Risikomanagement und CheckAud for SAP Systems IBS Schreiber GmbH Olaf Sauer Zirkusweg 1 20359 Hamburg Tel.: 040 696985-15 Email: info@ibs-schreiber.de 1
Vorstellung Die IBS Schreiber GmbH stellt sich vor: Das IBS wurde am 01.07.1979 als Ingenieurbüro Schreiber gegründet und steht heute für International Business Services for auditing and consulting. Das Angebotsportfolio gliedert sich in fünf Geschäftsbereiche: Prüfseminare und Fachkonferenzen Prüfung und Beratung Datenanalyse Anerkannte Sachverständige Prüfstelle Datenschutz (ULD) Prüfsoftware CheckAud (Entwicklung und Vertrieb) 2
Agenda SAP Risiken und der Einsatz der GRC Prüfsoftware CheckAud for SAP Systems Prävention, Detektion und Korrektur im Bereich der SAP -Sicherheitsprüfung Wie sicher ist ihr SAP -System? Sicherheitslücken erkennen und beheben 3
SAP Risiken und der Einsatz der GRC Prüfsoftware ca. 63% aller Fußgänger gehen bei ROT über die Ampel. 4
SAP Risiken und der Einsatz der GRC Prüfsoftware Projektrisiken Systemrisiken Prozessrisiken Investitionsrisiken Organisationsrisiken Funktionsrisiken.. 5
SAP Risiken und der Einsatz der GRC Prüfsoftware Die Aufgabe von GRC Software: Über GRC Software muss eine umfassende Verwaltung, Analyse und Überwachung möglicher Risiken in einer einheitlichen Umgebung gewährleistet sein. Themen wie Risikomanagement, Einhaltung gesetzlicher Auflagen und Sicherheit im operativen Betrieb müssen implementiert sein. 6
SAP Risiken und der Einsatz der GRC Prüfsoftware Die Aufgabe von GRC Software: kontinuierlich Risiken der wesentlichen Geschäftsprozesse über einen einheitlichen methodischen Ansatzes zu identifizieren und zu bewerten die Überwachung der festgelegten Gegensteuerungsmaßnahmen der Unternehmensführung regelmäßig über Risiken zu informieren die Einhaltung der Vorschriften zur Einrichtung und Überwachung eines effektiven internen Kontrollsystems sicherzustellen 7
CheckAud for SAP Systems Vordefinierte Abfragen und Regelwerke erstellt auf der Basis langjähriger Prüfungserfahrung in SAP Systemen Die Wissensbasis umfasst unter anderem über 2.000 Abfragen in denen auch die Anforderungen anerkannter Sicherheitsleitfäden eingearbeitet sind Regelmäßige Aktualisierungen der Wissensbasis (Abfragen, Regelwerke, Zusatzinformationen Ermittlung eines vergleichbaren Score-Wertes zur Beurteilung der Sicherheit des SAP Systems 8
Prävention, Detektion und Korrektur im Bereich der SAP -Sicherheitsprüfung Brutto-Risiko: Benutzer können auf alle Ressourcen zugreifen, d.h. Schädigung des Unternehmens, Gesetzesverstöße Minimierung der Eintrittswahrscheinlic hkeit Netto-Risiko: Prävention Erkennen der kritischen Berechtigungskombinationen gesetzliche Vorgaben, Unternehmensregelwerk,... Erstellen, Umsetzen und Pflegen eines Berechtigungskonzepts Zugriffsschutz, Funktionstrennung,... Berechtigungskonzept enthält Lücken oder wird unzureichend gepflegt CheckAud Prüfung sämtlicher Berechtigungen im SAP System über 1.200 vordefinierte Abfragen (z.b. gesetzeskritische Verbesserung der Prävention Detektion Lücken im Berechtigungskonzept vor der Ausnutzung erkennen Berechtigungen) Einsatzbereite Funktionstrennungs-Matrix (S.o.D.) u.a. für FI Entstehung neuer Lücken verhindern Continuous Auditing z.b. von Berechtigungen, Parametern Gegenmaßnahmen einleiten Schadenshöhe minimieren, Prävention verbessern Ausnutzung von Lücken aufdecken Korrektur Ad hoc -Maßnahmen zur Schadensminimierung Präventionsempfehlungen und Log-Dateien Simulation von Berechtigungsänderungen vor der Vergabe Regelmäßige Anpassung der Abfragen an SAP -Änderungen Best Practice Guides Rest-Risiko: Schadenseintritt in maximaler Höhe zzgl. Korrekturmaßnahmen 9
Tabellen und Reports Wie sicher ist ihr SAP -System? - Das Aufrufen von Tabellen ist über eine große Anzahl von Transaktionen möglich: SE17 UASE16N SE16 SE16N N START_REPORT SC38 SE15 SE80 SE84 SE85 SE90 SEU_INT SA38 SA38PARAMETER EWFM EWFZ OODR SUB% SE38 10
Wie sicher ist ihr SAP -System? Berechtigungsobjekte - Der Zugriff auf Daten muß über das Objekt S_TABUS_DIS, S_TABU_NAM und/oder S_PROGRAMM berechtigt werden. - Berechtigungsprüfungen müssen in eigenerstellten Reports implementiert sein. 11
Wie sicher ist ihr SAP -System? Berechtigungsobjekte - Im HCM darf das Berechtigungsobjekt P_ABAP nur sehr gezielt eingesetzt werden. - Ausprägungen wie P_ABAP mit - ABAP Reportname = * - Vereinfachungsgrad = 2 oder - ABAP Reportname = SAPDBPNP - Vereinfachungsgrad = 2 sollten nicht vergeben werden! 12
Wie sicher ist ihr SAP -System? Funktionsbausteine - Mit Funktionsbausteinen können Berechtigungen umgangen werden. - Z.B. über SUPRN_INS_OR_DEL_PROFILE können einem Benutzer alle Rechte zugewiesen werden. - Der Fehler kann über das Einspielen eines Support Package behoben werden. Hinweis Nr. 1406435 13
CheckAud for SAP Systems
CheckAud for SAP Systems Unterstützt Sie bei der Prüfung sämtlicher Berechtigungen in SAP Systemen Umsetzung, Abbildung und Überprüfung Ihres Internen Kontrollsystems (IKS) Wahrung der Vorgaben des Sarbanes-Oxley Act und der gesetzlichen Anforderungen zum Berechtigungskonzept Dokumentation des Berechtigungskonzeptes Einhaltung der Datenschutzrichtlinien Verwaltung, Analyse und Überwachung möglicher Risiken
Funktionsprinzip CheckAud Scan - Modul Erfordert nur Kommunikations- Benutzer Standardisiertes Auslesen rel. SAP Tabellen Scan - Umfang konfigurierbar RFC-Verbindung ca. 550 Tabellen Snapsh ot Konvertierung Management Summary Datenbank (PostgreSQL) Audit - Modul Durchführung der Prüfung Aufbereitung, Darstellung der Ergebnisse Export 16
Risikobeschreibung je Prüfungsschritt
Sicherheitslücken erkennen und beheben. SOD Matrix
Sicherheitslücken erkennen und beheben. Berechtigungsübersicht
Das größte Risiko unserer Zeit liegt in der Angst vor dem Risiko. Helmut Schoek (*1922) 20
Vielen Dank für die Aufmerksamkeit! Fragen? Sie finden uns an Halle/Stand 12.0-442 21