it-sa 2015 Toolgestützte Prüfung des SAP Berechtigungskonzepts Autor: Sebastian Schreiber IBS Schreiber GmbH

Transkript

1 it-sa 2015 Toolgestützte Prüfung des SAP Berechtigungskonzepts Autor: Sebastian Schreiber IBS Schreiber GmbH 1

2 it-sa 2015 Agenda Portfolio IBS Schreiber GmbH Funktionsprinzip CheckAud for SAP Systems erkennen von gesetzeskritischen Berechtigungen erkennen von Verstößen gegen Funktionstrennungen ableiten von Maßnahmen zur Optimierung und Verbesserung technische Abbildung eines IKS zur regelmäßigen Überwachung kritischer Prozesse in SAP 2

3 IBS Schreiber GmbH International Business Services for auditing and consulting IBS Schreiber GmbH Referenzen CheckAud

4 IT- / SAP - Prüfung & Beratung IT-Infrastruktur, Betriebssysteme & Datenbanken (nach ISO 2700x, ITIL) Internet, mobile Kommunikation SAP - Systemsicherheit & SAP -Berechtigungskonzept Risikomanagement Externe betriebliche Beauftragte für IT-Sicherheit, Informationssicherheit & Datenschutz IBS Schreiber GmbH Referenzen CheckAud 4

5 Seminare & Fachkonferenzen über 120 Seminare im Bereich o o o o Grundlagen und Management der Revision, Datenanalyse, Sicherheit von SAP -Systemen, IT-Sicherheit und zielgerichtet und praxisnah an vorhandenen IT-/ SAP -Systemen von Prüfern für Prüfer, in kleinen effizienten Gruppen IBS Schreiber GmbH Referenzen CheckAud 5

6 Datenschutz Prüfstelle für Datenschutzmanagement und organisation nach 3 DSAVO vom Landeszentrum für Datenschutz Schleswig-Holstein (ULD) anerkannt Externe Datenschutzbeauftragte Entwickler für Ihre Datenschutz- und Datensicherheitskonzepte Gutachter zum Erlangen des Datenschutz-Gütesiegels Ihrer Produkte IBS Schreiber GmbH Referenzen CheckAud 6

7 GRC-Software CheckAud CheckAud o zur Datenprüfung und Überwachung von Berechtigungskonzepten und der Systemsicherheit IBS Schreiber GmbH Referenzen CheckAud 7

8 Referenzen IBS Schreiber GmbH Referenzen CheckAud 8

9 GRC-Software CheckAud IBS Schreiber GmbH Referenzen CheckAud CheckAud steht für GRC-Software zur Datenprüfung und Überwachung von Berechtigungskonzepten und der Systemsicherheit.

10 GRC-Software CheckAud CheckAud Scan - Modul Erfordert nur Kommunikations- Benutzer Standardisiertes Auslesen rel. SAP Tabellen Scan - Umfang konfigurierbar Snapshot RFC-Verbindung CheckAud Exporter (ABAP) Datenbank Management Summary Audit - Modul Durchführung der Prüfung Aufbereitung, Darstellung der Ergebnisse Export

11 Revision Entspricht das SAP System den Ordnungsmäßigkeitsvorgaben? Administration Prüfen bevor der Prüfer kommt! Fachabteilungen Der Data- oder Processowner überwacht seine Daten! IT- und Informationssicherheit / CIO / CISO Werden interne sowie gesetzliche Sicherheitsvorgaben eingehalten? Datenschutz Sind personenbezogene Daten ausreichend geschützt? GRC-Software CheckAud Wirtschaftsprüfer Die Jahresabschlussprüfung: Ergebnisse schnell und zielgerichtet.

12 Gesetzeskritische Zugriffsrechte Was sind gesetzeskritische Zugriffsrechte? Es handelt sich um Berechtigungen, bei deren Nutzung gegen bestehende Gesetze verstoßen werden kann. Dazu gehören u.a. folgende Berechtigungen, die in produktiven Systemen keinem Benutzer zugeordnet werden dürfen:

13 Funktionstrennungen (SoD) Was sind Funktionstrennungen? Warum sind diese wichtig? Funktionstrennungen dienen dem Schutz von Daten und Prozessen. In der Regel werden Zahlungs- bzw. sensible Finanzprozesse über so genannte Funktionstrennungen geschützt. Diese können bei korrekter technischer Umsetzung nicht mehr von einer Person alleine ausgeführt werden!

14 Funktionstrennungen (SoD) Welches Risiko besteht, wenn Benutzer zu viele Berechtigungen haben? Es können dolose Handlungen ausgeführt werden. Es können finanzielle Mittel entwendet werden. Es können sensible Daten entwendet werden. Kontrollprozesse können umgangen bzw. eliminiert werden.

15 Funktionstrennungen (SoD) Beispiel (der Klassiker): Kreditoren Stammdaten pflegen - Rechnung buchen Zahllauf

16 Funktionstrennungen (SoD) Das Problem besteht in der komplexen Zusammensetzung solcher Abfragen im SAP -System. Dadurch kann eine manuelle Analyse nur als Stichprobe durchgeführt werden!

17 Live Demo - CheckAud Aufdecken von Schwachstellen - auf Knopfdruck Abbildung eines IKS in CheckAud for SAP Systems Negativ-Testing in Berechtigungsprojekten

18 IKS Die Fachbereiche müssen in die Prüfungshandlungen einbezogen werden! Die Verantwortung liegt nicht in der IT! Die Bewertung der Systeme soll in Form von Regelprüfungen erfolgen! Es ist darauf zu achten, dass die Berichte von den Verantwortlichen gelesen werden und regelmäßig Maßnahmen zur Verbesserung der Security definiert und umgesetzt werden!

19 Beispiel: Prüfen gegen des DSAG Prüfleitfadens

20 Beispiel: Berichtswesen

21 Fragen?

22 Kontakt Sebastian Schreiber IBS Schreiber GmbH Zirkusweg Hamburg sebastian.schreiber@ibs-schreiber.de