19. Jahresfachkonferenz Sicherheit und Prüfung von SAP -Systemen Pre-Seminar: 16.09.2015 Konferenz: 17. - 18.09.2015 SAP -System Themen HANA Security Problematik der GRC Risiko-Überwachung bei Eigenentwicklungen SAP Prüfplan der Internen Revision (Praxisbeispiel) Bulletproof hosting & Botnet attack - die dunkle Seite des Internets Wie die Migration einer BW Landschaft auf SAP HANA gelingt (Praxisbeispiel) Wer braucht schon Hacking-Tools... Risikoanalyse in SAP Markttrends der nahen Zukunft - ihre Umsetzung der SAP Lösungen und neue Prüferthemen Referenten der Konferenz sind u.a.: Sponsor: Christian Weide SAP SE Eduardo Barrera Ernst & Young Volker Kozok Technischer Referent im Bundesministerium d. Verteidigung www.ibs-schreiber.de
Pre-Seminar am 16.09.2015 Sicherheit und Prüfung einer SAP -Systemlandschaft In diesem Pre-Seminar wird der Aufbau einer SAP -Systemlandschaft erläutert, angefangen von verteilten Systemen (HCM, ECC etc.) über die Transportlandschaft (Entwicklungs-, Test- und Produktivsystem) bis hin zu den Mandanten innerhalb eines SAP-Systems. Die einzelnen Prozessschritte innerhalb des Entwicklungs- (bzw. Customizing-) und Transportprozesses werden vorgestellt und diverse Prüfansätze innerhalb dieses Themengebiets entwickelt. Dazu gehören beispielsweise allgemeine Richtlinien wie etwa Antrags-, Test- und Freigabeverfahren, Entwicklerrichtlinien etc., Analysen von durchgeführten Transporten oder Tools zur Qualitätssicherung und Analyse von selbst erstelltem Quellcode. Darüber hinaus wird den Teilnehmern die Nachvollziehbarkeit von Änderungen innerhalb der Entwicklungsumgebung bzw. des Customizing ermöglicht. Abschließend wird erläutert, welche Sicherheitsmechanismen in SAP - Systemen existieren, um Produktiv- bzw. Testsysteme gegen direkte Änderungen in der Entwicklungsumgebung oder im Customizing zu schützen. Aufbau einer SAP -Systemlandschaft und Beurteilung der Kritikalität der einzelnen Bestandteile Prüfen der Entwicklungsumgebung, des Customizing und des Transports von Änderungen Schutz der Systemlandschaft gegen unautorisierte Änderungen ohne Transporte Termin: 16.09.2015 09:30 17:00 Uhr Kosten: 400,- zzgl. MwSt. inkl. Mittagessen, Getränke und Seminarunterlagen Durchführung: Vortrag, Diskussion, Beispiele am Rechner/Beamer. Jeder Teilnehmer hat eine eigene Workstation. Teilnehmerzahl: max. 12 Personen Veranstaltungsort: IBS Schreiber GmbH Zirkusweg 1, 20359 Hamburg Referent: Dipl.-Ing. Gerald Schrott, CISA 2
Vorwort Liebe Interessentinnen und Freundinnen, liebe Interessenten und Freunde des IBS! Zum 19. Mal jährt sich unsere Fachkonferenz Sicherheit & Prüfung von SAP -Systemen, zu der wir Sie wieder herzlich einladen. Wir hatten viel positive Resonanz aus unserer 18. Konferenz im letzten Jahr und haben zahlreiche Wünsche und Vorschläge für Sie in unserer Agenda aufgenommen: von SAP HANA über GRC Risiko-Überprüfungen bis hin zu Bulletproof hosting & Botnet attacks und Hacking-Tools. Abgeschlossen wird die Konferenz traditionell durch Holger Reichardt von der SAP SE mit einem Ausblick in die Zukunft und sich daraus ergebenden neuen Prüfthemen. Referenten aus der Industrie, aus Behörden, von Wirtschaftsprüfern, von SAP und der IBS stellen aus ihren jeweiligen - für alle relevanten - Sichtweisen praxis-orientierte Themen vor, zum Teil direkt am SAP -System. Schon der antike Schriftsteller Seneca wusste: Longum iter est per praecepta, breve et efficax per exempla Lang ist der Weg durch Lehren, kurz und wirksam durch Beispiele. Zahlreiches Begleitmaterial auf einem Stick ermöglicht Ihnen vertiefende Nacharbeit der Sie besonders interessierenden Themen. Auch das optionale Pre-Seminar zur Konferenz hat sich fest etabliert. Dieses Mal wird Sicherheit und Prüfung einer SAP - Systemlandschaft thematisiert, siehe Seite 2. Das Empire Riverside Hotel am Hamburger Hafen bietet wieder ein adäquates Ambiente zu den spannenden Beiträgen. Ich freue mich, Sie in Hamburg begrüßen zu dürfen! Herzlichst Konferenzleiter Ihr Sebastian Schreiber Sebastian Schreiber Geschäftsführer IBS Schreiber GmbH 3
Programm 1. Tag (17.09.2015) - Vormittags 09:00 Uhr 09:30 Uhr 09:45 Uhr Empfang Begrüßung Wie die Migration einer BW Landschaft auf SAP HANA gelingt Eckhard Heim, Leitung IT-BASIS Technologie, STIHL AG & Co. KG Um das Reporting im SAP BW (Business Warehouse) dauerhaft zu beschleunigen, setzt die ANDREAS STIHL AG & Co. KG heute SAP BW on HANA ein. Dieser Praxisvortrag erläutert, wie die Implementierung von Business Warehouse (BW) auf SAP -HANA bei STIHL gelungen ist: Intention eines POC BW-SAP-HANA Implementierung BW-SAP-HANA Erfahrungen mit BW-SAP-HANA 10:45 Uhr 11:00 Uhr Kaffeepause HANA Security Christian Weide, SAP SE Der Begriff SAP HANA umfasst im engeren Sinn Softwarekomponenten und Funktionen, die die In-Memory-Datenbank von SAP als Datenspeicher für Datenbankanwendungen zur Verfügung stellt. Darüber hinaus stellt SAP HANA Funktionen eines Applikationsservers zur Verfügung, die SAP HANA XS Engine. Im Rahmen der Nutzung einer HANA-Datenbank soll sowohl die Ausführung von HANA-Datenbankfunktionen als auch der lesende oder ändernde Zugriff auf die in der Datenbank gespeicherten Daten durch passende Berechtigungstechniken geschützt werden. Wesentlich für die Berechtigungstechnik sind Datenbankobjekte wie Tabellen, Views, die auf die gespeicherten Daten Zugriff ermöglichen, sowie ausführbare Prozeduren und User. Die einem User zugeordneten, konkreten HANA- spezifischen Berechtigungen werden im HANA Kontext als Privilegien (privileges) bezeichnet. Basierend auf diesem Sachverhalt werden die folgenden Punkte beleuchtet: SAP HANA Security Funktionalitäten SAP HANA Berechtigungsmanagement Rollen- und Benutzer-Management 12:00 Uhr Mittagspause 4
Programm 1. Tag (17.09.2015) - Nachmittags 13:30 Uhr Praxisbeispiel für einen SAP -Prüfplan der Internen Revision Ursula Lange, Griesson de Beukelaer GmbH & Co. KG Regelmäßige Kontrollen im SAP -Umfeld gehören zum Kernthema einer Internen Revision. Es gilt hierbei, die erforderlichen Kontrollen nach diversen Kriterien zu kategorisieren sowie den Prüfschritt zu beschreiben. Zudem gilt es den Überblick zu behalten: Was ist in diesem Monat zu prüfen? Ist die Prüfung noch im Status offen, in Arbeit oder erledigt? Revisionssichere Auswertungen aus dem SAP -System sind so abzulegen, dass sie auch z.b. vom Wirtschaftsprüfer den jeweiligen Kontrollen eindeutig zugeordnet werden können und schnell auffindbar sind. Folgende Punkte werden erläutert: Aufbau des SAP -Prüfplans (Excel-Datei) Enthaltene Kontrollen mit Prüfschritt, Kontrollrhythmus, Bearbeitungsstatus etc. Ablage der Dokumente im SAP -Workplace 14:30 Uhr 14:45 Uhr 15:45 Uhr 16:00 Uhr 17:00 Uhr 18:30 Uhr Kaffeepause Problematik der GRC Risiko-Überprüfung bei Eigenentwicklungen Alessandro Banzer, Xiting AG Wo muss der Hebel für eine IKS-konforme Risikoanalyse angesetzt werden Welche minimalistischen Anforderungen muss eine Eigenentwicklung erfüllen (authority-check, etc.)? Best-practice Vorgehen Sicherheitsbedarf und Budget Kaffeepause Bulletproof hosting & Botnet attack - die dunkle Seite des Internets Volker Kozok, Technischer Referent im Bundesministerium der Verteidigung bei der Beauftragten für den Datenschutz in der Bundeswehr Bulletproof Hosting - was ist das überhaupt? Im Vortrag wird ein Einblick in die verschiedenen Strukturen des Cybercrime und der daraus resultierenden Bedrohung für Organisationen und Firmen gegeben. Neben der Angriffsanalyse werden gegenwärtige Cyber Bedrohungen an Beispielen vorgestellt. Ende des 1. Tages Hamburger Abend 5
Programm 2. Tag (18.09.2015) 08:30 Uhr 09:00 Uhr 10:30 Uhr 10:45 Uhr Empfang Wer braucht schon Hacking-Tools Thomas Tiede, Geschäftsführer, IBS Schreiber GmbH Fraud-Delikte nehmen in ERP-Systemen immer mehr zu, befinden sich dort meist die wirklich interessanten Daten. Um in einem SAP -System Daten zu lesen bzw. zu manipulieren sind keine Hacking-Tools erforderlich. Man benötigt lediglich Wissen zur technischen Funktionsweise eines SAP NetWeaver und zu versteckten Funktionen. Und dieses Wissen ist frei im Internet verfügbar. Man muss nur wissen, wo man suchen muss Das SAP -System unendliche Möglichkeiten Warum man Selbstverständlichkeiten hinterfragen sollte Live-Demo: Was geht geht! Blogs Quelle des Wissens Wissen bringt neues Unwissen hervor wie schütze ich mein SAP -System? Kaffeepause Risikoanalyse in SAP Eduardo Barrera, Ernst & Young Unternehmen sind zusätzlichen Risiken ausgesetzt, die auf das immense Wachstum strukturierter (Datenbanken), aber auch unstrukturierter (Websites, Blogs) Daten zurückzuführen sind. Risikoanalyse kann dazu dienen, in die unterschiedlichsten, risikorelevanten Informationen zu stoßen und mit einer Fülle von methodischen wie auch technologischen Mitteln das Richtige zu identifizieren oder mögliche Szenarien zu berechnen, wie auch zukünftige Events vorherzusagen. Aber nur richtig eingesetzt kann es einen Mehrwert liefern. Alleine das Daten analysieren können bringt nicht den gewünschten Mehrwert. Wichtig ist, den Fokus auf die richtigen Fragen zu legen, die einen direkten Einfluss auf das Handling mit Risiken haben. Der Vortrag basiert unter Anwendung der Risikoanalyse auf das SAP -System und wird abgerundet durch das Thema Social Media Governance. Mit der Fragestellung: Was können Firmen tun, um die Chancen der sozialen Medien zu nutzen, sich aber dennoch vor Schwierigkeiten fernzuhalten? 12:15 Uhr 13:30 Uhr 15:00 Uhr Mittagspause Markttrends der nahen Zukunft - ihre Umsetzung in SAP -Lösungen und neue Prüferthemen Holger Reichardt, SAP SE Mit S/4HANA hat SAP im Februar 2015 ein neues Produkt auf den Markt gebracht. S/4HANA ist die vierte Generation der SAP -ERP-Systeme, basiert auf der In-Memory Plattform SAP HANA und wird von SAP als die größte Innovation betrachtet, seit 1992 das System R/3 auf den Markt kam. Erfahren Sie, wohin die Reise geht, welche Chancen und welche Risiken das für Sie als Anwender der heutigen SAP -Business Suite birgt, welche neuen Prüfungsfelder dadurch entstehen, wie Sie die Sicherheit Ihrer SAP -Landschaft auch in Zukunft gewährleisten können. Konferenzende 6
Freeware Erkennen Sie Risiken in Ihrem SAP -System! Einfach - Schnell - Kompakt mit CheckAud ParaMeter CheckAud ParaMeter ist eine Freeware aus der CheckAud GRC Software Familie der IBS Schreiber GmbH. CheckAud ParaMeter dient zum Auslesen und Auswerten der SAP -Systemparameter inkl. der Instanzparameter. Ergebnisbewertungen unter Berücksichtigung von Vorgaben anerkannter Empfehlungen sowie unternehmenseigener Vorgaben unterstützen den Anwender in der Beurteilung der Parametereinstellungen. Technische Merkmale Prüfung auf Inkonsistenzen der Parametereinstellungen über alle SAP Instanzen Prüfung gegen Empfehlungen aus dem DSAG Prüfleitfaden SAP ERP 6.0 (März 2009) Prüfung gegen eigene Unternehmensvorgaben Grafische Ergebnisaufbereitung und Zusammenfassung, Risikoanalyse Grafische Darstellung einer Risikobewertung Sie haben Interesse? Laden Sie sich die kostenfreie Freeware zum sofortigen Einsatz über unsere Website www.checkaud.de/parameter herunter! Sie möchten mehr über die CheckAud GRC Software Familie wissen? Sprechen Sie uns gern an: sales@ibs-schreiber.de
Ihre Referenten Alessandro Banzer Xiting AG Dipl. Wirtschaftsinformatiker Alessandro Banzer ist SAP Certified Associate & SAP GRC Access Control. Seit 2008 liegt sein Schwerpunkt im Bereich ERP und seit 2010 ausschliesslich bei SAP. Zusätzlich ist er SAP SCN Moderator, sowie SAP SCN GRC Community Leader und wurde im Oktober 2014 als Member des Monats Oktober ausgezeichnet. Eduardo Barrera Ernst & Young (EY) Eduardo Barrera ist Senior Manager bei EY in Zürich und verantwortet den Bereich Governance Risk and Compliance in der Schweiz. Eduardo Barrera verfügt über mehr als 20 Jahre Management Consulting-Erfahrung. Er hat zahlreiche ERP-Einführungsprojekte geleitet (SAP, non SAP ), interne wie auch externe Revisionsmandate verantwortet, wie auch verschiedene strategische Organisations- und Transformationsprojekte in der IT und im Business durchgeführt. Eckhard Heim STIHL AG & Co. KG Eckhard Heim ist seit 1980 im Unternehmen tätig. Als Dipl.-Betriebswirt DV (BA) hat er die Leitung der Abteilung IT-Basistechnologie bei der STIHL AG & Co. KG. Herr Heim ist zuständig für die Infrastrukturen SAP, Datenbanken, AIX- und Linux-Server, Storage / Backup & Recovery, Integrationstechnologien (EAI, EDI, SAP-Portal) sowie SAP -Security & SAP -Compliance.. Volker Kozok Technischer Referent im Bundesministerium der Verteidigung bei der Beauftragten für den Datenschutz in der Bundeswehr Oberstleutnant Volker Kozok ist ausgebildeter Security Analyst und IT-Forensiker und hat 2002 das CERT der Bundeswehr ausgeplant und ausgebildet. Seit mehr als 20 Jahren arbeitet er in dem Bereich der IT-Sicherheit und war im Schwerpunkt für die Prüfung und Kontrolle komplexer IT-Systeme zuständig. Gemeinsam mit dem Landeskriminalamt Niedersachsen hat er die ersten Lehrgänge für Ethical Hacking und IT-Forensik durchgeführt. Seit 2002 leitet er die jährliche US-Studytour, bei der ausgewählte Sicherheitsexperten der Bundeswehr und aus der Industrie an einem 2-wöchigen Erfahrungsaustausch mit Dienststellen und Universitäten in den USA teilnehmen. Ursula Lange Griesson - de Beukelaer GmbH & Co. KG Ursula Lange ist Leiterin der Internen Revision. Ihre Prüfungsschwerpunkte liegen sowohl in den klassisch kaufmännischen Bereichen als auch z.b. in Materialwirtschaft, Produktion & Technik sowie Verpackungs- und Qualitätsmanagement. Ein zentrales Thema bilden regelmäßige interne Kontrollen im SAP -Umfeld. Zudem ist Frau Lange Antikorruptionsbeauftragte von Griesson de Beukelaer. 8
Ihre Referenten Holger Reichardt SAP SE Holger Reichardt ist seit 1982 bei SAP tätig. Herr Reichardt berät als Chief Solution Architect weltweit SAP - Kunden in Strategiefragen und organisiert den Erfahrungsaustausch unter den Executives großer SAP - Anwender. Sebastian Schreiber IBS Schreiber GmbH Sebastian Schreiber ist Geschäftsführer der IBS Schreiber GmbH. Seit 2000 ist er als Dozent und Prüfer im Bereich der SAP -Einführung und der SAP -Berechtigungskonzeption tätig. Durch seine langjährigen Erfahrungen als Projektleiter im SAP -Umfeld und diversen Berechtigungsprüfungen verfügt er über ein fundiertes Wissen in diesem Bereich. Thomas Tiede IBS Schreiber GmbH Thomas Tiede ist seit Anfang des Jahres 2000 Geschäftsführer der IBS Schreiber GmbH. Seine umfangreichen Erfahrungen im Bereich der Unternehmensprüfung fließen in seine langjährige Seminartätigkeit ein. Er gilt als anerkannter Experte der Zugriffs- und Sicherheits philosophien von Betriebssystemen, Datenbanken und SAP. An der Entwicklung des Prüfungstools CheckAud for SAP Systems war und ist Herr Tiede maßgeblich beteiligt. Er ist Autor des Standardwerks OPSAP Ordnungsmäßigkeit und Prüfung des SAP- Systems. Christian Weide SAP SE Christian Weide absolvierte sein Studium im Jahr 2008 zum Wirtschaftsingenieur an der Hochschule Fulda mit den Schwerpunkten in den Bereichen der Automation, Software-Entwicklung sowie Qualitätsmanagement. Seit 2012 arbeitet er als Senior Technologieberater für die SAP Deutschland SE. Sein Schwerpunkt liegt im Bereich der Berechtigungskonzeption im klassischen SAP ERP für Finanzwesen und Basis, SAP HANA Datenbank und der Anwendung SAP GRC Access Control....nächste Jahresfachkonferenz Sicherheit und Prüfung von SAP -Systemen Pre-Seminar: Konferenz: 14.09.2016 in Hamburg 15. - 16.09.2016 in Hamburg 9
Anmeldung Pre-Seminar (16.09.2015) Für eine Anmeldung faxen Sie diesen Abschnitt an: +49 40 69 69 85-31, nutzen Sie unsere Online-Anmeldung unter: www.ibs-schreiber.de/seminare/veranstaltungen oder senden Sie eine E-Mail an seminare@ibs-schreiber.de. Name: Vorname: Firma: Abteilung: Straße: PLZ Ort: Tel.: E-Mail: Veranstaltungsort: IBS Schreiber GmbH Zirkusweg 1, 20359 Hamburg Tel. +49 40 69 69 85-15 Hinweis! Der Veranstaltungsort des Pre-Seminars ist 2 min Fußweg vom Konferenzhotel entfernt. Teilnahmegebühr*: 400,- zzgl. MwSt. (pro Seminar/Teilnehmer) Ort/Datum: Unterschrift: (Hinweis: Seminarinhalt s. Seite 2) IBS-Leistungsspektrum 10
Anmeldung FKSP 2015 (17. - 18.09.2015) Für eine Anmeldung faxen Sie diesen Abschnitt an: +49 40 69 69 85-31, nutzen Sie unsere Online-Anmeldung unter: www.ibs-schreiber.de/seminare/veranstaltungen oder senden Sie eine E-Mail an seminare@ibs-schreiber.de. Name: Vorname: Firma: Abteilung: Straße: PLZ Ort: Tel.: E-Mail: Veranstaltungsort: (Konferenzhotel) Empire Riverside Hotel Bernhard-Nocht-Straße 97, 20359 Hamburg Tel. +49 40 31 11 90 Teilnahmegebühr*: 1.450,- zzgl. MwSt. pro Person (inkl. Fachkonferenzunterlagen als Ausdruck und auf USB-Stick, Mittagessen und Pausengetränke). Teilnehmer aus dem öffentlich-rechtlichen Bereich erhalten Sonderkonditionen. Sprechen Sie uns gern an! a Ja, ich nehme am 17.09.2015 gern am Hamburger Abend teil. Ort/Datum: Unterschrift: *Fachkonferenzen (inkl. Pre-Seminare) sind von den Rabattierungen für DIIR-, ISACA- & ISC 2 -Mitglieder ausgeschlossen. Hotelreservierung Empire Riverside Hotel (optional) Anreise: Abreise: Einzelzimmer inkl. Frühstück 99,00 Doppelzimmer inkl. Frühstück 119,00 Nichtraucher Raucher WICHTIGER HINWEIS: Bei den genannten Hotelpreisen handelt es sich um IBS-Sonderkonditionen. Diese gelten NUR für den Zeitraum vom 15.09.-18.09.2015 und NUR bei direkter Buchung über die IBS Schreiber GmbH. 11
Wir können mehr für Sie tun. Unser Produktportfolio: Seminare & Fachkonferenzen Prüfung & Beratung (IT-/SAP -Sicherheit) Unterstützung im Bereich Datenschutz GRC Prüfsoftware - CheckAud for SAP Systems Sprechen Sie uns gern an! IBS Schreiber GmbH International Business Services for Auditing and Consulting Zirkusweg 1 20359 Hamburg Fon: +49 40 69 69 85-15 Fax: +49 40 69 69 85-31 seminare@ibs-schreiber.de www.ibs-schreiber.de 12