Erfahren Sie mehr über die Prüfpunkte der Auditoren & worauf es Wirtschaftsprüfern ankommt
SAP® Berechtigungen: Wirtschaftsprüfer, dein Freund und Helfer?!
Aus unserer jahrelangen Projekterfahrung in SAP® Berechtigungen im Rahmen von Auditierungen wissen wir, welche Punkte Wirtschaftsprüfer häufig analysieren.
Hier die Top 5 Prüfpunkte der Auditoren:
1. SAP_ALL / SAP_NEW
In Audits findet sehr häufig eine Überprüfung der Adminrechte z.B. durch die Profile SAP_ALL / SAP_NEW statt. Denn bereits durch diesen Prüfschritt offenbaren sich oft grobe Fehler in Ihrer Berechtigungsstruktur.
2. S_TABU_DIS / S_TABU_NAM
Eine weitere Prüfung sind häufig die freigegebenen Zugriffe auf Tabellen und Möglichkeit, auf Tabellenänderung zuzugreifen, z.B. Transaktion SM30 (S_TABU_NAM; ACTVT: 02; TABLE: *).
3. SP01 (Spoolaufträge/Druckaufträge verwalten)
Mit dieser Transaktion hat ein Nutzer die Möglichkeit einen Druckauftrag zu manipulieren. Er könnte ändern, welcher Drucker das Dokument druckt oder wer den Druck in Auftrag gegeben hat, und er kann seine Spuren zum Teil verwischen, indem er angibt, dass der Spoolauftrag nach dem Drucken gelöscht werden soll.
4. Debug Berechtigung (S_DEVELOP; ACTVT: 02; OBJTYPE: DEBUG)
Dieses Berechtigungsobjekt kann den Code hinter jeder Transaktion verändern. Das kann bis zum Versagen des gesamten Systems führen oder zu illegalen Machenschaften durch Umgehung von Berechtigungsobjekten.
5. F110 (periodische Zahlungsläufe starten)
Unbefugte könnten ungeprüfte Zahlungen freigeben und Zahlungseingänge einsehen. Sensible Daten von Käufern und Lieferanten, wie Kontodaten, könnten kopiert und an Dritte weitergeleitet werden.
SAP®-Rollen sinnvoll verteilen – Schäden präventiv abwenden
Fragwürdige Machenschaften in SAP®-Systemen kommen nicht nur von außen. Auch unzufriedene Mitarbeiter, gierige Angestellte oder verbissene Konkurrenten haben durch mangelhafte Regelungen die Möglichkeit, Schaden am Unternehmen anzurichten oder Kollegen zu sabotieren.
Die Dunkelziffer wird von Experten enorm hoch eingeschätzt. Viele dieser Fälle werden jedoch meist zu spät oder gar nie bemerkt. Als eine Ursache für die meisten dieser Sicherheitsverstöße werden beim Audit Lücken in den Berechtigungen von SAP®-Rollen und somit auch an der fehlenden Transparenz des Berechtigungskonzepts festgestellt.
Viele Wirtschaftsprüfer oder Auditoren finden schon nach kurzer Zeit eklatante Findings in lückenhaften Berechtigungskonzepten. Die Vergabe von absoluten Adminrechten ist dabei leider nur die Spitze des Eisbergs. Programme, die tiefe Einsicht in firmeninterne Daten wie Kundeninformationen geben oder Transaktionen, mit denen buchhaltungsrelevante Nachweise manipuliert werden können, werden Dialogusern oder technischen Usern aus Unwissen oder Zeitmangel zugewiesen.
Immer wieder werden kritische Funktionstrennungskonflikte festgestellt, welche ganze Systeme lahmlegen oder Millionenschäden mit sich ziehen könnten.
Mit diesen fünf wichtigen Schritten
bereiten Sie sich optimal auf Ihr Audit vor
Halten Sie sich zum Einstieg an folgendes, bewährtes Vorgehen und lösen Sie die Missstände schnell und unkompliziert:
1. Vorherigen Auditbericht analysieren
2. Lösungsstruktur definieren
3. Überprüfung und Analyse der Rollen auf Funktionstrennungskonflikte (SoD)
4. Bereinigung der Findings
5. Notfalluserkonzept und relevantes Regelwerk implementieren
Die SAP® Experten von GoToSec lösen für Sie diese und weitere Risiken der SAP® Security und sorgen dafür, dass Sie nie wieder in diese Lage kommen, sondern einem Audit entspannt und vorbereitet gegenüberstehen!