ERP-Audit

Schwachstellen in der SAP-Konfiguration aufdecken

08.09.2008
Von Sebastian Schreiber

Firmen schludern bei Rollen und Berechtigungen

Zu den häufigsten Fehlern, die Audit-Experten in SAP-Systemen aufdecken, zählen zu großzügig vergebene Berechtigungen oder inhaltlich falsche Rollen. So kommt es vor, dass eine Benutzerrolle, die eigentlich nur Lesezugriff erhalten soll, Daten ändern kann.

Ebenfalls zu diesem Prüffeld gehört die Überprüfung von Namenskonventionen bezogen auf Benutzerkennungen und Rollen beziehungsweise Profile. Diese Namen sollten stets eindeutig sein.

Schützenswerte SAP-Daten

Der Personalbereich beispielsweise umfasst alle Funktionen, die mit der Verwaltung und der Bezahlung von Mitarbeitern zusammenhängen. Diese umfangreichen Angaben zu Angestellten des Unternehmens sind besonders schützenswert: Durch unerlaubte Zugriffe können wirtschaftliche und Imageschäden entstehen.

Aufbewahrung von Personaldaten

Zudem müssen sich Unternehmen an geltende Gesetze halten. Dazu zählt das Radierverbot (Paragraf 239 des Handelsgesetzbuchs, kurz HGB), das Folgendes besagt:

"Eine Eintragung oder eine Aufzeichnung darf nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiss lässt, ob sie ursprünglich oder erst später gemacht worden sind."

Des Weiteren haben sich Unternehmen nach dem Paragrafen 257 HGB zu verhalten, der die Aufbewahrungsfristen für unterschiedliche Datenformen beschreibt. Daten dürfen sie demnach nicht vor Ablauf der jeweiligen Aufbewahrungsfrist löschen und müssen sie auf Anfrage eines Betriebsprüfers innerhalb eines angemessenen Zeitraums lesbar machen.

Sarbanes-Oxley Act und die Fibu

Bei Firmen, deren Wertpapiere an der US-Börse gehandelt werden, ist zusätzlich der Sarbanes-Oxley Act (SOX) relevant. Hierbei handelt es sich um ein amerikanisches Gesetz zur verbindlichen Regelung der Unternehmensberichterstattung. Es wurde infolge der Bilanzskandale von Unternehmen wie Enron und Worldcom erlassen und gliedert sich in "Sections". Nach Section 404, der bekanntesten und in der Umsetzung teuersten, muss jeder Jahresbericht eine Beurteilung der Wirksamkeit des internen Kontrollsystems für die Rechnungslegung durch die Geschäftsleitung des Unternehmens und ein Urteil des Wirtschaftsprüfers über diese Beurteilung enthalten (siehe auch KonTraG, Gesetz zur Kontrolle und Transparenz von Unternehmen).

Ein internes Kontrollsystem umfasst alle Maßnahmen, die die Qualität der mit der Rechnungslegung erstellten Quartals- und Jahresabschlüsse sicherstellen sollen. Insgesamt führt das Gesetz zu weitreichenden Veränderungen der Corporate Governance. Wer ein SAP-System für die Finanzbuchhaltung nutzt, muss diese Vorgaben im Modul "FI" umsetzen.

EuroSOX kommt

Da Experten davon ausgehen, dass EuroSOX in Europa eine ähnliche Bedeutung erlangen wird wie SOX in den USA, wird sich auch dies in den ERP-Systemen sowie deren Überprüfung niederschlagen.

Datenschutz im Personalwesen

In Unternehmen, die das SAP-Modul "HR" beziehungsweise "SAP HCM" verwenden, muss ebenfalls das Bundesdatenschutzgesetz beachtet werden. Dieses regelt, zusammen mit den Datenschutzgesetzen der Länder und anderen bereichsspezifischen Regelungen, den Umgang mit personenbezogenen Daten, die in IT-Systemen oder manuell verarbeitet werden.

Zusätzlich zu diesen "allgemeinen" Gesetzen müssen sich Firmen an branchenspezifische Gesetze und Richtlinien halten. Hier gibt es zum Beispiel das EnWG (Unbundling) für Energieversorger oder die MaRisk für Finanzdienstleister.

Zu den Gesetzen kommen noch unternehmensinterne Richtlinien hinzu. Dies können hauseigene Kontrollsysteme mit Funktionstrennungen sein, deren Vorgaben im SAP-System umgesetzt sein müssen. Prinzipiell lassen sich ERP-Programme entsprechend einstellen, doch bei falscher Konfiguration von Systemparametern besteht die Gefahr, dass die falschen Personen Zugriff auf sensible Daten erhalten.

Die Berechtigungen haben sich im aktuellen Release SAP ERP 6.0 gegenüber R/3 bis auf die Grundeinstellung einiger Systemparameter und neu hinzugekommener Anmeldeparameter nicht verändert. Neuerungen gibt es lediglich in der Plattform Netweaver 7.0.

Wenn Firmen das Netweaver Portal für den SAP-Zugriff verwenden, müssen auch die Java-Berechtigungen in die Prüfung einbezogen werden.