WIXLIB

Prüfleitfaden SAP ERP 6.0Best-Practice-Empfehlungen desDSAG-Arbeitskreises Revision u. RisikomanagementDeutschsprachige SAP-Anwendergruppe e.V.VERSION 2.0STAND 4. MAI 2015

2Prüfleitfaden SAP ERP 6.0Best-Practice-Empfehlungen desDSAG-Arbeitskreises Revision u. RisikomanagementVERSION 2.0STAND 4.MAI 2015DSAG e. V.Deutschsprachige SAP-Anwendergruppe

Wir weisen ausdrücklich darauf hin, dass das vorliegende Dokument nicht jeglichen Regelungsbedarf sämtlicher DSAG-Mitglieder in allen Geschäftsszenarien antizipieren und abdecken kann.Insofern müssen die angesprochenen Themen und Anregungen naturgemäß unvollständig bleiben.Die DSAG und die beteiligten Autoren können bezüglich der Vollständigkeit und Erfolgsgeeignetheitder Anregungen keine Verantwortung übernehmen. Sämtliche Überlegungen, Vorgehensweisenund Maßnahmen hinsichtlich des Verhaltens gegenüber SAP verbleiben in der individuellen Eigenverantwortung jedes DSAG-Mitglieds. Insbesondere kann dieser Leitfaden nur allgemeine Anhaltspunkte zu vertragsrechtlichen Themen geben und keinesfalls eine individuelle Rechtsberatung beider Verhandlung und Gestaltung von Verträgen durch IT-rechtliche Experten ersetzen. COPYRIGHT 2015 DSAG E.V.HINWEIS:Die vorliegende Publikation ist urheberrechtlich geschützt (Copyright). Alle Rechte liegen, soweitnicht ausdrücklich anders gekennzeichnet, bei:DEUTSCHSPRACHIGE SAP ANWENDERGRUPPE E.V.Altrottstraße 34 a69190 WalldorfDeutschlandFon 49 (0) 6227 – 358 09 58Fax 49 (0) 6227 – 358 09 59www.dsag.de I info@dsag.deJedwede unerlaubte Verwendung ist nicht gestattet. Dies gilt insbesondere für die Vervielfältigung, Bearbeitung, Verbreitung, Übersetzung oder die Verwendung in elektronischen Systemen/digitalen Medien.Die Autoren des Prüfleitfadens sind für Kritik, Änderungs- und Ergänzungswünsche dankbar(bitte als Beitrag im DSAGNet unter „AK Revision & Risikomanagement“ www.dsag.de/AK-Revisionmelden).DSAG-PRÜFLEITFADEN SAP ERP 6.0 VERSION 2.0, 4. MAI 2015 DSAG e. V.3

4INHALTSVERZEICHNISEINLEITUNG1. SAP ERP 6.0682. PRÜFERROLLE, BESTANDSAUFNAHME VON SAP-SYSTEMLANDSCHAFT, RICHTLINIEN U. ORGANISATIONSWEISUNGEN92.1. Grundlagen zur Erstellung einer Prüferrolle2.2. Bestandsaufnahme der SAP-Systemlandschaft2.3. Bestandsaufnahme der Richtlinien des Unternehmens3. IDENTIFIKATION UND AUTHENTISIERUNG ekontrollenRisikenKontrollzielePrüfprogramm: Systemparameter für die AnmeldekontrolleTabelle: Vorschlagswerte für die Systemparameter der AnmeldekontrollePrüfprogramm: Gültigkeitszeitraum von BenutzerkennungenPrüfprogramm: Sichere Konfiguration besonderer BenutzertypenPrüfprogramm: Überwachung der Wirksamkeit des Zugriffsschutzes99101111111112151820254. AUTORISIERUNG gungsvergabeDifferenzierungsmodelle für ramm: Dokumentiertes Benutzer- und BerechtigungskonzeptPrüfprogramm: Ordnungsgemäße Gestaltung von RollenPrüfprogramm: Notfallbenutzerkonzept (ABAP-Stack)Prüfprogramm: Nutzung kritischer SAP-Standardprofile/-rollenPrüfprogramm: Ersetzen kritischer Vorschlagswerte im ProfilgeneratorPrüfprogramm: Ordnungsmäßige Berechtigungs- und BenutzerorganisationTabellen: Beispielszenarien der Organisation einer Benutzer- undBerechtigungsverwaltung4.11.1. Szenario 1: 4-Augen-Prinzip4.11.2. Szenario 2: 6-Augen-Prinzip4.11.3. Szenario 3: 6-Augen-Prinzip, dezentrale Benutzerverwaltung im ProduktivsystemPrüfprogramm: Berechtigungen für die Benutzer- und BerechtigungsverwaltungPrüfprogramm: Sicherheitsmechanismen zur Aktivierung der Prüfungvon Berechtigungen5. SYSTEMINTEGRITÄT AUF DER ANWENDUNGSEBENE5054586265675.1. Prüfprogramm: Schutz der Batch-Input-Prozesse676. SYSTEMINTEGRITÄT MIT DEM SAP 10.6.11.ÜberblickRisikenKontrollzieleSAP AS Java SystemarchitekturPrüfprogramm: Sichere Konfiguration des SAP Java-StackPrüfprogramm: Sicherheit des ICMPrüfprogramm: Authentisierung und Autorisierung (Java-Stack)Tabelle: Vorschlagswerte für die Systemparameter der UME-AnmeldekontrollePrüfprogramm: SAP-Java-Stack-SoftwareverteilungSAP Enterprise PortalPrüfprogramm: 49596

INHALTSVERZEICHNIS7. SYSTEMINTEGRITÄT AUF DER DATENBANKEBENE7.1.7.2.7.3.7.4.7.5.7.6.Interne und externe AnforderungenRisikenKontrollzielePrüfprogramm: Absicherung von Oracle unter UNIXPrüfprogramm: Absicherung von Oracle unter WindowsPrüfprogramm: Sicheres Datenbankmanagement mit Oracle8. SYSTEMINTEGRITÄT AUF DER BETRIEBSSYSTEMEBENE8.1.8.2.8.3.8.4.8.5.Interne und externe AnforderungenRisikenKontrollzielePrüfprogramm: Systemintegrität von UNIX/LinuxPrüfprogramm: Systemintegrität von Windows9. RISIKEN AUS DEM EINSATZ VON SAP GRC9.1. Access Management Prozesse9.2. Anpassung von Prüfungshandlungen beim Einsatz von SAP GRC Access Control 10.X9.3. Neue Anforderungen an die IT-Prüfung9.3.1. Verlagerung der Risiken im Access Management9.3.2. Neue Risiken im Access Management9.3.3. Risikoarten beim Einsatz von SAP GRC9.4. Prüfprogramm beim Einsatz von SAP GRC Access Control9.4.1. Prüfung des Emergency Access Management9.4.1.1. Prozess Design Emergency Access Management9.4.1.2. Sicherheitskritische Parameter für das EmergencyAccess Management9.4.1.3. Kritische Berechtigungen und Funktionstrennung imEmergency Access Management9.4.2. Prüfung des User Access Management9.4.2.1. Prozess Design User Access Management9.4.2.2. Sicherheitskritische Parameter für das User Access Management9.4.2.3. Kritische Berechtigungen im User Access Management9.4.3. Prüfung des Business Role Management9.4.3.1. Prozess Design Business Role Management9.4.3.2. Sicherheitskritische Parameter für das Business Role Management9.4.3.3. Kritische Berechtigungen im Business Role Management9.4.4. Prüfung des Access Risk Analysis9.4.4.1. Prozess Design Access Risk Analysis9.4.4.2. Sicherheitskritische Parameter für Access Risk Analysis9.4.4.3. Kritische Berechtigungen im Access Risk Analysis9.5. SoD-Risiken beim Einsatz von SAP GRC Acces Control10. SAP HANA AUS isikenKontrollzielePrüfprogramm: Authentisierung und Autorisierung mit SAP HANAPrüfprogramm: Sichere Konfiguration der Schnittstellen von SAP HANAPrüfprogramm: Absicherung von SAP HANA unter LinuxPrüfprogramm: Sicheres Datenbankmanagement mit SAP HANAPrüfprogramm: Überwachung von Sicherheitsverletzungen und regelmäßigeÜberprüfung potenzieller Sicherheitsschwachstellen der 185DSAG-PRÜFLEITFADEN SAP ERP 6.0 VERSION 2.0, 4. MAI 2015 DSAG e. V.5

6EINLEITUNGDer vorliegende Prüfleitfaden des Arbeitskreises (AK) Revision u. Risikomanagement bezieht sich imKern auf den Releasestand SAP ERP 6.0, EHP 7, innerhalb der SAP Business Suite. Ergänzt wurde derLeitfaden um Prüfungshandlungen innerhalb der GRC Suite sowie bei SAP HANA. Der AK Revisionu. Risikomanagement ist Teil der Deutschsprachigen SAP-Anwendergruppe e. V. (DSAG) mit Sitz inWalldorf.Zielsetzung des Leitfadens ist es, Best-Practice-Empfehlungen für die Prüfungen von SAP-Anwendungen zu geben. Er aktualisiert und erweitert den im Jahr 2009 in der Version 1.0 herausgegebenenPrüfleitfaden zu SAP ERP 6.0., dessen Teil 2 (Applikationsebene) nach wie vor Gültigkeit besitzt.Die Prüfhinweise in diesem Leitfaden sind als Hinweise für einen mit SAP vertrauten Prüfer gedacht. Sie sind keine verbindliche Richtlinie oder Norm. Jegliche Verantwortung für Art, Umfang undErgebnis externer und interner Prüfungen verbleibt beim Prüfer selbst. In seiner Verantwortungliegt auch die Zuordnung der ausgewählten Prüfungsschwerpunkte zu einschlägigen ISO-Normen,z.B. für IT-Sicherheit ISO/IEC 27001, zu Rahmenwerken für die Prüfung, z.B. COSO, COBIT oderzu berufsständischen Prüfungsstandards z.B. des Instituts der Wirtschaftsprüfer (IDW).Voraussetzung ist die Erfahrung mit dem SAP-System, insbesondere mit SAP ERP 6.0, SAP GRC,SAP HANA, sowie Kenntnisse der gesetzlichen Vorschriften für die Rechnungslegung. Zur detaillierten Auseinandersetzung mit der SAP-Architektur verweist das Autorenteam auf die SAP-Online-Dokumentation, auf entsprechende Literatur und Schulungskurse.Die ausgewählten Prüfprogramme vermitteln Handlungen, die dem Prüfer die Wahrnehmung derkritischen kundenspezifischen Ausprägungen, der technischen SAP-Konzepte und -Funktionenerleichtern sollen. Der notwendige Prüfungsumfang muss jeweils individuell den kundenspezifischen organisatorischen Prozessen angepasst werden.Der Prüfleitfaden wird in Versionen fortgeschrieben.HINWEISE ZUR HANDHABUNG DES LEITFADENS:›Eine Prüfungshandlung auf fehlerhafte Konfiguration der SAP-Software ist in der linken Spaltemit einem „H“ gekennzeichnet, wenn diese ein hohes Risiko bedeutet. Dies ist als ein Hinweisfür den Prüfer gedacht. Der Prüfleitfaden bietet allerdings keine systematische Risikobewertung.›Bei Prüfungshandlungen, die durch das SAP Audit Informationssystem (AIS) unterstützt werden,ist der betreffende AIS-Menüpfad angegeben.›Mit der Einführung von SAP Release 4.6C wurde das AIS von einer transaktionsbasiertenauf eine rollenbasierte Pflegeumgebung umgestellt. Siehe hierzu SAP-Hinweis 451960. Seitder Aufnahme des AIS in die SAP BASIS-Komponente ist es in allen SAP-Systemen verfügbar(BW, CRM, SEM, APO etc.). Die von der SAP ausgelieferten Vorlagerollen enthalten ca. 1200Transaktionen. Selektieren Sie hierfür im SAP-Profilgenerator nach Rollen mit dem MusterSAP*AUDITOR*.›Prüfungshandlungen, die der SAP Security Optimization Self-Service unterstützt(http://service.sap.com/SOS), sind mit „SOS“ gekennzeichnet. Text und Nummerder automatisierten Prüfung sind angegeben.

Die Autoren der einzelnen Kapitel des neuen Leitfadens sind Mitglieder des DSAG-Arbeitskreises„Revision u. Risikomanagement“. Die Veröffentlichung der Kapitel erfolgt jeweils separat inunregelmäßiger Folge. Die Verantwortung für den Inhalt tragen die jeweiligen Autoren.DIE AUTOREN DER BISHER VERÖFFENTLICHTEN KAPITEL:Murat BöcüMarcus BöhmeSiegfried FillaFalk HuberRalf KaibVojislav KosanovicJohannes LiffersMartin MetzChristoph NickelJan StöltingWolfgang StormKarl UlberDeloitte & Touche GmbHT-Systems International GmbHPricewaterhouseCoopers AG WirtschaftsprüfungsgesellschaftT-Systems International GmbHExagon GmbHKPMG AG pers AG WirtschaftsprüfungsgesellschaftProtiviti GmbHKPMG AG WirtschaftsprüfungsgesellschaftKPMG AG pers AG, pers AG WirtschaftsprüfungsgesellschaftÜBERSICHT DER VERÖFFENTLICHTEN KAPITEL:KAPITELTITELAUTORSTANDEinleitungSiegfried Filla01.20151SAP ERP 6.0Siegfried Filla01.20152Prüferrolle, Bestandsaufnahme vonSAP-Systemlandschaft, Richtlinien u.OrganisationsweisungenSiegfried Filla01.20153Identifikation und Authentisierung (ABAPStack)Ralf Kaib03.20144Autorisierung (ABAP-Stack)Siegfried Filla, JohannesLiffers, Wolfgang Storm,Karl Ulber02.2015Prüfprogramm: Schutz der BatchInput-ProzesseRalf Kaib03.20146Systemintegrität mit dem SAP Java-StackVojislav Kosanovic12.20137Systemintegrität auf der DatenbankebeneFalk Huber02.20158Systemintegrität auf der BetriebssystemebeneChristoph Nickel03.20159Risiken und Prüfung von SAP GRCMurat Böcü, Martin Metz01.201510SAP HANA aus RevisionssichtMarcus Böhme,Jan Stölting03.20155.1@ Copyright 2015 DSAG e. V.DSAG-PRÜFLEITFADEN SAP ERP 6.0 VERSION 2.0, 4. MAI 2015 DSAG e. V.7