SAP-Berechtigungswesen: Welches Audit-Knowhow brauchen Prüfer?

Das SAP-Berechtigungswesen ist mächtig und komplex. Damit in Unternehmen kein Wildwuchs und überberechtigte Benutzer entstehen, werden die SAP- und IT-Systeme regelmäßig hinsichtlich der Compliance überprüft.

Wir fragten Marcus Herold, Bereichsleiter Data Science und Zertifizierung beim Anbieter für SAP- und IT-Sicherheitsweiterbildungen IBS Schreiber, welches Wissen man für die Sicherheitsprüfung von SAP-Systemen braucht, welche Tools zum Einsatz kommen und wie man sein Wissen aktuell halten kann.

 

Herr Herold, wieso muss das Berechtigungswesen der SAP-Systeme regelmäßig geprüft werden?

Marcus HeroldMarcus Herold: Berechtigungen in einem SAP-System steuern benutzerbezogen die Zugriffsmöglichkeiten auf die Geschäftsdaten. Bei der Berechtigungsvergabe sind gesetzliche Vorgaben (u.a. HGB, GoBD und DSGVO), unternehmenseigene Vorgaben sowie das strikte Minimalprinzip (Need-to-know) einzuhalten. Verstöße dagegen können schwerwiegende Folgen (Strafen, Imageverlust, monetäre Schäden) für das Unternehmen haben.

Durch den komplexen Mechanismus der additiven Berechtigungsvergabe über Rollen, können sich kritische Berechtigungen oder Berechtigungskombinationen ergeben, die man bei der Rollenzuweisung nicht vorhergesehen hat.

Daher ist es erforderlich, in regelmäßigen Abständen die vergebenen Berechtigungen und die Sicherheitseinstellungen zu überprüfen. Regelmäßige Kontrollen sind Bestandteil eines gut funktionierenden Internen Kontrollsystems (IKS), um Risiken zu minimieren.

Leider zeigt aber meine Prüfererfahrung, dass viele Unternehmen keine regelmäßigen Kontrollen eingeführt haben.

 

Wer führt diese Prüfungen in der Praxis durch? Interne oder Externe?

Die Prüfungen werden sowohl durch interne als auch durch externe Mitarbeiter durchgeführt. Für die Sicherheitsprüfung des SAP-Systems ist der jeweilige Fachbereich (Data Owner) verantwortlich, der diese Aufgabe aber überwiegend an die SAP-Administration delegiert.

Die Interne Revision führt ebenfalls SAP-Sicherheitsprüfungen durch. Als externe Prüfer sind in erster Linie die Wirtschaftsprüfer zu nennen. Häufig werden aber auch externe Experten (beispielsweise unsere Prüfer) mit der Prüfung beauftragt.

 

Welches Wissen ist für derartige Sicherheitsüberprüfungen notwendig?

Man braucht exzellente Kenntnisse im Aufbau und in den Funktionalitäten eines SAP-Systems. Da Prüfer überwiegend geschäftsprozessbezogen und nicht modulbezogen prüfen, sollten sie sich im Zusammenspiel der verschiedenen SAP-Komponenten innerhalb eines Geschäftsprozesses sehr gut auskennen.

Nur dann können sie die Ergebnisse der Prüfungsaktivitäten im jeweiligen Gesetzes- und Unternehmenskontext professionell beurteilen.

 

Mit welchen Tools kann man SAP-Berechtigungssysteme analysieren und kritische Punkte erkennen?

Welches Tool man einsetzt, hängt von der Größe eines Unternehmens ab. Das Kosten-Nutzen-Verhältnis muss stimmen. Große Unternehmen verfügen über komplexe Berechtigungskonzepte. Um deren Prüfaufwand zu reduzieren, sollte die Vergabe von kritischen Berechtigungen im Vorfeld schon verhindert werden.

Ein regelbasiertes Tool wie Access Control prüft vor der Vergabe der Berechtigungen, ob dadurch kritische Berechtigungen bzw. Berechtigungskombinationen (SoD-Konflikte) entstehen. Hier handelt es sich um eine präventive Kontrolle.

In den mittleren und kleinen Unternehmen wird man aus Kostengründen mehr detektivische Kontrollen durchführen. Hier hat man zwei Möglichkeiten: 1. Der Prüfer nutzt die internen Tools von SAP (u.a. die Transaktionen SUIM, QuickViewer, Report RSUSR_008_009_NEW), um die vergebenen Berechtigungen zu analysieren. Dieses Vorgehen hat den Nachteil, dass man auf Grund der Komplexität der SAP-Berechtigungen nur sehr oberflächlich und zeitaufwendig prüfen kann.

Besser ist es, die Berechtigungen mit einem externen Tool zu prüfen. Hierzu müssen in einem ersten Schritt alle berechtigungsrelevanten Informationen aus dem SAP-System exportiert und aufbereitet werden. Danach werden über Abfragen diese Berechtigungsinformationen analysiert.

Für den Prüfer besteht nun aber die Schwierigkeit, die entsprechenden Abfragen formulieren zu können. Hier gibt es aber Tools auf dem Markt, die schon über vordefinierte Abfragen zu Berechtigungen verfügen (beispielsweise CheckAud for SAP Systems aus unserem Hause).

 

… und wie baut man das für Audits notwendige Wissen auf?

Durch zielgerichtete Schulungen, Besuch von Fachkonferenzen und Arbeitskreisen sowie Wissensaustauch zwischen Partnern und der SAP-Community. Das Internet ist eine gute Informationsquelle, um sich fortzubilden oder nach Lösungen für spezifische Fragestellungen zu suchen.

Eine Komponente sollte nicht vergessen werden: Die Erfahrung. Das theoretisch erlernte Wissen muss regelmäßig in der Praxis angewendet werden. Ein professioneller Prüfer verfügt nicht nur über das nötige Wissen, sondern auch über große berufliche Erfahrung.

Nur durch permanente Weiterbildung kann der Wissensstand auf hohem Niveau gehalten werden.

 

Welchen Umfang und welche Tiefe haben Ihre Schulungen? Und an wen richten sich diese?

Derzeit bieten wir zum Thema „SAP-Security“ 24 Seminarthemen an. Wir unterscheiden zwischen Grundlagen- und Aufbauseminaren. Eines unserer Grundlagenschulungen hat den Titel „Führerschein zur Prüfung von SAP-Systemen“. Nomen est omen: In dieser Schulung werden einem SAP-Neuling, die ersten Schritte zur Bedienung, Strukturen des SAP-Systems sowie modulübergreifende Funktionalitäten (z.B. Protokollierung) erläutert.

Nachdem der Anwender in unseren Seminaren die Grundlagen erlernt hat, kann er sich durch unsere Aufbau-Seminare spezialisieren. Diese Spezialisierung kann nach SAP-Modulen (beispielsweise SAP FI – Finanzbuchhaltung) oder modulübergreifenden Themen (beispielweise Datenschutz in SAP-Systemen) erfolgen.

In der Regel dauern unsere Seminare zwischen zwei und drei Tagen. Wir bieten aber auch zwei fünftägige Kompaktseminare an. Im erstem Kompaktseminar werden alle Themen behandelt, die für die Sicherheitsbetrachtung von SAP-Systemen relevant sind. Im zweiten Kompaktseminar steht die Prüfung der Geschäftsprozesse Finanzbuchhaltung und Einkauf im Vordergrund.

Unsere Seminare zeichnen sich dadurch aus, dass sie von Prüfern und Beratern gehalten werden, die über eine mehrjährige Berufserfahrung verfügen und somit die Seminare mit Beispielen aus der Prüferpraxis anreichern können. Die Seminare werden in kleinen Gruppen durchgeführt. Neben der Vermittlung von Fachwissen, werden auch zahlreiche Übungen an unserem SAP-Schulungssystem durchgeführt. Jeder Teilnehmer hat seinen eigenen SAP-Zugang.

In erster Linie richten sich die Schulungen an Prüfer und SAP-Administratoren. Natürlich ist aber jeder, der sich in Themen der SAP-Security fortbilden möchte, willkommen.

 

Kann, soll oder muss man sich als SAP-Prüfer zertifizieren lassen?

Als Prüfer muss man nach den einschlägigen Berufsstandards (ISACA, IIA, DIIR) über eine ausreichende Fachkompetenz in einem Prüffeld verfügen, um dieses mit dem notwendigen Sachverstand prüfen und beurteilen zu können. Ein wichtiges Instrument zum Nachweis dieser Fachkompetenz ist die Zertifizierung durch eine unabhängige Stelle. Mit einem Zertifikat besitzt man einen objektiven und angesehenen Qualitätsnachweis des Wissens gegenüber Kunden und Arbeitgebern. Um SAP-Systeme professionell, effektiv und effizient durchführen zu können, ist – wie bereits gesagt — umfangreiches Fachwissen nötig.

Zum Nachweis dieses Fachwissens haben wir in Kooperation mit dem ISACA German Chapter im Jahr 2016 die weltweit erste Zertifizierung für SAP-Prüfer (CASAP – Certified Auditor for SAP) entwickelt und führen seit 2017 regelmäßige Zertifizierungsprüfungen durch. Das Besondere an dem Zertifikat ist, dass nicht nur theoretisches Wissen abgefragt wird, sondern der Geprüfte sein Wissen auch in einer praktischen Prüfung am SAP-System umsetzen muss.

Man muss sich als SAP-Prüfer nicht zertifizieren lassen. Wenn ich aber einen objektiven Nachweis über meine Qualifikation haben möchte, führt kein Weg an einer Zertifizierung vorbei.

 

Was wird für Sie in den kommenden 12 Monaten das dominierende Thema in der SAP-Community?

S4/HANA-Migrationen sowie die Nutzung der enormen Möglichkeiten der neuen Technologie im Bereich der Data Analytics und der Self-Service BI.

 

Vielen Dank für das Gespräch.

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Anzeige

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

Marcus Herold

Wie wird man zertifizierter SAP-Prüfer?

Um die Ordnungsmäßigkeit und Sicherheit von Geschäftsprozessen — und deren Abbildung im SAP-System — prüfen …