Prüfung des Zugriffs auf Kundendaten (DL-SAP-PCU)

 

Kurzbeschreibung der Dienstleistung:

Im Rahmen dieser Prüfung werden die Möglichkeiten zum Zugriff auf Kundendaten system- und plattformübergreifend analysiert und bewertet. Das Ziel der Prüfung besteht darin, die Ablageorte und die Zugriffsmöglichkeiten transparent darzustellen. Dabei ist nicht nur die ERP-Ebene Gegenstand der Prüfung, sondern natürlich auch die Datenhaltungsebene sowie die Betriebssysteme, über die ein Zugriff auf die Daten möglich ist.

Prüfung der SAP Ebene

Der Schwerpunkt dieser Dienstleistung liegt in der Prüfung der SAP Systeme. Hier gibt es verschiedene zentrale Fragestellungen bezüglich der Kundendaten, die im Rahmen dieser Prüfung beantwortet werden:

  • In welcher Art von Systemen werden produktive oder produktivnahe Kundendaten vorgehalten?
  • In der Finanzbuchhaltung in einem SAP Core System
  • In einem separaten CRM System mit erweiterten Funktionalitäten für die Kundenbetreuung
  • In einem separaten BI System mit erweiterten Analysemethoden
  • Innerhalb der Systemlandschaften, bestehend aus Entwicklungs-, Qualitätssicherungs-, Produktiv- und evtl. Zusatzsystemen
  • etc.
  • In welchen Tabellen werden SAP-intern die Kundendaten abgelegt?
  • Analyse von SAP Standard-Tabellen und –Views
  • Analyse von Eigenentwicklungen (kundeneigene Tabellen undnViews)
  • Welche SAP Standard-Programme, -Transaktionen, Queries etc. und entsprechende Eigenentwicklungen greifen auf diese Daten zu?
  • Welche Berechtigungen sind nötig, um in den verschiedenen Systemen auf die Kundendaten zuzugreifen, bzw. welche Benutzer verfügen über diese Berechtigungen?

Durch den Einsatz der IBS-eigenen Prüfsoftware CheckAud® for SAP® Systems können innerhalb kürzester Zeit entsprechende Berechtigungskonstellationen innerhalb des SAP-Systems aussagekräftig aufbereitet und entsprechend ausgewertet werden.

Prüfung der Portale

Einen weiteren Angriffspunkt für den Zugriff auf Kundendaten bietet der Einsatz von Portalen. Zum einen werden hier verschiedenste Dokumente über das Knowledge Management bereitgestellt. Zum anderen kann über entsprechende Funktionalitäten direkt auf die SAP Backend Systeme zugegriffen werden. Die Prüfung kann also bei Bedarf auf das Portal incl. Knowledge Management, Portal Content Directory, User Management Engine etc. ausgeweitet werden.

Prüfung der Schnittstellen

Kundendaten sind auch während der Übertragung zwischen den immer stärker verflochtenen SAP und NON-SAP Systemen gefährdet. Eine Ausdehnung der Prüfung ist daher zusätzlich auf die Schnittstellen möglich. Hierbei werden unter anderem die Art der Übertragung (evtl. Zwischenablage im Filesystem etc.), Verschlüsselungen und klassische Schwachstellen wie RFC-Verbindungen untersucht.

Prüfung der Datenbanken

Da SAP Tabellen überwiegend unverschlüsselt in einer Datenbank abgelegt werden, kann die Prüfung ebenfalls auf die Datenbankebene ausgeweitet werden (siehe auch Steckbrief „Datenbankprüfung“).

Prüfung der Betriebssystemebene

Abhängig von den eingesetzten Prozessen, werden evtl. Kundendaten aus den SAP-Systemen extrahiert und als separate Dateien abgespeichert bzw. weiter verarbeitet. Oder es werden Kundendaten unabhängig von SAP in File-Systemen verwaltet. Die Prüfung kann daher auch eine Analyse und Berechtigungsprüfung auf Betriebssystemebene beinhalten (siehe auch Steckbrief „Betriebssystemprüfung“).

Nutzen für den Kunden:

  • Kompletter Überblick über die Verwaltung der Kundendaten
  • Welche Arten von Kundendaten werden vorgehalten
  • Wo sind diese Kundendaten abgelegt (in welchen SAP Systemen / Datenbanken / Verzeichnisstrukturen)
  • Wer hat welche Zugriffsmöglichkeiten auf Kundendaten
  • Woher kommen diese Zugriffsrechte (Rollen in SAP Systemen / Gruppen- oder Benutzerrechte im Betriebssystem etc.)
  • Wer besitzt die Möglichkeit zum Download der Kundendaten
  • Wie wird der Zugriff am effektivsten abgesichert

Vorgehensweise:

Voraussetzungen

  • Verfügbarkeit der notwendigen Ansprechpartner
  • Zugang und Einsichtmöglichkeit der Dokumentationen
  • Einrichten eines Benutzers (oder Ansprechpartner) in den zu prüfenden SAP Mandanten mit lesenden Zugriffsrechten (Rollen können von der IBS geliefert werden)
  • Installation des Scan-Tools von CheckAud® for SAP® Systems auf einer Workstation

Durchführung

  • Terminabstimmung für die Vor-Ort-Termine und die Berichtserstellung
  • Durchführung der Interviews und der Analysen vor Ort
  • Erstellung und Abstimmung des Berichtes im IBS-eigenen Format (oder auf Wunsch im unternehmenseigenen Format) und, wenn gewünscht, Abschlusspräsentation
  • Die Berater der IBS Schreiber GmbH stehen nach der Prüfung weiterhin für alle Fragen zur Verfügung