computerwoche.de

Business-Software

ERP-Audit

Schwachstellen in der SAP-Konfiguration aufdecken

08.09.2008
Von Sebastian Schreiber
Da Firmen in großem Stil Finanz- oder Personaldaten in ihren SAP-Systemen verwalten, müssen sie eine Reihe von Gesetzen und Regeln einhalten. Prüfsysteme helfen, Lücken und Fehler in den ERP-Einstellungen aufzudecken.

Verfahren für das Audit von SAP-Umgebungen gibt es einige. Manche werten kaufmännische Daten und Systemparameter aus, andere durchleuchten, wie gut das SAP-Berechtigungssystem konfiguriert ist.

SAP-Anwender sind Risiken ausgesetzt, wenn sie Systemparameter falsch einstellen, beispielsweise im Anmeldesystem. Diese Parameter regeln das Anmeldeverhalten der Benutzer, für das es in den meisten Unternehmen eine systemübergreifende Vorgabe gibt. Ebenfalls über Parameter lässt sich die Tabellenprotokollierung festlegen. Sie ist für alle Tabellen vorgeschrieben, in denen rechnungslegungsrelevante Inhalte vorhanden sind (Stamm- und Bewegungsdaten sowie Customizing-Einstellungen). Werden diese Einstellungen nicht ordnungsgemäß gepflegt, sind wichtige Daten eventuell nicht ausreichend geschützt.

Datenbanken und Betriebssysteme

Weitere Sicherheitslücken sind die unzureichende Absicherung der Betriebssystem-, Datenbank- und Netzwerkebene. Unter Umständen können Nutzer über einen direkten Zugriff auf die Datenbank Informationen manipulieren. Einen Zugang zur SAP-Software brauchen sie dafür nicht. Verfügen Unbefugte über Datenbankzugriffsrechte, bleibt das SAP-Berechtigungskonzept wirkungslos.

Falsche ERP-Berechtigungen

Gefahrenpotenzial bergen außerdem falsch vergebene Berechtigungen. Fehler können bei der Definition des Berechtigungskonzepts auftreten, aber auch dann, wenn der Systemverwalter mehrere Nutzerberechtigungen kombiniert. ERP-Verwalter kombinieren beispielweise dann SAP-Berechtigungen, wenn ein Mitarbeiter mehrere Aufgabenbereiche abdecken muss. Zudem kann ein Benutzer für einen gesamten Prozess verantwortlich sein und hierzu Zugang zu mehreren ERP-Modulen benötigen, was ebenfalls kombinierte Berechtigungen erfordert.

Mitunter erhalten SAP-Anwender aber auch irrtümlich Berechtigungen, die für ihren Arbeitsbereich nicht erforderlich sind. Da im ERP-System ständig neue Benutzer hinzukommen, gelöscht werden oder Mitarbeiter die Abteilung wechseln, ändern sich die Berechtigungen ebenfalls. Pannen bei der Berechtigungsvergabe können Benutzern Zugriff auf sensible Daten verschaffen oder ihnen sogar die Möglichkeit einräumen, zu ändern oder zu löschen.

Ein Risiko besteht auch dann, wenn durch fehlerhafte Berichtigungsvergabe Funktionstrennungen umgangen werden können. Beispielsweise darf keine einzelne Person die Möglichkeit haben, Kreditorenstammdaten anzulegen, Rechnungen zu buchen und den Zahlungslauf zu starten.