Transcript
Page 1: Prüfleitfaden SAP ERP 6.0

Deutschsprachige SAP® AnwendergruppePrüfleitfaden SAP ERP 6.0

DSAG ARbEitSGRuPPE AuDit RoADmAPStAnD mäRz 2009

Page 2: Prüfleitfaden SAP ERP 6.0

S.2–113Prüfleitfaden SaP erP 6.0,teil 1, Stand 1.0 märz 2009

S.114–183Prüfleitfaden SaP erP 6.0,teil 2, BetrieBSwirtSchaftlicher teil , Stand 1.0

dSaG e. V.deutschsprachige SaP-anwendergruppe

DSAG Arbeitsgruppe Audit RoadmapSe

ite 2

Page 3: Prüfleitfaden SAP ERP 6.0

Einleitungder vorliegende Prüfleitfaden der arbeitsgruppe (aG) audit roadmap bezieht sich auf den release-Stand SaP erP 6.0. die aG ist teil der deutschsprachigen SaP-anwendergruppe e. V. (dSaG) mit Sitz in walldorf.

zielsetzung ist, revisoren anhaltspunkte für die Prüfungen von SaP-anwendungen zu geben. in diesem leitfaden werden Prüfaspekte für den Basisbereich im teil 1 und auf der applikationsebene für die module fi, mm, cO und Sd im teil 2 aufgezeigt.

die Prüflisten in diesem leitfaden sind als hinweise für einen mit SaP vertrauten Prüfer gedacht. Sie sind keine verbindliche richtlinie oder norm. Jegliche Verantwortung für art, Umfang und ergebnis externer und interner Prüfungen verbleibt beim Prüfer selbst. in seiner Verantwortung liegt auch die zuordnung der ausgewählten Prüfungsschwerpunkte zu einschlägigen iSO normen, z. B. für it-Sicherheit iSO / iec 27001, zu rahmenwerken für die Prüfung, z. B. cOSO, cOBit oder zu berufsständischen Prüfungsstandards.

Voraussetzung ist die erfahrung mit dem SaP-System, insbesondere mit SaP erP 6.0 sowie Kenntnisse der gesetzlichen Vorschriften für die rechnungslegung. zur detaillierten auseinandersetzung mit der neuen SaP-architektur verweist das autorenteam auf die SaP-Online-dokumentation, auf entsprechende literatur und Schulungskurse.

die Kapitel des Prüfleitfadens sind alle einheitlich aufgebaut: zunächst werden für das unter der Kapitelüber- schrift genannte Prüfungsfeld summarisch risiken und Kontrollziele aufgeführt, anschließend folgen in den gekennzeichneten Prüfprogrammen detaillierte Prüfungshandlungen zu den genannten risiken und Kontrollzielen. die Kapitel sind thematisch in sich abgeschlossen, um redundanzen weitestgehend zu vermeiden.

die ausgewählten Prüfprogramme vermitteln handlungen, die dem Prüfer die wahrnehmung der kritischen kundenspezifischen ausprägungen, der technischen SaP-Konzepte und -funktionen erleichtern sollen. die notwendigen kundenspezifischen organisatorischen Prozesse müssen jeweils individuell dem Prüfungs-umfang angepasst werden.

der Prüfleitfaden wird in Versionen fortgeschrieben.

hinweise zum teil 1 (Basisbereich):> eine Prüfungshandlung auf fehlerhafte Konfiguration der SaP Software ist in der linken Spalte mit einem „h“ gekennzeichnet, wenn diese ein hohes risiko bedeutet. dies ist als ein hinweis für den Prüfer gedacht. der Prüfleitfaden bietet allerdings keine systematische risikobewertung.> Bei Prüfungshandlungen, die durch das SaP audit informationssystem (aiS) unterstützt werden, ist der betreffende aiS menüpfad angegeben.> Prüfungshandlungen, die der SaP Security Optimization Self-Service unterstützt (http://service.sap.com/ SOS), sind mit „SOS“ gekennzeichnet. text und nummer der automatisierten Prüfung sind angegeben.

Seite

3Pr

üfl

eitf

ad

en S

aP

erP

6.0,

tei

l 1,

Sta

nd

rz

2009

, © d

SaG

e. V

.

Page 4: Prüfleitfaden SAP ERP 6.0

Einleitungdie autoren des ersten teils sind mitglieder der aG audit roadmap des dSaG arbeitskreises „revision und risikomanagement“, der zweite teil ist analog des Schulungskurses fin 900 aufgesetzt worden. die Verantwortung für den inhalt tragen die autoren.

© cOPyriGht 2009 dSaG e.V.

die aUtOren:herr thorsten Bretzler Bhi informatikherr Önder Güngör SaP aGherr Oliver herbert Bhi informatikherr martin le maire heidelberger druckmaschinen aGherr carsten Schultz Pricewaterhousecoopers aGfrau Beate Spickenheier ernst Klett aG

hinweiS:die vorliegende Publikation ist urheberrechtlich geschützt (copyright). alle rechte liegen, soweit nicht ausdrücklich anders gekennzeichnet, bei:

deUtSchSPrachiGe SaP® anwenderGrUPPe e.V.altrottstraße 34 a69190 walldorfdeutschland

Jedwede unerlaubte Verwendung ist nicht gestattet. dies gilt insbesondere für die Vervielfältigung, Verbreitung, übersetzung oder die Verwendung in elektronischen Systemen / digitalen medien.

die autoren des Prüfleitfadens sind für Kritik, änderungs- und ergänzungswünsche dankbar. zuschriften an die autoren können formlos an die folgende e-mail-adresse:

[email protected]

gerichtet werden, die Betreffzeile muss dabei mit dem wort „Prüfleitfaden“ beginnen. auch das formular auf der folgenden Seite kann verwendet werden.

Seite

4

Page 5: Prüfleitfaden SAP ERP 6.0

an diearbeitsgruppe „SaP audit roadmap“ z. hd. herrn Oliver herbertc/o. Bhi informatik Bretzler und herbert Partnerschaftmainzer landstraße 27–31d-60329 frankfurt am main

fax: +49 (0) 069 – 27 40 15-111

aBSendername

funktion

abteilung

firma

anschrift

telefon telefax

erGänzende infOrmatiOn(en) zUm Prüfleitfaden SaP erP 06ich beziehe mich auf den Prüfleitfaden erP 6.0 Version:.V0 ................. Seite: ................. textnummer: .................

meine infOrmatiOn laUtet:

............................................................................................................................................................................................

............................................................................................................................................................................................

............................................................................................................................................................................................

............................................................................................................................................................................................

............................................................................................................................................................................................

............................................................................................................................................................................................

............................................................................................................................................................................................

............................................................................................................................................................................................

............................................................................................................................................................................................

zUr weiteren erläUterUnG Sind anlaGen BeiGefüGt (Bitte anKreUzen):( ) Ja( ) nein

Bitte pro information ein formblatt verwenden!

Seite

5Pr

üfl

eitf

ad

en S

aP

erP

6.0,

tei

l 1,

Sta

nd

rz

2009

, © d

SaG

e. V

.

Page 6: Prüfleitfaden SAP ERP 6.0

Gliederung1 SaP erP 6.0 8

2 PrüferrOlle, BeStandSaUfnahme der SaP-SyStemlandSchaft Und der richtlinien deS UnternehmenS 9 2.1 Grundlagen zur erstellung einer Prüferrolle 9 2.2 Bestandsaufnahme der SaP-Systemlandschaft 9 2.3 Bestandsaufnahme der richtlinien des Unternehmens 10

3 identifiKatiOn Und aUthentiSierUnG (aBaP StacK) 12 3.1 anmeldekontrollen 12 3.2 risiken 12 3.3 Kontrollziele 12 3.4 Prüfprogramm: Systemparameter für die anmeldekontrolle 13 3.5 tabelle: Vorschlagswerte für die Systemparameter der anmeldekontrolle 16 3.6 Prüfprogramm: Gültigkeitszeitraum von Benutzerkennungen 18 3.7 Prüfprogramm: Sichere Konfiguration besonderer Benutzertypen 20 3.8 Prüfprogramm: überwachung der wirksamkeit des zugriffsschutzes 24

4 aUtOriSierUnG (aBaP-StacK) 26 4.1 Berechtigungsvergabe 26 4.2 risiken 26 4.3 Kontrollziele 27 4.4 Prüfprogramm: dokumentiertes Berechtigungs- und Benutzerkonzept 27 4.5 Prüfprogramm: notfallbenutzerkonzept (aBaP Stack) 29 4.6 Prüfprogramm: nutzung kritischer SaP Standardprofile / -rollen 30 4.7 Prüfprogramm: ersetzen kritischer Vorschlagswerte im Profilgenerator 32 4.8 Prüfprogramm: Ordnungsmäßige Berechtigungs- und Benutzerorganisation 36 4.9 tabellen: Beispielszenarien der Organisation einer Benutzer- und Berechtigungsverwaltung 38 4.9.1 Szenario 1: 4-augen Prinzip 38 4.9.2 Szenario 2: 6-augen Prinzip 40 4.9.3 Szenario 3: 6-augen Prinzip 43 4.10 Prüfprogramm: Berechtigungen für die Benutzer- und Berechtigungsverwaltung 46 4.11 Prüfprogramm: Sicherheitsmechanismen zur aktivierung der Prüfung von Berechtigungen 49

5 SySteminteGrität aUf der anwendUnGSeBene 50 5.1 Gewährleisten der integrität von System und daten 50 5.2 risiken 50 5.3 Kontrollziele 50 5.4 Prüfprogramm: Systemeinstellungen zum Schutz des Produktivsystems gegen änderungen 51 5.5 Prüfprogramm: Systemeinstellungen zum Schutz der mandanten 53 5.6 Prüfprogramm: nachvollziehbarkeit von änderungen an tabellen im Produktivsystem 55 5.7 Prüfprogramm: Ordnungsmäßige Verbuchung 58 5.8 Prüfprogramm: Schutz sicherheitskritischer Systemeinstellungen und Basisberechtigungen 59 5.9 Prüfprogramm: Schutz der rfc-aufrufe 64 5.10 Prüfprogramm: Schutz der Batch-input-Prozesse 68 5.11 Prüfprogramm: Schutz sicherheitskritischer anwendungsberechtigungen 70 5.12 Prüfprogramm: Schutz der Job-abläufe 72 5.13 Prüfprogramm: Schutz der druckaufträge 74

Seite

6

Page 7: Prüfleitfaden SAP ERP 6.0

6 SOftware-chanGe-manaGement 78 6.1 Kontrolliertes Software-änderungs- und einsatzverfahren 78 6.2 risiken 78 6.3 Kontrollziele 78 6.4 Prüfprogramm: Ordnungsmäßige und sichere implementierung des transport management Systems 79 6.5 Prüfprogramm: einhaltung der regeln des Software-change-managements für das Produktivsystem 82

7 SySteminteGrität mit dem SaP JaVa-StacK 86 7.1 neue und parallele Software-entwicklungs- und anwendungsumgebung 86 7.2 risiken 86 7.3 Kontrollziele 86 7.4 Prüfprogramm: Sichere Konfiguration des SaP Java Stack 87 7.5 Prüfprogramm: authentisierung und autorisierung (Java Stack) 88 7.6 Prüfprogramm: SaP Java Stack Softwareverteilung 92

8 SySteminteGrität aUf der datenBanKeBene 94 8.1 interne und externe anforderungen 94 8.2 risiken 94 8.3 Kontrollziele 94 8.4 Prüfprogramm: authentisierung und autorisierung mit Oracle unter UniX 95 8.5 Prüfprogramm: autorisierung mit Oracle unter UniX und datenbankmanagement 96 8.6 Prüfprogramm: authentisierung und autorisierung mit Oracle unter windows 97

9 SySteminteGrität aUf der BetrieBSSyStemeBene 100 9.1 interne und externe anforderungen 100 9.2 risiken 100 9.3 Kontrollziele 100 9.4 Prüfprogramm: authentisierung und autorisierung mit UniX 101 9.5 Prüfprogramm: authentisierung und autorisierung mit windows 104

10 KOmmUniKatiOnS- Und netzSicherheit 108 10.1 Prüfprogramm: Sicherheit des SaP internet transaction Servers 108 10.2 Prüfprogramm: Sicherheit SaPrOUter 109 10.3 Prüfprogramm: Sichere Konfiguration des SaP Single Sign-On 110

11 literatUrVerzeichniS 112

teil 2 114

inhaltSVerzeichniSBetrieBSwirtSchaftlicher teil 118

Seite

7Pr

üfl

eitf

ad

en S

aP

erP

6.0,

tei

l 1,

Sta

nd

rz

2009

, © d

SaG

e. V

.

Page 8: Prüfleitfaden SAP ERP 6.0

1 SAP ERP 6.0nach den Produkten SaP r / 1 und SaP r / 2 führte SaP im Jahr 1992 SaP r / 3 ein. Bis zum SaP r / 3 release 4.6 setzte SaP eine zweistufige architektur (SaP Basis und SaP application) ein. mit SaP r / 3 enterprise wurde auf dreistufig erweitert.

mit SaP erP, das seit märz 2003 verfügbar ist, bietet SaP ein Bündel von Komponenten, um die erP-rele-vanten Geschäftsprozesse zu unterstützen. an diesem Punkt war SaP r / 3 enterprise eine dieser Komponenten. wie aus der abbildung ersichtlich, ist SaP erP selbst dann mehr als nur SaP r / 3 enterprise plus SaP netweaver, da die lösung viele funktionale erweiterungen wie Self Services, SaP Sem und mehr bereitstellt.

die nächsten Schritte sind eine engere integration mit SaP erP (insbesondere mit den SaP net-weaver-funktionen), erweiterungen im Bereich der Bedienbarkeit und mitarbeitereffizienz und die Senkung der total cost of Ownership. darüber hinaus möchte SaP weitere funktionalität bereitstellen. die SaP erP central component stellt den nächsten Schritt in dieser entwicklung dar.

die nachfolgende abbildung vermittelt einen überblick über die entwicklung der erP-lösungen von SaP.

SaP enterpriseextension Set

Anw

endu

ngTe

chno

logi

e

SaP r / 3enterprise core (4.70)

SaP enterpriseextension Set

application

application

Self-Service Procurement

Self-Services

internet Sales

Strategic enterprise management

Branchen-fähig

... und mehr

Composite Applications

Zusätzliche Komponenten

SAP ERP 2004

Architektur von 4.x bis ERP 6.0SAP ERP 6.0 (vormals ERP 2005)

SAP ERP Central Component

SAP ECC Extension Set

SAP NetWeaver™ 0́4integration von Personen

life cycle mgm

t

SAP ECC Core 5.00

multi channel access

Portal collaboration

integration von informationen

Bus. intelligence

master data mgmt

Knowledge mgmt

integration von Prozessen

integrationBroker

BusinessProcess mgmt

SAP Web AS 6.40J2ee

Unabhängig von dB und Betriebssystem

aBaP

Self-Service Procurement

Self-Services

internet Sales

Strategic enterprise management

Branchen-fähig

... und mehr

Composite Applications

Zusätzliche Komponenten

SAP ERP Central Component

SAP ECC Extension Set

SAP NetWeaver™ 0́4sintegration von Personen

life cycle mgm

t

SAP ECC Core 6.00

multi channel access

Portal collaboration

integration von informationen

Bus. intelligence

master data mgmt

Knowledge mgmt

integration von Prozessen

integrationBroker

BusinessProcess mgmt

SAP Web AS 6.40J2ee

Unabhängig von dB und Betriebssystem

aBaP

Seite

8

Page 9: Prüfleitfaden SAP ERP 6.0

2.1 GrUndlaGen zUr erStellUnG einer PrüferrOlleim rahmen einer Prüfung müssen neben den für das Unternehmen geltenden gesetzlichen Vorgaben auch die „internen“ compliance-Vorgaben berücksichtigt werden, wobei den gesetzlichen Vorgaben Vorrang zu gewähren ist.

die Prüferrollen sind in der form aufzubauen, dass nur die inhalte der zum Prüfungsumfang gehörenden Bereiche angezeigt werden dürfen. dies gilt insbesondere dann, wenn gesetzliche Vorgaben im Kontext des datenschutzes oder einer Steuerprüfung (dart-zugriffe) zu erfüllen sind.

ist aus technischer Sicht in den Prüferrollen eine änderungsfunktion / änderungstransaktion unumgänglich (z. B. zugriff auf bestimmte customizing-tabellen), ist diese separat nur für die dauer des spezifischen Prüfungsschrittes zu berechtigen.

Benötigt ein Prüfer Berechtigungen (z. B. zugriff auf eigenentwicklungen), die denen eines notfallusers entsprechen, ist gemäß dem vorliegenden notfalluserkonzept zu verfahren.

es ist wichtig, dass die prüfende instanz keine Sonderrechte erhält, die gegen interne oder gesetzliche compliance-Vorschriften verstößt.

2.2 BeStandSaUfnahme der SaP-SyStemlandSchaftnr.

1. Gibt es ein diagramm der SaP-Systemlandschaft?

2.Gibt es eine übersicht über alle eingesetzten SaP-Systeme, SaP-anwendungen und deren releasestand?

3. auf welchen Betriebssystemen laufen die SaP-Systeme?

4. welche datenbanken unterstützen die SaP-anwendungen?

5.Gibt es ein netzdiagramm, das die Verbindungen der SaP-Systeme untereinander, zu denSaP clients und die netzverbindung in das internet darstellt?

6. Gibt es eine übersicht über verschlüsselte netzverbindungen?

2 Prüferrolle, Bestandsaufnahme der SAP-System- landschaft und der Richtlinien des Unternehmens

Business

aBaP

Seite

9Pr

üfl

eitf

ad

en S

aP

erP

6.0,

tei

l 1,

Sta

nd

rz

2009

, © d

SaG

e. V

.

Page 10: Prüfleitfaden SAP ERP 6.0

2.3 BeStandSaUfnahme der richtlinien deS UnternehmenSdie Unternehmen sind in der Vorgabe und der Gestaltung von internen richtlinien frei. allerdings üben gesetzliche Vorgaben und externe it Standards einen normierungsdruck auf inhalte und ausprägung von it bezogenen richtlinien aus.

hier sind lediglich diejenigen Vorgaben aufgeführt, die für die Prüfung von SaP-Systemen relevant sind. Sind sie vorhanden, unterstützt das die Prüfung.

nr. UnternehmenSinterne richtlinien Und it SPezifiSche PrOzeSSdOKUmentatiOn

1. Gibt es ein Diagramm der SAP-Systemlandschaft?

1.1 Gibt es Vorgaben für die identifikation von Benutzern?

1.2 Gibt es Vorgaben zum Passwortschutz?

1.3 Gibt es Vorgaben für die zuständigkeiten und rollen bei der Berechtigungsvergabe?

1.4Gibt es Vorgaben für die zuständigkeiten und aufgaben der dateneigentümer sowie der Systembetreiber?

2. Ist die IT-Sicherheit von spezifischen Systemplattformen geregelt und dokumentiert, z. B. für:

2.1 SaP client am arbeitsplatz (Pc, notebook)?

2.2 netzverbindungen?

2.3 mS windows Server?

2.4 UniX Server?

2.5 datenbank?

3. Gibt es eine Projektrichtlinie?

4. Gibt es Vorgaben für das Software Development Life Cycle (SDLC) Management?

2 Prüferrolle, Bestandsaufnahme der SAP-System- landschaft und der Richtlinien des Unternehmens

Seite

10

Page 11: Prüfleitfaden SAP ERP 6.0

NR. UnternehmenSinterne richtlinien Und it SPezifiSche PrOzeSSdOKUmentatiOn

5. Gibt es für die SAP-Anwendungs- und Systemlandschaft eine Prozessdokumentation für:

5.1 das customizing?

5.2 den Betrieb und die überwachung?

5.3 das change- und Konfigurationsmanagement?

5.4 das release-management?

5.5 die Benutzer- und Berechtigungsverwaltung?

5.6 das it Sicherheits-management?

5.7 das Business continuity management?

6.Gibt es Service Level Agreements zwischen den Betreibern der SAP-Systemlandschaft und den Geschäftseinheiten, die die SAP-Anwendungen für Ihre Geschäftsprozesse nutzen?

7. Ist ein User Help Desk eingerichtet?

Seite

11Pr

üfl

eitf

ad

en S

aP

erP

6.0,

tei

l 1,

Sta

nd

rz

2009

, © d

SaG

e. V

.

Page 12: Prüfleitfaden SAP ERP 6.0

3 Identifikation und Authentisierung (ABAP Stack)3.1 anmeldeKOntrOllendie identifikation und authentisierung mittels Benutzerkennung und Kennwort ist ein übliches und einfaches Verfahren. das Verhalten des Benutzers bestimmt wesentlich die wirksamkeit des Verfahrens. mögliche Schwachstellen sind z. B. einfache, leicht erratbare oder auch anderen Benutzern bekannte Kennworte.

mit zusätzlichen automatisierten regeln kann einfluss auf die wahl des Kennworts und auf den Umgang mit dem Kennwort genommen werden. SaP bietet eine reihe solcher möglichen regeln über konfigurier-bare Systemparameter an. das Unternehmen muss diese gemäß den eigenen Sicherheitsvorgaben anpassen.

3.2 riSiKenrisiken ergeben sich vor allem aus der fehlerhaften Konfiguration der Systemeinstellungen für die anmeldekontrollen des SaP-Systems:

> die Systemparameter für die anmeldekontrollen sind nicht entsprechend dem it Sicherheitskonzept des Unternehmens ausgeprägt. Sie sind unzureichend oder widersprüchlich gesetzt, so dass die beabsichtigte wirkung verfehlt wird.> Sicherheitsmechanismen sind nicht angemessen umgesetzt, die SaP zur Unterstützung der Benutzer- verwaltung bereitstellt, z. B. Vorgabe des Gültigkeitszeitraums, nutzung von Sperrkennzeichen oder von besonderen Benutzertypen und die zuordnung zu Benutzergruppen.> die Sonderbenutzer, für die SaP im auslieferungsstand der Software bekannte Standardkennworte vor- gesehen hat, sind bei der implementierung nicht sicher konfiguriert worden.> Sicherheitsereignisse werden nicht erkannt und verfolgt, die ein Unterlaufen der gesetzten anmelde- kontrollen bedeuten.

3.3 KOntrOllziele> die Systemparameter für die anmeldekontrollen sind so gesetzt, dass sie in der Verbundwirkung einen angemessenen zugriffsschutz gewährleisten. die gewünschte Kennwortqualität wird durch automatisierte Vorgaben sichergestellt. ein Schutz vor angriffen auf Kennworte wird konfiguriert. mehrfachanmeldungen werden verhindert.> Gültigkeitszeiträume für Benutzerkennungen sind definiert.> die Sonderbenutzer sind sicher konfiguriert.> Sicherheitsmechanismen für die Verwaltung von Benutzergruppen und für besondere Benutzertypen sind aktiviert.> die wirksamkeit der anmeldekontrollen wird überwacht.

Seite

12

Page 13: Prüfleitfaden SAP ERP 6.0

3.4 PrüfPrOGramm: SyStemParameter für die anmeldeKOntrOllenr. SyStemParameter für die anmeldeKOntrOlle

die Systemparameter, die für die Kennwortbildung und anmeldung relevant sind, werden wie folgt angezeigt:

aiS: System audit – top ten Security reports – Profilparameter anzeigen (generisch über log-in / *)

aiS: System audit – System Konfiguration – Parameter – Systemparameter, übersicht mit historie

aiS: System audit – System Konfiguration – Parameter – Systemparameter mit doku.

hinweis: die im folgenden aufgeführten Vorschlagswerte für die anmeldekontrollen sind noch einmal in der tabelle zusammengefasst, die diesem Prüfprogramm folgt.

1.

Kontrollziel: Die Bildung des Kennworts unterliegt Komplexitätsregeln.Risiko: das Kennwort ist einfach und kann mit wenigen anmeldeversuchen erraten werden. der Benutzer verwendet wiederholt dasselbe Kennwort. er überlistet den systemseitig erzwungenen wechsel des Kennworts, wenn keine oder eine zu kurze Passworthistorie gewählt ist.

1.1H

die Kennwortmindestlänge login / min_password_lng ist festgelegt.Vorschlagswert: 6 zeichenhinweis: das SaP-System lässt eine Kennwortlänge von bis zu 40 zeichen zu.SOS: minimum Password length is too Short (0126)

1.2H

das Kennwort unterliegt Bildungsregeln. die relevanten Systemparameter sind login / password_charset, login / min_password_letters, login / min_password_digits und login / min_password_specials, login / min_password_lowercase und login / min_password_uppercase.Vorschlagswerte: Kennwort muss mindestens einen Buchstaben, eine zahl und ein Sonderzei-chen enthalten.SOS: required number of digits / letters / Special characters in Passwords is too low (0129, 0130, 0131)

1.3H

die anzahl zeichen ist geregelt, in denen sich ein neues Kennwort vom alten unterscheiden muss, login / min_password_diff.Vorschlagswert: 3, d. h. mindestens die hälfte der vorgeschriebenen Passwortlänge.SOS: number of characters in which Passwords have to differ is too low (0128)

1.4H

die Größe der Passworthistorie ist vorbesetzt, login / password_history_size.Vorschlagswert: 15 Kennworte bei einem wechsel, der alle 90 tage erzwungen wird.

1.5

in der tabelle USr40 sind unzulässige Kennwörter eingetragen.hinweis: wenn bereits über eine Passwortbildungsregel gefordert ist, dass mindestens ein Sonderzeichen zu wählen ist, brauchen in dieser tabelle keine wörter aus dem duden, auch keine Buchstaben- oder zahlenkombinationen eingetragen zu werden.SOS: trivial Passwords are not Sufficiently Prohibited (0125)

Seite

13Pr

üfl

eitf

ad

en S

aP

erP

6.0,

tei

l 1,

Sta

nd

rz

2009

, © d

SaG

e. V

.

Page 14: Prüfleitfaden SAP ERP 6.0

nr. SyStemParameter für die anmeldeKOntrOlle

2.

Kontrollziel: Die Gültigkeitsdauer eines Kennworts ist beschränkt.Risiko: Benutzerkennungen verbleiben lange mit initialkennwort. der Benutzer kann dasselbe Kennwort monatelang verwenden. es besteht das risiko, dass das initialkennwort bekannt ist oder dass das Kennwort ausgespäht worden ist.

2.1H

die Gültigkeitsdauer eines initialen Kennworts ist geregelt, login / password_max_ idle_initial. dieser Parameter zieht nicht für die Benutzer vom typ Service oder System.Vorschlagswert: die Gültigkeitsdauer überschreitet nicht drei arbeitstage.hinweis: dieser Systemparameter ersetzt die Profilparameter login / password_max_new_valid und login / password_max_reset_valid aus dem SaP web anwendungsserver 6.20 und 6.40.SOS: Users with initial Passwords who have never logged On (0009)

2.2H

der zeitpunkt für den Kennwortänderungszwang ist vorbestimmt, login / password_ expiration_ time.Vorschlagswert: erzwungener wechsel des Kennworts nach höchstens 90 tagen.SOS: interval for Password change is too long (0127)

2.3

die Gültigkeitsdauer eines nicht benutzten Kennworts ist geregelt, login / password_max_idle_ productive. dieser Parameter zieht nicht für die Benutzer vom typ Service oder System.hinweis: dieser Parameter gibt die maximale frist an, in der ein produktives vom Benutzer ge-wähltes Kennwort gültig bleibt, wenn es nicht benutzt wird. nachdem diese frist abgelaufen ist, kann das Kennwort nicht mehr zur authentifizierung verwendet werden. der Benutzeradministra-tor kann die Kennwortanmeldung durch zuweisen eines neuen initialkennworts wieder aktivieren.Vorschlagswert: Gültigkeitsdauer eines nicht benutzten Kennworts höher setzen als die dauer für den erzwungenen wechsel des Kennworts (max. 180 tage).SOS: Users with reset Passwords who have never logged On (0140)SOS: Users who have not logged On for an extended Period of time (0010)

2.4

der Benutzer muss sein Kennwort jederzeit ändern können.Gemäß der SaP mindesteinstellung ist dies einmal am tag (Standardwert: 1) möglich, login / password_change_waittime.Vorschlagswert: 1, d. h. der Benutzer muss einen tag warten, bis er sein Kennwort wieder ändern darf.

3Kontrollziel: Erschweren des Ausprobierens von KennwortenRisiko: Kennworte fremder Benutzerkennungen können über wiederholte anmeldeversuche ausprobiert werden.

3.1die maximale anzahl der falschanmeldungen bis zum abbrechen des anmeldevorgangs ist definiert, login / fails_to_session_end.Vorschlagswert: 3 als maximale anzahl Passwortfehlversuche bis zum abbruch des Vorgangs.

3.2

die maximale anzahl der falschanmeldungen bis zur Sperre der Benutzerkennung ist bestimmt, login / fails_to_user_lock.Vorschlagswert: 5 als maximale anzahl Passwortfehlversuche bis Sperre des Benutzers.SOS: too many incorrect logon attempts allowed Before a User is locked (0133)

3 Identifikation und Authentisierung (ABAP Stack)Se

ite 14

Page 15: Prüfleitfaden SAP ERP 6.0

nr. SyStemParameter für die anmeldeKOntrOlle

3.3

die automatische freischaltung der Benutzerkennungen, die wegen falschanmeldung gesperrt wurden, ist auf mitternacht eingeschaltet, login / failed_user_auto_unlock (Standardwert „0“).Vorschlagswert: 1,d. h. automatisches entsperren des Benutzers über nacht.hinweis: wenn es bei dieser Standardeinstellung bleibt, müssen zusätzlich die gesperrten Benut-zerkennungen mit den mitteln des SaP audit logs auf auffälliges Vorkommen im zeitverlauf überwacht werden.SOS: User locks due to failed logon attempts are automatically released at midnight (0134)

4.Kontrollziel: Verhindern von MehrfachanmeldungenRisiko: mehrere Benutzer teilen sich eine Benutzerkennung und melden sich getrennt am SaP-System an. das ist ein Verstoß gegen die lizenzbestimmungen von SaP.

4.1

mehrfachanmeldungen sind ausgeschlossen, login / disable_multi_gui_login (Standardwert: 1). Vorschlagswert: 1, d. h. mehrfache anmeldung ist nicht möglich.hinweis 1: ausnahmebenutzer wie administratoren oder notfallbenutzer, denen eine mehrfach-anmeldung ermöglicht werden muss, sind unter dem Systemparameter login / multi_login_users gelistet.hinweis 2: das SaP-System protokolliert mehrfachanmeldungen in der tabelle USr41_mld.SOS: multiple logons Using the Same User id is not Prevented (0138)

5.

Kontrollziel: Die unbefugte Nutzung einer offenen SAP-Sitzung durch einen anderen als den angemeldeten Benutzer wird erschwert.Risiko: ein Kollege nutzt die abwesenheit des Benutzers, um an dessen frontend eine geöffnete SaP-Sitzung nicht autorisierte transaktionen durchzuführen.

5.1 ist ein passwortgeschütztes abschalten der Bedienoberfläche des frontend aktiviert?

5.2

wird die möglichkeit der automatischen abmeldung der SaP-Sitzung genutzt?der Parameter rdisp / gui_auto_logout ist zweckentsprechend (ungleich „0“) gesetzt. er definiert die maximale zeit in Sekunden bei ausbleibender tätigkeit des angemeldeten Benutzers bis zum automatischen abmeldung. dies gilt nur für SaP GUi Verbindungen.wenn der Parameter auf den Standardwert 0 gesetzt ist, erfolgt keine automatische abschaltung.SOS: interval after which inactive Users are logged Off is too long (0137).

Seite

15Pr

üfl

eitf

ad

en S

aP

erP

6.0,

tei

l 1,

Sta

nd

rz

2009

, © d

SaG

e. V

.

Page 16: Prüfleitfaden SAP ERP 6.0

3.5 VOrSchlaGSwerte für die SyStemParameter der anmeldeKOntrOllenr. Parameter SaP

mÖGlichewerte

SaP VOrein-StellUnG

VOrSchlaGSwert

1.H

login / min_password_lng 6–40 6(statt 3)

6 (Kennwortmindestlänge)

2. login / password_charset 0,1,2 1 1 (abwärtskompatibel)

3.H

login / min_password_letters 0–40 0 1 (Kennwort muss mindestens einen Buchstabe enthalten)

4.

login / min_password_digits 0–40 0 1 (Kennwort muss mindestens eine zahl enthalten)

5.H

login / min_password_specials 0–40 0 1 (Kennwort muss mindestens ein Sonderzeichen enthalten)

6. login / min_password_lowercase 0–40 0 optional

7. login / min_password_uppercase 0–40 0 optional

8.H

login / min_password_diff 1–40 1 3 (mindestens die hälfte der minimalen Kennwortlänge)

9.H

login / password_history_size 1–100 5 15 Kennworte (bei einem wechsel, der alle 90 tage erzwungen wird)

10.H

login / password_max_idle_initial 0–24.000(tage)

0 Gültigkeitsdauer für ein initiales Kennwort überschreitet nicht 3 arbeitstage

11.H

login / password_expiration_time 0–999(tage)

0 erzwungener wechsel des Kennworts nach höchstens 90 tagen

12. login / password_max_idle_productive 0–24.000(tage)

0 Gültigkeitsdauer eines nicht be-nutzten Kennworts höher setzen als die dauer für den erzwungenen wechsel des Kennwort

13. login / password_change_waittime 1–1000(tage)

1 1 (Benutzer muss einen tag warten, bis er sein Kennwort wieder ändern darf)

14. login / fails_to_session_end 1–99 3 3 (maximale anzahl Passwort-fehlversuche bis abbruch des Vorgangs)

3 Identifikation und Authentisierung (ABAP Stack)Se

ite 16

Page 17: Prüfleitfaden SAP ERP 6.0

nr. Parameter SaP mÖGlichewerte

SaP VOrein-StellUnG

VOrSchlaGSwert

15.H

login / fails_to_user_lock 1–99 5 (statt 12)

5 (maximale anzahl Passwort-fehlversuche bis Sperre des Benutzers)

16. login / failed_user_auto_unlock 0 oder 1 0 (statt 1)

1 (automatisches entsperren des Benutzers über nacht)

17. login / disable_multi_gui_login 0 1 1 (mehrfache anmeldung nicht möglich)

18. login / multi_login_users liste der Benutzer, für die eine mehrfachanmeldung möglich ist

19. login / password_compliance_ to_ current_policyZweck: wenn ein bereits vergebenes Kennwort nicht mehr den inzwischen geänderten Kennwortbildungsregeln entspricht, erzwingt das System eine änderung des Kennworts bei der an-meldung.

0 oder 1 0 optional

20. login / password_downwards_compatibilityZweck: dieser Parameter spezifiziert den Grad der abwärtskompatibilität z. B. der unterstützten Passwortlängen zu früheren SaP releases. details sind der technischen dokumentation zu entnehmen.

SieheSaP doku-mentation

optional

21. tabelle USr40Beispieleintragungen:123456, qwertz, (oder andere zeichen-folge auf der tastatur) oder generisch*montag*, *Januar*, *Sommer*, *Passwort*, *<firmennamen>*

abfragen auf triviale Kennworte erübrigen sich, wenn bereits komplexe Passwortbildungs-regeln eingestellt sind

22. rdisp / gui_auto_logoutdefiniert die maximale zeit in Sekun-den bei ausbleibender tätigkeit des angemeldeten Benutzers bis zum auto-matischen abmeldung. dies gilt nur für SaP GUi Verbindungen.wenn der Parameter auf den Stan-dardwert 0 gesetzt ist, erfolgt keine automatische abschaltung.

Jeder numeri-sche wert

0 Optional, aber verpflichtend, wenn keine automatische frontend-Sperre eingerichtet ist (Bildschirmschoner mit Pc-Sperre)

Seite

17Pr

üfl

eitf

ad

en S

aP

erP

6.0,

tei

l 1,

Sta

nd

rz

2009

, © d

SaG

e. V

.

Page 18: Prüfleitfaden SAP ERP 6.0

3.6 PrüfPrOGramm: GültiGKeitSzeitraUm VOn BenUtzerKennUnGennr. PrüfPrOGramm: GültiGKeitSzeitraUm VOn BenUtzerKennUnGen

wie viele Benutzer sind im mandant registriert?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – anzahl Benutzer-stammsätzeoder tabelle USr02, keine auswahl vornehmen, die anzahl treffer wird oberhalb der ergebnisliste zwischen den Kopfzeilen des SaP menüs angezeigt.

1.Kontrollziel: Kurze Gültigkeitsdauer von Benutzerkennungen mit InitialkennwortRisiko: ein Benutzer meldet sich unter einer fremden Benutzerkennung mit bekanntem initial-kennwort an.

1.1

welche Benutzer haben sich noch nie angemeldet? wie lange ist der Benutzer mit initialkennwort schon angelegt?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – auswertung nach „unbenutzt“ im feld „letzte anmeldung“oder tabelle USr02, feld „letztes login-datum“ mit „=“ <leer> auswählen. das entspricht dem feld trdat in der angezeigten liste.Benutzer mit initialkennwort müssen nach ablauf einer frist von wenigen arbeitstagen automatisch gesperrt werden. dies muss über den login-Parameter login / password_max_ idle_initial erzwungen sein.SOS: Users with initial Passwords who have never logged On (0009)SOS: Users with reset Passwords who have never logged On (0140)

1.2

welche Benutzer haben seit längerer zeit ihr Passwort nicht geändert?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – Seit 180 tagen Kennwort nicht geändert, ggf. Voreinstellung im feld „tage seit Kennwortänderung“ überschreiben.Benutzer müssen regelmäßig ihr Kennwort ändern. dies muss über den login-Parameter login / password_expiration_time erzwungen sein.SOS: Users who have not logged On for an extended Period of time (0010)

2.

Kontrollziel: Alle Benutzer sind mit einem Gültigkeitszeitraum versehen, der dem Zeitraum des notwendigen Zugriffs auf das SAP-System entspricht.Risiko: nicht mehr benötigte Benutzerkennungen werden nicht rechtzeitig erkannt und gesperrt. Sie sind anderen Benutzern bekannt, die unter dieser fremden Benutzerkennung auf das SaP-System zugreifen können, wenn ihnen das Kennwort auf welche weise auch immer bekannt geworden ist.

2.1

für welche Benutzer ist kein Gültigkeitszeitraum oder ein zu weit gefasster Gültigkeitszeitraum eingetragen? aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – Benutzer nach anmeldedatum, auswertung nach feld „Gültig-Bis“ oder über die tabelle USr02 ermitteln, dabei keine auswahl vornehmen, das ergebnis nach dem feld GltB, „Gültig Bis“, auswerten.abgleich mit informationen zu den mitarbeitern, die die Personalabteilung bereitstellt.ist z. B. für mitarbeiter, die auszubildende, temporäre oder externe mitarbeiter sind, ein solches Gültig-Bis-datum eingetragen, das dem befristeten arbeitsverhältnis entspricht?

3 Identifikation und Authentisierung (ABAP Stack)Se

ite 18

Page 19: Prüfleitfaden SAP ERP 6.0

nr. PrüfPrOGramm: GültiGKeitSzeitraUm VOn BenUtzerKennUnGen

3.

Kontrollziel: Besondere Zeiträume von Aktivität oder Inaktivität werden durch flexible Handhabung und unternehmensindividuelle Kennzeichnung der Sperrung einer Benutzer-kennung kontrolliert.Risiko: nicht aktive Benutzerkennungen sind anderen Benutzern bekannt. diese greifen unter dieser fremden Benutzerkennung auf das SaP-System zu, wenn sie das Kennwort ausprobiert oder auskundschaftet haben.

3.1

Sind unternehmensindividuelle Varianten der Sperrargumente aktiviert?tabelle USr02, feld UflaG, „User Sperre“, mit „=“ <leer> auswählen, das ergebnis nach dem inhalt von feld UflaG auswerten. Sind temporäre Sperren aufgrund bekannter befristeter abwesenheit eines mitarbeiters oder besondere Sperrkennzeichnungen für solche mitarbeiter gesetzt, die selten die Benutzerkennung benötigen. diese Benutzer haben i. d .r. gleich bleibende Berechtigungen für einen definierten, aber temporären auftrag, z. B. für aktivitäten im rahmen von messeveranstaltungen.

4.Kontrollziel: Identifikation nicht mehr benötigter BenutzerkennungenRisiko: Benutzerkennungen ausgeschiedener Benutzer werden nicht gelöscht.

4.1

welche Benutzer haben sich über einen längeren zeitraum nicht mehr angemeldet?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – „Benutzer nach anmeldedatum“ oder „Seit 30 tagen nicht angemeldet“,auswertung nach dem feld „letzte anmeldung“oder über die tabelle USr02 ermitteln, dabei keine auswahl vornehmen, das ergebnis nach dem feld trdat, „letztes login-datum“, auswerten.abgleich mit informationen zu den mitarbeitern, die die Personalabteilung bereitstellt.Benutzerkennungen ausgeschiedener mitarbeiter sind zu löschen.SOS: Users who have not logged On for an extended Period of time (0010)

4.2

welche Benutzer sind gesperrt?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – Benutzer nach anmeldedatum,auswertung nach dem feld „Benutzer gesperrt“.Oder über tabelle USr02 ermitteln, feld UflaG, „User Sperre“, mit „=“ <leer> auswählen, das ergebnis nach dem inhalt von feld UflaG auswerten.Benutzerkennungen, die seit längerer zeit gesperrt sind, können Benutzerkennungen ausge-schiedener mitarbeiter sein, die zu löschen sind.SOS: Profiles on long time locked Users (0089)

4.3

für welche Benutzer ist der angegebene Gültigkeitszeitraum abgelaufen?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – Benutzer nach anmeldedatum,auswertung nach dem feld „Gültig Bis“.Oder über die tabelle USr02 ermitteln, dabei keine auswahl vornehmen, das ergebnis nach dem feld GltB, „Gültig Bis“, auswerten.Benutzerkennungen, deren Gültigkeitszeitraum abgelaufen ist, können Benutzerkennungen ausgeschiedener mitarbeiter sein, die zu löschen sind.

Seite

19Pr

üfl

eitf

ad

en S

aP

erP

6.0,

tei

l 1,

Sta

nd

rz

2009

, © d

SaG

e. V

.

Page 20: Prüfleitfaden SAP ERP 6.0

nr. PrüfPrOGramm: GültiGKeitSzeitraUm VOn BenUtzerKennUnGen

5.

Kontrollziel: Benutzerkennungen sind bis auf definierte Ausnahmen personenbezogen.Risiko: Benutzerkennungen werden als Sammelbenutzer verwendet. es gibt keine organisatori-sche regelung, die in bestimmten fällen Sammelbenutzer zulässt, oder es gibt eine organisatori-sche regelung für Benutzerkennungen, der aber in der ausprägung der Benutzerkennungen nicht gefolgt wird.

5.1

welche Benutzerkennungen sind nicht aufgrund des namens eines Benutzers gebildet oder folgen nicht der festgelegten namenskonvention für Benutzerkennungen?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht –Benutzer nach anmeldedatum, auswertung nach dem feld „Benutzer“oder über die tabelle USr02 ermitteln, dabei keine auswahl vornehmen, das ergebnis nach dem feld Bname, Benutzername“, auswerten.manuelles durchsuchen der liste auf Bezeichnungen wie azUBi, werK-StUdent, laGer, teSt, teStUSer.Benutzerkennungen, die nicht der namenskonvention folgen, können z. B. nicht autorisierte Sammelbenutzerkennungen sein.

3.7 PrüfPrOGramm: Sichere KOnfiGUratiOn BeSOnderer BenUtzertyPenüBerSicht üBer initiale anmeldUnG für SOnderBenUtzer in SaP-mandanten:

Mandant 000 / 001 000 / 001 066 Neuer Mandant

Benutzer SaP* ddic earlywatch SaP*

Initiales Kennwort nicht mehr nicht mehr support pass

Kennwort im früheren Release

06071992 19920706

nr. Sichere KOnfiGUratiOn BeSOnderer BenUtzertyPen

1.H

Kontrollziel: Schutz der Sonderbenutzer vor nicht autorisiertem ZugriffRisiko: Jeder kann anonym die SaP-Standardbenutzer SaP* und early watch über die bekannten Standardkennwörter aufrufen und darunter nicht autorisierte aktionen durchführen. mit SaP* können z. B. SaP interne Kontrollen unterlaufen und SaP interne zwangsprotokolle manipuliert werden.hinweis: in den mandanten 000 und 001 wird bei der installation automatisch ein Benutzerstamm-satz erzeugt. es wird gefordert, ein individuelles Kennwort für SaP* und ddic zu vergeben. das Kennwort beider Standardbenutzer ist nicht mehr automatisch auf das Standardkennwort aus dem Jahr 1992 gesetzt.

1.1

Sind in jedem mandant die Standardkennwörter aller SaP Standardbenutzer geändert?aiS: System audit – top ten Security reports – Kennworte der Standardbenutzer prüfenreport rSUSr003.wenn die Prüferrolle diesen report nicht zulässt, muss der Prüfer einen der zugelassenen Systemadministratoren in seinem Beisein den report ausführen lassen und das ergebnis sofort prüfen.SOS: User earlywatch has default Password (0056)

3 Identifikation und Authentisierung (ABAP Stack)Se

ite 2

0

Page 21: Prüfleitfaden SAP ERP 6.0

nr. Sichere KOnfiGUratiOn BeSOnderer BenUtzertyPen

1.2

ist der Benutzer SaP* gegen unbefugte nutzung geschützt (SaP-hinweise 2 383 und 68 048)?Sämtliche Berechtigungen im Benutzerstammsatz SaP* werden gelöscht.> der Benutzerstammsatz SaP* wird gesperrt.> der Benutzerstammsatz SaP* wird der Gruppe SUPer zugeordnet.> es wird über die Setzung des Systemparameters login / no_automatic_user_sapstar auf den wert 1 verhindert, dass nach löschung des Benutzers SaP* (mit Benutzerstammsatz) der systeminterne Benutzer SaP* mit dem unveränderbaren Standardkennwort PaSS aufgerufen werden kann.> für die Systemadministration wird ein notfallbenutzer mit umfassenden Berechtigungen angelegt.SOS: User SaP* is neither locked nor expired (0043)SOS: User SaP* is not assigned to the Group SUPer (0044)SOS: Usage of the hard coded User SaP* is nOt disabled (0046)

1.3

ist der Benutzer SaP* in allen mandanten ohne Berechtigungen angelegt und gesperrt?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzer – Benutzer nach komplexen Selektionskriterien, Selektion nach Benutzer SaP*, nach anzeige des ergebnisses im auswahlmenü „rollen“ oder „Profile“ anklicken.SOS: not all Profiles are removed from User SaP* (0042)SOS: User SaP* is neither locked nor expired (0043)

1.4

Sind die Benutzer SaP* und ddic in allen mandanten der Benutzergruppe SUPer zugeordnet?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzer –Benutzer nach komplexen Selektionskriterien, Selektion nach Benutzern SaP*, ddic.SOS: User SaP* is not assigned to the Group SUPer (0044)

1.5

welche Benutzer- und Berechtigungsadministratoren dürfen die Benutzergruppe SUPer pflegen?report rSUSr002 mit den eingaben:S_tcOde = SU01S_USer_GrP (Benutzerverwaltung) mit aktivität 01 (anlegen), 02 (ändern) oder „*“ und Gruppe = „*“ oder = „SUPer“.SOS: Unexpected Users are authorized to change a Super User account (0026)

1.6

ist der Parameter login / no_automatic_user_sapstar auf den wert 1 gesetzt?hinweis 1: mit hilfe diese Parameters kann verhindert werden, dass sich jemand nach demlöschen des Benutzerstammsatzes für SaP* dann unter dem systeminternen automatischen Benutzer SaP* mit dem unveränderbaren Kennwort PaSS anmelden kann (wert 1). wenn es bei der Standardeinstellung (wert 0) bleibt, ist immer ein erneutes anmeldung unter diesem systeminternen Benutzer SaP* möglich.hinweis 2: Soll der systeminterne automatische Benutzer SaP* wieder aktiviert werden, muss erst dieser Parameter zurückgesetzt und das System wieder gestartet werden.SOS: Usage of the hard coded User SaP* is not disabled (0046)SOS: User SaP* has Been deleted at least in One client (0045).

Seite

21

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 22: Prüfleitfaden SAP ERP 6.0

nr. Sichere KOnfiGUratiOn BeSOnderer BenUtzertyPen

2.

Kontrollziel: Sichere Nutzung des Konzeptes der ReferenzbenutzerRisiko: Benutzerkennungen vom typ referenz haben Berechtigungen, die die Prinzipien derBerechtigungsvergabe verletzen (forderung nach geringstem Berechtigungsumfang; einhaltung der funktionstrennung).

2.1welche Benutzerkennungen sind referenzbenutzer (Benutzertyp „l“)?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht –Benutzer nach anmeldedatum, Selektion nach Benutzertyp „referenzbenutzer“.

2.2

welche rollen und Profile sind den referenzbenutzern zugeordnet?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzer – Benutzer nach komplexen Selektionskriterien, Selektion nach Benutzertyp „referenzbenutzer“, nach anzeige des ergebnisses im auswahlmenü „rollen“ oder „Profile“ anklicken.auch referenzbenutzer dürfen nur Berechtigungen haben, die für den arbeitsplatz notwendig sind. es darf keine referenzbenutzer mit weit gefassten Berechtigungen, z. B. eines Superusers, geben.

2.3

welchen Benutzern sind referenzbenutzer zugeordnet?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzer – Benutzer nach komplexen Selektionskriterien, liste der referenzbenutzer im feld „referenzbenutzer“ eingeben.welchen Benutzern sind nicht-referenzbenutzer als referenz zugeordnet?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzer – Benutzer nach komplexen Selektionskriterien, Selektion auf „nicht gleich“ <leer> im feld „referenzbenutzer“, in der ergebnisliste die nicht-referenzbenutzer ermitteln.hinweis: die zuordnung eines „normalen“ Benutzers als referenzbenutzer kann über einen eintrag im customizing grundsätzlich verhindert werden (SaP-hinweis 513 694).SOS: Usage of ‚normal‘ Users as reference Users is not Prohibited (0012)

2.4wird die zuordnung von referenzbenutzern protokolliert?aiS: System audit – repository / tabellen – tabellenaufzeichnungen – technische tabellenein-stellungen, letzte zeile in der anzeige zur tabelle USrefUS.

3.

Kontrollziel: Sichere Nutzung des Konzeptes der Benutzer vom Typ ServiceRisiko: Benutzerkennungen vom typ referenz haben Berechtigungen, die die Prinzipien der Be-rechtigungsvergabe verletzen (forderung nach geringstem Berechtigungsumfang; einhaltung der funktionstrennung).

3.1welche Benutzerkennungen sind Servicebenutzer (Benutzertyp „S“)?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht –Benutzer nach anmeldedatum, Selektion nach Benutzertyp „Servicebenutzer“.

3.2

welche rollen und Profile sind den referenzbenutzern zugeordnet?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzer –Benutzer nach komplexen Selektionskriterien, Selektion nach Benutzertyp „referenzbenutzer“, nach anzeige des ergebnisses im auswahlmenü „rollen“ oder „Profile“ anklicken.auch Servicebenutzer dürfen nur Berechtigungen haben, die für die funktion notwendig sind. es darf keine Servicebenutzer mit weit gefassten Berechtigungen, z. B. eines Superusers, geben.

3 Identifikation und Authentisierung (ABAP Stack)Se

ite 2

2

Page 23: Prüfleitfaden SAP ERP 6.0

nr. Sichere KOnfiGUratiOn BeSOnderer BenUtzertyPen

4.

Kontrollziel: Sichere Nutzung des Konzeptes der BenutzergruppeRisiko: alle Benutzeradministratoren können einzelne Benutzer pflegen. es kann zu nicht autori-sierten Berechtigungsvergaben kommen.hinweis: über die zuordnung eines Benutzers zu einer Benutzergruppe kann gesteuert werden, welche Benutzeradministratoren diesen Benutzer pflegen können. wenn dieser Sicherheitsme-chanismus genutzt wird, muss darauf geachtet werden, dass alle Benutzer auch einer Benutzer-gruppe zugeordnet werden.hinweis: eine übersicht über die existierenden Benutzergruppen geben die tabellen USGrP(t).

4.1

welche Benutzerkennungen sind keiner Benutzergruppe zugeordnet?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – Benutzer nach anmeldedatum, Selektion auf „Gleich“ <leer> im feld „Benutzertyp (allgemein)“.wenn der Sicherheitsmechanismus der Benutzergruppe konsequent angewendet ist, darf es keine Benutzer ohne eine Benutzergruppe geben.SOS: Users are nOt assigned to User Groups (0005)

4.2

wer kann Benutzergruppen anlegen?report rSUSr002 mit den eingaben:S_tcOde = SUGrS_USer_GrP (Benutzerverwaltung) mit aktivität „*“ oder 01 (anlegen) und Gruppe = „*“ oder = Gruppennamen.

4.3

wer kann Benutzergruppen ändern?report rSUSr002 mit den eingaben:S_tcOde = SU01S_USer_GrP (Benutzerverwaltung) mit aktivität „*“ oder 02 (ändern) und Gruppe = „*“ oder = Gruppennamen.

4.4

wie sind Benutzergruppen für administratoren eingerichtet?report rSUSr002 mit den eingaben:S_tcOde = SU01S_USer_GrP (Benutzergruppen) mit aktivität „*“ oder 02 (ändern) und Gruppe = „*“ oder = „dieselbe Gruppe, die der Benutzeradministrator angehört“über die zuordnung der Benutzergruppe muss verhindert werden, dass ein administrator dem eigenen Benutzerstammsatz rollen / Profile zuweisen kann. auch die änderung der Benutzer-gruppen zuweisung darf im eigenen Benutzerstammsatz nicht möglich sein.SOS: User administrators are authorized to change their Own User master record (0003)

Seite

23

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 24: Prüfleitfaden SAP ERP 6.0

3.8 PrüfPrOGramm: üBerwachUnG der wirKSamKeit deS zUGriffSSchUtzeSnr. üBerwachUnG der wirKSamKeit deS zUGriffSSchUtzeS

1.

Kontrollziel: Die Zugriffe auf das SAP-System werden regelmäßig überwacht. Es ist defi-niert, was auffällige Ereignissen sind. Sicherheitsverstöße werden bei Verdacht auf Miss-brauch untersucht.Risiko: Sicherheitsereignisse, die aufgrund fehlender oder falsch eingestellter sicherheitsrele-vanter Parameter auftreten, werden nicht erkannt. ein Sicherheitsverstoß oder missbrauch eines Benutzers wird nicht zeitnah erkannt. Bei dem Verdacht auf missbrauch kann im nachhinein nicht mehr auf automatisch erfolgte Systemaufzeichnungen zurückgegriffen werden, die zur aufklärung des Vorgangs oder Verfolgung der täter dienen können.

Kontrollfragen zum Prozess:> ist dokumentiert, dass das SaP Security audit log aktiviert werden muss und welche mindest- einstellungen dabei vorgenommen werden müssen?> ist definiert, wer für die einrichtung und änderung der einstellungen des SaP Security audit logs und das löschen der Protokolldateien zuständig ist?> Gibt es einen definierten Prozess für die auswertung und überwachung der ereignisse, die über das SaP Security audit log aufgezeichnet werden?> Gibt es eine Vorgabe, wie lange die Protokolldateien im System vorgehalten werden müssen, z. B. um nachträglich noch recherchen zu Sicherheitsereignissen durchführen zu können, die erst später und auf anderem wege bekannt geworden sind

1.1

ist das SaP Security audit log aktiviert? welche Benutzer, welche audit-Klassen, welche ereignisse werden protokolliert?aiS: System audit – Systemprotokolle und Statusanzeigen – Security-audit-logodertransaktion Sm19SOS: Security critical events for end Users are not logged in the Security audit log (0136)empfehlung 1: Kritische ereignisse bei den folgenden audit-Klassen• Dialog-Anmeldung• RFC-/CPIC-Anmeldung• RFC-Funktionsaufrufwerden für alle Benutzer in allen mandanten protokolliert.empfehlung 2: alle ereignisse aller audit-Klassen werden für alle notfallbenutzer protokolliert.empfehlung 3: alle ereignisse aller audit-Klassen werden für alle dialogbenutzer in der Benutzergruppe SUPer protokolliert

1.2

wer darf das SaP Security audit log aktivieren und die einstellungen dazu ändern?report rSUSr002 mit den eingaben:S_tcOde = Sm19S_admi_fcd (Systemberechtigung) mit funktion aUda (audit administration)S_c_fUnct (direkter aufruf von c-Kernel funktionen aus aBaP) mit aktivität „16“ (ausführen“ und Programmname „SaPlSecU“ und c-routine „aUdit_Set_infO“.diese Berechtigung ist im Produktivsystem nur für Systemadministratoren zulässig.

3 Identifikation und Authentisierung (ABAP Stack)Se

ite 2

4

Page 25: Prüfleitfaden SAP ERP 6.0

nr. üBerwachUnG der wirKSamKeit deS zUGriffSSchUtzeS

1.3

wer darf die Protokolldateien des SaP Security audit log auswerten?S_tcOde = Sm20S_admi_fcd (Systemberechtigung) mit funktion aUdd (audit anzeige.diese Berechtigung ist im Produktivsystem nur Systemadministratoren und für die mitarbeitern zulässig, die für die aufgabe der überwachung und auswertung der ereignisse zuständig sind.

1.4

wer darf die Protokolldateien des SaP Security audit log löschen?report rSUSr002 mit den eingaben:S_tcOde = Sm18 oder Sa38 oder Se38 (report rSaUPUrG)S_admi_fcd (Systemberechtigung) mit funktion aUda (audit administration) und St0r (auswerten von traces)S_dataSet (Berechtigung zum dateizugriff) mit aktivität „34“ und Programmname „SaPl-StUw“ und dateiname (Pfad gemäß der angabe zu dem Profilparameter dir_aUdit, in dem die Protokolldateien gespeichert sind.).diese Berechtigung ist im Produktivsystem nur für Systemadministratoren zulässig.

2.Kontrollziel: Aufdecken von Versuchen, das Kennwort einer Benutzerkennung auszupro-bieren.Risiko: ein Benutzer versucht das Kennwort eines anderen Benutzers systematisch auszuprobieren.

2.1zu welchen Benutzerkennungen ist eine hohe anzahl von falschanmeldungen registriert?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – Benutzer nach anmeldedatum, Selektion auf „Benutzer mit falschanmeldungen“.

2.2

welche Benutzerkennungen, die seit langem inaktiv sind, haben eine Sperre wegen falschanmel-dung?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – Benutzer nach anmeldedatum, Selektion auf „Benutzer mit falschanmeldungen“.

2.3

Prüfung auf anmeldefehler mit dem SaP Security audit log:transaktion Sm20, auswahl „alle entf. auditlogs“, „von datum“ und „bis datum“ eingeben, wechsel in den expertenmodus über den menüpunkt „Bearbeiten – expertenmodus“, einschrän-kung zum Beispiel auf folgende meldungen:> aU0, aU2, fehlgeschlagenes login> aUm, Benutzer wurde nach falschanmeldungen gesperrt> aUn, Benutzersperre wegen falschanmeldungen wurde wieder aufgehoben.die angezeigten Protokollsätze sind auf auffällige zeitliche häufungen bei einer Benutzerkennung zu untersuchen. detailinformationen können durch doppelklick auf die einzelmeldungen angezeigt werden.hinweis: die texte zu allen meldekennungen sind in der tabelle tSl1t hinterlegt. die für die Protokolldateien des SaP Security audit log relevanten meldekennungen beginnen mit aU.

2.4

Prüfung auf anmeldefehler mit dem Systemlog:transaktion Sm21, auswahl „alle entf. Syslogs“, „von datum“ und „bis datum“ eingeben, wechsel in den expertenmodus über den menüpunkt „Bearbeiten – expertenmodus“, über die Schaltfläche „meld.kennungen“ z. B. auf folgende meldungen einschränken:> US1 „ein Benutzer wurde auf Grund von falschanmeldungen gesperrt.“> US3 „es wurde versucht, sich mit einem gesperrten Benutzer anzumelden.“hinweis: die texte zu allen meldekennungen sind in der tabelle tSl1t hinterlegt.

Seite

25

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 26: Prüfleitfaden SAP ERP 6.0

4.1 BerechtiGUnGSVerGaBeder zugriff eines Benutzers auf die funktionen und daten des SaP-Systems wird über Berechtigungen frei geschaltet. dabei gelten zwei Vergabegrundsätze:> nach dem ersten Grundsatz der Berechtigungsvergabe dürfen die Berechtigungen eines Benutzers nur diejenigen Sichten und funktionen für die daten freigeben, die er zur erfüllung der tätigkeiten an seinem arbeitsplatz benötigt. dies wird als das Prinzip des geringsten Berechtigungsumfangs, im englischen Sprachgebrauch als „least privilege“ bezeichnet.> der zweite Grundsatz der Berechtigungsvergabe fordert, dass funktionen, die zu einer unerwünschten Kummulierung der rechte führen würden, nicht an die gleiche Person vergeben werden dürfen. dieses Prinzip der funktionstrennung hilft, missbrauch und betrügerische handlungen zu verhindern. im englischen Sprachgebrauch wird es „principle of segregation of duties“, kurz Sod, genannt.

für das Unternehmen leiten sich beide Vergabegrundsätze aus den forderungen des internen Kontroll-system ab. Unternehmen müssen aus eigenem interesse ein internes Kontrollsystem einrichten, warten, überwachen und kontinuierlich optimieren.

4.2 riSiKendie risiken liegen in der mangelhaften Umsetzung des geforderten internen Kontrollsystems, das unternehmensindividuell über die Vergabe von Berechtigungen zu realisieren ist:> die Prüfbarkeit des Benutzers- und Berechtigungskonzeptes ist nicht gewährleistet. das Berechtigungs konzept genügt nicht den gesetzlichen und unternehmensinternen anforderungen. es ist nicht dokumentiert.> wesentliche interne Kontrollen fehlen in der Benutzer- und Berechtigungsverwaltung. Organisatorische oder technische Schwachstellen ermöglichen ein Unterlaufen der beabsichtigten internen Kontrollen.> Universelle Berechtigungen und sicherheitskritische Systemeinstellungen werden nach dem Produktiv- einsatz im SaP-System belassen, obwohl sie SaP ausschließlich nur für die Phase der implementierung oder des release-wechsels vorgesehen hat. im Produktivsystem gefährden sie aber Systemintegrität und den ordnungsmäßigen Betrieb.> Kritische Berechtigungen, die gegen gesetzliche und unternehmensinterne regelungen verstoßen (internes Kontrollsystem), werden ohne restriktionen vergeben. es ist nicht untersucht worden, welche Berechtigungen als kritisch einzuordnen sind. die besonderen Bedingungen sind nicht festgelegt, unter denen sie zu vergeben sind.> technische Konzepte, die das SaP-System zur ausprägung und Prüfung von Berechtigungen bereitstellt, werden nicht konsequent genutzt. Beispiele sind Berechtigungsgruppen von tabellen und Programmen oder Berechtigungsprüfungen in selbst entwickelten Programmen. Somit werden Sicherheitslücken in Kauf genommen, die die manipulation an kritischen Systemeinstellungen oder an Geschäftsdaten zulassen.> die eingerichteten Benutzerkennungen und die vergebenen Berechtigungen werden nicht regelmäßig geprüft und bestätigt. möglicher missbrauch einzelner Benutzerkennungen durch fremde Benutzer oder durch einen Benutzer, der im zeitlauf mit umfangreichen Berechtigungen ausgestattet wurde, wird nicht verhindert.

4 Autorisierung (ABAP-Stack)Se

ite 2

6

Page 27: Prüfleitfaden SAP ERP 6.0

4.3 KOntrOllzieledie Kontrollziele beziehen sich in der regel auf die effektive und effiziente Gestaltung der Prozesse der Benutzer- und Berechtigungsverwaltung:> ein dokumentiertes Berechtigungskonzept liegt vor, das die gesetzlichen und unternehmensinternen anforderungen erfüllt.> die Organisation der Benutzer- und Berechtigungsverwaltung ist auch im SaP-System durch angemes- sene autorisierung der dafür vorgesehenen mitarbeiter gewährleistet. insbesondere ist die funktions- trennung abgebildet.> Universelle SaP-Standardprofile, die nur für die implementierung und den release-wechsel bereitge- stellt sind, sind gelöscht oder durch unternehmensspezifische Berechtigungen abgelöst.> Kritische Berechtigung sind identifiziert und die restriktionen dokumentiert, unter denen sie zu ver- geben sind.> das in einzelfällen notwendige aufheben der von SaP vorgesehenen Sicherheitseinstellungen ist autorisiert und dokumentiert (Konzept des notfallbenutzers).> Sicherheitskritische funktionen werden nur restriktiv und kontrolliert vergeben.> Prozesse zur ausprägung von Berechtigungsgruppen und zur Prüfung von Berechtigungen in Programmen sind definiert und wirksam.> die Benutzer- und Berechtigungsverwaltung wird regelmäßig überwacht und die Prozesse dazu geprüft und optimiert.

4.4 PrüfPrOGramm: dOKUmentierteS BerechtiGUnGS- Und BenUtzerKOnzePtnr. inhalte eineS dOKUmentierten BerechtiGUnGS- Und BenUtzerKOnzePteS

H

Kontrollziel: Die Dokumentation des Berechtigungs- und Benutzerkonzeptes erfüllt die Mindestanforderungen.Risiko: Gesetzliche anforderungen an die dokumentation und Prüfbarkeit sind nicht erfüllt. die wirksamkeit eines Berechtigungs- und Benutzerkonzeptes kann nur geprüft werden, wenn das Sollkonzept dokumentiert ist

1. Vorgaben für die Konfiguration von authentisierung und autorisierung

1.1 Gibt es Vorgaben, wie die Profilparameter für die anmeldekontrollen gesetzt sein müssen?

1.2 Gibt es Vorgaben, welche angaben in Benutzerstammsätze obligatorisch und welche optional sind?

1.3 Gibt es Vorgaben, wie die Profilparameter für die autorisierung gesetzt sein müssen?

1.4Gibt es Vorgaben, wie die obligatorischen und optionalen Berechtigungsprüfungen genutzt werden müssen? (inaktivsetzen von Prüfkennzeichen, Berechtigungsprüfung bei eigenentwickelten Pro-grammen)

1.5 Gibt es Vorgaben, wie der SaP Profilgenerator und seine optionalen rollenkonzepte zu nutzen sind?

1.6 Gibt es Vorgaben zur Konfiguration und nutzung der zentralen Benutzerverwaltung?

1.7 Gibt es Vorgaben, wie das „Security audit log“ zu konfigurieren und zu überwachen ist?

Seite

27

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 28: Prüfleitfaden SAP ERP 6.0

nr. inhalte eineS dOKUmentierten BerechtiGUnGS- Und BenUtzerKOnzePteS

2. Dokumentation der Vorgehensweise für die Erstellung des Berechtigungskonzeptes

2.1 Gibt es eine übersicht über Geschäftsprozess-Verantwortliche / dateneigentümer?

2.2

Gibt es Vorgaben für die ausprägung des Berechtigungskonzeptes?> zugriffselemente: rollen, Profile, Berechtigungen> namenskonventionen> top-down- oder Bottom-Up-ansatz> mehrfachverwendung und einzelverwendung von zugriffselementen (rollen, Profile)

2.3

Sind folgende dokumente aus dem implementierungsprojekt verfügbar: > definition der arbeitsplätze > definition der zugriffselemente (rollen, Profile) und > die zuordnung von arbeitsplätzen zu zugriffselementen nach einer autorisierungs- oder arbeitsplatzmatrix?

2.4wurden im implementierungsprojekt die für die arbeitsplätze vergebenen Berechtigungen in der 3-Systeme landschaft getestet und freigegeben? Gibt es zum testergebnis und der freigabe ein abnahmeprotokoll?

3. Dokumentation des Antrags- und Vergabeverfahrens für Benutzer und Berechtigungen

3.1Berücksichtigt das antrags- und Vergabeverfahren die folgenden vier Phasen: antrag, freigabe, durchführung und Bestätigung?Sind für jede Phase die zuständigkeiten, aufgaben, Kontroll- und freigabeschritte definiert?

3.2

Gibt es insbesondere Vorgaben für Kontrollen bei änderungen eines existierenden Benutzer-stammsatzes: werden die Benutzerstammsätze hinsichtlich ihrer autorisierung und Systemzu-griffe überprüft, insbesondere wenn ein Benutzer die abteilung wechselt oder das Unternehmen verlassen hat?

4. Dokumentation der Benutzer- und Berechtigungsverwaltung

4.1

ist die Organisation der Benutzer- und Berechtigungsverwaltung dokumentiert? Sind dabei die folgenden dimensionen der möglichen ausprägung festgelegt:> dezentrale oder zentrale administration> administration nach abteilungen, modulen, transaktionen> zuständigkeit für entwicklung, test, freigabe und Produktivsetzung in der 3-Systeme landschaft.

5.Dokumentation der Prüfung auf Verletzungen der Anforderungen des internen Kontroll-systems

5.1ist dokumentiert, auf welche weise die anforderungen des internen Kontrollsystems bei der ausprägung von zugriffselementen (rollen, Profile) zu berücksichtigen sind, insbesondere das Prinzip der funktionstrennung?

4 Autorisierung (ABAP-Stack)Se

ite 2

8

Page 29: Prüfleitfaden SAP ERP 6.0

nr. inhalte eineS dOKUmentierten BerechtiGUnGS- Und BenUtzerKOnzePteS

5.2ist das Verfahren dokumentiert, wie die regeln auf einhaltung von funktionstrennung vorgegeben, freigegeben und im SaP-System als automatische Prüfregeln eingesetzt werden?

5.3ist das Verfahren dokumentiert, wie die vom SaP-System erkannten Verstöße gegen die funktionstrennung behandelt und die betreffenden Konflikte gelöst werden?

6. Dokumentation der Unterstützung durch zusätzliche Produkte

6.1ist der einsatz von SaP workflows zur Unterstützung des antrags- und Vergabeverfahrens sowie der Benutzer- und Berechtigungsverwaltung dokumentiert?

6.2ist der einsatz von Produkten von drittanbietern zur Unterstützung des antrags- und Vergabever-fahrens sowie der Benutzer- und Berechtigungsverwaltung dokumentiert?

4.5 PrüfPrOGramm: nOtfallBenUtzerKOnzePt (aBaP StacK)nr. nOtfallBenUtzerKOnzePt

1.

Kontrollziel: Absicherung des NotfallbenutzersRisiko: > es gibt keinen notfallbenutzer: Systemadministratoren arbeiten im normalbetrieb unter dem Standardbenutzer SaP* oder zwar unter einem eigens eingerichteten Benutzer, aber mit der universalen Superuser-Berechtigung SaP_all.> es gibt einen eigenen notfallbenutzer mit der universalen Superuser-Berechtigung SaP_all, den sich die Systemadministratoren teilen und der jederzeit unkontrolliert eingesetzt werden kann.

1.1

ist für den notfall mindestens eine Benutzerkennung eingerichtet,> die nicht der Standardbenutzer SaP* ist,> die die notwendigen weitreichenden Berechtigungen hat,> die mit einem komplexen Kennwort ausgestattet ist,> deren Kennwort an einem sicheren Ort zugriffsgeschützt aufbewahrt wird,> wobei der zugriff auf das Kennwort im Vier-augen-Prinzip erfolgen muss?

1.2

werden aktionen unter dem notfallbenutzer dokumentiert mindestens unter angabe> des Grundes> des zeitraums> der darunter tätigen Personen> der tätigkeiten, die damit durchgeführt wurden.

1.3werden für einen notfallbenutzer über das SaP Security audit log alle ereignisse aller audit-Klassen zwangsprotokolliert?

1.4 wird nach der notfallaktion das Kennwort des notfallbenutzers geändert?

Seite

29

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 30: Prüfleitfaden SAP ERP 6.0

4.6 PrüfPrOGramm: nUtzUnG KritiScher SaP StandardPrOfile / -rOllennr. nUtzUnG KritiScher SaP StandardPrOfile / -rOllen

1.

Kontrollziel: Einschränkung der Nutzung der kritischen universellen SAP Standardprofile / -rollenRisiko: Verlust der Vertraulichkeit, Verlust der integrität der daten und des SaP-Systems, Verlust der Verfügbarkeit.auf dem Produktivsystem werden – entgegen den eindeutigen Sicherheitsempfehlungen des herstellers SaP – nach inbetriebnahme weiterhin die sicherheitskritischen SaP Standardprofile vergeben – nach dem motto „Simplicity over Security“:> an externe dienstleister, z. B. für Beratung, technische Unterstützung, wartung,> an interne Systemadministratoren,> an Benutzer aus der fachabteilung.damit werden das gesetzlich geforderte unternehmensinterne interne Kontrollsystem und das SaP interne Sicherheitskontrollsystem unterlaufen. Ordnungsmäßigkeitsanforderungen werden verfehlt.

1.1

an welche Benutzer ist SaP_all vergeben?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzer – Benutzer nach komplexen Selektionskriterien, Selektion nach Profil SaP_all.wie ist die Vergabe und nutzung des Standardprofils SaP_all organisatorisch geregelt?das Profil SaP_all ist im Produktivsystem nicht zulässig. SaP empfiehlt, dieses Profil nur dem notfallbenutzer zuzuweisen.hinweis 1: dieses Sammelprofil enthält alle SaP-Berechtigungen. ein Benutzer mit diesem Profil kann im SaP-System alle aufgaben durchführen. risiko: Benutzer manipulieren unter dem höchst privilegierten SaP Standardprofil SaP_ all beliebige Geschäftsdaten, deaktivieren installierte SaP interne Kontrollen oder sicherheitsrelevante Systemeinstellungen oder löschen die Systemaufzeichnungen der aktivitäten, um die Spuren erfolgter manipulationen zu beseitigen.hinweis 2: anstatt das Profil SaP_all zu benutzen, können die darin enthaltenen Berechtigungen auf die entsprechenden funktionen verteilt werden. es sollte z. B. dem Systemadministrator nicht die Berechtigung SaP_all zugewiesen werden, sondern nur die für die Systemverwaltung erforderlichen Berechtigungen, also die S_*-Berechtigungen. dies berechtigt ihn zur Verwaltung des gesamten SaP-Systems, er kann damit jedoch keine aufgaben in anderen Bereichen, z. B. in anwendungen, durchführen.hinweis 3: es ist zu prüfen, ob rollen oder Profile mit Berechtigungsumfängen analog SaP_all existieren.SOS: Users with the most full access authorizations (* field Values) (0027)SOS: Users with the most roles (0028)SOS: 20 % or max 30 % of all Users that have for the most Profiles (0029)

4 Autorisierung (ABAP-Stack)Se

ite 3

0

Page 31: Prüfleitfaden SAP ERP 6.0

nr. nUtzUnG KritiScher SaP StandardPrOfile / -rOllen

1.2

an welche Benutzer ist SaP_new vergeben?aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzer – Benutzer nach komplexen Selektionskriterien, Selektion nach Profilen der form SaP_new*.aiS: System audit – Benutzer und Berechtigungen – infosystem – Profile – Profile nach Profilnamen, Selektion nach Profilen der form SaP_new*.eine lange liste von SaP_new-Profilen, z. B. nach mehreren Upgrades, ist ein zeichendafür, dass das Berechtigungskonzept zu überarbeiten und neu festzusetzen ist.wie ist die Vergabe und nutzung des SaP Standardprofils SaP_new organisatorisch geregelt?das Profil SaP_new ist im Produktivsystem nicht zulässig.SaP empfiehlt, die SaP_new_* Profile nach einem Upgrade aufzulösen und die benötigten teilberechtigungen zu verteilen sowie SaP_new zu löschen.hinweis 1: dieses Sammelprofil enthält alle Profile, die mit einem release neu hinzukommen. nach jedem release-wechsel benötigt man dieses Profil, damit bestimmte aufgaben problemlos ablaufen können.risiko: Benutzer missbrauchen die privilegierten Berechtigungen des SaP Standardprofils SaP_new und führen nicht autorisierte aktivitäten durch.SaP empfiehlt im einzelnen:> nach dem Upgrade die SaP_new_*-Profile für releases vor der einführung des Berechtigungs- konzepts zu löschen,> die SaP_new_*-Profile für releases zu löschen, in denen bereits die darin enthaltenen Profile verteilt worden sind,> den rest der in den SaP_new_*-rollen enthaltenen Profile an die entsprechenden funktionen zu verteilen und ihre Berechtigungswerte zu pflegen,> SaP_new zu löschen.SOS: Users with Profile SaP_new (0031)

1.3

an welche Benutzer sind weitere kritische SaP Standardprofile vergeben, ggf. noch aus alten releaseständen? Beispiele sind:> S_a.SyStem (Systemverwalter, Superuser), S_a.admin (Operator), S_a.cUStOmiz (customizer), S_a.deVelOP (alle Berechtigungen für einen entwickler)> S_ctS_all, u. a. kann damit die Systemänderbarkeit gesetzt werden> S_ctS_PrOJect, u. a. kann damit ein änderungsauftrag eines anderen Benutzers übernommen werden, indem der name im änderungsauftrag geändert wird> S_dataSet_al, S_c_fUnct_al, S_tcd_all, S_tSKh_all> f_BUch_all, z_anwendaiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzer – Benutzer nach komplexen Selektionskriterien, Selektion nach Profil.Sind die Vorgaben von SaP zur Vergabe und nutzung der kritischen SaP Standardprofile bekannt und in eine organisatorische regelung umgesetzt?risiko: Benutzer können nach dem Produktivstart oder einem release-wechsel diese weitrei-chenden SaP Standardprofile missbrauchen, die SaP nur zur Unterstützung der implementie-rungsphase bereitstellt.SOS: SaP Standard roles are assigned to Users (0082)SOS: SaP Standard Profiles are assigned to Users (0083)empfehlung: über die transaktion SUim oder die tabellen USt10S / USt12 kann zusätzlich geprüft werden, ob Profile mit analogen inhalten zu den oben aufgeführten Profilen existieren.

Seite

31

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 32: Prüfleitfaden SAP ERP 6.0

4.7 PrüfPrOGramm: erSetzen KritiScher VOrSchlaGSwerte im PrOfilGeneratOr

nr. erSetzen KritiScher VOrSchlaGSwerte im PrOfilGeneratOr

1.

Kontrollziel: Die von SAP standardmäßig gesetzten und vordefinierten Ausprägungen von Berechtigungen im Profilgenerator sind auf kritische Setzungen bewertet worden. Bei der Vergabe von Profilen werden die als kritisch erkannten Vorgaben berücksichtigt und gemäß den unternehmensspezifischen Sicherheits- und Kontrollanforderungen geändert.Risiko: die von SaP gesetzten Vorschlagswerte im Profilgenerator für die Berechtigungsprüfung werden unverändert übernommen, obwohl einige davon nicht den geforderten it internen Kontrollen im Produktivsystem genügen.

1.1

Soll jeder Benutzer auf dem Produktivsystem uneingeschränkte entwicklungsberechtigungen erhalten?S_deVelOP (aBaP workbench) mit aktivität „*“ und Paket „*“ und Objektname „*“ und Objekttyp „*“ und Berechtigungsgruppe „*“ ist sehr kritisch.dieses Berechtigungsobjekt darf im Produktivsystem nur mit dem Objekttyp SUSO (Berechti-gungsobjekte) und der aktivität 03, „anzeigen“, ausgeprägt sein.risiko: ausprägungen, die die aktivitäten 01, „anlegen“, oder 02, „ändern“, zusammen mit den einem der beiden Objekttypen deBUG oder PrOG beinhalten, verstoßen im Produktivsystem gegen Grundsätze der ordnungsmäßigen Buchführung (radierverbot).

1.2

Soll jeder Benutzer die kritische Systemberechtigung zum auswerten des Syslogs erhalten?S_admi_fcd (Systemberechtigungen) mit aktivität Sm21 berechtigt, den Systemlog auszuwerten.dieses Berechtigungsobjekt darf mit der aktivität Sm21 im Produktivsystem nicht für alle Benutzer frei geschaltet werden.

1.3

Soll jeder Benutzer neue Projekte generieren können?S_PrO_aUth (neue Berechtigungen für Projekte) mit aktivität 03 (anzeigen).dieses Berechtigungsobjekt darf im Produktivsystem nur mit der aktivität 03, „anzeigen“, ausgeprägt werden.

1.4

welche adressgruppen können für alle Benutzer frei geschaltet werden können?S_adreSS1 (adresstyp1: Organisationsadressen)mit aktivität „*“ und adressgruppe Bc01 (SaP Benutzeradressen) ist sinnvoll.im Produktivsystem ist auf die spezifische eingabe der adressgruppe zu achten, insbesondere nur Bc01 (SaP Benutzeradressen) zulassen. adressgruppen wie Geschäftspartner, BP, oder ehS Berichtsempfänger, ehS1, dürfen wegen des Prinzips der geringsten Berechtigungsvergabe und der Gewährleistung der Vertraulichkeit nicht grundsätzlich an alle Benutzer freigegeben werden.risiko: die Vertraulichkeit von daten ist unter Umständen nicht gewährleistet.

1.5

welche transaktionscodes können für alle Benutzer von hr frei geschaltet werden?P_tcOde (hr transaktionscode) mit transaktionscode: PfcG, SUid oder SU01d ist sinnvoll.dieses Berechtigungsobjekt darf im Produktivsystem nur für die transaktionscodes PfcG, SUid oder SU01d frei geschaltet sein.die im Kontext zu den transaktionen PfcG stehenden Berechtigungsobjekte müssen gemäß der zugeordneten aufgabe ausgeprägt sein (administrations- oder anzeigefunktion).

4 Autorisierung (ABAP-Stack)Se

ite 3

2

Page 33: Prüfleitfaden SAP ERP 6.0

nr. erSetzen KritiScher VOrSchlaGSwerte im PrOfilGeneratOr

2. Zugriff auf Tabellen

2.1

welche tabellengruppen dürfen von Benutzern nicht geändert werden können?S_taBU_diS (tabellenpflege) mit aktivität 03 (anzeigen) und Berechtigungsgruppen ale0 oder SS.dieses Berechtigungsobjekt darf im Produktivsystem für die beiden Berechtigungsgruppen ale0 und SS nur mit aktivität 03, „anzeigen“, ausgeprägt werden.

2.2

welche tabellengruppen dürfen von Benutzern geändert werden können?S_taBU_diS (tabellenpflege) mit aktivität 02 oder 03 und Berechtigungsgruppe SUSr.dieses Berechtigungsobjekt darf im Produktivsystem für die Berechtigungsgruppe SUSr nur mit den aktivitäten 02, „ändern“, und 03, „anzeigen“, ausgeprägt werden.

3. Zugriff auf IDOCS

3.1

welcher zugriff auf idOcS kann allen Benutzern eingeräumt werden?S_idOcctrl (allgemeiner zugriff auf idOc funktionen)mit aktivität 03 und transaktionscode „*“ ist applikationsabhängig möglich.dieses Berechtigungsobjekt darf im Produktivsystem nur die aktivität 03, „anzeigen“, haben. empfehlenswert ist auch einschränkung auf nicht fi-spezifische transaktionscodes.risiko: ansonsten können fi spezifische idOcs, die z. B. vertrauliche daten beinhalten, von allen Benutzern eingesehen werden.hinweis: Unter allen idOc-Berechtigungsobjekten sollte nur das Berechtigungsobjekt S_idOcctrl an alle Benutzer mit den oben beschriebenen einschränkungen berechtigt werden, falls überhaupt erforderlich.

3.2

welcher zugriff auf idOcS kann allen Benutzern eingeräumt werden, die eine Kontrollfunktion über idOc‘s benötigen?S_idOcmOni (zugriff auf idOc monitoring) mit aktivität 03 und richtung der idOc übertragung 1 und 2 und nachrichtentyp cclOne und USerclOne und PartnernUmmer „*“ und Partnerart „lS“ undtranSaKtiOnScOde: „*“ ist applikationsabhängig möglich.risiko: die aktivität muss 03, „anzeigen“, sein. Sonst können idOcS, die auch änderungsbelege sind, geändert oder gelöscht werden.hinweis: die angabe des transaktionscodes ist dann unkritisch, wenn die anderen felder desBerechtigungsobjektes wie oben gepflegt sind.

4. Benutzer- und Berechtigungsadministration

4.1

welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?S_USer_aGr (Berechtigungswesen: Prüfer für rollen)mit aktivität „*“ und name der rolle „*“ ist kritisch.dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadminist-ration belegt werden.risiko: wenn diese von SaP vordefinierten uneingeschränkten freigaben („*“) bestehen bleiben, kann jeder alle aktivitäten durchführen. insbesondere kann jeder jede rolle anlegen. das kann nicht gewünscht sein.hinweis: zur einhaltung des Vieraugenprinzips müssen bei den feldern „aktivität“ und „name der rolle“ die 4 funktionen „anlegen“, „ändern“, „aktivieren“ und „zuordnen“ entsprechend berück-sichtigt werden.

Seite

33

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 34: Prüfleitfaden SAP ERP 6.0

nr. erSetzen KritiScher VOrSchlaGSwerte im PrOfilGeneratOr

4.2

welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?S_USer_aUt (Benutzerstammpflege: Berechtigungen) mit aktivität „*“ und Berechtigungsname in Benutzerstamm „*“ und Berechtigungsobjekt „*“ ist kritisch.dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsys-tem nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadmi-nistration belegt werden.risiko: wenn diese von SaP vordefinierten uneingeschränkten freigaben („*“) bestehen bleiben, kann jeder alle aktivitäten durchführen. insbesondere kann jeder jede rolle anlegen. das kann nicht gewünscht sein.hinweis: zur einhaltung des Vieraugenprinzips müssen bei den feldern „aktivität“ und „name der rolle“ die 4 funktionen „anlegen“, „ändern“, „aktivieren“ und „zuordnen“ entsprechend berücksichtigt werden.dabei sind auch die modulverantwortlichen – sofern vorgesehen – unter den Benutzer- und Berechtigungsadministratoren zu berücksichtigen.

4.3

welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?S_hierarch (Berechtigungsprüfungen der hierarchiepflege) mit aktivität „*“ und Paket „*“ und Strukturtyp „*“ ist kritisch.dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsys-tem nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadmi-nistration belegt werden.die möglichkeit der einschränkung auf die verwendete Struktur zur Berechtigungsverwaltung muss genutzt werden.dieses Berechtigungsobjekt ermöglicht das arbeiten mit dem allgemeinen hierarchiepflegetool oder den darauf basierenden transaktionen. die Berechtigung muss eingeschränkt werden über den typ der zu bearbeitenden Struktur und über deren Paket.

4.4

welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?S_USr_GrP (Benutzerstammpflege: Benutzergruppen)mit aktivität „*“ und Benutzergruppe in Benutzerstamm „*“ ist kritisch.dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsys-tem nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadmi-nistration belegt werden.risiko: wenn diese uneingeschränkten freigaben („*“) bestehen bleiben, kann jeder alle aktivitäten durchführen. dann kann jeder jede Benutzergruppe pflegen, auch sich selbst. das kann nicht gewünscht sein.hinweis: zur einhaltung des Vieraugenprinzips müssen bei der aktivität und name der Benutzer-gruppe die 4 funktionen „anlegen“, „ändern“, „aktivieren“ und „zuordnen“ entsprechend berück-sichtigt werden.

4.5

welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?S_USr_PrO (Benutzerstammpflege: Berechtigungsprofil)mit aktivität „*“ und Berechtigungsprofil im Benutzerstamm „*“ ist kritisch.dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsys-tem nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadmi-nistration belegt werden.risiko: wenn diese uneingeschränkten freigaben („*“) bestehen bleiben, kann jeder alle aktivitä-ten durchführen. dann kann jeder jedes Benutzerprofil pflegen. das kann nicht gewünscht sein.hinweis: zur einhaltung des Vieraugenprinzips müssen bei der aktivität und name des Berechti-gungsprofils die 4 funktionen „anlegen“, „ändern“, „aktivieren“ und „zuordnen“ entsprechend berücksichtigt werden.

4 Autorisierung (ABAP-Stack)Se

ite 3

4

Page 35: Prüfleitfaden SAP ERP 6.0

nr. erSetzen KritiScher VOrSchlaGSwerte im PrOfilGeneratOr

4.6

welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?S_USer_SaS (Benutzerstammpflege: Systemspezifische zuordnungen) mit aktivität „*“, name der rolle „*“, Benutzergruppe „ “, Berechtigungsprofil im Benutzerstamm und empfängersystem zBV ist kritisch.dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsys-tem nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadmi-nistration belegt werden.risiko: Bei Vollausprägung kann jeder jede Benutzerausprägung und jede rolle in jedem System zuweisen.hinweis: das neue Berechtigungsobjekt S_USer_SaS wird über den eintrag mit der id ‚checK_S_USer_SaS‘ und dem wert ‚yeS‘ in der tabelle PrGn_cUSt aktiviert(OSS-hinweis 536101) und ersetzt die Berechtigungsobjekte S_USer_GrP, S_USer_aGr, S_USer_PrO und S_USer_SyS bezüglich der zuordnung von rollen oder Profilen zu Benutzern. die Verwendung der erweiterten Berechtigungsprüfung ist unabhängig vom einsatz der zentralen Benutzerverwaltung.

4.7

welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?S_USr_SyS (Benutzerstammpflege: System für zentrale Benutzerpflege) spezifisches Objekt) mit aktivität „*“ und empfängersystem zBV ist kritisch.dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsys-tem nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadmi-nistration belegt werden.risiko: Bei Vollausprägung kann jeder in allen Systemen rollen zuweisen.

4.8

welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?S_USer_tcd (Berechtigungswesen: transaktionen in rollen) mit transaktionscode „*“ ist kritisch.dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsys-tem nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadmi-nistration belegt werden.risiko: Bei Vollausprägung können modul- und basisübergreifend alle Berechtigungsobjekte in rollen aufgenommen werden.

4.9

welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?S_USer_Val (Berechtigungswesen: feldwerte in rollen)mit feldname „*“ und Berechtigungswert „*“ und Berechtigungsobjekt „*“ ist kritisch.dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadministra-tion belegt werden.risiko: Bei Vollausprägung können modul- und basisübergreifend alle Berechtigungsobjekte in rollen aufgenommen werden.

Seite

35

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 36: Prüfleitfaden SAP ERP 6.0

4.8 PrüfPrOGramm: OrdnUnGSmäSSiGe BerechtiGUnGS- Und BenUtzer- OrGaniSatiOn

nr. OrdnUnGSmäSSiGe BerechtiGUnGS- Und BenUtzerOrGaniSatiOn

1.

Kontrollziel: Einhaltung der Funktionstrennung, kein Administrator darf die folgenden drei zu trennenden Aufgaben durchführen:1. Benutzer verwalten2. Berechtigungen pflegen3. Berechtigungsprofile generieren.Risiko: die aufgaben des Benutzers- und Berechtigungsverwalters werden in vollem Umfang an einen oder mehrere mitarbeiter vergeben. eine überwachung der tätigkeiten eines Benutzers- und Berechtigungsverwalters gibt es nicht. die folgen sind: > nicht autorisierte änderungen sind möglich,> betrügerische handlungen können durchgeführt und die Spuren dazu zumindest verschleiert werden.

1.1

Sind die möglichkeiten der funktionstrennung bezogen auf die ressourcen und den Sicherheits-anforderungen des Unternehmens umgesetzt?Beispiele für die realisierung eines 4-augen Prinzips und eines 6-augen Prinzips sind in den fol-genden übersichten aufgeführt.

Scenario 1: 4-Augen Prinzipzentrale Benutzerverwaltung> ein Benutzerverwalter für alle Benutzer.> Unbegrenzte Berechtigungen für alle Benutzerverwaltungsaufgaben des Benutzeradministratorszentrale Pflege von rollen und Profilenein administrator übernimmt beide rollen:> Berechtigungsdatenverwalter> Berechtigungsprofilverwalter.

Scenario 2: 6-Augen Prinzipdezentrale Benutzerverwaltung (Produktivsystem)ein Benutzerverwalter für pro anwendungsbereich (fi, mm),> berechtigt, um eine bestimmte Benutzergruppe zu pflegen,> berechtigt, um eine bestimmte menge von rollen / Profilen zuzuordnen,> keine weiteren einschränkungen auf spezifische Benutzerverwaltungsaufgaben.zentrale Pflege von rollen und Profilentrennung der zuständigkeiten:> Berechtigungsdatenverwalter> Berechtigungsprofilverwalter.Keine weiteren einschränkungen auf spezifische rollen oder Profile.

4 Autorisierung (ABAP-Stack)Se

ite 3

6

Page 37: Prüfleitfaden SAP ERP 6.0

nr. OrdnUnGSmäSSiGe BerechtiGUnGS- Und BenUtzerOrGaniSatiOn

Scenario 3: 6-Augen Prinzip, dezentrale Benutzerverwaltung im Produktivsystemzentrales anlegen und löschen für alle Benutzerdezentrale Benutzerverwaltung (Produktivsystem)ein Benutzerverwalter für pro anwendungsbereich (fi, mm),> berechtigt, um eine bestimmte Benutzergruppe zu pflegen,> berechtigt, um eine bestimmte menge von rollen / Profilen zuzuordnen,> berechtigt für nur einige Benutzerverwaltungsaufgaben: ändern, sperren / entsperren, Kennwort zurücksetzen.zentrale Pflege von rollen und Profilentrennung der zuständigkeiten:> Berechtigungsdatenverwalter> BerechtigungsprofilverwalterKeine weiteren einschränkungen auf spezifische rollen oder Profile.

Seite

37

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 38: Prüfleitfaden SAP ERP 6.0

4.9 taBellen: BeiSPielSzenarien der OrGaniSatiOn einer BenUtzer- Und BerechtiGUnGSVerwaltUnG4.9.1 SzenariO 1: 4-aUGen PrinziPZentrale Benutzerverwaltung> ein Benutzerverwalter für alle Benutzer.> Unbegrenzte Berechtigungen für alle Benutzerverwaltungsaufgaben des Benutzeradministrators

Zentrale Pflege von Rollen und Profilenein administrator übernimmt beide rollen:> Berechtigungsdatenverwalter> Berechtigungsprofilverwalter.

a. Ohne BerechtiGUnGSOBJeKt S_USer_SaS

entwicKlUnG PrOdUKtiV

SzenariO 1 BenUtzeradminiStratOrBerechtiGUnGSdaten-Und BerechtiGUnGS-PrOfilVerwalter

BenUtzerVerwalter

S_USER_GRP

actVt * 03, 08 *

claSS * * *

S_USER_AGR

actVt 03, 22 * 03, 22

act_GrOUP * * *

S_USER_TCD

tcd *

S_USER_VAL

OBJect *

aUth_field *

aUth_ValUe *

S_USER_PRO

actVt 03, 08, 22 * 03, 08, 22

PrOfile * * *

4 Autorisierung (ABAP-Stack)Se

ite 3

8

Page 39: Prüfleitfaden SAP ERP 6.0

entwicKlUnG PrOdUKtiV

SzenariO 1 BenUtzeradminiStratOrBerechtiGUnGSdaten-Und BerechtiGUnGS-PrOfilVerwalter

BenUtzerVerwalter

S_USER_AUT

actVt 03, 08 * 03, 08

OBJect * * *

aUth * * *

Bei aktiver zBV

S_USER_SYS

actVt 03, 78 03, 78

SUBSyStem * *

B. mit aKtiViertem BerechtiGUnGSOBJeKt S_USer_SaS

entwicKlUnG PrOdUKtiV

SzenariO 1 BenUtzeradminiStratOrBerechtiGUnGSdaten-Und BerechtiGUnGS-PrOfilVerwalter

BenUtzerVerwalter

S_USER_GRP

actVt 03, 08

claSS *

S_USER_AGR

actVt *

act_GrOUP *

S_USER_TCD

tcd *

S_USER_VAL

OBJect *

aUth_field *

aUth_ValUe *

Seite

39

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 40: Prüfleitfaden SAP ERP 6.0

entwicKlUnG PrOdUKtiV

SzenariO 1 BenUtzeradminiStratOrBerechtiGUnGSdaten-Und BerechtiGUnGS-PrOfilVerwalter

BenUtzerVerwalter

S_USER_PRO

actVt *

PrOfile *

S_USER_AUT

actVt 03, 08 * 03, 08

OBJect * * *

aUth * * *

Bei aktiver zBV wird zusätzlich das Berechtigungsfeld SUBSyStem gepflegt

S_USER_SAS

actVt 22 22

claSS * *

SUBSyStem * *

act_GrOUP * *

PrOfile * *

4.9.2 SzenariO 2: 6-aUGen PrinziPDezentrale Benutzerverwaltung (Produktivsystem)ein Benutzerverwalter für pro anwendungsbereich (fi, mm),> berechtigt, um eine bestimmte Benutzergruppe zu pflegen,> berechtigt, um eine bestimmte menge von rollen / Profilen zuzuordnen,> keine weiteren einschränkungen auf spezifische Benutzerverwaltungsaufgaben.

Zentrale Pflege von Rollen und Profilentrennung der zuständigkeiten:> Berechtigungsdatenverwalter> Berechtigungsprofilverwalter.Keine weiteren einschränkungen auf spezifische rollen oder Profile.

4 Autorisierung (ABAP-Stack)Se

ite 4

0

Page 41: Prüfleitfaden SAP ERP 6.0

a. Ohne BerechtiGUnGSOBJeKt S_USer_SaS

entwicKlUnG PrOdUKtiV

SzenariO 2BenUtzer-adminiStratOr

Berechti-GUnGSdaten-Verwalter

Berechti-GUnGSPrOfil-Verwalter

fi-BenUtzer-Verwalter

mm-BenUtzer-Verwalter

S_USER_GRP

actVt * 03, 08 03, 08 * *

claSS * * * fi_USer fi_USer

S_USER_AGR

actVt 03, 22 01, 02, 03, 06 03, 64 03, 22 03, 22

act_GrOUP * * * * *

S_USER_TCD

tcd *

S_USER_VAL

OBJect *

aUth_field *

aUth_ValUe *

S_USER_PRO

actVt 03, 08, 22 01, 02, 03, 06, 08 03, 07, 08 03, 08, 22 03, 08, 22

PrOfile * * * fi* mm*

S_USER_AUT

actVt 03, 08 01, 02, 03, 06, 08, 22 03, 07, 08 03, 08 03, 08

OBJect * * * * *

aUth * * * * *

Bei aktiver zBV

S_USER_SYS

actVt 03, 78 03, 78 03, 78

SUBSyStem * * *

Seite

41

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 42: Prüfleitfaden SAP ERP 6.0

B. mit aKtiViertem BerechtiGUnGSOBJeKt S_USer_SaS

entwicKlUnG PrOdUKtiV

SzenariO 2BenUtzer-adminiStratOr

Berechti-GUnGSdaten-Verwalter

Berechti-GUnGSPrOfil-Verwalter

fi-BenUtzer-Verwalter

mm-BenUtzer-Verwalter

S_USER_GRP

actVt 03, 08 03, 08

claSS * *

S_USER_AGR

actVt 01, 02, 03, 06 03, 64

act_GrOUP * *

S_USER_TCD

tcd *

S_USER_VAL

OBJect *

aUth_field *

aUth_ValUe *

S_USER_PRO

actVt 01, 02, 03, 06, 08 03, 07, 08

PrOfile * *

S_USER_AUT

actVt 03, 08 01, 02, 03, 06, 08, 22 03, 07, 08 03, 08 03, 08

OBJect * * * * *

aUth * * * * *

Bei aktiver zBV wird zusätzlich das Berechtigungsfeld SUBSyStem gepflegt

S_USER_SAS

actVt 22 22 22

claSS * fi_USer fi_USer

SUBSyStem * * *

act_GrOUP * fi* mm*

PrOfile * fi* mm*

4 Autorisierung (ABAP-Stack)Se

ite 4

2

Page 43: Prüfleitfaden SAP ERP 6.0

4.9.3 SzenariO 3: 6-aUGen PrinziP,dezentrale BenUtzerVerwaltUnG im PrOdUKtiVSyStemZentrales Anlegen und Löschen für alle BenutzerDezentrale Benutzerverwaltung (Produktivsystem)ein Benutzerverwalter für pro anwendungsbereich (fi, mm),> berechtigt, um eine bestimmte Benutzergruppe zu pflegen,> berechtigt, um eine bestimmte menge von rollen / Profilen zuzuordnen,> berechtigt für nur einige Benutzerverwaltungsaufgaben: ändern, sperren / entsperren, Kennwort zurücksetzen.

Zentrale Pflege von Rollen und Profilentrennung der zuständigkeiten:> Berechtigungsdatenverwalter> Berechtigungsprofilverwalter.Keine weiteren einschränkungen auf spezifische rollen oder Profile.

a. Ohne BerechtiGUnGSOBJeKt S_USer_SaS

entwicKlUnG PrOdUKtiV

SzenariO 3BenUtzer-adminiS-tratOr

Berechti-GUnGS-daten-Verwalter

Berechti-GUnGS-PrOfil-Verwalter

fi-BenUtzer-Verwalter

mm-BenUtzer-Verwalter

zentral-BenUtzer-Verwalter

S_USER_GRP

actVt * 03, 08 03, 08 02, 03, 05, 22 02, 03, 05, 22 01, 03, 06, 08

claSS * * * fi_USer mm_USer *

S_USER_AGR

actVt 03, 22 01, 02, 03, 06 03, 64 03, 22 03, 22 3

act_GrOUP * * * * * *

S_USER_TCD

tcd *

S_USER_VAL

OBJect *

aUth_field *

aUth_ValUe *

Seite

43

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 44: Prüfleitfaden SAP ERP 6.0

entwicKlUnG PrOdUKtiV

SzenariO 3BenUtzer-adminiS-tratOr

Berechti-GUnGS-daten-Verwalter

Berechti-GUnGS-PrOfil-Verwalter

fi-BenUtzer-Verwalter

mm-BenUtzer-Verwalter

zentral-BenUtzer-Verwalter

S_USER_PRO

actVt 03, 08, 2201, 02, 03, 06, 08

03, 07, 08 03, 08, 22 03, 08, 22 03, 08

PrOfile * * * fi* mm*

S_USER_AUT

actVt 03, 0801, 02, 03, 06, 08, 22

03, 07, 08 03, 08 03, 08 03, 08

OBJect * * * * * *

aUth * * * * * *

Bei aktiver zBV

S_USER_SYS

actVt 03, 78 03, 78 03, 78 03, 78

SUBSyStem * * * *

B. Ohne BerechtiGUnGSOBJeKt S_USer_SaS

entwicKlUnG PrOdUKtiV

SzenariO 3BenUtzer-adminiS-tratOr

Berechti-GUnGS-daten-Verwalter

Berechti-GUnGS-PrOfil-Verwalter

fi-BenUtzer-Verwalter

mm-BenUtzer-Verwalter

zentral-BenUtzer-Verwalter

S_USER_GRP

actVt 03, 08 03, 08

claSS * *

S_USER_AGR

actVt 01, 02, 03, 06 03, 64

act_GrOUP * *

S_USER_TCD

tcd *

4 Autorisierung (ABAP-Stack)Se

ite 4

4

Page 45: Prüfleitfaden SAP ERP 6.0

entwicKlUnG PrOdUKtiV

SzenariO 3BenUtzer-adminiS-tratOr

Berechti-GUnGS-daten-Verwalter

Berechti-GUnGS-PrOfil-Verwalter

fi-BenUtzer-Verwalter

mm-BenUtzer-Verwalter

zentral-BenUtzer-Verwalter

S_USER_VAL

OBJect *

aUth_field *

aUth_ValUe *

S_USER_PRO

actVt01, 02, 03, 06, 08

03, 07, 08

PrOfile * *

S_USER_AUT

actVt 03, 0801, 02, 03, 06, 08, 22

03, 07, 08 03, 08 03, 08 03, 08

OBJect * * * * * *

aUth * * * * * *

Bei aktiver zBV wird zusätzlich das Berechtigungsfeld SUBSyStem gepflegt

S_USER_SAS

actVt 22 22 22 22

claSS * fi_USer mm_USer *

SUBSyStem * * * *

act_GrOUP * fi* mm* *

PrOfile * fi* mm* *

Seite

45

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 46: Prüfleitfaden SAP ERP 6.0

4.10 PrüfPrOGramm: BerechtiGUnGen für die BenUtzer- Und BerechtiGUnGSVerwaltUnG

nr. BerechtiGUnGSVerwaltUnG: BenUtzer

1.

Das Objekt Benutzerstammpflege, Benutzergruppen S_USER_GRP legt die Benutzergruppen und die zulässigen aktivitäten fest, für die ein Benutzerverwalter berechtigt ist. damit können Benutzer angelegt, gepflegt, ge- und entsperrt werden, insbesondere auch das Kennwort eines Benutzers geändert werden.es kann benutzt werden, um bei einer dezentralisierten Verwaltung einem Benutzeradministrator nur die Verwaltung einer bestimmten Benutzergruppe zu ermöglichen.

1.1

wer kann Benutzer anlegen?report rSUSr002 mit den eingaben:S_tcOde = SU01S_USer_GrP (Benutzergruppen) mit aktivität „*“ oder 01 (anlegen) und Gruppe = „*“ oder = Gruppen-namen.

1.2

wer kann Benutzereigenschaften ändern (außer den zugriffsrechten)?report rSUSr002 mit den eingaben:S_tcOde = SU01S_USer_GrP (Benutzergruppen) mit aktivität „*“ oder 02 (ändern) und Gruppe = „*“ oder = Gruppennamen.

1.3

wer kann Benutzer sperren oder löschen?report rSUSr002 mit den eingaben:S_tcOde = SU01S_USer_GrP (Benutzerverwaltung) mit aktivität „*“ oder 05 (Sperren) oder 06 (löschen) und Gruppe = „*“ oder = Gruppennamen.

2.Das Objekt Benutzerstammpflege, System für die zentrale Benutzerpflege S_USER_SYS legt fest, auf welches System ein Benutzerverwalter aus der zentralen Benutzerverwaltung mit welchen zulässigen aktivitäten zugreifen kann.

2.1

wer kann aus der zentralen Benutzerverwaltung Benutzer ändern? report rSUSr002 mit den eingaben:S_tcOde = SU01 oder PfcGS_USer_SyS (Benutzerpflege) mit aktivität „*“ oder 02 (ändern) und SUBSyStem = „*“ oder = „logisches System“.

4 Autorisierung (ABAP-Stack)Se

ite 4

6

Page 47: Prüfleitfaden SAP ERP 6.0

nr. BerechtiGUnGSVerwaltUnG: rOllen

3.

Das Objekt Berechtigungswesen, Prüfung für Rollen S_USR_AGRlegt die rollennamen und die zulässigen aktivitäten fest, für die ein Berechtigungsverwalter berechtigt ist. damit können rollen angelegt und gepflegt werden.es kann benutzt werden, um bei einer dezentralisierten administration einem Berechtigungsver-walter nur zugriff auf bestimmte rollen zugeben, z. B. für ein modul oder eine Organisationseinheit.

3.1

wer kann rollen anlegen (ohne Berechtigungswerte)?report rSUSr002 mit den eingaben:S_tcOde = PfcGS_USer_aGr (rollen verwalten) mit aktivität „*“, 01 (anlegen) und rolle = „*“ oder = rollennamen

3.2

wer kann rollen ändern (ohne Berechtigungswerte)?report rSUSr002 mit den eingaben:S_tcOde = PfcGS_USer_aGr (rollen verwalten) mit aktivität „*“ oder 02 (ändern) und rolle = „*“ oder = rollennamen

4.

Das Objekt Berechtigungswesen, Transaktionen in Rollen S_USR_TCDlegt fest, welche transaktionen ein Berechtigungsverwalter in eine rolle aufnehmen darf.es kann benutzt werden, um einem Berechtigungsverwalter nur die aufnahme bestimmter transaktionen in rollen zu erlauben und damit die Vergabe kritischer transaktionen zu verhindern.

4.1

wer ist für S_USer_aGr berechtigt und kann transaktionen anlegen (ohne Berechtigungswerte)?report rSUSr002 mit den eingaben:S_tcOde = PfcGS_USer_aGr (rollen verwalten) mit aktivität „*“ oder 01 (anlegen) oder 02 (ändern) und rolle = „*“ oder = rollennamen.S_USer_tcd (transaktionen in rollen) mit transaktionscode „*“ oder = transaktionsname

5.

Das Objekt Berechtigungswesen, Feldwerte für Rollen S_USR_VALlegt fest, für welche Berechtigungsobjekte und für welche felder ein Berechtigungsverwalter welche feldwerte in eine rolle eintragen darf.es kann benutzt werden, um einem Berechtigungsverwalter nur die Vergabe bestimmter Berechtigungen in rollen zu erlauben und damit die Vergabe kritischer Berechtigungen in rollen zu verhindern.

5.1

wer kann rollen mit allen Berechtigungswerten ändern?report rSUSr002 mit den eingaben:S_tcOde = PfcGS_USer_aGr (rollen verwalten) mit aktivität „*“ oder 01 (anlegen), 02 (ändern) und rolle = „*“ oder = rollennamenS_USer_Val (Objektverwendung in rollen) mit „*“ in allen feldern

Seite

47

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 48: Prüfleitfaden SAP ERP 6.0

nr. BerechtiGUnGSVerwaltUnG: PrOfile Und BerechtiGUnGen

6.

Das Objekt Benutzerstammpflege, Berechtigungsprofil S_USR_PRO legt die Profilnamen sowie die zulässigen aktivitäten fest, für die ein Berechtigungsverwalter berechtigt ist.es kann benutzt werden, um bei einer dezentralisierten Benutzerverwaltung einem Benutzerver-walter nur die zuordnung bestimmter Profile zu ermöglichen, z. B. für ein modul oder eine Organi-sationseinheit.

6.1

wer kann Profile anlegen?report rSUSr002 mit den eingaben:S_tcOde = SU02S_USer_PrO (Profile verwalten) mit aktivität „*“ oder 01 (anlegen) und Profil = „*“ oder = Profilnamen.

6.2

wer kann Profile ändern?report rSUSr002 mit den eingaben:S_tcOde = SU02S_USer_PrO (Profile verwalten) mit aktivität „*“ oder 02 (ändern) und Profil = „*“ oder = Profilnamen

7.

Das Objekt Benutzerstammpflege, Berechtigungen S_USR_AUT legt die Berechtigungs-objektnamen und die Berechtigungsnamen sowie die zulässigen aktivitäten fest, für die ein Berechtigungsverwalter berechtigt ist.es kann benutzt werden, um bei einer dezentralisierten Benutzerverwaltung einem Berechti-gungsverwalter nur die erstellung bestimmter Berechtigungen in Profilen zu erlauben und damit die erstellung kritischer Berechtigungen in Profilen zu verhindern.

nr. BerechtiGUnGSVerwaltUnG: rOllen den BenUtzern zUOrdnen

8.1

wer kann rollen Benutzern zuordnen?report rSUSr002 mit den eingaben:S_tcOde = PfcGS_USer_aGr (rollen verwalten) mit aktivität „*“ oder 02 (ändern) und 22 (zuordnen) und rolle = „*“ oder = rollennamenS_USer_GrP (Benutzerverwaltung) mit aktivität „*“ oder 22 (zuordnen) und Gruppe = „*“ oder = Gruppennamen.

8.2

wer kann Benutzern Profile zuordnen und entziehen?report rSUSr002 mit den eingaben:S_tcOde = SU01 oder PfcGS_USer_GrP (Benutzerverwaltung) mit aktivität „*“ oder 02 (ändern) und Gruppe = „*“ oder = GruppennamenS_USer_PrO (Profile verwalten) mit aktivität“*“ oder 22 (zuordnen) und Profil = „*“ oder = Profilnamen.

8.3

wer kann Benutzern rollen oder Profile zuordnen und entziehen?report rSUSr002 mit den eingaben:S_tcOde = SU01S_USer_GrP (Benutzerverwaltung) mit aktivität „*“ oder 02 (ändern) und aktivität 22 (zuordnen) und Gruppe = „*“ oder = GruppennamenS_USer_PrO (Profile verwalten) mit aktivität „*“ oder 22 (zuordnen) und Profil = „*“ oder = ProfilnamenS_USer_aGr (rollen verwalten) mit aktivität „*“ oder 22 (zuordnen) und rolle = „*“ oder = rollennamen.

4 Autorisierung (ABAP-Stack)Se

ite 4

8

Page 49: Prüfleitfaden SAP ERP 6.0

4.11 PrüfPrOGramm: SicherheitSmechaniSmen zUr aKtiVierUnG der PrüfUnG VOn BerechtiGUnGen

nr. BerechtiGUnGSVerwaltUnG: BenUtzer

1.1

Berechtigungsverwaltung: wer kann Berechtigungsobjekte deaktivieren?report rSUSr002 mit den eingaben:S_tcOde = aUth_Switch_OBJectSS_USer_OBJ (Objekte verwalten) mit aktivität 02 (ändern) und 07 (aktivieren) und Objekt = „*“ oder = „Objektnamen“.diese Berechtigung ist restriktiv an Systemadministratoren zu vergeben. das deaktivieren von Berechtigungsobjekten muss freigegeben und dokumentiert werden.hinweis: mit der transaktion aUth_ Switch_ OBJectS können Berechtigungsobjekte global ausgeschaltet werden. > für ausgeschaltete Berechtigungsobjekte fügt der Profilgenerator keine Berechtigungen in die generierten Profile ein.> Beim wiedereinschalten eines Objektes müssen daher eventuell eine große anzahl von rollen bzw. Profilen bearbeitet werden. das abschalten von Objekten wird auch aus diesem Grund nicht empfohlen.> Berechtigungsobjekte, die mit S_ und P_ beginnen (Bereiche Basis und hr), lassen sich grundsätzlich nicht global ausschalten. > ein überblick über global ausgeschaltete Objekte kann mit der transaktion aUth_diSPlay_ OBJectS angezeigt werden.> im anwendungsprotokoll (transaktion SlG1) wird unter dem Objektnamen PrGn_lOG_OBJ das globale ein- und ausschalten von Objekten protokolliert.

1.2

ist der Profilgenerator aktiviert?aiS: System audit – top ten Security reports – Profilparameter anzeigen (auth / *)aiS: System audit – System Konfiguration – Parameter – Systemparameter, übersicht mit historieSeit Version 4.6c ist der Profilparameter auth / no_check_in_some_cases auf den wert y (defaultwert) gesetzt.

1.3

wer kann die Prüfkennzeichen und Vorschlagswerte des Profilgenerators pflegen?report rSUSr002 mit den eingaben:S_tcOde = SU24S_deVelOP (anwendungsentwicklung) mit aktivität 02 (ändern) und Objekttypen > SUSK (zuordnung transaktion zu Berechtigungsobjekt im Kundenstamm, USOBX_c und U-SOBt_c)> SUSt (zuordnung transaktion zu Berechtigungsobjekt in SaP-Systemen, USOBX und USOBtund Objektname = „*“ (alle transaktionen) oder = „name einer transaktion, die zu bearbeiten ist“.diese Berechtigung ist restriktiv an Systemadministratoren zu vergeben. die Pflege der Prüfkenn-zeichen und Vorschlagswerte des Profilgenerators muss freigegeben und dokumentiert werden.

1.4

werden indirekte transaktionsaufrufe einer Berechtigungsprüfung unterzogen?ist in der tabelle tcdcOUPleS im feld OKflaG bei den aufgeführten transaktionspaaren ein „X“ gesetzt?hinweis: wird eine transaktion indirekt, d. h. von einer anderen transaktion aufgerufen, so wird keine Berechtigungsprüfung vorgenommen. So werden z. B. Berechtigungen nicht geprüft, wenn eine transaktion eine andere mit der anweisung call tranSactiOn aufruft (SaP-hinweis 358 122).

Seite

49

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 50: Prüfleitfaden SAP ERP 6.0

5 Systemintegrität auf der Anwendungsebene5.1 GewährleiSten der inteGrität VOn SyStem Und datendie vom hersteller SaP vorgesehenen Kontrollen müssen zweckentsprechend aktiviert werden, um die System- und datenintegrität im Produktivsystem zu gewährleisten und um die gesetzliche anforderungen an die nachvollziehbarkeit zu erfüllen. technische möglichkeiten zur Umgehung des aktivierten Kontroll-systems sind durch zusätzliche Schutzmaßnahmen auszuschließen.

5.2 riSiKendie risiken entstehen dadurch, dass die Standardinstallation eines SaP-Systems unverändert als Produktivsystem genutzt wird. in der Standardinstallation sind aber kritische funktionen nicht angemessen konfiguriert, die den unternehmensindividuellen und gesetzlichen anforderungen an Sicherheit und Ordnungsmäßigkeit genügen müssen.> im Produktivsystem können nicht autorisierte und nicht nachvollziehbare änderungen an Programmen, tabellen und daten vorgenommen werden.> im Produktivsystem werden bei der Konfiguration eines neuen Unternehmens (mandant) Sicherheits- lücken geöffnet.> Softwareentwickler können auf dem Produktivsystem die Vorgaben eines geordneten entwicklungs-, test- und freigabeverfahrens unterlaufen.> änderungen an tabellen mit Parametern für die Steuerung der Geschäftsabläufe und an den system- intern geführten Belegen sind nicht nachvollziehbar.> erfasste Buchungen werden vom SaP-System zwar bestätigt, werden aber aufgrund eines technischen Problems nur zwischengespeichert, ohne im Buchungswerk registriert zu werden. > nicht autorisierte zugriffe auf Systemeinstellungen sind möglich, die interne Kontrollen für Geschäfts- abläufe oder sicherheitskritische systemtechnische abläufe steuern.> die eingerichtete systemübergreifende Kommunikation lässt nicht autorisierte zugriffe von unsicheren Systemen zu.> Vorhandene Berechtigungsprüfungen werden deaktiviert und damit das zugriffskontrollsystem unterlaufen.> nicht autorisierte eingriffe in automatisierte Buchungsabläufe sind möglich.> Sicherheitsrelevante Systemereignisse werden nicht protokolliert und überwacht. angriffe oder Sicher- heitsverletzungen werden nicht erkannt und verfolgt.

5.3 KOntrOllziele> die Software des Produktivsystems kann nur über den dazu vorgesehenen Software-change-management- Prozess geändert werden. die mögliche Umgehung der dazu vorgesehenen abläufe und Kontrollen ist mit der von SaP vorgesehenen spezifischen Konfiguration des Produktivsystems zum Schutz gegen änderungen verhindert.> Bei der anlage eines neuen produktiven mandanten wird diejenige Konfiguration gewählt, die die mit der neuanlage verbundenen risiken für informationssicherheit und Ordnungsmäßigkeit ausschließt.> der vorgesehene Prozess für das Software-change-management ist mittels der von SaP vorgesehenen Systemeinstellungen – auch auf dem Produktivsystem – konsequent und sicher konfiguriert.> die gesetzlichen und unternehmensinternen anforderungen an die nachvollziehbarkeit von änderungen an der ablauflogik von Geschäftsprozessen und an systemintern geführten Geschäftsbelegen werden durch die zweckentsprechende Konfiguration systeminterner Verfahren zur automatischen Protokollierung und archivierung umgesetzt.

Seite

50

Page 51: Prüfleitfaden SAP ERP 6.0

> die von SaP vorgesehenen Kontroll- und abstimmverfahren sind als Prozesse definiert und implementiert, um die vollständige und sichere Verarbeitung des Buchungsstoffs und der geschäftlichen Belege zu gewährleisten.> die sicherheitskritischen Systemeinstellungen und Basisberechtigungen sind identifiziert und zum Schutz der Systemintegrität des Produktivsystems restriktiv gesetzt und kontrolliert vergeben.> weitere und besondere Systemeinstellungen und Basisberechtigungen sind identifiziert und korrekt gesetzt, die den gesetzlichen anforderungen (corporate Governance, compliance) genügen müssen, insbesondere die Ordnungsmäßigkeit der rechnungslegung gewährleisten.> der zugriff von anderen Systemen auf das Produktivsystem ist so konfiguriert, dass die anforderungen an die it-Sicherheit erfüllt sind.> die Systemeinstellungen und Berechtigungen zur Steuerung und Verwaltung der produktiven Jobs sind so konfiguriert, dass die ordnungsmäßige Verbuchung des Buchungsstoffes, die daten- und System- integrität gewährleistet sind und die funktionstrennung zwischen Systemadministration und Benutzern eingehalten ist.> Sicherheitsrelevante ereignisse werden überwacht und verfolgt.

5.4 PrüfPrOGramm: SyStemeinStellUnGen zUm SchUtz deS PrOdUKtiVSyStemS GeGen änderUnGen

nr. SyStemeinStellUnGen zUm SchUtz deS PrOdUKtiVSyStemS GeGen änderUnGen

1.

Kontrollziel: Im Produktivsystem sind grundsätzlich keine Änderungen an Entwicklungs-objekten zugelassen. Das SAP-System ist so konfiguriert, dass Änderungen an Entwick-lungsobjekten im Produktivsystem nur für Notfallbenutzer möglich sind.Risiko: im Produktivsystem ist es möglich, die Software zu warten, ohne dass die änderungen protokolliert werden. interne Kontrollen des Prozesses Software-change-management können umgangen werden. änderungen sind im SaP-System nicht mehr nachvollziehbar.

SYSTEMÄNDERBARKEIT

1.1H

ist das Produktivsystem gegen Softwareentwicklung gesperrt?report rSwBO004: die globale einstellung muss auf „nicht änderbar“ stehen.hinweis: auch für integrations-, test- und Qualitätssicherungssysteme muss die globale einstellung auf „nicht änderbar“ gesetzt sein.SOS: System change Option not appropriately configured in the Production System (0301)

1.2H

wer darf die Systemänderbarkeit ändern?report rSUSr002 mit den eingaben:S_tcOde = Se06 oder Sa38 oder Se38S_ctS_admi (administrationsfunktion im ctO) mit funktion SySc (Systemänderbarkeit). diese Berechtigung ist nur an notfalluser oder restriktiv an die Systemadministration zu vergeben.SOS: Users – Other than the System administrators – are authorized to change the System change Option (0303)

1.3

wann wurde die Systemänderbarkeit im Produktivsystem aufgehoben?report rSwBO095, auswahl „Systemänderbarkeit“, Schaltfläche „ausführen“, dann Schaltfläche „alles expandieren“.die Systemänderbarkeit darf nur für kurze zeit aufgelassen werden. die anlässe sind zu dokumentieren.

Seite

51

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 52: Prüfleitfaden SAP ERP 6.0

nr. SyStemeinStellUnGen zUm SchUtz deS PrOdUKtiVSyStemS GeGen änderUnGen

MANDANTENÄNDERBARKEIT

2.1H

ist der Produktivmandant gegen customizing gesperrt?aiS: Organisatorische übersicht – Org. Struktur – mandant, anzeigen, doppelklick auf den Produktivmandantfür den Produktivmandanten prüfen, ob unter „änderungen und transporte für mandantenab-hängige Objekte“ der Punkt „Keine änderungen erlaubt“ aktiviert ist.customizing ist im Produktivmandanten nicht zulässig.SOS: client change Option not appropriately configured (0302)

2.2

ist der Produktivmandant durch weitere generelle einstellungen gegen änderungen, Kopieren oder testen geschützt?aiS: Organisatorische übersicht – Org. Struktur – mandant, anzeigen, doppelklick auf den Produktivmandantfür den Produktivmandanten die folgenden eintragungen prüfen, > ob unter „änderungen an mandantenübergreifenden Objekten“ der Punkt „Keine änderungen von repository- und mandantenunabhängige cust.-Obj“ aktiviert ist,> ob unter „Schutz bzgl. mandantenkopierer und Vergleichstool der Punkt „Schutzstufe 1: kein überschreiben“ oder „Schutzstufe 2: kein überschreiben, keine ext. Verfügbarkeit“ aktiviert ist,> ob unter „einschränkungen beim Starten von catt und ecatt“ der Punkt „ecatt und catt nicht erlaubt“ aktiviert ist.diese einstellungen sind empfehlungen.

2.3H

wer darf die mandantenänderbarkeit (tabelle t000) ändern?report rSUSr002 mit den eingaben:S_tcOde = Scc4 oder Sm30 oder Sm31S_admi_fcd (Systemberechtigung) mit funktion t000 (anlegen neuer mandanten)S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe SS (System- tabellen)S_taBU_cli (tabellenpflege mandantenunabhängiger tabellen) mit Kennzeichen X (ändern mandantenunabhängiger tabellen)diese Prüfung muss in allen mandanten des Produktivsystems erfolgen. diese Berechtigung ist nur an notfalluser oder restriktiv an die Systemadministration zu vergeben.SOS: Users – Other than the System administrators – are authorized to change the client change Option (0304)

2.4H

werden tabellenänderungen im Produktivmandanten protokolliert?aiS: System audit – top ten Security reports – Profilparameter anzeigenaiS: System audit – System Konfiguration – Parameter – Systemparameter, übersicht mit historieSelektion auf rec / client: ist der eintrag auf „all“ gesetzt oder sind alle mandanten des Produktivsystems gelistet?alle manuellen änderungen an tabellen sind im Produktivmandanten zu protokollieren.

5 Systemintegrität auf der AnwendungsebeneSe

ite 5

2

Page 53: Prüfleitfaden SAP ERP 6.0

nr. SyStemeinStellUnGen zUm SchUtz deS PrOdUKtiVSyStemS GeGen änderUnGen

2.5H

werden änderungen an der tabelle t000 protokolliert?aiS: System audit – repository / tabellen - tabellenaufzeichnungen – technische tabellenein-stellungen, letzte zeile in der anzeige zur tabelle t000.diese Voraussetzung für die zwangsprotokollierung muss erfüllt sein.

2.6

wann wurde die mandanten-änderbarkeit im Produktivsystem aktiviert?aiS: System audit – repository / tabellen - tabellenaufzeichnungen – auswertung tabellenhistorie (rStBPrOt / rSVtPrOt) mit Selektion auf tabelle t000 und Selektion des zeitraums.wurden die änderungen an der mandanten-änderbarkeit dokumentiert?

2.7

wer hat welche mandanten zuletzt geändert?aiS: System audit – repository / tabellen - tabellenaufzeichnungen – auswertung tabellenhistorie (rStBPrOt / rSVtPrOt) mit Selektion auf tabelle t000 und Selektion des zeitraums.auswertung nach mandant, Benutzer, datum und Uhrzeit.wurden die änderungen dokumentiert?

2.8

wer besitzt uneingeschränkte zugriffsrechte zum customizing im Produktivmandanten?report rSUSr002 mit den eingaben:S_tcOde = Sm30S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe „*“ (alle tabellen).customizing ist im Produktivmandanten nicht zulässig.

5.5 PrüfPrOGramm: SyStemeinStellUnGen zUm SchUtz der mandantennr. SyStemeinStellUnGen zUm SchUtz der mandanten

1.

Kontrollziel: Anlegen und Ändern eines Mandanten im Produktivsystem erfolgt autorisiert und dokumentiert. Die Systemintegrität des Produktivsystems und der Informationsschutz der kopierten Daten bleibt dabei gewahrtRisiko: Verlust der integrität von System und daten, Verlust der Vertraulichkeit: mit jedem neu angelegten mandanten lebt der Superuser SaP* mit seinen umfassenden, auch mandantenüber-greifenden rechten und dem vergebenen Standardpasswort auf. mandantenübergreifende tabellen können geändert werden. das Kontrollsystem eines anderen, produktiven mandanten kann damit ausgehebelt und unterlaufen werden.

1.1

welche mandanten existieren im Produktivsystem?aiS: System audit – Systemkonfiguration – mandanten – mandantenübersichtaiS: Organisatorische übersicht – Org. Struktur – mandant, anzeigen, jeweils doppelklick auf die mandantennur aktive und benötigte mandanten dürfen im Produktivsystem existieren.

1.2

welche Benutzer existieren in den mandanten 000 und 066?tabelle USr02 in den beiden mandantenreport rSUVm005, mandanten angebendie SaP Sonderbenutzer müssen geänderte Standardkennworte haben (test mit report rSUSr003). der Parameter login / no_automatic_user _sapstar muss auf 1 gesetzt sein (test mit report rSPfPar). im mandant 000 dürfen zusätzliche administratorkennungen vergeben sein.

Seite

53

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 54: Prüfleitfaden SAP ERP 6.0

nr. SyStemeinStellUnGen zUm SchUtz der mandanten

1.3

wer darf mandanten anlegen oder ändern? wer hat die Pflegeberechtigung für die tabelle t000?report rSUSr002 mit den eingaben:S_tcOde = Scc4 oder Sm30 oder Sm31S_admi_fcd (Systemberechtigung) mit funktion t000 (anlegen neuer mandanten)S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe SS (Systemta-bellen)S_taBU_cli (tabellenpflege mandantenunabhängiger tabellen) mit Kennzeichen X (ändern mandantenunabhängiger tabellen)diese Berechtigung ist im Produktivsystem nur für notfallbenutzer zulässig.SOS: Users – Other than the System administrators – are authorized to create new clients (0305)SOS: Users – Other than the System administrators – are authorized to change the client change Option (0304)

2

Kontrollziel: Kopieren eines Mandanten im Produktivsystem erfolgt autorisiert und doku-mentiert. Risiko: Verlust der integrität von System und daten, Verlust der Vertraulichkeit: über die technische möglichkeit, eine mandantenkopie zu erstellen, können sensitive Produktivdaten kopiert und ohne den Schutz des Kontrollsystems des ursprünglichen mandanten eingesehen werden.

2.1 welche daten wurden zu welchem zeitpunkt aus dem Produktivmandanten herauskopiert?aiS: System audit – Systemkonfiguration – mandanten – mandantenkopie Protokoll

2.2

wer darf mandanten kopieren? (lokale Kopien ohne Benutzerstämme und Profile)report rSUSr002 mit den eingaben:S_tcOde = Sccl oder Scc9 S_admi_fcd (Systemberechtigung) mit funktion t000 (anlegen neuer mandanten)S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe „*“ (alle tabellen)S_taBU_cli (tabellenpflege mandantenunabhängiger tabellen) mit Kennzeichen X (ändern mandantenunabhängiger tabellen)S_dataSet (Berechtigung zum dateizugriff) mit „*“ in allen feldern (Programmname, aktivität und dateiname)S_clnt_imP (dateiimport bei mandantenkopie) mit aktivität 60 (importieren)diese Berechtigung ist restriktiv nur an Systemadministratoren zu vergeben.

2.3

wer darf mandanten kopieren? (Remote-Kopien ohne Benutzerstämme und Profile)zu den obigen Berechtigungen kommen noch die folgenden dazu:report rSUSr002 mit den eingaben:S_ctS_admi (administrationsfunktion im workbench Organizer) mit funktion imPS (importieren einzelner transportaufträge)S_tranSPrt (change and transport Organizer) mit aktivität 01 (anlegen) und 43 (freigeben) und 60 (importieren) und auftragstyp clcP (mandantentransporte)diese Berechtigung ist restriktiv nur an Systemadministratoren zu vergeben.

5 Systemintegrität auf der AnwendungsebeneSe

ite 5

4

Page 55: Prüfleitfaden SAP ERP 6.0

nr. SyStemeinStellUnGen zUm SchUtz der mandanten

2.4

wer darf mandanten kopieren? (Kopien mit Benutzerstammsätzen und Profilen)zu den obigen Berechtigungen kommen noch die folgenden dazu:report rSUSr002 mit den eingaben:S_USer_GrP (Benutzerverwaltung)mit aktivität 01 (anlegen) oder 02 (ändern) oder 06 (löschen) und Gruppe = „*“ (alle Gruppen)S_USer_PrO (Profilverwaltung)mit aktivität 01 (anlegen) oder 02 (ändern) oder 06 (löschen) und Profile = „*“ (alle Profile)S_USer_aUt (Berechtigungsverwaltung)mit aktivität 01 (anlegen) oder 02 (ändern) oder 06 (löschen) und Objekte = „*“ (alle Objekte) und Berechtigungen = „*“ (alle Berechtigungen)diese Berechtigung ist restriktiv nur an Systemadministratoren zu vergeben.

5.6 PrüfPrOGramm: nachVOllziehBarKeit VOn änderUnGen an taBellen im PrOdUKtiVSyStem

nr. nachVOllziehBarKeit VOn änderUnGen an taBellen im PrOdUKtiVSyStem

1.

Kontrollziel: Das Verwalten der Tabellen muss Anforderungen an die IT-Sicherheit genügen. Änderungen an Tabelleninhalten mit steuernden Funktionen unterliegen den Nachweis- und Aufbewahrungspflichten der ordnungsmäßigen Buchführung gemäß den deutschen Rechnungslegungsvorschriften (AGB, AO).Risiko: > anwendungsübergreifende oder anwendungsspezifische Parameter in tabellen werden unbefugt oder aus Unkenntnis falsch eingestellt. fehleinstellungen gefährden die daten- und System- integrität. > nachweispflichtige änderungen werden nicht automatisch protokolliert.> Protokollierte änderungen werden nicht gemäß den gesetzlich geforderten aufbewahrungs- pflichten archiviert. automatisch generierte änderungsbelege können unbefugt ohne archivie- rung gelöscht werden.

1.1H

ist die tabellenprotokollierung im Produktivsystem für alle mandanten aktiviert?aiS: System audit – repository / tabellen – tabellenaufzeichnungen – Systemparameterder Parameter rec / client muss auf „all“ gesetzt sein, d. h. die Protokollierung für alle mandanten des Systems aktiviert sein.SOS: table logging is not enabled Sufficiently (0316)

1.2H

werden tabellenänderungen protokolliert, die durch transporte ins Produktivsystem eingespielt wurden?report rStmStPP, im feld „System“ den namen des Produktivsystems eintragen.für das Produktivsystem ist der Parameter des transport management Systems recclient auf „all“ gesetzt.

Seite

55

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 56: Prüfleitfaden SAP ERP 6.0

nr. nachVOllziehBarKeit VOn änderUnGen an taBellen im PrOdUKtiVSyStem

1.3H

wer darf den eintrag für die Protokollierung bei tabellen setzen oder zurücknehmen?report rSUSr002 mit den eingaben:S_tcOde = Se11 oder Se13S_deVelOP mit aktivität 02 (ändern) und Objekttyp taBt.dieses zugriffsrecht ist im Produktivsystem nur für notfallbenutzer zulässig.SOS: Users are authorized to modify the table logging flag for tables

1.4

werden unternehmenseigene tabellen protokolliert, die z. B. das Buchungswerk oder die Steuerung des Buchungswerkes betreffen?tabelle dd09l mit den einträgen y* und z* im feld tabellenname und Selektion „=“<leer> im feld Protokoll (alle tabellen mit keinem eintrag im feld Protokoll).Unternehmenseigene tabellen mit relevanz für die externe rechnungslegung müssen ebenfalls zwangsprotokolliert werden.

1.5

wer darf tabellenänderungsprotokolle löschen?Risiko: das SaP-System stellt eine funktion bereit, die tabellenänderungsprotokolle löscht. dieses löschen ist mandantenübergreifend wirksam. wenn die tabellenänderungsprotokolle nicht zusätzlich über das archivierungsobjekt Bc_dBlOGS archiviert worden sind, ist die nachvollziehbarkeit nicht mehr gewährleistet.Hinweis: das löschen erfolgt mit dem report rStBPdel. er kann manuell über die transaktion Sa38 aufgerufen werden. abrufbar ist er auch über den report rStBhiSt. ausgeführt wird er auch mittels der transaktion ScU3 über den Pfad Bearbeiten – Protokolle – löschen.es ist zu prüfen, welche Benutzer die tabelle dBtaBlOG ändern dürfen. Sie ist standardmäßig der Berechtigungsgruppe Sa zugeordnet.report rSUSr002 mit den eingaben:S_tcOde = Sa38 oder Se38S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe Sa (rS: anwendungstabelle)S_taBU_cli (tabellenpflege mandantenunabhängiger tabellen) mit Kennzeichen X(ändern mandantenunabhängiger tabellen).dieses zugriffsrecht ist im Produktivsystem nur für notfallbenutzer zulässig.

2.

Kontrollziel: Änderungen an Belegobjekten werden autorisiert durchgeführt. Änderungs-belege, die als Nachweise für die ordnungsmäßige Buchführung dienen, werden gemäß den gesetzlich erforderlichen Aufbewahrungsfristen archiviert.Risiko: für einzelne Belegobjekte wird die automatische zwangsprotokollierung ausgesetzt. dadurch werden die gesetzlich erforderlichen änderungsnachweise nicht mehr erzeugt. änderungsbelege werden vor der vorgesehenen frist für die archivierung gelöscht.

2.1

wer darf Objekte von änderungsbelegen verwalten?Risiko: das Protokollieren von änderungen kann vorsätzlich ausgesetzt werden, indem einträge zu definierten änderungsbelegobjekte geändert werden.report rSUSr002 mit den eingaben:S_tcOde = ScdOS_Scd0 (änderungsbelege) mit aktivität 12 (Pflegen)änderungsbelegobjekte des SaP-Systems (auslieferungsstand) dürfen nicht geändert werden.

5 Systemintegrität auf der AnwendungsebeneSe

ite 5

6

Page 57: Prüfleitfaden SAP ERP 6.0

nr. nachVOllziehBarKeit VOn änderUnGen an taBellen im PrOdUKtiVSyStem

2.2H

wurden Standard SaP änderungsbelegobjekte geändert?report rSScd100, Selektion im feld „Objektklasse“ auf das änderungsbelegobjekt aendBeleG.änderungsbelegobjekte des SaP-Systems (auslieferungsstand) dürfen nicht geändert werden.

2.3H

wer darf änderungsbelege löschen?Risiko: das SaP-System stellt den report rScdOK99 bereit, mit der änderungsbelege gelöscht werden können. wenn diese änderungsbelege nicht zusätzlich archiviert worden sind, ist die nachvollziehbarkeit nicht mehr gewährleistet.report rSUSr002 mit den eingaben:S_tcOde = Sa38 oder Se38S_Scd0 (änderungsbelege) mit aktivität 06 (löschen)dieses zugriffsrecht ist im Produktivsystem nur für notfallbenutzer zu vergeben.

2.4H

wer darf daten ohne archivierung löschen?Risiko: zur archivierung vorgesehene daten können gelöscht werden, bevor sie archiviert worden sind.report rSUSr002 mit den eingaben:S_admi_fcd (Systemberechtigungen) mit wert rSetdieses zugriffsrecht darf im Produktivsystem nicht vergeben oder nur für notfallbenutzer zugelassen sein.

3.

Kontrollziel: Generelle Berechtigungen für Tabellen sind nicht oder sehr restriktiv vergeben.Risiko: Benutzer erhalten entgegen den beiden Vergabeprinzipien „Geringster Berechtigungsum-fang“ und „funktionstrennung“ universelle Berechtigungen, tabellen zu ändern. manipulation an dem regelwerk der Buchhaltung und an buchhaltungsrelevanten daten wird dadurch ermöglicht.

3.1H

wer darf alle mandantenabhängigen tabellen ändern?Risiko: nicht autorisierte Benutzer können tabellen ändern, deren inhalte rechnungslegungsrele-vant sind.report rSUSr002 mit den eingaben: S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe „*“ (alle tabellen).dieses universelle tabellenänderungsrecht ist im Produktivsystem nur an notfallbenutzer zu vergeben.SOS: Users are authorized to maintain all tables (0514)

3.2H

wer darf alle mandantenunabhängigen tabellen ändern?Risiko: Benutzer können Systemeinstellungen ändern, die das SaP interne Kontrollsystem betreffen, z. B. mandanten für tabellenänderungen freischalten.report rSUSr002 mit den eingaben:S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe „*“ (alle tabellen)S_taBU_cli (tabellenpflege mandantenunabhängiger tabellen) mit Kennzeichen X (ändern mandantenunabhängiger tabellen)diese Berechtigung darf im Produktivsystem nur an die Systemadministration vergeben werden.SOS: Users are authorized to Perform customizing in the Production System (0309)

Seite

57

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 58: Prüfleitfaden SAP ERP 6.0

nr. nachVOllziehBarKeit VOn änderUnGen an taBellen im PrOdUKtiVSyStem

3.3

welche Benutzer haben ändernden zugriff auf die tabellenberechtigungsgruppe &nc&. Risiko: hiermit wird der änderungszugriff auf eine große anzahl tabellen ermöglicht, bei SaP enterprise, ca. 15.000, darunter 3.000 tabellen, die manuell änderbar sind.report rSUSr002 mit den eingaben:S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe &nc& (default tabellenberechtigungsgruppe)dieses zugriffsrecht ist restriktiv zu vergeben.

3.4

welche Benutzer dürfen alle tabellen über rfc zugriff einsehen?report rSUSr002 mit den eingaben:S_rfc (Berechtigungsprüfung beim rfc-zugriff) mit aktivität 16 (ausführen) und rfc-typ fUGr (funktionsgruppe) und rfc-name SdtXS_taBU_diS (tabellenpflege) mit aktivität 03 (lesen) und Berechtigungsgruppe „*“ (alle tabellen).diese Berechtigung darf im Produktivsystem nur an die Systemadministration vergeben werden.SOS: Users – Other than the Key Users – are authorized to Visualize all tables via rfc (0245)

5.7 PrüfPrOGramm: OrdnUnGSmäSSiGe VerBUchUnGnr. OrdnUnGSmäSSiGe VerBUchUnG

1.

Kontrollziel: Buchungssätze, die in SAP eingegeben sind, sind auch systemtechnisch vollständig, richtig und zeitnah in der SAP-Datenbank verbucht worden.Risiko: anforderungen an die Ordnungsmäßigkeit der Buchhaltung sind nicht eingehalten. es existieren systemintern nicht verarbeitete Verbuchungssätze, die keiner überwachung und weiterverarbeitung unterliegen. aufgetretene nicht verarbeitete Verbuchungssätze sind nicht erkannt und bearbeitet, sondern vom System automatisch gelöscht worden.

1.1H

wer untersucht die tabelle VBlOG regelmäßig auf abgebrochene Verbuchungen?> report rfVBer00 mit der Selektion auf den mandanten> transaktion Sm21, auswahl „alle entf. Syslogs“, „von datum“ und „bis datum“ eingeben, wechsel in den expertenmodus über den menüpunkt „Bearbeiten – expertenmodus“, über die Schaltfläche „meld.kennungen“ auf folgende meldung einschränken: r65 „ein Verbuchungsauf- trag ist abgebrochen.“

1.2

wie sind die Parameter für Verbuchungsabbrüche gesetzt (rdisp / vb*)?aiS: System audit – top ten Security reports – Profilparameter anzeigenaiS: System audit – System Konfiguration – Parameter – Systemparameter, übersicht mit historieaiS: System audit – System Konfiguration – Parameter – Systemparameter mit doku.> rdisp / vb_delete: dauer der aufbewahrung der abgebrochenen Verbuchungssätze im System bis zum automatischen löschen in tagen (Standardwert: 50 tage)> rdisp / vb-mail: aktivierung des Versands eines emails (Standardwert: 1 - es wird eine email verschickt.)> rdisp / vb_mail_user_list: liste aller email-adressaten, die über den Verbuchungsabbruch zu informieren sind – neben dem Verursacher (Standardwert: $actUSer).

5 Systemintegrität auf der AnwendungsebeneSe

ite 5

8

Page 59: Prüfleitfaden SAP ERP 6.0

nr. OrdnUnGSmäSSiGe VerBUchUnG

1.3

wer ist berechtigt, Verbuchungsparameter zu ändern?report rSUSr002 mit den eingaben:S_tcOde = rz10S_rzl_adm (rechenzentrumsleitstand) mit aktivität 01 (anlegen und ändern).

1.4

wer ist berechtigt, Verbuchungen zu verwalten?report rSUSr002 mit den eingaben:S_tcOde = Sm13 oder Sm14S_admi_fcd (Systemadministration) mit funktion Uadm (Verbuchungsadministration).

5.8 PrüfPrOGramm: SchUtz SicherheitSKritiScher SyStem- einStellUnGen Und BaSiSBerechtiGUnGen

nr. SchUtz SicherheitSKritiScher SyStemeinStellUnGen Und BaSiSBerechtiGUnGen

1.

Kontrollziel: Das Ändern von Profilparametern erfolgt auftragsbezogen nur durch die Systemadministration.Risiko: Profilparameter werden nicht autorisiert geändert. es wird z. B. ein sicherheitsrelevanter Parameter außer Kraft gesetzt. aufgrund einer fehlerhafter Setzung wird eine Betriebsstörung beim nächsten restart verursacht.

1.1H

wer darf Profilparameter ändern?report rSUSr002 mit den eingaben:S_tcOde = rz10S_rzl_adm (rechenzentrumsleitstand) mit aktivität 01 (anlegen und ändern)dieses zugriffsrecht ist nur für Systemadministratoren zuzulassen.SOS: Users – Other than the System administrators – are authorized to maintain System Profiles (0152)

Seite

59

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 60: Prüfleitfaden SAP ERP 6.0

nr. SchUtz SicherheitSKritiScher SyStemeinStellUnGen Und BaSiSBerechtiGUnGen

2.

Kontrollziel: Das Ändern der SAP Standardtransaktionen oder Anlegen und Ändern eigen-entwickelter Transaktionen erfolgt auftragsbezogen und ist dokumentiert.Die Funktionstrennung zwischen Benutzer, Anwendungsentwicklung und Systemadminis-tration ist eingehalten.Risiko: SaP Standardtransaktionen oder eigenentwickelte transaktionen werden unbefugt geändert, gesperrt oder entsperrt.

2.1

wer darf transaktionen anlegen?report rSUSr002 mit den eingaben:S_tcOde = Se93S_deVelOP (anwendungsentwicklung) mit aktivität 01 (anlegen) und Objekttyp tran (transak-tionen). diese Berechtigung darf nur an die Systemadministration vergeben werden.

2.2

wer darf transaktionen ändern?report rSUSr002 mit den eingaben:S_tcOde = Se93S_deVelOP (anwendungsentwicklung) mit aktivität 02 (ändern) und Objekttyp tran (transak-tionen) und Objektname = „*“ (alle transaktionen) oder = „name einer transaktion, die geändert werden darf“.diese Berechtigung darf nur an die Systemadministration vergeben werden.

2.3wurden neue transaktionen angelegt?tabelle tStc, Selektion im feld tcOde auf y* bis z*.

2.4

Sind die neuen transaktionen durch Berechtigungsobjekte geschützt?tabelle tStca, Selektion im feld tcOde auf y* bis z*.alle in der tabelle tStc eingetragenen neuen transaktionen müssen auch in der tabelle tStca enthalten sein.

2.5

wer darf transaktionen sperren?report rSUSr002 mit den eingaben:S_tcOde = Sm01S_admi_fcd (Systemberechtigung) mit funktion tlcK (transaktionen <ent>sperren)diese Berechtigung darf nur an die Systemadministration vergeben werden.SOS: User – Other than the System administrators – are authorized to lock / Unlock transactions (0157)

2.6welche transaktionen sind gesperrt?aiS System audit – entwicklung / customizing – transaktionen – Gesperrte transaktionen.zu den gesperrten transaktionen muss es eine dokumentierte Vorgabe geben.

5 Systemintegrität auf der AnwendungsebeneSe

ite 6

0

Page 61: Prüfleitfaden SAP ERP 6.0

nr. SchUtz SicherheitSKritiScher SyStemeinStellUnGen Und BaSiSBerechtiGUnGen

3.H

Kontrollziel: Anlegen, Ändern und Löschen von Einträgen zu Betriebssystemkommandos erfolgt auftragsbezogen und ist dokumentiert. Möglicher Missbrauch wird überwacht. Die Funktionstrennung zwischen Benutzer, Anwendungsentwicklung und Systemadministration ist eingehalten.Risiko: Bei nicht autorisierter oder unsachgemäßer nutzung der Betriebssystembefehle ist die integrität und Verfügbarkeit des SaP-Systems sowie die datenintegrität gefährdet.die Betriebssystembefehle laufen unter den höchst privilegierten Berechtigungen desjenigen Systembenutzers auf der Betriebssystemebene, der das SaP-System gestartet hat. dieser hat i.d.r. uneingeschränkten zugriff auf das SaP-System.

3.1

welche logischen Betriebssystemkommandos sind vorhanden?aiS: System audit – Systemkonfiguration – Betriebssystem – zugriffsrechte für SaP directories -Betriebssystemaufrufe erlaubt (tatsächlich?)aiS: System audit – Systemkonfiguration – Betriebssystem – zugriffsrechte für SaP directories -externer OS-Kommandos (tatsächlich?)Oder tabellen SXPGcOStaB (Betriebssystemkommandos, die das Unternehmen angelegt hat) und SXPGcOtaBe (Betriebssystembefehle, die von SaP angelegt wurden).es dürfen nur die von SaP ausgelieferten und die zusätzlich autorisierten Betriebssystemkom-mandos eingetragen sein.

3.2H

wurden logische Betriebssystemkommandos angelegt und wieder gelöscht?tabelle SXPGhiStOr (historie über die logischen Betriebssystemkommandos), einträge c (create) und d (delete) im feld mOdifier.das anlegen und löschen von Betriebssystemkommandos muss freigegeben und dokumentiert sein

3.3H

wer darf neue Betriebssystemkommandos anlegen?report rSUSr002 mit den eingaben:S_tcOde = Sm69S_rzl_adm (rechenzentrumsleitstand) mit aktivität 01 (anlegen und ändern)dieses zugriffsrecht ist im Produktivsystem nur für notfallbenutzer zuzulassen.SOS: Users – Other than the System administrators – are authorized to define external OS commands (0171)

3.4H

wer darf alle Betriebssystemkommandos ausführen?report rSUSr002 mit den eingaben:S_tcOde = Sm49S_lOG_cOm (ausführen logischer Betriebssystemkommandos) mit „*“ (alle möglichen werte) in allen feldern (Kommando, Betriebssystem, Servername).dieses zugriffsrecht ist im Produktivsystem nur für notfallbenutzer zuzulassen.SOS: Users – Other than the System administrators – are authorized to execute external OS commands (0171)

Seite

61

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 62: Prüfleitfaden SAP ERP 6.0

nr. SchUtz SicherheitSKritiScher SyStemeinStellUnGen Und BaSiSBerechtiGUnGen

3.5H

wer darf mit dem report rSBdcOS0 beliebige Betriebssystemkommandos ausführen?report rSUSr002 mit den eingaben:S_tcOde = Sm49, Sm69S_rzl_adm (rechenzentrumsleitstand) mit aktivität 01 (anlegen und ändern)S_lOG_cOm (ausführen logischer Betriebssystemkommandos) mit Kommando = rSBdcOS0 und „*“ (alle möglichen werte) in den beiden restlichen feldern „Betriebssystem“ und „Servername“.dieses zugriffsrecht ist im Produktivsystem nur den notfallbenutzer zuzulassen.

3.6H

wurde der report rSBdcOS0 eingesetzt?Risiko: der report rSBdcOS0 ermöglicht das unmittelbare und uneingeschränkte absetzen von Betriebssystemkommandos aus der SaP Bedienoberfläche heraus. Hinweis: im Systemlog, Syslog, werden Start des reports und inhalt des Betriebssystemkom-mandos protokolliert.transaktion Sm21, Umschalten auf expertenmodus und auswertung der meldungsnummer lc0 über die Schaltfläche „meld.kennungen“.die unmittelbare einmalige eingabe von Betriebssystemkommandos über das Programm rSBdcOS0 ist im Produktivsystem nicht zulässig, seine ausführung ist zu überwachen und Verstöße sind zu verfolgen.

4.

Kontrollziel: Gewährleistung der Integrität von System und Daten durch restriktive Vergabe der systemübergreifenden Funktionsaufrufen.einhaltung der funktionstrennung zwischen Benutzern, entwicklern und Systemadministration.Hinweis: SaP stellt Berechtigungen für die kontrollierte nutzung systemübergreifender funktionsaufrufen bereit. „Systemübergreifend“ ist zum einen vertikal zu verstehen, z. B. zwischen SaP anwendung und Betriebssystem, und zum anderen horizontal, z. B. zwischen verschiedenen SaP-Systemen oder zwischen SaP-Systemen und fremdsystemen. Risiko: nicht autorisierte nutzung systemübergreifender funktionsaufrufe durch entwickler und Systemadministration. Schwachstelle in der systemübergreifenden Kommunikation, die von einem hacker ausgenutzt werden kann, um von einem bereits übernommenen System auf das nächste zu gelangen („island-hopping“).

4.1H

wer hat uneingeschränkte Berechtigung für den zugriff auf Betriebssystemdateien aus aBaP-Programmen?report rSUSr002 mit den eingaben: S_dataSet mit „*“ in allen feldern oder mit aktivität 34 (Schreiben oder löschen einer datei) und „*“ in den restlichen feldern.diese Berechtigung ist im Produktivsystem nur notfallbenutzern vorbehalten, im ausnahmefall auch Systemadministratoren.für Standardabläufe müssen mindestens der dateiname und die aktivität spezifiziert sein.

4.2H

wer hat uneingeschränkte Berechtigung für cPic aufrufe aus aBaP-Programmen?report rSUSr002 mit den eingaben:S_cPic (cPic-aufruf aus aBaP) mit „*“ in allen feldern.diese Berechtigung ist im Produktivsystem nur notfallbenutzern vorbehalten, im ausnahmefall auch Systemadministratoren.für Standardabläufe müssen mindestens der Programmname und die aktivität spezifiziert sein. der Benutzer im zielsystem darf kein Pseudo-Benutzer sein.

5 Systemintegrität auf der AnwendungsebeneSe

ite 6

2

Page 63: Prüfleitfaden SAP ERP 6.0

nr. SchUtz SicherheitSKritiScher SyStemeinStellUnGen Und BaSiSBerechtiGUnGen

4.3H

wer hat uneingeschränkte Berechtigung zum aufruf von c-Kernel funktionen aus aBaP-Pro-grammen?report rSUSr002 mit den eingaben:S_c_fUnct (direkter aufruf von c-Kernel funktionen aus aBaP) mit „*“ in allen feldern.diese Berechtigung ist im Produktivsystem nur notfallbenutzern vorbehalten, im ausnahmefall auch Systemadministratoren.für Standardabläufe müssen mindestens der Programmname und die call-bare c-routine spezifiziert sein.

4.4H

wer hat uneingeschränkte Berechtigung zum aufruf von Ole-funktionen aus aBaP-Program-men?report rSUSr002 mit den eingaben:S_Ole_call (Ole-aufruf aus aBaP) mit „*“ in allen feldern.im Produktivsystem: nur notfallbenutzern vorbehalten, im ausnahmefall auch Systemadministra-toren.für Standardabläufe müssen mindestens der Programmname und die Ole-anwendung spezifiziert sein.

4.5H

wer hat uneingeschränkte Berechtigung für rfc-zugriffe?report rSUSr002 mit den eingaben:S_rfc (rfc-zugriffsberechtigung) mit „*“ in allen feldern.im Produktivsystem: nur notfallbenutzern vorbehalten, im ausnahmefall auch Systemadministra-toren.für Standardabläufe muss mindestens die funktionsgruppe unter dem namen des zu schüt-zenden rfc-Objektes spezifiziert sein. der Benutzer im zielsystem darf kein Pseudo-Benutzer sein.

Seite

63

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 64: Prüfleitfaden SAP ERP 6.0

5.9 PrüfPrOGramm: SchUtz der rfc-aUfrUfenr. SchUtz der rfc-aUfrUfe

1.

Kontrollziel: Die Integrität von Systemen und Daten ist sicherzustellen. Nicht autorisierte Nutzung ist zu verhindern. Die Funktionstrennung zwischen Benutzer, Anwendungsent-wicklung und Systemadministration ist einzuhalten.Risiko: wenn zu rfc-Verbindungen dialog-Benutzer und Kennwörter hinterlegt sind, kann ohne anmeldung eine Verbindung aufgebaut und zu nicht autorisierten zwecken verwendet werden. rfc-anmeldungen werden nicht automatisch protokolliert, sodass sie nicht nachweisbar sind. es fehlt dann die Basis für recherchen bei missbrauchsverdacht.

1.1

welche rfc-Verbindungen zu verschiedenen Systemen existieren auf dem untersuchten SaP-System?tabelle rfcdeS oder report rSrSdeSt.dabei ist keine Selektion vorzunehmen.oderaiS: System audit – top ten Security reports – rfc-destinations mit anmeldedatenaiS: System audit – System Konfiguration – Kommunikationsarten von SaP – rfc / SaP remote function call.

1.2H

existieren rfc-Verbindungen, in denen für dialogbenutzer Kennwörter hinterlegt sind?Selektionsmaske der tabelle rfcdeS oder des reports rSrSdeSt mit wert „v= % _Pwd“.über transaktion SU01d oder report rSUSr002 prüfen, ob die ausgewiesenen Benutzer in einem der mandanten des Systems existieren und ob es dialog- oder Servicebenutzer sind.Oder über den report rSrfcchK anzeigen lassen, zu welchen rfc-Verbindungen anmeldedaten hinterlegt sind.es dürfen keine dialog- oder Servicebenutzer im zielsystem eingetragen sein – bis auf die von SaP vergebenen rfc-Standardbenutzer, z. B. den des transport management Systems (tmS), und die Kommunikations- und Systembenutzer.

1.3

Können rfc Verbindungen zu Benutzern mit abgelaufenen Passwörtern benutzt werden?aiS: System audit – top ten Security reports – Profilparameter anzeigen (generisch über rfc / *)der Systemparameter rfc / reject_expired_passwd muss auf „1“ gesetzt sein, um rfc Verbindungen über einen Benutzer mit abgelaufenem Kennwort auszuschließen.SOS: incoming rfc with expired Password is allowed (0234)

1.4

wer kann rfc logon informationen einsehen?report rSUSr002 mit den eingaben:S_tcOde mit Se16 oder Se16n oder Se17, Sm30 oder Sm31S_taBU_diS (tabellenpflege) mit aktivität 03 (lesen) und Berechtigungsgruppe „Sc“.diese Berechtigung darf nur an die Systemadministration vergeben werden.SOS: Users – Other than the System administrators – are authorized to access rfc logon information (0256)

5 Systemintegrität auf der AnwendungsebeneSe

ite 6

4

Page 65: Prüfleitfaden SAP ERP 6.0

nr. SchUtz der rfc-aUfrUfe

1.5

wer kann rfc-Verbindungen verwalten?report rSUSr002 mit den eingaben:S_tcOde = Sm59S_admi_fcd (Systemberechtigung) mit funktion nadm (netzwerkadministration).diese Berechtigung darf nur an die Systemadministration vergeben werden.SOS: Users – Other than the System administrators – are authorized to administer rfc connections (0255)

1.6H

werden anmeldungen und funktionsbausteinaufrufe über rfc über das SaP Security audit log protokolliert und überwacht?transaktion Sm19 und auf folgende einträge prüfen:> Klassen: rfc- / cPic-anmeldungen und rfc funktionsbausteinaufrufe> ereignisse: „nur kritische“.diese angegebene mindestanforderung an die Protokollierung muss gegeben sein.SOS: Security critical events for end Users are not logged in the Security audit log (0136)

2.

Kontrollziel: RFC-Berechtigungen sind restriktiv zu vergeben. Nicht autorisierte Nutzung ist zu verhindern. Risiko: Verlust der Vertraulichkeit, integrität von Systemen und daten. die rfc-Berechtigung(S_rfc) ist nicht eingeschränkt und ermöglicht zugriff auf kritische funktionsbausteine, die missbräuchlich genutzt werden können.Hinweis: das Berechtigungsobjekt S_rfc ist nur für den aBaP Stack wirksam, nicht aber für den JaVa Stack.

2.1

ist der Parameter auth / rfc_authority_check auf einen wert größer oder gleich 1 gesetzt sein, damit die Berechtigung S_rfc greift? aiS: System audit – top ten Security reports – Profilparameter anzeigen (generisch über auth / *)ist er mit dem wert 0 belegt, nimmt das System keine Prüfung auf die Berechtigung S_rfc vor.

2.2H

wer hat uneingeschränkte Berechtigung für rfc-zugriffe?report rSUSr002 mit den eingaben:S_rfc (rfc-zugriffsberechtigung) mit „*“ in allen feldern.im Produktivsystem: nur notfallbenutzern vorbehalten, im ausnahmefall auch Systemadministratoren.für Standardabläufe muss mindestens die funktionsgruppe unter dem namen des zu schüt-zenden rfc-Objektes spezifiziert sein. der Benutzer im zielsystem darf kein Pseudo-Benutzer sein.

2.3H

wer kann alle oder bestimmte funktionsbausteine aufrufen, auch aus anderen Programmen?report rSUSr002 mit den eingaben:S_rfc (Berechtigungsprüfung beim rfc-zugriff) mit aktivität 16 (ausführen) und rfc-typ fUGr (funktionsgruppe) und rfc-name mit dem wert „*“ oder den namen der funktionsgruppen.Hinweis: Kritische funktionsgruppen aufgrund kritischer funktionsbausteine sind z.B.> SySt, system interface, mit dem funktionsbaustein SyStem_remOte_lOGin> Srfc, rfc Verwaltung, mit dem funktionsbaustein rfc_lOGin> SUtl, Utilities, mit dem funktionsbaustein rfc_aBaP_inStall_and_rUn.S_rfc darf nur an die Benutzer restriktiv vergeben werden, die für die Verwaltung von Schnitt-stellen zuständig sind, oder an die Systemadministration.SOS: Users – Other than the communication Users – are authorized to run any rfc function (0241)

Seite

65

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 66: Prüfleitfaden SAP ERP 6.0

nr. SchUtz der rfc-aUfrUfe

2.4H

welche Benutzer dürfen alle tabellen über rfc zugriff einsehen?report rSUSr002 mit den eingaben:S_rfc (Berechtigungsprüfung beim rfc-zugriff) mit aktivität 16 (ausführen) und rfc-typ fUGr (funktionsgruppe) und rfc-name SdtX (desktop access)S_taBU_diS (tabellenpflege) mit aktivität 03 (lesen) und Berechtigungsgruppe „*“ (alle tabellen).Hinweis: die funktionsgruppe SdtX (desktop access) beinhaltet den funktionsbaustein rfc_read_taBle, external access to r / 3 tables via rfc.hinweis: weitere kritische funktionsgruppen von funktionsbausteinen mit umfassender leseberechtigung sind z.B.> Srtt, funktionen zum remote-tabellentransport, mit funktionsbausteinen, die das holen von tabellen aus anderen Systemen und das anzeigen von tabelleninhalten ermöglichen.> Bdch, ale-Konsistenzprüfungen, u.a. mit einem funktionsbaustein, der das holen von tabellen aus einem anderen Systemen ermöglicht.diese Berechtigung darf im Produktivsystem nur an die Systemadministration vergeben werden.SOS: Users – Other than the Key Users – are authorized to Visualize all tables via rfc (0245)

3.

Kontrollziel: Keine nicht autorisierten Softwareänderungen auf dem Produktivsystem über den universell einsetzbaren Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN.Risiko: die vorgesehenen Kontrollen des Software-change-management für das Produktiv-system können damit unterlaufen werden. manipulationen an Programmen und daten sowie löschung von änderungsbelegen können damit durchgeführt werden.

3.1H

wer kann den höchst kritischen funktionsbaustein rfc_aBaP_inStall_and_rUn aufrufen? damit können aBaP-Quelltexte an das SaP-System zur ausführung übergeben werden.report rSUSr002 mit den eingaben:S_rfc (Berechtigungsprüfung beim rfc-zugriff) mit aktivität 16 (ausführen) und rfc-typ fUGr (funktionsgruppe) und rfc-name SUtl (Utilities)S_admi_fcd (Systemberechtigung) mit funktion memO (Speicherverwaltung)S_deVelOP (anwendungsentwicklung) mit aktivität 03 (anzeigen) und Objekttyp PrOG (aBaP-Programme).das zugriffsrecht zum ausführen dieses funktionsbausteins darf insbesondere im Produktiv-system keinem Benutzer vergeben werden.

4.

Kontrollziel: Sicherer Einsatz von „Trusted System“ Beziehungen.Hinweis 1: dabei handelt es sich um eine definierte Vertrauensbeziehung zwischen einem vertrauenden System (trusting System), sozusagen als ziel-System oder lieferndes System, und einem System, dem vertraut wird (trusted System), sozusagen als Satelliten-System oder anfragendem System. Hinweis 2:über das Berechtigungsobjekt S_rfcacl wird im ziel-System festgelegt, welche Benutzer aufrufe ohne Kennwortprüfung durchführen dürfen.Risiko: Verlust der Vertraulichkeit, integrität von Systemen und daten. > Von einem beliebigen System aus können Benutzer aufrufe ohne Kennwortanmeldung in einem vertrauenden System durchführen. > Von einem System aus, dem vertraut wird, können beliebige Benutzer anonym einen Benutzer mit umfassenden Berechtigungen im vertrauenden System nutzen.

5 Systemintegrität auf der AnwendungsebeneSe

ite 6

6

Page 67: Prüfleitfaden SAP ERP 6.0

nr. SchUtz der rfc-aUfrUfe

4.1

wer kann die einstellungen für ein trusted (1) und ein trusting Systems (2) verwalten?(1) report rSUSr002 mit den eingaben:S_tcOde mit Smt1S_admi_fcd (Systemberechtigungen) mit aktivität nadm (netzadministration).diese Berechtigung darf nur an die Systemadministration vergeben werden.SOS: Users – Other than the System administrators – are authorized to maintain trusted Systems (0240)(2) report rSUSr002 mit den eingaben:S_tcOde mit Smt2S_admi_fcd (Systemberechtigungen) mit aktivität nadm (netzadministration).diese Berechtigung darf nur an die Systemadministration vergeben werden.SOS: Users – Other than the System administrators – are authorized to maintain trusting Systems (0268)

4.2H

welche uneingeschränkten Vertrauensbeziehungen für rfc-zugriffe aus Satellitensystemen bestehen in einem vertrauenden System?im vertrauenden System report rSUSr002 mit den eingaben:S_rfcacl (Berechtigungsprüfung für rfc-Benutzer) mit „*“ in allen feldern.mindestens die felder „rfc_SySid“ (Kennung des rufenden Systems bzw. domäne desSatellitensystems) und „rfc_client“ (mandant des rufenden Systems) müssen spezifiziert sein. SOS: Users authorized for trusted rfc (Object S_rfcacl) (0239)

4.3H

welche Benutzer mit welchem Berechtigungsumfang sind auf dem vertrauenden System (tristing System) der jeweiligen Vertrauensbeziehung zugeordnet?1. nach bestehenden Vertrauensbeziehungen auf dem trusting System suchen: transaktion Stm1Oder transaktion Se16(n) (tabellenanzeige) für tabelle rfcSySacl2. ausführenden Benutzer und seinen Berechtigungsumfang auf dem vertrauenden System feststellenüber das Programm rSUSr002 oder über transaktion SUim prüfen, welche Benutzer mit dem Objekt S_rfcacl berechtigt sind.im feld rfc_USer prüfen, ob im System, dem vertraut wird, mit derselben Benutzerkennung oder mit einem anderen Benutzer die rfc Verbindung aufgebaut wird.3. auf dem System, dem vertraut wird, prüfen, unter welchem Benutzer der zugriff auf das vertrauende System erfolgt:> über die transaktion Sm59 die rfc Verbindung feststellen> im register „anmeldung / Sicherheit“ prüfen, ob es sich um eine Vertrauensbeziehung handelt. das feld „trusted System“ ist dann auf „ja“ gesetzt.> im register „anmeldung / Sicherheit“ prüfen, ob mit dem aktuellen Benutzer oder mit einem anderen Benutzer im vertrauenden System die rfc Verbindung aufgebaut wird.Unzulässig sind Vertrauensbeziehungen, in denen beliebige Benutzer eines Systems, dem vertraut wird, einen Benutzer des vertrauenden Systems aufrufen können. im vertrauenden System muss nachvollziehbar sein, welcher aufrufende Benutzer aktiv war.SOS: Users authorized for trusted rfc (Object S_rfcacl) (0239)

Seite

67

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 68: Prüfleitfaden SAP ERP 6.0

5.10 PrüfPrOGramm: SchUtz der Batch-inPUt-PrOzeSSenr. SchUtz der Batch-inPUt-PrOzeSSe

1.

Kontrollziel: Die ordnungsmäßige Verarbeitung der Geschäftsdaten und des Buchungs-stoffs ist sichergestellt.1. die Vollständigkeit, richtigkeit und zeitgerechtigkeit der Verarbeitung ist sicherzustellen, insbesondere bei daten der Buchhaltung.2. über arbeitsanweisungen ist sichergestellt, dass die Vollständigkeit der Verarbeitung über- wacht wird und die notwendigen maßnahmen zur nachbearbeitung von Belegen durchgeführt werden.3. das interne Kontrollsystem verlangt eine funktionstrennung zwischen planender, ausführender und überwachender Stelle.Risiko: Belege werden nicht verarbeitet. fehlerhafte oder nicht vollständige Belege werden nicht korrigiert. die gleichen Belege werden mehrfach eingelesen. Belege werden in falscher reihenfolge bearbeitet, z. B. Stammdatenänderungen nach Buchungen, die diese Stammdatenän-derungen zur Voraussetzung hatten. fehler- und Verarbeitungsprotokolle werden gelöscht, bevor sie als hinweise für notwendige Korrekturen oder als nachweise der ordnungsmäßigen Verarbeitung verwendet worden sind.

1.1

Kontrollfragen zum Prozess:> Gibt es eine übersicht über alle Batch-input-Schnittstellen, z. B. mit den folgenden angaben: abgebendes arbeitsgebiet, dateninhalt, dateiname, Periode, mappen-name, Verarbeitungsjob, relevante tabellen, abstimmkreis, Verantwortlichkeit?> welche anwender dürfen welche mappen erstellen, starten, korrigieren oder löschen?> Gibt es eine übersicht, welche mappen-namen für welche abteilung reserviert sind?> wer stimmt den Buchungsstoff der verarbeiteten mappen ab?> wer kontrolliert, dass die daten aus den Vorsystemen vollständig, richtig und zeitgerecht übernommen werden? wird insbesondere ein mehrfaches einlesen der gleichen Belege verhindert? werden insbesondere die dateien nach dem einlesen gesichert und gelöscht?> Sind die internen Kontrollen zwischen Vorsystemen und dem zielsystem gewahrt, in dem die mappen abgespielt werden?

1.2analyse der Batch-input-mappenaiS: System audit – hintergrundverarbeitung – Batch input monitoring

1.3

wer darf alle Batch-input-mappen uneingeschränkt verwalten?report rSUSr002 mit den eingaben:S_tcOde = Sm35S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität „*“ und mappennamen = „*“oder speziell auf alle kritischen Verwaltungsaktionen bezogen:S_Bdc_mOni (Batch-input-Berechtigung) mit aktivitäten aBtc (hintergrundverarbeitung) , free (freigeben), lOcK (<ent>Sperren), dele (löschen) und reOG (reorganisieren) und mappen-namen = „*“.diese Berechtigung ist nur an Systemadministratoren zu vergeben.

5 Systemintegrität auf der AnwendungsebeneSe

ite 6

8

Page 69: Prüfleitfaden SAP ERP 6.0

nr. SchUtz der Batch-inPUt-PrOzeSSe

1.4

wer kann Batch-input-mappen freigeben?report rSUSr002 mit den eingaben:S_tcOde = Sm35S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität free (mappen freigeben) und mappenna-men = *.hierbei ist die funktionstrennung (Vieraugenprinzip) einzuhalten.

1.5

wer kann Batch-input-mappen und Protokolle analysieren?report rSUSr002 mit den eingaben:S_tcOde = Sm35S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität anal (mappen und Protokolle analysieren) und mappennamen = *.hierbei ist die funktionstrennung (Vieraugenprinzip) einzuhalten.

1.6

wer kann Batch-input-mappen im dialogbetrieb oder im hintergrund verarbeiten?report rSUSr002 mit den eingaben:S_tcOde = Sm35S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität aBtc (mappen für die hintergrundverar-beitung übergeben) oder aOnl (mappen im dialogbetrieb abspielen) und mappennamen = *.

1.7

wer kann Batch-input-mappen (ent-)sperren?report rSUSr002 mit den eingaben:S_tcOde = Sm35S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität lOcK (mappen sperren oder entsperren) und mappennamen = *.hierbei ist die funktionstrennung (Vieraugenprinzip) einzuhalten.

1.8

wer kann Batch-input-mappen und Protokolle reorganisieren?report rSUSr002 mit den eingaben:S_tcOde = Sm35S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität reOG (mappen und Protokolle reorganisie-ren) und mappennamen = *.Risiko: Verarbeitungsnachweise können über einen reorganisationslauf gelöscht werden.hierbei ist die funktionstrennung (Vieraugenprinzip) einzuhalten.

1.9

wer kann Batch-input-mappen löschen?report rSUSr002 mit den eingaben:S_tcOde = Sm35S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität dele (mappen löschen) und mappenna-men = *.Risiko: mappen z. B. mit relevantem Buchungsstoff können vor der weiterverarbeitung gelöscht werden.hierbei ist die funktionstrennung (Vieraugenprinzip) einzuhalten.

Seite

69

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 70: Prüfleitfaden SAP ERP 6.0

nr. SchUtz der Batch-inPUt-PrOzeSSe

2

Kontrollziel: Gewährleistung des ordnungsmäßigen Programmeinsatzes und der Datenintegrität, wenn beim Direct-Input-Verfahren die Daten mit reduzierten Plausibili-tätsprüfungen direkt in die Datenbank geschrieben werden.Risiko: es ist möglich, vorhandene datenbestände unprotokolliert zu verändern. Bei einer fehlerhaften anwendung ist die datenintegrität des Systems gefährdet.

2.1wird das Verfahren des direct-input genutzt?Prüfen über die transaktion BmV0 (Verwaltung von datenübernahmen).

2.2

Kontrollfragen zum Prozess:> ist der einsatz des direct-input-Verfahrens dokumentiert?> wird der einsatz eines direct-input-ablaufs vor dem produktiven einsatz im testsystem getestet und nach dem Vier-augen-Prinzip freigegeben?> Gibt es eine Verfahrensanweisung, wie der Prozess des direct-input überwacht und wie fehlerhafte abläufe behandelt werden?

5.11PrüfPrOGramm: SchUtz SicherheitSKritiScher anwendUnGS- BerechtiGUnGen

nr. SchUtz SicherheitSKritiScher anwendUnGSBerechtiGUnGen

1.Kontrollziel: Datenintegrität und Konsistenz der Datenbank sind zu gewährleisten.Risiko: Gefährdung der Konsistenz der datenbank bei nicht autorisiertem löschen von Sperrobjekten.

1.1

wer darf Sperreinträge löschen?report rSUSr002 mit den eingaben:S_tcOde = Sm12S_enQUe (anzeigen und löschen von Sperreinträgen) mit wert „*“ oder all (alle aktionen) oder mit wert dlfU (löschen Sperrobjekte fremder Benutzer im gleichen mandanten)die funktionen dlfU und all („*“) in S_enQUe sind restriktiv nur an Systemadministratoren zu vergeben. eine freischaltung von Sperreinträgen erfordert die schriftliche freigabe der fachabteilung.SOS: Users – Other than the System administrators – are authorized to maintain Other User‘s lock entries (0159)

1.2

wer darf eigene Sperreinträge löschen?report rSUSr002 mit den eingaben:S_tcOde = Sm12S_enQUe (anzeigen und löschen von Sperreinträgen) mit wert dlOU (löschen der Sperrobjekte des eigenen Benutzers)die funktion dlOU ist restriktiv nur an autorisierte Benutzer zu vergeben.SOS: Users – Other than the System administrators – are authorized to maintain Own lock entries (0166)

5 Systemintegrität auf der AnwendungsebeneSe

ite 7

0

Page 71: Prüfleitfaden SAP ERP 6.0

nr. SchUtz SicherheitSKritiScher anwendUnGSBerechtiGUnGen

2Kontrollziel: Nachweisbare lückenlose Vergabe von BelegnummernRisiko: Belegnummern werden nicht lückenlos aus dem Vorsystem in das SaP-System übertragen.

2.1

Kontrollfragen zum Prozess:> werden externe Belegnummern vergeben und in das SaP-System übernommen?> wie wird für die externe Vergabe von Belegnummern deren lückenlosigkeit gewährleistet?> wird das auftreten von lücken in den Belegnummern regelmäßig kontrolliert?> werden entstandene lücken in den Belegnummern dokumentiert?> liegt dazu die erforderliche Verfahrensdokumentation vor?Hinweis: es gibt drei Ursachen für lücken in Belegnummern: lücken können entweder bei der externen nummernvergabe oder aufgrund der SaP internen Belegnummernpufferung – falls akti-viert – oder dem SaP internen abbruch der datentechnischen Verbuchung in das datenbanksystem entstanden sein.

2.2welche nummernkreisobjekte gibt es im SaP-System?tabelle tnrO, eingabe von Selektionsparametern, z. B. X im feld „Pufferung“.

2.3

welche nummernkreisobjekte sind gepuffert?tabelle tnrO, eingabe von Selektionsparameter X im feld „Pufferung“ .Hinweis: es dürfen keine nummernkreise gepuffert sein, für die eine lückenlose nummernvergabe erforderlich ist.ist speziell das nummernkreisobjekt rf-BeleG gepuffert?transaktion SnrO, eingabe des nummernkreisobjektes rf-BeleG.Hinweis: das nummernkreisobjekt rf_BeleG sollte nicht gepuffert sein.wenn es doch gepuffert ist, sind dann entstandene lücken in den Belegnummern durch die administration dokumentiert?Hinweis: lücken, die durch das herunterfahren einer instanz entstehen, sind zu dokumentieren. das Protokoll ist der finanzabteilung zu übermitteln.

2.4

existieren lücken in den Belegnummern?report rfBnUm00n oder rfBnUm00 unter angabe eines Prüfungszeitraums in der Selektionsauswahl.Risiko: zum Jahresabschluss können die Ursachen für die lücken nicht mehr nachvollzogen werden. es sollten keine lücken in denjenigen Belegnummernkreisen existieren, die einer lückenlosen nummernvergabe unterliegen.Risiko: aufgetretene lücken werden nicht zeitnah erkannt, dokumentiert und geklärt.wird das auftreten von lücken in den Belegnummern regelmäßig kontrolliert?

2.5

wer darf alle nummernkreisobjekte verwalten?report rSUSr002 mit den eingaben:S_tcOde = SnrOS_nUmBer (nummerkreisobjekt pflegen mit aktivität „*“ (alle aktionen) oder 01 (hinzufügen) oder 02 (anlegen, ändern oder löschen eines nummernkreisintervalls) oder 17 (nummernkreis-objekte pflegen) und name des nummernkreisobjektes = „*“.

2.6

wer darf den nummernstand aller nummernkreise ändern?report rSUSr002 mit den eingaben:S_tcOde = SnUmS_nUmBer (nummerkreisobjekt pflegen mit aktivität 11 (nummernstand ändern) oder 13 (nummernstand initialisieren) und name des nummernkreisobjektes = „*“.

Seite

71

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 72: Prüfleitfaden SAP ERP 6.0

5.12 PrüfPrOGramm: SchUtz der JOB-aBläUfenr. SchUtz der JOB-aBläUfe

1.

Kontrollziel: Bei der Berechtigungsvergabe von Verwaltungsfunktionen für Jobs ist sichergestellt, dass die Funktionstrennung zwischen Systemadministration und Benutzern eingehalten wird. Risiko: an Benutzer werden zu weit reichende Berechtigungen für die Verwaltung von Jobs vergeben. in Verbindung mit ihren aufgabenbezogenen Berechtigungen können sie nicht autorisierte änderungen an der Batch-Verarbeitung vornehmen, damit manipulationen an daten durchführen, sogar die Spuren erfolgter manipulation beseitigen.

1.1

wer hat Vollzugriff auf die Batch-Verwaltung und darf hintergrundjobs in allen mandanten verwalten?report rSUSr002 mit den eingaben:S_tcOde = Sm36, Sm37S_Btch_adm (Batch-administrator / Job-Superuser) mit wert y.diese Berechtigung ist nur an Systemadministratoren zu vergeben.Risiko: nicht autorisierte nutzung dieser “Job-Superuser” Verwaltungsfunktion, z. B. können alte hintergrundjobs gelöscht werden, die unbefugt gelaufen sind.SOS: Users – Other than the Background administrators – are authorized to Schedule Jobs in Sm36 (0212)

1.2

wer hat die Berechtigung für uneingeschränkte Batch-Job-Steuerung? report rSUSr002 mit den eingaben:S_tcOde = Sm36S_Btch_JOB (Batch-Job-Steuerung) mit aktion „*“ und Jobgruppe „*“.diese Berechtigung ist nur an Systemadministratoren zu vergeben. die SaP-hinweise 28 162 und 1 001 146 sind zu beachten.SOS: Users – Other than the Background administrators – are authorized to Schedule Jobs in Sm36 (0212)

1.3

wer darf seine eigenen Jobs freigeben?report rSUSr002 mit den eingaben:S_tcOde = Sm36S_Btch_JOB (Batch-Job-Steuerung) mit aktion rele und Jobgruppe „*“.die Berechtigung zur freigabe von Batch-Jobs ist bei einem geregelten freigabeprozess an eine andere funktion zu vergeben als an die funktion, die den Batch-Job selbst gestartet hat.SOS: Users – Other than the Background administrators – are authorized to Schedule Jobs in Sm36 (0212)

1.4

wer darf Jobs in externen Kommandos freigeben?S_tcOde = Sm36S_Btch_adm (Batch-administrator / Job-Superuser) mit wert „y“ S_Btch_JOB (Batch-Job-Steuerung) mit aktion „rele“S_rzl_adm (rechenzentrumsleitstand) mit aktivität 01 (anlegen und ändern).diese Berechtigung ist nur an Systemadministratoren zu vergeben.Risiko: nicht autorisierte ausführung externer Programme oder Kommandos.

5 Systemintegrität auf der AnwendungsebeneSe

ite 7

2

Page 73: Prüfleitfaden SAP ERP 6.0

nr. SchUtz der JOB-aBläUfe

1.5

wer darf hintergrundjobs anderer Benutzer löschen?report rSUSr002 mit den eingaben:S_tcOde = Sm36S_Btch_JOB (Batch-Job-Steuerung) mit aktion dele und Jobgruppe „*“.diese Berechtigung ist an Systemadministratoren zu vergeben. Jobs anderer Benutzer können durch eine Berechtigungsgruppe in den attributen vor dem zugriff nicht zugelassener Benutzer geschützt werden (Prinzip der geschlossenen Benutzergruppe).Risiko: nicht autorisierte nutzung, wenn Jobs anderer Benutzer gelöscht werden können.

1.6

wer darf hintergrundjobs anderer Benutzer anzeigen?report rSUSr002 mit den eingaben:S_tcOde = Sm36S_Btch_JOB (Batch-Job-Steuerung) mit aktion liSt und Jobgruppe „*“.diese Berechtigung ist an Systemadministratoren zu vergeben. Jobs anderer Benutzer können durch eine Berechtigungsgruppe in den attributen vor dem zugriff nicht zugelassener Benutzer geschützt werden (Prinzip der geschlossenen Benutzergruppe).Risiko: nicht autorisierte nutzung und Verlust der Vertraulichkeit, wenn Jobs anderer Benutzer eingesehen werden können.

1.7H

wer darf für hintergrundjobs beliebige Benutzer eintragen und starten?report rSUSr002 mit den eingaben:S_tcOde = Sm36 (in Step 1)S_Btch_nam (angabe des Batchbenutzernamens für Berechtigungsprüfung) mit einem wert ungleich leerS_Btch_adm (Batch-administrator / Job-Superuser) mit wert „y“ oder S_Btch_JOB (Batch-Job-Steuerung) mit aktion „rele“diese Berechtigung darf nur an Systemadministratoren vergeben sein. Bitte den SaP-hinweis 101 146 beachten!Risiko der nicht autorisierten nutzung: ein Benutzer könnte einen Job unter einem privilegierten Benutzer fahren, z. B. SaP*, um eine manipulation zu ermöglichen. es ist dann systemseitig nicht mehr nachzuvollziehen, wer diesen Job gestartet hat.SOS: Users – Other than the Background administrators – are authorized to Schedule Jobs Under another User id (0214)

Seite

73

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 74: Prüfleitfaden SAP ERP 6.0

5.13 PrüfPrOGramm: SchUtz der drUcKaUfträGenr. SchUtz der drUcKaUfträGe

1.

Kontrollziel: Sicheres Verwalten von DruckaufträgenGemäß der Sicherheitsrichtlinie des Unternehmens sind die folgenden beiden SaP zugriffsbe-rechtigungen zum Schutz von druckaufträgen angemessen zu aktivieren:> S_SPO_deV, Spooler Geräteberechtigungen und > S_SPO_act, Spooler aktionen. Betroffene fachabteilungen sind z. B. Personalabteilung, finanzbuchhaltung und controlling. die namenskonvention kann sich entweder nach dem modulnamen oder nach dem abteilungsnamen richten.Risiko: Vertrauliche informationen in druckaufträgen sind nicht gegen unbefugte Kenntnisnahme geschützt. (Streng) vertrauliche druckaufträge werden unbefugt gelesen oder auf fremde drucker umgeleitet und ausgedruckt. druckaufträge sind ungeschützt, sofern keine zusätzlichen SaP-zugriffsberechtigungen für den Schutz der druckausgaben aktiviert sind.tückisch ist, dass der Benutzer den unbefugten informationsabfluss aufgrund zu weitreichender zugriffsberechtigungen auf zwischengespeicherte daten oder druckaufträge nicht als risiko kennt. recherchen, ob oder wie ein unbefugter informationsabfluss erfolgt ist, sind wegen der fehlenden Protokollierung erschwert oder bleiben ohne ergebnis. hinweis: druckaufträge sind mandantenübergreifend.

1.1

Kontrollfragen zum Prozess:> Sind für jeden Benutzer die zulässigen drucker definiert?> werden druckaufträge mit (streng) vertraulichen daten mit einem Berechtigungswert geschützt?> Sind die Berechtigungen für druckaufträge mit (streng) vertraulichen daten restriktiv vergeben?transaktion SU03, Objektklasse Basis-administration,Objekt S_SPO_deV, - Verwendungsnachweis.

1.2

wird bei druckaufträgen mit (streng) vertraulichen daten die einstellung „löschen nach angabe“ eingesetzt?transaktion SU01, Stammdaten ausgewählter Benutzer anzeigen: prüfen, für welche Benutzer der eintrag „löschen nach angabe“ standardmäßig vorgegeben ist.Risiko: Standardmäßig verbleibt ein druckauftrag 8 tage im System (Spool-Verweildauer) und könnte in dieser zeit unbefugt eingesehen werden, wenn keine zusätzlichen zugriffskontrollen dies verhindern.

1.3

wer darf inhalte von druckaufträgen einsehen?report rSUSr002 mit den eingaben:S_tcOde = SP01 oder SP01OS_SPO_act (Spooler aktionen) mit aktionen SPOactiOn BaSe (Spool-aufträge auflisten) und diSP (inhalt eines Spool-auftrags anzeigen).

5 Systemintegrität auf der AnwendungsebeneSe

ite 74

Page 75: Prüfleitfaden SAP ERP 6.0

nr. SchUtz der drUcKaUfträGe

1.4

wer darf inhalte der druckaufträge anderer Benutzer im gleichen mandanten einsehen?hinweis (druckaufträge sind geschützt): es ist möglich auf geschützte Spool-aufträge anderer Benutzer im aktuellen mandanten zuzugreifen, falls folgende Berechtigung vergeben ist:report rSUSr002 mit den eingaben:S_tcOde = SP01 oder SP01OS_admi_fcd (Systemberechtigungen) mit wert SP0r (zugriff auf die Spool-aufträge anderer Benutzer im aktuellen mandanten)S_SPO_act (Spooler aktionen) mit aktionen SPOactiOn BaSe (Spool-aufträge auflisten) und diSP (inhalt eines Spool-auftrags anzeigen) sowie mit dem wert für die autorisierungsprüfung SPOaUth = „*“ oder __USer__.Hinweis: die zugriffsberechtigungen für die zugriffe auf den Spool sind in allen mandanten des Produktivsystems zu prüfen.diese Berechtigung ist nur an einen eingeschränkten Personenkreis zu vergeben, wenn dies aufgrund der unternehmensinternen risikoanalyse oder den unternehmensinternen Sicherheits-vorgaben gefordert ist.Risiko: Unberechtigter zugriff auf druckaufträge mit (streng) vertraulichen daten.SOS: Users – Other than the Spool admins – are authorized to display Other Users Spool requests (0192)SOS: Users – Other than the Spool admins – are authorized to display Protected Spool requests of Other Users (0198)

1.5

wer darf inhalte der druckaufträge anderer Benutzer in allen mandanten einsehen?hinweis (druckaufträge sind geschützt): es ist möglich, aus einem mandanten auf Spool-aufträge anderer Benutzer in allen mandanten zuzugreifen, falls folgende Berechtigung vergeben ist:report rSUSr002 mit den eingaben:S_tcOde = SP01 oder SP01OS_admi_fcd (Systemberechtigungen) mit wert SP01 (zugriff auf die Spool-aufträge anderer Benutzer in allen mandanten)S_SPO_act (Spooler aktionen) mit aktionen SPOactiOn BaSe (Spool-aufträge auflisten) und diSP (inhalt eines Spool-auftrags anzeigen) sowie mit dem wert für die autorisierungsprüfung SPOaUth = „*“ oder __USer__.diese Berechtigung ist nur an einen eingeschränkten Personenkreis zu vergeben, wenn dies aufgrund der unternehmensinternen risikoanalyse oder den unternehmensinternen Sicherheits-vorgaben gefordert ist.Risiko: Unberechtigter zugriff auf druckaufträge mit (streng) vertraulichen daten.SOS: Users – Other than the Spool admins – are authorized to display Other Users Spool requests (0192)SOS: Users – Other than the Spool admins – are authorized to display Protected Spool requests of Other Users (0198)

Seite

75

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 76: Prüfleitfaden SAP ERP 6.0

nr. SchUtz der drUcKaUfträGe

1.6

wer darf die druckausgabe auf einen anderen drucker umleiten?report rSUSr002 mit den eingaben:S_tcOde = SP01S_admi_fcd (Systemberechtigungen) mit wert SP01 (zugriff auf die Spool-aufträge anderer Benutzer in allen mandanten) oder SP0r (zugriff auf die Spool-aufträge anderer Benutzer im aktuellen mandanten)S_SPO_act (Spooler aktionen) mit aktion redi (Umlenken auf drucker gleichen typs).diese Berechtigung ist nur an einen eingeschränkten Personenkreis zu vergeben.Risiko: druckaufträge mit (streng) vertraulichen daten, die nur für besondere drucker in kontrollierten Bereichen bestimmt sind, können unbefugt auf einen beliebigen drucker umgeleitet werden.Hinweis: die zugriffsberechtigungen für die zugriffe auf den Spool sind in allen mandanten des Produktivsystems zu prüfen.SOS: Users – Other than the Spool admins – are authorized to redirect a Print request to another Printer (0195)SOS: Users – Other than the Spool admins – are authorized to export a Print request (0196)Hinweis: aktion „dOwn“ (herunterladen über SaPOffice) statt „redi“.

1.7

wer darf die Berechtigungswerte für druckaufträge, z. B. den eigentümer, ändern?report rSUSr002 mit den eingaben:S_tcOde = SP01S_admi_fcd (Systemberechtigungen) mit wert SP01 (zugriff auf die Spool-aufträge anderer Benutzer in allen mandanten) oder SP0r (zugriff auf die Spool-aufträge anderer Benutzer imaktuellen mandanten)S_SPO_act (Spooler aktionen) mit aktion aUth (Berechtigungswert eines auftrags ändern).diese Berechtigung ist nur an den eigentümer des druckauftrages zu vergeben.Risiko: Unberechtigter zugriff auf druckaufträge mit (streng) vertraulichen daten.Hinweis: die zugriffsberechtigungen für die zugriffe auf den Spool sind in allen mandanten des Produktivsystems zu prüfen.SOS: Users – Other than the Spool admins – are authorized to change the Owner of Spool requests (0194)

5 Systemintegrität auf der AnwendungsebeneSe

ite 7

6

Page 77: Prüfleitfaden SAP ERP 6.0

nr. SchUtz der drUcKaUfträGe

1.8

wer hat einsicht in temSe-Objekte?Hinweis: die temSe ist eine ablage für temporäre sequentielle daten, d. h. in der temSe werden Objekte gespeichert, die normalerweise nicht dauerhaft im System gehalten werden. das Spool-System verwendet die temSe zum temporären Speichern von ausgabedaten. Jedes temSe-Objekt besteht aus einem Kopfeintrag in der tabelle tSt01 und dem eigentlichen Objekt. dieses kann im dateisystem abgelegt sein (z. B. bei Job-Protokollen) oder in der tabelle tSt03 (z. B. bei hr-daten).es gibt unter anderem folgende temSe-Objekte:> Spool-aufträge (temSe-name: Spool....) > Job-Protokolle (temSe-name: JOBlG...) > Objekte aus anderen anwendungen wie z. B. aus der Personalwirtschaft (temSe-name: hr) > ein Objekt, dessen name mit KOnS beginnt; dieses Objekt wird ständig vom report rSPO1043 verwendet.report rSUSr002 mit den eingaben:S_tcOde mit SP11 oder SP12S_tmS_act mit > StmSactiOn = rea <lesen> und> (StmSOwner = GrP <fremde temSe Objekte im eigenen mandant>> oder Ocl <temSe Objekte in fremden mandanten>) und> StmSOBJect = SPOOl* <generischer name des temSe-Objektes>.diese Berechtigung ist nur an einen eingeschränkten Personenkreis zu vergeben.Risiko: zwischengespeicherte (streng) vertrauliche daten, die nur für einen Benutzer bestimmt sind (eigentümer), können unbefugt von einem anderen Benutzer eingesehen werden. SOS: Users – Other than the Spool administrators – are authorized to display the temSe content (0193)

2.

Kontrollziel: Angemessene Vergabe der Berechtigung zum Download.Gemäß der Sicherheitsrichtlinie des Unternehmens darf die Berechtigung S_GUi zum exportieren von tabellen und listen nur an den zulässigen Personenkreis vergeben werden.Risiko: Verlust der Vertraulichkeit durch unberechtigte weitergabe (streng) vertraulicher daten. Verstoß gegen das datenschutzgesetz durch zweckentfremdung, nicht zulässige weitergabe von daten oder missbrauch bei der weiterverarbeitung von daten. Vertrauliche informationen z. B. der Personal- oder finanzabteilung können auf den Pc eines Benutzers heruntergeladen, dort geändert, mit anderen daten verknüpft, weiterverarbeitet oder an unbefugte dritte übermittelt werden.

2.1

wer darf daten exportieren (Pc-download)?report rSUSr002 mit den eingaben:S_GUi mit aktivität 61 (exportieren).Hinweis: eine weitere spezifische einschränkung auf die art der information ist über dieses Objekt nicht möglich.

Seite

77

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 78: Prüfleitfaden SAP ERP 6.0

6 Software-Change-Management6.1 KOntrOllierte SOftwareänderUnGS- Und einSatzVerfahrendie gesetzlichen anforderungen an ein dokumentiertes phasenorientiertes Softwareänderungs- und-einsatzverfahren mit den erforderlichen freigabekontrollen sind zu erfüllen.

die SaP-Software bietet verschiedene softwaretechnische Konzepte und funktionen an, die die Steuerung und Kontrolle eines Software-change – managements unterstützen, z. B. das transport-management-System. diese Konzepte und funktionen sind entsprechend dem unternehmensindividuellen Konzept eines Software-change-managements auszuprägen und adäquat zu aktivieren.

6.2 riSiKen> Konzept, aufgaben und zuständigkeiten für das Software-change-management einer SaP-Systemland- schaft sind nicht definiert.> die erforderlichen funktionstrennungen eines geordneten entwicklungs-, tests- und freigabeverfahrens sind nicht im SaP-System abgebildet.> Schwachstellen bei der implementierung des SaP eigenen Software-transport-Systems ermöglichen ein Umgehen der internen Kontrollen und gefährden System- und datenintegrität.> System- und datenintegrität ist nicht gewährleistet, weil Softwareentwicklung im Produktivsystem möglich ist.> entwickler können über eine autorisierte Softwareänderung einen funktionsbaustein in das Produktiv- system einführen, der als hintertür für das einbringen weiterer ausführbarer codes zur manipulation am System und an daten dient.> im Produktivsystem sind eigenentwickelte Programme im einsatz, die aufgrund fehlender programmierter Berechtigungsprüfungen von jedem Benutzer ausgeführt und zu nicht auftragsbezogenen manipulationen verwendet werden können.> Gesetzliche anforderungen an die nachvollziehbarkeit von Programm- / tabellen-änderungen und gesetzliche aufbewahrungspflichten sind nicht umgesetzt: änderungen an Programmen / tabellen werden nicht protokolliert und archiviert.

6.3 KOntrOllziele> ein Konzept für das Software-change-management der SaP-landschaft liegt vor.> Vorgaben für ein geordnetes entwicklungs-, test- und freigabeverfahren sind definiert und dokumentiert.> das SaP transportmanagementsystem (tmS) unterstützt das geordnete entwicklungs-, test- und freigabeverfahren und ist sicher implementiert.> Softwareentwicklung im Produktivsystem ist ausgeschlossen, die dazu von SaP bereitgestellten softwaretechnischen Kontrollen sind aktiviert.> eigenentwicklungen unterliegen definierten und dokumentierten Programmierstandards und einer Qualitätskontrolle.> die von SaP bereitgestellten funktionen zur Unterstützung der gesetzlichen anforderung an nachvoll- ziehbarkeit und aufbewahrung von änderungen an Programmen / tabellen sind ordnungsgemäß und sicher implementiert.

Seite

78

Page 79: Prüfleitfaden SAP ERP 6.0

6.4 PrüfPrOGramm: OrdnUnGSmäSSiGe Und Sichere imPlementierUnG deS tranSPOrt manaGement SyStemS

nr. tranSPOrtmanaGementSyStem (tmS)

1.

über das transportmanagementsystem (tmS) werden die transportwege und -strategien festgelegt, um neue oder geänderte Objekte in das Produktivsystem einzuspielen. über das tmS werden auch das Qualitätssicherungsverfahren und der workflow für die Sondertransporte konfiguriert. Kontrollziel: 1. Das interne Kontrollsystem verlangt eine Funktionstrennung zwischen planenden, ausführenden und überwachenden Stellen.a. die funktionstrennung zwischen fachabteilung, anwendungsentwicklung und Systemadmini-stration wird eingehalten.b. wenn das Qualitätssicherungsverfahren in der mehrstufigen SaP-Systemlandschaft aktiviert ist, kann ein auftrag nur dann in das Produktivsystem importiert werden, wenn alle Genehmi-gungsschritte abgearbeitet sind.2. Der Zugriff auf das Transportmanagementsystem, das Transportverzeichnis und die Transportdaten ist nur für berechtigte Mitarbeiter möglich.Risiko: entwickler importieren ohne auftrag geänderte Software selbst in das Produktivsystem. test- und freigabeschritte sind nicht vorgegeben oder werden umgangen. nicht autorisierte änderungen an den einstellungen des transportsystems und an den transportdaten selbst sind möglich.

1.1

wie sind die transportwege definiert?transaktion StmS, übersicht – transportwegeOder aiS: System audit – transportverbund – transport management System – werkzeuge – Kon-figuration anzeigen (?)

1.2

Gibt es ein Qualitätssicherungsverfahren mit Genehmigungsstufen für den Software change management Prozess?transaktion StmS, „übersicht – Systeme“, menüpfad „Springen – transportdomäne“, register „Qa-Genehmigungsverfahren“Oder aiS: System audit – transportverbund – transport management System – werkzeuge – Kon-figuration anzeigen (?).

1.3welche zugriffsrechte sind auf das transportverzeichnis vergeben? (auf Betriebssystemebene gemäß SaP-Sicherheitsleitfaden eingestellt?)

1.4

wer darf die einstellungen des transport management Systems initialisieren?report rSUSr002 mit den eingaben:S_tcOde = StmSS_ctS_admi (change and transport Organizer) mit funktion init (inititialisieren nach Systemkopie).diese Berechtigung ist restriktiv an die Systemadministration zu vergeben.SOS: Users – Other than the System and transport admins – are authorized to change the tmS configuration (0341)

Seite

79

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09 ©

dSa

G e

. V.

Page 80: Prüfleitfaden SAP ERP 6.0

nr. tranSPOrtmanaGementSyStem (tmS)

1.5

wer darf transportwege pflegen?report rSUSr002 mit den eingaben: S_tcOde = StmSS_ctS_admi (change and transport Organizer) mit funktion taBl (Pflege der Steuertabellen).diese Berechtigung ist restriktiv an die Systemadministration zu vergeben.

2 Entwicklungsklassen, Aufgaben und Änderungstransporte

2.1welche selbst definierten entwicklungsklassen werden genutzt?tabelle tdeVc, Selektion auf „entw.klasse“ mit y* und z*

2.2

wer darf entwicklungsklassen anlegen, die tabelle tadir, ändern?report rSUSr002 mit den eingaben: S_tcOde = Sm30 oder Sm31S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe SS (Systemtabellen)S_taBU_cli (tabellenpflege mandantenunabhängiger tabellen) mit Kennzeichen X (ändern mandantenunabhängiger tabellen).das anlegen von entwicklungsklassen sollte durch die Systemadministration oder Projektleitung geschehen, nicht durch die entwickler selbst.

2.3

wer darf transportierbare änderungsaufträge im entwicklungssystem anlegen?report rSUSr002 mit den eingaben:S_tcOde = Se01 oder Se09 oder Se10S_tranSPrt (change and transport Organizer) mit aktivität 01 (anlegen) und auftragstyp dtra (transportierbare änderungsaufträge) oder auftragstyp cUSt (customizing aufträge).das anlegen neuer änderungsaufträge sollte durch die Systemadministration oder Projektleitung geschehen.

2.4

wer darf aufgaben im entwicklungssystem anlegen?report rSUSr002 mit den eingaben:S_tcOde = Se01 oder Se09 oder Se10S_tranSPrt (change and transport Organizer) mit aktivität 01 (anlegen) und auftragstyp taSK.das anlegen neuer aufgaben innerhalb eines auftrages sollte gemäß funktionstrennung durch Systemadministration oder Projektleitung erfolgen.SOS: Users – Other than the System and transport admins – are authorized to create and release transports (0343)

2.5

wer darf änderungsaufträge im entwicklungssystem freigeben?report rSUSr002 mit den eingaben:S_tcOde = Se01 oder Se09 oder Se10S_tranSPrt (change and transport Organizer) mit aktivität 43 (freigeben) und auftragstyp dtra (transportierbare änderungsaufträge)aufträge sollten ausschließlich durch Systemadministration oder Projektleitung freigegeben werden.SOS: Users – Other than the System and transport admins – are authorized to create and release transports (0343)

6 Software-Change-ManagementSe

ite 8

0

Page 81: Prüfleitfaden SAP ERP 6.0

nr. tranSPOrtmanaGementSyStem (tmS)

2.6

wer darf einzelne transportaufträge importieren?report rSUSr002 mit den eingaben: S_tcOde = StmSS_ctS_admi (change and transport Organizer) mit funktion imPS (importieren einzelner aufträge).der import der transporte ins zielsystem ist ausschließlich der Systemadministration vorbehalten.SOS: Users – Other than the System and transport admins – are authorized to Start imports to Production (0342)

2.7

wer darf alle transportaufträge der importqueue importieren?report rSUSr002 mit den eingaben: S_tcOde = StmSS_ctS_admi (change and transport Organizer) mit funktion imPa (importieren aller aufträge).der import der transporte ins zielsystem ist ausschließlich der Systemadministration vorbehalten.SOS: Users – Other than the System and transport admins – are authorized to Start imports to Production (0342)

2.8

wer darf transportaufträge aus der importqueue löschen?report rSUSr002 mit den eingaben:S_tcOde = StmSS_ctS_admi (change and transport Organizer) mit funktion tdel (transportaufträge löschen).das löschen von transporten ist ausschließlich der Systemadministration vorbehalten.

2.9

wer darf transporte in das Produktivsystem genehmigen?report rSUSr002 mit den eingaben: S_tcOde = StmSS_ctS_admi (change and transport Organizer) mit funktion Qtea (Genehmigen von transpor-ten).die Genehmigung der transporte ins zielsystem ist ausschließlich der Systemadministrator der einer eigens dazu bestimmten funktion vorbehalten.Risiko: durch eine fehlende funktionstrennung können entwicklungen ohne freigabeverfahren ins Produktivsystem importiert werden.SOS: Users are authorized to approve transports (0346)

Seite

81

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09 ©

dSa

G e

. V.

Page 82: Prüfleitfaden SAP ERP 6.0

6.5 PrüfPrOGramm: einhaltUnG der reGeln deS SOftware-chanGe- manaGementS für daS PrOdUKtiVSyStem

nr. einhaltUnG der reGeln deS SOftware-chanGe-manaGementS für daS PrOdUKtiVSyStem

1.

das Software-change-management sieht eine dreistufige entwicklung über ein entwicklungs-, ein test- und Qualitäts- und ein Produktivsystem vor.Kontrollziel:1. über ein gestuftes auftrags-, test,- und freigabeverfahren wird sichergestellt, dass nur autorisierte Programme und Programmänderungen zum einsatz kommen. Im Produktivsystem dürfen keine Entwicklerberechtigungen vergeben sein.2. Für eigenentwickelte Programme gibt es Programmiervorgaben (Style Guide) insbeson-dere für Berechtigungsprüfungen, die den ordnungsmäßigen und sicheren einsatz der Pro-gramme im Produktivsystem sicherstellen. Die Einhaltung dieser Vorgaben wird überwacht.Risiko: Verlust der Verfügbarkeit, der integrität von daten und Systemen, Verlust der Vertraulichkeit1. im Produktivsystem sind entwicklerberechtigungen vergeben, die ein Unterlaufen der vorgegebenen Kontrollen des Software change management Prozesses ermöglichen.2. im Produktivsystem sind eigenentwickelte Programme im einsatz, die aufgrund fehlender programmierter Berechtigungsprüfungen von jedem Benutzer ausgeführt und zu nicht auftrags-bezogenen manipulationen verwendet werden können.

1.1

wer darf im Produktivsystem Patches einspielen?report rSUSr002 mit den eingaben:S_tcOde = SPamS_tranSPrt mit auftragstyp „Patc“diese Berechtigung darf im Produktivsystem nur an Systemadministratoren vergeben sein.SOS: Users – Other than the System administrators – are authorized to apply Patches (0363)

1.2H

wer darf im Produktivsystem aBaP-Programme anlegen?report rSUSr002 mit den eingaben:S_tcOde = Se*S_deVelOP mit aktivität 01 (anlegen) und Objekttyp PrOG.diese Berechtigung darf im Produktivsystem nur an notfallbenutzer vergeben sein.Risiko: Unberechtigte Benutzer oder entwickler legen ohne auftrag Programme im Produktiv-system an.SOS: Users are authorized to development in the Production System (0307)

1.3H

wer darf aBaP-Programme im Produktivsystem ändern?report rSUSr002 mit den eingaben:S_tcOde = Se*S_deVelOP mit aktivität 02 (ändern) und Objekttyp PrOG.diese Berechtigung darf im Produktivsystem nur an notfallbenutzer vergeben sein.Risiko: Unberechtigte Benutzer oder entwickler ändern ohne auftrag Programme im Produktiv-system.SOS: Users are authorized to development in the Production System (0307)

1.4

wer darf debuggen mit hauptspeicheränderungen?report rSUSr002 mit den eingaben:S_tcOde = Se*S_deVelOP mit aktivität 02 (ändern) und Objekttyp deBUG. die anderen felder des Objektes S_deVelOP sind für diese Prüfungshandlung nicht relevant.diese Berechtigung ist im Produktivsystem nicht zulässig.risiko: Verstoß gegen § 239, abs. iii hGB (radierverbot).SOS: Users are authorized to debug and replace field Values in the Production System (0308)

6 Software-Change-ManagementSe

ite 8

2

Page 83: Prüfleitfaden SAP ERP 6.0

nr. einhaltUnG der reGeln deS SOftware-chanGe-manaGementS für daS PrOdUKtiVSyStem

1.5

wurden in letzter zeit im Produktivsystem im debug-modus hauptspeicherinhalte geändert?aiS: System audit – Systemprotokolle und Statusanzeigen – Systemprotokoll – Systemprotokoll datei, keine Selektion, wechsel in den expertenmodus über den menüpunkt „Bearbeiten – exper-tenmodus“, aktivieren der Schaltfläche „meld.kennungen“, dann Selektion „nur diese meldun-gen“ und eingabe der meldungsnummer a19.die änderungen müssen unter einhaltung des Vier-augen-Prinzips durchgeführt worden und dokumentiert sein.

1.6welche elemente der tabelle tadir wurden im Produktivsystem angelegt?tabelle tadir, Selektion im feld „OBJ_name“ mit werten y* und z* und im feld „SrcSyStem“ den namen des Produktivsystems.

1.7

wer darf änderungsanträge anlegen (im Produktivsystem für reparaturen)?report rSUSr002 mit den eingaben:S_tcOde = Se01 oder Se09 oder Se10S_tranSPrt (change and transport Organizer) mit aktivität 01 (anlegen) und auftragstyp dtra.dieses zugriffsrecht ist nur an den notfallbenutzer zu vergeben.

1.8H

wurden im Produktivsystem reparaturen durchgeführt?1. tabelle e070, Selektion auf „typ“ (trfUnctiOn) mit r (alle reparaturen)2. inhalt der aufträge mit transaktion Se01 oder report rSwBO050 prüfen.nur notfallbenutzer dürfen unter einhaltung des Vier-augen-Prinzips reparaturen im Produktiv-system durchführen. die reparaturen sind manuell zu dokumentieren, weil SaP keine automa-tische Protokollierung der reparaturen im Produktivsystem vorsieht.

1.9

wer ist berechtigt, reparaturkennzeichen im Produktivsystem zu ändern?report rSUSr002 mit den eingaben:S_tcOde = Sm30 oder Se03S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe SS (System-tabellen)S_taBU_cli (tabellenpflege mandantenunabhängiger tabellen) mit Kennzeichen X (ändern mandantenunabhängiger tabellen).dieses zugriffsrecht ist nur an die Systemadministration vergeben.

2.

Kontrollziel: Die gesetzlich erforderliche Versionsführung von Programmen ist gewährleistet.Risiko: Versionen werden auf mehreren SaP-Systemen der gleichen mehrstufigen SaP-land-schaft (entwicklung-, test-, integrations-, Produktiv-System) geführt. Versionen werden nicht autorisiert gelöscht, bevor sie archiviert worden sind.

2.1

wurde durch den import neuer Programmversionen eine Versionshistorie im Produktivsystem erzeugt?report rStmStPP, der für ein System die transportparameter anzeigt.Selektionsmaske: name des Produktivsystems.der Parameter VerS_at_imP gibt an:neVer – es werden keine Versionen erzeugt.alwayS – es werden Versionen erzeugt.Hinweis: falls die Versionshistorie grundsätzlich im Produktivsystem vorgehalten wird, sind auch im Produktivsystem die beiden reports rSVcad03 / 04 gegen ausführung zu schützen.Risiko: aufbewahrungspflichtige Programmversionen werden nicht archiviert. Sie sind laut hGB 10 Jahre aufbewahrungspflichtig.SOS: Program Versioning during import is not enabled (0349)

Seite

83

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09 ©

dSa

G e

. V.

Page 84: Prüfleitfaden SAP ERP 6.0

nr. einhaltUnG der reGeln deS SOftware-chanGe-manaGementS für daS PrOdUKtiVSyStem

2.2

Können die reports rSVcad03 und rSVcad04 zum löschen von Versionen (im entwicklungssystem)benutzt werden?die beiden reports rSVcad03 und -04 sind gegen unbefugte ausführung zu schützen, z. B. durch deren zuordnung zu einer Berechtigungsgruppe, die nicht vergeben wird.Risiko: das löschen der Versionshistorie ist damit möglich.in der SaP-Standardauslieferung sind die reports rSVcad03 (löschen aller Versionen eines Objektes) und rSVcad04 (löschen aller Versionen eines Objektes bis zu einem bestimmten datum) nicht durch Berechtigungsprüfungen oder Berechtigungsgruppen geschützt. es besteht damit für Benutzer uneingeschränkt die möglichkeit, Versionen zu löschen, die i. d. r. standard-mäßig auf dem entwicklungssystem geführt und von dort aus archiviert werden. dann ist keine nachvollziehbarkeit mehr über die Programmänderungen gegeben. es wird gegen die gesetz-liche dokumentations- und aufbewahrungspflicht von Programmänderungen verstoßen.

3.H

Kontrollziel: Für die Programm-Entwicklung sind Vorgaben für die Codierung von Standardbausteinen gesetzt, die die Sicherheitsmechanismen des SAP internen Sicher-heitskontrollsystems unterstützen und damit die System- und Datenintegrität sicherstellen.Risiko: anwendungsentwickler können die ausprägung der sicherheitsrelevanten Parameter von Standardprogrammierbausteinen unterlassen und somit Programme fertig stellen, die das SaP interne Sicherheitskontrollsystem unterlaufen.Oder sie können nicht auftragsbezogen und damit nicht autorisiert funktionsaufrufe verwenden, die zur manipulation von daten vorgesehen sind. Beispiele für solche funktionsaufrufe sind:> inSert rePOrt (aBaP Kommando)> editOr-call fOr rePOrt (aBaP Kommando)> delete_USer_On_dB (funktionsmodul)> BaPi_USer_* (funktionsmodul).

3.1

wird die funktion des code inspectors regelmäßig genutzt (verfügbar ab weB aS 6.10)?Hinweis: der Kunde muss den code inspector im detail einstellen, z. B. welche Programme er auf welche funktionsaufrufe untersuchen soll. es gibt keine abschließende liste kritischer funktionsaufrufe.SOS: development Sources are not Scanned for critical Statements (0335)

3.2

Sind in eigenentwickelten aBaP-Programmen Berechtigungsprüfungen eingebaut?report rPr_aBaP_SOUrce_Scan mit folgender Selektion auf gesuchten String: aUthOrity-checKUnternehmensspezifische Programmierrichtlinien (Style Guide) enthalten Vorgaben, für welche Programme welche Berechtigungsprüfungen zwingend zu implementieren sind. die einhaltung der Vorgaben wird überwacht.Risiko: wenn keine Berechtigungsprüfungen in eigenentwickelten Programmen implementiert sind, können alle Benutzer dieses Programm ausführen. das führt bei unbefugter nutzung, z. B. bei reports mit (streng) vertraulichen daten zum Verlust der Vertraulichkeit, bei buchungsrele-vanten Programmen zum Verlust der integrität der Buchungsdaten.

6 Software-Change-ManagementSe

ite 8

4

Page 85: Prüfleitfaden SAP ERP 6.0

nr. einhaltUnG der reGeln deS SOftware-chanGe-manaGementS für daS PrOdUKtiVSyStem

3.3

wird in neu angelegten aBaP-Programmen der Befehl eXec SQl verwendet?report rPr_aBaP_SOUrce_Scan mit folgenden Selektionen:Programmname: y*, z*Programmtyp: 1 (ausführbares Programm)includes auflösen: aktivierenKommentarzeile ignorieren: aktivieren.Unternehmensspezifische Programmierrichtlinien (Style Guide) enthalten die Vorgabe, dass in eigenentwickelten Programmen der Befehl eXec SQl nur bei systemnahen zugriffen auf die datenbank, z. B. für ein monitoring, verwendet wird. die einhaltung dieser Vorgabe wird überwacht.Risiko: über diese Programme können tabellen in der datenbank direkt geändert werden. die Sicherheitskontrollstruktur von SaP kann damit unterlaufen werden.

3.4

wird in neu angelegten aBaP-Programmen der Select zusatz client SPecified verwendet?report rPr_aBaP_ SOUrce_Scan mit folgender Selektion auf den gesuchten String: client SPecifiedUnternehmensspezifische Programmierrichtlinien (Style Guide) enthalten die Vorgabe, dass in eigenentwickelten im Select-Befehl die Klausel client SPecified verwendet werden muss, wenn daten nicht mandantenübergreifend gelesen werden müssen. die einhaltung dieser Vorgabe wird überwacht.Risiko: ein Programm ohne diesen zusatz bei der Select routine ermöglicht den Benutzern den zugriff auf tabellen aus anderen mandanten, z. B. aus einem nicht-Produktivmandanten auf den Produktivmandanten des gleichen SaP-Systems.

3.5

werden in neu angelegten dialoganwendungen enQUeUe-Bausteine zur Sperrung von daten genutzt?report rPr_aBaP_ SOUrce_Scan mit folgender Selektion auf gesuchten String: enQUeUeUnternehmensspezifische Programmierrichtlinien (Style Guide) enthalten die Vorgabe, dass in eigenentwickelten dialogprogrammen bei der Programmierung eines tabellenzugriffes, der daten verändert, ein enqueue-Baustein aufgerufen werden muss, um konkurrierende tabellen-änderungszugriffe abzufangen. die einhaltung dieser Vorgabe wird überwacht.Risiko: Konkurrierender tabellenzugriff, d. h. dass mehrere Benutzer den gleichen tabellensatz gleichzeitig ändern möchten, führt zu nicht vorhersehbarem ergebnis, zur dateninkonsistenz, wenn dies technisch nicht durch eine entsprechende Sperrroutine beim ersten aufruf des betreffenden datensatzes abgefangen wird.

Seite

85

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09 ©

dSa

G e

. V.

Page 86: Prüfleitfaden SAP ERP 6.0

7 Systemintegrität mit dem SAP Java-Stack7.1 neUe Und Parallele SOftware-entwicKlUnGS- Und anwendUnGSUmGeBUnGSaP stellt den Java Stack auf einem anwendungsserver gemäß der Spezifikation J2ee (Java 2 enterprise edition) bereit. die Java-basierte technologie wird hauptsächlich für web-basierte anwendungsszenarien eingesetzt.

7.2 riSiKen> die Sicherheitsanforderungen der Java architektur sind nicht ermittelt, bekannt und umgesetzt.> die anforderungen an ein geregeltes Softwareänderungs- und einsatzverfahren sind nicht umgesetzt.

7.3 KOntrOllziele> die Sicherheitsempfehlungen von SaP zur sicheren Konfiguration der Java architektur sind umgesetzt.> die anforderungen an ein geregeltes Softwareänderungs- und einsatzverfahren sind mit den mitteln von SaP unterstützt (Software deploy manager, Sdm, und change management Service, cmS).

communication Protocols:

Internet Demilitarized Zone(DMZ)

Intranet

AS Java Cluster

web client

Visual administrator (reverse proxy /

webfilter)

ApplicationGateway

Serverdeploy tool

Shell admin

Sdm GUi

P4

ldaP

telnet

httP

rfc

JdBc

Session

Sdm client / servertcP / iP based

Sdm Java aPi

Sdm Server

admin tools

aS-Java

Sdm clients

dispatcher

User Persistence Store

Visualadministrator

aS-aBaP

ldaPdirectory

database

web application(SaP, non SaP)

database SaP System

Backend Systems

Seite

86

Page 87: Prüfleitfaden SAP ERP 6.0

7.4 PrüfPrOGramm: Sichere KOnfiGUratiOn deS SaP JaVa StacKnr. Sichere KOnfiGUratiOn deS SaP JaVa StacK

1.Kontrollziel: Sichere Konfiguration des SAP Java StackRisiko: Sicherheitsrisiken im Betrieb eines SaP Java Stacks sind nicht beurteilt und abgestellt. der SaP Java Stack bleibt in dem ungesicherten zustand nach erfolgter Standardinstallation.

1.1werden überhaupt Java basierte Produkte oder anwendungen eingesetzt?falls dies nicht zutrifft, können alle dienste des Java Stack deaktiviert werden.

1.2Sind nicht benötigte dienste abgeschaltet? ist der folgende SaP-hinweis bekannt und umgesetzt worden?SAP-Hinweis: 871 394, „dispensable functions with impact on security“.

1.3

ist der http-dienst gesichert?> ist die Verzeichnisanzeige unterbunden?> Sind nicht benötigte aliase deaktiviert?> ist das hochladen von daten ausgeschlossen (http PUt)?SAP-Hinweis: 604 285, „Security vulnerability by unprotected http PUt method“.SOS: httP Based Browsing ieX (0780)SOS: restriction of httP PUt method ieX (0779)

1.4

ist die kryptografische funktionsbibliothek konfiguriert?die datei iaiK_Jce.Jar muss manuell in das Verzeichnis <SaPj2eeengine_install_dir> / ad-min / lib gebracht werden.Hinweis: Per default wird die SaP J2ee engine nur mit der exportversion des Sicherheitswerk-zeugkastens ausgeliefert. diese enthält nur die funktionen für die digitale Verschlüsselung, nicht aber die Verschlüsselungsfunktion, um SSl zu unterstützen.SOS: installation of the SaPcryptolib ieX (0871)

1.5

Sind die Betriebssystemdateien mit den streng vertraulichen anmeldeinformationen stark verschlüsselt?Hinweis 1: die J2ee engine speichert standardmäßig sichere daten in der datei \usr\sap\<Sid>\SyS\global\security\data\SecStore.properties im dateisystem. diese datei wird während der installation geschaffen und die J2ee engine benutzt sie, um informationen über die datenbank-verbindungen zu speichern, z. B. über den datenbankbenutzer SaP<Sid>dB, sein Passwort, über die datenbankbasis sowie informationen über den Benutzeradministrator und sein Passwort.Hinweis 2: zur Verschlüsselung der Passworte des datenbankbenutzers SaP<Sid>dB und des administrator-Benutzers sollte die SaP Java cryptographic library aktiviert sein. wenn die SaP Java cryptographic library genutzt wird, werden die Passworte mit dem triple deS Verfahren verschlüsselt anstatt mit dem base64 Verfahren.SOS: Strong encryption for the Secured Storage in the file System ieX (0882)

Seite

87

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 88: Prüfleitfaden SAP ERP 6.0

nr. Sichere KOnfiGUratiOn deS SaP JaVa StacK

1.6

welche Benutzer sind in der Standardbenutzergruppe „administrators“?Hinweis: Benutzer der Gruppe „administrators“ haben uneingeschränkte administrator Privilegien auf den Java-anwendungsserver. Sie haben die Berechtigung alle anderen Benutzer zu verwalten, einschließlich anderer Benutzer mit administrator-Privilegien. Sie können alle Sicherheitseinstellungen verändern. es gibt außerhalb dieser Gruppe keine anderen Benutzer, die für die Benutzer- und Sicherheitsadministration zuständig sind. nur Systemadministratoren dürfen in der Standardbenutzergruppe „administrators“ sein.SOS: Users of Standard User Group „administrators“ ieX (0893)

1.7an welche Benutzer ist die Sicherheitsrolle „telnet_login“ vergeben?Sie darf nur an die administratoren der J2ee engine vergeben sein.SOS: J2ee Server remote administration with telnet ieX (0775)

1.8

ist das Java-Stack Single Sign-On sicher konfiguriert?Sind der SSl Service Provider und das SSl Server zertifikat angegeben?ist der startup modus auf „always“ gesetzt, sodass der SSl dienstleister aktiviert ist?SOS: Start of the SSl Service Provider ieX (0872)ist für cn=localhost das default Server certificat ersetzt?SOS: default SSl Server certificate ieX (0873)

7.5 PrüfPrOGramm: aUthentiSierUnG Und aUtOriSierUnG (JaVa StacK)nr. aUthentiSierUnG Und aUtOriSierUnG Bei nUtzUnG deS SaP-JaVa-StacK

1.

Kontrollziel: Sichere Authentisierung und Autorisierung des SAP-Java-Stacks-Risiko: Sicherheitsparameter sind nicht oder fehlerhaft konfiguriert. die Passwortbildungsregeln und anmeldekontrollen sind nicht, widersprüchlich oder unzureichend gesetzt, um eine wirksame Kontrolle auf die zugriffe auszuüben. die protokollierten Sicherheitsereignisse aus der anmeldung oder aus der Benutzer- und Berechtigungsverwaltung werden nicht regelmäßig überwacht.

1.1 Gibt es ein Benutzer- und Berechtigungskonzept speziell für den SaP-Java-Stack?

1.2

wie ist der Benutzerpersistenzspeicher konfiguriert?Hinweis: es gibt zwei technische möglichkeiten, um Benutzer und ihre zugriffsrechte zu verwalten, entweder über die nutzung des J2ee Java authentication and authorization Service (JaaS) oder über die darauf aufbauende SaP spezifische User management engine (Ume). die Ume lässt wiederum drei Optionen zu, wie die Stamm- und anmeldedaten gespeichert werden:> in der eigenen J2ee-datenbank> in anbindung an ein ldaP-Verzeichnis> im SaP weB anwendungsserver SaP (aBaP Stack).

1.3

wie sind die authentisierungsmodule konfiguriert?Hinweis: es gibt drei technische möglichkeiten, um die anmeldung beim zugriff auf den Java-Stack zu regeln (authentisierungsverfahren):> Benutzernamen und Passwort-Verfahren> zertifikate> Single-Sign-On-tickets.weitere Verfahren können aktiviert werden, indem z. B. Bibliotheken von drittherstellern installiert werden, die dem Java-Standard der JaaS-Schnittstelle genügen.

7 Systemintegrität mit dem SAP Java-StackSe

ite 8

8

Page 89: Prüfleitfaden SAP ERP 6.0

nr. aUthentiSierUnG Und aUtOriSierUnG Bei nUtzUnG deS SaP-JaVa-StacK

1.4

werden sowohl der J2ee Java authentication and authorization Service (JaaS) als auch die SaP spezifische User management engine (Ume) zur administration von Benutzern und Berechtigungen eingesetzt?risiko: Benutzer- und Berechtigungsadministration erfolgt über zwei unterschiedliche anwendun-gen, auch wenn Ume softwaretechnisch auf JaaS aufgesetzt ist. nicht autorisierte oder konkurrie-rende einrichtung von Benutzern und deren Berechtigungen werden dadurch begünstigt.

User Management Engine (UME) Anmeldekontrollen

2.

Kontrollziel: Die Bildung der Benutzerkennung und des Kennworts unterliegt Komplexi-tätsregeln.Risiko: > Systemtechnische Benutzerkennungen oder die der administratoren sind aufgrund der funktion, für die sie eingerichtet werden, leicht zu erraten, sodass Kennwortattacken gezielt auf die erratenen Benutzerkennungen vorgenommen werden können.> das Kennwort ist einfach und kann mit wenigen anmeldeversuchen erraten werden.> der Benutzer verwendet wiederholt dasselbe Kennwort. er überlistet den systemseitig erzwung- enen wechsel des Kennworts, wenn keine oder eine zu kurze Passworthistorie gewählt ist.

2.1

Sind Bildungsregeln für Benutzerkennungen konfiguriert?in der „ume.logon.security_policy“in der datei „sapum.properties“ stehen folgende Parameter zur Verfügung:userid_digitsuserid_special_character_requireduseridmaxlengthuseridminlenght.die Bildungsregeln müssen gemäß den dokumentierten unternehmensindividuellen Vorgaben gesetzt sein.

2.2

Sind Bildungsregeln für Kennwörter konfiguriert?in der „ume.logon.security_policy“in der datei „sapum.properties“ stehen folgende Parameter zur Verfügung:password_max_lengthpassword_min_lengthpassword_alpha_numeric_requiredpassword_mix_case_requiredpassword_special_char_requiredoldpass_in_newpass_alloweduserid_in_password_allowedpassword_historypassword_impermissible.die Bildungsregeln müssen gemäß den dokumentierten unternehmensindividuellen Vorgaben gesetzt sein.SOS: Password contains Upper and lower case letters ieX (0807)

Seite

89

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 90: Prüfleitfaden SAP ERP 6.0

nr. aUthentiSierUnG Und aUtOriSierUnG Bei nUtzUnG deS SaP-JaVa-StacK

3Kontrollziel: Die Gültigkeitsdauer eines Kennworts ist beschränkt.Risiko: Benutzerkennungen verbleiben lange mit initialkennwort. der Benutzer kann dasselbe Kennwort monatelang verwenden. es besteht das risiko, dass das initialkennwort bekannt ist oder dass das Kennwort ausgespäht worden ist.

3.1

wird regelmäßig ein wechsel des Kennworts erzwungen?in der „ume.logon.security_policy“ in der datei „sapum.properties können dazu folgende Parameter genutzt werden:password_change_allowedpassword_expire_dayspassword_last_change_date_defaultpassword_successful_check_date_defaultpassword_max_idle_time.die anmelderegeln müssen gemäß den dokumentierten unternehmensindividuellen Vorgaben gesetzt sein.SOS: regular Password change ieX (0805)

4Kontrollziel: Erschweren des Ausprobierens von KennwortenRisiko: Kennworte fremder Benutzerkennungen können über wiederholte anmeldeversuche ausprobiert werden.

4.1

werden Kennwortfehlversuche registriert und erfolgt eine automatische Sperre?in der „ume.logon.security_policy“ in der datei „sapum.properties können dazu folgende Parameter genutzt werden:lock_after_invalid_attemptsauto_unlock_time.die anmelderegeln müssen gemäß den dokumentierten unternehmensindividuellen Vorgaben gesetzt sein. SOS: number of allowed failed logon attempts ieX (0802)SOS: lock time after failed logon attempts ieX (0801)

User Management Engine (UME) Benutzer- und Berechtigungsverwaltung

5.

Kontrollziel: Rollen- und aufgabenspefische Vergabe von AdministrationsberechtigungenRisiko: der Grundsatz der funktionstrennung ist nicht eingehalten. administrationsberechtigungen sind auch an Benutzer vergeben. derselben administratorkennung sind unterschiedliche rollen der Benutzer- und Berechtigungsverwaltung.

5.1

welche Benutzer sind der rolle „administrators“ zugeordnet (Benutzergruppe im Ume Benutzer-speicher)?Hinweis: der Ume web admin und der Visual admin, haben die „administrators“ rolle zugeordnet. Sie können alle Benutzerdaten uneingeschränkt pflegen. nur Benutzer- und Berechtigungsadministratoren dürfen in der Ume Benutzergruppe „admini-strators“ sein.SOS: Users of Ume User Group „administrators“ ieX (0793)

7 Systemintegrität mit dem SAP Java-StackSe

ite 9

0

Page 91: Prüfleitfaden SAP ERP 6.0

nr. aUthentiSierUnG Und aUtOriSierUnG Bei nUtzUnG deS SaP-JaVa-StacK

5.2

welche der folgenden administrationsberechtigungen sind an welche Benutzer vergeben?Ume.manage_User_PasswordsUme.manage_allUme.manage_UsersUme.manage_all_companiesUme.manage_GroupsUme.manage_rolesUme.Batch_admin.diese administrationsberechtigungen sind restriktiv nur an die zuständigen administratoren zu vergeben.

5.3

wird das Protokoll über Sicherheitsereignisse (Security logging) regelmäßig überwacht?Protokolldatei über den log Viewer: . / log / system / security.logProtokolldatei im dateisystem: / usr / sap / <Sid> / <instance_number> / j2ee / cluster / server<X> /log / system / security.logdiese Protokolldatei enthält die aufzeichnung relevanter Sicherheitsereignisse wie erfolglose anmeldungen oder das anlegen oder ändern von Benutzern, Gruppen oder rollen.

Im Einzelnen:user.create und useraccount.create Benutzer neu angelegtrole.create anlegen von rollenrole.modify ändern von rollenislocked Benutzer gesperrt / entsperrtlogin.error fehlgeschlagene anmeldeversuche (iP-adresse wird mitgeloggt.)

5.4

werden die Konfigurationseinstellungen des Kommunikationsbenutzers zwischen der Ume und den angebundenen SaP-Systemen geprüft?Standardmäßig wird der Benutzer SaPJSf verwendet. SaP liefert die rollen SaP_Bc_JSf_cOm-mUnicatiOn (Schreibrechte auf Benutzerkonten) und SaP_Bc_JSf_cOmmUnicatiOn_rO (lesezugriff auf Benutzerkonten) aus.der Kommunikationsbenutzer muss vom typ System und darf nicht vom typ Service oder dialog sein, da keine Online-anmeldung erlaubt ist.

5.5

wird der Java-Benutzer SaP* als notfallbenutzer eingesetzt?

der Benutzer SaP* in Java-Systemen ist nicht zu verwechseln mit dem in ‚klassischen‘ SaP-Systemen. er verfügt über volle administrationsberechtigungen und wird in der Ume als notfallbenutzer eingesetzt. er verfügt über kein Standard-Kennwort. dieses wird über eine Ume-eigenschaft gesetzt.

durch aktivierung des Benutzers SaP* als notfallbenutzer werden nach dem neustart des Java-anwendungsservers alle anderen Benutzer deaktiviert.ume.superadmin.activated aktiviert bzw. deaktiviert den Benutzer als notfallbenutzer (trUe / falSe)ume.superadmin.password enthält das Kennwort des notfallbenutzersdiese einstellung darf nur in einem tatsächlichen notfall gesetzt werden.

Seite

91

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 92: Prüfleitfaden SAP ERP 6.0

7.6 PrüfPrOGramm: SaP JaVa StacK SOftwareVerteilUnGnr. aUthentiSierUnG Und aUtOriSierUnG Bei nUtzUnG deS SaP-JaVa-StacK

1.

Kontrollziel: Sichere Konfiguration der SAP-Java-Stack-SoftwareverteilungRisiko: entwickler importieren ohne auftrag geänderte Software selbst in das Produktivsystem. test- und freigabeschritte sind nicht vorgegeben oder werden umgangen. nicht autorisierte änderungen an den einstellungen des change management Service (cmS) und an den transport-daten selbst sind möglich.

1.1 Gibt es ein Konzept für die SaP Softwareverteilung, das auf die SaP Java Stack Umgebung zugeschnitten ist?

1.2 Sind die getrennten zuständigkeiten in den Phasen der entwicklung, des testens und der abnahme geregelt?

1.3

wer darf Softwareverteilungen direkt aus einer entwicklungsumgebung in ein Produktivsystem vornehmen?Risiko: Software kann aus der entwicklungsumgebung unmittelbar in den Java Stack geladen werden.

1.4

wie ist der Software deployment manager (Sdm) dienst konfiguriert?> ist das Standardkennwort des Sdm administrators bei der installation geändert worden?> ist das neue Kennwort nach restriktiven Kennwortbildungsregeln vergeben worden?> wie vielen Benutzern ist das neue Kennwort zur erfüllung ihrer aufgaben mitgeteilt worden?Risiko: es gibt nur einen Benutzer für die Sdm administration. ein zurückverfolgen, wer diesen Benutzer für welche aktivität genutzt hat, ist erschwert, wenn nicht unmöglich. nach einem Patch-Upgrade wird systemseitig keine änderung des Kennworts des Sdm administrators erzwungen.

1.5

ist die netzwerkverbindung zwischen Sdm client und Sdm Server für Produktivsysteme gesichert?SaP empfiehlt, für die Softwareverteilung auf produktive zielsysteme eine gesicherte VPn- Verbindung einzurichten und zu nutzen.

7 Systemintegrität mit dem SAP Java-StackSe

ite 9

2

Page 93: Prüfleitfaden SAP ERP 6.0

Seite

93

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 94: Prüfleitfaden SAP ERP 6.0

8 Systemintegrität auf der Datenbankebene8.1 Interne und externe Anforderungendie daten eines SAP-Systems werden in einer proprietären datenbank gehalten, z. B. oracle. Auf alle daten eines SAP-Systems kann über das datenbanksystem zugegriffen werden. dabei können auch daten geändert werden – unabhängig vom Zugriffsschutz, der über die SAP-Anwendungen realisiert ist.

die datenbank ist ein eigenes System, das implementiert, konfiguriert, betrieben, verwaltet und überwacht werden muss.

dabei sind die allgemeinen Sicherheitsanforderungen zur gewährleistung von Verfügbarkeit, Zugriffs-schutz, Integrität und Vertraulichkeit umzusetzen.

Spezielle Sicherheitsanforderungen ergeben sich zum einen aus dem SAP-spezifischen einsatz der datenbank, zum anderen aus der proprietären Ausprägung der funktionen der datenbank.

deshalb sind sowohl die Hinweise von SAP zu den datenbank Plattformen im SAP netweaver Security guide zu berücksichtigen als auch die Security White Paper des Herstellers der datenbank.

Prüfungsstandards zum einsatz von Informationstechnologie fordern insbesondere die Prüfung der datenbank eines erP-Systems.

8.2 rISIkenrisiken können sich zum einen daraus ergeben, dass die Sicherheitsempfehlungen von SAP nicht umgesetzt sind, zum anderen, dass die datenbank konkurrierend zu der nutzung durch SAP genutzt wird:> die SAP-Systembenutzer, der datenbank-Systembenutzer oder zusätzlich eingerichtete Administratoren nutzen noch das Initialkennwort des Auslieferungsstandes der Software. dies ermöglicht auch nicht autorisierten dritten das unbefugte Anmelden an die datenbank.> Benutzer aus der fachabteilung können sich an die datenbank anmelden und sind berechtigt, mit den funktionen der datenbank Änderungen in den datenbanktabellen durchzuführen, die konkurrierend auch von SAP-Benutzern geändert werden.> Angreifer können über nicht benötigte datenbankbenutzer eine Sicherheitsschwachstelle im datenbank system nutzen, um privilegierten Zugriff auf die datenbank zu erlangen.> die datenbank lässt beliebige Anmeldeversuche über das netz zu.> Anmeldungen an die datenbank werden nicht protokolliert und überwacht.> die daten in der datenbank sind nicht verschlüsselt.> Sicherheitsempfehlungen des Herstellers der datenbank sind nicht umgesetzt.

8.3 kontrollZIele> die Sicherheitsempfehlungen von SAP zur sicheren konfiguration und zum ordnungsmäßigen Betrieb der datenbank sind umgesetzt.> eine zur SAP-Anwendung konkurrierende nutzung der datenbank ist nicht implementiert, die Änderungen an den gleichen datenbanktabellen zulässt, die schon SAP verwaltet.> Anmeldungen von beliebigen Clients aus nicht vertrauenswürdigen netzwerksegmenten an die datenbank sind verhindert.

Seite

94

Page 95: Prüfleitfaden SAP ERP 6.0

> die technischen Möglichkeiten, dass ein Benutzer sich von seinem Client aus direkt an die datenbank anmelden kann, sind entweder ausgeschlossen oder auf den notwendigen umfang eingeschränkt und gegen unbefugte nutzung abgesichert (oBdC-Zugriff).> nicht benötigte datenbankbenutzer sind gesperrt oder gelöscht.> die funktionen zur Anmeldekontrolle werden genutzt, die das proprietäre datenbanksystem bereitstellt. Insbesondere werden fehlversuche bei der Anmeldung protokolliert und überwacht.> die daten in der datenbank werden entsprechend ihrem Schutzbedarf verschlüsselt gespeichert.> Zusätzliche Sicherheitsempfehlungen des Herstellers der datenbank sind umgesetzt.

8.4 PrüfProgrAMM: AutHentISIerung und AutorISIerung MIt orACle unter unIx

nr. AutHentISIerung MIt orACle unter unIx

1.

Kontrollziel: Angemessene Zugriffskontrolle für Oracle unter UNIXRisiko: Beliebige Benutzer können sich remote an der datenbank unter einem der Standard-daten-bankbenutzer mit dem Standardkennwort anmelden, können alle tabelleninhalte einsehen und nicht autorisierte Änderungen durchführen.

1.1

Welche Benutzer sind in der datenbank eingerichtet?SQl> select * from all_usersklären, welche Benutzer zu welchem Zweck eingerichtet sind.es dürfen nur Standardsystembenutzer und Systemadministratoren eingerichtet sein. nicht benötigte datenbankbenutzer, z. B. gast- oder demo-Benutzer, sind zu sperren oder zu entfernen.

1.2Wird der oPS Mechanismus korrekt genutzt?SQl> select * from oPS$<SId>AdM.SAPuSer

1.3

Ist der SAP datenbankbenutzer SAPr3 / SAP<SAPSId> gegen unbefugten Zugriff geschützt?1. durch regulären Wechsel des kennworts für <SAPSId>AdM?2. durch deaktivieren des dienstes rlogin?3. durch angemessene nutzung des Mechanismus der sqlnet.ora datei, der IP-Adressen zulässt oder aussperrt (tcp.invited-nodes, tcp.excluded-nodes)?

1.4H

Sind die Standardkennwörter der Standard-datenbankbenutzer geändert?> SAP<SAPSId> oder SAPr3 (kennwort: SAP)> SYS (kennwort: CHAnge_on_InStAll)> SYSteM (kennwort: MAnAger).Austesten, ob eine Anmeldung mit den Standardkennworten möglich ist.die kennwörter sind während der Installation zu ändern. komplexe kennwörter sind zu wählen.

Seite

95

Prü

fleI

tfA

den

SA

P er

P 6.

0, t

eIl

1, S

tAn

d M

Är

Z 20

09, ©

dSA

g e

. V.

Page 96: Prüfleitfaden SAP ERP 6.0

nr. AutHentISIerung MIt orACle unter unIx

1.5H

Werden Systemereignisse wie An- und Abmeldungen an die datenbank protokolliert?SQl>select * from dBA_AudIt_SeSSIonWird die Protokolldatei regelmäßig archiviert und gelöscht, um zu verhindern, dass es zu einem überlauf der SYS.Aud$ tabelle kommt?Haben nur Systemadministratoren Zugriffsrechte, sowohl die einstellungen für die Protokolldatei als auch die Protokolldatei selbst zu warten?

1.6

können sich Benutzer über eine Client-Software an der datenbank anmelden?Ist der remote-datenbankzugriff eingeschränkt und kontrolliert?> Sind in der sqlnet.ora datei die IP-Adressen der zugelassenen Clients (Management-konsolen)

eingetragen (tcp.invited.nodes)?> Ist der Zugriff auf die datenbank über eine firewall geregelt (oracle listener auf dem Port tCP /

IP 1529)?

1.7H

Ist der oracle listener sicher konfiguriert?Ist ein kennwort für den oracle listener vergeben?

1.8 Sind die datenbankdateien verschlüsselt abgelegt?

8.5 PrüfProgrAMM: AutorISIerung MIt orACle unter unIx und dAtenBAnkMAnAgeMent

nr. AutorISIerung MIt orACle unter unIx und dAtenBAnkMAnAgeMent

1.

Kontrollziel: Zugriff auf die Datenbank ist exklusiv für SAP-Anwendungen und gemäß den Vorgaben von SAP installiert.Risiko: konkurrierende datenbankänderungen durch weitere datenbankanwendungen auf den SAP tabellen führen zur dateninkonsistenz.

1.1Sind die Zugriffsrechte für oracle-Verzeichnisse und – dateien unter unIx so gesetzt, wie es von SAP vorgesehen ist und bei der Standard-Installation durchgeführt wird?

1.2

nutzt exklusiv das SAP-System die datenbank oder laufen auch andere Anwendungen auf der datenbank?Auf der datenbank für das SAP-System dürfen keine anderen Anwendungen ablaufen, insbeson-dere dürfen keine Verknüpfungen zwischen den tabellen des SAP-Systems und anderen datenbanken eingerichtet sein.

2. Datenbankmanagement

2.1 existiert ein datenbanksicherungskonzept?

2.2 existiert ein upgrade-konzept für Sicherheits-Patches?

8 Systemintegrität auf der DatenbankebeneSe

ite 9

6

Page 97: Prüfleitfaden SAP ERP 6.0

8.6 PrüfProgrAMM: AutHentISIerung und AutorISIerung MIt orACle unter WIndoWS

nr. AutHentISIerung MIt orACle unter WIndoWS

1.

Kontrollziel: Angemessene Zugriffskontrolle für Oracle unter WindowsRisiko: Beliebige Benutzer können sich remote an der datenbank unter einem der Standard-daten-bankbenutzer mit dem Standardkennwort anmelden, können alle tabelleninhalte einsehen und nicht autorisierte Änderungen durchführen.

1.1

Welche Benutzer sind in der datenbank eingerichtet?SQl> select * from all_usersklären, welche Benutzer zu welchem Zweck eingerichtet sind.es dürfen nur Standardsystembenutzer und Systemadministratoren eingerichtet sein. nicht benötigte datenbankbenutzer, z. B. gast- oder demo-Benutzer, sind zu sperren oder zu entfernen.

1.2

Wird der oPS Mechanismus korrekt genutzt?SQl> select * from oPS$<SId>AdM.SAPuSerSAP empfiehlt, nur oPS$-Benutzer für die Windows Benutzer zu definieren, die für den Betrieb des SAP-Systems erforderlich sind. normalerweise sind das die Benutzer SAPService<SId> und <SId>AdM. Weitere Informationen über das Anlegen von oPS$-Benutzern unter Windows finden sich im SAP-Hinweis 50 088.

1.3

Sind die SAP-datenbankbenutzer SAPr3 / SAP<SAPSId> und <SAPSId>AdM gegen unbefugten Zugriff geschützt?1. durch regulären Wechsel des kennworts für <SAPSId>AdM?2. durch angemessene nutzung des Mechanismus der sqlnet.ora datei, der IP-Adressen zulässt oder aussperrt (tcp.invited-nodes, tcp.excluded-nodes)?

1.4H

Sind die Standardkennwörter der Standard-datenbankbenutzer geändert?> SAP<SAPSId> oder SAPr3 (kennwort: SAP)> SYS (kennwort: CHAnge_on_InStAll)> SYSteM (kennwort: MAnAger).Austesten, ob eine Anmeldung mit den Standardkennworten möglich ist.die kennwörter sind während der Installation zu ändern. komplexe kennwörter sind zu wählen.

1.5H

Werden Systemereignisse wie An- und Abmeldungen an die datenbank protokolliert?SQl>select * from dBA_AudIt_SeSSIonWird die Protokolldatei regelmäßig archiviert und gelöscht, um zu verhindern, dass es zu einem überlauf der SYS.Aud$ tabelle kommt?Haben nur Systemadministratoren Zugriffsrechte, sowohl die einstellungen für die Protokolldatei als auch die Protokolldatei selbst zu warten?

Seite

97

Prü

fleI

tfA

den

SA

P er

P 6.

0, t

eIl

1, S

tAn

d M

Är

Z 20

09, ©

dSA

g e

. V.

Page 98: Prüfleitfaden SAP ERP 6.0

nr. AutHentISIerung MIt orACle unter WIndoWS

1.6

können sich Benutzer über eine Client-Software an der datenbank anmelden?Ist der remote-datenbankzugriff eingeschränkt und kontrolliert?> Sind in der sqlnet.ora datei die IP-Adressen der zugelassenen Clients (Management-konsolen)

eingetragen (tcp.invited.nodes)?> Ist der Zugriff auf die datenbank über eine firewall geregelt (oracle listener auf dem Port

tCP / IP 1529)?

1.7H

Ist der orACle listener sicher konfiguriert?Ist ein kennwort für den orACle listener vergeben?

1.8 Sind die datenbankdateien verschlüsselt abgelegt?

2.

Kontrollziel: Zugriff auf die Datenbank ist exklusiv für SAP-Anwendungen und gemäß den Vorgaben von SAP installiert.Risiko: konkurrierende datenbankänderungen durch weitere datenbankanwendungen auf den SAP-tabellen führen zur dateninkonsistenz.

2.1

Sind die Zugriffsrechte für orACle-Verzeichnisse und -dateien unter Windows so gesetzt, wie es von SAP vorgesehen ist und bei der Standard-Installation durchgeführt wird?um die orACle-dateien zu schützen, müssen folgende Zugriffsrechte vergeben sein:> der lokalen gruppe SAP_<SId>_localAdmin und dem lokalen Benutzer SYSteM müssen die

Zugriffsrechte full control für alle orACle-dateien zugewiesen sein.> anderen gruppen oder Benutzern dürfen keine Zugriffsrechte für die orACle vergeben sein.

die folgende tabelle gibt die dateien und die zugehörenden Zugriffsrechte an:

orACle VerZeICHnISSe ZugrIffSreCHt BenutZer oder gruPPe

% orACle_HoMe % full Control

SYSteM, Administrators, SAP_<SAPSId>_globalAdmin (domain installation), SAP_<SAPSId>_localAdmin (local installation)

<drive>:\oracle\<dbsid> full Control

SYSteM, Administrators, SAP_<SAPSId>_globalAd-min (do-main installation), SAP_<SAPSId>_localAdmin (local installation)

2.2

nutzt exklusiv das SAP-System die datenbank oder laufen auch andere Anwendungen auf der datenbank?Auf der datenbank für das SAP-System dürfen keine anderen Anwendungen ablaufen, insbeson-dere dürfen keine Verknüpfungen zwischen den tabellen des SAP-Systems und anderen datenbanken eingerichtet sein.

2.3 existiert ein datenbanksicherungskonzept?

8 Systemintegrität auf der DatenbankebeneSe

ite 9

8

Page 99: Prüfleitfaden SAP ERP 6.0

nr. AutorISIerung MIt orACle unter WIndoWS und dAtenBAnkMAnAgeMent

3. Datenbankmanagement

3.1 existiert ein datenbanksicherungskonzept?

3.2 existiert ein upgrade-konzept für Sicherheits-Patches?

Seite

99

Prü

fleI

tfA

den

SA

P er

P 6.

0, t

eIl

1, S

tAn

d M

Är

Z 20

09, ©

dSA

g e

. V.

Page 100: Prüfleitfaden SAP ERP 6.0

9 Systemintegrität auf der Betriebssystemebene9.1 Interne und externe Anforderungendas Betriebssystem ermöglicht die Installation eines SAP-Systems, z. B. Windows. über das Betriebs-system wird das SAP-System konfiguriert. über das Betriebssystem können auf alle Programme und daten eines SAP-Systems zugegriffen werden. dabei können Programme und daten geändert werden – unab-hängig von dem Zugriffsschutz, der über die SAP-Anwendungen eingerichtet ist.

das Betriebssystem ermöglicht insbesondere den Zugriff auf das SAP-System über das netz. Angriffe aus dem netzwerk zielen auf Sicherheitsschwachstellen in der konfiguration der netzdienste des Betriebssystems.

Spezielle Sicherheitsanforderungen ergeben sich aus> der SAP-spezifischen nutzung von Betriebssystemfunktionen, > der proprietären Ausprägung der funktionen der Betriebssystems und > den proprietären technischen Schnittstellen zu anderen trägersystemen, z. B. datenbank oder netz, insbesondere den Services, die über das netz aufrufbar sind.

es sind sowohl die Hinweise von SAP zu den Betriebssystem Plattformen im SAP netweaver Security guide zu berücksichtigen als auch die Security White Paper der Herstellers des Betriebssystems.

9.2 rISIkenrisiken können sich daraus ergeben, dass die Sicherheitsempfehlungen von SAP oder dass andere sicherheitsrelevante einstellungen des Betriebssystems gemäß den Hinweisen des Herstellers des Betriebssystems nicht umgesetzt sind:> die kennworte der SAP-Systembenutzer, der Standard-Betriebssystembenutzer oder zusätzlich eingerichteter Administratoren sind noch auf dem Standard bei Auslieferung und ermöglichen das unbefugte Anmelden an das Betriebssystem.> der Zugriff auf der ebene des Betriebssystems durch Benutzer oder über für sie eigens eingerichtete Benutzerfunktionen, z. B. file transfer, ist schlecht konfiguriert und unzureichend abgesichert.> Jeder aus dem netz kann – wegen eines konfigurationsfehlers – auf ein Verzeichnis mit streng vertraulichen Informationen oder ausführbaren SAP-Programmen zugreifen, das über das netz nur für eine bestimmte Benutzergruppe bereitgestellt sein soll (network share).> Anmeldungen an das Betriebssystem werden nicht protokolliert und überwacht.> das Betriebssystem hat ein bekanntes Sicherheitsloch, das ein Hacker über das netz erkennen und ausnutzen kann, um einen trojaner zu installieren, Programme und daten zu manipulieren, die Spuren der Manipulation zu löschen oder den Superuser zu übernehmen. > die Manipulation eines SAP Programms wird nicht erkannt.

9.3 kontrollZIele> die Sicherheitsempfehlungen von SAP zur sicheren konfiguration des Betriebssystems sind umgesetzt.> Zusätzliche Sicherheitsempfehlungen des Herstellers des Betriebssystems sind umgesetzt.> der Zugriff über das netz auf das Betriebssystem ist restriktiv gesetzt und sicher konfiguriert.> network Shares sind mit restriktiven Zugriffsrechten nur für die zugelassene Benutzergruppe gesetzt. Sie werden auf fehlerhafte Zugriffsvergaben (Windows: eVerYone, unIx: weltweites lese- oder Schreibrecht) überwacht.> die funktionen zur Anmeldekontrolle werden genutzt, die das Betriebssystem bereitstellt. Insbesondere werden fehlversuche bei der Anmeldung protokolliert und überwacht.> die SAP-Programme unterliegen einem Integritätscheck.

Seite

100

Page 101: Prüfleitfaden SAP ERP 6.0

9.4 PrüfProgrAMM: AutHentISIerung und AutorISIerung MIt unIxnr. AutHentISIerung IM BetrIeBSSYSteM unIx

1.

Kontrollziel: Angemessene Zugriffskontrollen auf UNIX-Ebene> der Zugriff personenbezogener Benutzer auf das Betriebssystem ist auf wenige Systemad- ministratoren beschränkt. > Benutzer aus fachabteilungen haben keinen Zugriff auf das Betriebssystem. > Automatisierte Anmeldekontrollen und Passwortbildungsregeln auf der ebene des Betriebs- systems sind für die personenbezogenen Benutzer aktiviert. > die Anmeldungen werden protokolliert und überwacht.Risiko:> Personenbezogene Benutzer haben leicht erratbare kennworte gewählt, die keinem Ände- rungszwang unterliegen. > Versuche, die kennworte von Benutzern auszuprobieren, werden nicht protokolliert und überwacht.> nicht autorisierte Benutzer können Zugriff auf das Betriebssystem erlangen.

1.1

Welche gruppen sind in der unIx-gruppendatei eingerichtet? Sind neben den Standardgruppen auch unternehmensspezifische gruppennamen vergeben? Welche Benutzer sind den unter-nehmensspezifischen gruppen zugeordnet?Hinweis: die Standardgruppen sind in der Systemdokumentation des Herstellers aufgeführt.

1.2

Welche Benutzer sind in der unIx-Passwortdatei eingerichtet? Sind neben den Standardsystem-benutzern auch personenbezogene Benutzer vergeben? Welche Aufgaben haben diese eingerich-teten personenbezogenen Benutzer?die Benutzer root, <sid>adm und <db><sid sollten neben wenigen Spezialsystembenutzen die einzigen Benutzer auf den Anwendungsservern und der Hauptinstanz sein. nach der Installation kann <db><sid> auf den Anwendungsservern gesperrt werden.Hinweis: die Standardbenutzer sind in der Systemdokumentation des Herstellers und von SAP aufgeführt.

1.3H

Sind für alle Benutzer Passworte vergeben?

1.4H

Sind regeln für die Bildung und Änderung des Passworts aktiviert?Hinweis: die Systemdokumentation des Herstellers informiert darüber, welche Anmelde- und kennwortkontrollen das betreffende unIx-System unterstützt.

1.5

Werden Anmeldungen von Benutzern, insbesondere fehlerhafte Anmeldungen automatisch protokolliert und überwacht?Hinweis: die Systemdokumentation des Herstellers informiert darüber, ob und wie das betreffende unIx-System die Protokollierung der Anmeldungen unterstützt.

1.6Bietet das unIx-Betriebssystem eine Schattenkennwortdatei, auf die nur der Superuser „root“ Zugriff hat?

Seite

101

Prü

fleI

tfA

den

SA

P er

P 6.

0, t

eIl

1, S

tAn

d M

Är

Z 20

09, ©

dSA

g e

. V.

Page 102: Prüfleitfaden SAP ERP 6.0

nr. AutHentISIerung IM BetrIeBSSYSteM unIx

1.7

Sind die BSd remote Services rlogin und remsh / rsh deaktiviert oder restriktiv und kontrolliert eingesetzt? SAP empfiehlt, nach Möglichkeit diese Services zu deaktivierenWelche Systemnamen, IP nummern oder generischen einträge sind in den dazugehörenden dateien / etc / host.equiv und $HoMe / .rhosts eingetragen?für kritische Benutzer müssen die .rhosts-dateien geleert und dafür als Zugriffsrecht die oktalzahl „000“ zugewiesen sein.die datei / etc / hosts.equiv muss entweder gelöscht oder geleert sein.Alternative: diese Services werden nur innerhalb eines abgesicherten lokalen netzwerkes eingesetzt.

1.8

Ist das network Information System (nIS) restriktiv und kontrolliert eingesetzt?Risiko: nIS erlaubt es jedem unIx-System in einem lokalen netzwerk mit dem Befehl „ypcat passwd“ die mittels nIS zentral gehaltene Passwortdatei zu lesen und zu verwenden.Alternative: dieser Service wird nur innerhalb eines abgesicherten lokalen netzwerkes eingesetzt.

1.9Ist der Service x-Windows im einsatz? Wird er tatsächlich benötigt? Ist er gemäß den Sicherheits-empfehlungen des unIx-Herstellers installiert?

1.10H

Ist der administrative fernzugriff auf das Betriebssystem über eine Web-Schnittstelle abgesichert, d. h. sind die Standardkennwörter durch komplexe kennwörter ersetzt und sind auch Härtungs-maßnahmen für diese Web-Schnittstelle getroffen worden?Risiko: Bei der Installation eines unIx-Betriebssysteme kann standardmäßig auch eine Web-Schnittstelle für den remote-Zugriff der Systemadministratoren implementiert werden, ohne dass dies bei der Installation bekannt oder wahrgenommen wird. Angreifer aus dem netzwerk können die dabei vergebenen Standardkennworte oder Sicherheitsschwachstellen in der Version des betreffenden Web Servers ausnutzen, um unbefugte Aktionen auf der ebene des Betriebssystems auszuführen.

2

Kontrollziel: die Zugriffsrechte sind nach dem Prinzip der minimalen Berechtigung vergeben. die für unIx-Systeme spezifischen und verschiedenen technischen Möglichkeiten, eigentümer-rechte auf Verzeichnisse und dateien zu vergeben, sind kontrolliert eingesetzt.Risiko: Personenbezogenen Benutzern sind Standardumgebungen, z. B. login shell, eingerichtet, die zu weit reichende automatische rechtevergaben beinhalten. unbefugte Aktionen auf der Betriebssystemebene sind möglich. die Integrität der System- und datendateien des SAP-Sys- tems ist gefährdet.

2.1Sind die Zugriffsprivilegien auf die SAP datei- und Systemverzeichnisse so gesetzt, wie es von SAP vorgesehen ist und bei der Installation standardmäßig durchgeführt wird?

2.2

Welche uMASk-definitionen sind in den relevanten dateien vorgegeben, z. B. in .login, .cshrc, .profile, / etc / profile, und beschränken diese automatisch die Berechtigungen für neu erstellte dateien, z. B. dass alle neu erstellten dateien nur Zugriffsrechte mit dem oktalwert 750 haben?diese Vorgaben müssen insbesondere für alle login-umgebungen personenbezogener Benutzer gelten.

9 Systemintegrität auf der BetriebssystemebeneSe

ite 10

2

Page 103: Prüfleitfaden SAP ERP 6.0

nr. AutorISIerung IM SICHerHeItSMAnAgeMent

2.3

Ist das network filesystem (nfS) restriktiv und kontrolliert eingesetzt?über nfS dürfen keine Verzeichnisse mit vertraulichen daten exportiert werden. über nfS dürfen keine Home-Verzeichnisse – von welchen Benutzern auch immer – mit Schreibberechtigung exportiert werden. Verzeichnisse dürfen nur an vertrauenswürdige Systeme exportiert werden.Risiko: die über nfS exportierten Verzeichnisse für alle Benutzer im netz können vertrauliche daten enthalten. Wird ein für alle beschreibbares Home-Verzeichnis eines unIx-Benutzers exportiert, ist darüber ein Angriff auf das unIx-System möglich, der dem Angreifer die übernahme der Privilegien des Superusers „root“ ermöglicht.

2.4

Werden SuId / SgId-dateien überwacht, insbesondere bei der Installation neuer zusätzlicher Software auf dem Betriebssystem?Hinweis: dateien bei denen das SuId oder SgId Bit gesetzt ist, werden mit den rechten des Benutzers bzw. der gruppe ausgeführt, der diese datei gehört. normalerweise werden diese Bits bei dateien verwendet, die als Superuser „root“ ausgeführt werden müssen, um ihren Zweck zu erfüllen. Risiko: diese dateien sind Ziel externer Angreifer, um die Privilegien des Superusers zu erhalten.

2.5Sind die Sicherheitshinweise des unIx-Herstellers zum Härten des Systems bekannt und umgesetzt, z. B. Hinweise zum deaktivieren nicht benötigter dienste?

2.6unterstützt das unIx-Betriebssystem Integritätsprüfungen für Systemdateien? Wird diese Möglichkeit genutzt?

2.7Wird das Betriebssystem mit den vom Betriebssystemlieferanten freigegebenen Sicherheits-Patches auf dem neusten Stand gehalten?

Seite

103

Prü

fleI

tfA

den

SA

P er

P 6.

0, t

eIl

1, S

tAn

d M

Är

Z 20

09, ©

dSA

g e

. V.

Page 104: Prüfleitfaden SAP ERP 6.0

9.5 PrüfProgrAMM: AutHentISIerung und AutorISIerung MIt WIndoWSnr. AutHentISIerung und AutorISIerung IM BetrIeBSSYSteM WIndoWS

1.

Kontrollziel: die Zugriffsrechte sind nach dem Prinzip der minimalen Berechtigung zu vergeben.die für Windows-Systeme spezifischen technischen Möglichkeiten, eigentümerrechte auf Verzeichnisse und dateien zu vergeben sind kontrolliert eingesetzt. Risiko: Personenbezogenen usern sind zu weitreichende rechte vergeben. unbefugte Aktionen auf Betriebssystemebene sind möglich. die Integrität der System- und dateien des SAP-Systems ist gefährdet.

1.1

Ist das SAP-System auf einem Windows-domänencontroller installiert?Hinweis: ein auf einem domänen-Controller definiertes lokales Benutzerrecht ist auf allen domänen-Controllern gültig. SAP empfiehlt nicht, SAP-Systeme auf einem domänen-Controller zu installieren.

1.2

Ist bei mehreren SAP-landschaften eine getrennte Windows-domäne für die SAP-Systeme eingerichtet?SAP empfiehlt, zwei getrennte domänen für das SAP-System anzulegen.> In einer domäne sind die domänenbenutzer, einschließlich der SAP-Systembenutzer, und der domänenadministrator eingerichtet.> In der davon getrennten SAP-domäne sind die SAP-System-Server, -Services und -Administ- ratoren eingerichtet. dazu zählen:> SAP-System-Anwendungsserver und -datenbankserver> SAP-System- oder datenbank-Services> SAP-Systemadministratoren> Windows-Administratoren> Administratoren der domäne SAP.

1.3

Welche Vertrauensbeziehungen sind zwischen anderen Windows-domänen und der Windows-domäne für die SAP-Systeme definiert?Hinweis 1: In den Standard-Installationsvorgehensweisen empfiehlt SAP, getrennte domänen einzurichten. Zu beachten ist jedoch, dass bestimmte SAP-spezifische funktionen und Windows- spezifische Services eine Vertrauensbeziehung zwischen domänen erfordern. > es gibt bestimmte Services, die nur eine einseitige Vertrauensbeziehung erfordern, z. B. das drucken im netzwerk mit dem Print Manager oder die dateienübertragung mit Betriebssys- tembefehlen wie z. B. xcopy oder move. > einige Services erfordern eine beiderseitige Vertrauensbeziehung, z. B. Single Sign-on über das Microsoft lAn Manager Security Service Provider Interface (ntlMSSPI). Hinweis 2: Wenn das SAP-System standardmäßig installiert wird, implementiert das Installations-Werkzeug, SAPinst genannt, automatisch alle notwendigen Maßnahmen, die relevant sind, um das SAP-System gegen nicht autorisierten Zugriff zu schützen.

9 Systemintegrität auf der BetriebssystemebeneSe

ite 10

4

Page 105: Prüfleitfaden SAP ERP 6.0

nr. AutHentISIerung und AutorISIerung IM BetrIeBSSYSteM WIndoWS

1.4

Welche gruppen sind auf den SAP-Servern registriert (Windows-domäne)?es sollten keine anderen gruppen als die Windows Standardgruppen und den SAP-System- und datenbankgruppen definiert sein.Hinweis 1: globale Benutzergruppen sind innerhalb einer Windows-domäne gültig, nicht nur auf einem Server.SAP empfiehlt, die domänenbenutzer nach Aufgaben in verschiedenen Aktivitätsgruppen zu bündeln. der domänenadministrator kann die Aktivitätsgruppen in andere domänen exportieren, so dass der entsprechende Benutzer auf alle zur Verwaltung des SAP-Systems erforderlichen ressourcen zugreifen kann.Hinweis 2: Standardmäßig ist die globale gruppe für SAP-Administratoren als SAP _<SId>_global-Admin definiert.

1.5

Welche gruppen sind auf den SAP-Servern registriert (lokaler SAP-Server)?Hinweis 1: lokale Benutzergruppen (und lokale Benutzer) liegen lokal auf einem Server vor. Bei der Installation werden Benutzerrechte lokalen Benutzern anstelle von gruppen zugeordnet. z. B. erhält der Benutzer <SId>AdM das Benutzerecht logon on as a service.SAP empfiehlt, um die Benutzerverwaltung zu vereinfachen, Serverressourcen lokalen gruppen anstelle von einzelnen Benutzern zuzuordnen. entsprechende globale Benutzer und globale gruppen können dann der lokalen gruppe zugeordnet werden. dadurch kann besser kontrolliert werden, wer zu welcher gruppe gehört und welche Aufgaben er hat.Hinweis 2: Standardmäßig ist die lokale gruppe für SAP-Administratoren als SAP_ <SId>_local-Admin definiert.

1.6

Ist der Benutzeradministrator gesichert?Hinweis: der in Windows eingebaute Superuser-Administrator hat unbeschränkten Zugriff auf alle Windows-ressourcen. Administrator kann z. B.> alle datendateien, festplatten und Shares anlegen, verwalten und deren Besitzer werden> lokale Benutzer und ihre rechte anlegen und verwalten> Peripheriegeräte, kernel- und Benutzer-Services anlegen und verwaltenSAP empfiehlt, diesen Benutzer zu deaktivieren, um ihn vor unberechtigtem Zugriff zu schützen. der Benutzername muss geändert und das kennwort geheim gehalten werden. für Verwaltungs-aufgaben werden andere Benutzer angelegt und deren rechte auf die Aufgaben beschränkt, für die sie verwendet werden, z. B. Benutzeradministrator, Sicherungs- und Serveroperatoren.

Seite

105

Prü

fleI

tfA

den

SA

P er

P 6.

0, t

eIl

1, S

tAn

d M

Är

Z 20

09, ©

dSA

g e

. V.

Page 106: Prüfleitfaden SAP ERP 6.0

nr. AutHentISIerung und AutorISIerung IM BetrIeBSSYSteM WIndoWS

1.7

Ist der Benutzer <SId>AdM gesichert?Hinweis 1: <SId>AdM ist der Windows-Superuser für die SAP-Systemverwaltung. der Benutzer wird während des SAP-Systeminstallationsverfahrens angelegt, normalerweise als domänenbe-nutzer für das SAP-System. der Benutzer kann sich daher an allen Windows-rechnern in der domäne anmelden. <SId>AdM benötigt auch vollen Zugriff auf alle instanzenspezifischen ressourcen des SAP-Systems wie dateien, Shares, Peripheriegeräte (z. B. Bandlaufwerke oder drucker) und netzwerkressourcen (z. B. den SAProuter-Service).Bei der Installation oder einem upgrade muss Sie <SId>AdM der gruppe domain Administrators zugewiesen werden. In diesem Status hat <SId>AdM dieselben rechte wie der Administrator in einer normalen Windows-umgebung.SAP empfiehlt, die folgenden Maßnahmen zu ergreifen, um diesen Benutzer vor unberechtigtem Zugriff zu schützen:> nach einer Installation oder einem upgrade die gruppenmitgliedschaft in den gruppen Administrators und domain Administrators zu beenden,> sein kennwort regelmäßig zu ändern.> seine Zugriffsrechte auf instanzenspezifische ressourcen für das SAP-System zu beschränken.Hinweis 2: Wenngleich <SId>AdM auf SAP-System-dateien zugreifen kann, wird das SAP-System von einem anderen Benutzer gestartet, nämlich SAPservice<SId>.

1.8

Ist der Benutzer SAPService<SId> gesichert?Hinweis 1: SAPService<SId> wird bei der Installation des SAP-Systems angelegt. der Benutzer wird normalerweise als ein domänenbenutzer angelegt, der das SAP-System ausführt und datenbankressourcen verwaltet. der Benutzer kann sich lokal auf allen Windows-rechnern in der domäne anmelden.da das SAP-System selbst dann laufen muss, wenn kein Benutzer an dem lokalen Windows-rechner angemeldet ist, läuft das SAP-System als Windows-Service. Aus diesem grund erhält der Benutzer SAPService<SId> während der Installation das recht logon as a service auf dem lokalen rechner.Hinweis 2: SAPService<SId> verwaltet auch das SAP-System und datenbankressourcen innerhalb des Computing Center Management System (CCMS). der Benutzer braucht daher vollen Zugriff auf alle instanzen- und datenbankspezifischen ressourcen wie dateien, Shares, Peripheriegeräte und netzwerkressourcen.Hinweis 3: das kennwort dieses Benutzers zu ändern, ist relativ schwierig. um das kennwort eines Windows-nt-Service-Benutzers zu ändern, muss man den Service stoppen, seine Starteigenschaften bearbeiten und ihn erneut starten. um das Benutzerkennwort zu ändern, muss also das SAP-System gestoppt werden.SAP empfiehlt, folgende Vorkehrungen treffen, um SAPService<SId> zu schützen:> das Benutzerrecht log on locally aufzuheben,> seinen Zugriff auf instanzen- und datenbankspezifische ressourcen zu beschränken,> zu verhindern, dass sich dieser spezielle Service-Benutzer interaktiv am System anmeldet. die letzte Maßnahme verhindert einen Missbrauch durch Benutzer, die versuchen, vonPräsentationsservern aus auf das System zuzugreifen. In diesem fall brauchen man keinVerfallsdatum für das kennwort anzugeben und kann die einstellung „change password atlogon“ deaktivieren.

9 Systemintegrität auf der BetriebssystemebeneSe

ite 10

6

Page 107: Prüfleitfaden SAP ERP 6.0

nr. AutHentISIerung und AutorISIerung IM BetrIeBSSYSteM WIndoWS

1.9

Sind die datenbankbenutzer gesichert?Hinweis 1: Analog zum SAP-System muss auch die datenbank laufen, selbst wenn kein Benutzer am Windows-rechner angemeldet ist. d. h. die datenbank muss als Service laufen. Während der datenbankinstallation erhält der Benutzer <dB-Service> das recht logon as as a service auf dem lokalen rechner.

1.10 Ist der Benutzer gast gesperrt oder gelöscht?

1.11 Wer darf das SAP-System starten oder stoppen?

1.12

Wer hat Zugriff auf das Shared Memory?Hinweis: der gemeinsame Speicher wird vom SAP-System-dispatcher und den Workprozessen für bestimmte Aktivitäten verwendet, z. B. für den Austausch von Verwaltungsinformationen. da das SAP-System den gesamten gemeinsamen Speicher erstellt, werden dem Benutzer, der das SAP-System startet, die ausschließlichen Zugriffsrechte für den gemeinsamen Speicher zugewiesen.SAP empfiehlt, um während des Betriebs von SAP-Systemen Zugriffskonflikte mit bestimmten internen Werkzeugen (dpmon.exe, gwmon.exe) zu vermeiden, sicherzustellen, dass derselbe Benutzer, der das SAP-System startet, auch diese Werkzeuge startet.

1.13

Sind die Schutzmaßnahmen für dynamisch erzeugte dateien wirksam?Hinweis: da SAP-Systeme die ein- und Ausgabe der AnSI-datenstromdatei verwenden, erhält eine von ABAP erstellte datei die Zugriffsrechte des ordners, in dem sie erstellt wurde. nur der Besitzer der dateien oder der Administrator kann diese Zugriffsrechte ändern. Wenn ABAP-Anweisungen die dateien anlegen, gehören sie dem SAP-System (<SId>AdM oder SAPService<SId>).

1.14

Sind die Berechtigungen für Verwaltungsaufgaben bei mehreren SAP-Systemen auf Servern entsprechend der Zuständigkeit verschiedener Administratoren zugewiesen?Hinweis: Befinden sich auf dem oder den Servern mehrere SAP-Systeme, können die Verwal-tungsaufgaben separat über verschiedene lokale und globale gruppe durchgeführt werden. SAP empfiehlt:> die Zugriffsrechte sind entsprechend für die dateien im Verzeichnis (und in den unterverzeich- nissen) \usr\sap zuzuweisen. dabei kann zwischen den Administratoren und gruppen unterscheiden werden, indem die namen der SAP-Systeme zur kennzeichnung verwendet werden (z. B. <SId1> und <SId2>).> Alle Administratoren sollten Zugriff auf die beiden Verzeichnisse auf der obersten ebene von \usr\sap haben.

1.15

Sind die Schutzmaßnahmen für einen gemeinsamen Speicher umgesetzt?Hinweis: Wenn mehrere SAP-Systeme auf einem Server installiert sind, gibt es einen zusätz-lichen Bereich des gemeinsamen Speichers. dieser Speicher wird von saposcol.exe erstellt und gemeinsam vom oS Collector und allen SAP-Systemen verwendet.SAP empfiehlt, den gruppen SAP_<SId>_localAdmin für die ausführbare datei saposcol.exe die Zugriffsrechte full control zu vergeben. um Zugriffskonflikte zu vermeiden, muss erst saposcol.exe und anschließend das SAP-System gestartet werden.

1.16 Sind die Sicherheitshinweise von Microsoft zum Härten des Systems bekannt und umgesetzt?

1.17Wird das Betriebssystem mit den von Microsoft freigegebenen Sicherheits-Patches auf dem neusten Stand gehalten?

Seite

107

Prü

fleI

tfA

den

SA

P er

P 6.

0, t

eIl

1, S

tAn

d M

Är

Z 20

09, ©

dSA

g e

. V.

Page 108: Prüfleitfaden SAP ERP 6.0

10 Kommunikations- und Netzsicherheit10.1 PrüfPrOGramm: Sicherheit deS SaP internet tranSactiOn SerVerSder SaP internet transaction Server (itS) dient zur darstellung von SaP-eigenen graphischen anwen-dungsoberflächen als html-Oberflächen. die html-Seiten werden dazu vom itS an einen Browser eines nutzers ausgeliefert. der itS kommuniziert seinerseits mit einem SaP-System unter anderem über das SaP eigene diaG Protokoll.

der SaP internet transaction Server (itS) fügt der entwicklungsplattform des SaP web anwendung Servers eine html-basierende entwicklungsumgebung für front-end-anwendungen hinzu und arbeitet als Gateway zwischen dem SaP web anwendung Server und httP. als spezieller html-editor steht SaP@web Studio zur Verfügung.

nr. SicherheitSreleVante einStellUnGen deS SaP internet tranSactiOn SerVerS

1.H

Kontrollziel: Die Service-Dateien und die Dateien zur Steuerung der Anwendungen sind gegen unbefugten Zugriff geschützt.Risiko: auf dem aGate-Server sind die zugriffsrechte auf die Service-dateien nicht restriktiv gesetzt. angreifer aus dem internet können die lücken erkennen, ausnutzen und unbefugt zugreifen.

1.1

ist der SaP-hinweis 693 220 „empfehlungen zur Sicherheit von itS-Services“ bekannt und umge-setzt?welche werte sind für die Berechtigungsobjekte S_tcOde und S_rfc gesetzt?zu den Berechtigungsobjekten S_tcOde und S_rfc sollte kein Benutzer die Gesamtberechti-gung (Berechtigungswert ‚*‘) besitzen. dies gilt im besonderen maße für Benutzer, die über das internet zugriff auf das System bekommen. die freigegebenen transaktionen oder rfc-funkti-onsgruppen, auf die der zugriff benötigt wird, sollten auf den erforderlichen Umfang zuge-schnit-ten und minimal sein.Hinweis: wenn es möglich ist, sollte nicht der Benutzertyp ‚dialog‘ oder ‚Service‘, sondern der Benutzertyp ‚Kommunikation‘ verwendet werden. Bei webrfc-internetanwendungen, die aus-schließlich per rfc auf das System zugreifen, genügt der Benutzertyp ‚Kommunikation‘.Sind alle webGui Services deaktiviert, die nicht benötigt werden?aus Sicherheitsgründen ist es immer besser, alle nicht benötigten Services abzuschalten.

2.H

Kontrollziel: Die Administration und der Zugriff verschiedener Administrationsfunktionen auf das ITS sind geregelt und restriktiv gesetzt.Risiko: der Superadministrator „itsadmin“ hat das Standardkennwort und ist über das internet aufrufbar. weitere administratorkonten sind mit uneingeschränktem zugriff auf alle dateien des itS angelegt, insbesondere auf die Konfigurationsverzeichnisse.

2.1ist der Port 1080 für den administrationsdienst auf der externen firewall gesperrt?http: / / www.muster.com:1080 / scripts / wgate / admin

2.2ist das Kennwort des Superadministrators „itsadmin“ geändert? Unterliegt die nutzung von „itsadmin“ dem Vieraugenprinzip? wie viele mitarbeiter kennen das Kennwort von „itsadmin“?

2.3Sind weitere administratorkonten angelegt? ist der Berechtigungsumfang entsprechend der funktion restriktiv vergeben, z. B. nur lesezugriff für help-desk-mitarbeiter?

Seite

108

Page 109: Prüfleitfaden SAP ERP 6.0

nr. SicherheitSreleVante einStellUnGen deS SaP internet tranSactiOn SerVerS

3.

Kontrollziel: Die ITS-Komponenten Webserver, WGate und AGate sind entsprechend einem Konzept der Netzsegmentierung implementiert, um nicht vertrauenswürdige Netzsegmente von vertrauenswürdigen Netzsegmente über eine DMZ (Demilitarized Zone) zu trennen.Risiko: der itS-Server ist als Single-host konfiguriert. Bei fehlerhafter Konfiguration kann ein externer angreifer zugriff auf die Service-dateien erlangen (wGate=aGate) oder sogar den hinter dem itS-Server liegenden SaP web applikation Server übernehmen.

3.1 es ist mindestens die physische trennung zwischen wGate und aGate implementiert.

4.

Kontrollziel: Die Kommunikationsverbindungen zwischen > Webbrowser und WGate,> WGate und AGate,> AGate und SAP WEB Applikation Serversind verschlüsselt.Risiko: Benutzerkennung und Kennwort werden abgehört und für eine unbefugte anmeldung genutzt.

5.

Kontrollziel: Die Benutzeranmeldungen über den ITS am Web Applikation Server beruhen auf einer starken Authentisierung.Risiko: ein angreifer errät durch ausprobieren einfach gewählte Kennworte und meldet sich unbefugt an.

10.2 PrüfPrOGramm: Sicherheit SaPrOUterSaProuter ist ein SaP-Programm, das eine zwischenstation (Proxy) in einer netzwerkverbindung zwischen SaP-Systemen oder zwischen einem SaP-System und der außenwelt darstellt. SaProuter dient dazu, den zugang zum netzwerk zu regeln (anwendungs level Gateway) und stellt daher eine sinnvolle ergänzung zu einem bestehenden firewall-System (Port-, Packetfilter) dar. Bildlich gesprochen: die firewall bildet eine undurchdringliche „mauer“ um das netzwerk. da aber gewisse Verbindungen durch diese wand hindurch kommen sollen, muss ein „loch“ in die firewall gemacht werden. die Kontrolle dieses loches übernimmt SaProuter. dies ist oft nützlich, wenn etwa eine Support-Verbindung von SaP zu dem SaP-System eines Kunden existiert, über die sich SaP-mitarbeiter bei Problemen an dem System anmelden können. diese Verbindungen werden mit SaProuter kontrolliert.

nr. SicherheitSreleVante einStellUnGen deS SaPrOUterS

1.

Kontrollziel: Der SAPRouter ist als Proxy für die SAP-Protokolle DIAG (SAP GUI) und RFC sicher konfiguriert.Risiko: Ohne SaProuter ist ein direkter zugriff aus einem nicht vertrauenswürdigen netzsegment auf einen SaP web anwendungsserver möglich. das risiko für einen unbefugten zugriff ist hoch.

1.1H

erfolgt die fernwartung des SaP-Systems durch SaP über eine firewall des Unternehmensnetzes und ist dazu auch ein SaProuter konfiguriert?

1.2welche routing-regeln sind in der Konfigurationsdatei SaProuttab hinterlegt?werden in den zeilen für Permit oder SecUre Verbindungen wildcards (*) für den zielrechner oder die zielports verwendet?

Seite

109

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 110: Prüfleitfaden SAP ERP 6.0

10.3 PrüfPrOGramm: Sichere KOnfiGUratiOn deS SaP SinGle SiGn-On nr. Sichere KOnfiGUratiOn deS SaP SinGle SiGn-On

1.

Kontrollziel: Single Sign-On ist nur zwischen vertrauenswürdigen Systemen konfiguriert.Risiko: nicht vertrauenswürdige Systemen sind zugelassen.Hinweis 1: es gibt ein System, das SaP logon tickets ausstellt, und die anderen Systeme nehmen dieses als vertrauenswürdig an. SaP logon tickets werden entweder durch das SaP enterprise Portal oder durch einen SaP weB anwendungsserver ausgestellt. im folgenden wird ein SaP weB anwendungsserver aBaP unterstellt.Hinweis 2: es darf allerdings nur ein führendes System definiert werden. damit wird vermieden, dass mit der Verwaltung komplexer Vertrauensbeziehungen das Sicherheitsniveau herabgesetzt wird.

1.1

wie ist das SaP-System konfiguriert, das die SaP logon tickets annehmen soll?welche zertifikate anderer SaP-Systeme akzeptiert das lokale SaP-System bei Single Sign-On zugriffen?transaktionen StrUSt, SSO2 oder SSO2_admin.

1.2

wie ist der SaP web aS aBaP für die erteilung von SaP logon tickets konfiguriert?hat eine PKi (öffentliches trust-center, z. B. SaP ca) für den Server ein digitales zertifikat nach dem X.509-Standard ausgestellt und signiert?wurde das zertifikat in das Personal Security environment des SaP web aS übernommen?Hinweis: Selbst signierte zertifikate sind nur für ein testszenario zu empfehlen.

2.Kontrollziel: Beschränkungen für Single Sign-On sind über Profilparameter konfiguriert.Risiko: Schwachstellen in der Konfiguration ermöglichen ein Unterlaufen der beabsichtigten Sicherheit.

2.1

wie ist der Systemparameter login / accept_sso2_ticket des SaP web aS aBaP für die erteilung von SaP logon tickets konfiguriert?Hinweis: login / accept_sso2_ticket lässt die anmeldung per SSO-ticket zu oder sperrt sie.dieser Parameter muss auf „1“ gesetzt sein, um zuzulassen, dass der SaP web aS auch SaP logon tickets selbst akzeptiert.

2.2

wie ist der Systemparameter login / create_sso2_ticket des SaP web aS aBaP für die erteilung von SaP logon tickets konfiguriert?Hinweis: login / create_sso2_ticket lässt die erzeugung von SSO-tickets zu.dieser Parameter muss auf „1“ gesetzt sein, um zuzulassen, dass der SaP web aS die SaP logon tickets selbst erzeugt und sein eigenes digitales zertifikat dabei verwendet.Hinweis: die Option „2“ wird nur für selbst signierte Serverzertifikate empfohlen.

2.3

wie ist der Systemparameter login / ticket_expiration_time des SaP web aS aBaP für die erteilung von SaP logon tickets konfiguriert?Hinweis: login / ticket_expiration_time legt die Gültigkeitsdauer eines SSO-tickets fest.ein maximaler wert von acht Stunden, der einem arbeitstag entspricht, sollte nicht überschritten werden (neuer Standardwert: 8 statt 60 Stunden).

2.4

wie ist der Systemparameter login / accept_sso2_ticket des SaP-Systems konfiguriert, das die SaP logon tickets annehmen soll?Hinweis: login / accept_sso2_ticket lässt die anmeldung per SSO-ticket zu oder sperrt sie.dieser Parameter muss auf „1“ gesetzt sein, um SaP logon tickets zuzulassen.

10 Kommunikations- und NetzsicherheitSe

ite 11

0

Page 111: Prüfleitfaden SAP ERP 6.0

nr. aUthentiSierUnG Und aUtOriSierUnG im BetrieBSSyStem windOwS

3.

Kontrollziel: Die Kommunikation zwischen dem Browser des Benutzers und dem ausstellenden SAP-System ist verschlüsselt.Risiko: eine man-in-the-middle-attacke ist möglich, ein angreifer kann das SSO ticket abhören und somit ohne anmeldung auf das SaP-System zugreifen.

3.1ist die Kommunikation zwischen Benutzer und austellendem SaP-System verschlüsselt?der Profilparameter login / ticket_only_by_https ist auf „1“ (Verschlüsselung) gesetzt.SOS: SSO ticket can Be Sent via an Unsecured connection (0608)

3.2

Hinweis: weitere Parameter für anmeldekontrollen für das Single Sign-On sind wie folgt generisch zu suchen:login / *aiS: System audit – top ten Security reports – Profilparameter anzeigenaiS: System audit – System Konfiguration – Parameter – Systemparameter, übersicht mit historieaiS: System audit – System Konfiguration – Parameter – Systemparameter mit doku.

4.Kontrollziel: Restriktive Administration der Konfiguration des SAP Single Sign-OnRisiko: Gefahr einer nicht autorisierten nutzung, wenn andere Benutzer als die Systemadminis-tratoren für die Konfiguration zugelassen sind.

4.1

wer darf die Konfiguration des SaP Single Sign-On verändern?report rSUSr002 mit den eingaben:S_tcOde mit Sm30 oder Sm31 oder Se16 oder Se16nS_taBU_diS (tabellenpflege) mit actVt=02 dicBerclS=SSS_rzl_adm (rechenzentrumsleitstand) mit actVt=01S_admi_fcd (Systemberechtigungen) mit aktivität nadmSOS: Users – Other than the System administrators – are authorized to maintain the SSO configuration (0604)SOS: Users – Other than the System admins – are authorized to maintain trusted SSO ticket issuing Systems (0605)

Seite

111

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 112: Prüfleitfaden SAP ERP 6.0

BSi, Bundesamt für Sicherheit in der informationstechnik, it-Grundschutz-Kataloge: 9. ergänzungslieferung Stand 2007, Kapitel B 5.13 „SaP-System“

linkies, m. / Off, f. (2006), Sicherheit und Berechtigungen in SaP-Systemen, Bonn 2006

SaP, SaP library SaP netweaver Security Guide

SaP, Service report, SaP Security Optimization Self-Service

SaP, Schulungskurs „SaP Berechtigungskonzept“, adm940

tiede, t. (2004); SaP r / 3 Ordnungsmäßigkeit und Prüfung des SaP-Systems (OPSaP), hamburg 2004

wildensee, c.: (2006); externer zugriff auf SaP r / 3 Systeme über rfc, in „Prev revisionspraxis“, Ottokar Schreiber Verlag 2006

11 LiteraturverzeichnisSe

ite 11

2

Page 113: Prüfleitfaden SAP ERP 6.0

Seite

113

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

1, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 114: Prüfleitfaden SAP ERP 6.0

Prüfleitfaden SAP Teil 2Prüfleitfaden SaP erP 6.0,teil 2, BetrieBSwirtSchaftlicher teildSaG e. V.deutschsprachige SaP-anwendergruppe

1 OrGaniSatiOnSeinheiten im eXternen rechnUnGSweSen 117 1.1 Prüfungsziele 117 1.1.1 Organisationsstruktur 117 1.1.2 Stammdaten 117 1.1.3 Belege 118 1.2 Prüfungsdurchführung 119 1.2.1 Organisationsstruktur 119 1.2.2 Stammdaten 120 1.2.3 Belege 121

2 OrGaniSatiOnSeinheiten im internen rechnUnGSweSen 122 2.1 Prüfungsziele 122 2.1.1 Organisationsstruktur 122 2.1.2 Stammdaten 122 2.1.3 Belege 123 2.2 Prüfungsdurchführung 123 2.2.1 Organisationsstruktur 123 2.2.2 Stammdaten 124 2.2.3 Belege 125

3 BeSchaffUnGSPrOzeSS (PUrchaSe tO Pay) 126 3.1 Prüfungsziele 126 3.1.1 Stammdaten 126 3.1.2 Bestellvorgang 126 3.1.3 rechnungsprüfung 127 3.2 Prüfungsdurchführung 128 3.2.1 Stammdaten 128 3.2.2 Bestellvorgang 130 3.2.3 rechnungsprüfung 130

4 KalKUlatiOnSPrOzeSS 133 4.1 Prüfungsziele 133 4.1.1 Stammdaten und customizing 133 4.1.2 durchführung 133 4.1.3 ergebnisse / auswertungen 133 4.2 Prüfungsdurchführung 134 4.2.1 Stammdaten und customizing 134 4.2.2 durchführung 135 4.2.3 ergebnisse / auswertungen 135

Inhaltsverzeichnis

Seite

114

Page 115: Prüfleitfaden SAP ERP 6.0

5 PeriOdiScheS cOntrOllinG Bei einem laGerfertiGUnGSPrOzeSS 136 5.1 Prüfungsziele 136 5.1.1 Stammdaten und customizing 136 5.1.2 durchführung / Belege 136 5.1.3 ergebnisse / auswertungen 136 5.2 Prüfungsdurchführung 137 5.2.1 Stammdaten und customizing 137 5.2.2 durchführung 137 5.2.3 ergebnisse / auswertungen 138

6 VertrieBSPrOzeSS: VerKaUf VOm laGer (Order tO caSh) 139 6.1 Prüfungsziele 139 6.1.1 Stammdaten und customizing 139 6.1.2 durchführung / Belege 139 6.1.3 ergebnisse / auswertungen 140 6.2 Prüfungsdurchführung 141 6.2.1 Stammdaten und customizing 141 6.2.2 durchführung / Belege 143 6.2.3 ergebnisse / auswertungen 144

7 PeriOdenaBSchlUSS im internen rechnUnGSweSen Bei laGerfertiGUnG 148 7.1 Prüfungsziele 148 7.1.1 Stammdaten und customizing 148 7.1.2 durchführung / Belege 148 7.1.3 ergebnisse / auswertungen 149 7.2 Prüfungsdurchführung 149 7.2.1 Stammdaten und customizing 149 7.2.2 durchführung / Belege 151 7.2.3 ergebnisse / auswertungen 152

8 PeriOdenaBSchlUSS in der anlaGenBUchhaltUnG 153 8.1 Prüfungsziele 153 8.1.1 Stammdaten und customizing 153 8.1.2 ergebnisse / auswertungen 154 8.2 Prüfungsdurchführung 155 8.2.1 Stammdaten und customizing 155 8.2.2 ergebnisse / auswertungen 156

9 PeriOdenaBSchlUSS im eXternen rechnUnGSweSen 158 9.1 Prüfungsziele 158 9.1.1 Stammdaten und customizing 158 9.1.2 Saldenbestätigung 158 9.1.3 Bewertung der Offenen Posten in fremdwährung 158 9.1.4 Pauschalierte einzelwertberichtigung 159 9.1.5 Umbuchen und rastern der forderungen und Verbindlichkeiten 159 9.1.6 abgrenzungsbuchungen 159 9.1.7 Saldovortrag 159 9.1.8 technische abstimmung zwischen Verkehrszahlen und Belegen 159

Seite

115

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 116: Prüfleitfaden SAP ERP 6.0

9.2 Prüfungsdurchführung 160 9.2.1 Stammdaten und customizing 160 9.2.2 Saldenbestätigung 161 9.2.3 Bewertung der Offenen Posten in fremdwährung 162 9.2.4 Pauschalierte einzelwertberichtigung 163 9.2.5 Umbuchen und rastern der forderungen und Verbindlichkeiten 163 9.2.6 abgrenzungsbuchungen 164 9.2.7 Saldovortrag 166 9.2.8 technische abstimmung zwischen Verkehrszahlen und Belegen 167

10 BewertUnGSStrateGien für laGerBeStand 168 10.1 Prüfungsziele 168 10.1.1 Stammdaten 168 10.2 Prüfungsdurchführung 169 10.2.1 Stammdaten 169

11 BewertUnG mit iStKalKUlatiOn Und tranSferPreiSen 172 11.1 Prüfungsziele 172 11.1.1 istkalkulation und transferpreise 172 11.2 Prüfungsdurchführung 172 11.2.1 istkalkulation und transferpreise 172

12 VerKaUf einer KUndenaUftraGSfertiGUnG 174 12.1 Prüfungsziele 174 12.1.1 Stammdaten und customizing 174 12.1.2 durchführung / Belege 174 12.1.3 ergebnisse / auswertungen 175 12.2 Prüfungsdurchführung 175 12.2.1 Stammdaten und customizing 175 12.2.2 durchführung / Belege 176 12.2.3 ergebnisse / auswertungen 177

13 PeriOdenaBSchlUSS im internen rechnUnGSweSen Bei KUndenaUftraGSfertiGUnG Oder dienStleiStUnG 178 13.1 Prüfungsziele 178 13.1.1 Stammdaten und customizing 178 13.1.2 durchführung / Belege 178 13.1.3 ergebnisse / auswertungen 179 13.2 Prüfungsdurchführung 179 13.2.1 Stammdaten und customizing 179 13.2.2 durchführung / Belege 180 13.2.3 ergebnisse / auswertungen 181

14 fUnKtiOnStrennUnG 182 14.1 zielsetzung 182 14.1.1 anforderungen 182 14.1.2 risiken 182 14.2 Prüfungen von kritischen Berechtigungskombinationen im Bereich finanzbuchhaltung 182 14.3 Prüfungen von kritischen Berechtigungskombinationen im Bereich materialwirtschaft 183

Inhaltsverzeichnis

Seite

116

Page 117: Prüfleitfaden SAP ERP 6.0

1.1 PrüfUnGSzieleziele riSiKO

1.1.1 Organisationsstruktur

Vollständiger und richtiger ausweis aller Vermögensgegenstände und Schulden im Berichtszeitraum

eine unzureichende abbildung der Unternehmensstruktur führt in der finanzberichterstattung zu einem falschausweis des Buchungsstoffes

Vollständiger und richtiger ausweis aller Vermögensgegenstände und Schulden im Berichtszeitraum

Unautorisierte änderungen an den rechnungslegungsrelevanten Steuerungsparametern / customizingeinstellungen direkt im Produktivsystem und / oder direkte entwicklungsarbeiten am Produktivsystem gefährden die integrität der Verarbeitung

Vollständiger und richtiger ausweis aller Vermögensgegenstände und Schulden im Berichtszeitraum

falsche Grundeinstellungen des Buchungskreises (löschkenn-zeichen, Geschäftsjahresvariante, max. Kursabweichungen…) gefährden die integrität der Verarbeitung

die nachvollziehbarkeit der Verarbeitung wird durch eine auf- zeichnung der änderungen an zentralen rechnungslegungs- relevanten Steuerungstabellen sichergestellt

änderungen an zentralen rechnungslegungsrelevanten Steuerungstabellen werden nicht aufgezeichnet und sind nicht mehr nachvollziehbar

Stetige Verwendung von sicheren und geprüften Organisationseinheiten

Unbekannte Organisationseinheiten können nicht beurteilt werden

Sicherheit vor unberechtigten änderungen an Organisationseinheiten

änderungen am Kontenplan wird von nicht autorisierten Personen vorgenommen

1.1.2 Stammdaten

der ausweis entspricht den mindestgliederungsvorschriften der anzuwendenden rechnungslegungs-vorschrift

falsche zuordnung der Konten zu den Bilanzposten (ausweis)

der in Verwendung stehende Kontenplan ist genehmigt und steht in einklang mit den ausweisanforde-rungen der anzuwendenden rechnungslegungsvorschrift

Kontenplan ist nicht autorisiert und unzureichend ausgestaltet

änderungen am Kontenplan sind autorisiert und im einklang mit den anzuwendenden rechnungslegungs-vorschriften

änderungen am Kontenplan sind nicht autorisiert und gefährden den richtigen ausweis der Geschäftsvorfälle

1 Organisationseinheiten im externen Rechnungswesen

Seite

117

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 118: Prüfleitfaden SAP ERP 6.0

ziele riSiKO

die Konten sind in ihren Grund- und Steuerungseinstellungen korrekt gepflegt und ermöglichen eine ordnungsgemäße finanzberichter-stattung

Konten sind unzureichend gepflegt (hinsichtlich der Bebuchbar-keit automatisch / manuell, abstimmkonto, Offene Posten / einzelpostenführung)

änderungen an Konteneinstellungen sind genehmigt, überwacht und in einklang mit den erfordernissen der rechnungslegungsvorschriften

Unautorisierte änderungen an den zentralen Steuerungseinstel-lungen der Konten

1.1.3 Belege

Sicherheit vor unberechtigten Buchungen durch unautorisierte Personen

Buchungen werden durch Unberechtigte vorgenommen

Keine Gefährdung durch unzulässige funktionshäufungen bei einzelnen Personen

Buchungen können von Personen vorgenommen werden, die zusammen mit ihren anderen Berechtigungen eine funktions-häufung besitzen

Sicherheit vor unberechtigten Buchungen durch unautorisierte Personen

Unberechtigte Personen führen Stornos durch

Sicherheit vor unberechtigten änderungen an gebuchten Belegen. änderungen dürfen nur an unkri-tischen informationen erfolgen

änderungen werden an Belegen durchgeführt

abweichungen bei Beträgen dürfen nur akzeptiert werden, wenn eine definierte höchstgrenze nicht überschritten ist

Bei Buchungen werden zu hohe abweichungen akzeptiert

Periodengerechte abgrenzung und zeitnahe Buchung (Buchungsperioden)

Verstoß gegen den Grundsatz der zeitnahen Buchung

Korrekte Bebuchung der cpd-Konten (Konto pro diverse)

> manipulation von zahlungsdaten, da die daten für die debitoren / Kreditoren bei der jeweiligen Buchung direkt eingegeben werden> Unterlaufen von limits inkl. Buchungsbetragslimits durch mehrfache Bebuchung desselben debitors / Kreditors

1 Organisationseinheiten im externen Rechnungswesen

Seite

118

Page 119: Prüfleitfaden SAP ERP 6.0

1.2 PrüfUnGSdUrchführUnGriSiKO KOntrOlle teSt / Bericht

1.2.1 Organisationsstruktur

eine unzureichende abbildung der Unternehmensstruktur führt in der finanzberichterstattung zu einem falschausweis des Buchungsstoffes

die Unternehmensstruktur ist korrekt im System abgebildet und ermöglicht eine korrekte erfassung aller Geschäftsvorfälle und deren ausweis in der finanzberichterstattung.

aufnahme der Unternehmens-struktur im customizing (mandant) Buchungskreise – werke – einkaufsorganisationen – Verkaufsorganisationen Vertriebsbereiche – Sparten

Kaufmännisches audit – einzelabschluss → aiS - Organisatorische übersicht

Unautorisierte änderungen an den rechnungslegungsrele-vanten Steuerungsparametern / customizingeinstellungen direkt im Produktivsystem und / oder direkte entwicklungsarbeiten im Produktivsystem gefährden die integrität der Verarbeitung

die bestehenden einstellungen an rechnungslegungsrelevanten Parametern, Steuerungseinstel-lungen sowie die Verarbeitungs-programme können nur über das tmS geändert werden, anwendungsentwicklung im Produktivsystem ist ausge-schlossen. die generelle mandantenänderbarkeit lautet auf nicht änderbar.

transaktionen Scc4, Se06

Kaufmännisches audit – einzelabschluss → Kauf-männisches audit – einzelab-schluss → aiS - Organisatorischeübersicht → Org.Struktur → mandant

falsche Grundeinstellungen des Buchungskreises (löschkenn-zeichen, Geschäftsjahresvariante, max. Kursabweichungen…) gefährden die integrität der Verarbeitung

die einstellungen sind konform den empfehlungen der SaP gesetzt. der BuKr ist vor versehentlichem löschen geschützt, es ist die richtige Geschäftsjahresvariante eingepflegt, die Kursabweichung beträgt max. 10 %...

transaktion OBy6

Kaufmännisches audit - einzel-abschluss → aiS - Organisato-rische übersicht → Org.Struktur → Buchungskreis

änderungen an zentralen rechnungslegungsrelevanten Steuerungstabellen werden nicht aufgezeichnet und sind nicht mehr nachvollziehbar

die tabellenprotokollierung ist grundsätzlich im System aktiviert. definierte tabellen werden regelmäßig auf auffälligkeiten kontrolliert.

rSParam Parameter rec / client, auswertung der Protokolle über rStBhiSt

System – audit → aiS - System audit – repository / tabellen -> tabellenaufzeichnungen → Systemparameter (S_alr_87101223)

Seite

119

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 120: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

Unbekannte Organisationsein-heiten können nicht beurteilt werden

es werden nur im Unternehmen zulässige und geprüfte Organisa-tionselemente verwendet

Kaufmännisches audit - einzel-abschluss → aiS - Organisato-rische übersicht → Kontierungs-elemente → …Belegart, Belegnummer, Buchungsschlüssel, Buchungspe-riode, Umsatzsteuerkennzeichen

änderungen am Kontenplan wird von nicht autorisierten Personen vorgenommen

änderungen am Kontenplan werden nur von autorisierten Personen durchgeführt

System – audit → aiS – System audit – Benutzer und Berechti-gungen → welcher Benutzer darf … (rSUSr002)

1.2.2 Stammdaten

falsche zuordnung der Konten zu den Bilanzposten (ausweis)

die eingepflegten zuordnungen der in Verwendung stehenden Bilanzversionen entsprechen den Vorschriften der anzuwendenden rechnungslegungsvorschriften (bspw. hGB)

transaktion OB58

Kaufmännisches audit – einzel-abschluss → aiS - Organisato-rische übersicht → Org.Struktur → Kontenplan / Bilanzstruktur (OB58 - Bilanz / GuV-Strukturen)

Kontenplan ist nicht autorisiert und unzureichend ausgestaltet

der in Verwendung stehende Kontenplan ist autorisiert und in einklang mit den anzuwendenden rechnungslegungsvorschriften

f.10rSKVz00

Kaufmännisches audit - einzel-abschluss → abschluss - allge-mein → aiS - hauptbuch (Glt0) → Sachkonten → Stammdaten

änderungen am Kontenplan sind nicht autorisiert und gefährden den richtigen ausweis der Geschäftsvorfälle

änderungen an den Konten und am Kontenplan werden nur in einem formalisierten ände-rungsverfahren durchgeführt. änderungen werden regelmäßig analysiert

neue / gelöschte Konten im Geschäftsjahr rSKVz00

Kaufmännisches audit - einzel-abschluss → abschluss - allge-mein → aiS - hauptbuch (Glt0) → Sachkonten - Stammdaten→ controls

Konten sind unzureichend gepflegt (hinsichtlich der Bebuchbarkeit automatisch / manuell, abstimmkonto, Offene Posten / einzelpostenführung)

die einstellungen der Konten sind korrekt und in übereinstim-mung mit den anforderungen an die nachvollziehbarkeit der Verarbeitung (abstimmkonto, we / re Konto…) gepflegt.

transaktion fS00

Kaufmännisches audit - einzel-abschluss → abschluss - allge-mein → aiS - hauptbuch (Glt0) → Sachkonten – Stammdaten→ übersicht

1 Organisationseinheiten im externen Rechnungswesen

Seite

120

Page 121: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

Unautorisierte änderungen an den zentralen Steuerungsein-stellungen der Konten

änderungen an den Steuerungs-einstellungen der Konten sind autorisiert und in einklang mit den erfordernissen der anzu- wendenden rechnungslegungs-vorschriften

rfSaBl00, fS04

Kaufmännisches audit - einzel-abschluss → abschluss - allge-mein → aiS - hauptbuch (Glt0) → Sachkonten - Stammdaten → controls → Stammdaten-änderungen

1.2.3 Belege

Buchungen werden durch Unberechtigte vorgenommen

nur berechtigte Personen führen Stornobuchungen durch

Kaufmännisches audit - einzel-abschluss → abschluss - allge-mein → aiS - hauptbuch (Glt0) → tOP 10 → Belegjournal (mit Beleganalyse): nach Buchungs-schlüssel für Storno selektieren

änderungen werden an Belegen durchgeführt

eingestellte änderungsregeln prüfen

Kaufmännisches audit – einzel-abschluss → aiS - Organisato-rische übersicht → Belegsteue-rungen → Belegänderungsregeln → übersicht – detail

Bei Buchungen werden zu hohe abweichungen akzeptiert

eingestellte abweichungsgrenzen prüfen

Kaufmännisches audit – einzel-abschluss → aiS - Organisato-rische übersicht → Belegsteue-rungen → toleranzen → toleranzgruppe → übersicht - detail nach Buchungsschlüssel für Storno selektieren

Verstoß gegen den Grundsatz der zeitnahen Buchung

welche Buchungsperioden sind geöffnet; Untersuchung der änderungsprotokolle

wer darf die tabelle t001B ändern bzw. hat zugriff auf die laufenden einstellungen in der hauptbuchhaltung, um Buch- ungsperioden zu öffnen / schließen

aiS - audit information System → Kaufmännisches audit - ein-zelabschluss → Kontierungs-elemente → Buchungsperiodetabellenpflege z. B. Sm31 und BerechtigungsobjektS_taBU_diS

> manipulation von zahlungs daten, da die daten für die debitoren / Kreditoren bei der jeweiligen Buchung direkt eingegeben werden> Unterlaufen von limits inkl. Buchungsbetragslimits durch mehrfache Bebuchung desselben debitors / Kreditors

> existiert ein Buchungsbetrags- limit für cpd Konten?> mehrfachbebuchung desselben debitors / Kreditors?> einstellung des mahnlaufs für cpd-Konten?> manipulation von zahlungsdaten (Vergleich Buchung mit Beleg)?

reports: überblick über cpd-Konten rfKKVz00 / rfdKVz00, auswertung über Kontensaldenanzeige fK10n / fd11, detailansicht doppelklick

Seite

121

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 122: Prüfleitfaden SAP ERP 6.0

2.1 PrüfUnGSzieleziele riSiKO

2.1.1 Organisationsstruktur

richtige und zweckdienliche abbildung der controllingstrukturen

der Kostenrechnungskreis im controlling ist nicht richtig definiert

richtige und zweckdienliche abbildung der controllingstrukturen

die Standardhierarchie in der Kostenstellenrechnung ist falsch aufgebaut

richtige und zweckdienliche abbildung der controllingstrukturen

die Standardhierarchie in der Profit center-rechnung ist falsch aufgebaut und gefährdet die richtige Segmentberichtserstattung

die nachvollziehbarkeit der Verarbeitung wird durch eine aufzeichnung der änderungen an zentralen rechnungslegungsrele-vanten Steuerungstabellen sichergestellt

änderungen an zentralen rechnungslegungsrelevanten Steuerungstabellen werden nicht aufgezeichnet und sind nicht mehr nachvollziehbar

Stetige Verwendung von sicheren und geprüften Organisationseinheiten

Unbekannte Organisationseinheiten in der Kostenstellerech-nung können nicht beurteilt werden

Stetige Verwendung von sicheren und geprüften Organisationseinheiten

Unbekannte Organisationseinheiten in der auftragsrechnung können nicht beurteilt werden

Sicherheit vor unberechtigten änderungen an Organisationseinheiten

änderungen an Standardhierarchien und Organisationsele-menten werden von nicht autorisierten Personen vorgenommen

2.1.2 Stammdaten

Verantwortungsgerechte zuordnung der controllingobjekte zu Profit centern

falsche zuordnung der Stammdaten zu den Profit centern

die kostengleichen aufwendungen im fi werden richtig und zeitnah in das controlling übernommen

Kostenarten sind nicht richtig gepflegt

änderungen an den Kostenarten sind autorisiert und im einklang mit der beschlossenen controllingstruktur

Kostenarten werden unautorisiert angelegt und gefährden den richtigen ausweis der Geschäftsvorfälle

die informationen der controlling-objekte sind richtig und aktuell

Kostenstellen werden unautorisiert geändert und führen besonders bei änderungen der zuordnung zur Standard- hierarchie zu falschen ergebnissen

2 Organisationseinheiten im internen Rechnungswesen

Seite

122

Page 123: Prüfleitfaden SAP ERP 6.0

ziele riSiKO

2.1.3 Belege

Sicherheit vor unberechtigten Buchungen durch unautorisierte Personen

Buchungen werden durch Unberechtigte vorgenommen

Keine Gefährdung durch unzulässige funktionshäufungen bei einzelnen Personen

Buchungen können von Personen vorgenommen werden, die zusammen mit ihren anderen Berechtigungen eine funktions-häufung besitzen

Sicherheit vor unberechtigten Buchungen durch unautorisierte Personen

Unberechtigte Personen buchen Kosten auf Kostenstellen

die verursachungsgerechte Buchung von Kosten zu den richtigen controllingobjekten ist gewährleistet

Kosten werden Kostenstellen nicht verursachungsgerecht belastet

2.2 PrüfUnGSdUrchführUnGriSiKO KOntrOlle teSt / Bericht

2.2.1 Organisationsstruktur

der Kostenrechnungskreis im controlling ist nicht richtig definiert

der Kostenrechnungskreis ist entsprechend den Unterneh-mensvorgaben richtig definiert, die richtigen Buchungskreise und der richtige ergebnisbereich sind zugeordnet

imG → Unternehmensstruktur → zuordnung → controlling (OX19)

imG → controlling → controlling allgemein → Organisation (OKKP)

die Standardhierarchie in der Kostenstellenrechnung ist falsch aufgebaut

die Kostenstellenhierarchie entspricht den Unternehmens-vorgaben und die Kostenstellen sind richtig eingeordnet

SaP menu → rechnungswesen → controlling → Kostenstellen-rechnung → Stammdaten → Standardhierarchie → anzeigen (OKenn)

die Standardhierarchie in der Profit center-rechnung ist falsch aufgebaut und gefährdet die richtige Segmentberichtser-stattung

die Profit center-Standardhierar-chie entspricht den Unterneh-mensvorgaben und die Profit center sind richtig eingeordnet

SaP menu → rechnungswesen → controlling → Profit center- rechnung → Stammdaten → Standardhierarchie → anzeigen (Och6n)

Seite

123

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 124: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

änderungen an zentralen rechnungslegungsrelevanten Steuerungstabellen werden nicht aufgezeichnet und sind nicht mehr nachvollziehbar

die tabellenprotokollierung ist grundsätzlich im System aktiviert. definierte tabellen werden regelmäßig auf auffälligkeiten kontrolliert.

rSParam Parameter rec / client, auswertung der Protokolle über rStBhiSt

System – audit → aiS - System audit – repository / tabellen → tabellenaufzeichnungen → Systemparameter (S_alr_87101223)

Unbekannte Organisationsein-heiten in der Kostenstellenrech-nung können nicht beurteilt werden

es werden nur im Unternehmen zulässige und geprüfte Organisa-tionselemente verwendet

imG → controlling → Kostenstel-lenrechnung → Stammdaten → Kostenstellen → Kostenstellen-arten

Unbekannte Organisationsein-heiten in der auftragsrechnung können nicht beurteilt werden

es werden nur im Unternehmen zulässige und geprüfte Organisa-tionselemente verwendet

imG → controlling → innenauf-träge → auftragsstammdaten → auftragsarten definieren

änderungen an Standardhierar-chien und Organisationselementen werden von nicht autorisierten Personen vorgenommen

änderungen an Standardhierar-chie und Organisationselementen werden nur von autorisierten Personen durchgeführt

Se16, tabelle USOBt

System – audit → aiS – System audit – Benutzer und Berechti-gungen → welcher Benutzer darf … (rSUSr002)

2.2.2 Stammdaten

falsche zuordnung der Stammdaten zu den Profit centern

die eingepflegten zuordnungen der Stammdaten müssen der Verantwortlichkeit im Unterneh-men sowie den intern oder extern berichtspflichtigen einheiten entsprechen

imG → controlling → Profit center- rechnung → zuord-nungen von Kontierungsobjekten zu Profit centern → zuord-nungen überprüfen

Kostenarten sind nicht richtig gepflegt

alle aufwandskonten, die Kosten aufnehmen, sind im controlling als primäre Kostenarten gepflegt:

Vergleich der aufwandskontenli-ste mit der Kostenartenliste

aiS → Kaufmännisches audit – einzelabschluß → aiS – interne leistungsverrechnung → Stellenrechnung / innenaufträge → Stammdaten → Kostenarten: Stammdatenbericht

2 Organisationseinheiten im internen Rechnungswesen

Seite

124

Page 125: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

Kostenarten werden unautorisiert angelegt und gefährden den richtigen ausweis der Geschäfts-vorfälle

anlegen und ändern von Kostenarten werden nur in einem formalisierten änderungs- verfahren durchgeführt. änderungen werden regelmäßig analysiert

aiS → Kaufmännisches audit – einzelabschluß → aiS – interne leistungsverrechnung → Stellenrechnung / innenaufträge → Stammdaten → Kostenarten: Stammdatenbericht feld „angelegt von“ einblenden

Kostenstellen werden unautori-siert geändert und führen besonders bei änderungen der zuordnung zur Standardhierarchie zu falschen ergebnissen

die einstellungen der Kostenstel-len werden nur von autorisierten Personen geändert.

SaP menue → rechnungswesen → controlling → Kostenstellen-rechnung → Stammdaten → Kostenstellen → einzelbearbei-tung → änderungen anzeigen

2.2.3 Belege

Buchungen werden durch Unberechtigte vorgenommen

nur berechtigte Personen führen Sachkontenbuchungen durch

Kaufmännisches audit - einzel-abschluss → abschluss - allge-mein → aiS - hauptbuch (Glt0) → Sachkonten, Konto – Belege → übersicht → einzelposten (alV- Bericht: feld „name des Benutzers“ aufnehmen)

Buchungen können von Personen vorgenommen werden, die zusammen mit ihren anderen Berechtigungen eine funktionshäufung besitzen

die gleiche Person darf nicht Kreditoren-, debitoren- und Sachkonten bebuchen dürfen

Se16, USOBt: Berechtigungs-objekte für bspw. fB01: f_BKPf_BeS, f_BKPf_Bed, f_BKPf_BeKrSUSr002: welche User haben diese Berechtigungsobjekte?

Unberechtigte Personen buchen Kosten auf Kostenstellen

nur berechtigte Personen führen Stornobuchungen durch

aiS → Kaufmännisches audit – einzelabschluß → aiS – interne leistungsverrechnung → Stellenrechnung / innenaufträge → einzelposten / Belege → Kostenrechnungsbelege ist

Kosten werden Kostenstellen nicht verursachungsgerecht belastet

Kosten werden in controlling verursachungsgerecht gebucht

aiS → Kaufmännisches audit – einzelabschluß → aiS – interne leistungsverrechnung → Stellenrechnung / innenaufträge → einzelposten / Belege → Kostenstelle einzelposten ist

Seite

125

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 126: Prüfleitfaden SAP ERP 6.0

3 Beschaffungsprozeß (purchase to pay)3.1 PrüfUnGSziele

ziele riSiKO

3.1.1 Stammdaten

Kreditorenstammdaten sind vollständig, richtig und zeitnah gepflegt.

die unterschiedlichen Sichten der Kreditorenstammdaten sind nicht konsistent gepflegt (einkausssicht / Buchhaltungssicht)

Kreditorenstammdaten werden in einem geregelten Verfahren angelegt, geändert oder gelöscht.

Unautorisierte Pflege von Kreditorenstammdaten

die auf den Kreditoren erfassten Vorgänge werden korrekt im hauptbuch ausgewiesen (richtige definition des abstimmkontos)

falscher ausweis im hauptbuch

eine wirksame trennung von Pflege der Stammdaten und erfassung der Bewegungsdaten verhindert dolose handlungen.

einmallieferanten werden mißbräuchlich verwendet.

änderungen an Kreditoren sind autorisiert

Unautorisierte änderungen an Kreditoren gefährden die integrität der Stammdaten.

der ausweis der Verbindlichkeiten entspricht den Bilanzierungsvor-schriften.

ein erforderlicher ausweis nach den Bilanzierungsvorschriften erfolgt nicht (abstimmkonten sind falsch definiert)

die erfassten Verbindlichkeiten enthalten nur die vom Unternehmen tatsächlich bezogenen leistungen

lieferantenrechnungen werden doppelt erfasst

richtiger ausweis der Verbindlichkeitenfalsche Bildung von Unternehmensstrukturen im customizing (zuordnung von einkaufsorganisationen zu Buchungskreisen)

3.1.2 Bestellvorgang

der zugriff auf die einkaufsdaten und funktionen ist restriktiv ausgestaltet unter einhaltung von funktionstren-nungsgesichtspunkten und dem 4-augenprinzip

Betrügerische handlung aufgrund einer unzureichenden funktionstrennung von Stammdatenpflege Kreditoren und durchführung von Beschaffungsvorgängen

es werden nur autorisierte Beschaf-fungsvorgänge initiiert. die Beschaf-fungsrichtlinien und zeichnungsricht-linien werden eingehalten

Bestellungen werden ohne Bestellanforderungen angelegt

Seite

126

Page 127: Prüfleitfaden SAP ERP 6.0

ziele riSiKO

es werden nur autorisierte Bestellungen initiiert. die Beschaf-fungsrichtlinien und zeichnungsricht-linien werden eingehalten

die freigabestrategie von Bestellanforderungen ist nicht Unternehmenskonform ausgeprägt

es werden nur autorisierte Bestel-lungen initiiert. die Beschaffungsrichtli-nien und zeichnungsrichtlinien werden eingehalten

zu nicht freigegebenen Bestellanforderungen werden Bestellungen angelegt

3.1.3 Rechnungsprüfung

die erfassten Verbindlichkeiten enthalten nur die vom Unternehmen tatsächlich bezogenen und genehmig-ten leistungen

es werden Verbindlichkeiten für nicht erbrachte leistungen direkt auf den Kreditoren erfasst.

die erfassten Verbindlichkeiten enthalten nur die vom Unternehmen tatsächlich bezogenen und genehmig-ten leistungen

eingangsrechnungen werden mit einem zu hohen Betrag erfasst (und ausbezahlt).

die erfassten Verbindlichkeiten enthalten nur die vom Unternehmen tatsächlich bezogenen und genehmig-ten leistungen

eingangsrechnungen werden mit einem zu hohen Betrag erfasst (und ausbezahlt).

die erfassten Verbindlichkeiten enthalten nur die vom Unternehmen tatsächlich bezogenen und genehmi-gten leistungen

Unzureichende ausgestaltung des 3-wege matches durch mangelhafte einstellungen des we / re Kontos

die Verbindlichkeiten beruhen auf genehmigten Beschaffungsvorgängen und wurden genehmigt bezogen.

ausgewiesene Verbindlichkeiten zum Bilanzstichtag haben keinen Bestand.

die Verbindlichkeiten beruhen auf genehmigten Beschaffungsvorgängen und wurden genehmigt bezogen.

ausgewiesene Verbindlichkeiten zum Bilanzstichtag haben keinen Bestand oder sind zu niedrig ausgewiesen.

es werden keine auszahlungen bei Kreditoren getätigt, bei denen gleichzeitig ein ausfallrisiko bei Offenen forderungen besteht

es werden auszahlungen für Verbindlichkeiten getätigt, bei Kreditoren mit uneinbringlichen forderungen (z. B. durch mögliche insolvenzgefährdung des Kreditors)

Seite

127

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 128: Prüfleitfaden SAP ERP 6.0

ziele riSiKO

alle ausgewiesenen Verbindlichkeiten bestehen zum Bilanzstichtag

haupt- und nebenbücher stimmen nicht überein

alle ausgewiesenen Verbindlichkeiten bestehen zum Bilanzstichtag

haupt- und nebenbücher stimmen nicht überein

die Bewertung der Verbindlichkeiten entspricht den Bewertungsvorschriften der GaaP / hGB.

es werden Verbindlichkeiten ausgewiesen, die keinen Bestand haben

es werden keine auszahlungen bei Kreditoren getätigt, bei denen gleichzeitig ein ausfallrisiko bei Offenen forderungen besteht

es werden auszahlungen für Verbindlichkeiten getätigt, bei Kreditoren mit uneinbringlichen forderungen (z. B. durch mögliche insolvenzgefährdung des Kreditors)

3.2 PrüfUnGSdUrchführUnGriSiKO KOntrOlle teSt / Bericht

3.2.1 Stammdaten

die unterschiedlichen Sichten der Kreditorenstammdaten sind nicht konsistent gepflegt (einkaufssicht / Buchhaltungssicht)

überprüfung der vollständigen und konsistenten Pflege der Stammdatensichten

rfKKaG00

Unautorisierte Pflege von Kreditorenstammdaten

überprüfung wer wann welche Kreditoren angelegt hat (in Stichproben)

rfKKVz00

aiS - audit information System - Bilanz - Passiva - Verbindlich-keiten - aiS - Kreditoren - Stammdaten - Stammdaten - übersicht - S_alr_87101118 – Kontenverzeichnis

falscher ausweis im hauptbuch

überprüfung, ob alle Kreditoren ein abstimmkonto zugewiesen haben, überprüfung der inhaltlichen richtigkeit in Stichproben

databrowser Se16, tabelle lfB1, Selektion auf dem feld abstimmkonto

aiS - audit information System - Bilanz - Passiva - Verbindlich-keiten - aiS - Kreditoren – Stammdaten → Stammdaten - data Browser - Se16_lfB1 - lfB1 = lieferantenstamm (Buchungskreis)

3 Beschaffungsprozeß (purchase to pay)Se

ite 12

8

Page 129: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

einmallieferanten werden missbräuchlich verwendet.

überprüfung der angelegten cpd Konten, dass nur Vorgänge mit geringen Beträgen erfasst werden

report rfKKVz00, Selektion cpd Konten, anzeige der Konten fK10n

aiS - audit information System - Bilanz - Passiva - Verbindlich-keiten - aiS - Kreditoren - Stammdaten aiS - Verbindlich-keiten - Kreditoren, Konto → Salden - übersicht - Saldenliste cPd

Unautorisierte änderungen an Kreditoren gefährden die integrität der Stammdaten.

überprüfung der änderungen an Kreditorenstammdaten. änderungen an Stammdaten werden korrekt aufgezeichnet.

änderungsreport rfKaBl00, einstellungen zum änderungsre-port in der tabelle t077KBilanz - aktiva - forderungen - aiS – forderungen- debitoren, Konto → Salden - übersicht - Saldenliste cPd

ein erforderlicher ausweis nach den Bilanzierungsvorschriften erfolgt nicht (abstimmkonten sind falsch definiert)

überprüfung der abstimmkonten auf korrekte definition.

rfKSld00 (Selektion auf abstimmkonten Kreditoren)

Kaufmännisches audit - einzel-abschluss - aiS - Organisato-rische übersicht abstimmkonten S_alr_87101046 – abstimmkonten

lieferantenrechnungen werden doppelt erfasst

automatische Prüfung auf doppelte lieferantenrechnungen bei erfassung der eingangsrech-nungen durch Pflege des feldes „doppelte lieferantenrech-nungen“ im Stammsatz

Pflege des feldes „doppelte lieferantenrechnungen“ in der tabelle lfB1

Bilanz - aktiva - forderungen - aiS - debitoren - Stammdaten - Stammdatencontrols - Stammdatenänderungen - S_alr_87101066 - liste (Batch !)

falsche Bildung von Unterneh-mensstrukturen im customizing (zuordnung von einkaufsorgani-sationen zu Buchungskreisen)

die Unternehmensstrukturen sind korrekt gebildet und bilden die rechtlichen Gegebenheiten korrekt im System wieder.

einsicht im customizing über die zuordnungen transaktion SPrO – referenz-imG – Unternehmensstruktur – zuordnung – materialwirtschaft – einkaufsorganisation – Buchungskreis zuordnen

Seite

129

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 130: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

3.2.2 Bestellvorgang

Betrügerische handlungen aufgrund einer unzureichenden funktionstrennung von Stammdatenpflege Kreditoren und durchführung von Beschaffungsvorgängen

funktionstrennung zwischen Bestellanforderung, Bestellung und wareneingang sollte systemseitig sichergestellt und wirksam sein

Keine Vergabe der transaktionenfK01 zzgl. Ber.obj. f_lfa1_BUK akt 01 und den transaktionen me21n, miGO, mirO zzgl. Ber.obj. (siehe oben)analyse über rSUSr002

Systemaudit - infosystem Benutzer & Berechtigungen

Bestellungen werden ohne Bestellanforderungen angelegt

Prüfung, ob Bestellungen ohne Bezug zu Bestellanforderungen existieren

liste der Bestellungen: SaP Quick Viewer, join der tabellen eKKO und eKPO mit anzeige der entsprechenden felder

die freigabestrategie von Bestellanforderungen ist nicht Unternehmenskonform ausgeprägt

die freigabestrategie für Bestellanforderungen entspre-chend der durch das Unternehmen definierten Beschaffungsrichtlinie

imG → materialwirtschaft → einkauf → Bestellanforderungen → freigabestrategie

report rSUSr002: Prüfung auf Berechtigungsobjekt m_einK_frG

zu nicht freigegebenen Bestellanforderungen werden Bestellungen angelegt

die Bestellung kann nur mit Bezug zu einer freigegeben Bestellanforderung angelegt werden

liste der Bestellungen: SaP Quick Viewer, join der tabellen eKKO und eKPO mit anzeige der entsprechenden felder

3.2.3 Rechnungsprüfung

es werden Verbindlichkeiten für nicht erbrachte leistungen direkt auf den Kreditoren erfasst.

lieferantenrechnungen können nur mit einer Bestellnummer erfasst werden. erfasste rechnungen, bei denen noch kein wareneingang erfolgt ist sind zur Bezahlung gesperrt.

analyse der tabelle BKPf auf Belege ungleich transaktions-code mirO (hierzu ist es erforderlich die tabellen BSiK / BSaK mit der tabelle BKPf zu joinen – datenanalyse-software)

eingangsrechnungen werden mit einem zu hohen Betrag erfasst (und ausbezahlt).

rechnungspositionsbetragsprü-fung. lediglich innerhalb eng definierter toleranzgrenzen können eingangsrechnungen mit abweichungen zum Bestellpreis im System erfasst werden.

customizing transaktion Omrh, Omri, Omr6Omrh = aktivierung Sperren wg. Positionsbetrages muss für den Buchungskreis gesetzt sein

Omri = rechnungsprüfung: Prüfung auf Betragshöhe muss gesetzt sein

Omr6 = toleranzgrenzen müssen angemessen gepflegt sein

3 Beschaffungsprozeß (purchase to pay)Se

ite 13

0

Page 131: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

eingangsrechnungen werden mit einem zu hohen Betrag erfasst (und ausbezahlt).

3-wege abstimmung über das wareneingangs- rechnungsein-gangskonto. zeitnahe Pflege und Klärung aller differenzfälle.

identifikation des we / re Kontos über den in Verwendung stehenden Kontenplan transaktion f.10 und analyse des Pflegestandes des we / re Kontos über transaktion fS10nKaufmännisches audit - einzel-abschluss - Bilanz - aktiva - aiS – Vorratsvermögen - Konsis-tenzprüfungen - S_P6B_12000135 - we / re-Saldenliste

Unzureichende ausgestaltung des 3-wege matches durch mangelhafte einstellungen des we / re Kontos

die einstellungen des we / re Kontos sind angemessen (nur maschinell bebuchbar)

identifikation des we / re Kontos über den in Verwendung stehenden Kontenplan transaktion f.10 und analyse der einstellungen des we / re Kontos über transaktion fS00 zzgl. änderungshistorie über fS04

ausgewiesene Verbindlichkeiten zum Bilanzstichtag haben keinen Bestand.

die Kreditorenumsätze werden plausibilisiert.

managementreview des reports rfKUml00

Kaufmännisches audit - einzel-abschluss - Bilanz - Passiva - Verbindlichkeiten - aiS - Ver-bindlichkeiten - Kreditoren, Konto → Salden - übersicht - Umsatzauswahl nach Betrag

ausgewiesene Verbindlichkeiten zum Bilanzstichtag haben keinen Bestand oder sind zu niedrig ausgewiesen.

es werden Saldenbestätigungen von lieferanten eingeholt

transaktion f.18

es werden auszahlungen für Verbindlichkeiten getätigt, bei Kreditoren mit uneinbringlichen forderungen (bspw. durch mögliche insolvenzgefährdung des Kreditors)

automatische Verrechnung von Offenen Posten bei debitorischen Kreditoren (mit insolvenzgefähr-dung / drohender zahlungsunfä-higkeit)

Stammdatenpflege / customizing

feld im debitorenstammsatz gesetzt Verrechung mit Kreditor (KnB1 – feld XVerr) und feld im Kreditorenstammsatz gesetzt Verrechnung mit debitor XVerr

Seite

131

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 132: Prüfleitfaden SAP ERP 6.0

3 Beschaffungsprozeß (purchase to pay)riSiKO KOntrOlle teSt / Bericht

haupt- und nebenbücher stimmen nicht überein

abstimmung von haupt- und nebenbücher zum Jahresab-schluss

abstimmung der reports rfKSSldO mit rfhaBU00

Kaufmännisches audit - einzel-abschluss - Bilanz - Passiva - Verbindlichkeiten - aiS - Ver-bindlichkeiten - abstimmung / Große Umsatzprobe

haupt- und nebenbücher stimmen nicht überein

regelmäßige automatisierte abstimmung von haupt- und nebenbücher

report SaPf190

Kaufmännisches audit - einzel-abschluss - Bilanz - Passiva - Verbindlichkeiten - aiS - Ver-bindlichkeiten - abstimmung / Große Umsatzprobe

es werden Verbindlichkeiten ausgewiesen die keinen Bestand haben

analyse der altersstruktur der Offenen Posten

report rfKOPr10

Kaufmännisches audit - einzel-abschluss - Bilanz - Passiva - Verbindlichkeiten - aiS - Ver-bindlichkeiten fiaP - infosystem - S_alr_87010027 - Kreditoren info-System

Seite

132

Page 133: Prüfleitfaden SAP ERP 6.0

4.1 PrüfUnGSzieleziele riSiKO

4.1.1 Stammdaten und Customizing

richtige Pflege der materialstammsätze der materialstammsatz ist unzutreffend gepflegt

richtiger ansatz der internen Verrechnungspreise

die tarife der leistungsarten sind falsch gepflegt

richtiger ansatz der internen Verrechnungspreise

die Kostenstellentarife sind zwar im durchschnitt gut, haben aber hohe periodenbezogene Schwankungen

zweckentsprechende Bewertung der ressourcen, um richtige herstell-kosten zu ermitteln

die Kalkulationsvariante verwendet unzweckmäßige Bewertungen

Verursachungsgerechte weiterver-rechnung von Gemeinkosten auf die Kostenträger

die Kalkulationsvariante verwendet unzweckmäßige Gemein-kostenverrechnungen

4.1.2 Durchführung

Sicherheit vor Kalkulationen durch unautorisierte Personen

Kalkulationen werden von unautorisierten Personen durchgeführt

Sicherheit vor materialbewertungs änderungen durch unautorisierte Personen

Kalkulationen werden von unautorisierten Personen vorgemerkt und freigegeben

4.1.3 Ergebnisse / Auswertungen

richtiger Standardpreis im materialstammsatz

der Standardpreis im materialstammsatz stammt nicht aus einer freigegebenen erzeugniskalkulation

Stetige Bewertung des materials im lager

die Standardpreise im materialstamm werden unangemessen häufig verändert

richtige Bewertung des materials im lager

richtiger ausweis der herstellkosten

die änderung der Standardpreise im materialstamm ist auffallend / unangemessen hoch

richtiger ausweis der herstellkosten und Sicherheit für die Bewertung von materialbeständen

die materialpreise in den Preisfeldern sind stark unterschiedlich

4 Kalkulationsprozess

Seite

133

Page 134: Prüfleitfaden SAP ERP 6.0

4 Kalkulationsprozess4.2 PrüfUnGSdUrchführUnG

riSiKO KOntrOlle teSt / Bericht

4.2.1 Stammdaten und Customizing

der materialstammsatz ist unzutreffend gepflegt

die materialstammsätze stichprobenartig oder in listenform prüfen

logistik → materialwirtschaft → materialstamm → material anzeigen

logistik → materialwirtschaft → materialstamm → Sonstige → materialverzeichnis

die tarife der leistungsarten sind falsch gepflegt

die Kostenstellentarife auflisten und auf unsinnige werte oder auf hohe abweichungen gegenüber den vergangenen Jahren prüfen

controlling → Kostenstellen-rechnung → infosystem → tarife → Kostenstellen: leistungs-artentarife

die Kostenstellentarife sind zwar im durchschnitt gut, haben aber hohe periodenbezogene Schwan-kungen

die Kostenstellentarife auflisten und auf unsinnige werte oder auf hohe abweichungen gegenüber den vergangenen Jahren prüfen

controlling → Kostenstellen-rechnung → infosystem → weitere Berichte → leistungs-arten: Periodenaufriss

die Kalkulationsvariante verwendet unzweckmäßige Bewertungen

Bewertungsvariante in der Kalkulationsvarianten prüfen

imG → controlling → Produkt-kosten-controlling → Produkt-kostenplanung → materialkalku-lation mit mengengerüst → Kalkulationsvarianten definieren: Preisfindungsstrategien prüfen

die Kalkulationsvariante verwendet unzweckmäßige Gemeinkostenverrechnungen

Bewertungsvariante in der Kalkulationsvarianten prüfen

imG → controlling → Produkt-kosten-controlling → Produkt-kostenplanung → materialkalku-lation mit mengengerüst → Kalkulationsvarianten definieren: Kalkulationsschema prüfen

Seite

134

Page 135: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

4.2.2 Durchführung

Kalkulationen werden von unautorisierten Personen durchgeführt

Kalkulationen auflisten und deren erfasser anzeigen

Berechtigungen der mitarbeiter prüfen

rechnungswesen → controlling → Produktkosten-controlling → Produktkostenplanung → infosystem → Objektliste → zum material → analyse / Vergleich von materialkalkulationen

Se16, USOBt, Berechtigungsob-jekt K_KeKO, report rSUSr002

Kalkulationen werden von unautorisierten Personen vorgemerkt und freigegeben

materialstammsätze auflisten und deren änderungen durch freigabe von Kalkulationen anzeigen

Berechtigungen der mitarbeiter prüfen

logistik → materialwirtschaft → materialstamm → material → Stammdaten → anzeigen → anzeigen aktueller Stand, dann änderungsbeleg anschauen

Se16, cdhdr, Objektklasse material

Se16, USOBt, Berechtigungsob-jekt K_fVmK, report rSUSr002

4.2.3 Ergebnisse / Auswertungen

der Standardpreis im material-stammsatz stammt nicht aus einer freigegebenen erzeugnis-kalkulation

Kalkulationen zu den materialien auflisten und auf Status „freigegeben“ prüfen. mit liste der materialstammsätze vergleichen

controlling → Produktkosten-rechnung → Produktkosten-planung → infosystem → Objektliste zum material → analyse / Vergleich von material-kalkulationen

die Standardpreise im material- stamm werden unangemessen häufig verändert

Kalkulationen zu den materialien mit Status „freigegeben“ auflisten: datum prüfen

controlling → Produktkosten-rechnung → Produktkosten-planung → infosystem → Objektliste zum material → analyse / Vergleich von material-kalkulationen: layout 1SaP03, datum einblenden, nach datum sortieren

die änderung der Standard-preise im materialstamm ist auffallend / unangemessen hoch

Kalkulationen zu den materialien mit Status „freigegeben“ auflisten:

abweichungen vom Standard-preis prüfen

controlling → Produktkosten-rechnung → Produktkosten-planung → infosystem → Objektliste zum material → analyse / Vergleich von material-kalkulationen: layout 1SaP03, datum einblenden, nach datum sortieren

die materialpreise in den Preis- feldern sind stark unterschiedlich

materialpreise im Vergleich auflisten und auf abweichungen untersuchen

Se16, mBew, Preisfelder anzeigen lassen

Seite

135

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 136: Prüfleitfaden SAP ERP 6.0

5 Periodisches Controlling bei einem Lagerfertigungsprozess5.1 PrüfUnGSziele

ziele riSiKO

5.1.1 Stammdaten und Customizing

ein zum logistischen Prozess passendes und adäquates controlling soll gewährleistet werden. die richtige Steuerung der fertigungsaufträge ermöglicht die richtige ermittlung der ware in arbeit beim Periodenabschluss

falsche auftragsarten steuern das controlling anders als im Unternehmen erwartet. dies kann zu falschen auftragswerten führen, die auch auswirkungen auf Bilanz und GuV haben können

die Bewertung der logistischen ressourcenverbräuche geschieht mit angemessenen Preisen bzw. tarifen. dies ermöglicht eine gute mitlaufende Kalkulation auf den Kostenträgern.

die Verwendung schlecht gepflegter Kalkulationsvarianten kann zu ungewöhnlich hohen abweichungen oder unerwarteten abweichungskategorien führen, die die erfolgsrechnung verfälschen

5.1.2 Durchführung / Belege

die disposition soll richtige Bedarfe ausweisen und diese sollen in einem angemessenem zeitraum gedeckt werden

Planaufträge werden lange zeit nicht in fertigungsaufträge umgesetzt. dies deutet auf Störungen in der disposition oder fertigung hin

die logistischen ressourcenverbräuche werden zeitnah und mengengerecht gebucht, um eine gute mitlaufende Kalkulation zu ermöglichen.

die Verbrauchsbuchungen auf den Kostenträgern werden zeitlich unkorrekt gebucht. dies kann durch verspätete rückmeldungen oder warenbewegungsbuchungenverursacht werden

die fertigungsprozesse werden in angemessenem zeitraum durchge-führt und die Kostenträger entspre-chend mitgeführt

fertigungsaufträge werden lange zeit nicht endgeliefert. dies deutet auf eine Störung bei der Beschaffung von ressourcen oder bei der fertigung hin. ebenfalls könnten verspätete oder unterlassene rückmeldungen / Buchungen aufgetreten sein

5.1.3 Ergebnisse / Auswertungen

abweichungen der Produktion werden schnell erkannt, damit ein korrigierendes eingreifen noch möglich ist

die fertigung erzielt hohe abweichungen, deren auftreten nicht bemerkt wird

Seite

136

Page 137: Prüfleitfaden SAP ERP 6.0

5.2 PrüfUnGSdUrchführUnGriSiKO KOntrOlle teSt / Bericht

5.2.1 Stammdaten und Customizing

falsche auftragsarten steuern das controlling anders als im Unternehmen erwartet. dies kann zu falschen auftragswerten führen, die auch auswirkungen auf Bilanz und GuV haben können

die auftragsart ist auf perio-disches controlling eingestellt und wird auch für den fertigungs auftrag so verwendet

im customizing tabelle Vorschlagswerte nachschauen

im fertigungsauftrag bei der abrechnungsregel „per“ (periodische abrechnung) verifizieren

imG → controlling → Produktko-sten-controlling → Kostenträ-gerrechnung → auftragsbezo-genes Produktcontrolling → Produktionsaufträge → auftragsarten überprüfen (KOt2 )imG → controlling → Produktko-sten-controlling → Kostenträger-rechnung → auftragsbezogenes Produktcontrolling → Produkt-ionsaufträge → Kostenrech-nungsrelevante Vorschlagswerte je auftragsart / werk pflegen

die Verwendung schlecht gepflegter Kalkulationsvarianten kann zu ungewöhnlich hohen abweichungen oder unerwar-teten abweichungskategorien führen, die die erfolgsrechnung verfälschen

die Kalkulationsvariante ist entsprechend den beschlossenen Vorgaben im Unternehmen eingestellt

Kalkulationsvariante analysieren, besonders Bewertungsvariante

auftragsbericht aufrufen, leistungstarif prüfen

imG → controlling → Produktko-sten-controlling → Kostenträ-gerrechnung → auftragsbezo-genes Produktcontrolling → Produktionsaufträge → Kalkulationsvariante für Produktionsaufträge überprüfen (OPl1)

5.2.2 Durchführung / Belege

Planaufträge werden lange zeit nicht in fertigungsaufträge umgesetzt. dies deutet auf Störungen in der disposition oder fertigung hin

alter der Planaufträge analysieren und auf abweichungen zum Standarddurchlauf des Produkt- ionsprozesses hin untersuchen

in der Bedarfs- / Bestandsliste die Situation der materialien überprüfen

Planaufträge auflisten und nach alter sortieren

logistik → Produktion → Bedarfsplanung → Planauftrag → anzeigen → Sammelanzeige (md16)

Seite

137

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 138: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

die Verbrauchsbuchungen auf den Kostenträgern werden zeitlich unkorrekt gebucht. dies kann durch verspätete rückmeldungen oder warenbe-wegungsbuchungenverursacht werden

die Verbrauchsbuchung erfolgt zeitgleich zum logistischen Verbrauch der ressource

we Belege selektieren: gibt es unbewertete wareneingänge?

rückmeldebelege selektieren

logistik → materialwirtschaft → Bestandsführung → Umfeld → listanzeigen → materialbelegelogistik → Produktion → infosystem → auftragsinfosystem

fertigungsaufträge werden lange zeit nicht endgeliefert. dies deutet auf eine Störung bei der Beschaffung von ressourcen oder bei der fertigung hin. ebenfalls könnten verspätete oder unterlassene rückmel-dungen / Buchungen aufgetreten sein

alter der fertigungsaufträge analysieren und auf abweichungen zum Standarddurchlauf des Produktionsprozesses hin untersuchen

im informationssystem die aufträge auflisten lassen, die älter als eine bestimmte zeitspanne sind.

logistik → Produktion → infosystem → auftragsinfosystem

5.2.3 Ergebnisse / Auswertungen

die fertigung erzielt hohe abweichungen, deren auftreten nicht bemerkt wird

auftragsberichte: Soll- istkosten- Vergleich

rechnungswesen → controlling → Produktkosten-controlling → Kostenträgerrechnung → auftragsbezogenes Produktcon-trolling → infosystem → Berichte zum auftragsbezogenen Produkt- controlling → Objektliste → auftragsselektion

5 Periodisches Controlling bei einem Lagerfertigungsprozess

Seite

138

Page 139: Prüfleitfaden SAP ERP 6.0

6.1 PrüfUnGSzieleziele riSiKO

6.1.1 Stammdaten und Customizing

Unternehmensstrukturen und Organisationseinheiten werden im System korrekt abgebildet

falsche Bildung von Unternehmensstrukturen im customizing (zuordnung von Vertriebsbereichen zu Buchungskreisen)

aufträge werden vollständig, zeitnah, mit der richtigen Belegart, zu autorisierten Konditionen im System erfasst und vollständig bis zum richtigen ausweis im hauptbuch verarbeitet.

Kundenaufträge werden fehlerhaft im System erfasst und können nicht zeitnah bearbeitet werden. dies führt zu Umsatzverlusten. fehler im Belegfluss führen zu unvollständigen Geschäftsprozessen.

(fehlender ausweis von forderungen und Umsatzerlösen)

aufträge werden zu autorisierten Preisen verarbeitet und vollständig im hauptbuch ausgewiesen. manuelle Preisänderungen im auftrag sind nicht möglich.

Unautorisierte, manuelle änderungen von Preisen bei der auftragsanlage (z. B. Standardpreis Pr00)

änderungen in aufträgen sind autorisiert und beruhen auf genehmigten Kundenzusagen

Unautorisierte nachträgliche änderungen an Verkaufsaufträgen

aufträge werden zeitnah bearbeitet. aufträge im rückstand werden zeitnah überwacht und nachverfolgt.

aufträge im rückstand werden nicht angemessen überwacht und im System gepflegt.

6.1.2 Durchführung / Belege

lieferungen im rückstand werden zeitnah bearbeitet.

lieferungen im rückstand führen zu Kundenverlusten und verlorenen Umsätzen

alle erbrachten leistungen werden vollständig, mit genehmigten Belegarten und zeitnah fakturiert.

leistungen werden systemseitig nicht vollständig fakturiert (fakturavorrat). es werden hierbei trotz leistung keine offenen Posten in der Buchhaltung erzeugt.

alle erbrachten leistungen werden vollständig, mit genehmigten Belegtypen und zeitnah fakturiert.

aufgrund technischer Verarbeitungsfehler wird aus der faktura der Buchhaltungsbeleg nicht erzeugt (fehlerhafte Buchungsstatus)

alle fakturierten leistungen beruhen auf genehmigten Kundenaufträgen und auf korrekt erbrachten leistungen.

es werden forderungen für nicht erbrachte leistungen direkt auf den debitoren erfasst.

ein funktionierendes mahnwesen sichert die werthaltigkeit der offenen Posten

Offene Posten werden nicht vollständig in das mahnwesen einbezogen.

6 Vertriebsprozeß: Verkauf vom Lager (order to cash)

Seite

139

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 140: Prüfleitfaden SAP ERP 6.0

6.1.3 Ergebnisse / Auswertungen

ein funktionierendes mahnwesen sichert die werthaltigkeit der offenen Posten

mahnverfahren sind unzureichend ausgestaltet, mahnstufen im System stimmen nicht mit Konzernvorgaben überein.

ein funktionierendes mahnwesen sichert die werthaltigkeit der offenen Posten

mahnläufe werden in unregelmäßigen abständen durchgeführt

die debitorenumsätze beruhen auf genehmigten Kundenaufträgen und es wurde korrekt geleistet

ausgewiesene forderungen zum Bilanzstichtag haben keinen Bestand.

die debitorenumsätze beruhen auf gültigen Kundenaufträgen und es wurde korrekt geleistet

ausgewiesene forderungen zum Bilanzstichtag haben keinen Bestand.

die forderungen sind werthaltig und entsprechen den anzuwendenden Bewertungsvorschriften

mängel im Kreditlimitprozess führen dazu, dass Geschäfte getätigt werden, bei denen forderungen uneinbringlich werden können

wirksamer Vermögensschutz durch zielführenden einsatz von Kreditlimits

eingepflegte Kreditlimite werden nicht eingehalten (Offene Posten übersteigen das eingepflegte Kreditlimit ohne Genehmigung)

wirksamer Vermögensschutz durch zielführenden einsatz von Kreditlimits

Kreditlimite sind nicht vollständig gepflegt

alle ausgewiesenen forderungen bestehen zum Bilanzstichtag

haupt- und nebenbücher stimmen nicht überein

die Bewertung der forderungen entspricht den Bewertungsvor-schriften der GaaP / hGB.

erforderliche wertberechtigungen werden nicht durchgeführt

der ausweis der forderungen ent- spricht den Bilanzierungsvorschriften.

ein erforderlicher ausweis nach forderungen inland / ausland / Verbundene erfolgt nicht (abstimmkonten sind falsch definiert)

debitorenstammdaten sind vollständig, richtig und zeitnah gepflegt.

die unterschiedlichen Sichten der debitorenstammdaten sind nicht konsistent gepflegt (Vertriebssicht / Buchhaltungssicht)

debitorenstammdaten werden in einem geregelten Verfahren angelegt, geändert oder gelöscht.

Unautorisierte Pflege von debitorenstammdaten

die auf den debitoren erfassten Vorgänge werden korrekt im hauptbuch ausgewiesen (richtige definition des abstimmkontos)

falscher ausweis im hauptbuch

6 Vertriebsprozeß: Verkauf vom Lager (order to cash)Se

ite 14

0

Page 141: Prüfleitfaden SAP ERP 6.0

ziele riSiKO

eine wirksame trennung von Pflege der Stammdaten und erfassung der Bewegungsdaten verhindert betrügerische handlungen.

einmalkunden werden missbräuchlich verwendet.

änderungen an debitoren sind autorisiert

Unautorisierte änderungen an debitoren gefährden die integrität der Stammdaten.

richtiger ausweis der Umsätze und forderungen

falsche Bildung von Unternehmensstrukturen im customizing (zuordnung von Vertriebsbereichen zu Buchungskreisen)

der zugriff auf die Vertriebsdaten und funktionen ist restriktiv ausgestaltet unter einhaltung von funktions-trennungsgesichtspunkten und dem 4-augenprinzip

Betrügerische handlung aufgrund einer unzureichenden funktionstrennung von Stammdatenpflege debitoren und erfassung und fakturierung von aufträgen

der zugriff auf die Vertriebsdaten und funktionen ist restriktiv ausgestaltet unter einhaltung von funktions-trennungsgesichtspunkten und dem 4-augenprinzip

Betrügerische handlung aufgrund einer unzureichenden funktionstrennung von der Buchung des zahlungseingangs und der fakturierung von aufträgen

6.2 PrüfUnGSdUrchführUnGriSiKO KOntrOlle teSt / Bericht

6.2.1 Stammdaten und Customizing

falsche Bildung von Unterneh-mensstrukturen im customizing (zuordnung von Vertriebsbe-reichen zu Buchungskreisen)

die Unternehmensstrukturen sind korrekt gebildet und bilden die rechtlichen Gegebenheiten korrekt im System wieder.

imG - Unternehmensstruktur – zuordnung – Vertrieb

imG - Unternehmensstruktur – zu-ordnung – Konsistenzprüfung - Un-ternehmensstruktur Vertrieb prüfen

Kundenaufträge werden fehlerhaft im System erfasst und können nicht zeitnah bearbeitet werden. dies führt zu Umsatz-verlusten. fehler im Belegfluss führen zu unvollständigen Geschäftsprozessen.

(fehlender ausweis von forderungen und Umsatzerlösen)

die zeitnähe der Bearbeitung von Kundenaufträgen wird regelmäßig anhand definierter Kontrollreports überwacht. fehlerhafte Vorgänge werden umgehend korrigiert.

report rVaUferr (transaktion v.05: liste unvollständiger aufträge)

korrekte definition des Unvollstän- digkeitsschemas im customizing (insbesondere zu achten auf Status beliefert – nicht fakturiert)imG → Vertrieb → Grundfunkti-onen → Unvollständigkeit → Unvollständigkeitsschemata defi-nieren

/ zuordnen

/ Statusgruppen

definieren

aiS Kaufmännisches audit - ein-zelabschluss - G.u.V. - aiS - Um-satzerlöse - Verkaufsbelege- V.02 - liste unvollständige aufträge

Seite

141

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 142: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

Unautorisierte, manuelle änderungen von Preisen bei der auftragsanlage (bspw. Standardpreis Pr00)

Systemeinstellungen lauten auf nicht änderbar für Standardpreise

transaktion V / 06 (Konditions-arten: Preisfindung Vertrieb)

definition der Preisfindung auf nicht änderbar (änderungsmög-lichkeit - einstellung d)

aiS Kaufmännisches audit - ein-zelabschluss → G.u.V. → aiS - Umsatzerlöse → Preise

Unautorisierte nachträgliche änderungen an Verkaufsaufträgen

die änderungshistorie in aufträgen werden in Stichproben kontrolliert und geprüft, ob änderungen autorisiert und inhaltlich richtig durchgeführt wurden

transaktion Va03 (anzeige auftrag) – eingabe eines wesentlichen auftrages (bspw. identifiziert aus VBaK) menü Umfeld → änderungen

aiS → Kaufmännisches audit - einzelabschluss → G.u.V. → aiS - Umsatzerlöse - Verkaufs-belege → S_P6B_12000143 - änderungsbelege anzeigen

aufträge im rückstand werden nicht angemessen überwacht und im System gepflegt.

aufträge im rückstand werden wöchentlich analysiert und gepflegt (nachlieferungen,…)

transaktion v.15

aufträge im rückstand, Vorgänge älter 6 monate sollten nicht vorliegen (abhängig vom Unternehmen)

Kaufmännisches audit - einzel-abschluss - G.u.V. - aiS - Um-satzerlöse - Verkaufsbelege - V.15 - anzeigen rückständige aufträge

6 Vertriebsprozeß: Verkauf vom Lager (order to cash)Se

ite 14

2

Page 143: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

6.2.2 Durchführung / Belege

lieferungen im rückstand führen zu Kundenverlusten und verlorenen Umsätzen

lieferungen im rückstand werden täglich kontrolliert und bearbeitet

transaktion Vl04 oder Vl10 (Selektion auf Versandstelle)

Kaufmännisches audit - einzel-abschluss - G.u.V. - aiS - Um-satzerlöse - Verkaufsbelege - V.02 - liste unvollständige aufträge

leistungen werden systemseitig nicht vollständig fakturiert (fakturavorrat). es werden hierbei trotz leistung keine offenen Posten in der Buchhaltung erzeugt.

der fakturavorrat wird zu jedem monatsabschluss bearbeitet und kontrolliert. zum Jahresabschluss ist sichergestellt, dass sich keine Geschäftsvorfälle aus vorange-gangenen Geschäftsjahren im System befinden.

transaktion vf04, Schalter fakturavorrat (es dürfen sich keine Geschäftsvorfälle aus vorangegangenen Geschäftsjah-ren im System befinden)

Kaufmännisches audit - einzel-abschluss - G.u.V. - aiS - Um-satzerlöse - faktura - Vf04_aiS - fakturavorrat anzeigen

aufgrund technischer Verarbei-tungsfehler wird aus der faktura der Buchhaltungsbeleg nicht erzeugt (fehlerhafte Buchungs-status)

das System wird wenigstens monatlich auf fehlerhafte Buchungsstatus in den fakturen kontrolliert. fehlerhafte fakturen werden zeitnah nachgebucht

transaktion VfX3, alle aufgezeigten Vorgänge müssen nachbearbeitet worden sein.

Kaufmännisches audit - einzel-abschluss - G.u.V. - aiS - Um-satzerlöse - faktura - Vf04 - VfX3 - liste gesperrte fakturen

es werden forderungen für nicht erbrachte leistungen direkt auf den debitoren erfasst.

debitoren werden nur aus Sd mit existenten Kundenaufträgen bebucht bei denen korrekt geleistet wurde. Offene Posten werden auf direkte Buchungen analysiert.

analyse der tabelle BKPf auf Belege ungleich transaktions-code vf01

(es ist hierzu erforderlich die tabellen BSid / BSad mit der tabelle BKPf zu joinen)

Kaufmännisches audit - einzel-abschluss - abschluss - allge-mein - export Belegdaten

Offene Posten werden nicht vollständig in das mahnwesen einbezogen.

alle offenen Posten sind in das mahnverfahren einbezogen.

analyse auf mahngesperrte offene Posten, databrowser se16 tabelle KnB5, auswertung auf feld mahnsperre

Seite

143

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 144: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

6.2.3 Ergebnisse / Auswertungen

mahnverfahren sind unzurei-chend ausgestaltet, mahnstufen im System stimmen nicht mit Konzernvorgaben überein.

die im System hinterlegten mahnverfahren stimmen mit den Konzernvorgaben überein und sind wirksam ausgestaltet. die zuordnung der mahnverfahren ist korrekt.

analyse der im System hinterlegten mahnverfahren im customizing transaktion OBl6, zuordnung der mahnverfahren über tabelle KnB5

mahnläufe werden in unregel-mäßigen abständen durchgeführt

es wird laufend überprüft, ob regelmäßige, zeitnahe mahnläufe durchgeführt werden.

mahnhistorie transaktion f150

ausgewiesene forderungen zum Bilanzstichtag haben keinen Bestand.

die debitorenumsätze werden auf ihre werthaltigkeit und Plausibi- lität durch das management kontrolliert

managementreview des reports rfdUml00

aiS Kaufmännisches audit - ein-zelabschluss - Bilanz - aktiva - forderungen - aiS forderungen - debitoren, Konto → Salden - übersicht - Umsatzauswahl nach Betrag - S_alr_87101084 – inland

ausgewiesene forderungen zum Bilanzstichtag haben keinen Bestand.

es werden Saldenbestätigungen von wesentlichen Kundenum-sätzen eingeholt

transaktion f.17

Bilanz - aktiva - forderungen- aiS - debitoren - Stammdaten - Kreditmanagement

mängel im Kreditlimitprozess führen dazu, dass Geschäfte getätigt werden, bei denen forderungen uneinbringlich werden können

funktionierendes Kreditmanage-ment, alle debitoren haben ein genehmigtes, angemessenes Kreditlimit zugeordnet

analyse der tabelle KnKK, transaktion fdK43

eingepflegte Kreditlimite werden nicht eingehalten (Offene Posten übersteigen das eingepflegte Kreditlimit ohne Genehmigung)

eingepflegte Kreditlimite sind genehmigt und werden eingehalten

rfdKli40 (ausschöpfungsgrad), analyse bei welchen debitoren die Offenen Posten das einge- pflegte Kreditlimit übersteigt

Bilanz - aktiva - forderungen - aiS - debitoren - Stammdaten - Kreditmanagement

übersicht - S_alr_87101107 – Kreditübersicht

6 Vertriebsprozeß: Verkauf vom Lager (order to cash)Se

ite 14

4

Page 145: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

Kreditlimite sind nicht vollständig gepflegt

Kreditlimitdaten sind vollständig gepflegt und genehmigt

rfdKli10

Bilanz - aktiva - forderungen - aiS - debitoren - Stammdaten - Kreditmanagement

übersicht - controls - S_alr_87101108 - fehlende Kreditdaten

haupt- und nebenbücher stimmen nicht überein

regelmäßige abstimmung von haupt- und nebenbücher

SaPf190

Kaufmännisches audit - einzel-abschluss - Bilanz - aktiva - forderungen - aiS forderungen abstimmung / Große Umsatzprobe

erforderliche wertberechtigungen werden nicht durchgeführt

analyse der altersstruktur und wertberechtigungen der Offenen Posten

rfdOPr10 und f.10 / fs10n zur anzeige der wertberichtigungen

Kaufmännisches audit - einzel-abschluss - Bilanz - aktiva - forderungen - aiS forderungen - forderungsrisiken

ein erforderlicher ausweis nach forderungen inland / ausland / Verbundene erfolgt nicht (abstimmkonten sind falsch definiert)

überprüfung der abstimmkonten auf korrekte definition.

rfdSld00 (Selektion auf abstimmkonten debitoren über freie abgrenzungen)

Kaufmännisches audit - einzel-abschluss - aiS - Organisato-rische übersicht abstimmkonten S_alr_87101046 – abstimmkonten

die unterschiedlichen Sichten der debitorenstammdaten sind nicht konsistent gepflegt (Vertriebs-sicht / Buchhaltungssicht)

überprüfung der vollständigen und konsistenten Pflege der Stammdatensichten

report rfdKaG00 (Selektionspa-rameter: nicht angelegt in Buch- haltung, nicht angelegt im Vertrieb)

Unautorisierte Pflege von debitorenstammdaten

überprüfung wer wann welche debitoren angelegt hat (in Stichproben)

rfdKVz00 (freie abgrenzung angelegt von anlegt am)

Bilanz - aktiva - forderungen - aiS - debitoren - Stammdaten - übersicht - S_alr_87101061 – Kontenverzeichnis

Seite

145

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 146: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

falscher ausweis im hauptbuch

überprüfung, ob alle debitoren ein richtiges abstimmkonto zugewiesen haben, überprüfung der inhaltlichen richtigkeit in Stichproben

databrowser se16, tabelle KnB1, Selektion auf dem feld abstimmkonto

Bilanz - aktiva - forderungen - aiS - debitoren - Stammdaten übersicht - data Browser - Se16_KnB1 - KnB1 = Kunden-stamm (Buchungskreis)

einmalkunden werden missbräuchlich verwendet.

überprüfung der angelegten cpd Konten, dass nur Vorgänge mit geringen Beträgen erfasst werden

report rfdKVz00, Selektion cpd Konten, Saldenanzeige der Konten fd10n (weiterverzeigung in die einzelposten)

Bilanz - aktiva - forderungen - aiS – forderungen- debitoren, Konto → Salden - übersicht - Saldenliste cPd

Unautorisierte änderungen an debitoren gefährden die integrität der Stammdaten.

überprüfung der änderungen an debitorenstammdaten. änderungen an Stanmdaten werden korrekt aufgezeichnet.

änderungsreport rfdaBl00, einstellungen zum änderungs report in der tabelle t077d

Bilanz - aktiva - forderungen - aiS - debitoren - Stammdaten - Stammdaten controls - Stamm-datenänderungen - S_alr_87101066 - liste (Batch!)

falsche Bildung von Unterneh-mensstrukturen im customizing (zuordnung von Vertriebsbe-reichen zu Buchungskreisen)

die Unternehmensstrukturen sind korrekt gebildet und bilden die rechtlichen Gegebenheiten korrekt im System wieder.

einsicht im customizing über die zuordnungen transaktion SPrO – SaP-refe-renz-imG – Unternehmensstruktur – zuordnung – Vertrieb – Ver-kaufsorganisation – Buchungs- kreis zuordnen

zusätzlich Konsistenzprüfung im customizing transaktion SPrO – SaP-referenz-imG – Unterneh-mensstruktur – Konsistenzprüfung

6 Vertriebsprozeß: Verkauf vom Lager (order to cash)Se

ite 14

6

Page 147: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

Betrügerische handlung aufgrund einer unzureichenden funktions-trennung von Stammdatenpflege debitoren und erfassung und fakturierung von aufträgen

es besteht eine funktionstren-nung zwischen der Pflege von debitorenstammdaten und der erfassung und fakturierung von aufträgen

Keine Vergabe der transaktionen Va01 (zzgl u .a. Berobj V_VKaK_VKO akt. 01), Vf01 (zzgl. Ber.obj. u. a. V_VBrK_fKa akt01, V_VBrK_VK0 akt01) und transaktion fd01 (zzgl. u .a. Ber.obj. f_Kna1_BUK akt 01) an den selben Benutzerstammsatzanalyse über rSUSr002

System audit - infosystem Benutzer & Berechtigungen

Betrügerische handlung aufgrund einer unzureichenden funktionstrennung von der Buchung des zahlungseingangs und der fakturierung von aufträgen

es besteht eine funktionstren-nung zwischen der Buchung des zahlungseingangs und der fakturierung von aufträgen

Keine Vergabe der transaktionen Vf01 (zzgl. Ber.obj. u .a. V_VBrK_fKa akt01, V_VBrK_VK0 akt01) und transaktion f-28 (zzgl. Ber.obj. f_BKPf_BUK akt. 01) den selben Benutzerstammsatzanalyse über rSUSr002

System audit - infosystem Benutzer & Berechtigungen

Seite

147

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 148: Prüfleitfaden SAP ERP 6.0

7.1 PrüfUnGSzieleziele riSiKO

7.1.1 Stammdaten und Customizing

Gemeinkosten werden verursachungs- gerecht auf Kostenträger weiterver-rechnet

durch die Verwendung ungewöhnlich hoher Gemeinkostenzu-schläge werden die herstellkosten bzw. die abweichungen auf den kostenträgern verfälscht. die kann auswirkungen auf die wertansätze von Bilanz und GuV haben

die abweichungen der Kostenträger werden richtig und verursachungs-gerecht ausgewiesen

die Verwendung von periodengenauen tarifen bei den istbuchungen verrechnet die abweichung der Kostenstellen auf die Kostenträger weiter. die abweichungen der fertigung können dadurch erhöht oder konterkariert werden. eine liste der Kostenträger „nach Größe der abweichungen“ bringt nicht mehr die kritischen aufträge nach vorn

richtige Bewertung und richtiger ausweis der ware in arbeit

die ware in arbeit wird falsch berechnet

ditoBei der ware in arbeit werden teile der Kosten als „nicht aktivierungsfähig“ behandelt

ditodie ware in arbeit wird auf falsche Konten der finanzbuch- haltung abgerechnet

richtige Bewertung des ausschussesder ausschuss wird in falscher höhe ausgewiesen

der ausschuss wird falsch berechnet

die abweichungen der Kostenträger werden richtig und verursachungs-gerecht ausgewiesen

die abweichungen werden falschen abweichungskategorien zugeordnet und täuschen über die wahren Gründe der abweichungen hinweg

7.1.2 Durchführung / Belege

ditodie werte für wiP, ausschuss und abweichungen wurden nicht korrekt gespeichert und fehlen deshalb in übergreifenden Berichten und analysen

richtige abrechnung / weiterverrech-nung von ware in arbeit

die ware in arbeit wurde nicht oder falsch abgerechnet

richtige abrechnung / weiterverrech-nung von ausschuss und abweich-ungen

der Saldo des auftrags (auch abweichungen, ausschuss) wurde nicht oder falsch abgerechnet

7 Periodenabschluß im internen Rechnungs wesen bei Lagerfertigung

Seite

148

Page 149: Prüfleitfaden SAP ERP 6.0

ziele riSiKO

7.1.3 Ergebnisse / Auswertung

richtiger ausweis von wiPaufträge, die logistisch bereits fertig sind und für die keine nachlaufkosten mehr erwartet werden, bilden trotzdem noch ware in arbeit

richtiger ausweis von wiP die ware in arbeit wird falsch berechnet

7.2 PrüfUnGSdUrchführUnGriSiKO KOntrOlle teSt / Bericht

7.2.1 Stammdaten und Customizing

durch die Verwendung ungewöhnlich hoher Gemein-kostenzuschläge werden die herstellkosten bzw. die abweichungen auf den kostenträgern verfälscht. die kann auswirkungen auf die wertansätze von Bilanz und GuV haben

die Gemeinkostenzuschlagssätze müssen adäquat und in ihrer höhe begründbar sein. idealerweise sind sie verursach-ungsgerecht.

welches zuschlagsschema?Von was hängen die Prozent-sätze ab?wie hoch sind die Prozentsätze?was wird bezuschlagt?

imG → controlling → Produktko-sten-controlling → Kostenträ-gerrechnung → auftragsbezo-genes Produkt-controlling → Grundeinstellungen für das auftragsbezogene Produkt-controlling → Gemeinkostenzu-schläge → Kalkulationssche-mata definieren

die Verwendung von perioden-genauen tarifen bei den istbuchungen verrechnet die abweichung der Kostenstellen auf die Kostenträger weiter. die abweichungen der fertigung können dadurch erhöht oder konterkariert werden. eine liste der Kostenträger „nach Größe der abweichungen“ bringt nicht mehr die kritischen aufträge nach vorn

die Bewertungsvariante ist auf die verwendeten tarife der leistungsarten hin zu überprüfen

> Kalkulationsvariante analysieren, besonders die Bewertungsvariante

> auftragsbericht aufrufen, leistungstarif prüfen

imG → controlling → Produktko-sten-controlling → Kostenträ-gerrechnung → auftragsbezo-genes Produkt-controlling → Produktionsaufträge → Kalkulationsvarianten für die erzeugniskalkulation überprüfen (OPl1)controlling → Produktkosten-controlling → Kostenträgerrech-nung → auftragsbezogenes Produkt-controlling → infosystem → Berichte zum auftragsbezogenes Produkt-controlling → detailberichte → zu aufträgen

Seite

149

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 150: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

die ware in arbeit wird falsch berechnet

die einstellungen zur automa-tischen Berechnung der ware in arbeit ist zu prüfen und stich- probenweise nachzurechnen

welche Kalkulation wird für die ermittlung des wiP zu Sollkosten herangezogen?

imG → controlling → Produktko-sten-controlling → Kostenträ-gerrechnung → Periodisches Produkt-controlling → Periodenabschluss → ware in arbeit → Bewertungsvariante wiP und ausschuss (Sollkosten) definieren

Bei der ware in arbeit werden teile der Kosten als „nicht aktivierungsfähig“ behandelt

die einstellungen zur automa-tischen Berechnung der ware in arbeit ist zu prüfen

wie werden die Bestandteile der ware in arbeit kategorisiert und dementsprechend behandelt?

imG → controlling → Produktko-sten-controlling → Kostenträ-gerrechnung → Periodisches Produkt-controlling → Periodenabschluss → ware in arbeit → zuordnung definieren

die ware in arbeit wird auf falsche Konten der finanzbuch-haltung abgerechnet

die Kontenfindung zur Buchung der abgrenzungswerte ist richtig eingestellt

einstellungen in der Buchungs-regeltabelle prüfen

imG → controlling → Produktko-sten-controlling → Kostenträ-gerrechnung → Periodisches Produkt-controlling → Periodenabschluss → ware in arbeit → Buchungsregeln für abrechnung der ware in arbeit definieren

der ausschuss wird in falscher höhe ausgewiesen

die einstellungen zur automa-tischen Berechnung der ware in arbeit ist zu prüfen und stich- probenweise nachzurechnen

welche Kalkulation wird für die ermittlung des wertes des ausschusses herangezogen?

imG → controlling → Produktko-sten-controlling → Kostenträ-gerrechnung → Periodisches Produkt-controlling → Periodenabschluss → ware in arbeit → Bewertungsvariante wiP und ausschuss (Sollkosten) definieren

7 Periodenabschluß im internen Rechnungs wesen bei Lagerfertigung

Seite

150

Page 151: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

der ausschuss wird falsch berechnet

die vorgangsbezogene Bewert- ung des ausschusses ist zu prüfen

welche ausschussmengen sind an welchem Vorgang angefallen und mit welchen Kosten werden sie bewertet?

imG → controlling → Produktko-sten-controlling → Kostenträ-gerrechnung → Periodisches Produkt-controlling → Perioden-abschluss → ware in arbeit → Bewertungsvariante wiP und ausschuss (Sollkosten) definieren

controlling → Produktkosten-controlling → Kostenträgerrech-nung → auftragsbezogenes Produkt-controlling → auftrag → fertigungsauftrag PP → anzeigen, von dort Springen → Kosten → einzelnachweis, layout 1SaP06

die abweichungen werden falschen abweichungskategorien zugeordnet und täuschen über die wahren Gründe der abweichungen hinweg

die einstellungen für die abweichungsermittlung ist zu überprüfen

> Sind abweichungskategorien abgeschaltet?

> wurden sinnvolle mindest- werte für die abweichungs- kategorien festgelegt?

imG → controlling → Produktko-sten-controlling → Kostenträ-gerrechnung → auftragsbezo-genes Produkt-controlling → Periodenabschluss → abweichungsermittlung → abweichungsvarianten überprüfen

7.2.2 Durchführung / Belege

die werte für wiP, ausschuss und abweichungen wurden nicht korrekt gespeichert und fehlen deshalb in übergreifenden Berichten und analysen

die werte für wiP, ausschuss und abweichungen sind im Berichtswesen zu prüfen

controlling → Produktkosten-controlling → Kostenträgerrech-nung → auftragsbezogenes Produkt-controlling → infosystem → Berichte zum auftragsbezogenes Produkt-controlling → detailberichte → zu aufträgen, layout 1SaP06

Seite

151

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 152: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

die ware in arbeit wurde nicht oder falsch abgerechnet

der wiP muss ordnungsgemäß in die finanzbuchhaltung und die Profit center rechnung weiter- verrechnet worden sein

abrechnungsbelege prüfen. Von dort die rechnungswesenbelege prüfen

controlling → Produktkosten-controlling → Kostenträgerrech-nung → auftragsbezogenes Produkt-controlling → Periodenabschluss → einzelfunktionen → abrechnung → einzelverarbeitung

bisherige abrechnungen → Umfeld → rechnungswesenbelege

der Saldo des auftrags (auch abweichungen, ausschuss) wurde nicht oder falsch abgerechnet

der Saldo des auftrags (und damit ausschuss und abwei-chungen) müssen ordnungs-gemäß in die finanzbuchhaltung und die Profit center rechnung weiterverrechnet worden sein. zusätzlich kann es gewünscht sein, die abweichungen in die kalkulatorische ergebnisrech-nung zu übertragen

controlling → Produktkosten-controlling → Kostenträgerrech-nung → auftragsbezogenes Produkt-controlling → Periodenabschluss → einzelfunktionen → abrechnung → einzelverarbeitung

bisherige abrechnungen → Umfeld → rechnungswesenbelege

7.2.3 Ergebnisse / Auswertung

aufträge, die logistisch bereits fertig sind und für die keine nachlaufkosten mehr erwartet werden, bilden trotzdem noch ware in arbeit

die aufträge nach Status selektieren und prüfen, ob alte aufträge noch nicht den Status „technisch abgeschlossen“ haben

altersstruktur der selektierten aufträge analysieren und Ursachen erforschen, warum „alte“ aufträge noch nicht abgeschlossen sind

controlling → Produktkosten-controlling → Kostenträgerrech-nung → auftragsbezogenes Produkt-controlling → infosystem → Objektliste → auftragsselektion

nach aufträgen suchen, die noch nicht taBG sind

die ware in arbeit wird falsch berechnet

die vorgangsbezogene Bewer- tung der ware in arbeit ist zu prüfen

welche mengen liegen rechnerisch an welchem Vorgang und mit welchen Kosten werden sie bewertet?

controlling → Produktkosten-controlling → Kostenträgerrech-nung → auftragsbezogenes Produkt-controlling → infosystem → Berichte zum auftragsbezogenen Produkt-controlling → detailberichte → zu aufträgen, layout 1SaP06

7 Periodenabschluß im internen Rechnungs wesen bei Lagerfertigung

Seite

152

Page 153: Prüfleitfaden SAP ERP 6.0

8.1 PrüfUnGSzieleziele riSiKO

8.1.1 Stammdaten und Customizing

der ausweis des anlagenvermögens steht in übereinstimmung mit den geltenden Bilanzierungsrichtlinien

eine unzureichende Bildung und Verwendung von Bewertungs-bereichen führt zu einer falschen abbildung des anlagenver-mögens

der ausweis des anlagenvermögens steht in übereinstimmung mit den geltenden Bilanzierungsrichtlinien

eine unzureichende Verwendung und zuordnung von Bewer-tungsplänen führt zu einer falschen abbildung des anlagenver-mögens

das anlagevermögen wird richtig in der finanzberichterstattung erfasst und ausgewiesen

fehlerhafte Bildung von anlagenklassen, die nicht in überein-stimmung mit den geltenden Bilanzierungsrichtlinien stehen.

der ausweis des anlagenvermögens steht in übereinstimmung mit den geltenden Bilanzierungsrichtlinien

Unautorisierte änderungen an anlagenklassen können zu einem fehlerhaften ausweis des anlagevermögens führen.

das ausgewiesene Sachanlagever-mögen und das ausgewiesene immaterielle Vermögen beinhaltet alle bestehenden anlagen

fehler im customizing können zu einem fehlerhaften ausweis des anlagevermögens führen.

abschreibungsmethode und nutzungsdauer sind in übereinstim-mung mit den geltenden Bilanzie-rungsrichtlinien

fehlerhafte abschreibungsmethoden und nutzungsdauern führen zu einem falschausweis in der Bilanz

der zugriff auf das anlagevermögen ist restriktiv ausgestaltet lediglich die hierzu autorisierten Personen haben zugriff auf die daten und funktionali-täten des anlagevermögens.

zu weitgehende Vergabe der Berechtigungen für das anlagever-mögen

die Pflege des anlagevermögens erfolgt unter einhaltung des 4-augen-Prinzips. tätigkeiten der Stammdatenpflege sind von den laufenden Buchungen / Starten von abschreibungsläufen u. ä. getrennt

die nichtabbildung eines 4-augen-Prinzips begünstigt dolose handlungen im Bereich des anlagevermögens.

8 Periodenabschluß in der Anlagenbuchhaltung

Seite

153

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 154: Prüfleitfaden SAP ERP 6.0

ziele riSiKO

8.1.2 Ergebnisse / Auswertungen

das ausgewiesene Sachanlagever-mögen und das ausgewiesene immaterielle Vermögen beinhaltet alle bestehenden anlagen

falsche zuordnung der Stammdaten zu den Profit centern

das ausgewiesene Sachanlagever-mögen und immaterielles Vermögen bestehen zum Bilanzstichtag

es werden zugänge von Vermögensgegenständen im Geschäftsjahr erfasst, die nicht dem anlagevermögen zuzurechnen sind

alle abgänge der Periode werden richtig erfasst und ausgewiesen

der abgang von Vermögensgegenständen im Geschäftsjahr wird nicht vollständig im System erfasst.

Sachanlagevermögen und immateri-elles Vermögen bestehen zum Bilanzstichtag und sind in Verwendung

nicht existente Vermögensgegenstände werden ausgewiesen.

das ausgewiesene Sachanlagever-mögen und das ausgewiesene immaterielle Vermögen beinhaltet alle bestehenden anlagen

das im nebenbuch erfasste anlagevermögen wird nicht vollständig im nebenbuch ausgewiesen.

das ausgewiesene Sachanlagever-mögen und das ausgewiesene immaterielle Vermögen beinhaltet alle bestehenden anlagen

das im nebenbuch erfasste anlagevermögen wird nicht vollständig im nebenbuch ausgewiesen.

8 Periodenabschluß in der Anlagenbuchhaltung Se

ite 15

4

Page 155: Prüfleitfaden SAP ERP 6.0

8.2 PrüfUnGSdUrchführUnGes wird auf das anlageninformationssystem, der zusammenstellung aller wesentlicher reports hingewiesen:aiS - Kaufmännisches audit - aktiva - aiS - Sachanlagen - SaP anlageninformationssystem.

riSiKO KOntrOlle teSt / Bericht

8.2.1 Stammdaten und Customizing

eine unzureichende Bildung und Verwendung von Bewertungsbe-reichen führt zu einer falschen abbildung des anlagenver-mögens

die im customizing gebildeten Bewertungsbereiche bilden die in Verwendung stehenden Bilanzierungsrichtlinien betreffend des anlagevermögens- korrekt ab und sind dazu geeignet den richtigen ausweis des anlagevermögens zu gewährleisten.

transaktion OadB (Bewertungs-bereiche prüfen)

eine unzureichende Verwendung und zuordnung von Bewertungs-plänen führt zu einer falschen abbildung des anlagenver-mögens

die den betreffenden Buchungs-kreisen zugeordneten Bewer-tungspläne bilden die in Ver- wendung stehenden Bilanz- ierungsrichtlinien betreffend des anlagevermögens korrekt ab und sind dazu geeignet den richtigen ausweis des anlage- vermögens zu gewährleisten.

transaktion OaOB (Buchungs-kreis in der anlagenbuchhaltung pflegen)

fehlerhafte Bildung von anlagenklassen, die nicht in übereinstimmung mit den geltenden Bilanzierungsricht-linien stehen.

die anlagenklassen sind korrekt gebildet und stehen in über- einstimmung mit den geltenden Bilanzierungsrichtlinien

customizing OaOa

Unautorisierte änderungen an anlagenklassen können zu einem fehlerhaften ausweis des anlagevermögens führen.

änderungen an anlagenklassen erfolgen in einem formalisierten Verfahren, alle änderungen werden nachträglich kontrolliert

report raaend02

fehler im customizing können zu einem fehlerhaften ausweis des anlagevermögens führen.

durch ein korrektes und konsistentes customizing des Verfahrens wird sichergestellt, dass die Bedingungen zum richtigen ausweis des anlage- vermögens sichergestellt ist. über einen Konsistenzcheck im customizing wird das System hierbei auf fehler überprüft.

report rachecK0

Seite

155

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 156: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

fehlerhafte abschreibungsme-thoden und nutzungsdauern führen zu einem falschausweis in der Bilanz

die nutzungsdauern sind korrekt gepflegt und stehen in über- einstimmung mit den geltenden Bilanzierungsrichtlinien. in Stich-proben werden die nutzungs-dauern einzelner anlagengegen-stände auf ihre richtigkeit kontrolliert.

databrowser analyse nutzungs-dauern und abschreibungsbeträge über tabellen anlB und anlP

Kaufmännisches audit - einzel-abschluss - Bilanz - aktiva - aiS - Sachanlagen - abschreibungen - S_P6B_12000066 - Gebuchte abschreibungen

zu weitgehende Vergabe der Berechtigungen für das anlagevermögen

die Berechtigungen zur Pflege des anlagevermögens (Stammdaten, Bewegungsdaten) sind restriktiv vergeben. lediglich mitarbeiter der anlagen- buchhaltung verfügen über die entsprechenden zugriffs- und änderungsrechte.

transaktion suim

Systemaudit - infosystem Benutzer & Berechtigungen

die nichtabbildung eines 4-augen-Prinzips begünstigt betrügerische handlungen im Bereich des anlagevermögens.

die Berechtigungen im Bereich des anlagevermögens sind für die Stammdatenpflege und die laufenden transaktionen nach dem 4-augen Prinzip vergeben.

transaktion suim

Systemaudit - infosystem Benutzer & Berechtigungen

8.2.2 Ergebnisse / Auswertungen

Unbebuchte anlagenstammsätze können darauf hinweisen, dass nicht alle zur anschaffung geplanten / vorgesehenen wirtschaftsgüter bei denen ein zugang stattgefunden hat im System erfasst wurden.

das System wird regelmäßig auf unbebuchte / unvollständige anlagenstammsätze analysiert. festgestellte unbebuchte anlagen werden umgehend geklärt.

report raanla01

Kaufmännisches audit - einzel-abschluss - Bilanz - aktiva - aiS - Sachanlagen - anlagenstamm-daten - controls - Stammdaten-änderungen - S_P6B_12000054 - Verzeichnis unvollständiger anlagen und S_P6B_12000058 - Verzeichnis unbebuchter anlagen

es werden zugänge von Vermögensgegenständen im Geschäftsjahr erfasst, die nicht dem anlagevermögen zuzurechnen sind

neuzugänge des anlagenvermö-gens werden in Stichproben auf die korrekte erfassung und ihren ausweis geprüft.

report razUGa01

Kaufmännisches audit - einzel-abschluss - Bilanz - aktiva - aiS - Sachanlagen - anlagenbewe-gungen - S_P6B_12000060 – an-lagenzugänge

8 Periodenabschluß in der Anlagenbuchhaltung Se

ite 15

6

Page 157: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

der abgang von Vermögensge-genständen im Geschäftsjahr wird nicht vollständig im System erfasst.

abgänge des anlagenvermögens werden auf die vollständige erfassung im System kontrolliert.

report raaBGa01

Kaufmännisches audit - einzel-abschluss - Bilanz - aktiva - aiS - Sachanlagen - anlagenbewe-gungen - anlagenabgänge

nicht existente Vermögensge-genstände werden ausgewiesen.

aBc analyse über den anlagen-bestand. die wertmäßig höchsten anlagengüter werden auf ihren tatsächlichen Bestand hin über- prüft.

databrowser tabellen aneK und aneP

Kaufmännisches audit - einzel-abschluss - Bilanz - aktiva - aiS - Sachanlagen - anlagenbestand

das im nebenbuch erfasste anlagevermögen wird nicht vollständig im nebenbuch ausgewiesen.

das hauptbuch wird regelmäßig mit dem nebenbuch fi-aa ab- gestimmt. differenzen werden umgehend geklärt und korrigiert.

raaBSt02 (und raaBSt01) Kaufmännisches audit - einzel-abschluss - Bilanz - aktiva - aiS - Sachanlagen - abstimmung / Große Umsatzprobe - S_P6B_ 12000053 - abstimmungsanalyse fi-aa (Batch!)

das im nebenbuch erfasste anlagevermögen wird nicht vollständig im nebenbuch ausgewiesen.

das anlagengitter wird regelmäßig mit dem hauptbuch abgeglichen. differenzen werden umgehend geklärt und korrigiert.

raGitt01

Kaufmännisches audit - einzel-abschluss - Bilanz - aktiva - aiS - Sachanlagen - abstimmung / Große Umsatzprobe S_P6B_ 12000051 - abstimmungsanalyse anlagengitter (Batch!)

Seite

157

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 158: Prüfleitfaden SAP ERP 6.0

9.1 PrüfUnGSzieleziele riSiKO

9.1.1 Stammdaten und Customizing

Vollständiger und richtiger ausweis aller Vermögensgegenstände und Schulden im Berichtszeitraum.

der ausweis entspricht den mindestgliederungsvorschriften der anzuwendenden rechnungslegungs-vorschrift.

falsche zuordnung der Konten zu den Bilanzpositionen (ausweis).Konten sind entweder einseitig oder gar nicht zugeordnet.

die auflistung der Konten und der Positionsreihenfolge in der Bilanz und Gewinn- und Verlust-rechnung erfolgt in der vorgeschriebenen form.die Kontensummen entsprechen der gebuchten einzelposten.

die Kontensummen entsprechen der gebuchten einzelposten.

fehlende bzw. unvollständige Selektionskriterien und ausgabeart bei der ausführung der Berichte.

die Verkehrszahlen für die Konten innerhalb der Bilanz- und GuV-Positionen sind zwar vollständig aufgelistet, jedoch besteht keine möglichkeit, diese Salden durch die ursprünglichen Buchungen vom Bericht aus, auf richtigkeit und aktualität zu prüfen.

9.1.2 Saldenbestätigung

alle Geschäftsvorfälle der Geschäfts-partner sind vollständig geordnet, richtig und zeitgerecht im System erfasst. mit hilfe der Saldenbestäti-gungen können die forderungen und Verbindlichkeiten gegenüber ihren Geschäftspartnern auf richtigkeit geprüft werden.

rechnungen und Gutschriften von Geschäftspartnern sind nicht erfasst oder übersehen worden. es wurde versäumt, für gewisse Geschäftspartner (insbesondere debitoren), wertbe-richtigung vorzunehmen, da vorhersehbare forderungsausfälle nicht rechtzeitig bekannt gegeben wurden.

9.1.3 Bewertung der Offenen Posten in Fremdwährung

Vor der erstellung der Bilanz und GuV werden die in fremdwährung gebuchten offenen forderungen und Verbindlichkeiten gemäß den Bewer- tungsprinzipien der rechnungsle-gungsvorschriften (bspw. hGB) bewertet und die ergebnisse in der Bilanz und Gewinn und Verlust rechnung entsprechend ausgewiesen.

zum zeitpunkt der Bewertung der offenen Posten wurden die Bilanzstichtagskurse nicht richtig gepflegt, die falsche Bewertungsmethode ausgewählt und / oder die falschen Konten für den ausweis der Korrektur verwendet.

9 Periodenabschluß im externen RechnungswesenSe

ite 15

8

Page 159: Prüfleitfaden SAP ERP 6.0

ziele riSiKO

9.1.4 Pauschalierte Einzelwertberichtigung

im rahmen der Bilanzvorbereitung werden die offenen Posten der debitoren bewertet werden. mit einer wertberichtigung werden zweifelhafte forderungen korrigiert. der ausweis entspricht den mindest- gliederungsvorschriften der anzuwen- denden rechnungslegungsvorschrift.

die regeln zur abwertung sind nicht eingestellt oder es fehlt dafür eine Verbindung zu den Stammdaten der in Betracht zu ziehenden debitoren.

die Kontenfindung für die forderungskorrektur in der Bilanz bzw. für den GuV-aufwand ist nicht oder fehlerhaft eingestellt und dieser ausweis fehlt in der auflistung der Bilanz und Gewinn und Verlust rechnung.

9.1.5 Umbuchen und Rastern der Forderungen und Verbindlichkeiten

forderungen und Verbindlichkeiten sind nach restlaufzeiten gegliedert

eine methode für die rasterung fehlt und / oder die Kontenfindung dafür ist fehlerhaft.

9.1.6 Abgrenzungsbuchungen

aufwand und ertrag sind dem Geschäftjahr zugeordnet, dem sie erfolgsmäßig zugehören. abgrenz-ungsbuchungen erfolgen, wenn die zeitpunkte der leistung und der zahlung differieren. dabei sind sowohl antizipative wie auch transitorische Posten berücksichtigt.

abgrenzungen, die im Programmumfeld des accrual engine vorgenommen wurden, werden nicht mit den ergebnissen in der hauptbuchhaltung abgestimmt und fehlen in der Bilanz und Gewinn und Verlust rechnung. es wurde versäumt, das Programm für die Periodische abgrenzung in den dafür vorgesehenen abständen durchzuführen.

die Kontenfindung für die forderungskorrektur in der Bilanz bzw. für den GuV-aufwand ist nicht oder fehlerhaft eingestellt und dieser ausweis fehlt in der auflistung der Bilanz und Gewinn und Verlust rechnung.

9.1.7 Saldovortrag

der Saldovortrag wurde ordnungs-gemäß vorgenommen und stellt die Kontinuität der Bilanzzahlen sicher.sind nach restlaufzeiten gegliedert

der erfolgskontentyp legt für GuV-Konten fest, auf welches Gewinnvortragskonto das ergebnis im rahmen des Jahresab-schlusses übertragen wird.

die zuordnung für einige erfolgskonten fehlt oder ist fehlerhaftnach dem Saldovortrag werden die vorgetragen Salden nicht geprüft.

9.1.8 Technische Abstimmung zwischen Verkehrszahlen und Belegen

alle Geschäftsvorfälle sind ordnungs-gemäß und periodengerecht gebucht

Buchungsperioden sind nicht ordnungsgemäß gepflegt und gefährden die zeitgerechte Buchung.

technische differenzen gefährden die Konsistenz und integrität der Buchführungsdaten.

abgebrochene Verbuchungen und nicht sachgemäß verarbeitete Schnittstellendaten gefährden die Vollständigkeit der Verarbeitung.

Seite

159

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 160: Prüfleitfaden SAP ERP 6.0

9.2 PrüfUnGSdUrchführUnGriSiKO KOntrOlle teSt / Bericht

9.2.1 Stammdaten und Customizing

falsche zuordnung der Konten zu den Bilanzpositionen (ausweis).

Konten sind entweder einseitig oder gar nicht zugeordnet.

Vollständigkeit der Bilanz- / GuV-Struktur prüfen.

führen Sie die transaktion OB58 aus, oder wählen Sie werkzeuge → customizing → imG → Projektbearbeitung → SaP referenz-imG → finanzwe-sen → hauptbuchhaltung → Geschäftsvorfälle → hauptbuch → abschluss → dokumentieren → Bilanz-GuV-Strukturen definieren. in der Strukturpflege die Prüfung auf> einseitig zugeordnete Konten, > nicht zugeordnete Konten und > falsch zugeordnete Konten durchführen. Bericht rfSKVz00 Sachkonten-verzeichnis (feld ergebniszuord-nung)

fehlende bzw. unvollständige Selektionskriterien und ausgabeart bei der ausführung der Berichte.die Verkehrszahlen für die Konten innerhalb der Bilanz- und GuV-Positionen sind zwar vollständig aufgelistet, jedoch besteht keine möglichkeit, diese Salden durch die ursprünglichen Buchungen vom Bericht aus, auf richtigkeit und aktualität zu prüfen.

Selektionskriterien für den (die) Buchungskreis(e) und die entsprechende ausgabenart wählen.für eine selektive Kontrolle der zu den Summen entsprechenden einzelposten und Belegen wählen Sie die recherche.

Programm rfBila00 (Se38). alternativ: wählen Sie

SaP easy access → rechnungs-wesen → finanzwesen → hauptbuch → infosystem → Berichte zum hauptbuch → Bilanz / GuV / cash flow → allgemein → ist- / ist Vergleiche → Bilanz / GuV (S_alr_87012284)

recherche-Bericht: wählen Sie

SaP easy access → rechnungs-wesen → finanzwesen → hauptbuch → infosystem Berichte zum hauptbuch → Bilanz / GuV / cash flow → allgemein → ist- / ist Vergleiche → ist / ist- Vergleich Jahr (S_alr_87012249)

9 Periodenabschluß im externen RechnungswesenSe

ite 16

0

Page 161: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

9.2.2 Saldenbestätigung

rechnungen und Gutschriften von Geschäftspartnern sind nicht erfasst oder übersehen worden. es wurde versäumt, für gewisse Geschäftspartner (insbesondere debitoren), wertberichtigung vorzunehmen, da vorhersehbare forderungsausfälle nicht rechtzeitig bekannt gegeben wurden.

die Sprache im Stammsatz der debitoren / Kreditoren, die entsprechenden formulare der Saldenbestätigung, deren textelemente und die adresse für das rückantwortschreiben prüfen.

Stammsätze prüfen:

SaP easy access → rechnungs-wesen → finanzwesen → debitoren (Kreditoren) → Stammdaten anzeigen (fd03). Unter allgemeine daten – Kom-munikation – Sprache. customizing Saldenbestätigung: werkzeuge → customizing → imG → Projektbearbeitung → SaP referenz-imG → finanzwe-sen → debitoren- und Kreditorenbuchhaltung → Geschäftsvorfälle → abschluss → zählen → Korrespondenz Saldenbestätigung → einstel-lungen zur durchführen und prüfen

1. formulare für Korrespondenz definieren… → werthilfe: finanzwesen → Korrespondenz → formularsatz Saldenbestäti-gung. formular f130_cOn-firm_01 wird angeboten → fenster → main hauptfenster -textelemente (textbausteine).2. Prüfen der adresse für die rückantwortschreiben (pro Buchungskreis werden die adressen über eine identifikation [adrid] ermittelt. 3. Saldenbestätigung durchführen. SaP easy access → rechnungs-wesen → finanzwesen → debitoren → Periodische arbeiten → abschluss → Prüfen / zählen → Saldenb drucken. -Saldenbestätigung – rückantwort – abstimmliste - deckblatt

Seite

161

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 162: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

9.2.3 Bewertung der Offenen Posten in Fremdwährung

zum zeitpunkt der Bewertung der offenen Posten wurden die Bilanzstichtagskurse nicht richtig gepflegt, die falsche Bewertungs- methode ausgewählt und / oder die falschen Konten für den ausweis der Korrektur verwendet.

Kurse, Bewertungsmethode und Kontenfindung für die fremd-währungsbewertung prüfen.die ergebnisse der Bewertung in der Bilanz und GuV und gegebenenfalls in den offenen Posten kontrollieren.

Kurse:SaP easy access→ werkzeuge → customizing → imG → SaP netweaver → allgemeine einstellungen → währungen Umrechnungskurse eingeben – S_Bce_68000174 (Berechti-gungsobjekt: S_eXchrate)

Bewertungsmethode: SaP easy access → werkzeuge→ customizing → imG → Projektbearbeitung → SaP referenz-imG → finanzwesen → hauptbuchhaltung → Geschäfts-vorfälle → abschluss → Bewerten → fremdwährungsbe-wertung → Bewertungsmethodendefinieren (transaktion OB59)

Kontenfindung:SaP easy access → werkzeuge → customizing → imG → Projektbearbeitung → SaP referenz-imG → finanzwesen → hauptbuchhaltung → Geschäftsvorfälle → abschluss → Bewerten → fremdwäh-rungsbewertung → automa-tische Buchungen für fremd-währungsbewertung vorber. (transaktion OBa1)

recherche-Bericht:SaP easy access → rechnungs-wesen → finanzwesen → hauptbuch → infosystem Berichte zum hauptbuch → Bilanz / GuV / cash flow → allgemein → ist- / ist Vergleiche → ist / ist- Vergleich Jahr(S_alr_87012249)

Bewertung in Kontokorrentzeile prüfen: über Umfeld → Bewertung → Bewertung anzeigen bzw. im layout der offenen Posten das feld BSeG-Bdiff einblenden.

9 Periodenabschluß im externen RechnungswesenSe

ite 16

2

Page 163: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

9.2.4 Pauschalierte Einzelwertberichtigung

die regeln zur abwertung sind nicht eingestellt oder es fehlt dafür eine Verbindung zu den Stammdaten der in Betracht zu ziehenden debitoren.

die Kontenfindung für die forderungskorrektur in der Bilanz bzw. für den GuV-aufwand ist nicht oder fehlerhaft eingestellt und dieser ausweis fehlt in der auflistung der Bilanz und Gewinn und Verlust rechnung

zuordnung debitoren zu wertberichtigungsschlüssel.einstellungen zu wertberichti-gungsschlüssel und Kontenfin-dung zu PwB-Bewertung.die ergebnisse der Bewertung in der Bilanz und GuV und in den offenen Posten kontrollieren.

Bewertungslauf (Bewertungs-läufe) überprüfen:SaP easy access → rechnungs-wesen → finanzwesen → debitoren → Periodische arbeiten → abschluss → Bewerten → weitere Bewertungen (Pro-gramm SaPf107V)

übersicht Bewertungsein- stellungen: Umfeld → Konfiguration (wertberichtigungsschlüssel [transaktion OB_7], Basiswertbe-stimmung [transaktion OB_8], Kontenfindung [transaktion OBB0], zinssätze [transaktion OB42] Kontrolle des Bewertungs-laufes: Bearbeiten (Parameter, Bewertungslauf (-Protokoll,-Bewertungsliste), überleitungs-protokoll Pauschalwert und Bewertung in den offenen Posten (über Umfeld) nachprüfen.

9.2.5 Umbuchen und Rastern der Forderungen und Verbindlichkeiten

eine methode für die rasterung fehlt und / oder die Kontenfindung dafür ist fehlerhaft.

einstellungen zur rastermethode und Kontenfindung kontrollieren und die ergebnisse der rasterung in der Bilanz und GuV kontrollieren.

rastermethode: werkzeuge → customizing → imG → Projektbearbeitung → SaP referenz-imG → finanzwe-sen → hauptbuchhaltung → Geschäftsvorfälle → abschluss → Umgliedern → Umbuchen und rastern der forderungen und Verbindlichkeiten → rasterme-thode definieren und Korrektur-konten ford. / Verb. Umgliederung(transaktion OBBU)

Kontenfindung: Korrekturkonten (transaktion OBBV)

Seite

163

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 164: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

9.2.6 Abgrenzungsbuchungen

abgrenzungen, die im Programmumfeld des accrual engine vorgenommen wurden, werden nicht mit den ergebnis-sen in der hauptbuchhaltung abgestimmt und fehlen in der Bilanz und Gewinn und Verlust rechnung.

es wurde versäumt, das Programm für die Periodische abgrenzung in den dafür vorgesehenen abständen durchzuführen.

accrual engine einstellungen kontrollieren. überblick der abgrenzungsob-jekte.

Prüfung des periodischen abgrenzungslaufs.

Gebuchte abgrenzungen mit dem infosystem kontrollieren.

mögliche Korrekturen (Storno-lauf, überleitung ins rechnungs-wesen) nachprüfen.

abstimmung accrual engine mit dem hauptbuch.

ergebnisse der abgrenzungen in der Bilanz und GuV kontrollieren.

einstellungen zu manuellen abgrenzungen prüfen:SaP easy access → werkzeuge → customizing → imG → Projektbearbeitung → SaP referenz-imG → finanzwesen → hauptbuchhaltung → Geschäftsvorfälle → manuelle abgrenzungen →

Grundeinstellungen…Buchungskreise zuordnen rechnungslegungsvorschriften abgrenzungsarten definieren Geschäftsjahr für abgrenzungs-buchungen öffnentechnische einstellungen (abgrenzungsobjekte, abgrenzungsobjekttypen)

Abgrenzungsberechnung…abgrenzungsmethoden

Abgrenzungsbuchung …

Buchungssteueurung definieren nummernkreise Kontenfindung

abgrenzungsobjekte: SaP easy access → rechnungs-wesen → finanzwesen → hauptbuch → Periodische arbeiten → manuelle abgren-zungen, abgrenzungsobjekte bearbeiten (transaktion acactree02)

fortsetzung folgende Seite >

9 Periodenabschluß im externen RechnungswesenSe

ite 16

4

Page 165: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

fortsetzung >

Prüfung des periodischen abgrenzungslaufes (transaktion: acacact:Programm acac_Pe-riOdic_POStinG)

Kontrolle der gebuchten abgrenzungen:infosystem → Gebuchte abgrenzungen anzeigen…Summenwerte anzeigen (transaktion acacPSitemS)

einzelposten anzeigen (transaktion acacPSdOcitemS)

Korrekturen anzeigen: Stornolauf (transaktion acacreVerS)

überleitung ins rechnungswesen (transaktion acactranSfer)

abstimmung accrual engine mit dem hauptbuch: SaP easy access → rechnungs-wesen → finanzwesen → hauptbuch → Periodische arbeiten → abschluss → Prüfen / zählen → manuelle abgren-zungen: abstimmung accrual engine mit hauptbuch(transaktion: acacfirecOn; Programm acac_fi_recOncili-atiOn)

Seite

165

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 166: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

9.2.7 Saldovortrag

der erfolgskontentyp legt für GuV-Konten fest, auf welches Gewinnvortragskonto das ergebnis im rahmen des Jahresabschlusses übertragen wird: die zuordnung für einige erfolgskonten fehlt oder ist fehlerhaft.

nach dem Saldovortrag werden die vorgetragen Salden nicht geprüft.

erfolgskontentyp und erfolgsvor-tragskonto nachprüfen

Stammdaten der erfolgskonten und ihre zuordnung zum erfolgskontentyp kontrollieren.

eröffnungsbilanz ausführen und Sachkontensalden auflisten, um die vorgetragenen Salden zu prüfen.

die findung des ergebnis-Vor-tragskontos muss definiert sein : SaP easy access → werkzeuge → customizing → imG → Projekt-bearbeitung → SaP referenz-imG → finanzwesen → haupt-buchhaltung → Geschäftsvorfälle → abschluss → Vortragen → ergebnisvortragskonto festlegen(transaktion OB53)

für jeden verwendeten Konten- plan muss festgelegt werden, dass die Kontenfindung für das Vortragskonto nach erfolgskon-tentyp differenziert geschehen soll. zu jedem erfolgskontentyp muss das zugehörige ergebnis-Vortragskonto hinterlegt sein. (Stammdaten des erfolgskontos im Kontenplan (transaktion fSP0)

Bericht rfSKPl00 (auswahl Sachkonten mit erfolgskontentyp)Bericht rfSaBl00 (änderungs-anzeige Sachkonten)

data Browser (transaktion Se16): tabelle t882 (ledgertabelle), Bukrs und ledger 00 (hauptbuch). im feld VtrhJ sehen Sie das höchste Geschäftsjahr, in das vorgetragen wurde.

Saldovortragsprogramm: SaP easy access → rechnungs-wesen → finanzwesen → haupt-buch → Periodische arbeiten → abschluss → Vortragen (SaPfGVtr)

rfBila00 report mit Berichtsart 4 (eröffnungsbilanz): SaP easy access → rechnungs-wesen → finanzwesen → haupt-buch → infosystem → Bilanz / GuV / cash flow → allgemein → ist- / ist Vergleiche → Bilanz / GuV

9 Periodenabschluß im externen RechnungswesenSe

ite 16

6

Page 167: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

9.2.8 Technische Abstimmung zwischen Verkehrszahlen und Belegen

Buchungsperioden sind nicht ordnungsgemäß gepflegt und gefährden die zeitgerechte Buchung.

technische differenzen gefährden die Konsistenz und integrität der Buchführungs-daten.

abgebrochene Verbuchungen und nicht sachgemäß verarbeite-te Schnittstellendaten gefährden die Vollständigkeit der Verarbeitung.

die Buchungsperioden sind zeitnah gepflegt. nur der aktuelle und der folgemonat, ggf Sonder- perioden sind zum Buchen geöffnet; Buchungsperioden des alten Geschäftsjahres sind geschlossen

abstimmungsreport durchführen

abgebrochene Verbuchungen kontrollieren

fehlerhafte Batch-input-mappen kontrollieren.

Buchungsperioden: Bebuchbare zeiträume: transaktion OB52, alternativ data Browser (Se16) t001B

technische abstimmung: SaP easy access → rechnungs-wesen → finanzwesen → hauptbuch → Periodische arbeiten → abschluss → abstimmung (SaPf190 – enthält abstimmung Belege / Verkehrszahlen Stamm report SaPf070):

report rfVBer00 (liste abgebrochener Verbuch-ungen)

transaktion Sm35 (Batch-input-mappe) kontrollieren auf nicht fertig abgespielte mappen

Seite

167

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 168: Prüfleitfaden SAP ERP 6.0

10.1 PrüfUnGSzieleziele riSiKO

10.1.1 Bestandsdaten

wareneingänge werden nur zu gültigen Bestellungen mit den richtigen Bewegungsarten erfasst

wareneingänge werden fälschlicherweise mit den Bewegungs-arten „warenzugang ohne Bestellung“ oder mit Bewegungsarten zu Umlagerungen erfasst.

die warenbestände weisen einen konsistenten Pflegestand auf

inkonsistenzen bei den Beständen (Beispiel wertmäßiger Bestand bei nullmengen Bestand)

die ausgewiesen Bestände sind zum Bilanzstichtag vorhanden

es werden nicht existente Bestände ausgewiesen

Korrekter wertmäßiger ausweis des Vorratsvermögens

falsche Vorratsbewertung durch einen falsch ermittelten gleitenden durchschnittspreis bei Verwendung von Schätzpreisen

Vollständiger ausweis der Bestände im hauptbuch

fehlerhafte einstellungen bei den systemseitig hinterlegten einstellungen zur inventur

Korrekter wertmäßiger ausweis des Vorratsvermögens

Kritische tatbestände im rahmen der inventur werden nicht erkannt

der ausweis der Bestände im hauptbuch erfolgt vollständig

die Bestände der Vorräte werden nicht vollständig / richtig im hauptbuch ausgewiesen

der ausweis der Bestände erfolgt durch eine korrekte Kontenfindung richtig im hauptbuch

fehlerhafte Kontenfindung führt zu einem falschausweis der warenbewegungen

der ausweis der Bestände erfolgt durch eine korrekte Kontenfindung richtig im hauptbuch

Unautorisierte änderungen an den einstellungen zur fixkonten-findung

der ausweis der Vorräte entspricht den geltenden Bilanzierungsvor-schriften

zum Jahresabschluss erfolgt für erfasste eingangsrechnungen, bei denen noch kein wareneingang erfolgt ist, keine aktivische abgrenzungsbuchung

der ausweis der Vorräte entspricht den geltenden Bilanzierungsvor-schriften

zum Jahresabschluss erfolgt für erfasste wareneingänge, bei denen noch kein rechnungseingang erfolgt ist, keine Buchung der rückstellung für ausstehende lieferantenrechnungen

zulässige Bewertung des lagerbe-stands (Umlaufvermögen)

Unzulässige Bewertungen im zuge der anwendung des niederstwertprinzips

anforderungsgerechter zugriff auf die relevanten daten der Bestandsführung

zu weitgehende Berechtigungen im Bereich des Vorratsvermö-gens, welche gegen die funktionstrennung oder einhaltung des 4-augenprinzips verstoßen.

Korrekte Verbuchung auf dem we / re-Konto

das we / re-Konto gleicht warenein-gang und zugehörige rechnungen gegeneinander ab.

differenzen auf dem we / re-Konto können ihre Ursache in fehlerhaft ermittelten Preisen, in fehlenden (teil-) rechnungen bzw. (teil-) wareneingängen oder in fehlerhaft zugewiesenen Sachkonten haben.

10 Bewertungsstrategien für LagerbestandSe

ite 16

8

Page 169: Prüfleitfaden SAP ERP 6.0

10.2 PrüfUnGSdUrchführUnGriSiKO KOntrOlle teSt / Bericht

10.2.1 Bestandsdaten

wareneingänge werden fälschlicherweise mit den Bewegungsarten „warenzugang ohne Bestellung“ oder mit Bewegungsarten zu Umlage-rungen erfasst.

durchsicht der erfassten wareneingänge auf kritische Bewegungsarten

transaktion mB51 auf Bewe-gungsarten 501 oder 561

Kaufmännisches audit - einzel-abschluss - Bilanz - aktiva - aiS - Vorratsvermögen material - warenbewegungen und Belege - mB51 – materialbelegliste

inkonsistenzen bei den Beständen (Beispiel wertmäßiger Bestand bei nullmengen Bestand)

automatisierter Konsistenzcheck über die Bestände

report rm07KO01

Kaufmännisches audit - einzel-abschluss - Bilanz - aktiva - aiS – Vorratsvermögen - Konsistenz-prüfungen - mB5K - Konsistenz-prüfung der Bestände

es werden nicht existente Bestände ausgewiesen

aBc analyse über die Bestände

Selektion in der tabelle mBew auf die wertmäßig höchsten Bestände, (alternativ Bestands-verzeichnis mit datenanalyse-software)

Kaufmännisches audit - einzel-abschluss - Bilanz - aktiva - aiS – Vorratsvermögen - Konsistenz-prüfungen - mB5K - Konsistenz-prüfung der Bestände

falsche Vorratsbewertung durch einen falsch ermittelten gleitenden durchschnittspreis bei Verwendung von Schätzpreisen

die abweichungen bei den gleitenden durchschnittspreisen werden analysiert

aiS report, Kaufmännisches audit - einzelabschluss - Bilanz - aktiva - aiS – Vorratsvermögen - hitlisten / Kennzahlen - cKm-tOPPricedif - mat. mit höchster V-Preis-differenz

fehlerhafte einstellungen bei den systemseitig hinterlegten einstellungen zur inventur

die einstellungen zur inventur sind angemessen

customizing: transaktion, customizing Verbrauchsfolge-verfahren, transaktion SPrO, referenz-imG, materialwirtschaft

Seite

169

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 170: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

Kritische tatbestände im rahmen der inventur werden nicht erkannt

die erfassten inventurdifferenzen werden überprüft

transaktion mi20

Kaufmännisches audit - einzel-abschluss - Bilanz - aktiva - aiS – Vorratsvermögen - inventur - inventur ohne platzgenaue Bestandsführung - mi20 - inventurdifferenzen

die Bestände der Vorräte werden nicht vollständig / richtig im hauptbuch ausgewiesen

automatischer abstimmreport für die Bestände der material-wirtschaft zum hauptbuch

report rm07mBSt

Kaufmännisches audit - einzel-abschluss - Bilanz - aktiva - aiS – Vorratsvermögen - Konsistenz-prüfungen - mB5l - Bestands-wertliste: Saldendarstellung

fehlerhafte Kontenfindung führt zu einem falschausweis der warenbewegungen

es wird ein Konsistenzcheck über die Kontenfindung durchgeführt

report rm07c030

Unautorisierte änderungen an den einstellungen zur fixkonten-findung

änderungen an den einstel-lungen zur Kontenfindung werden geprüft

änderungshistorie der tabellen zur fixkontenfindung rStBhiSt für t030* (Voraussetzung tabellenprotokol- lierung über rec / client ist aktiviert)

zum Jahresabschluss erfolgt für erfasste eingangsrechnungen, bei denen noch kein warenein-gang erfolgt ist, keine aktivische abgrenzungsbuchung

Kontrolle der korrekten Behandlung des we / re Kontos

transaktionen f.10 und fS10n

Kaufmännisches audit - einzel-abschluss - Bilanz - aktiva - aiS – Vorratsvermögen - Konsistenz-prüfungen - mB5l - Bestands-wertliste: Saldendarstellung

zum Jahresabschluss erfolgt für erfasste wareneingänge, bei denen noch kein rechnungsein-gang erfolgt ist, keine Buchung der rückstellung für ausstehende lieferantenrechnungen

Kontrolle der korrekten Behandlung des we / re Kontos

f.10 und fS10n

Kaufmännisches audit - einzel-abschluss - Bilanz - aktiva - aiS – Vorratsvermögen - Konsistenz-prüfungen - S_P6B_12000135 - we / re-Saldenliste

10 Bewertungsstrategien für LagerbestandSe

ite 17

0

Page 171: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

Unzulässige Bewertungen im zuge der anwendung des niederstwertprinzips

nur sinnvolle / zulässige Preise werden bei der niederstwerter-mittlung berücksichtigt

report rmniwe00 (transaktion mrn0), zusätzlich rmniwe80 und rmniwe90

zu weitgehende Berechtigungen im Bereich des Vorratsvermögens, welche gegen die funktionstren-nung oder einhaltung des 4-augenprinzips verstoßen

anforderungsgerechte Vergabe der relevanten Berechtigungen

> anlegen und Pflege material- stammsätze> Buchen von inventurdifferenzen> Buchen von warenbewegungen…

transaktion SUim

Systemaudit - infosystem Benutzer & Berechtigungen

differenzen auf dem we / re-Konto können ihre Ursache in fehlerhaft ermittelten Preisen, in fehlenden (teil-) rechnungen bzw. (teil-) wareneingängen oder in fehlerhaft zugewiesenen Sachkonten haben.

Prüfung der Buchungen auf dem we / re-Verrechnungskonten, insbe-sondere manuelle ausbuchungen

reports rfwere00 analyse der we / re-VerrechnungskontenrOOlmB14 manuelle Kontierung auf warenbewegungen

Seite

171

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 172: Prüfleitfaden SAP ERP 6.0

11.1 PrüfUnGSzieleziele riSiKO

11.1.1 Ist-Kalkulation und Transferpreise

Vergleichbarer wertansatz bei der lagerbestandsbewertung in allen werken

nicht alle werke bewerten den Bestand gemäß istkalkulation. dies führt zu unterschiedlichen Verfahren zur wertansatzermitt-lung in den verschiedenen werken

die istherstellkosten müssen richtig ermittelt sein, damit die lagerbestands-bewertung den Buchhaltungsvor-schriften bestimmter länder entspricht

die tatsächlichen istherstellkosten werden unrichtig ermittelt

das materialledger ist richtig und zielgerecht eingestellt, damit die umfangreichen Berechnungen zur istherstellkostenermittlung richtig, komfortabel und nachvollziehbar ablau-fen und die abweichungen folgerichtig ermittelt und verbucht werden

Prinzipielle einstellungen im materialledger sind falsch

die verrechneten Preisdifferenzen werden auf separaten Konten getrennt ausgewiesen

die Kontenfindung für die Preisdifferenzen ist falsch eingestellt

realistische Standardpreise und Standardkosten sollen im System verwendet werden

die istherstellkosten weichen sehr stark vom Standardpreis ab

die ermittlung von Standardkosten, istherstellkosten erfolgt einheitlich im Konzern. die Kostenstrukturen und Kostenkomponenten werden einheitlich ermittelt

eine einheitliche Vorgabe im Konzern zur ermittlung der ist- herstellkosten fehlt, die definition erfolgt in den werken / tochtergesellschaften unterschiedlich

11.2 PrüfUnGSdUrchführUnGriSiKO KOntrOlle teSt / Bericht

11.2.1 Ist-Kalkulation und Transferpreise

nicht alle werke bewerten den Bestand gemäß istkalkulation. dies führt zu unterschiedlichen Verfahren zur wertansatzermitt-lung in den verschiedenen werken.

für alle werke ist das material-ledger und die istkalkulation aktiviert

imG → controlling → Produktko-stencontrolling → istkalkulation / materialledger → istkalkulation → istkalkulation aktivieren → istkalkulation aktivieren

11 Bewertung mit Istkalkulation und Transferpreisen

Seite

172

Page 173: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

die tatsächlichen istherstell-kosten werden unrichtig ermittelt

die isttarife für die leistungs-arten werden nicht berücksichtigt

controlling → Kostenstellen-rechnung → infosystem → Berichte zur Kostenstellenrech-nung → tarife: Prüfen, ob isttarife ermittelt wurdenimG → controlling → Produktko-stencontrolling → istkalkulation / materialledger → istkalkulation → istkalkulation aktivieren → istkalkulation aktivieren: leistungsfortschreibung prüfen

Prinzipielle einstellungen im materialledger sind falsch

einstellungen des material-ledgers und der istkalkulation prüfen

rechnungswesen→ controlling → Produktkostencontrolling → Kostenträgerrechnung → ist-kalkulation / material-ledger → Umfeld → customizing-einstel-lungen → prüfen

die Kontenfindung für die Preisdifferenzen ist falsch eingestellt

Kontenfindung für die Vorgänge der istkalkulation prüfen

imG → materialwirtschaft → Bewertung und Kontierung → Kontenfindung → Kontenfindung ohne assistent → automatische Buchungen einstellen. Pop-up abbrechen und icon „Kontierung“ drücken

die istherstellkosten weichen sehr stark vom Standardpreis ab

Vergleich der periodischen Verrechnungspreise mit dem Standardpreis

rechnungswesen → controlling → Produktkostencontrolling → Kostenträgerrechnung → istkal-kulation / material-ledger → infosystem → Objektliste → Preise und Bestandswerte

eine einheitliche Vorgabe im Konzern zur ermittlung der ist- herstellkosten fehlt, die definition erfolgt in den werken / tochtergesellschaften unter-schiedlich

das customizing für die herstellkostenermittlung wird zentral im Konzern eingestellt. in allen werken ist die istkalkulati-on aktiv und alle werke benutzen die gleichen einstellungen

imG → controlling → controlling allgemein → Parallele wert-ansätze / transferpreise führen → Grundeinstellungen → ein-stellungen für das material- ledger prüfen → Bewertungskreise für das material-ledger aktivieren→ material-ledger-typen einem Bewertungskreis zuordnen

Seite

173

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 174: Prüfleitfaden SAP ERP 6.0

12.1 PrüfUnGSzieleziele riSiKO

12.1.1 Stammdaten und Customizing

für Kundenaufträge, die leistungser-stellungsprozesse zur folge haben, erfolgt ein befriedigendes controlling

die Kundenauftragsposition ist kein Kostenträger

der bewertete Kundenauftragsbestand wird verwendet, um Verbräuche zeit- und sachgerecht zu buchen und Bestände richtig auszuweisen

die Kundenauftragsposition nutzt keinen bewerteten Kunden-auftragsbestand

der Kundenauftragsbestand ist zulässig bewertet und entspricht des anforde- rungen des betreffenden landes bzw. rechnungslegungsvorschriften

die Bewertung des Kundenauftragsbestands ist falsch

12.1.2 Durchführung / Belege

Kundenaufträge werden nur von autorisierten mitarbeitern angelegt

der Kundenauftrag wird von nicht berechtigten mitarbeitern angelegt

Kundenaufträge erhalten richtige Verkaufspreise. der auftragseingang wird richtig bewertet und ausgewiesen

der Kundenauftrag hat die falsche Preisfindung

für die leistungserstellungsprozesse zu Kundenaufträgen werden die her- stellkosten ermittelt. diese werden in der regel als Preisuntergrenze betrachtet

der Kundenauftrag wurde nicht vorkalkuliert

Kosten werden verursachungsgerecht gebucht

Kosten der fertigung werden auf den Kundenauftrag gebucht

Kosten werden verursachungsgerecht gebucht

Sondereinzelkosten des Vertriebs werden auf den fertigungs-auftrag gebucht

Kosten des Umsatzes werden zeitnah und verursachungsgerecht verbucht

die lieferung an den Kunden führt nicht zu einer Belastung des Kundenauftrags

12 Verkauf einer KundenauftragsfertigungSe

ite 17

4

Page 175: Prüfleitfaden SAP ERP 6.0

ziele riSiKO

12.1.3 Ergebnisse / Auswertungen

die Kundenaufträge werden in angemessener zeit bearbeitet, beliefert und abgeschlossen

aufträge werden nicht nach angemessener zeit beliefert und abgeschlossen.

wert- und mengenmäßige Bestände sind zwischen logistik und rechnungswesen abgestimmt

der ausweis der Bestände im Kundenauftragsbestand ist zwischen logistik und controlling nicht abgestimmt und zeigt unterschiedliche mengen oder werte

Kundenauftragsbestände werden im fi unter separaten Konten ausgewiesen

die Kontenfindung für Kundenauftragsbestände ist nicht anforderungsgemäß ausgesteuert

12.2 PrüfUnGSdUrchführUnGriSiKO KOntrOlle teSt / Bericht

12.2.1 Stammdaten und Customizing

die Kundenauftragsposition ist kein Kostenträger

im imG prüfen, ob für den Positionstyp des Kundenauftrags der Kontierungstyp „e“ gefunden wird

die Kundenauftragsposition hin überprüfen, ob im Bild „Kontierung“ eine abrechnungs-vorschrift eingetragen ist

imG → Kundenauftragsfertigung → Steuerung der Bedarfsarten-findung …. → Bedarfsklasse prüfen

Va03 → Kundenauftragsposition → Kontierung: eingetragene abrechnungsvorschrift prüfen

die Kundenauftragsposition nutzt keinen bewerteten Kundenauf-tragsbestand

im imG prüfen, ob für den Positionstyp des Kundenauftrags der Kontierungstyp „e“ oder ein anderer gefunden wird, der einen Kundenauftragsbestand ermöglicht

imG → Kundenauftragsfertigung → Steuerung der Bedarfsarten-findung … → Bedarfsklasse prüfen

Kontierungstyp prüfen

die Bewertung des Kundenauf-tragsbestands ist falsch

im imG prüfen, ob für den Positionstyp des Kundenauftrags eine Bedarfsklasse gefunden wird, die eine richtige Bewer-tungssteuerung des Kundenauf-tragsbestandes vorsieht

imG → Kundenauftragsfertigung → Steuerung der Bedarfsarten-findung … → Bedarfsklasse prüfen: eingestellte Bewertung prüfen

Seite

175

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 176: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

12.2.2 Durchführung / Belege

der Kundenauftrag wird von nicht berechtigten mitarbeitern angelegt

im Kundenauftrag den erfasser nachschauen und seine Berechtigung prüfen

Va03, erfasser nachschauen

SU01 Berechtigung des erfassers prüfen

Se16, USOBt

rSUSr002

der Kundenauftrag hat die falsche Preisfindung

in der Kundenauftragsposition die Preisfindung nachvollziehen

alle Kundenauftragspositionen mit dem gleichen material auflisten und nach signifikanten Preisabweichungen hin prüfen

Va03 → Kundenauftragsposition → Konditionen

infosystem controlling → Objekt-liste

der Kundenauftrag wurde nicht vorkalkuliert

im Kundenauftrag die Vorkalku-lation prüfen

Va03 → Kundenauftragsposition → Kalkulation anzeigen

Kosten der fertigung werden auf den Kundenauftrag gebucht

im Bericht zum fertigungsauf-trag die gebuchten Kosten analysieren

Kostenträgerrechnung → Kundenauftragsfertigung → detailberichte → Kundenauftrag mit zugeordneten fertigungsauf-trägen: Bericht zum fertigungs-auftrag aufrufen

Sondereinzelkosten des Vertriebs werden auf den fertigungsauftrag gebucht

im Bericht zum Kundenauftrag die gebuchten Kosten analysieren

Kostenträgerrechnung → Kundenauftragsfertigung → detailberichte → Kundenauftrag mit zugeordneten fertigungsauf-trägen: Bericht zur Kundenauf-tragsposition aufrufen

die lieferung an den Kunden führt nicht zu einer Belastung des Kundenauftrags

im Bericht zum Kundenauftrag die gebuchten Kosten analysieren

alle Kundenauftragspositionen mit dem gleichen material auflisten und nach signifikanten Preisabweichungen hin prüfen

Kostenträgerrechnung → Kundenauftragsfertigung → detailberichte → Kundenauftrag mit zugeordneten fertigungsauf-trägen: Bericht zur Kundenauf-tragsposition aufrufen: die Kosten des Umsatzes müssen ausgewiesen werden

12 Verkauf einer KundenauftragsfertigungSe

ite 17

6

Page 177: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

12.2.3 Ergebnisse/Auswertungen

aufträge werden nicht nach angemessener zeit beliefert und abgeschlossen.

liste der rückständigen Kundenaufträge

logistik → Vertrieb → Verkauf → infosystem → aufträge → anzeigen rückständige aufträge

der ausweis der Bestände im Kundenauftragsbestand ist zwischen logistik und controlling nicht abgestimmt und zeigen unterschiedliche mengen oder werte

in der logistik und im controlling die Berichte für den bewerteten Sonderbestand vergleichen

Kostenträgerrechnung → Kundenauftragsfertigung → detailberichte → Kundenauftrag mit zugeordneten fertigungsauf-trägen: Bericht zur Kundenauf-tragsposition aufrufen und die mengen und werte der mittelbindung zeigen logistik → materialwirtschaft → auswertungen → bewerteter Sonderbestand: Bericht aus- führen und Kundenauftrags-bestand „e“ mitselektieren

der ausweis der Bestände im Kundenauftragsbestand ist zwischen logistik und controlling nicht abgestimmt und zeigen unterschiedliche mengen oder werte

in der logistik und im controlling die Berichte für den bewerteten Sonderbestand vergleichen

Kostenträgerrechnung → Kundenauftragsfertigung → detailberichte → Kundenauftrag mit zugeordneten fertigungsauf-trägen: Bericht zur Kundenauf-tragsposition aufrufen und die mengen und werte der mittelbindung zeigen logistik → materialwirtschaft → auswertungen → bewerteter Sonderbestand: Bericht ausführen und Kundenauftrags-bestand „e“ mitselektieren

die Kontenfindung für Kundenauftragsbestände ist nicht anforderungsgemäß ausgesteuert

die Kontenfindung für Kundenauftragsbestände prüfen

mm03: materialstamm anzeigen: Sicht Buchhaltung: eintrag im feld „Bewertungsklasse Kundenauftragsbestand“ prüfen

imG → materialwirtschaft → Bewertung und Kontierung → Kontenfindung → Kontenfindung ohne assistent → automatische Buchungen einstellen (Vorgänge GBB und BSX) (tcode: OByc)

Seite

177

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 178: Prüfleitfaden SAP ERP 6.0

13.1 PrüfUnGSzieleziele riSiKO

13.1.1 Stammdaten und Customizing

Gemeinkosten werden verursach-ungsgerecht auf Kostenträger weiterverrechnet

durch die Verwendung ungewöhnlich hoher Gemeinkostenzu-schläge werden die herstellkosten bzw. die abweichungen auf den Kostenträgern verfälscht. die kann auswirkungen auf die wertansätze von Bilanz und GuV haben

die abweichungen der Kostenträger werden richtig und verursachungsge-recht ausgewiesen

die Verwendung von periodengenauen tarifen bei den istbuchungen verrechnet die abweichung der Kostenstellen auf die Kostenträger weiter. die abweichungen der fertigung können dadurch erhöht oder konterkariert werden. eine liste der Kostenträger „nach Größe der abweichungen“ bringt nicht mehr die kritischen aufträge nach vorn

Kundenaufträge sind am ende der Periode richtig „abgegrenzt“, das heißt, erlöse, Kosten des Umsatzes, Bestände und rückstellungen werden periodengenau ermittelt

erlöse, Kosten des Umsatzes, Bestände und rückstellungen werden falsch ermittelt bzw. sind nicht konform zu den Bestimmungen des betreffenden landes oder der rechnungsle-gungsvorschriften

Kundenaufträge sind am ende der Periode richtig „abgegrenzt“, das heißt, erlöse, Kosten des Umsatzes, Bestände und rückstellungen werden periodengenau ermittelt

Bei den Beständen werden teile der Kosten als „nicht aktivierungsfähig“ behandelt

die erlöse, Kosten des Umsatzes, Bestände und rückstellungen werden auf die richtigen Konten gebucht

die Bestände und rückstellungen werden auf falsche Konten der finanzbuchhaltung abgerechnet

13.1.2 Durchführung / Belege

die erlöse, Kosten des Umsatzes, Bestände und rückstellungen werden periodengenau errechnet und gespeichert.

die werte für die Bestände und rückstellungen wurden nicht korrekt gespeichert und fehlen deshalb in übergreifenden Berichten und analysen

die erlöse, Kosten des Umsatzes, Bestände und rückstellungen werden periodengenau in die finanzbuchhal-tung, ergebnisrechnung und Profit center rechnung abgerechnet

die erlöse, Kosten des Umsatzes, Bestände und rückstellungen wurden nicht oder falsch abgerechnet

13 Periodenabschluß im internen Rechnungswesen bei Kundenauftragsfertigung oder Dienstleistung

Seite

178

Page 179: Prüfleitfaden SAP ERP 6.0

ziele riSiKO

13.1.3 Ergebnisse / Auswertungen

Kundenaufträge sind am ende der Periode richtig „abgegrenzt“, das heißt, erlöse, Kosten des Umsatzes, Bestände und rückstellungen werden periodengenau ermittelt

Kundenaufträge, die logistisch bereits abgewickelt sind und für die weder weitere erlöse noch nachlaufkosten erwartet werden, bilden trotzdem noch Bestände oder rückstellungen

Kundenaufträge werden in einem angemessen zeitraum bearbeitet und abgeschlossen

aufträge sind in Verzug

13.2 PrüfUnGSdUrchführUnGriSiKO KOntrOlle teSt / Bericht

13.2.1 Stammdaten und Customizing

durch die Verwendung ungewöhnlich hoher Gemein-kostenzuschläge werden die herstellkosten bzw. die abweich- ungen auf den Kostenträgern verfälscht. die kann auswir-kungen auf die wertansätze von Bilanz und GuV haben

die Gemeinkostenzuschlagssätze müssen adäquat und in ihrer höhe begründbar sein. idealerweise sind sie verursa-chungsgerecht.

welches zuschlagsschema?

Von was hängen die Prozent-sätze ab?

wie hoch sind die Prozentsätze?

was wird bezuschlagt?

imG → controlling → Produkt-kosten-controlling → Kosten-trägerrechnung → Kundenauf-trags-controlling → Grund-einstellungen für das Kundenauftrags-controlling → Gemeinkostenzuschläge → Kalkulationsschemata definieren

die Verwendung von perioden-genauen tarifen bei den istbuchungen verrechnet die abweichung der Kostenstellen auf die Kostenträger weiter. die abweichungen der fertigung können dadurch erhöht oder konterkariert werden. eine liste der Kostenträger „nach Größe der abweichungen“ bringt nicht mehr die kritischen aufträge nach vorn

die Bewertungsvariante ist auf die verwendeten tarife der leistungsarten hin zu überprü-fen- Kalkulationsvariante analysieren, besonders die Bewertungsvariante- auftragsbericht aufrufen, leistungstarif prüfen

imG → controlling → Produktko-sten-controlling → Kostenträ-gerrechnung → Kundenauftrags-controlling → Vorkalkulation und auftragsstücklistenkalkulation → erzeugniskalkulation zu Kundenauftragsposition / auftragsstückliste → Kalkulati-onsvarianten für die erzeugnis-kalkulation überprüfen (OKy9)

controlling → Kostenträgerrech-nung → Kundenauftragsfertigung → infosystem→ Berichte zum Kundenauftrags-controlling → detailberichte → Kundenauftrag mit zugeordneten fertigungsauf-trägen: Bericht zum fertigungs-auftrag aufrufen

Seite

179

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 180: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

erlöse, Kosten des Umsatzes, Bestände und rückstellungen werden falsch ermittelt bzw. sind nicht konform zu den Bestim-mungen des betreffenden landes oder der rechnungsle-gungsvorschriften

die einstellungen zur automa-tischen Berechnung der erlöse, der Kosten des Umsatzes, der Bestände und der rückstellungen ist zu prüfen und stichproben-weise nachzurechnen

Bewertungsmethode

imG → controlling → Produktko-sten-controlling → Kostenträ-gerrechnung → Kundenauftrags-controlling → Periodenabschluß → ergebnisermittlung → Bewer-tungsmethoden für ergebniser-mittlung festlegen (OKG3)

Bei den Beständen werden teile der Kosten als „nicht aktivie-rungsfähig“ behandelt

die einstellungen zur automa-tischen Berechnung der erlöse, der Kosten des Umsatzes, der Bestände und der rückstellungen ist zu prüfen und stichproben-weise nachzurechnen

ergebnisermittlung in der zuordnungstabelle prüfen: wie werden die Bestände kategori-siert und dementsprechend behandelt?

imG → controlling → Produktko-sten-controlling → Kostenträ-gerrechnung → Kundenauftrags-controlling → Periodenabschluß → ergebnisermittlung → zu-ordnung für ergebnisermittlung festlegen (OKG5)

die Bestände und rückstel-lungen werden auf falsche Konten der finanzbuchhaltung abgerechnet

die Kontenfindung zur Buchung der abgrenzungswerte ist richtig eingestellt

Buchungsregeltabelle prüfen

imG → controlling → Produktko-sten-controlling → Kostenträ-gerrechnung → Kundenauftrags-controlling → Periodenabschluß → ergebnisermittlung → Buchungsregeln für abrechnung an fi festlegen

13.2.2 Durchführung / Belege

die werte für die Bestände und rückstellungen wurden nicht korrekt gespeichert und fehlen deshalb in übergreifenden Berichten und analysen

die ergebnisse der ergebniser-mittlung sind im Berichtswesen zu prüfen

> Berichte für die Kostenträger aufrufen

> Verdichtungen für die Kosten- träger erstellen und die Summen prüfen

controlling → Kostenträgerrech-nung → Kundenauftragsferti-gung → infosystem → Berichte zum Kundenauftrags-controlling → detailberichte → Kundenauf-trag mit zugeordneten fertigungsaufträgen: Bericht zum Kundenauftrag aufrufen

auf layout „abgrenzung“ schalten

13 Periodenabschluß im internen Rechnungswesen bei Kundenauftragsfertigung oder Dienstleistung

Seite

180

Page 181: Prüfleitfaden SAP ERP 6.0

riSiKO KOntrOlle teSt / Bericht

die erlöse, Kosten des Umsatzes, Bestände und rückstellungen wurden nicht oder falsch abgerechnet

die erlöse, Kosten des Umsatzes, Bestände und rückstellungen müssen ordnungsgemäß in die finanzbuchhaltung, die ergeb-nisrechnung und die Profit center rechnung weiterverrechnet worden sein

abrechnungsbelege prüfen. Von dort die rechnungswesenbelege prüfen

controlling → Kostenträgerrech-nung → Kundenauftragsferti-gung → Periodenabschluß → einzelfunktionen → abrechnungbisherige abrechnungen → Umfeld → rechnungswesenbelege

13.2.3 Ergebnisse / Auswertungen

Kundenaufträge, die logistisch bereits abgewickelt sind und für die weder weitere erlöse noch nachlaufkosten erwartet werden, bilden trotzdem noch Bestände oder rückstellungen

die Kundenaufträge nach Status selektieren und prüfen, ob alte aufträge noch nicht den Status „technisch abgeschlossen“ und „endfakturiert“ haben

> auftragsselektion nach Status

> altersstruktur der selektierten aufträge analysieren und Ur- sachen erforschen, warum „alte“ aufträge noch nicht abgeschlossen sind

controlling → Kostenträgerrech-nung → Kundenauftragsferti-gung → infosystem → Berichte zum Kundenauftrags-controlling → Objektliste → Kundenauf-tragsselektion

auf layout „ / abgrenzung“ umschalten

datum einblenden und nach datum sortieren

aufträge sind in Verzugdie Kundenaufträge im Verzug auflisten und die Gründe prüfen

aiS → Kaufmännisches audit – einzelabschluß → G.u.V. –> aiS – Umsatzerlöse → Verkaufsbe-lege → anzeige rückständige aufträge

Seite

181

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 182: Prüfleitfaden SAP ERP 6.0

14.1 zielSetzUnGzur erreichung einer ausreichenden Sicherheit, auch im Sinne eines internen Kontrollsystems zur erfüllung der erfordernisse der GoB, sind bestimmte funktionstrennungen erforderlich.

Bei kleinen Unternehmen ist dies jedoch organisatorisch oft nicht realisierbar. deshalb sind hier zur erreichung eines ausreichenden Sicherheitsstandards besondere - individuell konzipierte - überprüfungen der Stammdatenänderungen erforderlich. Bei größeren Unternehmen können diese Prüfungen jedoch nicht die durchgehende funktionstrennung ersetzen.

14.1.1 anfOrderUnGeneindeutig festgelegte zuständigkeiten/Berechtigungen hinsichtlich der Stammdatenverwaltung.

funktionstrennung in angemessener form zwischen edV und fachabteilung einerseits sowie zwischen Stammdatenpflege und Buchungstätigkeit jeder art andererseits.

14.1.2 riSiKendurch ein unzureichendes internes Kontrollsystem für die überwachung von Stammdatenänderungen können sowohl die Ordnungsmäßigkeit als auch die datensicherheit beeinträchtigt werden. So können z. B. bei mangelnder Sicherheit des zahlungsverkehrs (Stammdatenpflege) auch Vermögensschäden auftreten.

14.2 PrüfUnGen VOn KritiSchen BerechtiGUnGSKOmBinatiOnen im Bereich finanzBUchhaltUnGa) Kreditoren Stammdaten (anlegen) 1) f_lfa1_aPP ( 01 / f ) 2) f_lfa1_BUK ( BUKr / 01 ) 3) f_lfa1_Gen ( 01 ) 4) S_tcOde ( fK01 Or XK01 )

b) Kreditoren Stammdaten inkl. Bankdaten (ändern) 1) f_lfa1_aen ( 01 ) 2) f_lfa1_aPP ( 02 / f ) 3) f_lfa1_BUK ( BUKr / 02 ) 4) f_lfa1_Gen ( 02 ) 5) S_tcOde ( fK02 Or XK02 )

c) Kreditoren Buchungen (z. B. rechnungen) 1) f_BKPf_BUK ( BUKr / 01 ) 2) f_BKPf_KOa ( K / 01 ) 3) S_tcOde ( fB60 Or fB65 )

d) Kreditoren zahlungen 1) f_reGU_BUK ( BUKr / 21 ) 2) f_reGU_KOa ( K / 21 ) 3) S_tcOde ( f110 )

e) debitoren Stammdaten (anlegen) 1) f_Kna1_aPP ( 01 / f ) 2) f_Kna1_BUK ( BUKr / 01 ) 3) f_Kna1_Gen ( 01 ) 4) S_tcOde ( fd01 Or Xd01 )

14 FunktionstrennungSe

ite 18

2

Page 183: Prüfleitfaden SAP ERP 6.0

f) debitoren Stammdaten inkl. Bankdaten (ändern) 1) f_Kna1_aen ( 03 ) 2) f_Kna1_aPP ( 02 / f ) 3) f_Kna1_BUK ( BUKr / 02 ) 4) f_Kna1_Gen ( 02 ) 5) S_tcOde ( fd02 Or Xd02 )

g) debitoren Buchungen (z. B. Gutschriften) 1) f_BKPf_BUK ( BUKr / 01 ) 2) f_BKPf_KOa ( d / 01 ) 3) S_tcOde ( fB70 Or fB75 )

h) debitoren zahlungen 1) f_reGU_BUK ( BUKr / 21 ) 2) f_reGU_KOa ( d / 21 ) 3) S_tcOde ( f110 )

14.3 PrüfUnGen VOn KritiSchen BerechtiGUnGSKOmBinatiOnen im Bereich materialwirtSchafta) wareneingang zur Bestellung (anlegen/ändern) 1) m_mSeG_Bwe ( 01 Or 02 / 101 ) 2) m_mSeG_wwe ( 01 Or 02 / wrK ) 3) S_tcOde ( miGO Or miGO_Gr )

b) rechnungsprüfung (anlegen/ändern) 1) m_rech_BUK ( BUKr / 01 Or 02 ) 2) m_rech_wrK ( wrK / 01 Or 02 ) 3) S_tcOde ( mirO )

c) einkaufsinfosätze anlegen/bearbeiten 1) m_einf_eKO ( 01 Or 02 / eKO ) 2) m_einf_wrK ( 01 Or 02 / wrK ) 3) S_tcOde ( me11 Or me12 )

d) materialstamm anlegen 1) m_mate_neU ( * ) 2) m_mate_Sta ( 01 ) 3) m_mate_wrK ( 01 / wrK ) 4) S_tcOde ( mm01 )

Seite

183

Prü

flei

tfa

den

Sa

P er

P 6.

0, t

eil

2, S

tan

d m

är

z 20

09, ©

dSa

G e

. V.

Page 184: Prüfleitfaden SAP ERP 6.0

Deutschsprachige SAP ® Anwendergruppe e.V.Altrottstraße 34 a69190 WalldorfDeutschland

Fon: +49 (0) 62 27 – 358 09 58Fax: +49 (0) 62 27 – 358 09 59E-mail: [email protected]: www.dsag.de

Copyright © 2009 DSAG e.V.

Alle Rechte vorbehalten. namen von Produkten und Dienstleistungen sind marken der jeweiligen Firmen.


Top Related