<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=380018&amp;fmt=gif">
5 min read

Der Basis Survival Guide für ein SAP-Audit

SAP Audit

SAP-Audits: ein notwendiges Übel in der heutigen Unternehmenswelt. Die meisten börsennotierten Unternehmen, und inzwischen auch immer mehr Privatunternehmen, führen in der Regel jedes Jahr ein "formales" Audit durch, das von einer externen Organisation durchgeführt wird, und vielleicht sogar noch eine Handvoll weiterer "interner Audits". Für einen technischen SAP-Administrator können Audits sehr anstrengend sein. Ein technisches SAP-Audit besteht aus vielen verschiedenen Komponenten, und es kann schwierig sein, sich wieder in das Thema hineinzufinden, wenn man sich ein Jahr nicht damit befasst hat. Lassen Sie uns also überprüfen, was ein technischer Basisingenieur während eines Audits beachten sollte. Wir beginnen mit der obersten Ebene des technischen Stacks, der Anwendungsschicht, und arbeiten uns dann hinunter, wobei wir jede Komponente auf dem Weg dorthin ansprechen.

 

SAP Application Layer - Benutzer

Einer der am meisten diskutierten Bereiche eines SAP-Audits ist die Benutzerverwaltung. Jeder Benutzer in einem SAP-System hat unterschiedliche Berechtigungen innerhalb des Systems auf der Grundlage von Rollen und Profilen, die diesen Benutzern zugewiesen werden können. Diese Rollen werden nach den Verantwortlichkeiten der Mitarbeiter vergeben, um eine strikte Aufgabentrennung zu gewähren, damit nicht jemand beispielsweise einen Bonus für sich selbst erstellen, verbuchen und genehmigen kann. Die Rollen und Profile sind anpassbar und vor allem in großen Unternehmen kaum zu beherrschen. In der Regel gibt es ein Team von Mitarbeitern, das SAP-Sicherheitsteam, das die Rollen, Profile und Benutzer verwaltet, oft mittels spezieller GRC-Lösungen (Governance, Risk, Compliance). Darüber hinaus gibt es in jedem SAP-Client verschiedene "Administrator"-Benutzer, die mit "Standardpasswörtern" ausgestattet sind, die vor der Nutzung des Systems gesperrt und geändert werden müssen. Das Sperren dieser Benutzer während einer SAP-Installation ist ein kleiner Schritt, der leicht übersehen werden kann, aber eine riesige Lücke mit nahezu vollständigen Zugriff auf alle Daten in einem System darstellt. 

 

Unsere Basis Engineer's Daily Checklist >>

 

SAP Application Layer - Architektur

Die Benutzer sind nicht das Einzige, was auf der Anwendungsebene geprüft wird. Jedes SAP-ABAP-System besteht aus verschiedenen Mandanten, die jeweils ihre eigenen Sicherheitseinstellungen haben, z. B. die Möglichkeit, Komponenten zu ändern usw. Je nach Systemrolle (Entwicklung/Qualitätssicherung/Produktion) können sich diese Einstellungen erheblich unterscheiden. Das Schwierige an den System- und Mandanteneinstellungen ist, dass es Ausnahmen geben kann, wenn zum Beispiel ein Mandant geöffnet werden muss. So können Projektarbeiten wie Mandantenkopien, Migrationen oder dringende Änderungswünsche dazu führen, dass diese Einstellungen vorübergehend geöffnet oder entsperrt werden müssen. Die Erinnerung daran, diese Änderung wieder rückgängig zu machen, kann leicht übersehen werden. Dies ist ein einfacher Weg, um bei dem jährlichen Audit unangenehm aufzufallen, oder schlimmer noch - ein Sicherheitsloch, das ausgenutzt werden kann.

 

Datenbank-Ebene

SAP ist ein datenbankgestütztes System. Im Gegensatz zu den meisten Anwendungen wird in SAP alles in der Datenbank gespeichert, sogar Dinge wie System Support Packs usw. Die Datenbank ist das Herz eines SAP-Systems, ja sie kann sogar als das Herz eines Unternehmens betrachtet werden - besonders in der heutigen Welt, in der Daten alles sind. SAP-Systeme enthalten Personal-, Finanz-, Fertigungs- und Zulieferer-Daten, und die Liste geht noch weiter... Und all diese sehr wichtigen Unternehmensinformationen werden in einer Datenbank gespeichert, die unzugänglich sein sollte. Eigentlich sollten nur sehr wenige Benutzer Zugang zur SAP-Datenbank haben, und jeder Antrag auf diesen Zugang sollte primär abgelehnt werden. Dennoch ist es nicht ungewöhnlich, dass in einem SAP- System mehrere Benutzer existieren, die eigentlich keinen Zugang zum System haben sollten. Dies ist äußerst gefährlich und kann zu schwerwiegenden Datenverstößen führen, weshalb es ein so wichtiger Teil des SAP-Audits ist.

 

Betriebssystem-Ebene

Ähnlich wie bei der Datenbank sollte es nur wenige Auserwählte geben, die Zugriff auf das Betriebssystem bzw. die Betriebssysteme eines SAP-Systems haben. Es gibt einige Basis-Administrator-Benutzer, die während der Installation generiert werden, und ähnlich wie bei der SAP-Anwendungsschicht sollten diese nur mit den notwendigen Berechtigungen ausgestattet werden. Am besten ist es, überhaupt nur wenige Benutzer auf der OS-Ebene zu haben, und nur denjenigen Zugriff zu gewähren, die die Systeme administrieren. Neben dem Zugriff auf Benutzerebene gibt es auch SAP-Einstellungen, die in so genannten Profilparametern enthalten sind. Viele technische SAP-Administratoren würden argumentieren, dass diese Einstellungen Teil der SAP-Anwendungsschicht  sind und dort diskutiert werden sollten, da sie innerhalb der Anwendungsschicht angepasst werden können bzw. diese Schicht verändern/administrieren. Es ist jedoch wichtig zu wissen, dass SAP-Profilparameter eines der wenigen Dinge in einem SAP-System sind, die außerhalb der SAP-Anwendungs- und Datenbankschicht verändert werden können und auf die direkt vom Betriebssystem aus zugegriffen werden kann. Diese Profilparameter konfigurieren Dinge wie die Speichereinstellungen des Systems, die Sicherheitsrichtlinien eines Unternehmens (z. B. die Länge des Kennworts usw.) und weitere Sicherheitseinstellungen des Systems. Es ist wichtig, die Bedeutung dieser Einstellungen zu verstehen und zu wissen, dass über das Betriebssystem auf sie zugegriffen werden kann. Vom Sicherheitsstandpunkt aus ist es essentiell, diese Profilparameter vom Betriebssystem aus im Auge zu behalten, da böswillige Akteure Benutzerkonten des Typs Administrator "entsperren" können und niemand dies bemerkt, bevor es zu spät ist.

 

Unsere Basis Engineer's Daily Checklist >>

 

Netzwerk-Ebene

Je nach Art des Audits kommt die Netzwerkschicht vielleicht gar nicht ins Spiel. Für viele technische SAP-Ingenieure  gehört die Netzwerkebene nicht einmal zu ihrem Aufgabenbereich. Dennoch ist es wichtig, ein Grundverständnis für den möglichen Schaden zu haben, der in einem offenen Netzwerk angerichtet werden kann.  Glücklicherweise gibt es Teams von Netzwerktechnikern, die alle möglichen Lösungen einsetzen, um diese Umgebungen zu überwachen, zu administrieren, zu kontrollieren und sie auf die richtigen Zugriffsebenen zu beschränken.

 

Hieraus wird offensichtlich, wie komplex es ist, ein SAP-System in einem sicheren Zustand zu halten. Wenn man dann noch komplexe Architekturen in hybriden Umgebungen mit weltweiten Nutzern hinzunimmt, wird es immer komplizierter. Es kann nicht genug betont werden, wie wichtig es ist, eine Überwachungslösung wie Avantra einzusetzen, die nicht nur die Standard-KPIs überwacht, sondern auch diese sicherheits- und audit-basierten Prüfungen auf jeder Ebene unabhängig und rund um die Uhr zu Berichts- und Benachrichtigungszwecken durchführt.