• IBS Schreiber GmbH >
• Prüfung & Beratung >
• Prüfungen >
• Prüfung des SAP® Berechtigungskonzeptes

Prüfung des SAP® Berechtigungskonzeptes

KURZBESCHREIBUNG DER DIENSTLEISTUNG:

Die Ordnungsmäßigkeit eines SAP®-Systems hängt wesentlich von der Konzeption und Umsetzung der eingesetzten Berechtigungen ab.

Daher stehen sowohl die theoretischen Ansätze und die zugehörigen Dokumentationen, als auch die konkret vorliegenden Berechtigungskonstellationen im Fokus dieser Prüfung.

Neben dem Basismodul, das die Grundsicherheit des SAP®-Systems gewährleistet, können die einzelnen eingesetzten Module bezüglich der Berechtigungskonfiguration untersucht werden.

Dabei sind neben einzelnen kritischen Berechtigungen vor allen Dingen Kombinationen von Berechtigungen, die für sich einzeln betrachtet evtl. kein Gefahrenpotential darstellen, von Interesse. Des weiteren ist die Abbildung und Einhaltung des internen Kontrollsystems in den eingesetzten Modulen ein wesentlicher Aspekt der Prüfung.

Zu den maßgeblichen Prüfinhalten zählen:

• Das Konzept der Berechtungsvergabe
• Prüfung des Antragsverfahren inkl. Dateneigentümerkonzept
• Prüfung der Verwaltung von Benutzern, Profilen, Rollen
• Parametrisierung/Customizing berechtigungsrelevanter Daten
• Systemübergreifende Berechtigungsprüfungen
  • Transportsystem in einer mehrstufigen Systemlandschaft
  • Prüfung von Berechtigungen zwischen getrennten Systemen (z.B. FI und HR)
• Prüfung einzelner Berechtigungen, Berechtigungskombinationen und ganzer Prozesse in den eingesetztenModulen.

Die Prüfschritte umfassen jeweils im Einzelnen:

• Aufnahme des IST-Zustands
• Bewertung des Konzepts
• Zustand der Dokumentationen
• Prüfung der Systeme
• Abgleich des IST-Zustands in den Systemen mit den SOLL-Vorgaben

Durch den Einsatz der IBS-Prüfsoftware „CheckAud® for SAP® Systems“ können innerhalb kürzester Zeit auch komplexe Berechtigungskonstellationen und allgemeine sicherheitsrelevante Einstellungen innerhalb des SAP-Systems
aussagekräftig aufbereitet und entsprechend ausgewertet werden.

NUTZEN FÜR DEN KUNDEN:

• Schneller Überblick über den Sicherheitsstand der Systeme
• Empfehlungen für Maßnahmen zur Behebung von Sicherheitslücken
• Darstellung der Gefährdungspotentiale und den daraus resultierenden Risiken
• Revisionsgerechte Aufbereitung und Maßnahmen-Darstellung
• Basis zur Risikoabschätzung und weiterer Prüfschritte

VORGEHENSWEISE:

Voraussetzungen

• Installation des Scan-Tools von „CheckAud® for SAP® Systems“ auf einer Workstation
• Benennung der zu prüfenden Systeme / Mandanten
• Einrichten eines Benutzers in den zu prüfenden
• SAP® Mandanten mit lesenden Zugriffsrechten (Rollen können von der IBS geliefert werden)
• Zugang und Einsichtmöglichkeit der Dokumentationen
• Verfügbarkeit der notwendigen Ansprechpartner

Durchführung

• Vereinbarung über die zu prüfenden Systeme, Module, Teilbereiche, Prozesse und organisatorischen Verfahren
• Terminabstimmung für die Vor-Ort-Termine und die Berichtserstellung
• Durchführung der Interviews und der Analysen vor Ort
• Erstellung und Abstimmung des Berichtes im IBSeigenen Format (oder auf Wunsch im unternehmenseigenen Format) und, wenn gewünscht, Abschlusspräsentation
• Die Berater der IBS Schreiber GmbH stehen nach der Prüfung weiterhin für alle Fragen zur Verfügung