Verfahren für das Audit von SAP-Umgebungen gibt es einige. Manche werten kaufmännische Daten und Systemparameter aus, andere durchleuchten, wie gut das SAP-Berechtigungssystem konfiguriert ist.
SAP-Anwender sind Risiken ausgesetzt, wenn sie Systemparameter falsch einstellen, beispielsweise im Anmeldesystem. Diese Parameter regeln das Anmeldeverhalten der Benutzer, für das es in den meisten Unternehmen eine systemübergreifende Vorgabe gibt. Ebenfalls über Parameter lässt sich die Tabellenprotokollierung festlegen. Sie ist für alle Tabellen vorgeschrieben, in denen rechnungslegungsrelevante Inhalte vorhanden sind (Stamm- und Bewegungsdaten sowie Customizing-Einstellungen). Werden diese Einstellungen nicht ordnungsgemäß gepflegt, sind wichtige Daten eventuell nicht ausreichend geschützt.
Datenbanken und Betriebssysteme
Weitere Sicherheitslücken sind die unzureichende Absicherung der Betriebssystem-, Datenbank- und Netzwerkebene. Unter Umständen können Nutzer über einen direkten Zugriff auf die Datenbank Informationen manipulieren. Einen Zugang zur SAP-Software brauchen sie dafür nicht. Verfügen Unbefugte über Datenbankzugriffsrechte, bleibt das SAP-Berechtigungskonzept wirkungslos.
Falsche ERP-Berechtigungen
Gefahrenpotenzial bergen außerdem falsch vergebene Berechtigungen. Fehler können bei der Definition des Berechtigungskonzepts auftreten, aber auch dann, wenn der Systemverwalter mehrere Nutzerberechtigungen kombiniert. ERP-Verwalter kombinieren beispielweise dann SAP-Berechtigungen, wenn ein Mitarbeiter mehrere Aufgabenbereiche abdecken muss. Zudem kann ein Benutzer für einen gesamten Prozess verantwortlich sein und hierzu Zugang zu mehreren ERP-Modulen benötigen, was ebenfalls kombinierte Berechtigungen erfordert.
Mitunter erhalten SAP-Anwender aber auch irrtümlich Berechtigungen, die für ihren Arbeitsbereich nicht erforderlich sind. Da im ERP-System ständig neue Benutzer hinzukommen, gelöscht werden oder Mitarbeiter die Abteilung wechseln, ändern sich die Berechtigungen ebenfalls. Pannen bei der Berechtigungsvergabe können Benutzern Zugriff auf sensible Daten verschaffen oder ihnen sogar die Möglichkeit einräumen, zu ändern oder zu löschen.
Ein Risiko besteht auch dann, wenn durch fehlerhafte Berichtigungsvergabe Funktionstrennungen umgangen werden können. Beispielsweise darf keine einzelne Person die Möglichkeit haben, Kreditorenstammdaten anzulegen, Rechnungen zu buchen und den Zahlungslauf zu starten.
Wo Prüfsysteme in SAP-Programmen ansetzen
Um Schwachstellen in der SAP-Systemkonfiguration aufzudecken, lassen sich zunächst bestimmte technische Einstellungen des Systems kontrollieren. Dazu zählt, ob Kennwörter eine Mindestlänge aufweisen und ob der Zeitraum bis zur Kennwortänderung sowie die Anzahl der Falschanmeldungen gemäß den Unternehmensvorgaben festgelegt wurden. Prüfroutinen untersuchen darüber hinaus, wie das System und einzelne Mandanten verändert werden können. Beispielsweise müssen im SAP-Produktivsystem alle Mandanten gegen Änderungen gesperrt sein.
Systemveränderungen und das SAP-Transportwesen
Um SAP-Systeme zu verändern, wurde das Transportwesen entworfen. Hier muss sichergestellt sein, dass die unterschiedlichen Funktionen und Berechtigungen sorgsam verteilt wurden. Niemand darf in der Lage sein, im Entwicklungssystem Geschäftslogik zu ändern und die Modifikation dann direkt ins Produktivsystem zu überführen. Deshalb sind Test- und Freigabeverfahren vorgesehen, an denen mehrere Personen beteiligt sind.
Firmen haben ferner zu beachten, wie die Protokollierungskomponenten konfiguriert wurden. Dazu zählt der Parameter rec/client.
Organisation von SAP-Berechtigungen
Ein weiteres Prüffeld stellen die SAP-Berechtigungen dar. Im organisatorischen Konzept muss unter anderem festgelegt sein, wie ein neuer Benutzer im System anzulegen ist, wer dies genehmigt und wie Berechtigungen an Benutzer vergeben werden. Für diesen Prozess müssen schriftliche Antrags- und Freigabeverfahren existieren. Hat das Unternehmen ein Dateneigentümerkonzept entwickelt, sind das Antrags- und Freigabeverfahren sowie die technische Umsetzung zu kontrollieren.
Systemseitige Funktionstrennung
Weiter muss geprüft werden, wie die Vergabe der Berechtigungen im System umgesetzt ist. Hier gilt es, gesetzliche Vorgaben sowie Funktionstrennungen einzuhalten. Ein Beispiel für getrennte Funktionen betrifft Bestellungen. Nicht ein und derselbe Benutzer darf eine Bestellung pflegen und den Wareneingang buchen. Somit liegt ein Verstoß vor, falls ein SAP-Nutzer über beiden Berechtigungen verfügen sollte.
Berücksichtigen sollten Firmen darüber hinaus die Anwendungsentwicklung. Applikationen entstehen auf Entwicklungssystemen, und erst nach erfolgten Tests und Freigaben gelangen Neuentwicklungen auf das Produktivsystem. Es soll also nach Möglichkeit niemand, außer dem Notfallbenutzer, über Entwicklerberechtigungen auf dem Produktivsystem verfügen. Wer über Entwicklerrechte verfügt, kann gegen geltende Gesetze verstoßen: Der mit solche Befugnissen ausgestattete Anwender könnte beispielsweise Belege fälschen oder löschen ("elektronische Radieren").
In diesem Zusammenhang sollten Firmen analysieren, ob sie überhaupt über ein Notfallbenutzerkonzept verfügen. Darin sollte klar definiert sein, was ein Notfall ist, wie im Falle eines solchen vorgegangen wird und wer den Notfall-User verwaltet. Eine Methode, Risiken zu begrenzen, bietet das Vier-Augen-Prinzip.
Firmen schludern bei Rollen und Berechtigungen
Zu den häufigsten Fehlern, die Audit-Experten in SAP-Systemen aufdecken, zählen zu großzügig vergebene Berechtigungen oder inhaltlich falsche Rollen. So kommt es vor, dass eine Benutzerrolle, die eigentlich nur Lesezugriff erhalten soll, Daten ändern kann.
Ebenfalls zu diesem Prüffeld gehört die Überprüfung von Namenskonventionen bezogen auf Benutzerkennungen und Rollen beziehungsweise Profile. Diese Namen sollten stets eindeutig sein.
Schützenswerte SAP-Daten
Der Personalbereich beispielsweise umfasst alle Funktionen, die mit der Verwaltung und der Bezahlung von Mitarbeitern zusammenhängen. Diese umfangreichen Angaben zu Angestellten des Unternehmens sind besonders schützenswert: Durch unerlaubte Zugriffe können wirtschaftliche und Imageschäden entstehen.
Aufbewahrung von Personaldaten
Zudem müssen sich Unternehmen an geltende Gesetze halten. Dazu zählt das Radierverbot (Paragraf 239 des Handelsgesetzbuchs, kurz HGB), das Folgendes besagt:
"Eine Eintragung oder eine Aufzeichnung darf nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiss lässt, ob sie ursprünglich oder erst später gemacht worden sind."
Des Weiteren haben sich Unternehmen nach dem Paragrafen 257 HGB zu verhalten, der die Aufbewahrungsfristen für unterschiedliche Datenformen beschreibt. Daten dürfen sie demnach nicht vor Ablauf der jeweiligen Aufbewahrungsfrist löschen und müssen sie auf Anfrage eines Betriebsprüfers innerhalb eines angemessenen Zeitraums lesbar machen.
Sarbanes-Oxley Act und die Fibu
Bei Firmen, deren Wertpapiere an der US-Börse gehandelt werden, ist zusätzlich der Sarbanes-Oxley Act (SOX) relevant. Hierbei handelt es sich um ein amerikanisches Gesetz zur verbindlichen Regelung der Unternehmensberichterstattung. Es wurde infolge der Bilanzskandale von Unternehmen wie Enron und Worldcom erlassen und gliedert sich in "Sections". Nach Section 404, der bekanntesten und in der Umsetzung teuersten, muss jeder Jahresbericht eine Beurteilung der Wirksamkeit des internen Kontrollsystems für die Rechnungslegung durch die Geschäftsleitung des Unternehmens und ein Urteil des Wirtschaftsprüfers über diese Beurteilung enthalten (siehe auch KonTraG, Gesetz zur Kontrolle und Transparenz von Unternehmen).
Ein internes Kontrollsystem umfasst alle Maßnahmen, die die Qualität der mit der Rechnungslegung erstellten Quartals- und Jahresabschlüsse sicherstellen sollen. Insgesamt führt das Gesetz zu weitreichenden Veränderungen der Corporate Governance. Wer ein SAP-System für die Finanzbuchhaltung nutzt, muss diese Vorgaben im Modul "FI" umsetzen.
EuroSOX kommt
Da Experten davon ausgehen, dass EuroSOX in Europa eine ähnliche Bedeutung erlangen wird wie SOX in den USA, wird sich auch dies in den ERP-Systemen sowie deren Überprüfung niederschlagen.
Datenschutz im Personalwesen
In Unternehmen, die das SAP-Modul "HR" beziehungsweise "SAP HCM" verwenden, muss ebenfalls das Bundesdatenschutzgesetz beachtet werden. Dieses regelt, zusammen mit den Datenschutzgesetzen der Länder und anderen bereichsspezifischen Regelungen, den Umgang mit personenbezogenen Daten, die in IT-Systemen oder manuell verarbeitet werden.
Zusätzlich zu diesen "allgemeinen" Gesetzen müssen sich Firmen an branchenspezifische Gesetze und Richtlinien halten. Hier gibt es zum Beispiel das EnWG (Unbundling) für Energieversorger oder die MaRisk für Finanzdienstleister.
Zu den Gesetzen kommen noch unternehmensinterne Richtlinien hinzu. Dies können hauseigene Kontrollsysteme mit Funktionstrennungen sein, deren Vorgaben im SAP-System umgesetzt sein müssen. Prinzipiell lassen sich ERP-Programme entsprechend einstellen, doch bei falscher Konfiguration von Systemparametern besteht die Gefahr, dass die falschen Personen Zugriff auf sensible Daten erhalten.
Die Berechtigungen haben sich im aktuellen Release SAP ERP 6.0 gegenüber R/3 bis auf die Grundeinstellung einiger Systemparameter und neu hinzugekommener Anmeldeparameter nicht verändert. Neuerungen gibt es lediglich in der Plattform Netweaver 7.0.
Wenn Firmen das Netweaver Portal für den SAP-Zugriff verwenden, müssen auch die Java-Berechtigungen in die Prüfung einbezogen werden.