übrigens hier: https://www.dsag.de/go/leitfaeden

Tobias Harmes

Mein Name ist Tobias Harmes und ich bin Projektleiter, Experte und Prozessberater bei mindsquare rund um das Thema SAP Basis & Security. Mein Lieblings-Herausforderung ist es, Unternehmensdaten und Prozesse abzusichern, ohne einen Komfortverlust zu verursachen.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP GRC als Download:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:





2 Kommentare zu "Der DSAG-Prüfleitfaden"

Guido Lorej - 31. August 2018 | 14:31

Mahlzeit!
Mir ist der Satz „… nach DSAG-Prüfleitfaden“ tatsächlich auch schon des Öfteren begegnet. Sehr gut zu wissen, dass der neue Prüfleitfaden nur eine Ergänzung bzw. Aktualisierung des alten Leitfadens ist, das war mir bis dato nicht bewusst! Kann ich in dem aktualisierten Prüfleitfaden denn auch bereits Informationen über das Thema Berechtigungen in S/4HANA finden?

Antworten
Tobias Harmes - 3. September 2018 | 08:47

Hallo Herr Lorej.

Der Prüfleitfaden von 2015 behandelt die Version SAP ERP 6.0 EHP7. Es ist also dort noch nichts Spezielles zum neuen ERP-Release S/4HANA zu finden. Viele Hersteller nutzen die S/4HANA Simplification List der SAP um ihre Regelwerke zu aktualisieren, damit auch eine Prüfung von S/4HANA Systemen funktioniert. Ein aktueller kompakter Leitfaden ist mir leider nicht bekannt.

Mit freundlichen Grüßen,
Tobias Harmes

Antworten

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.