CheckAud for SAP Systems

CheckAud for SAP Systems Systemtransparenz für die Interessenvertretung Katrin Fitz GmbH

zu meiner Person Katrin Fitz Dipl. -Wirtschafts-Ing Ing., CISA 34 Jahre seit 2005 bei IBS Leiterin Vertrieb CheckAud for SAP Systems - 2/29 -

Agenda Vorstellung IBS Exkurs: der Funktionen für die Interessenvertretung - 3/29 -

Agenda GmbH unser Portfolio Prüfung Beratung / Projektbegleitung Schulung u Datenschutz Prüfsoftware - 4/29 -

Agenda Themenschwerpunkteh Berechtigungskonzepte Systemsicherheit in SAP Betriebssystemprüfung Internetsecurity Auditing-Konzepte Umsetzung des SOA (Sarbanes Oxley Act) Analyse von Eigenentwicklungen - 5/29 -

Agenda Datenschutz t Prüfstelle für Datenschutzmanagement t t und organisation Sachverständige Prüfstelle für IT-Produkte (technisch) Vom Landeszentrum für Datenschutz Schleswig- Holstein (ULD) anerkannt Gutachten für IT-Gütesiegel IBS-Mitarbeiter als Externe Datenschutzbeauftragte Datenschutzseminare - 6/29 -

Prod ktfamilie CheckA Produktfamilie CheckAud d Agenda Zielsetzung CheckAud SAP Berechtigungen CheckAud Analysebaum CheckAud Editionen - 7/29 -

CheckAud d for SAP Systems Agenda übernimmt für Sie Prüfung sämtlicher Berechtigungen in SAP Systemen und dadurchd Überwachung der Funktionstrennungen Wahrung der Unternehmensvorgaben Wahrung der gesetzlichen Anforderungen zum Berechtigungskonzept Dokumentation des Berechtigungskonzeptes Einhaltung der Datenschutzrichtlinien Transparenz im SAP System - 8/29 -

Agenda CheckAud d for SAP Systems übernimmt NICHT Verhaltens- und Leistungskontrolle Die SAP Logs werden nicht gelesen. Es kann also nicht dargestellt werden, welcher Mitarbeiter welche Transaktion aufgerufen hat! keine Leistungskontrolle möglich. - 9/29 -

Agenda Funktionen - Überblickbli möglich ölih ist it zum Beispiel: Bi il Prüfung über anpassbare Analysebäume Auswerten kritischer Berechtigungen, Berechtigungskombinationen Überwachung von Funktionstrennungen Überprüfung der aktuellen Systemeinstellungen Dokumentation und Wissensbasis für Prüfungen Erstellung von Berichten aus den Ergebnissen - 10/29 -

i i CheckAud Scan RFC-Verbindung Ca. 550 Tabellen *.sda/*.six Ins Visualisierung Agenda DB Aud - 11/29 - Datenexport t Berichte

Vorteile als externes Tool SAP System wird nicht belastet geringe Berechtigungen notwendig flexible Handhabung Änderungen im SAP System durch CheckAud Cec nicht möglich! Agenda - 12/29 -

Berechtigungen in SAP Vorlage für Berechtigung: Objekt ca. 1.500 verschiedene im SAP vorgegeben von SAP jedes bis zu 10 Felder, z.b. Aktivität, Berechtigungslevel, Buchungskreis, Infotyp, Berechtigungsgruppe Agenda Aufbau eines Objektes Objekt Name Feld 1 Feld 2-13/29 - Beispielobjekt P_ORGIN Infotyp Berechtigungslevel

Berechtigungen in SAP Aus Objekten werden Berechtigungen erzeugt ca. 10.000 in IBS Beispielsystem alle Unternehmensspezifisch Berechtigung enthält die gleichen Felder wie das Objekt, das als Vorlage gedient hat Felder werden durch Werte ausgeprägt Agenda Aufbau einer Berechtigung Name Feld 1 Wert 1 Feld 2 Wert 2-14/29 - Beispielberechtigung T-E255033100 (P_ORGIN) Infotyp 0008 Ber.-Level R (Lesen)

Agenda Berechtigungen in SAP Zusammenhang Berechtigung - Berechtigungsobjekt Objekt P_ORGIN Infotyp Berechtigungslevel Berechtigung T-E255033100 (P_ORGIN) Infotyp 0008 Ber.-Level R (Lesen) Objekt: Stempel Berechtigung: ausgefüllter Stempelabdruck - 15/29 -

Berechtigungen in SAP (fast) jede Funktion in SAP fordert eine bestimmte Kombination von Berechtigungen Bsp.: HR-Basisbezüge lesen Agenda (S_TCODE) Transaktion PA10 + (P_ORGIN) Infotyp 0008 Ber.-Level R (Lesen) - 16/29 -

Rollen / Profile Berechtigungen werden in Profilen gesammelt Profile werden über Rollen Benutzern zugewiesen vereinfachte Darstellung: Transaktion PFCG Berechtigung Rolle Profil Sammelprofil Agenda Sammelrolle - 17/29 - Benutzer

Systemtransparenz t mit CheckAud Agenda Was macht nun CheckAud? Analysebaum enthält technische Beschreibungen der Funktionen (benötigte Berechtigungen) g Prüfer muss nur Funktionen, nicht benötigte Berechtigungen kennen Analyseergebnis: Namen der Benutzer die alle Berechtigungen haben, um ein spezielle Funktion ausführen zu können. - 18/29 -

Der Analysebaum Agenda Der Prüfplan für jedes SAP Modul Prüfungsinformationen zu jedem Prüfpunkt Über 2.000 vordefinierte kritische Berechtigungen Beliebig erweiterbar und anpassbar - 19/29 -

Agenda spez. Interessenvertretung t t Einhaltung des Betriebsverfassungsgesetzes ist Verhaltens- und Leistungskontrolle im SAP System möglich? Einhaltung von internen Regelungen (z. B. Betriebsvereinbarungen) Schutz der Mitarbeiter durch Minimums-Prinzip Datenschutzanforderungen - 20/29 -

Analysebaum f. Betriebsräte Agenda Erstellt in Zusammenarbeit mit der TBS NRW Erklärende Texte Angepasst an Bedürfnisse der Interessenvertretung Fragestellungen ausgewählt nach Bedürfnissen der Interessenvertretung - 21/29 -

weiter: live am System! Agenda - 22/29 -

Agenda Strategiet Erstellen eines eigenen Analysebaums durch Kopieren vorhandener Elemente Empfehlung: Diskussion mit Fachbereich / Administration Erste Prüfung, Diskussion der Ergebnisse ggf. Anpassungen am Baum Regelprüfungen mit minimalem Aufwand - 23/29 -

Agenda Editionen RealtimeAudit Edition PrimeAudit Edition QuickAudit Edition Auditor s Edition zusätzlich: Audit Services - 24/29 -

RealtimeAudit Edition Für die Sofortkontrolle im administrativen Tagesgeschäft Agenda Zusätzliche Funktion: Echtzeitauswertung, ohne vorherigen Scan - 25/29 -

Agenda PrimeAudit Edition alle CheckAud Funktionalitäten (außer Echtzeitauswertung) Zielgruppen Revision i Fachbereiche e c e Administration Betriebsrat / Datenschützer - 26/29 -

Agenda QuickAudit Edition CheckAud für das Wesentliche Funktionen auf Standard- Prüfung optimiert fest integrierte Analysebäume geringer Kostenaufwand! - 27/29 -

Referenzen Agenda - 28/29 -

Haben Sie noch Fragen? GmbH Zirkusweg 1 20359 Hamburg Telefon: +49 (0) 40 / 69 69 85-42 E-Mail: Katrin.Fitz@IBS-Hamburg.com www.checkaud.de