Systeme und ihr Umfeld

SAP-Sicherheit

SAP-Unterstützung für IT-Revisoren

Von Hans-Joachim Gaebert, Hamburg

Die Prüfung eines SAP R/3-Systems wird mit zunehmender Integration sehr komplex. Je nach Releasestand und Einsatz von Modulen steht eine Vielzahl von Transaktionen, Tabellen und ABAP-Reports zur Auswahl. SAP-Standard-Tools und -Leitfäden helfen.

Daten des SAP R/3-Systems sind in Tabellen hinterlegt. Diese lassen sich mit Transaktionen und ABAP-Reports auswerten. Die richtige Auswahl fällt dem Prüfer jedoch oft schwer. SAP stellt aber mit dem Audit Information System (AIS) ein vielfältiges Tool zur Verfügung, das gezielte Prüfungen ermöglicht. Der Revisor bekommt ein Menü angezeigt und kann dann selbst auswählen, welche Teile für ihn relevant sind, sowohl im Bereich System Audit als auch Kaufmännisches Audit.

Im System Audit können Überprüfungen der Konfiguration, der SAP-Server oder Betriebsarten vorgenommen werden. In Untermenüs stehen SAP-System-, Datenbank- und Betriebssystem-Parameter zur Verfügung. In einer Mandanten-Funktion können neben der Übersicht die Mandantenänderbarkeit und Protokolle von Mandantenkopien dargestellt werden. Sensitive Zugriffsrechte für SAP-Directories lassen sich genauso prüfen wie Freigaben aus dem Internet/Intranet. Aus dem Transport Management System zeigt das AIS neben der Konfiguration auch Importe und Fehler an. Im Untermenü "Werkzeuge" kann der Prüfer zum Beispiel Aufträge und Aufgaben analysieren. Das Untermenü "Entwicklung/Customizing" gibt Auskunft über Namenskonventionen oder Erweiterungen und Modifikationen des SAP-Standards.

Weiterhin lassen sich gesperrte Transaktionen und Berechtigungsgruppen prüfen. In der Hintergrundverarbeitung werden die Job-Übersicht oder die Batch-Input-Protokolle angezeigt, in der Druck-Konfiguration die Spool-Administration oder Ausgabesteuerung angeboten. Unter dem Menüpunkt "Tabellen" stehen Übersichten, Auswertungen, Protokollierung, Historie und Änderungsbelege zur Verfügung, weiterhin eine Statistik der Tabellenzugriffe. Im Untermenü "Systemprotokolle und Statusanzeigen" zeigt AIS Server-Zustände, System-Traces, RFC-Protokolle und Anwendungs-Logs, zum Beispiel mit der Aufzeichnung von Verbuchungsabbrüchen.

Das Infosystem "Berechtigungen" ist im Untermenü Benutzerverwaltung enthalten; es wurde um Voreinstellungen erweitert. Von hier aus kann man einen Berechtigungstrace starten oder die Übersicht der Internet-Benutzer anzeigen lassen. Systemparameter kann der Prüfer im Untermenü "Security Einstellungen" auswerten: Unter anderem lässt sich die Qualität der Passwörter des Datenbankadministators oder von Sonderbenutzern testen. Auf Betriebssystemebene werden erlaubte Betriebssystemaufrufe und eine Übersicht der externen Kommandos angezeigt. Desweiteren kann ein HR-Audit durchgeführt werden.

[Screenshot: AIS]
AIS-Menü

Das Kaufmännische Audit liefert Auswertungen über die Bilanz und die Gewinn- und Verlustrechnung. Per Download können die Daten auf einen PC heruntergeladen und dort mit weiteren Tools wie ACL oder IDEA ausgewertet werden. SAP hat das Kaufmännische Audit um das so genannte Prozessaudit erweitert, das Prüfungen in der Produktion und Beschaffung, im Vertrieb, in der Debitoren- und Kreditorenabwicklung, der Warenbewegungen und Inventur sowie der Warenwirtschaft zulässt. Als nächste Komponente will SAP ein Controlling-Audit in das AIS integrieren.

Insgesamt stehen mehrere hundert Standard-ABAP-Reports und Transaktionen zur Verfügung. Das AIS wird regelmässig erweitert. Nicht aktuell sind jedoch die AIS-Checklisten zur R/3-Sicherheit und zum Datenschutz. Auf einem Audit Forum im September können Interessierte ihre Wünsche mit SAP diskutieren, zum Beispiel die Rechtevergabe für Prüfer, der ausschließlich Leserechte am AIS besitzen möchte (25.–29. September 2001, SAP University, St. Leon-Rot, [externer Link] www.sap.de/auditforum/).

SAP-Leitfäden

Die jetzigen Prüfleitfäden für Basis, Finanzwesen und Materialwirschaft sind nicht auf dem neuesten Stand und werden zurzeit auch nicht weiterentwickelt. Das Gleiche gilt für den Datenschutzleitfaden, der nicht an die neuesten Gesetze angepasst ist. Der betreffende SAP-Arbeitskreis sucht noch Mitarbeiter...

Der SAP-Sicherheitsleitfaden wurde hingegen kürzlich in der Version 3.0 neu herausgebracht und steht auf Deutsch und Englisch zur Verfügung. Er umfasst alle relevanten Sicherheitsthemen wie Benutzerauthentifizierung und Berechtigungskonzept, Netzwerke, Betriebssysteme, Datenbanken, Schutz des Produktivsystems, der Kommunikationsschnittstellen, Protokollierung und Prüfung. Auch neue Themen wie Internet-Anwendungen mit Trustcenter und digitalen Signaturen werden eingehend behandelt. Der SAP-Sicherheitsleitfaden gilt für alle gültigen Releases bis R4.6D. Der Anwender kann zwischen zwei Formaten wählen: online im HTML-Format oder zum Download/Ausdruck als PDF-Datei. Die Leitfäden liegen auf [externer Link] http://service.sap.com/securityguide/ bereit.

Dipl.-Kfm. Hans-Joachim Gaebert ist selbstständiger Unternehmensberater für DV-Revision und -Sicherheit in Hamburg sowie SAP-Partner.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 4/2001, Seite 45