Prüfung der Anwendungsentwicklung in SAP® Systemen / Prüfung von Eigenentwicklungen in SAP® Systemen

KURZBESCHREIBUNG DER DIENSTLEISTUNG:

Ein wesentlicher Anteil der Sicherheit, Stabilität und Anwenderzufriedenheit innerhalb eines SAP®-Systems wird durch eine ordnungsmäßige Organisation und Durchführung der Anwendungsentwicklung gewährleistet:

Durch nicht ausreichend getestete Software, die mangels eines entsprechend ausgeprägten Antrags- und Freigabeverfahren in die Produktivumgebung gelangen, kann beispielsweise der Ablauf des Tagesgeschäfts beeinträchtigt werden. Durch fehlende Berechtigungsabfragen innerhalb eigener Anwendungen können kritische Aktionen von nicht autorisierten Benutzern durchgeführt werden.

Neben der Prüfung der allgemeinen Vorgaben und Abläufe wird durch weitreichende Prüfungen der Berechtigungskonstellationen im Entwicklerumfeld sichergestellt, dass interne Kontrollsysteme nicht unterwandert werden und auf diese Weise schadhafte oder das System gefährdende Software in die Produktivumgebung gelangt.

Zu den wesentlichen Prüfinhalten zählen:

  • Verantwortlichkeiten für Entwicklung, Customizing, Auftragsverwaltung, Transporte etc.
  • Vorgaben für Eigenentwicklungen (Berechtigungsabfragen in Programmen, Zugriffe auf Tabellen etc.)
  • Antrags-, Test- und Freigabeverfahren, Parametrisierung/Customizing im Entwicklungsumfeld
  • Relevante Berechtigungen in der Anwendungsentwicklung und deren Umfeld (Unter anderem eine Analyse der systemübergreifenden Berechtigungen über die gesamte Entwicklungs- und Transportkette hinweg)
  • Sichtung und Prüfung der ABAP-Quelltexte, der eigenen Tabellen, der Funktionsbausteine etc. hinsichtlich Sicherheit, Ordnungsmäßigkeit und unternehmenseigenen Vorgaben
  • Absicherung der gesamten Systemlandschaft (Entwicklerschlüssel, Systemänderbarkeit etc.)
  • Nachvollziehbarkeit von Modifikationen an SAP-Objekten
  • Notfallkonzept für Reparaturen im Produktivsystem

Die Prüfschritte umfassen jeweils im Einzelnen:

  • Aufnahme des IST-Zustandes
  • Bewertung des Konzepts und Zustand der Dokumentationen
  • Technische Prüfung der Systeme
  • Abgleich des IST-Zustands in den Systemen mit den SOLL-Vorgaben

Durch den Einsatz der IBS-Prüfsoftware „CheckAud® for SAP® Systems“ können innerhalb kürzester Zeit auch komplexe Berechtigungskonstellationen und allgemeine sicherheitsrelevante Einstellungen innerhalb des SAPSystems
aussagekräftig aufbereitet und entsprechend ausgewertet werden. Des weiteren beinhaltet das Produkt einen ABAP-Analyzer zur Prüfung von ABAP-Quelltexten, welcher für diese Prüfung genutzt wird.

NUTZEN FÜR DEN KUNDEN:

  • Schneller Überblick über den Sicherheitsstand der Systeme
  • Empfehlungen für Maßnahmen zur Behebung von Sicherheitslücken und Ordnungsmäßigkeitsverstößen
  • Darstellung der Gefährdungspotentiale und den daraus resultierenden Risiken
  • Revisionsgerechte Aufbereitung und Maßnahmen-Darstellung
  • Basis zur Risikoabschätzung und weiterer Prüfschritte

VORGEHENSWEISE:

Voraussetzungen

  • Installation des Scan-Tools von „CheckAud® for SAP® Systems“ auf einer Workstation
  • Benennung der zu prüfenden Komponenten und Systeme
  • Einrichten eines Benutzers in den zu prüfenden SAP Mandanten mit lesenden Zugriffsrechten (Rollen können von der IBS geliefert werden)
  • Zugang und Einsichtmöglichkeit der Dokumentationen
  • Verfügbarkeit der notwendigen Ansprechpartner

Durchführung

  • Vereinbarung über die zu prüfenden Systeme, Komponenten der Anwendungsentwicklung und organisatorischer Verfahren
  • Terminabstimmung für die Vor-Ort-Termine und die Berichtserstellung
  • Durchführung der Interviews und der Analysen vor Ort
  • Erstellung und Abstimmung des Berichtes im IBSeigenenFormat (oder auf Wunsch im unternehmenseigenenFormat) und, wenn gewünscht, Abschlusspräsentation
  • Die Berater der IBS Schreiber GmbH stehen nach der Prüfung weiterhin für alle Fragen zur Verfügung