Prüfleitfaden SAP ERP 6.0 - DSAG
Prüfleitfaden SAP ERP 6.0 - DSAG
Prüfleitfaden SAP ERP 6.0 - DSAG
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Deutschsprachige <strong>SAP</strong> ® Anwendergruppe<br />
<strong>Prüfleitfaden</strong> <strong>SAP</strong> <strong>ERP</strong> <strong>6.0</strong><br />
<strong>DSAG</strong> ARbEitSGRuPPE AuDit RoADmAP<br />
StAnD mäRz 2009
Seite 2<br />
<strong>DSAG</strong> Arbeitsgruppe Audit Roadmap<br />
S.2–113<br />
<strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>,<br />
teil 1, Stand 1.0 märz 2009<br />
S.114–183<br />
<strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>,<br />
teil 2, BetrieBSwirtSchaftlicher teil , Stand 1.0<br />
dSaG e. V.<br />
deutschsprachige SaP-anwendergruppe
Einleitung<br />
der vorliegende <strong>Prüfleitfaden</strong> der arbeitsgruppe (aG) audit roadmap bezieht sich auf den release-Stand<br />
SaP erP <strong>6.0</strong>. die aG ist teil der deutschsprachigen SaP-anwendergruppe e. V. (dSaG) mit Sitz in walldorf.<br />
zielsetzung ist, revisoren anhaltspunkte für die Prüfungen von SaP-anwendungen zu geben. in diesem<br />
leitfaden werden Prüfaspekte für den Basisbereich im teil 1 und auf der applikationsebene für die module<br />
fi, mm, cO und Sd im teil 2 aufgezeigt.<br />
die Prüflisten in diesem leitfaden sind als hinweise für einen mit SaP vertrauten Prüfer gedacht. Sie sind<br />
keine verbindliche richtlinie oder norm. Jegliche Verantwortung für art, Umfang und ergebnis externer und<br />
interner Prüfungen verbleibt beim Prüfer selbst. in seiner Verantwortung liegt auch die zuordnung der<br />
ausgewählten Prüfungsschwerpunkte zu einschlägigen iSO normen, z. B. für it-Sicherheit iSO/iec 27001,<br />
zu rahmenwerken für die Prüfung, z. B. cOSO, cOBit oder zu berufsständischen Prüfungsstandards.<br />
Voraussetzung ist die erfahrung mit dem SaP-System, insbesondere mit SaP erP <strong>6.0</strong> sowie Kenntnisse der<br />
gesetzlichen Vorschriften für die rechnungslegung. zur detaillierten auseinandersetzung mit der neuen<br />
SaP-architektur verweist das autorenteam auf die SaP-Online-dokumentation, auf entsprechende<br />
literatur und Schulungskurse.<br />
die Kapitel des <strong>Prüfleitfaden</strong>s sind alle einheitlich aufgebaut: zunächst werden für das unter der Kapitelüber-<br />
schrift genannte Prüfungsfeld summarisch risiken und Kontrollziele aufgeführt, anschließend folgen in den<br />
gekennzeichneten Prüfprogrammen detaillierte Prüfungshandlungen zu den genannten risiken und<br />
Kontrollzielen. die Kapitel sind thematisch in sich abgeschlossen, um redundanzen weitestgehend zu<br />
vermeiden.<br />
die ausgewählten Prüfprogramme vermitteln handlungen, die dem Prüfer die wahrnehmung der kritischen<br />
kundenspezifischen ausprägungen, der technischen SaP-Konzepte und -funktionen erleichtern sollen. die<br />
notwendigen kundenspezifischen organisatorischen Prozesse müssen jeweils individuell dem Prüfungsumfang<br />
angepasst werden.<br />
der <strong>Prüfleitfaden</strong> wird in Versionen fortgeschrieben.<br />
hinweise zum teil 1 (Basisbereich):<br />
> eine Prüfungshandlung auf fehlerhafte Konfiguration der SaP Software ist in der linken Spalte mit einem<br />
„h“ gekennzeichnet, wenn diese ein hohes risiko bedeutet. dies ist als ein hinweis für den Prüfer gedacht.<br />
der <strong>Prüfleitfaden</strong> bietet allerdings keine systematische risikobewertung.<br />
> Bei Prüfungshandlungen, die durch das SaP audit informationssystem (aiS) unterstützt werden, ist der<br />
betreffende aiS menüpfad angegeben.<br />
> Prüfungshandlungen, die der SaP Security Optimization Self-Service unterstützt (http://service.sap.com/<br />
SOS), sind mit „SOS“ gekennzeichnet. text und nummer der automatisierten Prüfung sind angegeben.<br />
Seite 3 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 4<br />
Einleitung<br />
die autoren des ersten teils sind mitglieder der aG audit roadmap des dSaG arbeitskreises „revision und<br />
risikomanagement“, der zweite teil ist analog des Schulungskurses fin 900 aufgesetzt worden. die<br />
Verantwortung für den inhalt tragen die autoren.<br />
© cOPyriGht 2009 dSaG e.V.<br />
die aUtOren:<br />
herr thorsten Bretzler Bhi informatik<br />
herr Önder Güngör SaP aG<br />
herr Oliver herbert Bhi informatik<br />
herr martin le maire heidelberger druckmaschinen aG<br />
herr carsten Schultz Pricewaterhousecoopers aG<br />
frau Beate Spickenheier ernst Klett aG<br />
hinweiS:<br />
die vorliegende Publikation ist urheberrechtlich geschützt (copyright). alle rechte liegen, soweit nicht<br />
ausdrücklich anders gekennzeichnet, bei:<br />
deUtSchSPrachiGe SaP® anwenderGrUPPe e.V.<br />
altrottstraße 34 a<br />
69190 walldorf<br />
deutschland<br />
Jedwede unerlaubte Verwendung ist nicht gestattet. dies gilt insbesondere für die Vervielfältigung,<br />
Verbreitung, übersetzung oder die Verwendung in elektronischen Systemen/digitalen medien.<br />
die autoren des <strong>Prüfleitfaden</strong>s sind für Kritik, änderungs- und ergänzungswünsche dankbar. zuschriften<br />
an die autoren können formlos an die folgende e-mail-adresse:<br />
PrUefleitfaden@Bh-infOrmatiK.de<br />
gerichtet werden, die Betreffzeile muss dabei mit dem wort „<strong>Prüfleitfaden</strong>“ beginnen. auch das formular<br />
auf der folgenden Seite kann verwendet werden.
an die<br />
arbeitsgruppe „SaP audit roadmap“<br />
z. hd. herrn Oliver herbert<br />
c/o. Bhi informatik Bretzler und herbert Partnerschaft<br />
mainzer landstraße 27-31<br />
d-60329 frankfurt am main<br />
aBSender<br />
name<br />
funktion<br />
abteilung<br />
firma<br />
anschrift<br />
telefon telefax<br />
erGänzende infOrmatiOn(en) zUm <strong>Prüfleitfaden</strong> SaP erP 06<br />
ich beziehe mich auf den <strong>Prüfleitfaden</strong> erP <strong>6.0</strong> Version:<br />
.V0 ................. Seite: ................. textnummer: .................<br />
meine infOrmatiOn laUtet:<br />
fax: +49 (0) 069 – 27 40 15-111<br />
............................................................................................................................................................................................<br />
............................................................................................................................................................................................<br />
............................................................................................................................................................................................<br />
............................................................................................................................................................................................<br />
............................................................................................................................................................................................<br />
............................................................................................................................................................................................<br />
............................................................................................................................................................................................<br />
............................................................................................................................................................................................<br />
............................................................................................................................................................................................<br />
zUr weiteren erläUterUnG Sind anlaGen BeiGefüGt (Bitte anKreUzen):<br />
( ) Ja<br />
( ) nein<br />
Bitte pro information ein formblatt verwenden!<br />
Seite 5 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 6<br />
Gliederung<br />
1 SaP erP <strong>6.0</strong> 8<br />
2 PrüferrOlle, BeStandSaUfnahme der SaP-SyStemlandSchaft Und<br />
der richtlinien deS UnternehmenS 9<br />
2.1 Grundlagen zur erstellung einer Prüferrolle 9<br />
2.2 Bestandsaufnahme der SaP-Systemlandschaft 9<br />
2.3 Bestandsaufnahme der richtlinien des Unternehmens 10<br />
3 identifiKatiOn Und aUthentiSierUnG (aBaP StacK) 12<br />
3.1 anmeldekontrollen 12<br />
3.2 risiken 12<br />
3.3 Kontrollziele 12<br />
3.4 Prüfprogramm: Systemparameter für die anmeldekontrolle 13<br />
3.5 tabelle: Vorschlagswerte für die Systemparameter der anmeldekontrolle 16<br />
3.6 Prüfprogramm: Gültigkeitszeitraum von Benutzerkennungen 18<br />
3.7 Prüfprogramm: Sichere Konfiguration besonderer Benutzertypen 20<br />
3.8 Prüfprogramm: überwachung der wirksamkeit des zugriffsschutzes 24<br />
4 aUtOriSierUnG (aBaP-StacK) 26<br />
4.1 Berechtigungsvergabe 26<br />
4.2 risiken 26<br />
4.3 Kontrollziele 27<br />
4.4 Prüfprogramm: dokumentiertes Berechtigungs- und Benutzerkonzept 27<br />
4.5 Prüfprogramm: notfallbenutzerkonzept (aBaP Stack) 29<br />
4.6 Prüfprogramm: nutzung kritischer SaP Standardprofile/-rollen 30<br />
4.7 Prüfprogramm: ersetzen kritischer Vorschlagswerte im Profilgenerator 32<br />
4.8 Prüfprogramm: Ordnungsmäßige Berechtigungs- und Benutzerorganisation 36<br />
4.9 tabellen: Beispielszenarien der Organisation einer Benutzer- und Berechtigungsverwaltung 38<br />
4.9.1 Szenario 1: 4-augen Prinzip 38<br />
4.9.2 Szenario 2: 6-augen Prinzip 40<br />
4.9.3 Szenario 3: 6-augen Prinzip 43<br />
4.10 Prüfprogramm: Berechtigungen für die Benutzer- und Berechtigungsverwaltung 46<br />
4.11 Prüfprogramm: Sicherheitsmechanismen zur aktivierung der Prüfung von Berechtigungen 49<br />
5 SySteminteGrität aUf der anwendUnGSeBene 50<br />
5.1 Gewährleisten der integrität von System und daten 50<br />
5.2 risiken 50<br />
5.3 Kontrollziele 50<br />
5.4 Prüfprogramm: Systemeinstellungen zum Schutz des Produktivsystems gegen änderungen 51<br />
5.5 Prüfprogramm: Systemeinstellungen zum Schutz der mandanten 53<br />
5.6 Prüfprogramm: nachvollziehbarkeit von änderungen an tabellen im Produktivsystem 55<br />
5.7 Prüfprogramm: Ordnungsmäßige Verbuchung 58<br />
5.8 Prüfprogramm: Schutz sicherheitskritischer Systemeinstellungen und Basisberechtigungen 59<br />
5.9 Prüfprogramm: Schutz der rfc-aufrufe 64<br />
5.10 Prüfprogramm: Schutz der Batch-input-Prozesse 68<br />
5.11 Prüfprogramm: Schutz sicherheitskritischer anwendungsberechtigungen 70<br />
5.12 Prüfprogramm: Schutz der Job-abläufe 72<br />
5.13 Prüfprogramm: Schutz der druckaufträge 74
6 SOftware-chanGe-manaGement 78<br />
6.1 Kontrolliertes Software-änderungs- und einsatzverfahren 78<br />
6.2 risiken 78<br />
6.3 Kontrollziele 78<br />
6.4 Prüfprogramm:<br />
Ordnungsmäßige und sichere implementierung des transport management Systems 79<br />
6.5 Prüfprogramm:<br />
einhaltung der regeln des Software-change-managements für das Produktivsystem 82<br />
7 SySteminteGrität mit dem SaP JaVa-StacK 86<br />
7.1 neue und parallele Software-entwicklungs- und anwendungsumgebung 86<br />
7.2 risiken 86<br />
7.3 Kontrollziele 86<br />
7.4 Prüfprogramm: Sichere Konfiguration des SaP Java Stack 87<br />
7.5 Prüfprogramm: authentisierung und autorisierung (Java Stack) 88<br />
7.6 Prüfprogramm: SaP Java Stack Softwareverteilung 92<br />
8 SySteminteGrität aUf der datenBanKeBene 94<br />
8.1 interne und externe anforderungen 94<br />
8.2 risiken 94<br />
8.3 Kontrollziele 94<br />
8.4 Prüfprogramm: authentisierung und autorisierung mit Oracle unter UniX 95<br />
8.5 Prüfprogramm: autorisierung mit Oracle unter UniX und datenbankmanagement 96<br />
8.6 Prüfprogramm: authentisierung und autorisierung mit Oracle unter windows 97<br />
9 SySteminteGrität aUf der BetrieBSSyStemeBene 100<br />
9.1 interne und externe anforderungen 100<br />
9.2 risiken 100<br />
9.3 Kontrollziele 100<br />
9.4 Prüfprogramm: authentisierung und autorisierung mit UniX 101<br />
9.5 Prüfprogramm: authentisierung und autorisierung mit windows 104<br />
10 KOmmUniKatiOnS- Und netzSicherheit 108<br />
10.1 Prüfprogramm: Sicherheit des SaP internet transaction Servers 108<br />
10.2 Prüfprogramm: Sicherheit SaPrOUter 109<br />
10.3 Prüfprogramm: Sichere Konfiguration des SaP Single Sign-On 110<br />
11 literatUrVerzeichniS 112<br />
teil 2 114<br />
inhaltSVerzeichniS<br />
BetrieBSwirtSchaftlicher teil 118<br />
Seite 7 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 8<br />
1 <strong>SAP</strong> <strong>ERP</strong> <strong>6.0</strong><br />
nach den Produkten SaP r/1 und SaP r/2 führte SaP im Jahr 1992 SaP r/3 ein. Bis zum SaP r/3 release<br />
4.6 setzte SaP eine zweistufige architektur (SaP Basis und SaP application) ein. mit SaP r/3 enterprise<br />
wurde auf dreistufig erweitert.<br />
mit SaP erP, das seit märz 2003 verfügbar ist, bietet SaP ein Bündel von Komponenten, um die erPrelevanten<br />
Geschäftsprozesse zu unterstützen. an diesem Punkt war SaP r/3 enterprise eine dieser<br />
Komponenten. wie aus der abbildung ersichtlich, ist SaP erP selbst dann mehr als nur SaP r/3 enterprise<br />
plus SaP netweaver, da die lösung viele funktionale erweiterungen wie Self Services, SaP Sem und mehr<br />
bereitstellt.<br />
die nächsten Schritte sind eine engere integration mit SaP erP (insbesondere mit den SaP net-weaverfunktionen),<br />
erweiterungen im Bereich der Bedienbarkeit und mitarbeitereffizienz und die Senkung der<br />
total cost of Ownership. darüber hinaus möchte SaP weitere funktionalität bereitstellen. die SaP erP<br />
central component stellt den nächsten Schritt in dieser entwicklung dar.<br />
die nachfolgende abbildung vermittelt einen überblick über die entwicklung der erP-lösungen von SaP.<br />
Architektur von 4.x bis <strong>ERP</strong> <strong>6.0</strong><br />
Anwendung<br />
Technologie<br />
application<br />
application<br />
SaP enterprise<br />
extension Set<br />
SaP r/3<br />
enterprise core (4.70)<br />
SaP enterprise<br />
extension Set<br />
<strong>SAP</strong> <strong>ERP</strong> 2004<br />
Zusätzliche Komponenten<br />
Self-Service Procurement<br />
internet Sales<br />
... und mehr<br />
Composite Applications<br />
<strong>SAP</strong> <strong>ERP</strong> Central Component<br />
Self-Services<br />
Strategic enterprise management<br />
Branchenfähig<br />
<strong>SAP</strong> ECC Extension Set<br />
<strong>SAP</strong> ECC Core 5.00<br />
<strong>SAP</strong> NetWeaver ´04<br />
integration von Personen<br />
multi channel access<br />
Portal collaboration<br />
integration von informationen<br />
Bus. intelligence Knowledge mgmt<br />
master data mgmt<br />
integration von Prozessen<br />
integration<br />
Broker<br />
Business<br />
Process mgmt<br />
<strong>SAP</strong> Web AS 6.40<br />
J2ee<br />
aBaP<br />
Unabhängig von dB und Betriebssystem<br />
life cycle mgmt<br />
<strong>SAP</strong> <strong>ERP</strong> <strong>6.0</strong> (vormals <strong>ERP</strong> 2005)<br />
Zusätzliche Komponenten<br />
Self-Service Procurement<br />
internet Sales<br />
<strong>SAP</strong> <strong>ERP</strong> Central Component<br />
Self-Services<br />
Branchenfähig<br />
... und mehr<br />
Composite Applications<br />
Strategic enterprise management<br />
<strong>SAP</strong> ECC Extension Set<br />
<strong>SAP</strong> ECC Core <strong>6.0</strong>0<br />
<strong>SAP</strong> NetWeaver ´04s<br />
integration von Personen<br />
multi channel access<br />
Portal collaboration<br />
integration von informationen<br />
Bus. intelligence Knowledge mgmt<br />
master data mgmt<br />
integration von Prozessen<br />
integration<br />
Broker<br />
Business<br />
Process mgmt<br />
<strong>SAP</strong> Web AS 6.40<br />
J2ee<br />
aBaP<br />
Unabhängig von dB und Betriebssystem<br />
life cycle mgmt
2 Prüferrolle, Bestandsaufnahme der <strong>SAP</strong>-Systemlandschaft<br />
und der Richtlinien des Unternehmens<br />
2.1 GrUndlaGen zUr erStellUnG einer PrüferrOlle<br />
im rahmen einer Prüfung müssen neben den für das Unternehmen geltenden gesetzlichen Vorgaben auch<br />
die „internen“ compliance-Vorgaben berücksichtigt werden, wobei den gesetzlichen Vorgaben Vorrang zu<br />
gewähren ist.<br />
die Prüferrollen sind in der form aufzubauen, dass nur die inhalte der zum Prüfungsumfang gehörenden<br />
Bereiche angezeigt werden dürfen. dies gilt insbesondere dann, wenn gesetzliche Vorgaben im Kontext des<br />
datenschutzes oder einer Steuerprüfung (dart-zugriffe) zu erfüllen sind.<br />
ist aus technischer Sicht in den Prüferrollen eine änderungsfunktion/änderungstransaktion unumgänglich<br />
(z. B. zugriff auf bestimmte customizing-tabellen), ist diese separat nur für die dauer des spezifischen<br />
Prüfungsschrittes zu berechtigen.<br />
Benötigt ein Prüfer Berechtigungen (z. B. zugriff auf eigenentwicklungen), die denen eines notfallusers<br />
entsprechen, ist gemäß dem vorliegenden notfalluserkonzept zu verfahren.<br />
es ist wichtig, dass die prüfende instanz keine Sonderrechte erhält, die gegen interne oder gesetzliche<br />
compliance-Vorschriften verstößt.<br />
2.2 BeStandSaUfnahme der SaP-SyStemlandSchaft<br />
nr.<br />
1. Gibt es ein diagramm der SaP-Systemlandschaft?<br />
2.<br />
Gibt es eine übersicht über alle eingesetzten SaP-Systeme, SaP-anwendungen und deren<br />
releasestand?<br />
3. auf welchen Betriebssystemen laufen die SaP-Systeme?<br />
4. welche datenbanken unterstützen die SaP-anwendungen?<br />
5.<br />
Gibt es ein netzdiagramm, das die Verbindungen der SaP-Systeme untereinander, zu den<br />
SaP clients und die netzverbindung in das internet darstellt?<br />
6. Gibt es eine übersicht über verschlüsselte netzverbindungen?<br />
Seite 9 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 10<br />
2 Prüferrolle, Bestandsaufnahme der <strong>SAP</strong>-Systemlandschaft<br />
und der Richtlinien des Unternehmens<br />
2.3 BeStandSaUfnahme der richtlinien deS UnternehmenS<br />
die Unternehmen sind in der Vorgabe und der Gestaltung von internen richtlinien frei. allerdings üben<br />
gesetzliche Vorgaben und externe it Standards einen normierungsdruck auf inhalte und ausprägung von it<br />
bezogenen richtlinien aus.<br />
hier sind lediglich diejenigen Vorgaben aufgeführt, die für die Prüfung von SaP-Systemen relevant sind.<br />
Sind sie vorhanden, unterstützt das die Prüfung.<br />
nr. UnternehmenSinterne richtlinien Und it SPezifiSche PrOzeSSdOKUmentatiOn<br />
1. Gibt es ein Diagramm der <strong>SAP</strong>-Systemlandschaft?<br />
1.1 Gibt es Vorgaben für die identifikation von Benutzern?<br />
1.2 Gibt es Vorgaben zum Passwortschutz?<br />
1.3 Gibt es Vorgaben für die zuständigkeiten und rollen bei der Berechtigungsvergabe?<br />
1.4<br />
Gibt es Vorgaben für die zuständigkeiten und aufgaben der dateneigentümer sowie der<br />
Systembetreiber?<br />
2. Ist die IT-Sicherheit von spezifischen Systemplattformen geregelt und dokumentiert, z. B. für:<br />
2.1 SaP client am arbeitsplatz (Pc, notebook)?<br />
2.2 netzverbindungen?<br />
2.3 mS windows Server?<br />
2.4 UniX Server?<br />
2.5 datenbank?<br />
3. Gibt es eine Projektrichtlinie?<br />
4. Gibt es Vorgaben für das Software Development Life Cycle (SDLC) Management?
NR. UnternehmenSinterne richtlinien Und it SPezifiSche PrOzeSSdOKUmentatiOn<br />
5. Gibt es für die <strong>SAP</strong>-Anwendungs- und Systemlandschaft eine Prozessdokumentation für:<br />
5.1 das customizing?<br />
5.2 den Betrieb und die überwachung?<br />
5.3 das change- und Konfigurationsmanagement?<br />
5.4 das release-management?<br />
5.5 die Benutzer- und Berechtigungsverwaltung?<br />
5.6 das it Sicherheits-management?<br />
5.7 das Business continuity management?<br />
6.<br />
Gibt es Service Level Agreements zwischen den Betreibern der <strong>SAP</strong>-Systemlandschaft<br />
und den Geschäftseinheiten, die die <strong>SAP</strong>-Anwendungen für Ihre Geschäftsprozesse<br />
nutzen?<br />
7. Ist ein User Help Desk eingerichtet?<br />
Seite 11 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 12<br />
3 Identifikation und Authentisierung (ABAP Stack)<br />
3.1 anmeldeKOntrOllen<br />
die identifikation und authentisierung mittels Benutzerkennung und Kennwort ist ein übliches und<br />
einfaches Verfahren. das Verhalten des Benutzers bestimmt wesentlich die wirksamkeit des Verfahrens.<br />
mögliche Schwachstellen sind z. B. einfache, leicht erratbare oder auch anderen Benutzern bekannte<br />
Kennworte.<br />
mit zusätzlichen automatisierten regeln kann einfluss auf die wahl des Kennworts und auf den Umgang<br />
mit dem Kennwort genommen werden. SaP bietet eine reihe solcher möglichen regeln über konfigurierbare<br />
Systemparameter an. das Unternehmen muss diese gemäß den eigenen Sicherheitsvorgaben<br />
anpassen.<br />
3.2 riSiKen<br />
risiken ergeben sich vor allem aus der fehlerhaften Konfiguration der Systemeinstellungen für die<br />
anmeldekontrollen des SaP-Systems:<br />
> die Systemparameter für die anmeldekontrollen sind nicht entsprechend dem it Sicherheitskonzept des<br />
Unternehmens ausgeprägt. Sie sind unzureichend oder widersprüchlich gesetzt, so dass die beabsichtigte<br />
wirkung verfehlt wird.<br />
> Sicherheitsmechanismen sind nicht angemessen umgesetzt, die SaP zur Unterstützung der Benutzer-<br />
verwaltung bereitstellt, z. B. Vorgabe des Gültigkeitszeitraums, nutzung von Sperrkennzeichen oder von<br />
besonderen Benutzertypen und die zuordnung zu Benutzergruppen.<br />
> die Sonderbenutzer, für die SaP im auslieferungsstand der Software bekannte Standardkennworte vor-<br />
gesehen hat, sind bei der implementierung nicht sicher konfiguriert worden.<br />
> Sicherheitsereignisse werden nicht erkannt und verfolgt, die ein Unterlaufen der gesetzten anmelde-<br />
kontrollen bedeuten.<br />
3.3 KOntrOllziele<br />
> die Systemparameter für die anmeldekontrollen sind so gesetzt, dass sie in der Verbundwirkung einen<br />
angemessenen zugriffsschutz gewährleisten. die gewünschte Kennwortqualität wird durch automatisierte<br />
Vorgaben sichergestellt. ein Schutz vor angriffen auf Kennworte wird konfiguriert. mehrfachanmeldungen<br />
werden verhindert.<br />
> Gültigkeitszeiträume für Benutzerkennungen sind definiert.<br />
> die Sonderbenutzer sind sicher konfiguriert.<br />
> Sicherheitsmechanismen für die Verwaltung von Benutzergruppen und für besondere Benutzertypen<br />
sind aktiviert.<br />
> die wirksamkeit der anmeldekontrollen wird überwacht.
3.4 PrüfPrOGramm: SyStemParameter für die anmeldeKOntrOlle<br />
nr. SyStemParameter für die anmeldeKOntrOlle<br />
die Systemparameter, die für die Kennwortbildung und anmeldung relevant sind, werden wie folgt<br />
angezeigt:<br />
aiS: System audit – top ten Security reports – Profilparameter anzeigen (generisch über log-in/*)<br />
aiS: System audit – System Konfiguration – Parameter – Systemparameter, übersicht mit historie<br />
aiS: System audit – System Konfiguration – Parameter – Systemparameter mit doku.<br />
hinweis: die im folgenden aufgeführten Vorschlagswerte für die anmeldekontrollen sind noch einmal in<br />
der tabelle zusammengefasst, die diesem Prüfprogramm folgt.<br />
1.<br />
1.1<br />
H<br />
1.2<br />
H<br />
1.3<br />
H<br />
1.4<br />
H<br />
1.5<br />
Kontrollziel: Die Bildung des Kennworts unterliegt Komplexitätsregeln.<br />
Risiko: das Kennwort ist einfach und kann mit wenigen anmeldeversuchen erraten werden. der<br />
Benutzer verwendet wiederholt dasselbe Kennwort. er überlistet den systemseitig erzwungenen<br />
wechsel des Kennworts, wenn keine oder eine zu kurze Passworthistorie gewählt ist.<br />
die Kennwortmindestlänge login/min_password_lng ist festgelegt.<br />
Vorschlagswert: 6 zeichen<br />
hinweis: das SaP-System lässt eine Kennwortlänge von bis zu 40 zeichen zu.<br />
SOS: minimum Password length is too Short (0126)<br />
das Kennwort unterliegt Bildungsregeln.<br />
die relevanten Systemparameter sind login/password_charset, login/min_password_letters,<br />
login/min_password_digits und login/min_password_specials, login/min_password_lowercase<br />
und login/min_password_uppercase.<br />
Vorschlagswerte: Kennwort muss mindestens einen Buchstaben, eine zahl und ein Sonderzeichen<br />
enthalten.<br />
SOS: required number of digits/letters/Special characters in Passwords is too low (0129, 0130,<br />
0131)<br />
die anzahl zeichen ist geregelt, in denen sich ein neues Kennwort vom alten unterscheiden muss,<br />
login/min_password_diff.<br />
Vorschlagswert: 3, d. h. mindestens die hälfte der vorgeschriebenen Passwortlänge.<br />
SOS: number of characters in which Passwords have to differ is too low (0128)<br />
die Größe der Passworthistorie ist vorbesetzt, login/password_history_size.<br />
Vorschlagswert: 15 Kennworte bei einem wechsel, der alle 90 tage erzwungen wird.<br />
in der tabelle USr40 sind unzulässige Kennwörter eingetragen.<br />
hinweis: wenn bereits über eine Passwortbildungsregel gefordert ist, dass mindestens ein<br />
Sonderzeichen zu wählen ist, brauchen in dieser tabelle keine wörter aus dem duden, auch keine<br />
Buchstaben- oder zahlenkombinationen eingetragen zu werden.<br />
SOS: trivial Passwords are not Sufficiently Prohibited (0125)<br />
Seite 13 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 14<br />
3 Identifikation und Authentisierung (ABAP Stack)<br />
nr. SyStemParameter für die anmeldeKOntrOlle<br />
2.<br />
2.1<br />
H<br />
2.2<br />
H<br />
2.3<br />
2.4<br />
3<br />
3.1<br />
3.2<br />
Kontrollziel: Die Gültigkeitsdauer eines Kennworts ist beschränkt.<br />
Risiko: Benutzerkennungen verbleiben lange mit initialkennwort. der Benutzer kann dasselbe<br />
Kennwort monatelang verwenden. es besteht das risiko, dass das initialkennwort bekannt ist<br />
oder dass das Kennwort ausgespäht worden ist.<br />
die Gültigkeitsdauer eines initialen Kennworts ist geregelt, login/password_max_ idle_initial.<br />
dieser Parameter zieht nicht für die Benutzer vom typ Service oder System.<br />
Vorschlagswert: die Gültigkeitsdauer überschreitet nicht drei arbeitstage.<br />
hinweis: dieser Systemparameter ersetzt die Profilparameter login/password_max_new_valid<br />
und login/password_max_reset_valid aus dem SaP web anwendungsserver 6.20 und 6.40.<br />
SOS: Users with initial Passwords who have never logged On (0009)<br />
der zeitpunkt für den Kennwortänderungszwang ist vorbestimmt, login/password_ expiration_ time.<br />
Vorschlagswert: erzwungener wechsel des Kennworts nach höchstens 90 tagen.<br />
SOS: interval for Password change is too long (0127)<br />
die Gültigkeitsdauer eines nicht benutzten Kennworts ist geregelt, login/password_max_idle_<br />
productive. dieser Parameter zieht nicht für die Benutzer vom typ Service oder System.<br />
hinweis: dieser Parameter gibt die maximale frist an, in der ein produktives vom Benutzer gewähltes<br />
Kennwort gültig bleibt, wenn es nicht benutzt wird. nachdem diese frist abgelaufen ist,<br />
kann das Kennwort nicht mehr zur authentifizierung verwendet werden. der Benutzeradministrator<br />
kann die Kennwortanmeldung durch zuweisen eines neuen initialkennworts wieder<br />
aktivieren.<br />
Vorschlagswert: Gültigkeitsdauer eines nicht benutzten Kennworts höher setzen als die dauer für<br />
den erzwungenen wechsel des Kennworts (max. 180 tage).<br />
SOS: Users with reset Passwords who have never logged On (0140)<br />
SOS: Users who have not logged On for an extended Period of time (0010)<br />
der Benutzer muss sein Kennwort jederzeit ändern können.<br />
Gemäß der SaP mindesteinstellung ist dies einmal am tag (Standardwert: 1) möglich, login/<br />
password_change_waittime.<br />
Vorschlagswert: 1, d. h. der Benutzer muss einen tag warten, bis er sein Kennwort wieder ändern<br />
darf.<br />
Kontrollziel: Erschweren des Ausprobierens von Kennworten<br />
Risiko: Kennworte fremder Benutzerkennungen können über wiederholte anmeldeversuche<br />
ausprobiert werden.<br />
die maximale anzahl der falschanmeldungen bis zum abbrechen des anmeldevorgangs ist<br />
definiert, login/ fails_to_session_end.<br />
Vorschlagswert: 3 als maximale anzahl Passwortfehlversuche bis zum abbruch des Vorgangs.<br />
die maximale anzahl der falschanmeldungen bis zur Sperre der Benutzerkennung ist bestimmt,<br />
login/fails_to_user_lock.<br />
Vorschlagswert: 5 als maximale anzahl Passwortfehlversuche bis Sperre des Benutzers.<br />
SOS: too many incorrect logon attempts allowed Before a User is locked (0133)
nr. SyStemParameter für die anmeldeKOntrOlle<br />
3.3<br />
4.<br />
4.1<br />
5.<br />
die automatische freischaltung der Benutzerkennungen, die wegen falschanmeldung gesperrt<br />
wurden, ist auf mitternacht eingeschaltet, login/failed_user_auto_unlock (Standardwert „0“).<br />
Vorschlagswert: 1,d. h. automatisches entsperren des Benutzers über nacht.<br />
hinweis: wenn es bei dieser Standardeinstellung bleibt, müssen zusätzlich die gesperrten Benutzerkennungen<br />
mit den mitteln des SaP audit logs auf auffälliges Vorkommen im zeitverlauf<br />
überwacht werden.<br />
SOS: User locks due to failed logon attempts are automatically released at midnight (0134)<br />
Kontrollziel: Verhindern von Mehrfachanmeldungen<br />
Risiko: mehrere Benutzer teilen sich eine Benutzerkennung und melden sich getrennt am SaP-<br />
System an. das ist ein Verstoß gegen die lizenzbestimmungen von SaP.<br />
mehrfachanmeldungen sind ausgeschlossen, login/disable_multi_gui_login (Standardwert: 1).<br />
Vorschlagswert: 1, d. h. mehrfache anmeldung ist nicht möglich.<br />
hinweis 1: ausnahmebenutzer wie administratoren oder notfallbenutzer, denen eine mehrfachanmeldung<br />
ermöglicht werden muss, sind unter dem Systemparameter login/multi_login_users<br />
gelistet.<br />
hinweis 2: das SaP-System protokolliert mehrfachanmeldungen in der tabelle USr41_mld.<br />
SOS: multiple logons Using the Same User id is not Prevented (0138)<br />
Kontrollziel: Die unbefugte Nutzung einer offenen <strong>SAP</strong>-Sitzung durch einen anderen als<br />
den angemeldeten Benutzer wird erschwert.<br />
Risiko: ein Kollege nutzt die abwesenheit des Benutzers, um an dessen frontend eine geöffnete<br />
SaP-Sitzung nicht autorisierte transaktionen durchzuführen.<br />
5.1 ist ein passwortgeschütztes abschalten der Bedienoberfläche des frontend aktiviert?<br />
5.2<br />
wird die möglichkeit der automatischen abmeldung der SaP-Sitzung genutzt?<br />
der Parameter rdisp/gui_auto_logout ist zweckentsprechend (ungleich „0“) gesetzt. er definiert<br />
die maximale zeit in Sekunden bei ausbleibender tätigkeit des angemeldeten Benutzers bis zum<br />
automatischen abmeldung. dies gilt nur für SaP GUi Verbindungen.<br />
SOS: interval after which inactive Users are logged Off is too long (0137).<br />
Seite 15 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 16<br />
3 Identifikation und Authentisierung (ABAP Stack)<br />
3.5 VOrSchlaGSwerte für die SyStemParameter der anmeldeKOntrOlle<br />
nr. Parameter SaP<br />
mÖGliche<br />
werte<br />
1.<br />
H<br />
SaP<br />
VOrein-<br />
StellUnG<br />
login/min_password_lng 6-40 6<br />
(statt 3)<br />
VOrSchlaGSwert<br />
6 (Kennwortmindestlänge)<br />
2. login/password_charset 0,1,2 1 1 (abwärtskompatibel)<br />
3.<br />
H<br />
4.<br />
5.<br />
H<br />
login/min_password_letters 0-40 0 1 (Kennwort muss mindestens<br />
einen Buchstabe enthalten)<br />
login/min_password_digits 0-40 0 1 (Kennwort muss mindestens<br />
eine zahl enthalten)<br />
login/min_password_specials 0-40 0 1 (Kennwort muss mindestens<br />
ein Sonderzeichen enthalten)<br />
6. login/min_password_lowercase 0-40 0 optional<br />
7. login/min_password_uppercase 0-40 0 optional<br />
8.<br />
H<br />
9.<br />
H<br />
10.<br />
H<br />
11.<br />
H<br />
login/min_password_diff 1-40 1 3 (mindestens die hälfte der<br />
minimalen Kennwortlänge)<br />
login/password_history_size 1-100 5 15 Kennworte (bei einem<br />
wechsel, der alle 90 tage<br />
erzwungen wird)<br />
login/password_max_idle_initial 0-24.000<br />
(tage)<br />
login/password_expiration_time 0-999<br />
(tage)<br />
12. login/password_max_idle_productive 0-24.000<br />
(tage)<br />
13. login/password_change_waittime 1-1000<br />
(tage)<br />
0 Gültigkeitsdauer für ein initiales<br />
Kennwort überschreitet nicht 3<br />
arbeitstage<br />
0 erzwungener wechsel des<br />
Kennworts nach höchstens 90<br />
tagen<br />
0 Gültigkeitsdauer eines nicht benutzten<br />
Kennworts höher<br />
setzen als die dauer für den<br />
erzwungenen wechsel des<br />
Kennwort<br />
1 1 (Benutzer muss einen tag<br />
warten, bis er sein Kennwort<br />
wieder ändern darf)<br />
14. login/fails_to_session_end 1-99 3 3 (maximale anzahl Passwortfehlversuche<br />
bis abbruch des<br />
Vorgangs)
nr. Parameter SaP<br />
mÖGliche<br />
werte<br />
15.<br />
H<br />
SaP<br />
VOrein-<br />
StellUnG<br />
login/ fails_to_user_lock 1-99 5<br />
(statt 12)<br />
16. login/failed_user_auto_unlock 0 oder 1 0<br />
(statt 1)<br />
VOrSchlaGSwert<br />
5 (maximale anzahl Passwortfehlversuche<br />
bis Sperre des<br />
Benutzers)<br />
1 (automatisches entsperren<br />
des Benutzers über nacht)<br />
17. login/disable_multi_gui_login 0 1 1 (mehrfache anmeldung nicht<br />
möglich)<br />
18. login/multi_login_users liste der Benutzer, für die eine<br />
mehrfachanmeldung möglich ist<br />
19. login/ password_compliance_ to_<br />
current_policy<br />
Zweck: wenn ein bereits vergebenes<br />
Kennwort nicht mehr den inzwischen<br />
geänderten Kennwortbildungsregeln<br />
entspricht, erzwingt das System eine<br />
änderung des Kennworts bei der anmeldung.<br />
20. login/ password_downwards_<br />
compatibility<br />
Zweck: dieser Parameter spezifiziert<br />
den Grad der abwärtskompatibilität<br />
z. B. der unterstützten Passwortlängen<br />
zu früheren SaP releases. details<br />
sind der technischen dokumentation<br />
zu entnehmen.<br />
21. tabelle USr40<br />
Beispieleintragungen:<br />
123456, qwertz, (oder andere zeichenfolge<br />
auf der tastatur) oder generisch<br />
*montag*, *Januar*, *Sommer*,<br />
*Passwort*, **<br />
22. rdisp/ gui_auto_logout<br />
definiert die maximale zeit in Sekunden<br />
bei ausbleibender tätigkeit des<br />
angemeldeten Benutzers bis zum automatischen<br />
abmeldung. dies gilt nur<br />
für SaP GUi Verbindungen.<br />
wenn der Parameter auf den Standardwert<br />
0 gesetzt ist, erfolgt keine<br />
automatische abschaltung.<br />
0 oder 1 0 optional<br />
Siehe<br />
SaP dokumentation<br />
Jeder<br />
numerische<br />
wert<br />
optional<br />
abfragen auf triviale Kennworte<br />
erübrigen sich, wenn bereits<br />
komplexe Passwortbildungsregeln<br />
eingestellt sind<br />
0 Optional, aber verpflichtend,<br />
wenn keine automatische<br />
frontend-Sperre eingerichtet<br />
ist (Bildschirmschoner mit Pc-<br />
Sperre)<br />
Seite 17 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 18<br />
3 Identifikation und Authentisierung (ABAP Stack)<br />
3.6 PrüfPrOGramm: GültiGKeitSzeitraUm VOn BenUtzerKennUnGen<br />
nr. PrüfPrOGramm: GültiGKeitSzeitraUm VOn BenUtzerKennUnGen<br />
wie viele Benutzer sind im mandant registriert?<br />
aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – anzahl Benutzerstammsätze<br />
oder tabelle USr02, keine auswahl vornehmen, die anzahl treffer wird oberhalb der ergebnisliste<br />
zwischen den Kopfzeilen des SaP menüs angezeigt.<br />
1.<br />
1.1<br />
1.2<br />
2.<br />
2.1<br />
Kontrollziel: Kurze Gültigkeitsdauer von Benutzerkennungen mit Initialkennwort<br />
Risiko: ein Benutzer meldet sich unter einer fremden Benutzerkennung mit bekanntem initialkennwort<br />
an.<br />
welche Benutzer haben sich noch nie angemeldet? wie lange ist der Benutzer mit initialkennwort<br />
schon angelegt?<br />
aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – auswertung<br />
nach „unbenutzt“ im feld „letzte anmeldung“<br />
oder tabelle USr02, feld „letztes login-datum“ mit „=“ auswählen. das entspricht dem feld<br />
trdat in der angezeigten liste.<br />
Benutzer mit initialkennwort müssen nach ablauf einer frist von wenigen arbeitstagen automatisch<br />
gesperrt werden. dies muss über den login-Parameter login/password_max_ idle_initial erzwungen<br />
sein.<br />
SOS: Users with initial Passwords who have never logged On (0009)<br />
SOS: Users with reset Passwords who have never logged On (0140)<br />
welche Benutzer haben seit längerer zeit ihr Passwort nicht geändert?<br />
aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – Seit 180 tagen<br />
Kennwort nicht geändert, ggf. Voreinstellung im feld „tage seit Kennwortänderung“ überschreiben.<br />
Benutzer müssen regelmäßig ihr Kennwort ändern. dies muss über den login-Parameter login/<br />
password_expiration_time erzwungen sein.<br />
SOS: Users who have not logged On for an extended Period of time (0010)<br />
Kontrollziel: Alle Benutzer sind mit einem Gültigkeitszeitraum versehen, der dem<br />
Zeitraum des notwendigen Zugriffs auf das <strong>SAP</strong>-System entspricht.<br />
Risiko: nicht mehr benötigte Benutzerkennungen werden nicht rechtzeitig erkannt und gesperrt.<br />
Sie sind anderen Benutzern bekannt, die unter dieser fremden Benutzerkennung auf das SaP-<br />
System zugreifen können, wenn ihnen das Kennwort auf welche weise auch immer bekannt geworden<br />
ist.<br />
für welche Benutzer ist kein Gültigkeitszeitraum oder ein zu weit gefasster Gültigkeitszeitraum<br />
eingetragen?<br />
aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – Benutzer<br />
nach anmeldedatum, auswertung nach feld „Gültig-Bis“<br />
oder über die tabelle USr02 ermitteln, dabei keine auswahl vornehmen, das ergebnis nach dem<br />
feld GltB, „Gültig Bis“, auswerten.<br />
abgleich mit informationen zu den mitarbeitern, die die Personalabteilung bereitstellt.<br />
ist z. B. für mitarbeiter, die auszubildende, temporäre oder externe mitarbeiter sind, ein solches<br />
Gültig-Bis-datum eingetragen, das dem befristeten arbeitsverhältnis entspricht?
nr. PrüfPrOGramm: GültiGKeitSzeitraUm VOn BenUtzerKennUnGen<br />
3.<br />
3.1<br />
4.<br />
4.1<br />
4.2<br />
4.3<br />
Kontrollziel: Besondere Zeiträume von Aktivität oder Inaktivität werden durch flexible<br />
Handhabung und unternehmensindividuelle Kennzeichnung der Sperrung einer Benutzerkennung<br />
kontrolliert.<br />
Risiko: nicht aktive Benutzerkennungen sind anderen Benutzern bekannt. diese greifen unter<br />
dieser fremden Benutzerkennung auf das SaP-System zu, wenn sie das Kennwort ausprobiert<br />
oder auskundschaftet haben.<br />
Sind unternehmensindividuelle Varianten der Sperrargumente aktiviert?<br />
tabelle USr02, feld UflaG, „User Sperre“, mit „=“ auswählen, das ergebnis nach dem inhalt<br />
von feld UflaG auswerten.<br />
Sind temporäre Sperren aufgrund bekannter befristeter abwesenheit eines mitarbeiters oder<br />
besondere Sperrkennzeichnungen für solche mitarbeiter gesetzt, die selten die Benutzerkennung<br />
benötigen. diese Benutzer haben i. d .r. gleich bleibende Berechtigungen für einen definierten, aber<br />
temporären auftrag, z. B. für aktivitäten im rahmen von messeveranstaltungen.<br />
Kontrollziel: Identifikation nicht mehr benötigter Benutzerkennungen<br />
Risiko: Benutzerkennungen ausgeschiedener Benutzer werden nicht gelöscht.<br />
welche Benutzer haben sich über einen längeren zeitraum nicht mehr angemeldet?<br />
aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – „Benutzer<br />
nach anmeldedatum“ oder „Seit 30 tagen nicht angemeldet“,<br />
auswertung nach dem feld „letzte anmeldung“<br />
oder über die tabelle USr02 ermitteln, dabei keine auswahl vornehmen, das ergebnis nach dem<br />
feld trdat, „letztes login-datum“, auswerten.<br />
abgleich mit informationen zu den mitarbeitern, die die Personalabteilung bereitstellt.<br />
Benutzerkennungen ausgeschiedener mitarbeiter sind zu löschen.<br />
SOS: Users who have not logged On for an extended Period of time (0010)<br />
welche Benutzer sind gesperrt?<br />
aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – Benutzer<br />
nach anmeldedatum,<br />
auswertung nach dem feld „Benutzer gesperrt“.<br />
Oder über tabelle USr02 ermitteln, feld UflaG, „User Sperre“, mit „=“ auswählen, das<br />
ergebnis nach dem inhalt von feld UflaG auswerten.<br />
Benutzerkennungen, die seit längerer zeit gesperrt sind, können Benutzerkennungen ausgeschie-dener<br />
mitarbeiter sein, die zu löschen sind.<br />
SOS: Profiles on long time locked Users (0089)<br />
für welche Benutzer ist der angegebene Gültigkeitszeitraum abgelaufen?<br />
aiS: System audit – Benutzer und Berechtigungen - infosystem – Benutzerübersicht – Benutzer<br />
nach anmeldedatum,<br />
auswertung nach dem feld „Gültig Bis“.<br />
Oder über die tabelle USr02 ermitteln, dabei keine auswahl vornehmen, das ergebnis nach dem<br />
feld GltB, „Gültig Bis“, auswerten.<br />
Benutzerkennungen, deren Gültigkeitszeitraum abgelaufen ist, können Benutzerkennungen<br />
ausgeschiedener mitarbeiter sein, die zu löschen sind.<br />
Seite 19 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 20<br />
3 Identifikation und Authentisierung (ABAP Stack)<br />
nr. PrüfPrOGramm: GültiGKeitSzeitraUm VOn BenUtzerKennUnGen<br />
5.<br />
5.1<br />
Kontrollziel: Benutzerkennungen sind bis auf definierte Ausnahmen personenbezogen.<br />
Risiko: Benutzerkennungen werden als Sammelbenutzer verwendet. es gibt keine organisatorische<br />
regelung, die in bestimmten fällen Sammelbenutzer zulässt, oder es gibt eine organisatorische<br />
regelung für Benutzerkennungen, der aber in der ausprägung der Benutzerkennungen<br />
nicht gefolgt wird.<br />
welche Benutzerkennungen sind nicht aufgrund des namens eines Benutzers gebildet oder folgen<br />
nicht der festgelegten namenskonvention für Benutzerkennungen?<br />
aiS: System audit – Benutzer und Berechtigungen - infosystem – Benutzerübersicht –Benutzer nach<br />
anmeldedatum, auswertung nach dem feld „Benutzer“<br />
oder über die tabelle USr02 ermitteln, dabei keine auswahl vornehmen, das ergebnis nach dem feld<br />
Bname, Benutzername“, auswerten.<br />
manuelles durchsuchen der liste auf Bezeichnungen wie azUBi, werK-StUdent, laGer, teSt,<br />
teStUSer.<br />
Benutzerkennungen, die nicht der namenskonvention folgen, können z. B. nicht autorisierte<br />
Sammelbenutzerkennungen sein.<br />
3.7 PrüfPrOGramm: Sichere KOnfiGUratiOn BeSOnderer BenUtzertyPen<br />
üBerSicht üBer initiale anmeldUnG für SOnderBenUtzer in SaP-mandanten:<br />
Mandant 000/001 000/001 066 Neuer Mandant<br />
Benutzer SaP* ddic earlywatch SaP*<br />
Initiales Kennwort nicht mehr nicht mehr support pass<br />
Kennwort im<br />
früheren Release<br />
06071992 19920706<br />
nr. Sichere KOnfiGUratiOn BeSOnderer BenUtzertyPen<br />
1.<br />
H<br />
1.1<br />
Kontrollziel: Schutz der Sonderbenutzer vor nicht autorisiertem Zugriff<br />
Risiko: Jeder kann anonym die SaP-Standardbenutzer SaP* und early watch über die bekannten<br />
Standardkennwörter aufrufen und darunter nicht autorisierte aktionen durchführen. mit SaP*<br />
können z. B. SaP interne Kontrollen unterlaufen und SaP interne zwangsprotokolle manipuliert<br />
werden.<br />
hinweis: in den mandanten 000 und 001 wird bei der installation automatisch ein Benutzerstammsatz<br />
erzeugt. es wird gefordert, ein individuelles Kennwort für SaP* und ddic zu vergeben. das<br />
Kennwort beider Standardbenutzer ist nicht mehr automatisch auf das Standardkennwort aus<br />
dem Jahr 1992 gesetzt.<br />
Sind in jedem mandant die Standardkennwörter aller SaP Standardbenutzer geändert?<br />
aiS: System audit – top ten Security reports – Kennworte der Standardbenutzer prüfen<br />
report rSUSr003.<br />
wenn die Prüferrolle diesen report nicht zulässt, muss der Prüfer einen der zugelassenen<br />
Systemadministratoren in seinem Beisein den report ausführen lassen und das ergebnis sofort<br />
prüfen.<br />
SOS: User earlywatch has default Password (0056)
nr. Sichere KOnfiGUratiOn BeSOnderer BenUtzertyPen<br />
1.2<br />
1.3<br />
1.4<br />
1.5<br />
1.6<br />
ist der Benutzer SaP* gegen unbefugte nutzung geschützt (SaP-hinweise 2 383 und 68 048)?<br />
Sämtliche Berechtigungen im Benutzerstammsatz SaP* werden gelöscht.<br />
> der Benutzerstammsatz SaP* wird gesperrt.<br />
> der Benutzerstammsatz SaP* wird der Gruppe SUPer zugeordnet.<br />
> es wird über die Setzung des Systemparameters login/no_automatic_user_sapstar auf den<br />
wert 1 verhindert, dass nach löschung des Benutzers SaP* (mit Benutzerstammsatz) der<br />
systeminterne Benutzer SaP* mit dem unveränderbaren Standardkennwort PaSS aufgerufen<br />
werden kann.<br />
> für die Systemadministration wird ein notfallbenutzer mit umfassenden Berechtigungen angelegt.<br />
SOS: User SaP* is neither locked nor expired (0043)<br />
SOS: User SaP* is not assigned to the Group SUPer (0044)<br />
SOS: Usage of the hard coded User SaP* is nOt disabled (0046)<br />
ist der Benutzer SaP* in allen mandanten ohne Berechtigungen angelegt und gesperrt?<br />
aiS: System audit – Benutzer und Berechtigungen - infosystem – Benutzer – Benutzer nach komplexen<br />
Selektionskriterien, Selektion nach Benutzer SaP*, nach anzeige des ergebnisses im auswahlmenü<br />
„rollen“ oder „Profile“ anklicken.<br />
SOS: not all Profiles are removed from User SaP* (0042)<br />
SOS: User SaP* is neither locked nor expired (0043)<br />
Sind die Benutzer SaP* und ddic in allen mandanten der Benutzergruppe SUPer zugeordnet?<br />
aiS: System audit – Benutzer und Berechtigungen - infosystem – Benutzer –Benutzer nach komplexen<br />
Selektionskriterien, Selektion nach Benutzern SaP*, ddic.<br />
SOS: User SaP* is not assigned to the Group SUPer (0044)<br />
welche Benutzer- und Berechtigungsadministratoren dürfen die Benutzergruppe SUPer pflegen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SU01<br />
S_USer_GrP (Benutzerverwaltung) mit aktivität 01 (anlegen), 02 (ändern) oder „*“ und Gruppe =<br />
„*“ oder = „SUPer“.<br />
SOS: Unexpected Users are authorized to change a Super User account (0026)<br />
ist der Parameter login/no_automatic_user_sapstar auf den wert 1 gesetzt?<br />
hinweis 1: mit hilfe diese Parameters kann verhindert werden, dass sich jemand nach dem<br />
löschen des Benutzerstammsatzes für SaP* dann unter dem systeminternen automatischen<br />
Benutzer SaP* mit dem unveränderbaren Kennwort PaSS anmelden kann (wert 1). wenn es bei<br />
der Standardeinstellung (wert 0) bleibt, ist immer ein erneutes anmeldung unter diesem<br />
systeminternen Benutzer SaP* möglich.<br />
hinweis 2: Soll der systeminterne automatische Benutzer SaP* wieder aktiviert werden, muss<br />
erst dieser Parameter zurückgesetzt und das System wieder gestartet werden.<br />
SOS: Usage of the hard coded User SaP* is not disabled (0046)<br />
SOS: User SaP* has Been deleted at least in One client (0045).<br />
Seite 21 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 22<br />
3 Identifikation und Authentisierung (ABAP Stack)<br />
nr. Sichere KOnfiGUratiOn BeSOnderer BenUtzertyPen<br />
2.<br />
2.1<br />
2.2<br />
2.3<br />
2.4<br />
3.<br />
3.1<br />
3.2<br />
Kontrollziel: Sichere Nutzung des Konzeptes der Referenzbenutzer<br />
Risiko: Benutzerkennungen vom typ referenz haben Berechtigungen, die die Prinzipien der<br />
Berechtigungsvergabe verletzen (forderung nach geringstem Berechtigungsumfang; einhaltung<br />
der funktionstrennung).<br />
welche Benutzerkennungen sind referenzbenutzer (Benutzertyp „l“)?<br />
aiS: System audit – Benutzer und Berechtigungen - infosystem – Benutzerübersicht –Benutzer<br />
nach anmeldedatum, Selektion nach Benutzertyp „referenzbenutzer“.<br />
welche rollen und Profile sind den referenzbenutzern zugeordnet?<br />
aiS: System audit – Benutzer und Berechtigungen - infosystem – Benutzer –Benutzer nach komplexen<br />
Selektionskriterien, Selektion nach Benutzertyp „referenzbenutzer“, nach anzeige des ergebnisses<br />
im auswahlmenü „rollen“ oder „Profile“ anklicken.<br />
auch referenzbenutzer dürfen nur Berechtigungen haben, die für den arbeitsplatz notwendig<br />
sind. es darf keine referenzbenutzer mit weit gefassten Berechtigungen, z. B. eines Superusers,<br />
geben.<br />
welchen Benutzern sind referenzbenutzer zugeordnet?<br />
aiS: System audit – Benutzer und Berechtigungen - infosystem – Benutzer – Benutzer nach komplexen<br />
Selektionskriterien, liste der referenzbenutzer im feld „referenzbenutzer“ eingeben.<br />
welchen Benutzern sind nicht-referenzbenutzer als referenz zugeordnet?<br />
aiS: System audit – Benutzer und Berechtigungen - infosystem – Benutzer – Benutzer nach komplexen<br />
Selektionskriterien, Selektion auf „nicht gleich“ im feld „referenzbenutzer“, in<br />
der ergebnisliste die nicht-referenzbenutzer ermitteln.<br />
hinweis: die zuordnung eines „normalen“ Benutzers als referenzbenutzer kann über einen<br />
eintrag im customizing grundsätzlich verhindert werden (SaP-hinweis 513 694).<br />
SOS: Usage of ‚normal‘ Users as reference Users is not Prohibited (0012)<br />
wird die zuordnung von referenzbenutzern protokolliert?<br />
aiS: System audit – repository / tabellen - tabellenaufzeichnungen – technische tabelleneinstellungen,<br />
letzte zeile in der anzeige zur tabelle USrefUS.<br />
Kontrollziel: Sichere Nutzung des Konzeptes der Benutzer vom Typ Service<br />
Risiko: Benutzerkennungen vom typ referenz haben Berechtigungen, die die Prinzipien der Berechtigungsvergabe<br />
verletzen (forderung nach geringstem Berechtigungsumfang; einhaltung der<br />
funktionstrennung).<br />
welche Benutzerkennungen sind Servicebenutzer (Benutzertyp „S“)?<br />
aiS: System audit – Benutzer und Berechtigungen - infosystem – Benutzerübersicht –Benutzer<br />
nach anmeldedatum, Selektion nach Benutzertyp „Servicebenutzer“.<br />
welche rollen und Profile sind den referenzbenutzern zugeordnet?<br />
aiS: System audit – Benutzer und Berechtigungen - infosystem – Benutzer –Benutzer nach<br />
komplexen Selektionskriterien, Selektion nach Benutzertyp „referenzbenutzer“, nach anzeige des<br />
ergebnisses im auswahlmenü „rollen“ oder „Profile“ anklicken.<br />
auch Servicebenutzer dürfen nur Berechtigungen haben, die für die funktion notwendig sind. es
nr. Sichere KOnfiGUratiOn BeSOnderer BenUtzertyPen<br />
4.<br />
4.1<br />
4.2<br />
4.3<br />
4.4<br />
Kontrollziel: Sichere Nutzung des Konzeptes der Benutzergruppe<br />
Risiko: alle Benutzeradministratoren können einzelne Benutzer pflegen. es kann zu nicht autorisierten<br />
Berechtigungsvergaben kommen.<br />
hinweis: über die zuordnung eines Benutzers zu einer Benutzergruppe kann gesteuert werden,<br />
welche Benutzeradministratoren diesen Benutzer pflegen können. wenn dieser Sicherheitsmechanismus<br />
genutzt wird, muss darauf geachtet werden, dass alle Benutzer auch einer Benutzergruppe<br />
zugeordnet werden.<br />
hinweis: eine übersicht über die existierenden Benutzergruppen geben die tabellen USGrP(t).<br />
welche Benutzerkennungen sind keiner Benutzergruppe zugeordnet?<br />
aiS: System audit – Benutzer und Berechtigungen - infosystem – Benutzerübersicht – Benutzer<br />
nach anmeldedatum, Selektion auf „Gleich“ im feld „Benutzertyp (allgemein)“.<br />
wenn der Sicherheitsmechanismus der Benutzergruppe konsequent angewendet ist, darf es<br />
keine Benutzer ohne eine Benutzergruppe geben.<br />
SOS: Users are nOt assigned to User Groups (0005)<br />
wer kann Benutzergruppen anlegen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SUGr<br />
S_USer_GrP (Benutzerverwaltung) mit aktivität „*“ oder 01 (anlegen) und Gruppe = „*“ oder =<br />
Gruppennamen.<br />
wer kann Benutzergruppen ändern?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SU01<br />
S_USer_GrP (Benutzerverwaltung) mit aktivität „*“ oder 02 (ändern) und Gruppe = „*“ oder =<br />
Gruppennamen.<br />
wie sind Benutzergruppen für administratoren eingerichtet?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SU01<br />
S_USer_GrP (Benutzergruppen) mit aktivität „*“ oder 02 (ändern) und Gruppe = „*“ oder =<br />
„dieselbe Gruppe, die der Benutzeradministrator angehört“<br />
über die zuordnung der Benutzergruppe muss verhindert werden, dass ein administrator dem<br />
eigenen Benutzerstammsatz rollen/Profile zuweisen kann. auch die änderung der Benutzergruppen<br />
zuweisung darf im eigenen Benutzerstammsatz nicht möglich sein.<br />
SOS: User administrators are authorized to change their Own User master record (0003)<br />
Seite 23 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 24<br />
3 Identifikation und Authentisierung (ABAP Stack)<br />
3.8 PrüfPrOGramm: üBerwachUnG der wirKSamKeit deS zUGriffSSchUtzeS<br />
nr. üBerwachUnG der wirKSamKeit deS zUGriffSSchUtzeS<br />
1.<br />
1.1<br />
1.2<br />
Kontrollziel: Die Zugriffe auf das <strong>SAP</strong>-System werden regelmäßig überwacht. Es ist definiert,<br />
was auffällige Ereignissen sind. Sicherheitsverstöße werden bei Verdacht auf Missbrauch<br />
untersucht.<br />
Risiko: Sicherheitsereignisse, die aufgrund fehlender oder falsch eingestellter sicherheitsrelevanter<br />
Parameter auftreten, werden nicht erkannt. ein Sicherheitsverstoß oder missbrauch eines<br />
Benutzers wird nicht zeitnah erkannt. Bei dem Verdacht auf missbrauch kann im nachhinein nicht<br />
mehr auf automatisch erfolgte Systemaufzeichnungen zurückgegriffen werden, die zur<br />
aufklärung des Vorgangs oder Verfolgung der täter dienen können.<br />
Kontrollfragen zum Prozess:<br />
> ist dokumentiert, dass das SaP Security audit log aktiviert werden muss und welche mindesteinstellungen<br />
dabei vorgenommen werden müssen?<br />
> ist definiert, wer für die einrichtung und änderung der einstellungen des SaP Security audit<br />
logs und das löschen der Protokolldateien zuständig ist?<br />
> Gibt es einen definierten Prozess für die auswertung und überwachung der ereignisse,<br />
die über das SaP Security audit log aufgezeichnet werden?<br />
> Gibt es eine Vorgabe, wie lange die Protokolldateien im System vorgehalten werden müssen,<br />
z. B. um nachträglich noch recherchen zu Sicherheitsereignissen durchführen zu können, die<br />
erst später und auf anderem wege bekannt geworden sind<br />
ist das SaP Security audit log aktiviert? welche Benutzer, welche audit-Klassen, welche ereignisse<br />
werden protokolliert?<br />
aiS: System audit – Systemprotokolle und Statusanzeigen– Security-audit-log<br />
oder<br />
transaktion Sm19<br />
SOS: Security critical events for end Users are not logged in the Security audit log (0136)<br />
empfehlung 1:<br />
Kritische ereignisse bei den folgenden audit-Klassen<br />
• Dialog-Anmeldung<br />
• RFC- /CPIC-Anmeldung<br />
• RFC-Funktionsaufruf<br />
werden für alle Benutzer in allen mandanten protokolliert.<br />
empfehlung 2:<br />
alle ereignisse aller audit-Klassen werden für alle notfallbenutzer protokolliert.<br />
empfehlung 3:<br />
alle ereignisse aller audit-Klassen werden für alle dialogbenutzer in der Benutzergruppe SUPer<br />
protokolliert<br />
wer darf das SaP Security audit log aktivieren und die einstellungen dazu ändern?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm19<br />
S_admi_fcd (Systemberechtigung) mit funktion aUda (audit administration)<br />
S_c_fUnct (direkter aufruf von c-Kernel funktionen aus aBaP) mit aktivität „16“ (ausführen“<br />
und Programmname „SaPlSecU“ und c-routine „aUdit_Set_infO“.<br />
diese Berechtigung ist im Produktivsystem nur für Systemadministratoren zulässig.
nr. üBerwachUnG der wirKSamKeit deS zUGriffSSchUtzeS<br />
1.3<br />
1.4<br />
2.<br />
2.1<br />
2.2<br />
2.3<br />
2.4<br />
wer darf die Protokolldateien des SaP Security audit log auswerten?<br />
S_tcOde = Sm20<br />
S_admi_fcd (Systemberechtigung) mit funktion aUdd (audit anzeige.<br />
diese Berechtigung ist im Produktivsystem nur Systemadministratoren und für die mitarbeitern<br />
zulässig, die für die aufgabe der überwachung und auswertung der ereignisse zuständig sind.<br />
wer darf die Protokolldateien des SaP Security audit log löschen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm18 oder Sa38 oder Se38 (report rSaUPUrG)<br />
S_admi_fcd (Systemberechtigung) mit funktion aUda (audit administration) und St0r (auswerten<br />
von traces)<br />
S_dataSet (Berechtigung zum dateizugriff) mit aktivität „34“ und Programmname „SaPl-StUw“ und<br />
dateiname (Pfad gemäß der angabe zu dem Profilparameter dir_aUdit, in dem die Protokolldateien<br />
gespeichert sind.).<br />
diese Berechtigung ist im Produktivsystem nur für Systemadministratoren zulässig.<br />
Kontrollziel: Aufdecken von Versuchen, das Kennwort einer Benutzerkennung auszuprobieren.<br />
Risiko: ein Benutzer versucht das Kennwort eines anderen Benutzers systematisch auszuprobieren.<br />
zu welchen Benutzerkennungen ist eine hohe anzahl von falschanmeldungen registriert?<br />
aiS: System audit – Benutzer und Berechtigungen - infosystem – Benutzerübersicht – Benutzer<br />
nach anmeldedatum, Selektion auf „Benutzer mit falschanmeldungen“.<br />
welche Benutzerkennungen, die seit langem inaktiv sind, haben eine Sperre wegen falschanmeldung?<br />
aiS: System audit – Benutzer und Berechtigungen - infosystem – Benutzerübersicht – Benutzer<br />
nach anmeldedatum, Selektion auf „Benutzer mit falschanmeldungen“.<br />
Prüfung auf anmeldefehler mit dem SaP Security audit log:<br />
transaktion Sm20, auswahl „alle entf. auditlogs“, „von datum“ und „bis datum“ eingeben,<br />
wechsel in den expertenmodus über den menüpunkt „Bearbeiten – expertenmodus“, einschränkung<br />
zum Beispiel auf folgende meldungen:<br />
> aU0, aU2, fehlgeschlagenes login<br />
> aUm, Benutzer wurde nach falschanmeldungen gesperrt<br />
> aUn, Benutzersperre wegen falschanmeldungen wurde wieder aufgehoben.<br />
die angezeigten Protokollsätze sind auf auffällige zeitliche häufungen bei einer Benutzerkennung zu<br />
untersuchen. detailinformationen können durch doppelklick auf die einzelmeldungen angezeigt werden.<br />
hinweis: die texte zu allen meldekennungen sind in der tabelle tSl1t hinterlegt. die für die<br />
Protokolldateien des SaP Security audit log relevanten meldekennungen beginnen mit aU.<br />
Prüfung auf anmeldefehler mit dem Systemlog:<br />
transaktion Sm21, auswahl „alle entf. Syslogs“, „von datum“ und „bis datum“ eingeben, wechsel in<br />
den expertenmodus über den menüpunkt „Bearbeiten – expertenmodus“, über die Schaltfläche<br />
„meld.kennungen“ z. B. auf folgende meldungen einschränken:<br />
> US1 „ein Benutzer wurde auf Grund von falschanmeldungen gesperrt.“<br />
> US3 „es wurde versucht, sich mit einem gesperrten Benutzer anzumelden.“<br />
hinweis: die texte zu allen meldekennungen sind in der tabelle tSl1t hinterlegt.<br />
Seite 25 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 26<br />
4 Autorisierung (ABAP-Stack)<br />
4.1 BerechtiGUnGSVerGaBe<br />
der zugriff eines Benutzers auf die funktionen und daten des SaP-Systems wird über Berechtigungen frei<br />
geschaltet. dabei gelten zwei Vergabegrundsätze:<br />
> nach dem ersten Grundsatz der Berechtigungsvergabe dürfen die Berechtigungen eines Benutzers nur<br />
diejenigen Sichten und funktionen für die daten freigeben, die er zur erfüllung der tätigkeiten an<br />
seinem arbeitsplatz benötigt. dies wird als das Prinzip des geringsten Berechtigungsumfangs, im<br />
englischen Sprachgebrauch als „least privilege“ bezeichnet.<br />
> der zweite Grundsatz der Berechtigungsvergabe fordert, dass funktionen, die zu einer unerwünschten<br />
Kummulierung der rechte führen würden, nicht an die gleiche Person vergeben werden dürfen. dieses<br />
Prinzip der funktionstrennung hilft, missbrauch und betrügerische handlungen zu verhindern.<br />
im englischen Sprachgebrauch wird es „principle of segregation of duties“, kurz Sod, genannt.<br />
für das Unternehmen leiten sich beide Vergabegrundsätze aus den forderungen des internen Kontrollsystem<br />
ab. Unternehmen müssen aus eigenem interesse ein internes Kontrollsystem einrichten, warten,<br />
überwachen und kontinuierlich optimieren.<br />
4.2 riSiKen<br />
die risiken liegen in der mangelhaften Umsetzung des geforderten internen Kontrollsystems, das<br />
unternehmensindividuell über die Vergabe von Berechtigungen zu realisieren ist:<br />
> die Prüfbarkeit des Benutzers- und Berechtigungskonzeptes ist nicht gewährleistet. das Berechtigungs<br />
konzept genügt nicht den gesetzlichen und unternehmensinternen anforderungen. es ist nicht dokumentiert.<br />
> wesentliche interne Kontrollen fehlen in der Benutzer- und Berechtigungsverwaltung. Organisatorische<br />
oder technische Schwachstellen ermöglichen ein Unterlaufen der beabsichtigten internen Kontrollen.<br />
> Universelle Berechtigungen und sicherheitskritische Systemeinstellungen werden nach dem Produktiv-<br />
einsatz im SaP-System belassen, obwohl sie SaP ausschließlich nur für die Phase der implementierung<br />
oder des release-wechsels vorgesehen hat. im Produktivsystem gefährden sie aber Systemintegrität<br />
und den ordnungsmäßigen Betrieb.<br />
> Kritische Berechtigungen, die gegen gesetzliche und unternehmensinterne regelungen verstoßen<br />
(internes Kontrollsystem), werden ohne restriktionen vergeben. es ist nicht untersucht worden, welche<br />
Berechtigungen als kritisch einzuordnen sind. die besonderen Bedingungen sind nicht festgelegt, unter<br />
denen sie zu vergeben sind.<br />
> technische Konzepte, die das SaP-System zur ausprägung und Prüfung von Berechtigungen bereitstellt,<br />
werden nicht konsequent genutzt. Beispiele sind Berechtigungsgruppen von tabellen und Programmen<br />
oder Berechtigungsprüfungen in selbst entwickelten Programmen. Somit werden Sicherheitslücken in<br />
Kauf genommen, die die manipulation an kritischen Systemeinstellungen oder an Geschäftsdaten<br />
zulassen.<br />
> die eingerichteten Benutzerkennungen und die vergebenen Berechtigungen werden nicht regelmäßig<br />
geprüft und bestätigt. möglicher missbrauch einzelner Benutzerkennungen durch fremde Benutzer oder<br />
durch einen Benutzer, der im zeitlauf mit umfangreichen Berechtigungen ausgestattet wurde, wird nicht<br />
verhindert.
4.3 KOntrOllziele<br />
die Kontrollziele beziehen sich in der regel auf die effektive und effiziente Gestaltung der Prozesse der<br />
Benutzer- und Berechtigungsverwaltung:<br />
> ein dokumentiertes Berechtigungskonzept liegt vor, das die gesetzlichen und unternehmensinternen<br />
anforderungen erfüllt.<br />
> die Organisation der Benutzer- und Berechtigungsverwaltung ist auch im SaP-System durch angemes-<br />
sene autorisierung der dafür vorgesehenen mitarbeiter gewährleistet. insbesondere ist die funktions-<br />
trennung abgebildet.<br />
> Universelle SaP-Standardprofile, die nur für die implementierung und den release-wechsel bereitge-<br />
stellt sind, sind gelöscht oder durch unternehmensspezifische Berechtigungen abgelöst.<br />
> Kritische Berechtigung sind identifiziert und die restriktionen dokumentiert, unter denen sie zu ver-<br />
geben sind.<br />
> das in einzelfällen notwendige aufheben der von SaP vorgesehenen Sicherheitseinstellungen ist<br />
autorisiert und dokumentiert (Konzept des notfallbenutzers).<br />
> Sicherheitskritische funktionen werden nur restriktiv und kontrolliert vergeben.<br />
> Prozesse zur ausprägung von Berechtigungsgruppen und zur Prüfung von Berechtigungen in<br />
Programmen sind definiert und wirksam.<br />
> die Benutzer- und Berechtigungsverwaltung wird regelmäßig überwacht und die Prozesse dazu geprüft<br />
und optimiert.<br />
4.4 PrüfPrOGramm: dOKUmentierteS BerechtiGUnGS- Und BenUtzerKOnzePt<br />
nr. inhalte eineS dOKUmentierten BerechtiGUnGS- Und BenUtzerKOnzePteS<br />
H<br />
Kontrollziel: Die Dokumentation des Berechtigungs- und Benutzerkonzeptes erfüllt die<br />
Mindestanforderungen.<br />
Risiko: Gesetzliche anforderungen an die dokumentation und Prüfbarkeit sind nicht erfüllt. die<br />
wirksamkeit eines Berechtigungs- und Benutzerkonzeptes kann nur geprüft werden, wenn das<br />
Sollkonzept dokumentiert ist<br />
1. Vorgaben für die Konfiguration von authentisierung und autorisierung<br />
1.1 Gibt es Vorgaben, wie die Profilparameter für die anmeldekontrollen gesetzt sein müssen?<br />
1.2 Gibt es Vorgaben, welche angaben in Benutzerstammsätze obligatorisch und welche optional sind?<br />
1.3 Gibt es Vorgaben, wie die Profilparameter für die autorisierung gesetzt sein müssen?<br />
1.4<br />
Gibt es Vorgaben, wie die obligatorischen und optionalen Berechtigungsprüfungen genutzt werden<br />
müssen? (inaktivsetzen von Prüfkennzeichen, Berechtigungsprüfung bei eigenentwickelten Programmen)<br />
1.5 Gibt es Vorgaben, wie der SaP Profilgenerator und seine optionalen rollenkonzepte zu nutzen sind?<br />
1.6 Gibt es Vorgaben zur Konfiguration und nutzung der zentralen Benutzerverwaltung?<br />
1.7 Gibt es Vorgaben, wie das „Security audit log“ zu konfigurieren und zu überwachen ist?<br />
Seite 27 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 28<br />
4 Autorisierung (ABAP-Stack)<br />
nr. inhalte eineS dOKUmentierten BerechtiGUnGS- Und BenUtzerKOnzePteS<br />
2. Dokumentation der Vorgehensweise für die Erstellung des Berechtigungskonzeptes<br />
2.1 Gibt es eine übersicht über Geschäftsprozess-Verantwortliche/dateneigentümer?<br />
2.2<br />
2.3<br />
2.4<br />
Gibt es Vorgaben für die ausprägung des Berechtigungskonzeptes?<br />
> zugriffselemente: rollen, Profile, Berechtigungen<br />
> namenskonventionen<br />
> top-down- oder Bottom-Up-ansatz<br />
> mehrfachverwendung und einzelverwendung von zugriffselementen (rollen, Profile)<br />
Sind folgende dokumente aus dem implementierungsprojekt verfügbar:<br />
> definition der arbeitsplätze<br />
> definition der zugriffselemente (rollen, Profile) und<br />
> die zuordnung von arbeitsplätzen zu zugriffselementen nach einer autorisierungs- oder<br />
arbeitsplatzmatrix?<br />
wurden im implementierungsprojekt die für die arbeitsplätze vergebenen Berechtigungen in der<br />
3-Systeme landschaft getestet und freigegeben? Gibt es zum testergebnis und der freigabe ein<br />
abnahmeprotokoll?<br />
3. Dokumentation des Antrags- und Vergabeverfahrens für Benutzer und Berechtigungen<br />
3.1<br />
3.2<br />
Berücksichtigt das antrags- und Vergabeverfahren die folgenden vier Phasen: antrag, freigabe,<br />
durchführung und Bestätigung?<br />
Sind für jede Phase die zuständigkeiten, aufgaben, Kontroll- und freigabeschritte definiert?<br />
Gibt es insbesondere Vorgaben für Kontrollen bei änderungen eines existierenden Benutzerstammsatzes:<br />
werden die Benutzerstammsätze hinsichtlich ihrer autorisierung und Systemzugriffe<br />
überprüft, insbesondere wenn ein Benutzer die abteilung wechselt oder das Unternehmen<br />
verlassen hat?<br />
4. Dokumentation der Benutzer- und Berechtigungsverwaltung<br />
4.1<br />
5.<br />
5.1<br />
ist die Organisation der Benutzer- und Berechtigungsverwaltung dokumentiert? Sind dabei die<br />
folgenden dimensionen der möglichen ausprägung festgelegt:<br />
> dezentrale oder zentrale administration<br />
> administration nach abteilungen, modulen, transaktionen<br />
> zuständigkeit für entwicklung, test, freigabe und Produktivsetzung in der 3-Systeme landschaft.<br />
Dokumentation der Prüfung auf Verletzungen der Anforderungen des internen Kontrollsystems<br />
ist dokumentiert, auf welche weise die anforderungen des internen Kontrollsystems bei der<br />
ausprägung von zugriffselementen (rollen, Profile) zu berücksichtigen sind, insbesondere das<br />
Prinzip der funktionstrennung?
nr. inhalte eineS dOKUmentierten BerechtiGUnGS- Und BenUtzerKOnzePteS<br />
5.2<br />
5.3<br />
ist das Verfahren dokumentiert, wie die regeln auf einhaltung von funktionstrennung vorgegeben,<br />
freigegeben und im SaP-System als automatische Prüfregeln eingesetzt werden?<br />
ist das Verfahren dokumentiert, wie die vom SaP-System erkannten Verstöße gegen die<br />
funktionstrennung behandelt und die betreffenden Konflikte gelöst werden?<br />
6. Dokumentation der Unterstützung durch zusätzliche Produkte<br />
6.1<br />
6.2<br />
ist der einsatz von SaP workflows zur Unterstützung des antrags- und Vergabeverfahrens sowie<br />
der Benutzer- und Berechtigungsverwaltung dokumentiert?<br />
ist der einsatz von Produkten von drittanbietern zur Unterstützung des antrags- und Vergabeverfahrens<br />
sowie der Benutzer- und Berechtigungsverwaltung dokumentiert?<br />
4.5 PrüfPrOGramm: nOtfallBenUtzerKOnzePt (aBaP StacK)<br />
nr. nOtfallBenUtzerKOnzePt<br />
1.<br />
1.1<br />
1.2<br />
1.3<br />
Kontrollziel: Absicherung des Notfallbenutzers<br />
Risiko:<br />
> es gibt keinen notfallbenutzer: Systemadministratoren arbeiten im normalbetrieb unter dem<br />
Standardbenutzer SaP* oder zwar unter einem eigens eingerichteten Benutzer, aber mit der<br />
universalen Superuser-Berechtigung SaP_all.<br />
> es gibt einen eigenen notfallbenutzer mit der universalen Superuser-Berechtigung SaP_all, den<br />
sich die Systemadministratoren teilen und der jederzeit unkontrolliert eingesetzt werden kann.<br />
ist für den notfall mindestens eine Benutzerkennung eingerichtet,<br />
> die nicht der Standardbenutzer SaP* ist,<br />
> die die notwendigen weitreichenden Berechtigungen hat,<br />
> die mit einem komplexen Kennwort ausgestattet ist,<br />
> deren Kennwort an einem sicheren Ort zugriffsgeschützt aufbewahrt wird,<br />
> wobei der zugriff auf das Kennwort im Vier-augen-Prinzip erfolgen muss?<br />
werden aktionen unter dem notfallbenutzer dokumentiert mindestens unter angabe<br />
> des Grundes<br />
> des zeitraums<br />
> der darunter tätigen Personen<br />
> der tätigkeiten, die damit durchgeführt wurden.<br />
werden für einen notfallbenutzer über das SaP Security audit log alle ereignisse aller audit-<br />
Klassen zwangsprotokolliert?<br />
1.4 wird nach der notfallaktion das Kennwort des notfallbenutzers geändert?<br />
Seite 29 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 30<br />
4 Autorisierung (ABAP-Stack)<br />
4.6 PrüfPrOGramm: nUtzUnG KritiScher SaP StandardPrOfile/-rOllen<br />
nr. nUtzUnG KritiScher SaP StandardPrOfile/-rOllen<br />
1.<br />
1.1<br />
Kontrollziel: Einschränkung der Nutzung der kritischen universellen <strong>SAP</strong> Standardprofile/-rollen<br />
Risiko: Verlust der Vertraulichkeit, Verlust der integrität der daten und des SaP-Systems, Verlust<br />
der Verfügbarkeit.<br />
auf dem Produktivsystem werden – entgegen den eindeutigen Sicherheitsempfehlungen des herstellers<br />
SaP - nach inbetriebnahme weiterhin die sicherheitskritischen SaP Standardprofile vergeben<br />
- nach dem motto „Simplicity over Security“:<br />
> an externe dienstleister, z. B. für Beratung, technische Unterstützung, wartung,<br />
> an interne Systemadministratoren,<br />
> an Benutzer aus der fachabteilung.<br />
damit werden das gesetzlich geforderte unternehmensinterne interne Kontrollsystem und das<br />
SaP interne Sicherheitskontrollsystem unterlaufen. Ordnungsmäßigkeitsanforderungen werden<br />
verfehlt.<br />
an welche Benutzer ist SaP_all vergeben?<br />
aiS: System audit – Benutzer und Berechtigungen - infosystem – Benutzer – Benutzer nach komplexen<br />
Selektionskriterien, Selektion nach Profil SaP_all.<br />
wie ist die Vergabe und nutzung des Standardprofils SaP_all organisatorisch geregelt?<br />
das Profil SaP_all ist im Produktivsystem nicht zulässig. SaP empfiehlt, dieses Profil nur dem<br />
notfallbenutzer zuzuweisen.<br />
hinweis 1: dieses Sammelprofil enthält alle SaP-Berechtigungen. ein Benutzer mit diesem Profil<br />
kann im SaP-System alle aufgaben durchführen.<br />
risiko: Benutzer manipulieren unter dem höchst privilegierten SaP Standardprofil SaP_ all<br />
beliebige Geschäftsdaten, deaktivieren installierte SaP interne Kontrollen oder sicherheitsrelevante<br />
Systemeinstellungen oder löschen die Systemaufzeichnungen der aktivitäten, um die Spuren erfolgter<br />
manipulationen zu beseitigen.<br />
hinweis 2: anstatt das Profil SaP_all zu benutzen, können die darin enthaltenen Berechtigungen<br />
auf die entsprechenden funktionen verteilt werden. es sollte z. B. dem Systemadministrator nicht<br />
die Berechtigung SaP_all zugewiesen werden, sondern nur die für die Systemverwaltung<br />
erforderlichen Berechtigungen, also die S_*-Berechtigungen. dies berechtigt ihn zur Verwaltung<br />
des gesamten SaP-Systems, er kann damit jedoch keine aufgaben in anderen Bereichen, z. B. in<br />
anwendungen, durchführen.<br />
hinweis 3: es ist zu prüfen, ob rollen oder Profile mit Berechtigungsumfängen analog SaP_all<br />
existieren.<br />
SOS: Users with the most full access authorizations (* field Values) (0027)<br />
SOS: Users with the most roles (0028)<br />
SOS: 20% or max 30% of all Users that have for the most Profiles (0029)
nr. nUtzUnG KritiScher SaP StandardPrOfile/-rOllen<br />
1.2<br />
1.3<br />
an welche Benutzer ist SaP_new vergeben?<br />
aiS: System audit – Benutzer und Berechtigungen - infosystem – Benutzer – Benutzer nach komplexen<br />
Selektionskriterien, Selektion nach Profilen der form SaP_new*.<br />
aiS: System audit – Benutzer und Berechtigungen - infosystem – Profile – Profile nach Profilnamen,<br />
Selektion nach Profilen der form SaP_new*.<br />
eine lange liste von SaP_new-Profilen, z. B. nach mehreren Upgrades, ist ein zeichen<br />
dafür, dass das Berechtigungskonzept zu überarbeiten und neu festzusetzen ist.<br />
wie ist die Vergabe und nutzung des SaP Standardprofils SaP_new organisatorisch geregelt?<br />
das Profil SaP_new ist im Produktivsystem nicht zulässig.<br />
SaP empfiehlt, die SaP_new_* Profile nach einem Upgrade aufzulösen und die benötigten<br />
teilberechtigungen zu verteilen sowie SaP_new zu löschen.<br />
hinweis 1: dieses Sammelprofil enthält alle Profile, die mit einem release neu hinzukommen.<br />
nach jedem release-wechsel benötigt man dieses Profil, damit bestimmte aufgaben problemlos<br />
ablaufen können.<br />
risiko: Benutzer missbrauchen die privilegierten Berechtigungen des SaP Standardprofils SaP_<br />
new und führen nicht autorisierte aktivitäten durch.<br />
SaP empfiehlt im einzelnen:<br />
> nach dem Upgrade die SaP_new_*-Profile für releases vor der einführung des Berechtigungskonzepts<br />
zu löschen,<br />
> die SaP_new_*-Profile für releases zu löschen, in denen bereits die darin enthaltenen Profile<br />
verteilt worden sind,<br />
> den rest der in den SaP_new_*-rollen enthaltenen Profile an die entsprechenden funktionen<br />
zu verteilen und ihre Berechtigungswerte zu pflegen,<br />
> SaP_new zu löschen.<br />
SOS: Users with Profile SaP_new (0031)<br />
an welche Benutzer sind weitere kritische SaP Standardprofile vergeben, ggf. noch aus alten<br />
releaseständen? Beispiele sind:<br />
> S_a.SyStem (Systemverwalter, Superuser), S_a.admin (Operator), S_a.cUStOmiz (customizer),<br />
S_a.deVelOP (alle Berechtigungen für einen entwickler)<br />
> S_ctS_all, u.a. kann damit die Systemänderbarkeit gesetzt werden<br />
> S_ctS_PrOJect, u.a. kann damit ein änderungsauftrag eines anderen Benutzers übernommen<br />
werden, indem der name im änderungsauftrag geändert wird<br />
> S_dataSet_al, S_c_fUnct_al, S_tcd_all, S_tSKh_all<br />
> f_BUch_all, z_anwend<br />
aiS: System audit – Benutzer und Berechtigungen - infosystem – Benutzer – Benutzer nach komplexen<br />
Selektionskriterien, Selektion nach Profil.<br />
Sind die Vorgaben von SaP zur Vergabe und nutzung der kritischen SaP Standardprofile bekannt<br />
und in eine organisatorische regelung umgesetzt?<br />
risiko: Benutzer können nach dem Produktivstart oder einem release-wechsel diese weitreichenden<br />
SaP Standardprofile missbrauchen, die SaP nur zur Unterstützung der implementierungsphase<br />
bereitstellt.<br />
SOS: SaP Standard roles are assigned to Users (0082)<br />
SOS: SaP Standard Profiles are assigned to Users (0083)<br />
empfehlung: über die transaktion SUim oder die tabellen USt10S/USt12 kann zusätzlich geprüft<br />
werden, ob Profile mit analogen inhalten zu den oben aufgeführten Profilen existieren.<br />
Seite 31 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 32<br />
4 Autorisierung (ABAP-Stack)<br />
4.7 PrüfPrOGramm: erSetzen KritiScher VOrSchlaGSwerte im<br />
PrOfilGeneratOr<br />
nr. erSetzen KritiScher VOrSchlaGSwerte im PrOfilGeneratOr<br />
1.<br />
1.1<br />
1.2<br />
1.3<br />
1.4<br />
1.5<br />
Kontrollziel: Die von <strong>SAP</strong> standardmäßig gesetzten und vordefinierten Ausprägungen von<br />
Berechtigungen im Profilgenerator sind auf kritische Setzungen bewertet worden. Bei der<br />
Vergabe von Profilen werden die als kritisch erkannten Vorgaben berücksichtigt und gemäß den<br />
unternehmensspezifischen Sicherheits- und Kontrollanforderungen geändert.<br />
Risiko: die von SaP gesetzten Vorschlagswerte im Profilgenerator für die Berechtigungsprüfung<br />
werden unverändert übernommen, obwohl einige davon nicht den geforderten it internen Kontrollen<br />
im Produktivsystem genügen.<br />
Soll jeder Benutzer auf dem Produktivsystem uneingeschränkte entwicklungsberechtigungen<br />
erhalten?<br />
S_deVelOP (aBaP workbench) mit aktivität „*“ und Paket „*“ und Objektname „*“ und Objekttyp „*“<br />
und Berechtigungsgruppe „*“ ist sehr kritisch.<br />
dieses Berechtigungsobjekt darf im Produktivsystem nur mit dem Objekttyp SUSO (Berechtigungsobjekte)<br />
und der aktivität 03, „anzeigen“, ausgeprägt sein.<br />
risiko: ausprägungen, die die aktivitäten 01, „anlegen“, oder 02, „ändern“, zusammen mit den<br />
einem der beiden Objekttypen deBUG oder PrOG beinhalten, verstoßen im Produktivsystem gegen<br />
Grundsätze der ordnungsmäßigen Buchführung (radierverbot).<br />
Soll jeder Benutzer die kritische Systemberechtigung zum auswerten des Syslogs erhalten?<br />
S_admi_fcd (Systemberechtigungen) mit aktivität Sm21 berechtigt, den Systemlog auszuwerten.<br />
dieses Berechtigungsobjekt darf mit der aktivität Sm21 im Produktivsystem nicht für alle Benutzer<br />
frei geschaltet werden.<br />
Soll jeder Benutzer neue Projekte generieren können?<br />
S_PrO_aUth (neue Berechtigungen für Projekte) mit aktivität 03 (anzeigen).<br />
dieses Berechtigungsobjekt darf im Produktivsystem nur mit der aktivität 03, „anzeigen“, ausgeprägt<br />
werden.<br />
welche adressgruppen können für alle Benutzer frei geschaltet werden können?<br />
S_adreSS1 (adresstyp1: Organisationsadressen)<br />
mit aktivität „*“ und adressgruppe Bc01 (SaP Benutzeradressen) ist sinnvoll.<br />
im Produktivsystem ist auf die spezifische eingabe der adressgruppe zu achten, insbesondere<br />
nur Bc01 (SaP Benutzeradressen) zulassen. adressgruppen wie Geschäftspartner, BP, oder ehS<br />
Berichtsempfänger, ehS1, dürfen wegen des Prinzips der geringsten Berechtigungsvergabe und<br />
der Gewährleistung der Vertraulichkeit nicht grundsätzlich an alle Benutzer freigegeben werden.<br />
risiko: die Vertraulichkeit von daten ist unter Umständen nicht gewährleistet.<br />
welche transaktionscodes können für alle Benutzer von hr frei geschaltet werden?<br />
P_tcOde (hr transaktionscode) mit transaktionscode: PfcG, SUid oder SU01d ist sinnvoll.<br />
dieses Berechtigungsobjekt darf im Produktivsystem nur für die transaktionscodes PfcG, SUid<br />
oder SU01d frei geschaltet sein.<br />
die im Kontext zu den transaktionen PfcG stehenden Berechtigungsobjekte müssen gemäß der<br />
zugeordneten aufgabe ausgeprägt sein (administrations- oder anzeigefunktion).
nr. erSetzen KritiScher VOrSchlaGSwerte im PrOfilGeneratOr<br />
2. Zugriff auf Tabellen<br />
2.1<br />
2.2<br />
welche tabellengruppen dürfen von Benutzern nicht geändert werden können?<br />
S_taBU_diS (tabellenpflege) mit aktivität 03 (anzeigen) und Berechtigungsgruppen ale0 oder SS.<br />
dieses Berechtigungsobjekt darf im Produktivsystem für die beiden Berechtigungsgruppen ale0<br />
und SS nur mit aktivität 03, „anzeigen“, ausgeprägt werden.<br />
welche tabellengruppen dürfen von Benutzern geändert werden können?<br />
S_taBU_diS (tabellenpflege) mit aktivität 02 oder 03 und Berechtigungsgruppe SUSr.<br />
dieses Berechtigungsobjekt darf im Produktivsystem für die Berechtigungsgruppe SUSr nur mit<br />
den aktivitäten 02, „ändern“, und 03, „anzeigen“, ausgeprägt werden.<br />
3. Zugriff auf IDOCS<br />
3.1<br />
3.2<br />
welcher zugriff auf idOcS kann allen Benutzern eingeräumt werden?<br />
S_idOcctrl (allgemeiner zugriff auf idOc funktionen)<br />
mit aktivität 03 und transaktionscode „*“ ist ist applikationsabhängig möglich.<br />
dieses Berechtigungsobjekt darf im Produktivsystem nur die aktivität 03, „anzeigen“, haben.<br />
empfehlenswert ist auch einschränkung auf nicht fi-spezifische transaktionscodes.<br />
risiko: ansonsten können fi spezifische idOcs, die z. B. vertrauliche daten beinhalten, von allen<br />
Benutzern eingesehen werden.<br />
hinweis: Unter allen idOc-Berechtigungsobjekten sollte nur das Berechtigungsobjekt S_idOcctrl<br />
an alle Benutzer mit den oben beschriebenen einschränkungen berechtigt werden, falls überhaupt<br />
erforderlich.<br />
welcher zugriff auf idOcS kann allen Benutzern eingeräumt werden, die eine Kontrollfunktion über<br />
idOc‘s benötigen?<br />
S_idOcmOni (zugriff auf idOc monitoring) mit aktivität 03 und richtung der idOc übertragung 1<br />
und 2 und<br />
nachrichtentyp cclOne und USerclOne und PartnernUmmer „*“ und Partnerart „lS“ und<br />
tranSaKtiOnScOde: „*“ ist applikationsabhängig möglich.<br />
risiko: die aktivität muss 03, „anzeigen“, sein. Sonst können idOcS, die auch änderungsbelege<br />
sind, geändert oder gelöscht werden.<br />
hinweis: die angabe des transaktionscodes ist dann unkritisch, wenn die anderen felder des<br />
Berechtigungsobjektes wie oben gepflegt sind.<br />
4. Benutzer- und Berechtigungsadministration<br />
4.1<br />
welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?<br />
S_USer_aGr (Berechtigungswesen: Prüfer für rollen)<br />
mit aktivität „*“ und name der rolle „*“ ist kritisch.<br />
dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem<br />
nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration<br />
belegt werden.<br />
risiko: wenn diese von SaP vordefinierten uneingeschränkten freigaben („*“) bestehen bleiben,<br />
kann jeder alle aktivitäten durchführen. insbesondere kann jeder jede rolle anlegen. das kann<br />
nicht gewünscht sein.<br />
hinweis: zur einhaltung des Vieraugenprinzips müssen bei den feldern „aktivität“ und „name der<br />
rolle“ die 4 funktionen „anlegen“, „ändern“, „aktivieren“ und „zuordnen“ entsprechend berücksichtigt<br />
werden.<br />
Seite 33 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 34<br />
4 Autorisierung (ABAP-Stack)<br />
nr. erSetzen KritiScher VOrSchlaGSwerte im PrOfilGeneratOr<br />
4.2<br />
4.3<br />
4.4<br />
4.5<br />
welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?<br />
S_USer_aUt (Benutzerstammpflege: Berechtigungen) mit aktivität „*“ und Berechtigungsname in<br />
Benutzerstamm „*“ und Berechtigungsobjekt „*“ ist kritisch.<br />
dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem<br />
nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration<br />
belegt werden.<br />
risiko: wenn diese von SaP vordefinierten uneingeschränkten freigaben („*“) bestehen bleiben,<br />
kann jeder alle aktivitäten durchführen. insbesondere kann jeder jede rolle anlegen. das kann<br />
nicht gewünscht sein.<br />
hinweis: zur einhaltung des Vieraugenprinzips müssen bei den feldern „aktivität“ und „name der<br />
welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?<br />
S_hierarch (Berechtigungsprüfungen der hierarchiepflege) mit aktivität „*“ und Paket „*“ und<br />
Strukturtyp „*“ ist kritisch.<br />
dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem<br />
nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration<br />
belegt werden.<br />
die möglichkeit der einschränkung auf die verwendete Struktur zur Berechtigungsverwaltung<br />
muss genutzt werden.<br />
dieses Berechtigungsobjekt ermöglicht das arbeiten mit dem allgemeinen hierarchiepflegetool<br />
oder den darauf basierenden transaktionen. die Berechtigung muss eingeschränkt werden über<br />
den typ der zu bearbeitenden Struktur und über deren Paket.<br />
welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?<br />
S_USr_GrP (Benutzerstammpflege: Benutzergruppen)<br />
mit aktivität „*“ und Benutzergruppe in Benutzerstamm „*“ ist kritisch.<br />
dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem<br />
nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration<br />
belegt werden.<br />
risiko: wenn diese uneingeschränkten freigaben („*“) bestehen bleiben, kann jeder alle aktivitäten<br />
durchführen. dann kann jeder jede Benutzergruppe pflegen, auch sich selbst. das kann nicht<br />
gewünscht sein.<br />
hinweis: zur einhaltung des Vieraugenprinzips müssen bei der aktivität und name der Benutzergruppe<br />
die 4 funktionen „anlegen“, „ändern“, „aktivieren“ und „zuordnen“ entsprechend berücksichtigt<br />
werden.<br />
welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?<br />
S_USr_PrO (Benutzerstammpflege: Berechtigungsprofil)<br />
mit aktivität „*“ und Berechtigungsprofil im Benutzerstamm „*“ ist kritisch.<br />
dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem<br />
nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration<br />
belegt werden.<br />
risiko: wenn diese uneingeschränkten freigaben („*“) bestehen bleiben, kann jeder alle aktivitäten<br />
durchführen. dann kann jeder jedes Benutzerprofil pflegen. das kann nicht gewünscht sein.<br />
hinweis: zur einhaltung des Vieraugenprinzips müssen bei der aktivität und name des Berechtigungsprofils<br />
die 4 funktionen „anlegen“, „ändern“, „aktivieren“ und „zuordnen“ entsprechend<br />
berücksichtigt werden.
nr. erSetzen KritiScher VOrSchlaGSwerte im PrOfilGeneratOr<br />
4.6<br />
4.7<br />
4.8<br />
4.9<br />
welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?<br />
S_USer_SaS (Benutzerstammpflege: Systemspezifische zuordnungen) mit aktivität „*“, name<br />
der rolle „*“, Benutzergruppe „ „, Berechtigungsprofil im Benutzerstamm und empfängersystem<br />
zBV ist kritisch.<br />
dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem<br />
nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration<br />
belegt werden.<br />
risiko: Bei Vollausprägung kann jeder jede Benutzerausprägung und jede rolle in jedem System<br />
zuweisen.<br />
hinweis: das neue Berechtigungsobjekt S_USer_SaS wird über den eintrag mit der id ‚checK_<br />
S_USer_SaS‘ und dem wert ‚yeS‘ in der tabelle PrGn_cUSt aktiviert(OSS-hinweis 536101) und<br />
ersetzt die Berechtigungsobjekte S_USer_GrP, S_USer_aGr, S_USer_PrO und S_USer_SyS<br />
bezüglich der zuordnung von rollen oder Profilen zu Benutzern.<br />
die Verwendung der erweiterten Berechtigungsprüfung ist unabhängig vom einsatz der zentralen<br />
Benutzerverwaltung.<br />
welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?<br />
S_USr_SyS (Benutzerstammpflege: System für zentrale Benutzerpflege) spezifisches Objekt) mit<br />
aktivität „*“ und empfängersystem zBV ist kritisch.<br />
dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem<br />
nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration<br />
belegt werden.<br />
risiko: Bei Vollausprägung kann jeder in allen Systemen rollen zuweisen.<br />
welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?<br />
S_USer_tcd (Berechtigungswesen: transaktionen in rollen) mit transaktionscode „*“ ist kritisch.<br />
dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem<br />
nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration<br />
belegt werden.<br />
risiko: Bei Vollausprägung können modul- und basisübergreifend alle Berechtigungsobjekte in<br />
rollen aufgenommen werden.<br />
welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen?<br />
S_USer_Val (Berechtigungswesen: feldwerte in rollen)<br />
mit feldname „*“ und Berechtigungswert „*“ und Berechtigungsobjekt „*“ ist kritisch.<br />
dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem<br />
nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration<br />
belegt werden.<br />
risiko: Bei Vollausprägung können modul- und basisübergreifend alle Berechtigungsobjekte in<br />
rollen aufgenommen werden.<br />
Seite 35 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 36<br />
4 Autorisierung (ABAP-Stack)<br />
4.8 PrüfPrOGramm: OrdnUnGSmäSSiGe BerechtiGUnGS- Und BenUtzer-<br />
OrGaniSatiOn<br />
nr. OrdnUnGSmäSSiGe BerechtiGUnGS- Und BenUtzerOrGaniSatiOn<br />
1.<br />
1.1<br />
Kontrollziel: Einhaltung der Funktionstrennung, kein Administrator darf die folgenden drei zu<br />
trennenden Aufgaben durchführen:<br />
1. Benutzer verwalten<br />
2. Berechtigungen pflegen<br />
3. Berechtigungsprofile generieren.<br />
Risiko: die aufgaben des Benutzers- und Berechtigungsverwalters werden in vollem Umfang an<br />
einen oder mehrere mitarbeiter vergeben. eine überwachung der tätigkeiten eines Benutzers- und<br />
Berechtigungsverwalters gibt es nicht. die folgen sind:<br />
> nicht autorisierte änderungen sind möglich,<br />
> betrügerische handlungen können durchgeführt und die Spuren dazu zumindest verschleiert<br />
werden.<br />
Sind die möglichkeiten der funktionstrennung bezogen auf die ressourcen und den Sicherheitsanforderungen<br />
des Unternehmens umgesetzt?<br />
Beispiele für die realisierung eines 4-augen Prinzips und eines 6-augen Prinzips sind in den folgenden<br />
übersichten aufgeführt.<br />
Scenario 1: 4-Augen Prinzip<br />
zentrale Benutzerverwaltung<br />
> ein Benutzerverwalter für alle Benutzer.<br />
> Unbegrenzte Berechtigungen für alle Benutzerverwaltungsaufgaben des Benutzeradministrators<br />
zentrale Pflege von rollen und Profilen<br />
ein administrator übernimmt beide rollen:<br />
> Berechtigungsdatenverwalter<br />
> Berechtigungsprofilverwalter.<br />
Scenario 2: 6-Augen Prinzip<br />
dezentrale Benutzerverwaltung (Produktivsystem)<br />
ein Benutzerverwalter für pro anwendungsbereich (fi, mm),<br />
> berechtigt, um eine bestimmte Benutzergruppe zu pflegen,<br />
> berechtigt, um eine bestimmte menge von rollen/Profilen zuzuordnen,<br />
> keine weiteren einschränkungen auf spezifische Benutzerverwaltungsaufgaben.<br />
zentrale Pflege von rollen und Profilen<br />
trennung der zuständigkeiten:<br />
> Berechtigungsdatenverwalter<br />
> Berechtigungsprofilverwalter.<br />
Keine weiteren einschränkungen auf spezifische rollen oder Profile.
nr. OrdnUnGSmäSSiGe BerechtiGUnGS- Und BenUtzerOrGaniSatiOn<br />
Scenario 3: 6-Augen Prinzip, dezentrale Benutzerverwaltung im Produktivsystem<br />
zentrales anlegen und löschen für alle Benutzer<br />
dezentrale Benutzerverwaltung (Produktivsystem)<br />
ein Benutzerverwalter für pro anwendungsbereich (fi, mm),<br />
> berechtigt, um eine bestimmte Benutzergruppe zu pflegen,<br />
> berechtigt, um eine bestimmte menge von rollen/Profilen zuzuordnen,<br />
> berechtigt für nur einige Benutzerverwaltungsaufgaben: ändern, sperren/entsperren, Kennwort<br />
zurücksetzen.<br />
zentrale Pflege von rollen und Profilen<br />
trennung der zuständigkeiten:<br />
> Berechtigungsdatenverwalter<br />
> Berechtigungsprofilverwalter<br />
Keine weiteren einschränkungen auf spezifische rollen oder Profile.<br />
Seite 37 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 38<br />
4 Autorisierung (ABAP-Stack)<br />
4.9 taBellen: BeiSPielSzenarien der OrGaniSatiOn einer BenUtzer- Und<br />
BerechtiGUnGSVerwaltUnG<br />
4.9.1 SzenariO 1: 4-aUGen PrinziP<br />
Zentrale Benutzerverwaltung<br />
> ein Benutzerverwalter für alle Benutzer.<br />
> Unbegrenzte Berechtigungen für alle Benutzerverwaltungsaufgaben des Benutzeradministrators<br />
Zentrale Pflege von Rollen und Profilen<br />
ein administrator übernimmt beide rollen:<br />
> Berechtigungsdatenverwalter<br />
> Berechtigungsprofilverwalter.<br />
a. Ohne BerechtiGUnGSOBJeKt S_USer_SaS<br />
entwicKlUnG PrOdUKtiV<br />
SzenariO 1 BenUtzeradminiStratOr<br />
S_USER_GRP<br />
BerechtiGUnGSdaten-<br />
Und BerechtiGUnGS-<br />
PrOfilVerwalter<br />
actVt * 03, 08 *<br />
claSS * * *<br />
S_USER_AGR<br />
actVt 03, 22 * 03, 22<br />
act_GrOUP * * *<br />
S_USER_TCD<br />
tcd *<br />
S_USER_VAL<br />
OBJect *<br />
aUth_field *<br />
aUth_ValUe *<br />
S_USER_PRO<br />
actVt 03, 08, 22 * 03, 08, 22<br />
PrOfile * * *<br />
BenUtzerVerwalter
entwicKlUnG PrOdUKtiV<br />
SzenariO 1 BenUtzeradminiStratOr<br />
S_USER_AUT<br />
BerechtiGUnGSdaten-<br />
Und BerechtiGUnGS-<br />
PrOfilVerwalter<br />
actVt 03, 08 * 03, 08<br />
OBJect * * *<br />
aUth * * *<br />
Bei aktiver zBV<br />
S_USER_SYS<br />
actVt 03, 78 03, 78<br />
SUBSyStem * *<br />
BenUtzerVerwalter<br />
B. mit aKtiViertem BerechtiGUnGSOBJeKt S_USer_SaS<br />
entwicKlUnG PrOdUKtiV<br />
SzenariO 1 BenUtzeradminiStratOr<br />
S_USER_GRP<br />
actVt 03, 08<br />
claSS *<br />
S_USER_AGR<br />
actVt *<br />
act_GrOUP *<br />
S_USER_TCD<br />
tcd *<br />
S_USER_VAL<br />
OBJect *<br />
aUth_field *<br />
aUth_ValUe *<br />
BerechtiGUnGSdaten-<br />
Und BerechtiGUnGS-<br />
PrOfilVerwalter<br />
BenUtzerVerwalter<br />
Seite 39 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 40<br />
4 Autorisierung (ABAP-Stack)<br />
entwicKlUnG PrOdUKtiV<br />
SzenariO 1 BenUtzeradminiStratOr<br />
S_USER_PRO<br />
actVt *<br />
PrOfile *<br />
S_USER_AUT<br />
BerechtiGUnGSdaten-<br />
Und BerechtiGUnGS-<br />
PrOfilVerwalter<br />
actVt 03, 08 * 03, 08<br />
OBJect * * *<br />
aUth * * *<br />
Bei aktiver zBV wird zusätzlich das Berechtigungsfeld SUBSyStem gepflegt<br />
S_USER_SAS<br />
actVt 22 22<br />
claSS * *<br />
SUBSyStem * *<br />
act_GrOUP * *<br />
PrOfile * *<br />
4.9.2 SzenariO 2: 6-aUGen PrinziP<br />
Dezentrale Benutzerverwaltung (Produktivsystem)<br />
ein Benutzerverwalter für pro anwendungsbereich (fi, mm),<br />
> berechtigt, um eine bestimmte Benutzergruppe zu pflegen,<br />
> berechtigt, um eine bestimmte menge von rollen/Profilen zuzuordnen,<br />
> keine weiteren einschränkungen auf spezifische Benutzerverwaltungsaufgaben.<br />
Zentrale Pflege von Rollen und Profilen<br />
trennung der zuständigkeiten:<br />
> Berechtigungsdatenverwalter<br />
> Berechtigungsprofilverwalter.<br />
Keine weiteren einschränkungen auf spezifische rollen oder Profile.<br />
BenUtzerVerwalter
a. Ohne BerechtiGUnGSOBJeKt S_USer_SaS<br />
SzenariO 2<br />
S_USER_GRP<br />
entwicKlUnG PrOdUKtiV<br />
BenUtzeradminiStratOr<br />
Berechti-<br />
GUnGSdaten-<br />
Verwalter<br />
Berechti-<br />
GUnGSPrOfil-<br />
Verwalter<br />
fi-BenUtzer-<br />
Verwalter<br />
actVt * 03, 08 03, 08 * *<br />
mm-BenUtzer-<br />
Verwalter<br />
claSS * * * fi_USer fi_USer<br />
S_USER_AGR<br />
actVt 03, 22 01, 02, 03, 06 03, 64 03, 22 03, 22<br />
act_GrOUP * * * * *<br />
S_USER_TCD<br />
tcd *<br />
S_USER_VAL<br />
OBJect *<br />
aUth_field *<br />
aUth_ValUe *<br />
S_USER_PRO<br />
actVt 03, 08, 22 01, 02, 03, 06, 08 03, 07, 08 03, 08, 22 03, 08, 22<br />
PrOfile * * * fi* mm*<br />
S_USER_AUT<br />
actVt 03, 08 01, 02, 03, 06, 08, 22 03, 07, 08 03, 08 03, 08<br />
OBJect * * * * *<br />
aUth * * * * *<br />
Bei aktiver zBV<br />
S_USER_SYS<br />
actVt 03, 78 03, 78 03, 78<br />
SUBSyStem * * *<br />
Seite 41 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 42<br />
4 Autorisierung (ABAP-Stack)<br />
B. mit aKtiViertem BerechtiGUnGSOBJeKt S_USer_SaS<br />
SzenariO 2<br />
S_USER_GRP<br />
entwicKlUnG PrOdUKtiV<br />
BenUtzeradminiStratOr<br />
Berechti-<br />
GUnGSdaten-<br />
Verwalter<br />
actVt 03, 08 03, 08<br />
claSS * *<br />
S_USER_AGR<br />
actVt 01, 02, 03, 06 03, 64<br />
act_GrOUP * *<br />
S_USER_TCD<br />
tcd *<br />
S_USER_VAL<br />
OBJect *<br />
aUth_field *<br />
aUth_ValUe *<br />
S_USER_PRO<br />
Berechti-<br />
GUnGSPrOfil-<br />
Verwalter<br />
actVt 01, 02, 03, 06, 08 03, 07, 08<br />
PrOfile * *<br />
S_USER_AUT<br />
fi-BenUtzer-<br />
Verwalter<br />
actVt 03, 08 01, 02, 03, 06, 08, 22 03, 07, 08 03, 08 03, 08<br />
OBJect * * * * *<br />
aUth * * * * *<br />
Bei aktiver zBV wird zusätzlich das Berechtigungsfeld SUBSyStem gepflegt<br />
S_USER_SAS<br />
actVt 22 22 22<br />
mm-BenUtzer-<br />
Verwalter<br />
claSS * fi_USer fi_USer<br />
SUBSyStem * * *<br />
act_GrOUP * fi* mm*<br />
PrOfile * fi* mm*
4.9.3 SzenariO 3: 6-aUGen PrinziP,<br />
dezentrale BenUtzerVerwaltUnG im PrOdUKtiV-SyStem<br />
Zentrales Anlegen und Löschen für alle Benutzer<br />
Dezentrale Benutzerverwaltung (Produktivsystem)<br />
ein Benutzerverwalter für pro anwendungsbereich (fi, mm),<br />
> berechtigt, um eine bestimmte Benutzergruppe zu pflegen,<br />
> berechtigt, um eine bestimmte menge von rollen/Profilen zuzuordnen,<br />
> berechtigt für nur einige Benutzerverwaltungsaufgaben: ändern, sperren/entsperren,<br />
Kennwort zurücksetzen.<br />
Zentrale Pflege von Rollen und Profilen<br />
trennung der zuständigkeiten:<br />
> Berechtigungsdatenverwalter<br />
> Berechtigungsprofilverwalter.<br />
Keine weiteren einschränkungen auf spezifische rollen oder Profile.<br />
a. Ohne BerechtiGUnGSOBJeKt S_USer_SaS<br />
entwicKlUnG PrOdUKtiV<br />
SzenariO 3<br />
S_USER_GRP<br />
BenUtzeradminiStratOr<br />
Berechti-<br />
GUnGSdaten-<br />
Verwalter<br />
Berechti-<br />
GUnGS-<br />
PrOfil-<br />
Verwalter<br />
fi-<br />
BenUtzer-<br />
Verwalter<br />
mm-<br />
BenUtzer-<br />
Verwalter<br />
zentral-<br />
BenUtzer-<br />
Verwalter<br />
actVt * 03, 08 03, 08 02, 03, 05, 22 02, 03, 05, 22 01, 03, 06, 08<br />
claSS * * * fi_USer mm_USer *<br />
S_USER_AGR<br />
actVt 03, 22 01, 02, 03, 06 03, 64 03, 22 03, 22 3<br />
act_GrOUP * * * * * *<br />
S_USER_TCD<br />
tcd *<br />
S_USER_VAL<br />
OBJect *<br />
aUth_field *<br />
aUth_ValUe *<br />
Seite 43 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 44<br />
4 Autorisierung (ABAP-Stack)<br />
SzenariO 3<br />
S_USER_PRO<br />
entwicKlUnG PrOdUKtiV<br />
BenUtzeradminiStratOr<br />
actVt 03, 08, 22<br />
Berechti-<br />
GUnGSdaten-<br />
Verwalter<br />
01, 02, 03,<br />
06, 08<br />
Berechti-<br />
GUnGS-<br />
PrOfil-<br />
Verwalter<br />
fi-<br />
BenUtzer-<br />
Verwalter<br />
mm-<br />
BenUtzer-<br />
Verwalter<br />
03, 07, 08 03, 08, 22 03, 08, 22 03, 08<br />
PrOfile * * * fi* mm*<br />
S_USER_AUT<br />
actVt 03, 08<br />
01, 02, 03, 06,<br />
08, 22<br />
03, 07, 08 03, 08 03, 08 03, 08<br />
OBJect * * * * * *<br />
aUth * * * * * *<br />
Bei aktiver zBV<br />
S_USER_SYS<br />
actVt 03, 78 03, 78 03, 78 03, 78<br />
SUBSyStem * * * *<br />
B. Ohne BerechtiGUnGSOBJeKt S_USer_SaS<br />
entwicKlUnG PrOdUKtiV<br />
SzenariO 3<br />
S_USER_GRP<br />
BenUtzeradminiStratOr<br />
Berechti-<br />
GUnGSdaten-<br />
Verwalter<br />
actVt 03, 08 03, 08<br />
claSS * *<br />
S_USER_AGR<br />
actVt 01, 02, 03, 06 03, 64<br />
act_GrOUP * *<br />
S_USER_TCD<br />
tcd *<br />
Berechti-<br />
GUnGS-<br />
PrOfil-<br />
Verwalter<br />
fi-<br />
BenUtzer-<br />
Verwalter<br />
mm-<br />
BenUtzer-<br />
Verwalter<br />
zentral-<br />
BenUtzer-<br />
Verwalter<br />
zentral-<br />
BenUtzer-<br />
Verwalter
SzenariO 3<br />
S_USER_VAL<br />
entwicKlUnG PrOdUKtiV<br />
BenUtzeradminiStratOr<br />
OBJect *<br />
aUth_field *<br />
aUth_ValUe *<br />
S_USER_PRO<br />
actVt<br />
Berechti-<br />
GUnGSdaten-<br />
Verwalter<br />
01, 02, 03,<br />
06, 08<br />
PrOfile * *<br />
S_USER_AUT<br />
actVt 03, 08<br />
01, 02, 03, 06,<br />
08, 22<br />
Berechti-<br />
GUnGS-<br />
PrOfil-<br />
Verwalter<br />
03, 07, 08<br />
fi-<br />
BenUtzer-<br />
Verwalter<br />
mm-<br />
BenUtzer-<br />
Verwalter<br />
03, 07, 08 03, 08 03, 08 03, 08<br />
OBJect * * * * * *<br />
aUth * * * * * *<br />
Bei aktiver zBV wird zusätzlich das Berechtigungsfeld SUBSyStem gepflegt<br />
S_USER_SAS<br />
actVt 22 22 22 22<br />
claSS * fi_USer mm_USer *<br />
SUBSyStem * * * *<br />
act_GrOUP * fi* mm* *<br />
PrOfile * fi* mm* *<br />
zentral-<br />
BenUtzer-<br />
Verwalter<br />
Seite 45 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 46<br />
4 Autorisierung (ABAP-Stack)<br />
4.10 PrüfPrOGramm: BerechtiGUnGen für die BenUtzer- Und<br />
BerechtiGUnGSVerwaltUnG<br />
nr. BerechtiGUnGSVerwaltUnG: BenUtzer<br />
1.<br />
1.1<br />
1.2<br />
1.3<br />
2.<br />
2.1<br />
Das Objekt Benutzerstammpflege, Benutzergruppen S_USER_GRP<br />
legt die Benutzergruppen und die zulässigen aktivitäten fest, für die ein Benutzerverwalter<br />
berechtigt ist. damit können Benutzer angelegt, gepflegt, ge- und entsperrt werden, insbesondere<br />
auch das Kennwort eines Benutzers geändert werden.<br />
es kann benutzt werden, um bei einer dezentralisierten Verwaltung einem Benutzeradministrator<br />
nur die Verwaltung einer bestimmten Benutzergruppe zu ermöglichen.<br />
wer kann Benutzer anlegen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SU01<br />
S_USer_GrP (Benutzergruppen) mit aktivität „*“ oder 01 (anlegen) und Gruppe = „*“ oder = Gruppennamen.<br />
wer kann Benutzereigenschaften ändern (außer den zugriffsrechten)?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SU01<br />
S_USer_GrP (Benutzergruppen) mit aktivität „*“ oder 02 (ändern) und Gruppe = „*“ oder =<br />
Gruppennamen.<br />
wer kann Benutzer sperren oder löschen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SU01<br />
S_USer_GrP (Benutzerverwaltung) mit aktivität „*“ oder 05 (Sperren) oder 06 (löschen) und Gruppe =<br />
„*“ oder = Gruppennamen.<br />
Das Objekt Benutzerstammpflege, System für die zentrale Benutzerpflege S_USER_SYS<br />
legt fest, auf welches System ein Benutzerverwalter aus der zentralen Benutzerverwaltung mit<br />
welchen zulässigen aktivitäten zugreifen kann.<br />
wer kann aus der zentralen Benutzerverwaltung Benutzer ändern?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SU01 oder PfcG<br />
S_USer_SyS (Benutzerpflege) mit aktivität „*“ oder 02 (ändern) und SUBSyStem = „*“ oder =<br />
„logisches System“.<br />
lizenzfrei<br />
99,- €
nr. BerechtiGUnGSVerwaltUnG: rOllen<br />
3.<br />
3.1<br />
3.2<br />
4.<br />
4.1<br />
5.<br />
5.1<br />
Das Objekt Berechtigungswesen, Prüfung für Rollen S_USR_AGR<br />
legt die rollennamen und die zulässigen aktivitäten fest, für die ein Berechtigungsverwalter<br />
berechtigt ist. damit können rollen angelegt und gepflegt werden.<br />
es kann benutzt werden, um bei einer dezentralisierten administration einem Berechtigungsverwalter<br />
nur zugriff auf bestimmte rollen zugeben, z. B. für ein modul oder eine Organisationseinheit.<br />
wer kann rollen anlegen (ohne Berechtigungswerte)?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = PfcG<br />
S_USer_aGr (rollen verwalten) mit aktivität „*“, 01 (anlegen) und rolle = „*“ oder = rollennamen<br />
wer kann rollen ändern (ohne Berechtigungswerte)?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = PfcG<br />
S_USer_aGr (rollen verwalten) mit aktivität „*“ oder 02 (ändern) und rolle = „*“ oder = rollennamen<br />
Das Objekt Berechtigungswesen, Transaktionen in Rollen S_USR_TCD<br />
legt fest, welche transaktionen ein Berechtigungsverwalter in eine rolle aufnehmen darf.<br />
es kann benutzt werden, um einem Berechtigungsverwalter nur die aufnahme bestimmter<br />
transaktionen in rollen zu erlauben und damit die Vergabe kritischer transaktionen zu<br />
verhindern.<br />
wer ist für S_USer_aGr berechtigt und kann transaktionen anlegen (ohne Berechtigungswerte)?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = PfcG<br />
S_USer_aGr (rollen verwalten) mit aktivität „*“ oder 01 (anlegen) oder 02 (ändern) und rolle =<br />
„*“ oder = rollennamen.<br />
S_USer_tcd (transaktionen in rollen) mit transaktionscode „*“ oder = transaktionsname<br />
Das Objekt Berechtigungswesen, Feldwerte für Rollen S_USR_VAL<br />
legt fest, für welche Berechtigungsobjekte und für welche felder ein Berechtigungsverwalter<br />
welche feldwerte in eine rolle eintragen darf.<br />
es kann benutzt werden, um einem Berechtigungsverwalter nur die Vergabe bestimmter<br />
Berechtigungen in rollen zu erlauben und damit die Vergabe kritischer Berechtigungen in rollen<br />
zu verhindern.<br />
wer kann rollen mit allen Berechtigungswerten ändern?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = PfcG<br />
S_USer_aGr (rollen verwalten) mit aktivität „*“ oder 01 (anlegen), 02 (ändern) und rolle = „*“<br />
oder = rollennamen<br />
S_USer_Val (Objektverwendung in rollen) mit „*“ in allen feldern<br />
Seite 47 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 48<br />
4 Autorisierung (ABAP-Stack)<br />
nr. BerechtiGUnGSVerwaltUnG: PrOfile Und BerechtiGUnGen<br />
6.<br />
6.1<br />
6.2<br />
7.<br />
Das Objekt Benutzerstammpflege, Berechtigungsprofil S_USR_PRO legt die Profilnamen<br />
sowie die zulässigen aktivitäten fest, für die ein Berechtigungsverwalter berechtigt ist.<br />
es kann benutzt werden, um bei einer dezentralisierten Benutzerverwaltung einem Benutzerverwalter<br />
nur die zuordnung bestimmter Profile zu ermöglichen, z. B. für ein modul oder eine<br />
Organisationseinheit.<br />
wer kann Profile anlegen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SU02<br />
S_USer_PrO (Profile verwalten) mit aktivität „*“ oder 01 (anlegen) und Profil = „*“ oder =<br />
Profilnamen.<br />
wer kann Profile ändern?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SU02<br />
S_USer_PrO (Profile verwalten) mit aktivität „*“ oder 02 (ändern) und Profil = „*“ oder =<br />
Profilnamen<br />
Das Objekt Benutzerstammpflege, Berechtigungen S_USR_AUT legt die Berechtigungsobjektnamen<br />
und die Berechtigungsnamen sowie die zulässigen aktivitäten fest, für die ein<br />
Berechtigungsverwalter berechtigt ist.<br />
es kann benutzt werden, um bei einer dezentralisierten Benutzerverwaltung einem Berechtigungsverwalter<br />
nur die erstellung bestimmter Berechtigungen in Profilen zu erlauben und damit<br />
die erstellung kritischer Berechtigungen in Profilen zu verhindern.<br />
nr. BerechtiGUnGSVerwaltUnG: rOllen den BenUtzern zUOrdnen<br />
8.1<br />
8.2<br />
8.3<br />
wer kann rollen Benutzern zuordnen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = PfcG<br />
S_USer_aGr (rollen verwalten) mit aktivität „*“ oder 02 (ändern) und 22 (zuordnen) und rolle =<br />
„*“ oder = rollennamen<br />
wer kann Benutzern Profile zuordnen und entziehen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SU01 oder PfcG<br />
S_USer_GrP (Benutzerverwaltung) mit aktivität „*“ oder 02 (ändern) und Gruppe = „*“ oder =<br />
Gruppennamen<br />
S_USer_PrO (Profile verwalten) mit aktivität“*“ oder 22 (zuordnen) und Profil = „*“ oder =<br />
Profilnamen.<br />
wer kann Benutzern rollen oder Profile zuordnen und entziehen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SU01<br />
S_USer_GrP (Benutzerverwaltung) mit aktivität „*“ oder 02 (ändern) und aktivität 22 (zuordnen)<br />
und Gruppe = „*“ oder = Gruppennamen<br />
S_USer_PrO (Profile verwalten) mit aktivität „*“ oder 22 (zuordnen) und Profil = „*“ oder =<br />
Profilnamen
4.11 PrüfPrOGramm: SicherheitSmechaniSmen zUr aKtiVierUnG der<br />
PrüfUnG VOn BerechtiGUnGen<br />
nr. BerechtiGUnGSVerwaltUnG: BenUtzer<br />
1.1<br />
1.2<br />
1.3<br />
1.4<br />
Berechtigungsverwaltung: wer kann Berechtigungsobjekte deaktivieren?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = aUth_Switch_OBJectS<br />
S_USer_OBJ (Objekte verwalten) mit aktivität 02 (ändern) und 07 (aktivieren) und Objekt = „*“<br />
oder = „Objektnamen“.<br />
diese Berechtigung ist restriktiv an Systemadministratoren zu vergeben. das deaktivieren von<br />
Berechtigungsobjekten muss freigegeben und dokumentiert werden.<br />
hinweis: mit der transaktion aUth_ Switch_ OBJectS können Berechtigungsobjekte global<br />
ausgeschaltet werden.<br />
> für ausgeschaltete Berechtigungsobjekte fügt der Profilgenerator keine Berechtigungen in die<br />
generierten Profile ein.<br />
> Beim wiedereinschalten eines Objektes müssen daher eventuell eine große anzahl von rollen<br />
bzw. Profilen bearbeitet werden. das abschalten von Objekten wird auch aus diesem Grund<br />
nicht empfohlen.<br />
> Berechtigungsobjekte, die mit S_ und P_ beginnen (Bereiche Basis und hr), lassen sich<br />
grundsätzlich nicht global ausschalten.<br />
> ein überblick über global ausgeschaltete Objekte kann mit der transaktion aUth_diSPlay_<br />
OBJectS angezeigt werden.<br />
> im anwendungsprotokoll (transaktion SlG1) wird unter dem Objektnamen PrGn_lOG_OBJ<br />
das globale ein- und ausschalten von Objekten protokolliert.<br />
ist der Profilgenerator aktiviert?<br />
aiS: System audit - top ten Security reports – Profilparameter anzeigen (auth/*)<br />
aiS: System audit – System Konfiguration – Parameter – Systemparameter, übersicht mit historie<br />
Seit Version 4.6c ist der Profilparameter auth/no_check_in_some_cases auf den wert y (defaultwert)<br />
gesetzt.<br />
wer kann die Prüfkennzeichen und Vorschlagswerte des Profilgenerators pflegen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SU24<br />
S_deVelOP (anwendungsentwicklung) mit aktivität 02 (ändern) und Objekttypen<br />
> SUSK (zuordnung transaktion zu Berechtigungsobjekt im Kundenstamm, USOBX_c und U-SOBt_c)<br />
> SUSt (zuordnung transaktion zu Berechtigungsobjekt in SaP-Systemen, USOBX und USOBt<br />
und Objektname = „*“ (alle transaktionen) oder = „name einer transaktion, die zu bearbeiten ist“.<br />
diese Berechtigung ist restriktiv an Systemadministratoren zu vergeben. die Pflege der Prüfkennzeichen<br />
und Vorschlagswerte des Profilgenerators muss freigegeben und dokumentiert werden.<br />
werden indirekte transaktionsaufrufe einer Berechtigungsprüfung unterzogen?<br />
ist in der tabelle tcdcOUPleS im feld OKflaG bei den aufgeführten transaktionspaaren ein „X“<br />
gesetzt?<br />
hinweis: wird eine transaktion indirekt, d. h. von einer anderen transaktion aufgerufen, so wird keine<br />
Berechtigungsprüfung vorgenommen. So werden z. B. Berechtigungen nicht geprüft, wenn eine<br />
transaktion eine andere mit der anweisung call tranSactiOn aufruft (SaP-hinweis 358 122).<br />
Seite 49 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 50<br />
5 Systemintegrität auf der Anwendungsebene<br />
5.1 GewährleiSten der inteGrität VOn SyStem Und daten<br />
die vom hersteller SaP vorgesehenen Kontrollen müssen zweckentsprechend aktiviert werden, um die<br />
System- und datenintegrität im Produktivsystem zu gewährleisten und um die gesetzliche anforderungen<br />
an die nachvollziehbarkeit zu erfüllen. technische möglichkeiten zur Umgehung des aktivierten Kontrollsystems<br />
sind durch zusätzliche Schutzmaßnahmen auszuschließen.<br />
5.2 riSiKen<br />
die risiken entstehen dadurch, dass die Standardinstallation eines SaP-Systems unverändert als Produktivsystem<br />
genutzt wird. in der Standardinstallation sind aber kritische funktionen nicht angemessen<br />
konfiguriert, die den unternehmensindividuellen und gesetzlichen anforderungen an Sicherheit und<br />
Ordnungsmäßigkeit genügen müssen.<br />
> im Produktivsystem können nicht autorisierte und nicht nachvollziehbare änderungen an Programmen,<br />
tabellen und daten vorgenommen werden.<br />
> im Produktivsystem werden bei der Konfiguration eines neuen Unternehmens (mandant) Sicherheits-<br />
lücken geöffnet.<br />
> Softwareentwickler können auf dem Produktivsystem die Vorgaben eines geordneten entwicklungs-,<br />
test- und freigabeverfahrens unterlaufen.<br />
> änderungen an tabellen mit Parametern für die Steuerung der Geschäftsabläufe und an den system-<br />
intern geführten Belegen sind nicht nachvollziehbar.<br />
> erfasste Buchungen werden vom SaP-System zwar bestätigt, werden aber aufgrund eines technischen<br />
Problems nur zwischengespeichert, ohne im Buchungswerk registriert zu werden.<br />
> nicht autorisierte zugriffe auf Systemeinstellungen sind möglich, die interne Kontrollen für Geschäfts-<br />
abläufe oder sicherheitskritische systemtechnische abläufe steuern.<br />
> die eingerichtete systemübergreifende Kommunikation lässt nicht autorisierte zugriffe von unsicheren<br />
Systemen zu.<br />
> Vorhandene Berechtigungsprüfungen werden deaktiviert und damit das zugriffskontrollsystem<br />
unterlaufen.<br />
> nicht autorisierte eingriffe in automatisierte Buchungsabläufe sind möglich.<br />
> Sicherheitsrelevante Systemereignisse werden nicht protokolliert und überwacht. angriffe oder Sicher-<br />
heitsverletzungen werden nicht erkannt und verfolgt.<br />
5.3 KOntrOllziele<br />
> die Software des Produktivsystems kann nur über den dazu vorgesehenen Software-change-management-<br />
Prozess geändert werden. die mögliche Umgehung der dazu vorgesehenen abläufe und Kontrollen ist<br />
mit der von SaP vorgesehenen spezifischen Konfiguration des Produktivsystems zum Schutz gegen<br />
änderungen verhindert.<br />
> Bei der anlage eines neuen produktiven mandanten wird diejenige Konfiguration gewählt, die die mit der<br />
neuanlage verbundenen risiken für informationssicherheit und Ordnungsmäßigkeit ausschließt.<br />
> der vorgesehene Prozess für das Software-change-management ist mittels der von SaP vorgesehenen<br />
Systemeinstellungen – auch auf dem Produktivsystem – konsequent und sicher konfiguriert.<br />
> die gesetzlichen und unternehmensinternen anforderungen an die nachvollziehbarkeit von änderungen<br />
an der ablauflogik von Geschäftsprozessen und an systemintern geführten Geschäftsbelegen werden<br />
durch die zweckentsprechende Konfiguration systeminterner Verfahren zur automatischen Protokollierung<br />
und archivierung umgesetzt.
die von SaP vorgesehenen Kontroll- und abstimmverfahren sind als Prozesse definiert und implementiert,<br />
um die vollständige und sichere Verarbeitung des Buchungsstoffs und der geschäftlichen Belege zu<br />
gewährleisten.<br />
> die sicherheitskritischen Systemeinstellungen und Basisberechtigungen sind identifiziert und zum<br />
Schutz der Systemintegrität des Produktivsystems restriktiv gesetzt und kontrolliert vergeben.<br />
> weitere und besondere Systemeinstellungen und Basisberechtigungen sind identifiziert und korrekt<br />
gesetzt, die den gesetzlichen anforderungen (corporate Governance, compliance) genügen müssen,<br />
insbesondere die Ordnungsmäßigkeit der rechnungslegung gewährleisten.<br />
> der zugriff von anderen Systemen auf das Produktivsystem ist so konfiguriert, dass die anforderungen<br />
an die it-Sicherheit erfüllt sind.<br />
> die Systemeinstellungen und Berechtigungen zur Steuerung und Verwaltung der produktiven Jobs sind<br />
so konfiguriert, dass die ordnungsmäßige Verbuchung des Buchungsstoffes, die daten- und System-<br />
integrität gewährleistet sind und die funktionstrennung zwischen Systemadministration und Benutzern<br />
eingehalten ist.<br />
> Sicherheitsrelevante ereignisse werden überwacht und verfolgt.<br />
5.4 PrüfPrOGramm: SyStemeinStellUnGen zUm SchUtz deS<br />
PrOdUKtiVSyStemS GeGen änderUnGen<br />
nr. SyStemeinStellUnGen zUm SchUtz deS PrOdUKtiVSyStemS GeGen änderUnGen<br />
1.<br />
1.1<br />
H<br />
1.2<br />
H<br />
1.3<br />
Kontrollziel: Im Produktivsystem sind grundsätzlich keine Änderungen an Entwicklungsobjekten<br />
zugelassen. Das <strong>SAP</strong>-System ist so konfiguriert, dass Änderungen an Entwicklungsobjekten<br />
im Produktivsystem nur für Notfallbenutzer möglich sind.<br />
Risiko: im Produktivsystem ist es möglich, die Software zu warten, ohne dass die änderungen<br />
protokolliert werden. interne Kontrollen des Prozesses Software-change-management können<br />
umgangen werden. änderungen sind im SaP-System nicht mehr nachvollziehbar.<br />
SYSTEMÄNDERBARKEIT<br />
ist das Produktivsystem gegen Softwareentwicklung gesperrt?<br />
report rSwBO004: die globale einstellung muss auf „nicht änderbar“ stehen.<br />
hinweis: auch für integrations-, test- und Qualitätssicherungssysteme muss die globale<br />
einstellung auf „nicht änderbar“ gesetzt sein.<br />
SOS: System change Option not appropriately configured in the Production System (0301)<br />
wer darf die Systemänderbarkeit ändern?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Se06 oder Sa38 oder Se38<br />
S_ctS_admi (administrationsfunktion im ctO) mit funktion SySc (Systemänderbarkeit).<br />
diese Berechtigung ist nur an notfalluser oder restriktiv an die Systemadministration zu vergeben.<br />
SOS: Users - Other than the System administrators – are authorized to change the System<br />
change Option (0303)<br />
wann wurde die Systemänderbarkeit im Produktivsystem aufgehoben?<br />
report rSwBO095, auswahl „Systemänderbarkeit“, Schaltfläche „ausführen“, dann Schaltfläche<br />
„alles expandieren“.<br />
die Systemänderbarkeit darf nur für kurze zeit aufgelassen werden. die anlässe sind zu dokumentieren.<br />
Seite 51 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 52<br />
5 Systemintegrität auf der Anwendungsebene<br />
nr. SyStemeinStellUnGen zUm SchUtz deS PrOdUKtiVSyStemS GeGen änderUnGen<br />
2.1<br />
H<br />
2.2<br />
2.3<br />
H<br />
2.4<br />
H<br />
MANDANTENÄNDERBARKEIT<br />
ist der Produktivmandant gegen customizing gesperrt?<br />
aiS: Organisatorische übersicht – Org. Struktur – mandant, anzeigen, doppelklick auf den Produktivmandant<br />
für den Produktivmandanten prüfen, ob unter „änderungen und transporte für mandantenabhängige<br />
Objekte“ der Punkt „Keine änderungen erlaubt“ aktiviert ist.<br />
customizing ist im Produktivmandanten nicht zulässig.<br />
SOS: client change Option not appropriately configured (0302)<br />
ist der Produktivmandant durch weitere generelle einstellungen gegen änderungen, Kopieren<br />
oder testen geschützt?<br />
aiS: Organisatorische übersicht – Org. Struktur – mandant, anzeigen, doppelklick auf den Produktivmandant<br />
für den Produktivmandanten die folgenden eintragungen prüfen,<br />
> ob unter „änderungen an mandantenübergreifenden Objekten“ der Punkt „Keine änderungen<br />
von repository- und mandantenunabhängige cust.-Obj“ aktiviert ist,<br />
> ob unter „Schutz bzgl. mandantenkopierer und Vergleichstool der Punkt „Schutzstufe 1: kein<br />
überschreiben“ oder „Schutzstufe 2: kein überschreiben, keine ext. Verfügbarkeit“ aktiviert ist,<br />
> ob unter „einschränkungen beim Starten von catt und ecatt“ der Punkt „ecatt und catt<br />
nicht erlaubt“ aktiviert ist.<br />
diese einstellungen sind empfehlungen.<br />
wer darf die mandantenänderbarkeit (tabelle t000) ändern?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Scc4 oder Sm30 oder Sm31<br />
S_admi_fcd (Systemberechtigung) mit funktion t000 (anlegen neuer mandanten)<br />
S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe SS (System-<br />
tabellen)<br />
S_taBU_cli (tabellenpflege mandantenunabhängiger tabellen) mit Kennzeichen X (ändern<br />
mandantenunabhängiger tabellen)<br />
diese Prüfung muss in allen mandanten des Produktivsystems erfolgen. diese Berechtigung ist<br />
nur an notfalluser oder restriktiv an die Systemadministration zu vergeben.<br />
SOS: Users - Other than the System administrators – are authorized to change the client change<br />
Option (0304)<br />
werden tabellenänderungen im Produktivmandanten protokolliert?<br />
aiS: System audit - top ten Security reports – Profilparameter anzeigen<br />
aiS: System audit – System Konfiguration – Parameter – Systemparameter, übersicht mit historie<br />
Selektion auf rec/client: ist der eintrag auf „all“ gesetzt oder sind alle mandanten des Produktivsystems<br />
gelistet?<br />
alle manuellen änderungen an tabellen sind im Produktivmandanten zu protokollieren.
nr. SyStemeinStellUnGen zUm SchUtz deS PrOdUKtiVSyStemS GeGen änderUnGen<br />
2.5<br />
H<br />
2.6<br />
2.7<br />
2.8<br />
werden änderungen an der tabelle t000 protokolliert?<br />
aiS: System audit – repository / tabellen - tabellenaufzeichnungen – technische tabelleneinstellungen,<br />
letzte zeile in der anzeige zur tabelle t000.<br />
diese Voraussetzung für die zwangsprotokollierung muss erfüllt sein.<br />
wann wurde die mandanten-änderbarkeit im Produktivsystem aktiviert?<br />
aiS: System audit – repository / tabellen - tabellenaufzeichnungen – auswertung tabellenhistorie<br />
(rStBPrOt/rSVtPrOt) mit Selektion auf tabelle t000 und Selektion des zeitraums.<br />
wurden die änderungen an der mandanten-änderbarkeit dokumentiert?<br />
wer hat welche mandanten zuletzt geändert?<br />
aiS: System audit – repository / tabellen - tabellenaufzeichnungen – auswertung tabellenhistorie<br />
(rStBPrOt/rSVtPrOt) mit Selektion auf tabelle t000 und Selektion des zeitraums.<br />
auswertung nach mandant, Benutzer, datum und Uhrzeit.<br />
wurden die änderungen dokumentiert?<br />
wer besitzt uneingeschränkte zugriffsrechte zum customizing im Produktivmandanten?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm30<br />
S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe „*“ (alle tabellen).<br />
customizing ist im Produktivmandanten nicht zulässig.<br />
5.5 PrüfPrOGramm: SyStemeinStellUnGen zUm SchUtz der mandanten<br />
nr. SyStemeinStellUnGen zUm SchUtz der mandanten<br />
1.<br />
1.1<br />
1.2<br />
Kontrollziel: Anlegen und Ändern eines Mandanten im Produktivsystem erfolgt autorisiert<br />
und dokumentiert. Die Systemintegrität des Produktivsystems und der Informationsschutz<br />
der kopierten Daten bleibt dabei gewahrt<br />
Risiko: Verlust der integrität von System und daten, Verlust der Vertraulichkeit: mit jedem neu<br />
angelegten mandanten lebt der Superuser SaP* mit seinen umfassenden, auch mandantenübergreifenden<br />
rechten und dem vergebenen Standardpasswort auf. mandantenübergreifende<br />
tabellen können geändert werden. das Kontrollsystem eines anderen, produktiven mandanten<br />
kann damit ausgehebelt und unterlaufen werden.<br />
welche mandanten existieren im Produktivsystem?<br />
aiS: System audit – Systemkonfiguration – mandanten – mandantenübersicht<br />
aiS: Organisatorische übersicht – Org. Struktur – mandant, anzeigen, jeweils doppelklick auf die<br />
mandanten<br />
nur aktive und benötigte mandanten dürfen im Produktivsystem existieren.<br />
welche Benutzer existieren in den mandanten 000 und 066?<br />
tabelle USr02 in den beiden mandanten<br />
report rSUVm005, mandanten angeben<br />
die SaP Sonderbenutzer müssen geänderte Standardkennworte haben (test mit report<br />
rSUSr003). der Parameter login /no_automatic_user _sapstar muss auf 1 gesetzt sein (test mit<br />
report rSPfPar). im mandant 000 dürfen zusätzliche administratorkennungen vergeben sein.<br />
Seite 53 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 54<br />
5 Systemintegrität auf der Anwendungsebene<br />
nr. SyStemeinStellUnGen zUm SchUtz der mandanten<br />
1.3<br />
2<br />
wer darf mandanten anlegen oder ändern? wer hat die Pflegeberechtigung für die tabelle t000?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Scc4 oder Sm30 oder Sm31<br />
S_admi_fcd (Systemberechtigung) mit funktion t000 (anlegen neuer mandanten)<br />
S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe SS (Systemtabellen)<br />
S_taBU_cli (tabellenpflege mandantenunabhängiger tabellen) mit Kennzeichen X (ändern<br />
mandantenunabhängiger tabellen)<br />
diese Berechtigung ist im Produktivsystem nur für notfallbenutzer zulässig.<br />
SOS: Users – Other than the System administrators – are authorized to create new clients (0305)<br />
SOS: Users – Other than the System administrators – are authorized to change the client change<br />
Option (0304)<br />
Kontrollziel: Kopieren eines Mandanten im Produktivsystem erfolgt autorisiert und dokumentiert.<br />
Risiko: Verlust der integrität von System und daten, Verlust der Vertraulichkeit: über die technische<br />
möglichkeit, eine mandantenkopie zu erstellen, können sensitive Produktivdaten kopiert und<br />
ohne den Schutz des Kontrollsystems des ursprünglichen mandanten eingesehen werden.<br />
2.1 welche daten wurden zu welchem zeitpunkt aus dem Produktivmandanten herauskopiert?<br />
aiS: System audit – Systemkonfiguration – mandanten – mandantenkopie Protokoll<br />
2.2<br />
2.3<br />
wer darf mandanten kopieren? (lokale Kopien ohne Benutzerstämme und Profile)<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sccl oder Scc9<br />
S_admi_fcd (Systemberechtigung) mit funktion t000 (anlegen neuer mandanten)<br />
S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe „*“ (alle tabellen)<br />
S_taBU_cli (tabellenpflege mandantenunabhängiger tabellen) mit Kennzeichen X (ändern<br />
mandantenunabhängiger tabellen)<br />
S_dataSet (Berechtigung zum dateizugriff) mit „*“ in allen feldern (Programmname, aktivität<br />
und dateiname)<br />
S_clnt_imP (dateiimport bei mandantenkopie) mit aktivität 60 (importieren)<br />
diese Berechtigung ist restriktiv nur an Systemadministratoren zu vergeben.<br />
wer darf mandanten kopieren? (Remote-Kopien ohne Benutzerstämme und Profile)<br />
zu den obigen Berechtigungen kommen noch die folgenden dazu:<br />
report rSUSr002 mit den eingaben:<br />
S_ctS_admi (administrationsfunktion im workbench Organizer) mit funktion imPS (importieren<br />
einzelner transportaufträge)<br />
S_tranSPrt (change and transport Organizer) mit aktivität 01 (anlegen) und 43 (freigeben) und<br />
60 (importieren) und auftragstyp clcP (mandantentransporte)<br />
diese Berechtigung ist restriktiv nur an Systemadministratoren zu vergeben.
nr. SyStemeinStellUnGen zUm SchUtz der mandanten<br />
2.4<br />
wer darf mandanten kopieren? (Kopien mit Benutzerstammsätzen und Profilen)<br />
zu den obigen Berechtigungen kommen noch die folgenden dazu:<br />
report rSUSr002 mit den eingaben:<br />
S_USer_GrP (Benutzerverwaltung)<br />
mit aktivität 01 (anlegen) oder 02 (ändern) oder 06 (löschen) und Gruppe = „*“ (alle Gruppen)<br />
S_USer_PrO (Profilverwaltung)<br />
mit aktivität 01 (anlegen) oder 02 (ändern) oder 06 (löschen) und Profile = „*“ (alle Profile)<br />
S_USer_aUt (Berechtigungsverwaltung)<br />
mit aktivität 01 (anlegen) oder 02 (ändern) oder 06 (löschen) und Objekte = „*“ (alle Objekte) und<br />
Berechtigungen = „*“ (alle Berechtigungen)<br />
diese Berechtigung ist restriktiv nur an Systemadministratoren zu vergeben.<br />
5.6 PrüfPrOGramm: nachVOllziehBarKeit VOn änderUnGen an<br />
taBellen im PrOdUKtiVSyStem<br />
nr. nachVOllziehBarKeit VOn änderUnGen an taBellen im PrOdUKtiVSyStem<br />
1.<br />
1.1<br />
H<br />
1.2<br />
H<br />
Kontrollziel: Das Verwalten der Tabellen muss Anforderungen an die IT-Sicherheit<br />
genügen. Änderungen an Tabelleninhalten mit steuernden Funktionen unterliegen den<br />
Nachweis- und Aufbewahrungspflichten der ordnungsmäßigen Buchführung gemäß den<br />
deutschen Rechnungslegungsvorschriften (AGB, AO).<br />
Risiko:<br />
> anwendungsübergreifende oder anwendungsspezifische Parameter in tabellen werden unbefugt<br />
oder aus Unkenntnis falsch eingestellt. fehleinstellungen gefährden die daten- und Systemintegrität.<br />
> nachweispflichtige änderungen werden nicht automatisch protokolliert.<br />
> Protokollierte änderungen werden nicht gemäß den gesetzlich geforderten aufbewahrungspflichten<br />
archiviert. automatisch generierte änderungsbelege können unbefugt ohne archivierung<br />
gelöscht werden.<br />
ist die tabellenprotokollierung im Produktivsystem für alle mandanten aktiviert?<br />
aiS: System audit – repository / tabellen – tabellenaufzeichnungen – Systemparameter<br />
der Parameter rec/client muss auf „all“ gesetzt sein, d. h. die Protokollierung für alle mandanten<br />
des Systems aktiviert sein.<br />
SOS: table logging is not enabled Sufficiently (0316)<br />
werden tabellenänderungen protokolliert, die durch transporte ins Produktivsystem eingespielt<br />
wurden?<br />
report rStmStPP, im feld „System“ den namen des Produktivsystems eintragen.<br />
für das Produktivsystem ist der Parameter des transport management Systems<br />
recclient auf „all“ gesetzt.<br />
Seite 55 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 56<br />
5 Systemintegrität auf der Anwendungsebene<br />
nr. nachVOllziehBarKeit VOn änderUnGen an taBellen im PrOdUKtiVSyStem<br />
1.3<br />
H<br />
1.4<br />
1.5<br />
2.<br />
2.1<br />
wer darf den eintrag für die Protokollierung bei tabellen setzen oder zurücknehmen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Se11 oder Se13<br />
S_deVelOP mit aktivität 02 (ändern) und Objekttyp taBt.<br />
dieses zugriffsrecht ist im Produktivsystem nur für notfallbenutzer zulässig.<br />
SOS: Users are authorized to modify the table logging flag for tables<br />
werden unternehmenseigene tabellen protokolliert, die z. B. das Buchungswerk oder die Steuerung<br />
des Buchungswerkes betreffen?<br />
tabelle dd09l mit den einträgen y* und z* im feld tabellenname und Selektion „=“ im<br />
feld Protokoll (alle tabellen mit keinem eintrag im feld Protokoll).<br />
Unternehmenseigene tabellen mit relevanz für die externe rechnungslegung müssen ebenfalls<br />
zwangsprotokolliert werden.<br />
wer darf tabellenänderungsprotokolle löschen?<br />
Risiko: das SaP-System stellt eine funktion bereit, die tabellenänderungsprotokolle löscht. dieses<br />
löschen ist mandantenübergreifend wirksam. wenn die tabellenänderungsprotokolle nicht zusätzlich<br />
über das archivierungsobjekt Bc_dBlOGS archiviert worden sind, ist die nachvollziehbarkeit nicht<br />
mehr gewährleistet.<br />
Hinweis: das löschen erfolgt mit dem report rStBPdel. er kann manuell über die transaktion Sa38<br />
aufgerufen werden. abrufbar ist er auch über den report rStBhiSt. ausgeführt wird er auch mittels<br />
der transaktion ScU3 über den Pfad Bearbeiten – Protokolle – löschen.<br />
es ist zu prüfen, welche Benutzer die tabelle dBtaBlOG ändern dürfen. Sie ist standardmäßig der<br />
Berechtigungsgruppe Sa zugeordnet.<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sa38 oder Se38<br />
S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe Sa<br />
(rS: anwendungstabelle)<br />
S_taBU_cli (tabellenpflege mandantenunabhängiger tabellen) mit Kennzeichen X<br />
(ändern mandantenunabhängiger tabellen).<br />
dieses zugriffsrecht ist im Produktivsystem nur für notfallbenutzer zulässig.<br />
Kontrollziel: Änderungen an Belegobjekten werden autorisiert durchgeführt. Änderungsbelege,<br />
die als Nachweise für die ordnungsmäßige Buchführung dienen, werden gemäß<br />
den gesetzlich erforderlichen Aufbewahrungsfristen archiviert.<br />
Risiko: für einzelne Belegobjekte wird die automatische zwangsprotokollierung ausgesetzt.<br />
dadurch werden die gesetzlich erforderlichen änderungsnachweise nicht mehr erzeugt.<br />
änderungsbelege werden vor der vorgesehenen frist für die archivierung gelöscht.<br />
wer darf Objekte von änderungsbelegen verwalten?<br />
Risiko: das Protokollieren von änderungen kann vorsätzlich ausgesetzt werden, indem einträge<br />
zu definierten änderungsbelegobjekte geändert werden.<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = ScdO<br />
S_Scd0 (änderungsbelege) mit aktivität 12 (Pflegen)<br />
änderungsbelegobjekte des SaP-Systems (auslieferungsstand) dürfen nicht geändert werden.
nr. nachVOllziehBarKeit VOn änderUnGen an taBellen im PrOdUKtiVSyStem<br />
2.2<br />
H<br />
2.3<br />
H<br />
2.4<br />
H<br />
3.<br />
3.1<br />
H<br />
3.2<br />
H<br />
wurden Standard SaP änderungsbelegobjekte geändert?<br />
report rSScd100, Selektion im feld „Objektklasse“ auf das änderungsbelegobjekt aendBeleG.<br />
änderungsbelegobjekte des SaP-Systems (auslieferungsstand) dürfen nicht geändert werden.<br />
wer darf änderungsbelege löschen?<br />
Risiko: das SaP-System stellt den report rScdOK99 bereit, mit der änderungsbelege gelöscht<br />
werden können. wenn diese änderungsbelege nicht zusätzlich archiviert worden sind, ist die<br />
nachvollziehbarkeit nicht mehr gewährleistet.<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sa38 oder Se38<br />
S_Scd0 (änderungsbelege) mit aktivität 06 (löschen)<br />
dieses zugriffsrecht ist im Produktivsystem nur für notfallbenutzer zu vergeben.<br />
wer darf daten ohne archivierung löschen?<br />
Risiko: zur archivierung vorgesehene daten können gelöscht werden, bevor sie archiviert<br />
worden sind.<br />
report rSUSr002 mit den eingaben:<br />
S_admi_fcd (Systemberechtigungen) mit wert rSet<br />
dieses zugriffsrecht darf im Produktivsystem nicht vergeben oder nur für notfallbenutzer<br />
zugelassen sein.<br />
Kontrollziel: Generelle Berechtigungen für Tabellen sind nicht oder sehr restriktiv<br />
vergeben.<br />
Risiko: Benutzer erhalten entgegen den beiden Vergabeprinzipien „Geringster Berechtigungsumfang“<br />
und „funktionstrennung“ universelle Berechtigungen, tabellen zu ändern. manipulation an<br />
dem regelwerk der Buchhaltung und an buchhaltungsrelevanten daten wird dadurch ermöglicht.<br />
wer darf alle mandantenabhängigen tabellen ändern?<br />
Risiko: nicht autorisierte Benutzer können tabellen ändern, deren inhalte rechnungslegungsrelevant<br />
sind.<br />
report rSUSr002 mit den eingaben:<br />
S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe „*“ (alle tabellen).<br />
dieses universelle tabellenänderungsrecht ist im Produktivsystem nur an notfallbenutzer zu vergeben.<br />
SOS: Users are authorized to maintain all tables (0514)<br />
wer darf alle mandantenunabhängigen tabellen ändern?<br />
Risiko: Benutzer können Systemeinstellungen ändern, die das SaP interne Kontrollsystem<br />
betreffen, z. B. mandanten für tabellenänderungen freischalten.<br />
report rSUSr002 mit den eingaben:<br />
S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe „*“ (alle tabellen)<br />
S_taBU_cli (tabellenpflege mandantenunabhängiger tabellen) mit Kennzeichen X<br />
(ändern mandantenunabhängiger tabellen)<br />
diese Berechtigung darf im Produktivsystem nur an die Systemadministration vergeben werden.<br />
SOS: Users are authorized to Perform customizing in the Production System (0309)<br />
Seite 57 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 58<br />
5 Systemintegrität auf der Anwendungsebene<br />
nr. nachVOllziehBarKeit VOn änderUnGen an taBellen im PrOdUKtiVSyStem<br />
3.3<br />
3.4<br />
welche Benutzer haben ändernden zugriff auf die tabellenberechtigungsgruppe &nc&.<br />
Risiko: hiermit wird der änderungszugriff auf eine große anzahl tabellen ermöglicht, bei SaP<br />
enterprise, ca. 15.000, darunter 3.000 tabellen, die manuell änderbar sind.<br />
report rSUSr002 mit den eingaben:<br />
S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe &nc& (default<br />
tabellenberechtigungsgruppe)<br />
dieses zugriffsrecht ist restriktiv zu vergeben.<br />
welche Benutzer dürfen alle tabellen über rfc zugriff einsehen?<br />
report rSUSr002 mit den eingaben:<br />
S_rfc (Berechtigungsprüfung beim rfc-zugriff) mit aktivität 16 (ausführen) und rfc-typ fUGr<br />
(funktionsgruppe) und rfc-name SdtX<br />
S_taBU_diS (tabellenpflege) mit aktivität 03 (lesen) und Berechtigungsgruppe „*“ (alle tabellen).<br />
diese Berechtigung darf im Produktivsystem nur an die Systemadministration vergeben werden.<br />
SOS: Users - Other than the Key Users - are authorized to Visualize all tables via rfc (0245)<br />
5.7 PrüfPrOGramm: OrdnUnGSmäSSiGe VerBUchUnG<br />
nr. OrdnUnGSmäSSiGe VerBUchUnG<br />
1.<br />
1.1<br />
H<br />
1.2<br />
Kontrollziel: Buchungssätze, die in <strong>SAP</strong> eingegeben sind, sind auch systemtechnisch<br />
vollständig, richtig und zeitnah in der <strong>SAP</strong>-Datenbank verbucht worden.<br />
Risiko: anforderungen an die Ordnungsmäßigkeit der Buchhaltung sind nicht eingehalten. es<br />
existieren systemintern nicht verarbeitete Verbuchungssätze, die keiner überwachung und<br />
weiterverarbeitung unterliegen. aufgetretene nicht verarbeitete Verbuchungssätze sind nicht<br />
erkannt und bearbeitet, sondern vom System automatisch gelöscht worden.<br />
wer untersucht die tabelle VBlOG regelmäßig auf abgebrochene Verbuchungen?<br />
> report rfVBer00 mit der Selektion auf den mandanten<br />
> transaktion Sm21, auswahl „alle entf. Syslogs“, „von datum“ und „bis datum“ eingeben,<br />
wechsel in den expertenmodus über den menüpunkt „Bearbeiten – expertenmodus“, über die<br />
Schaltfläche „meld.kennungen“ auf folgende meldung einschränken: r65 „ein Verbuchungsauftrag<br />
ist abgebrochen.“<br />
wie sind die Parameter für Verbuchungsabbrüche gesetzt (rdisp/vb*)?<br />
aiS: System audit - top ten Security reports – Profilparameter anzeigen<br />
aiS: System audit – System Konfiguration – Parameter – Systemparameter, übersicht mit historie<br />
aiS: System audit – System Konfiguration – Parameter – Systemparameter mit doku.<br />
> rdisp/vb_delete: dauer der aufbewahrung der abgebrochenen Verbuchungssätze im System<br />
bis<br />
zum automatischen löschen in tagen (Standardwert: 50 tage)<br />
> rdisp/vb-mail: aktivierung des Versands eines emails (Standardwert: 1 - es wird eine email<br />
verschickt.)<br />
> rdisp/vb_mail_user_list: liste aller email-adressaten, die über den Verbuchungsabbruch zu
nr. OrdnUnGSmäSSiGe VerBUchUnG<br />
1.3<br />
1.4<br />
wer ist berechtigt, Verbuchungsparameter zu ändern?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = rz10<br />
S_rzl_adm (rechenzentrumsleitstand) mit aktivität 01 (anlegen und ändern).<br />
wer ist berechtigt, Verbuchungen zu verwalten?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm13 oder Sm14<br />
S_admi_fcd (Systemadministration) mit funktion Uadm (Verbuchungsadministration).<br />
5.8 PrüfPrOGramm: SchUtz SicherheitSKritiScher SyStemeinStellUnGen<br />
Und BaSiSBerechtiGUnGen<br />
nr. SchUtz SicherheitSKritiScher SyStemeinStellUnGen Und BaSiSBerechtiGUnGen<br />
1.<br />
1.1<br />
H<br />
1.2<br />
Kontrollziel: Das Ändern von Profilparametern erfolgt auftragsbezogen nur durch die<br />
Systemadministration.<br />
Risiko: Profilparameter werden nicht autorisiert geändert. es wird z. B. ein sicherheitsrelevanter<br />
Parameter außer Kraft gesetzt. aufgrund einer fehlerhafter Setzung wird eine Betriebsstörung<br />
beim nächsten restart verursacht.<br />
wer darf Profilparameter ändern?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = rz10<br />
S_rzl_adm (rechenzentrumsleitstand) mit aktivität 01 (anlegen und ändern)<br />
dieses zugriffsrecht ist nur für Systemadministratoren zuzulassen.<br />
SOS: Users - Other than the System administrators – are authorized to maintain System Profiles<br />
(0152)<br />
wie sind die Parameter für Verbuchungsabbrüche gesetzt (rdisp/vb*)?<br />
aiS: System audit - top ten Security reports – Profilparameter anzeigen<br />
aiS: System audit – System Konfiguration – Parameter – Systemparameter, übersicht mit historie<br />
aiS: System audit – System Konfiguration – Parameter – Systemparameter mit doku.<br />
> rdisp/vb_delete: dauer der aufbewahrung der abgebrochenen Verbuchungssätze im System bis<br />
zum automatischen löschen in tagen (Standardwert: 50 tage)<br />
> rdisp/vb-mail: aktivierung des Versands eines emails (Standardwert: 1 - es wird eine email<br />
verschickt.)<br />
> rdisp/vb_mail_user_list: liste aller email-adressaten, die über den Verbuchungsabbruch zu<br />
informieren sind – neben dem Verursacher (Standardwert: $actUSer).<br />
Seite 59 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 60<br />
5 Systemintegrität auf der Anwendungsebene<br />
nr. SchUtz SicherheitSKritiScher SyStemeinStellUnGen Und BaSiSBerechtiGUnGen<br />
2.<br />
2.1<br />
2.2<br />
2.3<br />
2.4<br />
2.5<br />
2.6<br />
Kontrollziel: Das Ändern der <strong>SAP</strong> Standardtransaktionen oder Anlegen und Ändern eigenentwickelter<br />
Transaktionen erfolgt auftragsbezogen und ist dokumentiert.<br />
Die Funktionstrennung zwischen Benutzer, Anwendungsentwicklung und Systemadministration<br />
ist eingehalten.<br />
Risiko: SaP Standardtransaktionen oder eigenentwickelte transaktionen werden unbefugt<br />
geändert, gesperrt oder entsperrt.<br />
wer darf transaktionen anlegen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Se93<br />
S_deVelOP (anwendungsentwicklung) mit aktivität 01 (anlegen) und Objekttyp tran (transaktionen).<br />
diese Berechtigung darf nur an die Systemadministration vergeben werden.<br />
wer darf transaktionen ändern?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Se93<br />
S_deVelOP (anwendungsentwicklung) mit aktivität 02 (ändern) und Objekttyp tran (transaktionen)<br />
und Objektname = „*“ (alle transaktionen) oder = „name einer transaktion, die geändert<br />
werden darf“.<br />
diese Berechtigung darf nur an die Systemadministration vergeben werden.<br />
wurden neue transaktionen angelegt?<br />
tabelle tStc, Selektion im feld tcOde auf y* bis z*.<br />
Sind die neuen transaktionen durch Berechtigungsobjekte geschützt?<br />
tabelle tStca, Selektion im feld tcOde auf y* bis z*.<br />
alle in der tabelle tStc eingetragenen neuen transaktionen müssen auch in der tabelle tStca<br />
enthalten sein.<br />
wer darf transaktionen sperren?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm01<br />
S_admi_fcd (Systemberechtigung) mit funktion tlcK (transaktionen sperren)<br />
diese Berechtigung darf nur an die Systemadministration vergeben werden.<br />
SOS: User - Other than the System administrators – are authorized to lock/Unlock transactions<br />
(0157)<br />
welche transaktionen sind gesperrt?<br />
aiS System audit – entwicklung / customizing – transaktionen – Gesperrte transaktionen.<br />
zu den gesperrten transaktionen muss es eine dokumentierte Vorgabe geben.
nr. SchUtz SicherheitSKritiScher SyStemeinStellUnGen Und BaSiSBerechtiGUnGen<br />
3.<br />
H<br />
3.1<br />
3.2<br />
H<br />
3.3<br />
H<br />
3.4<br />
H<br />
Kontrollziel: Anlegen, Ändern und Löschen von Einträgen zu Betriebssystemkommandos<br />
erfolgt auftragsbezogen und ist dokumentiert. Möglicher Missbrauch wird überwacht. Die<br />
Funktionstrennung zwischen Benutzer, Anwendungsentwicklung und Systemadministration<br />
ist eingehalten.<br />
Risiko: Bei nicht autorisierter oder unsachgemäßer nutzung der Betriebssystembefehle ist die<br />
integrität und Verfügbarkeit des SaP-Systems sowie die datenintegrität gefährdet.<br />
die Betriebssystembefehle laufen unter den höchst privilegierten Berechtigungen desjenigen<br />
Systembenutzers auf der Betriebssystemebene, der das SaP-System gestartet hat. dieser hat<br />
i.d.r. uneingeschränkten zugriff auf das SaP-System.<br />
welche logischen Betriebssystemkommandos sind vorhanden?<br />
aiS: System audit – Systemkonfiguration – Betriebssystem – zugriffsrechte für SaP directories -<br />
Betriebssystemaufrufe erlaubt (tatsächlich?)<br />
aiS: System audit – Systemkonfiguration – Betriebssystem – zugriffsrechte für SaP directories –<br />
externer OS-Kommandos (tatsächlich?)<br />
Oder tabellen SXPGcOStaB (Betriebssystemkommandos, die das Unternehmen angelegt hat) und<br />
SXPGcOtaBe (Betriebssystembefehle, die von SaP angelegt wurden).<br />
es dürfen nur die von SaP ausgelieferten und die zusätzlich autorisierten Betriebssystemkommandos<br />
eingetragen sein.<br />
wurden logische Betriebssystemkommandos angelegt und wieder gelöscht?<br />
tabelle SXPGhiStOr (historie über die logischen Betriebssystemkommandos), einträge c (create)<br />
und d (delete) im feld mOdifier.<br />
das anlegen und löschen von Betriebssystemkommandos muss freigegeben und dokumentiert<br />
sein<br />
wer darf neue Betriebssystemkommandos anlegen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm69<br />
S_rzl_adm (rechenzentrumsleitstand) mit aktivität 01 (anlegen und ändern)<br />
dieses zugriffsrecht ist im Produktivsystem nur für notfallbenutzer zuzulassen.<br />
SOS: Users - Other than the System administrators – are authorized to define external OS<br />
commands (0171)<br />
wer darf alle Betriebssystemkommandos ausführen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm49<br />
S_lOG_cOm (ausführen logischer Betriebssystemkommandos) mit „*“ (alle möglichen werte) in<br />
allen feldern (Kommando, Betriebssystem, Servername).<br />
dieses zugriffsrecht ist im Produktivsystem nur für notfallbenutzer zuzulassen.<br />
SOS: Users - Other than the System administrators – are authorized to execute external OS<br />
commands (0171)<br />
Seite 61 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 62<br />
5 Systemintegrität auf der Anwendungsebene<br />
nr. SchUtz SicherheitSKritiScher SyStemeinStellUnGen Und BaSiSBerechtiGUnGen<br />
3.5<br />
H<br />
3.6<br />
H<br />
4.<br />
4.1<br />
H<br />
4.2<br />
H<br />
wer darf mit dem report rSBdcOS0 beliebige Betriebssystemkommandos ausführen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm49, Sm69<br />
S_rzl_adm (rechenzentrumsleitstand) mit aktivität 01 (anlegen und ändern)<br />
S_lOG_cOm (ausführen logischer Betriebssystemkommandos) mit Kommando = rSBdcOS0 und<br />
„*“ (alle möglichen werte) in den beiden restlichen feldern „Betriebssystem“ und „Servername“.<br />
dieses zugriffsrecht ist im Produktivsystem nur den notfallbenutzer zuzulassen.<br />
wurde der report rSBdcOS0 eingesetzt?<br />
Risiko: der report rSBdcOS0 ermöglicht das unmittelbare und uneingeschränkte absetzen von<br />
Betriebssystemkommandos aus der SaP Bedienoberfläche heraus.<br />
Hinweis: im Systemlog, Syslog, werden Start des reports und inhalt des Betriebssystemkommandos<br />
protokolliert.<br />
transaktion Sm21, Umschalten auf expertenmodus und auswertung der meldungsnummer lc0<br />
über die Schaltfläche „meld.kennungen“.<br />
die unmittelbare einmalige eingabe von Betriebssystemkommandos über das Programm<br />
rSBdcOS0 ist im Produktivsystem nicht zulässig, seine ausführung ist zu überwachen und Verstöße<br />
sind zu verfolgen.<br />
Kontrollziel: Gewährleistung der Integrität von System und Daten durch restriktive<br />
Vergabe der systemübergreifenden Funktionsaufrufen.<br />
einhaltung der funktionstrennung zwischen Benutzern, entwicklern und Systemadministration.<br />
Hinweis: SaP stellt Berechtigungen für die kontrollierte nutzung systemübergreifender<br />
funktionsaufrufen bereit. „Systemübergreifend“ ist zum einen vertikal zu verstehen, z. B.<br />
zwischen SaP anwendung und Betriebssystem, und zum anderen horizontal, z. B. zwischen<br />
verschiedenen SaP-Systemen oder zwischen SaP-Systemen und fremdsystemen.<br />
Risiko: nicht autorisierte nutzung systemübergreifender funktionsaufrufe durch entwickler und<br />
Systemadministration. Schwachstelle in der systemübergreifenden Kommunikation, die von<br />
einem hacker ausgenutzt werden kann, um von einem bereits übernommenen System auf das<br />
nächste zu gelangen („iland-hopping“).<br />
wer hat uneingeschränkte Berechtigung für den zugriff auf Betriebssystemdateien aus aBaP-<br />
Programmen?<br />
report rSUSr002 mit den eingaben: S_dataSet mit „*“ in allen feldern oder mit aktivität 34<br />
(Schreiben oder löschen einer datei) und „*“ in den restlichen feldern.<br />
diese Berechtigung ist im Produktivsystem nur notfallbenutzern vorbehalten, im ausnahmefall<br />
auch Systemadministratoren.<br />
für Standardabläufe müssen mindestens der dateiname und die aktivität spezifiziert sein.<br />
wer hat uneingeschränkte Berechtigung für cPic aufrufe aus aBaP-Programmen?<br />
report rSUSr002 mit den eingaben:<br />
S_cPic (cPic-aufruf aus aBaP) mit „*“ in allen feldern.<br />
diese Berechtigung ist im Produktivsystem nur notfallbenutzern vorbehalten, im ausnahmefall<br />
auch Systemadministratoren.<br />
für Standardabläufe müssen mindestens der Programmname und die aktivität spezifiziert sein.<br />
der Benutzer im zielsystem darf kein Pseudo-Benutzer sein.
nr. SchUtz SicherheitSKritiScher SyStemeinStellUnGen Und BaSiSBerechtiGUnGen<br />
4.3<br />
H<br />
4.4<br />
H<br />
4.5<br />
H<br />
wer hat uneingeschränkte Berechtigung zum aufruf von c-Kernel funktionen aus aBaP-<br />
Programmen?<br />
report rSUSr002 mit den eingaben:<br />
S_c_fUnct (direkter aufruf von c-Kernel funktionen aus aBaP) mit „*“ in allen feldern.<br />
diese Berechtigung ist im Produktivsystem nur notfallbenutzern vorbehalten, im ausnahmefall<br />
auch Systemadministratoren.<br />
für Standardabläufe müssen mindestens der Programmname und die call-bare c-routine<br />
spezifiziert sein.<br />
wer hat uneingeschränkte Berechtigung zum aufruf von Ole-funktionen aus aBaP-Programmen?<br />
report rSUSr002 mit den eingaben:<br />
S_Ole_call (Ole-aufruf aus aBaP) mit „*“ in allen feldern.<br />
im Produktivsystem: nur notfallbenutzern vorbehalten, im ausnahmefall auch Systemadministratoren.<br />
für Standardabläufe müssen mindestens der Programmname und die Ole-anwendung<br />
spezifiziert sein.<br />
wer hat uneingeschränkte Berechtigung zum aufruf von Ole-funktionen aus aBaP-Programmen?<br />
report rSUSr002 mit den eingaben:<br />
S_Ole_call (Ole-aufruf aus aBaP) mit „*“ in allen feldern.<br />
im Produktivsystem: nur notfallbenutzern vorbehalten, im ausnahmefall auch Systemadministratoren.<br />
für Standardabläufe müssen mindestens der Programmname und die Ole-anwendung<br />
spezifiziert sein.<br />
Seite 63 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 64<br />
5 Systemintegrität auf der Anwendungsebene<br />
5.9 PrüfPrOGramm: SchUtz der rfc-aUfrUfe<br />
nr. SchUtz der rfc-aUfrUfe<br />
1.<br />
1.1<br />
1.2<br />
H<br />
1.3<br />
1.4<br />
Kontrollziel: Die Integrität von Systemen und Daten ist sicherzustellen. Nicht autorisierte<br />
Nutzung ist zu verhindern. Die Funktionstrennung zwischen Benutzer, Anwendungsentwicklung<br />
und Systemadministration ist einzuhalten.<br />
Risiko: wenn zu rfc-Verbindungen dialog-Benutzer und Kennwörter hinterlegt sind, kann ohne<br />
anmel-dung eine Verbindung aufgebaut und zu nicht autorisierten zwecken verwendet werden.<br />
rfc-anmeldungen werden nicht automatisch protokolliert, sodass sie nicht nachweisbar sind. es<br />
fehlt dann die Basis für recherchen bei missbrauchsverdacht.<br />
welche rfc-Verbindungen zu verschiedenen Systemen existieren auf dem untersuchten SaP-<br />
System?<br />
tabelle rfcdeS oder report rSrSdeSt.<br />
dabei ist keine Selektion vorzunehmen.<br />
oder<br />
aiS: System audit - top ten Security reports – rfc-destinations mit anmeldedaten<br />
aiS: System audit – System Konfiguration – Kommunikationsarten von SaP – rfc / SaP remote<br />
function call.<br />
existieren rfc-Verbindungen, in denen für dialogbenutzer Kennwörter hinterlegt sind?<br />
Selektionsmaske der tabelle rfcdeS oder des reports rSrSdeSt mit wert „v=%_Pwd“.über<br />
transaktion SU01d oder report rSUSr002 prüfen, ob die ausgewiesenen Benutzer in einem der<br />
mandanten des Systems existieren und ob es dialog- oder Servicebenutzer sind.<br />
Oder über den report rSrfcchK anzeigen lassen, zu welchen rfc-Verbindungen anmeldedaten<br />
hinterlegt sind.<br />
es dürfen keine dialog- oder Servicebenutzer im zielsystem eingetragen sein – bis auf die von<br />
SaP vergebenen rfc-Standardbenutzer, z. B. den des transport management Systems (tmS), und<br />
die Kommunikations- und Systembenutzer.<br />
Können rfc Verbindungen zu Benutzern mit abgelaufenen Passwörtern benutzt werden?<br />
aiS: System audit – top ten Security reports – Profilparameter anzeigen (generisch über rfc/*)<br />
der Systemparameter rfc/reject_expired_passwd muss auf „1“ gesetzt sein, um rfc Verbindungen<br />
über einen Benutzer mit abgelaufenem Kennwort auszuschließen.<br />
SOS: incoming rfc with expired Password is allowed (0234)<br />
wer kann rfc logon informationen einsehen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde mit Se16 oder Se16n oder Se17, Sm30 oder Sm31<br />
S_taBU_diS (tabellenpflege) mit aktivität 03 (lesen) und Berechtigungsgruppe „Sc“.<br />
diese Berechtigung darf nur an die Systemadministration vergeben werden.<br />
SOS: Users - Other than the System administrators – are authorized to access rfc logon information<br />
(0256)
nr. SchUtz der rfc-aUfrUfe<br />
1.5<br />
1.6<br />
H<br />
2.<br />
2.1<br />
2.2<br />
H<br />
2.3<br />
H<br />
wer kann rfc-Verbindungen verwalten?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm59<br />
S_admi_fcd (Systemberechtigung) mit funktion nadm (netzwerkadministration).<br />
diese Berechtigung darf nur an die Systemadministration vergeben werden.<br />
SOS: Users - Other than the System administrators – are authorized to administer rfc connections<br />
(0255)<br />
werden anmeldungen und funktionsbausteinaufrufe über rfc über das SaP Security audit log<br />
protokolliert und überwacht?<br />
transaktion Sm19 und auf folgende einträge prüfen:<br />
> Klassen: rfc-/cPic-anmeldungen und rfc funktionsbausteinaufrufe<br />
> ereignisse: „nur kritische“.<br />
diese angegebene mindestanforderung an die Protokollierung muss gegeben sein.<br />
SOS: Security critical events for end Users are not logged in the Security audit log (0136)<br />
Kontrollziel: RFC-Berechtigungen sind restriktiv zu vergeben. Nicht autorisierte Nutzung<br />
ist zu verhindern.<br />
Risiko: Verlust der Vertraulichkeit, integrität von Systemen und daten. die rfc-Berechtigung<br />
(S_rfc) ist nicht eingeschränkt und ermöglicht zugriff auf kritische funktionsbausteine, die<br />
missbräuchlich genutzt werden können.<br />
Hinweis: das Berechtigungsobjekt S_rfc ist nur für den aBaP Stack wirksam, nicht aber für den<br />
JaVa Stack.<br />
ist der Parameter auth/rfc_authority_check auf einen wert größer oder gleich 1 gesetzt sein,<br />
damit die Berechtigung S_rfc greift?<br />
aiS: System audit – top ten Security reports – Profilparameter anzeigen (generisch über auth/*)<br />
ist er mit dem wert 0 belegt, nimmt das System keine Prüfung auf die Berechtigung S_rfc vor.<br />
wer hat uneingeschränkte Berechtigung für rfc-zugriffe?<br />
report rSUSr002 mit den eingaben:<br />
S_rfc (rfc-zugriffsberechtigung) mit „*“ in allen feldern.<br />
im Produktivsystem: nur notfallbenutzern vorbehalten, im ausnahmefall auch Systemadministratoren.<br />
für Standardabläufe muss mindestens die funktionsgruppe unter dem namen des zu schützenden<br />
rfc-Objektes spezifiziert sein. der Benutzer im zielsystem darf kein Pseudo-Benutzer sein.<br />
wer kann alle oder bestimmte funktionsbausteine aufrufen, auch aus anderen Programmen?<br />
report rSUSr002 mit den eingaben:<br />
S_rfc (Berechtigungsprüfung beim rfc-zugriff) mit aktivität 16 (ausführen) und rfc-typ fUGr<br />
(funktionsgruppe) und rfc-name mit dem wert „*“ oder den namen der funktionsgruppen.<br />
Hinweis: Kritische funktionsgruppen aufgrund kritischer funktionsbausteine sind z.B.<br />
> SySt, system interface, mit dem funktionsbaustein SyStem_remOte_lOGin<br />
> Srfc, rfc Verwaltung, mit dem funktionsbaustein rfc_lOGin<br />
> SUtl, Utilities, mit dem funktionsbaustein rfc_aBaP_inStall_and_rUn.<br />
S_rfc darf nur an die Benutzer restriktiv vergeben werden, die für die Verwaltung von Schnittstellen<br />
zuständig sind, oder an die Systemadministration.<br />
SOS: Users - Other than the communication Users - are authorized to run any rfc function<br />
(0241)<br />
Seite 65 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 66<br />
5 Systemintegrität auf der Anwendungsebene<br />
nr. SchUtz der rfc-aUfrUfe<br />
2.4<br />
H<br />
3.<br />
3.1<br />
H<br />
4.<br />
welche Benutzer dürfen alle tabellen über rfc zugriff einsehen?<br />
report rSUSr002 mit den eingaben:<br />
S_rfc (Berechtigungsprüfung beim rfc-zugriff) mit aktivität 16 (ausführen) und rfc-typ fUGr<br />
(funktionsgruppe) und rfc-name SdtX (desktop access)<br />
S_taBU_diS (tabellenpflege) mit aktivität 03 (lesen) und Berechtigungsgruppe „*“ (alle tabellen).<br />
Hinweis: die funktionsgruppe SdtX (desktop access) beinhaltet den funktionsbaustein rfc_<br />
read_taBle, external access to r/3 tables via rfc.<br />
hinweis: weitere kritische funktionsgruppen von funktionsbausteinen mit umfassender<br />
leseberechtigung sind z.B.<br />
> Srtt, funktionen zum remote-tabellentransport, mit funktionsbausteinen, die das holen von<br />
tabellen aus anderen Systemen und das anzeigen von tabelleninhalten ermöglichen.<br />
> Bdch, ale-Konsistenzprüfungen, u.a. mit einem funktionsbaustein, der das holen von<br />
tabellen aus einem anderen Systemen ermöglicht.<br />
diese Berechtigung darf im Produktivsystem nur an die Systemadministration vergeben werden.<br />
SOS: Users - Other than the Key Users - are authorized to Visualize all tables via rfc (0245)<br />
Kontrollziel: Keine nicht autorisierten Softwareänderungen auf dem Produktivsystem<br />
über den universell einsetzbaren Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN.<br />
Risiko: die vorgesehenen Kontrollen des Software-change-management für das Produktivsystem<br />
können damit unterlaufen werden. manipulationen an Programmen und daten sowie<br />
löschung von änderungsbelegen können damit durchgeführt werden.<br />
wer kann den höchst kritischen funktionsbaustein rfc_aBaP_inStall_and_rUn aufrufen?<br />
damit können aBaP-Quelltexte an das SaP-System zur ausführung übergeben werden.<br />
report rSUSr002 mit den eingaben:<br />
S_rfc (Berechtigungsprüfung beim rfc-zugriff) mit aktivität 16 (ausführen) und rfc-typ fUGr<br />
(funktionsgruppe) und rfc-name SUtl (Utilities)<br />
S_admi_fcd (Systemberechtigung) mit funktion memO (Speicherverwaltung)<br />
S_deVelOP (anwendungsentwicklung) mit aktivität 03 (anzeigen) und Objekttyp PrOG (aBaP-<br />
Programme).<br />
das zugriffsrecht zum ausführen dieses funktionsbausteins darf insbesondere im Produktivsystem<br />
keinem Benutzer vergeben werden.<br />
Kontrollziel: Sicherer Einsatz von „Trusted System“ Beziehungen.<br />
Hinweis 1: dabei handelt es sich um eine definierte Vertrauensbeziehung zwischen einem<br />
vertrauenden System (trusting System), sozusagen als ziel-System oder lieferndes System, und<br />
einem System, dem vertraut wird (trusted System), sozusagen als Satelliten-System oder<br />
anfragendem System.<br />
Hinweis 2:über das Berechtigungsobjekt S_rfcacl wird im ziel-System festgelegt, welche<br />
Benutzer aufrufe ohne Kennwortprüfung durchführen dürfen.<br />
Risiko: Verlust der Vertraulichkeit, integrität von Systemen und daten.<br />
> Von einem beliebigen System aus können Benutzer aufrufe ohne Kennwortanmeldung in<br />
einem vertrauenden System durchführen.<br />
> Von einem System aus, dem vertraut wird, können beliebige Benutzer anonym einen Benutzer<br />
mit umfassenden Berechtigungen im vertrauenden System nutzen.
nr. SchUtz der rfc-aUfrUfe<br />
4.1<br />
4.2<br />
H<br />
4.3<br />
H<br />
wer kann die einstellungen für ein trusted (1) und ein trusting Systems (2) verwalten?<br />
(1) report rSUSr002 mit den eingaben:<br />
S_tcOde mit Smt1<br />
S_admi_fcd (Systemberechtigungen) mit aktivität nadm (netzadministration).<br />
diese Berechtigung darf nur an die Systemadministration vergeben werden.<br />
SOS: Users - Other than the System administrators – are authorized to maintain trusted Systems<br />
(0240)<br />
(2) report rSUSr002 mit den eingaben:<br />
S_tcOde mit Smt2<br />
S_admi_fcd (Systemberechtigungen) mit aktivität nadm (netzadministration).<br />
diese Berechtigung darf nur an die Systemadministration vergeben werden.<br />
SOS: Users - Other than the System administrators – are authorized to maintain trusting<br />
Systems (0268)<br />
welche uneingeschränkten Vertrauensbeziehungen für rfc-zugriffe aus Satellitensystemen<br />
bestehen in einem vertrauenden System?<br />
im vertrauenden System report rSUSr002 mit den eingaben:<br />
S_rfcacl (Berechtigungsprüfung für rfc-Benutzer) mit „*“ in allen feldern.<br />
mindestens die felder „rfc_SySid“ (Kennung des rufenden Systems bzw. domäne des<br />
Satellitensystems) und „rfc_client“ (mandant des rufenden Systems) müssen spezifiziert sein.<br />
SOS: Users authorized for trusted rfc (Object S_rfcacl) (0239)<br />
welche Benutzer mit welchem Berechtigungsumfang sind auf dem vertrauenden System (tristing<br />
System) der jeweiligen Vertrauensbeziehung zugeordnet?<br />
1. nach bestehenden Vertrauensbeziehungen auf dem trusting System suchen:<br />
transaktion Stm1<br />
Oder<br />
transaktion Se16(n) (tabellenanzeige) für tabelle rfcSySacl<br />
2. ausführenden Benutzer und seinen Berechtigungsumfang auf dem vertrauenden System feststellen<br />
über das Programm rSUSr002 oder über transaktion SUim prüfen, welche Benutzer mit dem<br />
Objekt S_rfcacl berechtigt sind.<br />
im feld rfc_USer prüfen, ob im System, dem vertraut wird, mit derselben Benutzerkennung<br />
oder mit einem anderen Benutzer die rfc Verbindung aufgebaut wird.<br />
3. auf dem System, dem vertraut wird, prüfen, unter welchem Benutzer der zugriff auf das vertrauende<br />
System erfolgt:<br />
> über die transaktion Sm59 die rfc Verbindung feststellen<br />
> im register „anmeldung/Sicherheit“ prüfen, ob es sich um eine Vertrauensbeziehung handelt.<br />
das feld „trusted System“ ist dann auf „ja“ gesetzt.<br />
> im register „anmeldung/Sicherheit“ prüfen, ob mit dem aktuellen Benutzer oder mit einem<br />
anderen Benutzer im vertrauenden System die rfc Verbindung aufgebaut wird.<br />
Unzulässig sind Vertrauensbeziehungen, in denen beliebige Benutzer eines Systems, dem<br />
vertraut wird, einen Benutzer des vertrauenden Systems aufrufen können. im vertrauenden<br />
System muss nachvollziehbar sein, welcher aufrufende Benutzer aktiv war.<br />
SOS: Users authorized for trusted rfc (Object S_rfcacl) (0239)<br />
Seite 67 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 68<br />
5 Systemintegrität auf der Anwendungsebene<br />
5.10 PrüfPrOGramm: SchUtz der Batch-inPUt-PrOzeSSe<br />
nr. SchUtz der Batch-inPUt-PrOzeSSe<br />
1.<br />
1.1<br />
1.2<br />
1.3<br />
Kontrollziel: Die ordnungsmäßige Verarbeitung der Geschäftsdaten und des Buchungsstoffs<br />
ist sichergestellt.<br />
1. die Vollständigkeit, richtigkeit und zeitgerechtigkeit der Verarbeitung ist sicherzustellen,<br />
insbesondere bei daten der Buchhaltung.<br />
2. über arbeitsanweisungen ist sichergestellt, dass die Vollständigkeit der Verarbeitung überwacht<br />
wird und die notwendigen maßnahmen zur nachbearbeitung von Belegen durchgeführt<br />
werden.<br />
3. das interne Kontrollsystem verlangt eine funktionstrennung zwischen planender, ausführender<br />
und überwachender Stelle.<br />
Risiko: Belege werden nicht verarbeitet. fehlerhafte oder nicht vollständige Belege werden nicht<br />
korrigiert. die gleichen Belege werden mehrfach eingelesen. Belege werden in falscher<br />
reihenfolge bearbeitet, z. B. Stammdatenänderungen nach Buchungen, die diese Stammdatenänderungen<br />
zur Voraussetzung hatten. fehler- und Verarbeitungsprotokolle werden gelöscht, bevor<br />
sie als hinweise für notwendige Korrekturen oder als nachweise der ordnungsmäßigen<br />
Verarbeitung verwendet worden sind.<br />
Kontrollfragen zum Prozess:<br />
> Gibt es eine übersicht über alle Batch-input-Schnittstellen, z. B. mit den folgenden angaben:<br />
abgebendes arbeitsgebiet, dateninhalt, dateiname, Periode, mappen-name, Verarbeitungsjob,<br />
relevante tabellen, abstimmkreis, Verantwortlichkeit?<br />
> welche anwender dürfen welche mappen erstellen, starten, korrigieren oder löschen?<br />
> Gibt es eine übersicht, welche mappen-namen für welche abteilung reserviert sind?<br />
> wer stimmt den Buchungsstoff der verarbeiteten mappen ab?<br />
> wer kontrolliert, dass die daten aus den Vorsystemen vollständig, richtig und zeitgerecht<br />
übernommen werden? wird insbesondere ein mehrfaches einlesen der gleichen Belege<br />
verhindert? werden insbesondere die dateien nach dem einlesen gesichert und gelöscht?<br />
> Sind die internen Kontrollen zwischen Vorsystemen und dem zielsystem gewahrt, in dem die<br />
mappen abgespielt werden?<br />
analyse der Batch-input-mappen<br />
aiS: System audit – hintergrundverarbeitung – Batch input monitoring<br />
wer darf alle Batch-input-mappen uneingeschränkt verwalten?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm35<br />
S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität „*“ und mappennamen = „*“<br />
oder speziell auf alle kritischen Verwaltungsaktionen bezogen:<br />
S_Bdc_mOni (Batch-input-Berechtigung) mit aktivitäten aBtc (hintergrundverarbeitung) , free<br />
(freigeben), lOcK (Sperren), dele (löschen) und reOG (reorganisieren) und mappennamen<br />
= „*“.<br />
diese Berechtigung ist nur an Systemadministratoren zu vergeben.
nr. SchUtz der Batch-inPUt-PrOzeSSe<br />
1.4<br />
1.5<br />
1.6<br />
1.7<br />
1.8<br />
1.9<br />
wer kann Batch-input-mappen freigeben?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm35<br />
S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität free (mappen freigeben) und mappennamen<br />
= *.<br />
hierbei ist die funktionstrennung (Vieraugenprinzip) einzuhalten.<br />
wer kann Batch-input-mappen und Protokolle analysieren?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm35<br />
S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität anal (mappen und Protokolle analysieren)<br />
und mappennamen = *.<br />
hierbei ist die funktionstrennung (Vieraugenprinzip) einzuhalten.<br />
wer kann Batch-input-mappen im dialogbetrieb oder im hintergrund verarbeiten?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm35<br />
S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität aBtc (mappen für die hintergrundverarbeitung<br />
übergeben) oder aOnl (mappen im dialogbetrieb abspielen) und mappennamen = *.<br />
wer kann Batch-input-mappen (ent-)sperren?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm35<br />
S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität lOcK (mappen sperren oder entsperren)<br />
und mappennamen = *.<br />
hierbei ist die funktionstrennung (Vieraugenprinzip) einzuhalten.<br />
wer kann Batch-input-mappen und Protokolle reorganisieren?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm35<br />
S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität reOG (mappen und Protokolle reorganisieren)<br />
und mappennamen = *.<br />
Risiko: Verarbeitungsnachweise können über einen reorganisationslauf gelöscht werden.<br />
hierbei ist die funktionstrennung (Vieraugenprinzip) einzuhalten.<br />
wer kann Batch-input-mappen löschen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm35<br />
S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität dele (mappen löschen) und mappennamen<br />
= *.<br />
Risiko: mappen z. B. mit relevantem Buchungsstoff können vor der weiterverarbeitung gelöscht<br />
werden.<br />
Seite 69 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 70<br />
5 Systemintegrität auf der Anwendungsebene<br />
nr. SchUtz der Batch-inPUt-PrOzeSSe<br />
2<br />
2.1<br />
2.2<br />
Kontrollziel: Gewährleistung des ordnungsmäßigen Programmeinsatzes und der<br />
Datenintegrität, wenn beim Direct-Input-Verfahren die Daten mit reduzierten Plausibilitätsprüfungen<br />
direkt in die Datenbank geschrieben werden.<br />
Risiko: es ist möglich, vorhandene datenbestände unprotokolliert zu verändern. Bei einer<br />
fehlerhaften anwendung ist die datenintegrität des Systems gefährdet.<br />
wird das Verfahren des direct-input genutzt?<br />
Prüfen über die transaktion BmV0 (Verwaltung von datenübernahmen).<br />
Kontrollfragen zum Prozess:<br />
> ist der einsatz des direct-input-Verfahrens dokumentiert?<br />
> wird der einsatz eines direct-input-ablaufs vor dem produktiven einsatz im testsystem<br />
getestet und nach dem Vier-augen-Prinzip freigegeben?<br />
> Gibt es eine Verfahrensanweisung, wie der Prozess des direct-input überwacht und wie<br />
fehlerhafte abläufe behandelt werden?<br />
5.11PrüfPrOGramm: SchUtz SicherheitSKritiScher anwendUnGS-<br />
BerechtiGUnGen<br />
nr. SchUtz SicherheitSKritiScher anwendUnGSBerechtiGUnGen<br />
1.<br />
1.1<br />
1.2<br />
Kontrollziel: Datenintegrität und Konsistenz der Datenbank sind zu gewährleisten.<br />
Risiko: Gefährdung der Konsistenz der datenbank bei nicht autorisiertem löschen von<br />
Sperrobjekten.<br />
wer darf Sperreinträge löschen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm12<br />
S_enQUe (anzeigen und löschen von Sperreinträgen) mit wert „*“ oder all (alle aktionen) oder<br />
mit wert dlfU (löschen Sperrobjekte fremder Benutzer im gleichen mandanten)<br />
die funktionen dlfU und all („*“) in S_enQUe sind restriktiv nur an Systemadministratoren zu<br />
vergeben. eine freischaltung von Sperreinträgen erfordert die schriftliche freigabe der fachabteilung.<br />
SOS: Users - Other than the System administrators – are authorized to maintain Other User‘s<br />
lock entries (0159)<br />
wer darf eigene Sperreinträge löschen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm12<br />
S_enQUe (anzeigen und löschen von Sperreinträgen) mit wert dlOU (löschen der Sperrobjekte<br />
des eigenen Benutzers)<br />
die funktion dlOU ist restriktiv nur an autorisierte Benutzer zu vergeben.<br />
SOS: Users - Other than the System administrators – are authorized to maintain Own lock<br />
entries (0166)
nr. SchUtz SicherheitSKritiScher anwendUnGSBerechtiGUnGen<br />
2<br />
2.1<br />
2.2<br />
2.3<br />
2.4<br />
2.5<br />
2.6<br />
Kontrollziel: Nachweisbare lückenlose Vergabe von Belegnummern<br />
Risiko: Belegnummern werden nicht lückenlos aus dem Vorsystem in das SaP-System übertragen.<br />
Kontrollfragen zum Prozess:<br />
> werden externe Belegnummern vergeben und in das SaP-System übernommen?<br />
> wie wird für die externe Vergabe von Belegnummern deren lückenlosigkeit gewährleistet?<br />
> wird das auftreten von lücken in den Belegnummern regelmäßig kontrolliert?<br />
> werden entstandene lücken in den Belegnummern dokumentiert?<br />
> liegt dazu die erforderliche Verfahrensdokumentation vor?<br />
Hinweis: es gibt drei Ursachen für lücken in Belegnummern: lücken können entweder bei der<br />
externen nummernvergabe oder aufgrund der SaP internen Belegnummernpufferung – falls aktiviert<br />
– oder dem SaP internen abbruch der datentechnischen Verbuchung in das datenbanksystem<br />
entstanden sein.<br />
welche nummernkreisobjekte gibt es im SaP-System?<br />
tabelle tnrO, eingabe von Selektionsparametern, z. B. X im feld „Pufferung“.<br />
welche nummernkreisobjekte sind gepuffert?<br />
tabelle tnrO, eingabe von Selektionsparameter X im feld „Pufferung“ .<br />
Hinweis: es dürfen keine nummernkreise gepuffert sein, für die eine lückenlose nummernvergabe<br />
erforderlich ist.<br />
ist speziell das nummernkreisobjekt rf-BeleG gepuffert?<br />
transaktion SnrO, eingabe des nummernkreisobjektes rf-BeleG.<br />
Hinweis: das nummernkreisobjekt rf_BeleG sollte nicht gepuffert sein.<br />
wenn es doch gepuffert ist, sind dann entstandene lücken in den Belegnummern durch die<br />
administration dokumentiert?<br />
Hinweis: lücken, die durch das herunterfahren einer instanz entstehen, sind zu dokumentieren.<br />
das Protokoll ist der finanzabteilung zu übermitteln.<br />
existieren lücken in den Belegnummern?<br />
report rfBnUm00n oder rfBnUm00 unter angabe eines Prüfungszeitraums in der Selektionsauswahl.<br />
Risiko: zum Jahresabschluss können die Ursachen für die lücken nicht mehr nachvollzogen werden.<br />
es sollten keine lücken in denjenigen Belegnummernkreisen existieren, die einer lückenlosen<br />
nummernvergabe unterliegen.<br />
Risiko: aufgetretene lücken werden nicht zeitnah erkannt, dokumentiert und geklärt.<br />
wird das auftreten von lücken in den Belegnummern regelmäßig kontrolliert?<br />
wer darf alle nummernkreisobjekte verwalten?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SnrO<br />
S_nUmBer (nummerkreisobjekt pflegen mit aktivität „*“ (alle aktionen) oder 01 (hinzufügen)<br />
oder 02 (anlegen, ändern oder löschen eines nummernkreisintervalls) oder 17 (nummernkreisobjekte<br />
pflegen) und name des nummernkreisobjektes = „*“.<br />
wer darf den nummernstand aller nummernkreise ändern?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SnUm<br />
S_nUmBer (nummerkreisobjekt pflegen mit aktivität 11 (nummernstand ändern) oder 13 (nummernstand<br />
initialisieren) und name des nummernkreisobjektes = „*“.<br />
Seite 71 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 72<br />
5 Systemintegrität auf der Anwendungsebene<br />
5.12 PrüfPrOGramm: SchUtz der JOB-aBläUfe<br />
nr. SchUtz der JOB-aBläUfe<br />
1.<br />
1.1<br />
1.2<br />
1.3<br />
1.4<br />
Kontrollziel: Bei der Berechtigungsvergabe von Verwaltungsfunktionen für Jobs ist<br />
sichergestellt, dass die Funktionstrennung zwischen Systemadministration und Benutzern<br />
eingehalten wird.<br />
Risiko: an Benutzer werden zu weit reichende Berechtigungen für die Verwaltung von Jobs<br />
vergeben. in Verbindung mit ihren aufgabenbezogenen Berechtigungen können sie nicht<br />
autorisierte änderungen an der Batch-Verarbeitung vornehmen, damit manipulationen an daten<br />
durchführen, sogar die Spuren erfolgter manipulation beseitigen.<br />
wer hat Vollzugriff auf die Batch-Verwaltung und darf hintergrundjobs in allen mandanten<br />
verwalten?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm36, Sm37<br />
S_Btch_adm (Batch-administrator/Job-Superuser) mit wert y.<br />
diese Berechtigung ist nur an Systemadministratoren zu vergeben.<br />
Risiko: nicht autorisierte nutzung dieser “Job-Superuser” Verwaltungsfunktion, z. B. können alte<br />
hintergrundjobs gelöscht werden, die unbefugt gelaufen sind.<br />
SOS: Users - Other than the Background administrators – are authorized to Schedule Jobs in<br />
Sm36 (0212)<br />
wer hat die Berechtigung für uneingeschränkte Batch-Job-Steuerung?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm36<br />
S_Btch_JOB (Batch-Job-Steuerung) mit aktion „*“ und Jobgruppe „*“.<br />
diese Berechtigung ist nur an Systemadministratoren zu vergeben. die SaP-hinweise 28 162 und<br />
1 001 146 sind zu beachten.<br />
SOS: Users - Other than the Background administrators – are authorized to Schedule Jobs in<br />
Sm36 (0212)<br />
wer darf seine eigenen Jobs freigeben?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm36<br />
S_Btch_JOB (Batch-Job-Steuerung) mit aktion rele und Jobgruppe „*“.<br />
die Berechtigung zur freigabe von Batch-Jobs ist bei einem geregelten freigabeprozess an eine<br />
andere funktion zu vergeben als an die funktion, die den Batch-Job selbst gestartet hat.<br />
SOS: Users - Other than the Background administrators – are authorized to Schedule Jobs in<br />
Sm36 (0212)<br />
wer darf Jobs in externen Kommandos freigeben?<br />
S_tcOde = Sm36<br />
S_Btch_adm (Batch-administrator/Job-Superuser) mit wert „y“<br />
S_Btch_JOB (Batch-Job-Steuerung) mit aktion „rele“<br />
S_rzl_adm (rechenzentrumsleitstand) mit aktivität 01 (anlegen und ändern).<br />
diese Berechtigung ist nur an Systemadministratoren zu vergeben.<br />
Risiko: nicht autorisierte ausführung externer Programme oder Kommandos.
nr. SchUtz der JOB-aBläUfe<br />
1.5<br />
1.6<br />
1.7<br />
H<br />
wer darf hintergrundjobs anderer Benutzer löschen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm36<br />
S_Btch_JOB (Batch-Job-Steuerung) mit aktion dele und Jobgruppe „*“.<br />
diese Berechtigung ist an Systemadministratoren zu vergeben. Jobs anderer Benutzer können<br />
durch eine Berechtigungsgruppe in den attributen vor dem zugriff nicht zugelassener Benutzer<br />
geschützt werden (Prinzip der geschlossenen Benutzergruppe).<br />
Risiko: nicht autorisierte nutzung, wenn Jobs anderer Benutzer gelöscht werden können.<br />
wer darf hintergrundjobs anderer Benutzer anzeigen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm36<br />
S_Btch_JOB (Batch-Job-Steuerung) mit aktion liSt und Jobgruppe „*“.<br />
diese Berechtigung ist an Systemadministratoren zu vergeben. Jobs anderer Benutzer können<br />
durch eine Berechtigungsgruppe in den attributen vor dem zugriff nicht zugelassener Benutzer<br />
geschützt werden (Prinzip der geschlossenen Benutzergruppe).<br />
Risiko: nicht autorisierte nutzung und Verlust der Vertraulichkeit, wenn Jobs anderer Benutzer<br />
eingesehen werden können.<br />
wer darf für hintergrundjobs beliebige Benutzer eintragen und starten?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm36 (in Step 1)<br />
S_Btch_nam (angabe des Batchbenutzernamens für Berechtigungsprüfung) mit einem wert ungleich<br />
leer<br />
S_Btch_adm (Batch-administrator/Job-Superuser) mit wert „y“<br />
oder S_Btch_JOB (Batch-Job-Steuerung) mit aktion „rele“<br />
diese Berechtigung darf nur an Systemadministratoren vergeben sein. Bitte den SaP-hinweis 101<br />
146 beachten!<br />
Risiko der nicht autorisierten nutzung: ein Benutzer könnte einen Job unter einem privilegierten<br />
Benutzer fahren, z. B. SaP*, um eine manipulation zu ermöglichen. es ist dann systemseitig nicht<br />
mehr nachzuvollziehen, wer diesen Job gestartet hat.<br />
SOS: Users - Other than the Background administrators – are authorized to Schedule Jobs Under<br />
another User id (0214)<br />
Seite 73 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 74<br />
5 Systemintegrität auf der Anwendungsebene<br />
5.13 PrüfPrOGramm: SchUtz der drUcKaUfträGe<br />
nr. SchUtz der drUcKaUfträGe<br />
1.<br />
1.1<br />
1.2<br />
1.3<br />
Kontrollziel: Sicheres Verwalten von Druckaufträgen<br />
Gemäß der Sicherheitsrichtlinie des Unternehmens sind die folgenden beiden SaP zugriffsberechtigungen<br />
zum Schutz von druckaufträgen angemessen zu aktivieren:<br />
> S_SPO_deV, Spooler Geräteberechtigungen und<br />
> S_SPO_act, Spooler aktionen.<br />
Betroffene fachabteilungen sind z. B. Personalabteilung, finanzbuchhaltung und controlling. die<br />
namenskonvention kann sich entweder nach dem modulnamen oder nach dem abteilungsnamen<br />
richten.<br />
Risiko: Vertrauliche informationen in druckaufträgen sind nicht gegen unbefugte Kenntnisnahme<br />
geschützt. (Streng) vertrauliche druckaufträge werden unbefugt gelesen oder auf fremde drucker<br />
umgeleitet und ausgedruckt. druckaufträge sind ungeschützt, sofern keine zusätzlichen SaPzugriffsberechtigungen<br />
für den Schutz der druckausgaben aktiviert sind.<br />
tückisch ist, dass der Benutzer den unbefugten informationsabfluss aufgrund zu weitreichender<br />
zugriffsberechtigungen auf zwischengespeicherte daten oder druckaufträge nicht als risiko<br />
kennt. recherchen, ob oder wie ein unbefugter informationsabfluss erfolgt ist, sind wegen der<br />
fehlenden Protokollierung erschwert oder bleiben ohne ergebnis. hinweis: druckaufträge sind<br />
mandantenübergreifend.<br />
Kontrollfragen zum Prozess:<br />
> Sind für jeden Benutzer die zulässigen drucker definiert?<br />
> werden druckaufträge mit (streng) vertraulichen daten mit einem Berechtigungswert geschützt?<br />
> Sind die Berechtigungen für druckaufträge mit (streng) vertraulichen daten restriktiv vergeben?<br />
transaktion SU03, Objektklasse Basis-administration,<br />
Objekt S_SPO_deV, - Verwendungsnachweis.<br />
wird bei druckaufträgen mit (streng) vertraulichen daten die einstellung „löschen nach angabe“<br />
eingesetzt?<br />
transaktion SU01, Stammdaten ausgewählter Benutzer anzeigen: prüfen, für welche Benutzer der<br />
eintrag „löschen nach angabe“ standardmäßig vorgegeben ist.<br />
Risiko: Standardmäßig verbleibt ein druckauftrag 8 tage im System (Spool-Verweildauer) und<br />
könnte in dieser zeit unbefugt eingesehen werden, wenn keine zusätzlichen zugriffskontrollen<br />
dies verhindern.<br />
wer darf inhalte von druckaufträgen einsehen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SP01 oder SP01O<br />
S_SPO_act (Spooler aktionen) mit aktionen SPOactiOn BaSe (Spool-aufträge auflisten) und<br />
diSP (inhalt eines Spool-auftrags anzeigen).
nr. SchUtz der drUcKaUfträGe<br />
1.4<br />
1.5<br />
wer darf inhalte der druckaufträge anderer Benutzer im gleichen mandanten einsehen?<br />
hinweis (druckaufträge sind geschützt): es ist möglich auf geschützte Spool-aufträge anderer<br />
Benutzer im aktuellen mandanten zuzugreifen, falls folgende Berechtigung vergeben ist:<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SP01 oder SP01O<br />
S_admi_fcd (Systemberechtigungen) mit wert SP0r (zugriff auf die Spool-aufträge anderer<br />
Benutzer im aktuellen mandanten)<br />
S_SPO_act (Spooler aktionen) mit aktionen SPOactiOn BaSe (Spool-aufträge auflisten) und<br />
diSP (inhalt eines Spool-auftrags anzeigen) sowie mit dem wert für die autorisierungsprüfung<br />
SPOaUth = „*“ oder __USer__.<br />
Hinweis: die zugriffsberechtigungen für die zugriffe auf den Spool sind in allen mandanten des<br />
Produktivsystems zu prüfen.<br />
diese Berechtigung ist nur an einen eingeschränkten Personenkreis zu vergeben, wenn dies<br />
aufgrund der unternehmensinternen risikoanalyse oder den unternehmensinternen Sicherheitsvorgaben<br />
gefordert ist.<br />
Risiko: Unberechtigter zugriff auf druckaufträge mit (streng) vertraulichen daten.<br />
SOS: Users – Other than the Spool admins – are authorized to display Other Users Spool<br />
requests (0192)<br />
SOS: Users – Other than the Spool admins – are authorized to display Protected Spool requests<br />
of Other Users (0198)<br />
wer darf inhalte der druckaufträge anderer Benutzer in allen mandanten einsehen?<br />
hinweis (druckaufträge sind geschützt): es ist möglich, aus einem mandanten auf Spool-aufträge<br />
anderer Benutzer in allen mandanten zuzugreifen, falls folgende Berechtigung vergeben ist:<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SP01 oder SP01O<br />
S_admi_fcd (Systemberechtigungen) mit wert SP01 (zugriff auf die Spool-aufträge anderer<br />
Benutzer in allen mandanten)<br />
S_SPO_act (Spooler aktionen) mit aktionen SPOactiOn BaSe (Spool-aufträge auflisten) und<br />
diSP (inhalt eines Spool-auftrags anzeigen) sowie mit dem wert für die autorisierungsprüfung<br />
SPOaUth = „*“ oder __USer__.<br />
diese Berechtigung ist nur an einen eingeschränkten Personenkreis zu vergeben, wenn dies aufgrund<br />
der unternehmensinternen risikoanalyse oder den unternehmensinternen Sicherheitsvorgaben<br />
gefordert ist.<br />
Risiko: Unberechtigter zugriff auf druckaufträge mit (streng) vertraulichen daten.<br />
SOS: Users – Other than the Spool admins – are authorized to display Other Users Spool<br />
requests (0192)<br />
SOS: Users – Other than the Spool admins – are authorized to display Protected Spool requests<br />
of Other Users (0198)<br />
Seite 75 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 76<br />
5 Systemintegrität auf der Anwendungsebene<br />
nr. SchUtz der drUcKaUfträGe<br />
1.6<br />
1.7<br />
wer darf die druckausgabe auf einen anderen drucker umleiten?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SP01S_admi_fcd (Systemberechtigungen) mit wert SP01 (zugriff auf die Spoolaufträge<br />
anderer Benutzer in allen mandanten) oder SP0r (zugriff auf die Spool-aufträge anderer<br />
Benutzer im aktuellen mandanten)<br />
S_SPO_act (Spooler aktionen) mit aktion redi (Umlenken auf drucker gleichen typs).<br />
diese Berechtigung ist nur an einen eingeschränkten Personenkreis zu vergeben.<br />
Risiko: druckaufträge mit (streng) vertraulichen daten, die nur für besondere drucker in kontrollierten<br />
Bereichen bestimmt sind, können unbefugt auf einen beliebigen drucker umgeleitet<br />
werden.<br />
Hinweis: die zugriffsberechtigungen für die zugriffe auf den Spool sind in allen mandanten des<br />
Produktivsystems zu prüfen.<br />
SOS: Users – Other than the Spool admins – are authorized to redirect a Print request to<br />
another Printer (0195)<br />
SOS: Users – Other than the Spool admins – are authorized to export a Print request (0196)<br />
Hinweis: aktion „dOwn“ (herunterladen über SaPOffice) statt „redi“.<br />
wer darf die Berechtigungswerte für druckaufträge, z. B. den eigentümer, ändern?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SP01<br />
S_admi_fcd (Systemberechtigungen) mit wert SP01 (zugriff auf die Spool-aufträge anderer<br />
Benutzer in allen mandanten) oder SP0r (zugriff auf die Spool-aufträge anderer Benutzer im<br />
aktuellen mandanten)S_SPO_act (Spooler aktionen) mit aktion aUth (Berechtigungswert eines<br />
auftrags ändern).<br />
diese Berechtigung ist nur an den eigentümer des druckauftrages zu vergeben.<br />
Risiko: Unberechtigter zugriff auf druckaufträge mit (streng) vertraulichen daten.<br />
Hinweis: die zugriffsberechtigungen für die zugriffe auf den Spool sind in allen mandanten des<br />
Produktivsystems zu prüfen.<br />
SOS: Users – Other than the Spool admins – are authorized to change the Owner of Spool<br />
requests (0194)
nr. SchUtz der drUcKaUfträGe<br />
1.8<br />
2.<br />
2.1<br />
wer hat einsicht in temSe-Objekte?<br />
Hinweis: die temSe ist eine ablage für temporäre sequentielle daten, d. h. in der temSe werden<br />
Objekte gespeichert, die normalerweise nicht dauerhaft im System gehalten werden. das Spool-<br />
System verwendet die temSe zum temporären Speichern von ausgabedaten.<br />
Jedes temSe-Objekt besteht aus einem Kopfeintrag in der tabelle tSt01 und dem eigentlichen<br />
Objekt. dieses kann im dateisystem abgelegt sein (z. B. bei Job-Protokollen) oder in der tabelle<br />
tSt03 (z. B. bei hr-daten).<br />
es gibt unter anderem folgende temSe-Objekte:<br />
> Spool-aufträge (temSe-name: Spool....)<br />
> Job-Protokolle (temSe-name: JOBlG...)<br />
> Objekte aus anderen anwendungen wie z. B. aus der Personalwirtschaft (temSe-name: hr)<br />
> ein Objekt, dessen name mit KOnS beginnt; dieses Objekt wird ständig vom report rSPO1043<br />
verwendet.<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde mit SP11 oder SP12<br />
S_tmS_act mit<br />
> StmSactiOn = rea und<br />
> (StmSOwner = GrP <br />
> oder Ocl ) und<br />
> StmSOBJect = SPOOl* .<br />
diese Berechtigung ist nur an einen eingeschränkten Personenkreis zu vergeben.<br />
Risiko: zwischengespeicherte (streng) vertrauliche daten, die nur für einen Benutzer bestimmt<br />
sind (eigentümer), können unbefugt von einem anderen Benutzer eingesehen werden. SOS:<br />
Users – Other than the Spool administrators – are authorized to display the temSe content<br />
(0193)<br />
Kontrollziel: Angemessene Vergabe der Berechtigung zum Download.<br />
Gemäß der Sicherheitsrichtlinie des Unternehmens darf die Berechtigung S_GUi zum exportieren<br />
von tabellen und listen nur an den zulässigen Personenkreis vergeben werden.<br />
Risiko: Verlust der Vertraulichkeit durch unberechtigte weitergabe (streng) vertraulicher daten.<br />
Verstoß gegen das datenschutzgesetz durch zweckentfremdung, nicht zulässige weitergabe von<br />
daten oder missbrauch bei der weiterverarbeitung von daten. Vertrauliche informationen z. B. der<br />
Personal- oder finanzabteilung können auf den Pc eines Benutzers heruntergeladen, dort<br />
geändert, mit anderen daten verknüpft, weiterverarbeitet oder an unbefugte dritte übermittelt<br />
werden.<br />
wer darf daten exportieren (Pc-download)?<br />
report rSUSr002 mit den eingaben:<br />
S_GUi mit aktivität 61 (exportieren).<br />
Hinweis: eine weitere spezifische einschränkung auf die art der information ist über dieses<br />
Objekt nicht möglich.<br />
Seite 77 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 78<br />
6 Software-Change-Management<br />
6.1 KOntrOllierte SOftwareänderUnGS- Und einSatzVerfahren<br />
die gesetzlichen anforderungen an ein dokumentiertes phasenorientiertes Softwareänderungs- und<br />
-einsatzverfahren mit den erforderlichen freigabekontrollen sind zu erfüllen.<br />
die SaP-Software bietet verschiedene softwaretechnische Konzepte und funktionen an, die die Steuerung<br />
und Kontrolle eines Software-change–managements unterstützen, z. B. das transport-management-<br />
System. diese Konzepte und funktionen sind entsprechend dem unternehmensindividuellen Konzept eines<br />
Software-change-managements auszuprägen und adäquat zu aktivieren.<br />
6.2 riSiKen<br />
> Konzept, aufgaben und zuständigkeiten für das Software-change-management einer SaP-Systemland-<br />
schaft sind nicht definiert.<br />
> die erforderlichen funktionstrennungen eines geordneten entwicklungs-, tests- und freigabeverfahrens<br />
sind nicht im SaP-System abgebildet.<br />
> Schwachstellen bei der implementierung des SaP eigenen Software-transport-Systems ermöglichen<br />
ein Umgehen der internen Kontrollen und gefährden System- und datenintegrität.<br />
> System- und datenintegrität ist nicht gewährleistet, weil Softwareentwicklung im Produktivsystem<br />
möglich ist.<br />
> entwickler können über eine autorisierte Softwareänderung einen funktionsbaustein in das Produktiv-<br />
system einführen, der als hintertür für das einbringen weiterer ausführbarer codes zur manipulation<br />
am System und an daten dient.<br />
> im Produktivsystem sind eigenentwickelte Programme im einsatz, die aufgrund fehlender programmierter<br />
Berechtigungsprüfungen von jedem Benutzer ausgeführt und zu nicht auftragsbezogenen manipulationen<br />
verwendet werden können.<br />
> Gesetzliche anforderungen an die nachvollziehbarkeit von Programm-/tabellen-änderungen und<br />
gesetzliche aufbewahrungspflichten sind nicht umgesetzt: änderungen an Programmen/tabellen<br />
werden nicht protokolliert und archiviert.<br />
6.3 KOntrOllziele<br />
> ein Konzept für das Software-change-management der SaP-landschaft liegt vor.<br />
> Vorgaben für ein geordnetes entwicklungs-, test- und freigabeverfahren sind definiert und dokumentiert.<br />
> das SaP transportmanagementsystem (tmS) unterstützt das geordnete entwicklungs-, test- und<br />
freigabeverfahren und ist sicher implementiert.<br />
> Softwareentwicklung im Produktivsystem ist ausgeschlossen, die dazu von SaP bereitgestellten<br />
softwaretechnischen Kontrollen sind aktiviert.<br />
> eigenentwicklungen unterliegen definierten und dokumentierten Programmierstandards und einer<br />
Qualitätskontrolle.<br />
> die von SaP bereitgestellten funktionen zur Unterstützung der gesetzlichen anforderung an nachvoll-<br />
ziehbarkeit und aufbewahrung von änderungen an Programmen/tabellen sind ordnungsgemäß und<br />
sicher implementiert.
6.4 PrüfPrOGramm: OrdnUnGSmäSSiGe Und Sichere imPlementierUnG<br />
deS tranSPOrt manaGement SyStemS<br />
nr. tranSPOrtmanaGementSyStem (tmS)<br />
1.<br />
1.1<br />
1.2<br />
1.3<br />
1.4<br />
über das transportmanagementsystem (tmS) werden die transportwege und -strategien<br />
festgelegt, um neue oder geänderte Objekte in das Produktivsystem einzuspielen. über das tmS<br />
werden auch das Qualitätssicherungsverfahren und der workflow für die Sondertransporte<br />
konfiguriert.<br />
Kontrollziel:<br />
1. Das interne Kontrollsystem verlangt eine Funktionstrennung zwischen planenden,<br />
ausführenden und überwachenden Stellen.<br />
a. die funktionstrennung zwischen fachabteilung, anwendungsentwicklung und Systemadministration<br />
wird eingehalten.<br />
b. wenn das Qualitätssicherungsverfahren in der mehrstufigen SaP-Systemlandschaft aktiviert<br />
ist, kann ein auftrag nur dann in das Produktivsystem importiert werden, wenn alle Genehmigungsschritte<br />
abgearbeitet sind.<br />
2. Der Zugriff auf das Transportmanagementsystem, das Transportverzeichnis und die<br />
Transportdaten ist nur für berechtigte Mitarbeiter möglich.<br />
Risiko: entwickler importieren ohne auftrag geänderte Software selbst in das Produktivsystem.<br />
test- und freigabeschritte sind nicht vorgegeben oder werden umgangen. nicht autorisierte<br />
änderungen an den einstellungen des transportsystems und an den transportdaten selbst sind<br />
möglich.<br />
wie sind die transportwege definiert?<br />
transaktion StmS, übersicht – transportwege<br />
Oder aiS: System audit – transportverbund – transport management System – werkzeuge –<br />
Konfiguration anzeigen (?)<br />
Gibt es ein Qualitätssicherungsverfahren mit Genehmigungsstufen für den Software change<br />
management Prozess?<br />
transaktion StmS, „übersicht – Systeme“, menüpfad „Springen – transportdomäne“, register<br />
„Qa-Genehmigungsverfahren“<br />
Oder aiS: System audit – transportverbund – transport management System – werkzeuge –<br />
Konfiguration anzeigen (?).<br />
welche zugriffsrechte sind auf das transportverzeichnis vergeben? (auf Betriebssystemebene<br />
gemäß SaP-Sicherheitsleitfaden eingestellt?)<br />
wer darf die einstellungen des transport management Systems initialisieren?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = StmS<br />
S_ctS_admi (change and transport Organizer) mit funktion init (inititialisieren nach Systemkopie).<br />
diese Berechtigung ist restriktiv an die Systemadministration zu vergeben.<br />
SOS: Users – Other than the System and transport admins – are authorized to change the tmS<br />
configuration (0341)<br />
Seite 79 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009 © dSaG e. V.
Seite 80<br />
6 Software-Change-Management<br />
nr. tranSPOrtmanaGementSyStem (tmS)<br />
1.5<br />
wer darf transportwege pflegen?<br />
report rSUSr002 mit den eingaben: S_tcOde = StmS<br />
S_ctS_admi (change and transport Organizer) mit funktion taBl (Pflege der Steuertabellen).<br />
diese Berechtigung ist restriktiv an die Systemadministration zu vergeben.<br />
2 Entwicklungsklassen, Aufgaben und Änderungstransporte<br />
2.1<br />
2.2<br />
2.3<br />
2.4<br />
2.5<br />
welche selbst definierten entwicklungsklassen werden genutzt?<br />
tabelle tdeVc, Selektion auf „entw.klasse“ mit y* und z*<br />
wer darf entwicklungsklassen anlegen, die tabelle tadir, ändern?<br />
report rSUSr002 mit den eingaben: S_tcOde = Sm30 oder Sm31<br />
S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe SS (Systemtabellen)<br />
S_taBU_cli (tabellenpflege mandantenunabhängiger tabellen) mit Kennzeichen X (ändern<br />
mandantenunabhängiger tabellen).<br />
das anlegen von entwicklungsklassen sollte durch die Systemadministration oder Projektleitung<br />
geschehen, nicht durch die entwickler selbst.<br />
wer darf transportierbare änderungsaufträge im entwicklungssystem anlegen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Se01 oder Se09 oder Se10<br />
S_tranSPrt (change and transport Organizer) mit aktivität 01 (anlegen) und auftragstyp dtra<br />
(transportierbare änderungsaufträge) oder auftragstyp cUSt (customizing aufträge).<br />
das anlegen neuer änderungsaufträge sollte durch die Systemadministration oder Projektleitung<br />
geschehen.<br />
wer darf aufgaben im entwicklungssystem anlegen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Se01 oder Se09 oder Se10<br />
S_tranSPrt (change and transport Organizer) mit aktivität 01 (anlegen) und auftragstyp taSK.<br />
das anlegen neuer aufgaben innerhalb eines auftrages sollte gemäß funktionstrennung durch<br />
Systemadministration oder Projektleitung erfolgen.<br />
SOS: Users – Other than the System and transport admins – are authorized to create and<br />
release transports (0343)<br />
wer darf änderungsaufträge im entwicklungssystem freigeben?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Se01 oder Se09 oder Se10<br />
S_tranSPrt (change and transport Organizer) mit aktivität 43 (freigeben) und auftragstyp dtra<br />
(transportierbare änderungsaufträge)<br />
aufträge sollten ausschließlich durch Systemadministration oder Projektleitung freigegeben<br />
werden.<br />
SOS: Users – Other than the System and transport admins – are authorized to create and<br />
release transports (0343)
nr. tranSPOrtmanaGementSyStem (tmS)<br />
2.6<br />
2.7<br />
2.8<br />
2.9<br />
wer darf einzelne transportaufträge importieren?<br />
report rSUSr002 mit den eingaben: S_tcOde = StmS<br />
S_ctS_admi (change and transport Organizer) mit funktion imPS (importieren einzelner aufträge).<br />
der import der transporte ins zielsystem ist ausschließlich der Systemadministration vorbehalten.<br />
SOS: Users – Other than the System and transport admins – are authorized to Start imports to<br />
Production (0342)<br />
wer darf alle transportaufträge der importqueue importieren?<br />
report rSUSr002 mit den eingaben: S_tcOde = StmS<br />
S_ctS_admi (change and transport Organizer) mit funktion imPa (importieren aller aufträge).<br />
der import der transporte ins zielsystem ist ausschließlich der Systemadministration vorbehalten.<br />
SOS: Users – Other than the System and transport admins – are authorized to Start imports to<br />
Production (0342)<br />
wer darf transportaufträge aus der importqueue löschen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = StmS<br />
S_ctS_admi (change and transport Organizer) mit funktion tdel (transportaufträge löschen).<br />
das löschen von transporten ist ausschließlich der Systemadministration vorbehalten.<br />
wer darf transporte in das Produktivsystem genehmigen?<br />
report rSUSr002 mit den eingaben: S_tcOde = StmS<br />
S_ctS_admi (change and transport Organizer) mit funktion Qtea (Genehmigen von transporten).<br />
die Genehmigung der transporte ins zielsystem ist ausschließlich der Systemadministrator der<br />
einer eigens dazu bestimmten funktion vorbehalten.<br />
Risiko: durch eine fehlende funktionstrennung können entwicklungen ohne freigabeverfahren<br />
ins Produktivsystem importiert werden.<br />
SOS: Users are authorized to approve transports (0346)<br />
Seite 81 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009 © dSaG e. V.
Seite 82<br />
6 Software-Change-Management<br />
6.5 PrüfPrOGramm: einhaltUnG der reGeln deS SOftware-chanGe-<br />
manaGementS für daS PrOdUKtiVSyStem<br />
nr. einhaltUnG der reGeln deS SOftware-chanGe-manaGementS für daS PrOdUKtiVSyStem<br />
1.<br />
1.1<br />
1.2<br />
H<br />
1.3<br />
H<br />
1.4<br />
das Software-change-management sieht eine dreistufige entwicklung über ein entwicklungs-,<br />
ein test- und Qualitäts- und ein Produktivsystem vor.<br />
Kontrollziel:<br />
1. über ein gestuftes auftrags-, test,- und freigabeverfahren wird sichergestellt, dass nur<br />
autorisierte Programme und Programmänderungen zum einsatz kommen. Im Produktivsystem<br />
dürfen keine Entwicklerberechtigungen vergeben sein.<br />
2. Für eigenentwickelte Programme gibt es Programmiervorgaben (Style Guide) insbesondere<br />
für Berechtigungsprüfungen, die den ordnungsmäßigen und sicheren einsatz der Programme<br />
im Produktivsystem sicherstellen. Die Einhaltung dieser Vorgaben wird überwacht.<br />
Risiko: Verlust der Verfügbarkeit, der integrität von daten und Systemen, Verlust der Vertraulichkeit<br />
1. im Produktivsystem sind entwicklerberechtigungen vergeben, die ein Unterlaufen der<br />
vorgegebenen Kontrollen des Software change management Prozesses ermöglichen.<br />
2. im Produktivsystem sind eigenentwickelte Programme im einsatz, die aufgrund fehlender<br />
programmierter Berechtigungsprüfungen von jedem Benutzer ausgeführt und zu nicht auftragsbezogenen<br />
manipulationen verwendet werden können.<br />
wer darf im Produktivsystem Patches einspielen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = SPam<br />
S_tranSPrt mit auftragstyp „Patc“<br />
diese Berechtigung darf im Produktivsystem nur an Systemadministratoren vergeben sein.<br />
wer darf im Produktivsystem aBaP-Programme anlegen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Se*<br />
S_deVelOP mit aktivität 01 (anlegen) und Objekttyp PrOG.<br />
diese Berechtigung darf im Produktivsystem nur an notfallbenutzer vergeben sein.<br />
Risiko: Unberechtigte Benutzer oder entwickler legen ohne auftrag Programme im Produktivsystem<br />
an.<br />
wer darf aBaP-Programme im Produktivsystem ändern?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Se*S_deVelOP mit aktivität 02 (ändern) und Objekttyp PrOG.<br />
diese Berechtigung darf im Produktivsystem nur an notfallbenutzer vergeben sein.<br />
Risiko: Unberechtigte Benutzer oder entwickler ändern ohne auftrag Programme im Produktivsystem.<br />
wer darf debuggen mit hauptspeicheränderungen?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Se*<br />
S_deVelOP mit aktivität 02 (ändern) und Objekttyp deBUG. die anderen felder des Objektes S_<br />
deVelOP sind für diese Prüfungshandlung nicht relevant.<br />
diese Berechtigung ist im Produktivsystem nicht zulässig.<br />
risiko: Verstoß gegen § 239, abs. iii hGB (radierverbot).<br />
SOS: Users are authorized to debug and replace field Values in the Production System (0308)
nr. einhaltUnG der reGeln deS SOftware-chanGe-manaGementS für daS PrOdUKtiVSyStem<br />
1.5<br />
1.6<br />
1.7<br />
1.8<br />
H<br />
1.9<br />
2.<br />
2.1<br />
wurden in letzter zeit im Produktivsystem im debug-modus hauptspeicherinhalte geändert?<br />
aiS: System audit – Systemprotokolle und Statusanzeigen – Systemprotokoll – Systemprotokoll<br />
datei, keine Selektion, wechsel in den expertenmodus über den menüpunkt „Bearbeiten – expertenmodus“,<br />
aktivieren der Schaltfläche „meld.kennungen“, dann Selektion „nur diese meldungen“<br />
und eingabe der meldungsnummer a19.<br />
die änderungen müssen unter einhaltung des Vier-augen-Prinzips durchgeführt worden und<br />
dokumentiert sein.<br />
welche elemente der tabelle tadir wurden im Produktivsystem angelegt?<br />
tabelle tadir, Selektion im feld „OBJ_name“ mit werten y* und z* und im feld „SrcSyStem“<br />
den namen des Produktivsystems.<br />
wer darf änderungsanträge anlegen (im Produktivsystem für reparaturen)?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Se01 oder Se09 oder Se10<br />
S_tranSPrt (change and transport Organizer) mit aktivität 01 (anlegen) und auftragstyp dtra.<br />
dieses zugriffsrecht ist nur an den notfallbenutzer zu vergeben.<br />
wurden im Produktivsystem reparaturen durchgeführt?<br />
1. tabelle e070, Selektion auf „typ“ (trfUnctiOn) mit r (alle reparaturen)<br />
2. inhalt der aufträge mit transaktion Se01 oder report rSwBO050 prüfen.<br />
nur notfallbenutzer dürfen unter einhaltung des Vier-augen-Prinzips reparaturen im Produktivsystem<br />
durchführen. die reparaturen sind manuell zu dokumentieren, weil SaP keine automatische<br />
Protokollierung der reparaturen im Produktivsystem vorsieht.<br />
wer ist berechtigt, reparaturkennzeichen im Produktivsystem zu ändern?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde = Sm30 oder Se03<br />
S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe SS (Systemtabellen)<br />
S_taBU_cli (tabellenpflege mandantenunabhängiger tabellen) mit Kennzeichen X (ändern<br />
mandantenunabhängiger tabellen).<br />
dieses zugriffsrecht ist nur an die Systemadministration vergeben.<br />
Kontrollziel: Die gesetzlich erforderliche Versionsführung von Programmen ist gewährleistet.<br />
Risiko: Versionen werden auf mehreren SaP-Systemen der gleichen mehrstufigen SaPlandschaft<br />
(entwicklung-, test-, integrations-, Produktiv-System) geführt. Versionen werden<br />
nicht autorisiert gelöscht, bevor sie archiviert worden sind.<br />
wurde durch den import neuer Programmversionen eine Versionshistorie im Produktivsystem erzeugt?<br />
report rStmStPP, der für ein System die transportparameter anzeigt.<br />
Selektionsmaske: name des Produktivsystems.<br />
der Parameter VerS_at_imP gibt an:<br />
neVer – es werden keine Versionen erzeugt.<br />
alwayS – es werden Versionen erzeugt.<br />
Hinweis: falls die Versionshistorie grundsätzlich im Produktivsystem vorgehalten wird, sind auch<br />
im Produktivsystem die beiden reports rSVcad03/04 gegen ausführung zu schützen.<br />
Risiko: aufbewahrungspflichtige Programmversionen werden nicht archiviert. Sie sind laut hGB<br />
10 Jahre aufbewahrungspflichtig.<br />
SOS: Program Versioning during import is not enabled (0349)<br />
Seite 83 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009 © dSaG e. V.
Seite 84<br />
6 Software-Change-Management<br />
nr. einhaltUnG der reGeln deS SOftware-chanGe-manaGementS für daS PrOdUKtiVSyStem<br />
2.2<br />
3.<br />
H<br />
3.1<br />
3.2<br />
Können die reports rSVcad03 und rSVcad04 zum löschen von Versionen (im entwicklungssystem)<br />
benutzt werden?<br />
die beiden reports rSVcad03 und -04 sind gegen unbefugte ausführung zu schützen, z. B. durch<br />
deren zuordnung zu einer Berechtigungsgruppe, die nicht vergeben wird.<br />
Risiko: das löschen der Versionshistorie ist damit möglich.<br />
in der SaP-Standardauslieferung sind die reports rSVcad03 (löschen aller Versionen eines<br />
Objektes) und rSVcad04 (löschen aller Versionen eines Objektes bis zu einem bestimmten<br />
datum) nicht durch Berechtigungsprüfungen oder Berechtigungsgruppen geschützt. es besteht<br />
damit für Benutzer uneingeschränkt die möglichkeit, Versionen zu löschen, die i. d. r. standardmäßig<br />
auf dem entwicklungssystem geführt und von dort aus archiviert werden. dann ist keine<br />
nachvollziehbarkeit mehr über die Programmänderungen gegeben. es wird gegen die gesetzliche<br />
dokumentations- und aufbewahrungspflicht von Programmänderungen verstoßen.<br />
Kontrollziel: Für die Programm-Entwicklung sind Vorgaben für die Codierung von<br />
Standardbausteinen gesetzt, die die Sicherheitsmechanismen des <strong>SAP</strong> internen Sicherheitskontrollsystems<br />
unterstützen und damit die System- und Datenintegrität sicherstellen.<br />
Risiko: anwendungsentwickler können die ausprägung der sicherheitsrelevanten Parameter von<br />
Standardprogrammierbausteinen unterlassen und somit Programme fertig stellen, die das SaP<br />
interne Sicherheitskontrollsystem unterlaufen.<br />
Oder sie können nicht auftragsbezogen und damit nicht autorisiert funktionsaufrufe verwenden,<br />
die zur manipulation von daten vorgesehen sind. Beispiele für solche funktionsaufrufe sind:<br />
> inSert rePOrt (aBaP Kommando)<br />
> editOr-call fOr rePOrt (aBaP Kommando)<br />
> delete_USer_On_dB (funktionsmodul)<br />
> BaPi_USer_* (funktionsmodul).<br />
wird die funktion des code inspectors regelmäßig genutzt (verfügbar ab weB aS 6.10)?<br />
Hinweis: der Kunde muss den code inspector im detail einstellen, z. B. welche Programme er<br />
auf welche funktionsaufrufe untersuchen soll. es gibt keine abschließende liste kritischer<br />
funktionsaufrufe.<br />
SOS: development Sources are not Scanned for critical Statements (0335)<br />
Sind in eigenentwickelten aBaP-Programmen Berechtigungsprüfungen eingebaut?<br />
report rPr_aBaP_SOUrce_Scan mit folgender Selektion auf gesuchten String: aUthOritychecK<br />
Unternehmensspezifische Programmierrichtlinien (Style Guide) enthalten Vorgaben, für welche<br />
Programme welche Berechtigungsprüfungen zwingend zu implementieren sind. die einhaltung<br />
der Vorgaben wird überwacht.<br />
Risiko: wenn keine Berechtigungsprüfungen in eigenentwickelten Programmen implementiert<br />
sind, können alle Benutzer dieses Programm ausführen. das führt bei unbefugter nutzung, z. B.<br />
bei reports mit (streng) vertraulichen daten zum Verlust der Vertraulichkeit, bei buchungsrelevanten<br />
Programmen zum Verlust der integrität der Buchungsdaten.
nr. einhaltUnG der reGeln deS SOftware-chanGe-manaGementS für daS PrOdUKtiVSyStem<br />
3.3<br />
3.4<br />
3.5<br />
wird in neu angelegten aBaP-Programmen der Befehl eXec SQl verwendet?<br />
report rPr_aBaP_SOUrce_Scan mit folgenden Selektionen:<br />
Programmname: y*, z*<br />
Programmtyp: 1 (ausführbares Programm)<br />
includes auflösen: aktivieren<br />
Kommentarzeile ignorieren: aktivieren.<br />
Unternehmensspezifische Programmierrichtlinien (Style Guide) enthalten die Vorgabe, dass in<br />
eigenentwickelten Programmen der Befehl eXec SQl nur bei systemnahen zugriffen auf die<br />
datenbank, z. B. für ein monitoring, verwendet wird. die einhaltung dieser Vorgabe wird<br />
überwacht.<br />
Risiko: über diese Programme können tabellen in der datenbank direkt geändert werden. die<br />
Sicherheitskontrollstruktur von SaP kann damit unterlaufen werden.<br />
wird in neu angelegten aBaP-Programmen der Select zusatz client SPecified verwendet?<br />
report rPr_aBaP_ SOUrce_Scan mit folgender Selektion auf den gesuchten String: client<br />
SPecified<br />
Unternehmensspezifische Programmierrichtlinien (Style Guide) enthalten die Vorgabe, dass in<br />
eigenentwickelten im Select-Befehl die Klausel client SPecified verwendet werden muss,<br />
wenn daten nicht mandantenübergreifend gelesen werden müssen. die einhaltung dieser<br />
Vorgabe wird überwacht.<br />
Risiko: ein Programm ohne diesen zusatz bei der Select routine ermöglicht den Benutzern den<br />
zugriff auf tabellen aus anderen mandanten, z. B. aus einem nicht-Produktivmandanten auf den<br />
Produktivmandanten des gleichen SaP-Systems.<br />
werden in neu angelegten dialoganwendungen enQUeUe-Bausteine zur Sperrung von daten<br />
genutzt?<br />
report rPr_aBaP_ SOUrce_Scan mit folgender Selektion auf gesuchten String: enQUeUe<br />
Unternehmensspezifische Programmierrichtlinien (Style Guide) enthalten die Vorgabe, dass in<br />
eigenentwickelten dialogprogrammen bei der Programmierung eines tabellenzugriffes, der<br />
daten verändert, ein enqueue-Baustein aufgerufen werden muss, um konkurrierende tabellenänderungszugriffe<br />
abzufangen. die einhaltung dieser Vorgabe wird überwacht.<br />
Risiko: Konkurrierender tabellenzugriff, d. h. dass mehrere Benutzer den gleichen tabellensatz<br />
gleichzeitig ändern möchten, führt zu nicht vorhersehbarem ergebnis, zur dateninkonsistenz,<br />
wenn dies technisch nicht durch eine entsprechende Sperrroutine beim ersten aufruf des<br />
betreffenden datensatzes abgefangen wird.<br />
Seite 85 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009 © dSaG e. V.
Seite 86<br />
7 Systemintegrität mit dem <strong>SAP</strong> Java-Stack<br />
7.1 neUe Und Parallele SOftware-entwicKlUnGS- Und<br />
anwendUnGSUmGeBUnG<br />
SaP stellt den Java Stack auf einem anwendungsserver gemäß der Spezifikation J2ee (Java 2 enterprise<br />
edition) bereit. die Java-basierte technologie wird hauptsächlich für web-basierte anwendungsszenarien<br />
eingesetzt.<br />
7.2 riSiKen<br />
> die Sicherheitsanforderungen der Java architektur sind nicht ermittelt, bekannt und umgesetzt.<br />
> die anforderungen an ein geregeltes Softwareänderungs- und einsatzverfahren sind nicht um-gesetzt.<br />
7.3 KOntrOllziele<br />
> die Sicherheitsempfehlungen von SaP zur sicheren Konfiguration der Java architektur sind umgesetzt.<br />
> die anforderungen an ein geregeltes Softwareänderungs- und einsatzverfahren sind mit den mitteln von<br />
SaP unterstützt (Software deploy manager, Sdm, und change management Service, cmS).<br />
Internet Demilitarized Zone<br />
(DMZ)<br />
web client<br />
Application<br />
Visual<br />
Gateway<br />
administrator (reverse proxy/<br />
webfilter)<br />
deploy tool<br />
communication Protocols:<br />
P4<br />
ldaP<br />
telnet<br />
httP<br />
rfc<br />
JdBc<br />
Sdm client/server<br />
tcP/iP based<br />
Session<br />
Shell admin<br />
dispatcher<br />
Sdm Server<br />
Sdm GUi<br />
web application<br />
(SaP, non SaP)<br />
Visual<br />
administrator<br />
admin tools<br />
Server<br />
aS-Java<br />
Sdm Java aPi<br />
Intranet<br />
Sdm clients<br />
AS Java Cluster<br />
User Persistence Store<br />
aS-aBaP<br />
ldaP<br />
directory<br />
database<br />
database SaP System<br />
Backend Systems
7.4 PrüfPrOGramm: Sichere KOnfiGUratiOn deS SaP JaVa StacK<br />
nr. Sichere KOnfiGUratiOn deS SaP JaVa StacK<br />
1.<br />
1.1<br />
1.2<br />
1.3<br />
1.4<br />
1.5<br />
Kontrollziel: Sichere Konfiguration des <strong>SAP</strong> Java Stack<br />
Risiko: Sicherheitsrisiken im Betrieb eines SaP Java Stacks sind nicht beurteilt und abgestellt.<br />
der SaP Java Stack bleibt in dem ungesicherten zustand nach erfolgter Standardinstallation.<br />
werden überhaupt Java basierte Produkte oder anwendungen eingesetzt?<br />
falls dies nicht zutrifft, können alle dienste des Java Stack deaktiviert werden.<br />
Sind nicht benötigte dienste abgeschaltet? ist der folgende SaP-hinweis bekannt und umgesetzt<br />
worden?<br />
<strong>SAP</strong>-Hinweis: 871 394, „dispensable functions with impact on security“.<br />
ist der http-dienst gesichert?<br />
> ist die Verzeichnisanzeige unterbunden?<br />
> Sind nicht benötigte aliase deaktiviert?<br />
> ist das hochladen von daten ausgeschlossen (http PUt)?<br />
<strong>SAP</strong>-Hinweis: 604 285, „Security vulnerability by unprotected http PUt method“.<br />
SOS: httP Based Browsing ieX (0780)<br />
SOS: restriction of httP PUt method ieX (0779)<br />
ist die kryptografische funktionsbibliothek konfiguriert?<br />
die datei iaiK_Jce.Jar muss manuell in das Verzeichnis /admin/lib<br />
gebracht werden.<br />
Hinweis: Per default wird die SaP J2ee engine nur mit der exportversion des Sicherheitswerkzeugkastens<br />
ausgeliefert. diese enthält nur die funktionen für die digitale Ver-schlüsselung, nicht<br />
aber die Verschlüsselungsfunktion, um SSl zu unterstützen.<br />
SOS: installation of the SaPcryptolib ieX (0871)<br />
Sind die Betriebssystemdateien mit den streng vertraulichen anmeldeinformationen stark<br />
verschlüsselt?<br />
Hinweis 1: die J2ee engine speichert standardmäßig sichere daten in der datei \usr\sap\\<br />
SyS\global\security\data\SecStore.properties im dateisystem. diese datei wird während der<br />
installation geschaffen und die J2ee engine benutzt sie, um informationen über die datenbankverbindungen<br />
zu speichern, z. B. über den datenbankbenutzer SaPdB, sein Passwort, über<br />
die datenbankbasis sowie informationen über den Benutzeradministrator und sein Passwort.<br />
Hinweis 2: zur Verschlüsselung der Passworte des datenbankbenutzers SaPdB und des<br />
administrator-Benutzers sollte die SaP Java cryptographic library aktiviert sein. wenn die SaP<br />
Java cryptographic library genutzt wird, werden die Passworte mit dem triple deS Verfahren<br />
verschlüsselt anstatt mit dem base64 Verfahren.<br />
SOS: Strong encryption for the Secured Storage in the file System ieX (0882)<br />
Seite 87 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 88<br />
7 Systemintegrität mit dem <strong>SAP</strong> Java-Stack<br />
nr. Sichere KOnfiGUratiOn deS SaP JaVa StacK<br />
1.6<br />
1.7<br />
1.8<br />
welche Benutzer sind in der Standardbenutzergruppe „administrators“?<br />
Hinweis: Benutzer der Gruppe „administrators“ haben uneingeschränkte administrator<br />
Privilegien auf den Java-anwendungsserver. Sie haben die Berechtigung alle anderen Benutzer<br />
zu verwalten, einschließlich anderer Benutzer mit administrator-Privilegien. Sie können alle<br />
Sicherheitseinstellungen verändern. es gibt außerhalb dieser Gruppe keine anderen Benutzer, die<br />
für die Benutzer- und Sicherheitsadministration zuständig sind.<br />
nur Systemadministratoren dürfen in der Standardbenutzergruppe „administrators“ sein.<br />
SOS: Users of Standard User Group „administrators“ ieX (0893)<br />
an welche Benutzer ist die Sicherheitsrolle „telnet_login“ vergeben?<br />
Sie darf nur an die administratoren der J2ee engine vergeben sein.<br />
SOS: J2ee Server remote administration with telnet ieX (0775)<br />
ist das Java-Stack Single Sign-On sicher konfiguriert?<br />
Sind der SSl Service Provider und das SSl Server zertifikat angegeben?<br />
ist der startup modus auf „always“ gesetzt, sodass der SSl dienstleister aktiviert ist?<br />
SOS: Start of the SSl Service Provider ieX (0872)<br />
ist für cn=localhost das default Server certificat ersetzt?<br />
SOS: default SSl Server certificate ieX (0873)<br />
7.5 PrüfPrOGramm: aUthentiSierUnG Und aUtOriSierUnG (JaVa StacK)<br />
nr. aUthentiSierUnG Und aUtOriSierUnG Bei nUtzUnG deS SaP-JaVa-StacK<br />
1.<br />
Kontrollziel: Sichere Authentisierung und Autorisierung des <strong>SAP</strong>-Java-Stacks-Risiko:<br />
Sicherheitsparameter sind nicht oder fehlerhaft konfiguriert. die Passwortbildungsregeln und<br />
anmeldekontrollen sind nicht, widersprüchlich oder unzureichend gesetzt, um eine wirksame<br />
Kontrolle auf die zugriffe auszuüben. die protokollierten Sicherheitsereignisse aus der anmeldung<br />
oder aus der Benutzer- und Berechtigungsverwaltung werden nicht regelmäßig überwacht.<br />
1.1 Gibt es ein Benutzer- und Berechtigungskonzept speziell für den SaP-Java-Stack?<br />
1.2<br />
1.3<br />
wie ist der Benutzerpersistenzspeicher konfiguriert?<br />
Hinweis: es gibt zwei technische möglichkeiten, um Benutzer und ihre zugriffsrechte zu<br />
verwalten, entweder über die nutzung des J2ee Java authentication and authorization Service<br />
(JaaS) oder über die darauf aufbauende SaP spezifische User management engine (Ume). die<br />
Ume lässt wiederum drei Optionen zu, wie die Stamm- und anmeldedaten gespeichert werden:<br />
> in der eigenen J2ee-datenbank<br />
> in anbindung an ein ldaP-Verzeichnis<br />
> im SaP weB anwendungsserver SaP (aBaP Stack).<br />
wie sind die authentisierungsmodule konfiguriert?<br />
Hinweis: es gibt drei technische möglichkeiten, um die anmeldung beim zugriff auf den Java-Stack<br />
zu regeln (authentisierungsverfahren):<br />
> Benutzernamen und Passwort-Verfahren<br />
> zertifikate<br />
> Single-Sign-On-tickets.<br />
weitere Verfahren können aktiviert werden, indem z. B. Bibliotheken von drittherstellern instal-liert<br />
werden, die dem Java-Standard der JaaS-Schnittstelle genügen.
nr. aUthentiSierUnG Und aUtOriSierUnG Bei nUtzUnG deS SaP-JaVa-StacK<br />
1.4<br />
2.<br />
2.1<br />
2.2<br />
werden sowohl der J2ee Java authentication and authorization Service (JaaS) als auch die SaP<br />
spezifische User management engine (Ume) zur administration von Benutzern und Berechtigungen<br />
eingesetzt?<br />
risiko: Benutzer- und Berechtigungsadministration erfolgt über zwei unterschiedliche anwendungen,<br />
auch wenn Ume softwaretechnisch auf JaaS aufgesetzt ist. nicht autorisierte oder konkurrierende<br />
einrichtung von Benutzern und deren Berechtigungen werden dadurch begünstigt.<br />
User Management Engine (UME) Anmeldekontrollen<br />
Kontrollziel: Die Bildung der Benutzerkennung und des Kennworts unterliegt Komplexitätsregeln.<br />
Risiko:<br />
> Systemtechnische Benutzerkennungen oder die der administratoren sind aufgrund der<br />
funktion, für die sie eingerichtet werden, leicht zu erraten, sodass Kennwortattacken gezielt<br />
auf die erratenen Benutzerkennungen vorgenommen werden können.<br />
> das Kennwort ist einfach und kann mit wenigen anmeldeversuchen erraten werden.<br />
> der Benutzer verwendet wiederholt dasselbe Kennwort. er überlistet den systemseitig erzwungenen<br />
wechsel des Kennworts, wenn keine oder eine zu kurze Passworthistorie gewählt ist.<br />
Sind Bildungsregeln für Benutzerkennungen konfiguriert?<br />
in der „ume.logon.security_policy“in der datei „sapum.properties“ stehen folgende Parameter zur<br />
Verfügung:<br />
userid_digits<br />
userid_special_character_required<br />
useridmaxlength<br />
useridminlenght.<br />
die Bildungsregeln müssen gemäß den dokumentierten unternehmensindividuellen Vorgaben<br />
gesetzt sein.<br />
Sind Bildungsregeln für Kennwörter konfiguriert?<br />
in der „ume.logon.security_policy“in der datei „sapum.properties“ stehen folgende Parameter zur<br />
Verfügung:<br />
password_max_length<br />
password_min_length<br />
password_alpha_numeric_required<br />
password_mix_case_required<br />
password_special_char_required<br />
oldpass_in_newpass_allowed<br />
userid_in_password_allowed<br />
password_history<br />
password_impermissible.<br />
die Bildungsregeln müssen gemäß den dokumentierten unternehmensindividuellen Vorgaben<br />
gesetzt sein.<br />
SOS: Password contains Upper and lower case letters ieX (0807)<br />
Seite 89 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 90<br />
7 Systemintegrität mit dem <strong>SAP</strong> Java-Stack<br />
nr. aUthentiSierUnG Und aUtOriSierUnG Bei nUtzUnG deS SaP-JaVa-StacK<br />
3<br />
3.1<br />
4<br />
4.1<br />
5.<br />
5.1<br />
Kontrollziel: Die Gültigkeitsdauer eines Kennworts ist beschränkt.<br />
Risiko: Benutzerkennungen verbleiben lange mit initialkennwort. der Benutzer kann dasselbe<br />
Kennwort monatelang verwenden. es besteht das risiko, dass das initialkennwort bekannt ist<br />
oder dass das Kennwort ausgespäht worden ist.<br />
wird regelmäßig ein wechsel des Kennworts erzwungen?<br />
in der „ume.logon.security_policy“ in der datei „sapum.properties können dazu folgende Parameter<br />
genutzt werden:<br />
password_change_allowed<br />
password_expire_days<br />
password_last_change_date_default<br />
password_successful_check_date_default<br />
password_max_idle_time.<br />
die anmelderegeln müssen gemäß den dokumentierten unternehmensindividuellen Vorgaben<br />
gesetzt sein.<br />
SOS: regular Password change ieX (0805)<br />
Kontrollziel: Erschweren des Ausprobierens von Kennworten<br />
Risiko: Kennworte fremder Benutzerkennungen können über wiederholte anmeldeversuche<br />
ausprobiert werden.<br />
werden Kennwortfehlversuche registriert und erfolgt eine automatische Sperre?<br />
in der „ume.logon.security_policy“ in der datei „sapum.properties können dazu folgende Parameter<br />
genutzt werden:<br />
lock_after_invalid_attempts<br />
auto_unlock_time.<br />
die anmelderegeln müssen gemäß den dokumentierten unternehmensindividuellen Vorgaben<br />
gesetzt sein. SOS: number of allowed failed logon attempts ieX (0802)<br />
SOS: lock time after failed logon attempts ieX (0801)<br />
User Management Engine (UME) Benutzer- und Berechtigungsverwaltung<br />
Kontrollziel: Rollen- und aufgabenspefische Vergabe von Administrationsberechtigungen<br />
Risiko: der Grundsatz der funktionstrennung ist nicht eingehalten. administrationsberechtigungen<br />
sind auch an Benutzer vergeben. derselben administratorkennung sind unterschiedliche rollen<br />
der Benutzer- und Berechtigungsverwaltung.<br />
welche Benutzer sind der rolle „administrators“ zugeordnet (Benutzergruppe im Ume Benutzerspeicher)?<br />
Hinweis: der Ume web admin und der Visual admin, haben die „administrators“ rolle zugeordnet.<br />
Sie können alle Benutzerdaten uneingeschränkt pflegen.<br />
nur Benutzer- und Berechtigungsadministratoren dürfen in der Ume Benutzergruppe „administrators“<br />
sein.SOS: Users of Ume User Group „administrators“ ieX (0793)
nr. aUthentiSierUnG Und aUtOriSierUnG Bei nUtzUnG deS SaP-JaVa-StacK<br />
5.2<br />
5.3<br />
5.4<br />
5.5<br />
welche der folgenden administrationsberechtigungen sind an welche Benutzer vergeben?<br />
Ume.manage_User_Passwords<br />
Ume.manage_all<br />
Ume.manage_Users<br />
Ume.manage_all_companies<br />
Ume.manage_Groups<br />
Ume.manage_roles<br />
Ume.Batch_admin.<br />
diese administrationsberechtigungen sind restriktiv nur an die zuständigen administratoren zu<br />
vergeben.<br />
wird das Protokoll über Sicherheitsereignisse (Security logging) regelmäßig überwacht?<br />
Protokolldatei über den log Viewer: ./log/system/security.log<br />
Protokolldatei im dateisystem: /usr /sap / / /j2ee /cluster /server /<br />
log /system /security.log<br />
diese Protokolldatei enthält die aufzeichnung relevanter Sicherheitsereignisse wie erfolglose<br />
anmeldungen oder das anlegen oder ändern von Benutzern, Gruppen oder rollen.<br />
Im Einzelnen:<br />
user.create und useraccount.create Benutzer neu angelegt<br />
role.create anlegen von rollen<br />
role.modify ändern von rollen<br />
islocked Benutzer gesperrt/entsperrt<br />
login.error fehlgeschlagene anmeldeversuche (iP-adresse<br />
wird mitgeloggt.)<br />
werden die Konfigurationseinstellungen des Kommunikationsbenutzers zwischen der Ume und<br />
den angebundenen SaP-Systemen geprüft?<br />
Standardmäßig wird der Benutzer SaPJSf verwendet. SaP liefert die rollen SaP_Bc_JSf_<br />
cOmmUnicatiOn (Schreibrechte auf Benutzerkonten) und SaP_Bc_JSf_cOmmUnicatiOn_rO<br />
(lesezugriff auf Benutzerkonten) aus.<br />
der Kommunikationsbenutzer muss vom typ System und darf nicht vom typ Service oder dialog<br />
sein, da keine Online-anmeldung erlaubt ist.<br />
wird der Java-Benutzer SaP* als notfallbenutzer eingesetzt?<br />
der Benutzer SaP* in Java-Systemen ist nicht zu verwechseln mit dem in ‚klassischen‘ SaP-<br />
Systemen. er verfügt über volle administrationsberechtigungen und wird in der Ume als<br />
notfallbenutzer eingesetzt. er verfügt über kein Standard-Kennwort. dieses wird über eine Umeeigenschaft<br />
gesetzt.<br />
durch aktivierung des Benutzers SaP* als notfallbenutzer werden nach dem neustart des Javaanwendungsservers<br />
alle anderen Benutzer deaktiviert.<br />
ume.superadmin.activated aktiviert bzw. deaktiviert den Benutzer als notfallbenutzer<br />
trUe/falSe)<br />
ume.superadmin.password enthält das Kennwort des notfallbenutzers<br />
diese einstellung darf nur in einem tatsächlichen notfall gesetzt werden.<br />
Seite 91 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 92<br />
7 Systemintegrität mit dem <strong>SAP</strong> Java-Stack<br />
7.6 PrüfPrOGramm: SaP JaVa StacK SOftwareVerteilUnG<br />
nr. aUthentiSierUnG Und aUtOriSierUnG Bei nUtzUnG deS SaP-JaVa-StacK<br />
1.<br />
Kontrollziel: Sichere Konfiguration der <strong>SAP</strong>-Java-Stack-Softwareverteilung<br />
Risiko: entwickler importieren ohne auftrag geänderte Software selbst in das Produktivsystem.<br />
test- und freigabeschritte sind nicht vorgegeben oder werden umgangen. nicht autorisierte<br />
änderungen an den einstellungen des change management Service (cmS) und an den transportdaten<br />
selbst sind möglich.<br />
1.1 Gibt es ein Konzept für die SaP Softwareverteilung, das auf die SaP Java Stack Umgebung<br />
zugeschnitten ist?<br />
1.2 Sind die getrennten zuständigkeiten in den Phasen der entwicklung, des testens und der<br />
abnahme geregelt?<br />
1.3<br />
1.4<br />
1.5<br />
wer darf Softwareverteilungen direkt aus einer entwicklungsumgebung in ein Produktivsystem<br />
vornehmen?<br />
Risiko: Software kann aus der entwicklungsumgebung unmittelbar in den Java Stack geladen<br />
werden.<br />
wie ist der Software deployment manager (Sdm) dienst konfiguriert?<br />
> ist das Standardkennwort des Sdm administrators bei der installation geändert worden?<br />
> ist das neue Kennwort nach restriktiven Kennwortbildungsregeln vergeben worden?<br />
> wie vielen Benutzern ist das neue Kennwort zur erfüllung ihrer aufgaben mitgeteilt worden?<br />
Risiko: es gibt nur einen Benutzer für die Sdm administration. ein zurückverfolgen, wer diesen<br />
Benutzer für welche aktivität genutzt hat, ist erschwert, wenn nicht unmöglich. nach einem<br />
Patch-Upgrade wird systemseitig keine änderung des Kennworts des Sdm administrators<br />
erzwungen.<br />
ist die netzwerkverbindung zwischen Sdm client und Sdm Server für Produktivsysteme<br />
gesichert?<br />
SaP empfiehlt, für die Softwareverteilung auf produktive zielsysteme eine gesicherte VPn-<br />
Verbindung einzurichten und zu nutzen.
lizenzfrei<br />
99,- €<br />
Seite 93 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 94<br />
8 Systemintegrität auf der Datenbankebene<br />
8.1 interne Und eXterne anfOrderUnGen<br />
die daten eines SaP-Systems werden in einer proprietären datenbank gehalten, z. B. Oracle. auf alle daten<br />
eines SaP-Systems kann über das datenbanksystem zugegriffen werden. dabei können auch daten<br />
geändert werden – unabhängig vom zugriffsschutz, der über die SaP-anwendungen realisiert ist.<br />
die datenbank ist ein eigenes System, das implementiert, konfiguriert, betrieben, verwaltet und überwacht<br />
werden muss.<br />
dabei sind die allgemeinen Sicherheitsanforderungen zur Gewährleistung von Verfügbarkeit, zugriffsschutz,<br />
integrität und Vertraulichkeit umzusetzen.<br />
Spezielle Sicherheitsanforderungen ergeben sich zum einen aus dem SaP-spezifischen einsatz der<br />
datenbank, zum anderen aus der proprietären ausprägung der funktionen der datenbank.<br />
deshalb sind sowohl die hinweise von SaP zu den datenbank Plattformen im SaP netweaver Security<br />
Guide zu berücksichtigen als auch die Security white Paper des herstellers der datenbank.<br />
Prüfungsstandards zum einsatz von informationstechnologie fordern insbesondere die Prüfung der<br />
datenbank eines erP-Systems.<br />
8.2 riSiKen<br />
risiken können sich zum einen daraus ergeben, dass die Sicherheitsempfehlungen von SaP nicht<br />
umgesetzt sind, zum anderen, dass die datenbank konkurrierend zu der nutzung durch SaP genutzt wird:<br />
> die SaP-Systembenutzer, der datenbank-Systembenutzer oder zusätzlich eingerichtete administratoren<br />
nutzen noch das initialkennwort des auslieferungsstandes der Software. dies ermöglicht auch nicht<br />
autorisierten dritten das unbefugte anmelden an die datenbank.<br />
> Benutzer aus der fachabteilung können sich an die datenbank anmelden und sind berechtigt, mit den<br />
funktionen der datenbank änderungen in den datenbanktabellen durchzuführen, die konkurrierend<br />
auch von SaP-Benutzern geändert werden.<br />
> angreifer können über nicht benötigte datenbankbenutzer eine Sicherheitsschwachstelle im datenbank<br />
system nutzen, um privilegierten zugriff auf die datenbank zu erlangen.<br />
> die datenbank lässt beliebige anmeldeversuche über das netz zu.<br />
> anmeldungen an die datenbank werden nicht protokolliert und überwacht.<br />
> die daten in der datenbank sind nicht verschlüsselt.<br />
> Sicherheitsempfehlungen des herstellers der datenbank sind nicht umgesetzt.<br />
8.3 KOntrOllziele<br />
> die Sicherheitsempfehlungen von SaP zur sicheren Konfiguration und zum ordnungsmäßigen Betrieb<br />
der datenbank sind umgesetzt.<br />
> eine zur SaP-anwendung konkurrierende nutzung der datenbank ist nicht implementiert, die<br />
änderungen an den gleichen datenbanktabellen zulässt, die schon SaP verwaltet.<br />
> anmeldungen von beliebigen clients aus nicht vertrauenswürdigen netzwerksegmenten an die<br />
datenbank sind verhindert.
die technischen möglichkeiten, dass ein Benutzer sich von seinem client aus direkt an die datenbank<br />
anmelden kann, sind entweder ausgeschlossen oder auf den notwendigen Umfang eingeschränkt und<br />
gegen unbefugte nutzung abgesichert (OBdc-zugriff).<br />
> nicht benötigte datenbankbenutzer sind gesperrt oder gelöscht.<br />
> die funktionen zur anmeldekontrolle werden genutzt, die das proprietäre datenbanksystem bereitstellt.<br />
insbesondere werden fehlversuche bei der anmeldung protokolliert und überwacht.<br />
> die daten in der datenbank werden entsprechend ihrem Schutzbedarf verschlüsselt gespeichert.<br />
> zusätzliche Sicherheitsempfehlungen des herstellers der datenbank sind umgesetzt.<br />
8.4 PrüfPrOGramm: aUthentiSierUnG Und aUtOriSierUnG mit Oracle<br />
Unter UniX<br />
nr. aUthentiSierUnG mit Oracle Unter UniX<br />
1.<br />
1.1<br />
1.2<br />
1.3<br />
1.4<br />
H<br />
Kontrollziel: Angemessene Zugriffskontrolle für Oracle unter UNIX<br />
Risiko: Beliebige Benutzer können sich remote an der datenbank unter einem der Standarddatenbankbenutzer<br />
mit dem Standardkennwort anmelden, können alle tabelleninhalte einsehen und<br />
nicht autorisierte änderungen durchführen.<br />
welche Benutzer sind in der datenbank eingerichtet?<br />
SQl> select * from all_users<br />
Klären, welche Benutzer zu welchem zweck eingerichtet sind.<br />
es dürfen nur Standardsystembenutzer und Systemadministratoren eingerichtet sein. nicht<br />
benötigte datenbankbenutzer, z. B. Gast- oder demo-Benutzer, sind zu sperren oder zu entfernen.<br />
wird der OPS mechanismus korrekt genutzt?<br />
SQl> select * from OPS$adm.SaPUSer<br />
ist der SaP datenbankbenutzer SaPr3 / SaP gegen unbefugten zugriff geschützt?<br />
1. durch regulären wechsel des Kennworts für adm?<br />
2. durch deaktivieren des dienstes rlogin?<br />
3. durch angemessene nutzung des mechanismus der sqlnet.ora datei, der iP-adressen zulässt<br />
oder aussperrt (tcp.invited-nodes, tcp.excluded-nodes)?<br />
Sind die Standardkennwörter der Standard-datenbankbenutzer geändert?<br />
> SaP oder SaPr3 (Kennwort: SaP)<br />
> SyS (Kennwort: chanGe_On_inStall)<br />
> SyStem (Kennwort: manaGer).<br />
austesten, ob eine anmeldung mit den Standardkennworten möglich ist.<br />
die Kennwörter sind während der installation zu ändern. Komplexe Kennwörter sind zu wählen.<br />
Seite 95 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 96<br />
8 Systemintegrität auf der Datenbankebene<br />
nr. aUthentiSierUnG mit Oracle Unter UniX<br />
1.5<br />
H<br />
1.6<br />
1.7<br />
H<br />
werden Systemereignisse wie an- und abmeldungen an die datenbank protokolliert?<br />
SQl>select * from dBa_aUdit_SeSSiOn<br />
wird die Protokolldatei regelmäßig archiviert und gelöscht, um zu verhindern, dass es zu einem<br />
überlauf der SyS.aUd$ tabelle kommt?<br />
haben nur Systemadministratoren zugriffsrechte, sowohl die einstellungen für die Protokolldatei<br />
als auch die Protokolldatei selbst zu warten?<br />
Können sich Benutzer über eine client-Software an der datenbank anmelden?<br />
ist der remote-datenbankzugriff eingeschränkt und kontrolliert?<br />
> Sind in der sqlnet.ora datei die iP-adressen der zugelassenen clients (management-Konsolen)<br />
eingetragen (tcp.invited.nodes)?<br />
> ist der zugriff auf die datenbank über eine firewall geregelt (Oracle listener auf dem Port tcP /<br />
iP 1529)?<br />
ist der Oracle listener sicher konfiguriert?<br />
ist ein Kennwort für den Oracle listener vergeben?<br />
1.8 Sind die datenbankdateien verschlüsselt abgelegt?<br />
8.5 PrüfPrOGramm: aUtOriSierUnG mit Oracle Unter UniX Und<br />
datenBanKmanaGement<br />
nr. aUtOriSierUnG mit Oracle Unter UniX Und datenBanKmanaGement<br />
1.<br />
1.1<br />
1.2<br />
Kontrollziel: Zugriff auf die Datenbank ist exklusiv für <strong>SAP</strong>-Anwendungen und gemäß den<br />
Vorgaben von <strong>SAP</strong> installiert.<br />
Risiko: Konkurrierende datenbankänderungen durch weitere datenbankanwendungen auf den SaP<br />
tabellen führen zur dateninkonsistenz.<br />
Sind die zugriffsrechte für Oracle-Verzeichnisse und –dateien unter UniX so gesetzt, wie es von<br />
SaP vorgesehen ist und bei der Standard-installation durchgeführt wird?<br />
nutzt exklusiv das SaP-System die datenbank oder laufen auch andere anwendungen auf der<br />
datenbank?<br />
auf der datenbank für das SaP-System dürfen keine anderen anwendungen ablaufen, insbesondere<br />
dürfen keine Verknüpfungen zwischen den tabellen des SaP-Systems und anderen<br />
datenbanken eingerichtet sein.<br />
2. Datenbankmanagement<br />
2.1 existiert ein datenbanksicherungskonzept?<br />
2.2 existiert ein Upgrade-Konzept für Sicherheits-Patches?
8.6 PrüfPrOGramm: aUthentiSierUnG Und aUtOriSierUnG mit Oracle<br />
Unter windOwS<br />
nr. aUthentiSierUnG mit Oracle Unter windOwS<br />
1.<br />
1.1<br />
1.2<br />
1.3<br />
1.4<br />
H<br />
1.5<br />
H<br />
Kontrollziel: Angemessene Zugriffskontrolle für Oracle unter Windows<br />
Risiko: Beliebige Benutzer können sich remote an der datenbank unter einem der Standarddatenbankbenutzer<br />
mit dem Standardkennwort anmelden, können alle tabelleninhalte einsehen und<br />
nicht autorisierte änderungen durchführen.<br />
welche Benutzer sind in der datenbank eingerichtet?<br />
SQl> select * from all_users<br />
Klären, welche Benutzer zu welchem zweck eingerichtet sind.<br />
es dürfen nur Standardsystembenutzer und Systemadministratoren eingerichtet sein. nicht<br />
benötigte datenbankbenutzer, z. B. Gast- oder demo-Benutzer, sind zu sperren oder zu entfernen.<br />
wird der OPS mechanismus korrekt genutzt?<br />
SQl> select * from OPS$adm.SaPUSer<br />
SaP empfiehlt, nur OPS$-Benutzer für die windows Benutzer zu definieren, die für den Betrieb<br />
des SaP-Systems erforderlich sind. normalerweise sind das die Benutzer SaPService und<br />
adm. weitere informationen über das anlegen von OPS$-Benutzern unter windows finden<br />
sich im SaP-hinweis 50 088.<br />
Sind die SaP-datenbankbenutzer SaPr3 / SaP und adm gegen unbefugten<br />
zugriff geschützt?<br />
1. durch regulären wechsel des Kennworts für adm?<br />
2. durch angemessene nutzung des mechanismus der sqlnet.ora datei, der iP-adressen zulässt<br />
oder aussperrt (tcp.invited-nodes, tcp.excluded-nodes)?<br />
Sind die Standardkennwörter der Standard-datenbankbenutzer geändert?<br />
> SaP oder SaPr3 (Kennwort: SaP)<br />
> SyS (Kennwort: chanGe_On_inStall)<br />
> SyStem (Kennwort: manaGer).<br />
austesten, ob eine anmeldung mit den Standardkennworten möglich ist.<br />
die Kennwörter sind während der installation zu ändern. Komplexe Kennwörter sind zu wählen.<br />
werden Systemereignisse wie an- und abmeldungen an die datenbank protokolliert?<br />
SQl>select * from dBa_aUdit_SeSSiOn<br />
wird die Protokolldatei regelmäßig archiviert und gelöscht, um zu verhindern, dass es zu einem<br />
überlauf der SyS.aUd$ tabelle kommt?<br />
haben nur Systemadministratoren zugriffsrechte, sowohl die einstellungen für die Protokolldatei<br />
als auch die Protokolldatei selbst zu warten?<br />
Seite 97 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 98<br />
8 Systemintegrität auf der Datenbankebene<br />
nr. aUthentiSierUnG mit Oracle Unter windOwS<br />
1.6<br />
1.7<br />
H<br />
Können sich Benutzer über eine client-Software an der datenbank anmelden?<br />
ist der remote-datenbankzugriff eingeschränkt und kontrolliert?<br />
> Sind in der sqlnet.ora datei die iP-adressen der zugelassenen clients (management-Konsolen)<br />
eingetragen (tcp.invited.nodes)?<br />
> ist der zugriff auf die datenbank über eine firewall geregelt (Oracle listener auf dem Port<br />
tcP / iP 1529)?<br />
ist der Oracle listener sicher konfiguriert?<br />
ist ein Kennwort für den Oracle listener vergeben?<br />
1.8 Sind die datenbankdateien verschlüsselt abgelegt?<br />
2.<br />
2.1<br />
2.2<br />
Kontrollziel: Zugriff auf die Datenbank ist exklusiv für <strong>SAP</strong>-Anwendungen und gemäß den<br />
Vorgaben von <strong>SAP</strong> installiert.<br />
Risiko: Konkurrierende datenbankänderungen durch weitere datenbankanwendungen auf den<br />
SaP-tabellen führen zur dateninkonsistenz.<br />
Sind die zugriffsrechte für Oracle-Verzeichnisse und -dateien unter windows so gesetzt, wie es<br />
von SaP vorgesehen ist und bei der Standard-installation durchgeführt wird?<br />
Um die Oracle-dateien zu schützen, müssen folgende zugriffsrechte vergeben sein:<br />
> der lokalen Gruppe SaP__localadmin und dem lokalen Benutzer SyStem müssen die<br />
zugriffsrechte full control für alle Oracle-dateien zugewiesen sein.<br />
> anderen Gruppen oder Benutzern dürfen keine zugriffsrechte für die Oracle vergeben sein.<br />
die folgende tabelle gibt die dateien und die zugehörenden zugriffsrechte an:<br />
Oracle VerzeichniSSe zUGriffSrecht BenUtzer Oder GrUPPe<br />
SyStem, administrators,<br />
SaP__Globalad-<br />
%Oracle_hOme% full control<br />
min<br />
(domain installation),<br />
SaP__localadmin<br />
(local installation)<br />
:\oracle\ full control<br />
SyStem, administrators,<br />
SaP__Globaladmin<br />
(do-main installation),<br />
SaP__localadmin<br />
(local installation)<br />
nutzt exklusiv das SaP-System die datenbank oder laufen auch andere anwendungen auf der<br />
datenbank?<br />
auf der datenbank für das SaP-System dürfen keine anderen anwendungen ablaufen, insbesondere<br />
dürfen keine Verknüpfungen zwischen den tabellen des SaP-Systems und anderen<br />
datenbanken eingerichtet sein.<br />
2.3 existiert ein datenbanksicherungskonzept?
nr. aUtOriSierUnG mit Oracle Unter windOwS Und datenBanKmanaGement<br />
3. Datenbankmanagement<br />
3.1 existiert ein datenbanksicherungskonzept?<br />
3.2 existiert ein Upgrade-Konzept für Sicherheits-Patches?<br />
Seite 99 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 100<br />
9 Systemintegrität auf der Betriebssystemebene<br />
9.1 interne Und eXterne anfOrderUnGen<br />
das Betriebssystem ermöglicht die installation eines SaP-Systems, z. B. windows. über das Betriebssystem<br />
wird das SaP-System konfiguriert. über das Betriebssystem können auf alle Programme und daten<br />
eines SaP-Systems zugegriffen werden. dabei können Programme und daten geändert werden – unabhängig<br />
von dem zugriffsschutz, der über die SaP-anwendungen eingerichtet ist.<br />
das Betriebssystem ermöglicht insbesondere den zugriff auf das SaP-System über das netz. angriffe aus<br />
dem netzwerk zielen auf Sicherheitsschwachstellen in der Konfiguration der netzdienste des Betriebssystems.<br />
Spezielle Sicherheitsanforderungen ergeben sich aus<br />
> der SaP-spezifischen nutzung von Betriebssystemfunktionen,<br />
> der proprietären ausprägung der funktionen der Betriebssystems und<br />
> den proprietären technischen Schnittstellen zu anderen trägersystemen, z. B. datenbank oder netz,<br />
insbesondere den Services, die über das netz aufrufbar sind.<br />
es sind sowohl die hinweise von SaP zu den Betriebssystem Plattformen im SaP netweaver Security Guide<br />
zu berücksichtigen als auch die Security white Paper der herstellers des Betriebssystems.<br />
9.2 riSiKen<br />
risiken können sich daraus ergeben, dass die Sicherheitsempfehlungen von SaP oder dass andere<br />
sicherheitsrelevante einstellungen des Betriebssystems gemäß den hinweisen des herstellers des<br />
Betriebssystems nicht umgesetzt sind:<br />
> die Kennworte der SaP-Systembenutzer, der Standard-Betriebssystembenutzer oder zusätzlich<br />
eingerichteter administratoren sind noch auf dem Standard bei auslieferung und ermöglichen das<br />
unbefugte anmelden an das Betriebssystem.<br />
> der zugriff auf der ebene des Betriebssystems durch Benutzer oder über für sie eigens eingerichtete<br />
Benutzerfunktionen, z. B. file transfer, ist schlecht konfiguriert und unzureichend abgesichert.<br />
> Jeder aus dem netz kann – wegen eines Konfigurationsfehlers – auf ein Verzeichnis mit streng<br />
vertraulichen informationen oder ausführbaren SaP-Programmen zugreifen, das über das netz nur für<br />
eine bestimmte Benutzergruppe bereitgestellt sein soll (network share).<br />
> anmeldungen an das Betriebssystem werden nicht protokolliert und überwacht.<br />
> das Betriebssystem hat ein bekanntes Sicherheitsloch, das ein hacker über das netz erkennen und<br />
ausnutzen kann, um einen trojaner zu installieren, Programme und daten zu manipulieren, die Spuren<br />
der manipulation zu löschen oder den Superuser zu übernehmen.<br />
> die manipulation eines SaP Programms wird nicht erkannt.<br />
9.3 KOntrOllziele<br />
> die Sicherheitsempfehlungen von SaP zur sicheren Konfiguration des Betriebssystems sind umgesetzt.<br />
> zusätzliche Sicherheitsempfehlungen des herstellers des Betriebssystems sind umgesetzt.<br />
> der zugriff über das netz auf das Betriebssystem ist restriktiv gesetzt und sicher konfiguriert.<br />
> network Shares sind mit restriktiven zugriffsrechten nur für die zugelassene Benutzergruppe gesetzt. Sie<br />
werden auf fehlerhafte zugriffsvergaben (windows: eVeryOne, UniX: weltweites lese- oder Schreibrecht)<br />
überwacht.<br />
> die funktionen zur anmeldekontrolle werden genutzt, die das Betriebssystem bereitstellt. insbesondere<br />
werden fehlversuche bei der anmeldung protokolliert und überwacht.<br />
> die SaP-Programme unterliegen einem integritätscheck.
9.4 PrüfPrOGramm: aUthentiSierUnG Und aUtOriSierUnG mit UniX<br />
nr. aUthentiSierUnG im BetrieBSSyStem UniX<br />
1.<br />
1.1<br />
1.2<br />
1.3<br />
H<br />
1.4<br />
H<br />
1.5<br />
1.6<br />
Kontrollziel: Angemessene Zugriffskontrollen auf UNIX-Ebene<br />
> der zugriff personenbezogener Benutzer auf das Betriebssystem ist auf wenige Systemadministratoren<br />
beschränkt.<br />
> Benutzer aus fachabteilungen haben keinen zugriff auf das Betriebssystem.<br />
> automatisierte anmeldekontrollen und Passwortbildungsregeln auf der ebene des Betriebs-<br />
systems sind für die personenbezogenen Benutzer aktiviert.<br />
> die anmeldungen werden protokolliert und überwacht.<br />
Risiko:<br />
> Personenbezogene Benutzer haben leicht erratbare Kennworte gewählt, die keinem änderungszwang<br />
unterliegen.<br />
> Versuche, die Kennworte von Benutzern auszuprobieren, werden nicht protokolliert und<br />
überwacht.<br />
> nicht autorisierte Benutzer können zugriff auf das Betriebssystem erlangen.<br />
welche Gruppen sind in der UniX-Gruppendatei eingerichtet? Sind neben den Standardgruppen<br />
auch unternehmensspezifische Gruppennamen vergeben? welche Benutzer sind den unternehmensspezifischen<br />
Gruppen zugeordnet?<br />
Hinweis: die Standardgruppen sind in der Systemdokumentation des herstellers aufgeführt.<br />
welche Benutzer sind in der UniX-Passwortdatei eingerichtet? Sind neben den Standardsystembenutzern<br />
auch personenbezogene Benutzer vergeben? welche aufgaben haben diese eingerichteten<br />
personenbezogenen Benutzer?<br />
die Benutzer root, adm und
Seite 102<br />
9 Systemintegrität auf der Betriebssystemebene<br />
nr. aUthentiSierUnG im BetrieBSSyStem UniX<br />
1.7<br />
1.8<br />
1.9<br />
1.10<br />
H<br />
2<br />
2.1<br />
2.2<br />
Sind die BSd remote Services rlogin und remsh/rsh deaktiviert oder restriktiv und kontrolliert<br />
eingesetzt?<br />
SaP empfiehlt, nach möglichkeit diese Services zu deaktivieren<br />
welche Systemnamen, iP nummern oder generischen einträge sind in den dazugehörenden<br />
dateien /etc/host.equiv und $hOme/.rhosts eingetragen?<br />
für kritische Benutzer müssen die .rhosts-dateien geleert und dafür als zugriffsrecht die<br />
Oktalzahl „000“ zugewiesen sein.<br />
die datei /etc/hosts.equiv muss entweder gelöscht oder geleert sein.<br />
alternative: diese Services werden nur innerhalb eines abgesicherten lokalen netzwerkes<br />
eingesetzt.<br />
ist das network information System (niS) restriktiv und kontrolliert eingesetzt?<br />
Risiko: niS erlaubt es jedem UniX-System in einem lokalen netzwerk mit dem Befehl „ypcat<br />
passwd“ die mittels niS zentral gehaltene Passwortdatei zu lesen und zu verwenden.<br />
alternative: dieser Service wird nur innerhalb eines abgesicherten lokalen netzwerkes<br />
eingesetzt.<br />
ist der Service X-windows im einsatz? wird er tatsächlich benötigt? ist er gemäß den Sicherheitsempfehlungen<br />
des UniX-herstellers installiert?<br />
ist der administrative fernzugriff auf das Betriebssystem über eine web-Schnittstelle abgesichert,<br />
d. h. sind die Standardkennwörter durch komplexe Kennwörter ersetzt und sind auch härtungsmaßnahmen<br />
für diese web-Schnittstelle getroffen worden?<br />
Risiko: Bei der installation eines UniX-Betriebssysteme kann standardmäßig auch eine web-<br />
Schnittstelle für den remote-zugriff der Systemadministratoren implementiert werden, ohne<br />
dass dies bei der installation bekannt oder wahrgenommen wird. angreifer aus dem netzwerk<br />
können die dabei vergebenen Standardkennworte oder Sicherheitsschwachstellen in der Version<br />
des betreffenden web Servers ausnutzen, um unbefugte aktionen auf der ebene des Betriebssystems<br />
auszuführen.<br />
Kontrollziel: die zugriffsrechte sind nach dem Prinzip der minimalen Berechtigung vergeben.<br />
die für UniX-Systeme spezifischen und verschiedenen technischen möglichkeiten, eigentümerrechte<br />
auf Verzeichnisse und dateien zu vergeben, sind kontrolliert eingesetzt.<br />
Risiko: Personenbezogenen Benutzern sind Standardumgebungen, z. B. login shell, eingerichtet,<br />
die zu weit reichende automatische rechtevergaben beinhalten. Unbefugte aktionen auf der<br />
Betriebssystemebene sind möglich. die integrität der System- und datendateien des SaP-Systems<br />
ist gefährdet.<br />
Sind die zugriffsprivilegien auf die SaP datei- und Systemverzeichnisse so gesetzt, wie es von SaP<br />
vorgesehen ist und bei der installation standardmäßig durchgeführt wird?<br />
welche UmaSK-definitionen sind in den relevanten dateien vorgegeben, z. B. in .login, .cshrc, .<br />
profile, /etc/profile, und beschränken diese automatisch die Berechtigungen für neu erstellte<br />
dateien, z. B. dass alle neu erstellten dateien nur zugriffsrechte mit dem Oktalwert 750 haben?<br />
diese Vorgaben müssen insbesondere für alle login-Umgebungen personenbezogener Benutzer<br />
gelten.
nr. aUtOriSierUnG im SicherheitSmanaGement<br />
2.3<br />
2.4<br />
2.5<br />
2.6<br />
2.7<br />
ist das network filesystem (nfS) restriktiv und kontrolliert eingesetzt?<br />
über nfS dürfen keine Verzeichnisse mit vertraulichen daten exportiert werden. über nfS dürfen<br />
keine home-Verzeichnisse – von welchen Benutzern auch immer – mit Schreibberechtigung<br />
exportiert werden. Verzeichnisse dürfen nur an vertrauenswürdige Systeme exportiert werden.<br />
Risiko: die über nfS exportierten Verzeichnisse für alle Benutzer im netz können vertrauliche daten<br />
enthalten. wird ein für alle beschreibbares home-Verzeichnis eines UniX-Benutzers exportiert, ist<br />
darüber ein angriff auf das UniX-System möglich, der dem angreifer die übernahme der Privilegien<br />
des Superusers „root“ ermöglicht.<br />
werden SUid/SGid-dateien überwacht, insbesondere bei der installation neuer zusätzlicher Software<br />
auf dem Betriebssystem?<br />
Hinweis: dateien bei denen das SUid oder SGid Bit gesetzt ist, werden mit den rechten des<br />
Benutzers bzw. der Gruppe ausgeführt, der diese datei gehört. normalerweise werden diese Bits bei<br />
dateien verwendet, die als Superuser „root“ ausgeführt werden müssen, um ihren zweck zu erfüllen.<br />
Risiko: diese dateien sind ziel externer angreifer, um die Privilegien des Superusers zu erhalten.<br />
Sind die Sicherheitshinweise des UniX-herstellers zum härten des Systems bekannt und umgesetzt,<br />
z. B. hinweise zum deaktivieren nicht benötigter dienste?<br />
Unterstützt das UniX-Betriebssystem integritätsprüfungen für Systemdateien? wird diese<br />
möglichkeit genutzt?<br />
wird das Betriebssystem mit den vom Betriebssystemlieferanten freigegebenen Sicherheits-Patches<br />
auf dem neusten Stand gehalten?<br />
Seite 103 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 104<br />
9 Systemintegrität auf der Betriebssystemebene<br />
9.5 PrüfPrOGramm: aUthentiSierUnG Und aUtOriSierUnG mit windOwS<br />
nr. aUthentiSierUnG Und aUtOriSierUnG im BetrieBSSyStem windOwS<br />
1.<br />
1.1<br />
1.2<br />
1.3<br />
Kontrollziel: die zugriffsrechte sind nach dem Prinzip der minimalen Berechtigung zu vergeben.<br />
die für windows-Systeme spezifischen technischen möglichkeiten, eigentümerrechte auf<br />
Verzeichnisse und dateien zu vergeben sind kontrolliert eingesetzt.<br />
Risiko: Personenbezogenen Usern sind zu weitreichende rechte vergeben. Unbefugte aktionen<br />
auf Betriebssystemebene sind möglich. die integrität der System- und dateien des SaP-Systems<br />
ist gefährdet.<br />
ist das SaP-System auf einem windows-domänencontroller installiert?<br />
Hinweis: ein auf einem domänen-controller definiertes lokales Benutzerrecht ist auf allen<br />
domänen-controllern gültig.<br />
SaP empfiehlt nicht, SaP-Systeme auf einem domänen-controller zu installieren.<br />
ist bei mehreren SaP-landschaften eine getrennte windows-domäne für die SaP-Systeme<br />
eingerichtet?<br />
SaP empfiehlt, zwei getrennte domänen für das SaP-System anzulegen.<br />
> in einer domäne sind die domänenbenutzer, einschließlich der SaP-Systembenutzer, und der<br />
domänenadministrator eingerichtet.<br />
> in der davon getrennten SaP-domäne sind die SaP-System-Server, -Services und -administratoren<br />
eingerichtet. dazu zählen:<br />
> SaP-System-anwendungsserver und -datenbankserver<br />
> SaP-System- oder datenbank-Services<br />
> SaP-Systemadministratoren<br />
> windows-administratoren<br />
> administratoren der domäne SaP.<br />
welche Vertrauensbeziehungen sind zwischen anderen windows-domänen und der windowsdomäne<br />
für die SaP-Systeme definiert?<br />
Hinweis 1: in den Standard-installationsvorgehensweisen empfiehlt SaP, getrennte domänen<br />
einzurichten. zu beachten ist jedoch, dass bestimmte SaP-spezifische funktionen und windows-<br />
spezifische Services eine Vertrauensbeziehung zwischen domänen erfordern.<br />
> es gibt bestimmte Services, die nur eine einseitige Vertrauensbeziehung erfordern, z. B. das<br />
drucken im netzwerk mit dem Print manager oder die dateienübertragung mit Betriebssys<br />
tembefehlen wie z. B. xcopy oder move.<br />
> einige Services erfordern eine beiderseitige Vertrauensbeziehung, z. B. Single Sign-On über<br />
das microsoft lan manager Security Service Provider interface (ntlmSSPi).<br />
Hinweis 2: wenn das SaP-System standardmäßig installiert wird, implementiert das installationswerkzeug,<br />
SaPinst genannt, automatisch alle notwendigen maßnahmen, die relevant sind, um<br />
das SaP-System gegen nicht autorisierten zugriff zu schützen.
nr. aUthentiSierUnG Und aUtOriSierUnG im BetrieBSSyStem windOwS<br />
1.4<br />
1.5<br />
1.6<br />
welche Gruppen sind auf den SaP-Servern registriert (windows-domäne)?<br />
es sollten keine anderen Gruppen als die windows Standardgruppen und den SaP-System- und<br />
datenbankgruppen definiert sein.<br />
Hinweis 1: Globale Benutzergruppen sind innerhalb einer windows-domäne gültig, nicht nur auf<br />
einem Server.<br />
SaP empfiehlt, die domänenbenutzer nach aufgaben in verschiedenen aktivitätsgruppen zu<br />
bündeln. der domänenadministrator kann die aktivitätsgruppen in andere domänen exportieren,<br />
so dass der entsprechende Benutzer auf alle zur Verwaltung des SaP-Systems erforderlichen<br />
ressourcen zugreifen kann.<br />
Hinweis 2: Standardmäßig ist die globale Gruppe für SaP-administratoren als SaP _ _<br />
Globaladmin definiert.<br />
welche Gruppen sind auf den SaP-Servern registriert (lokaler SaP-Server)?<br />
Hinweis 1: lokale Benutzergruppen (und lokale Benutzer) liegen lokal auf einem Server vor. Bei<br />
der installation werden Benutzerrechte lokalen Benutzern anstelle von Gruppen zugeordnet. z. B.<br />
erhält der Benutzer adm das Benutzerecht logon on as a service.<br />
SaP empfiehlt, um die Benutzerverwaltung zu vereinfachen, Serverressourcen lokalen Gruppen<br />
anstelle von einzelnen Benutzern zuzuordnen. entsprechende globale Benutzer und globale Gruppen<br />
können dann der lokalen Gruppe zugeordnet werden. dadurch kann besser kontrolliert werden,<br />
wer zu welcher Gruppe gehört und welche aufgaben er hat.<br />
Hinweis 2: Standardmäßig ist die lokale Gruppe für SaP-administratoren als SaP_ _<br />
localadmin definiert.<br />
ist der Benutzeradministrator gesichert?<br />
Hinweis: der in windows eingebaute Superuser-administrator hat unbeschränkten zugriff auf<br />
alle windows-ressourcen. administrator kann z. B.<br />
> alle datendateien, festplatten und Shares anlegen, verwalten und deren Besitzer werden<br />
> lokale Benutzer und ihre rechte anlegen und verwalten<br />
> Peripheriegeräte, Kernel- und Benutzer-Services anlegen und verwalten<br />
SaP empfiehlt, diesen Benutzer zu deaktivieren, um ihn vor unberechtigtem zugriff zu schützen.<br />
der Benutzername muss geändert und das Kennwort geheim gehalten werden. für Verwaltungsaufgaben<br />
werden andere Benutzer angelegt und deren rechte auf die aufgaben beschränkt, für<br />
die sie verwendet werden, z. B. Benutzeradministrator, Sicherungs- und Serveroperatoren.<br />
Seite 105 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 106<br />
9 Systemintegrität auf der Betriebssystemebene<br />
nr. aUthentiSierUnG Und aUtOriSierUnG im BetrieBSSyStem windOwS<br />
1.7<br />
1.8<br />
ist der Benutzer adm gesichert?<br />
Hinweis 1: adm ist der windows-Superuser für die SaP-Systemverwaltung. der Benutzer<br />
wird während des SaP-Systeminstallationsverfahrens angelegt, normalerweise als domänenbenutzer<br />
für das SaP-System. der Benutzer kann sich daher an allen windows-rechnern in der<br />
domäne anmelden. adm benötigt auch vollen zugriff auf alle instanzenspezifischen<br />
ressourcen des SaP-Systems wie dateien, Shares, Peripheriegeräte (z. B. Bandlaufwerke oder<br />
drucker) und netzwerkressourcen (z. B. den SaProuter-Service).<br />
Bei der installation oder einem Upgrade muss Sie adm der Gruppe domain administrators<br />
zugewiesen werden. in diesem Status hat adm dieselben rechte wie der administrator in<br />
einer normalen windows-Umgebung.<br />
SaP empfiehlt, die folgenden maßnahmen zu ergreifen, um diesen Benutzer vor unberechtigtem<br />
zugriff zu schützen:<br />
> nach einer installation oder einem Upgrade die Gruppenmitgliedschaft in den Gruppen<br />
administrators und domain administrators zu beenden,<br />
> sein Kennwort regelmäßig zu ändern.<br />
> seine zugriffsrechte auf instanzenspezifische ressourcen für das SaP-System zu beschränken.<br />
Hinweis 2: wenngleich adm auf SaP-System-dateien zugreifen kann, wird das SaP-<br />
System von einem anderen Benutzer gestartet, nämlich SaPservice.<br />
ist der Benutzer SaPService gesichert?<br />
Hinweis 1: SaPService wird bei der installation des SaP-Systems angelegt. der Benutzer<br />
wird normalerweise als ein domänenbenutzer angelegt, der das SaP-System ausführt und<br />
datenbankressourcen verwaltet. der Benutzer kann sich lokal auf allen windows-rechnern in der<br />
domäne anmelden.<br />
da das SaP-System selbst dann laufen muss, wenn kein Benutzer an dem lokalen windowsrechner<br />
angemeldet ist, läuft das SaP-System als windows-Service. aus diesem Grund erhält<br />
der Benutzer SaPService während der installation das recht logon as a service auf dem<br />
lokalen rechner.<br />
Hinweis 2: SaPService verwaltet auch das SaP-System und datenbankressourcen<br />
innerhalb des computing center management System (ccmS). der Benutzer braucht daher vollen<br />
zugriff auf alle instanzen- und datenbankspezifischen ressourcen wie dateien, Shares,<br />
Peripheriegeräte und netzwerkressourcen.<br />
Hinweis 3: das Kennwort dieses Benutzers zu ändern, ist relativ schwierig. Um das Kennwort<br />
eines windows-nt-Service-Benutzers zu ändern, muss man den Service stoppen, seine<br />
Starteigenschaften bearbeiten und ihn erneut starten. Um das Benutzerkennwort zu ändern,<br />
muss also das SaP-System gestoppt werden.<br />
SaP empfiehlt, folgende Vorkehrungen treffen, um SaPService zu schützen:<br />
> das Benutzerrecht log on locally aufzuheben,<br />
> seinen zugriff auf instanzen- und datenbankspezifische ressourcen zu beschränken,<br />
> zu verhindern, dass sich dieser spezielle Service-Benutzer interaktiv am System anmeldet.<br />
die letzte maßnahme verhindert einen missbrauch durch Benutzer, die versuchen, von<br />
Präsentationsservern aus auf das System zuzugreifen. in diesem fall brauchen man kein<br />
Verfallsdatum für das Kennwort anzugeben und kann die einstellung „change password at<br />
logon“ deaktivieren.
nr. aUthentiSierUnG Und aUtOriSierUnG im BetrieBSSyStem windOwS<br />
1.9<br />
Sind die datenbankbenutzer gesichert?<br />
Hinweis 1: analog zum SaP-System muss auch die datenbank laufen, selbst wenn kein Benutzer<br />
am windows-rechner angemeldet ist. d. h. die datenbank muss als Service laufen. während der<br />
datenbankinstallation erhält der Benutzer das recht logon as as a service auf<br />
dem lokalen rechner.<br />
1.10 ist der Benutzer Gast gesperrt oder gelöscht?<br />
1.11 wer darf das SaP-System starten oder stoppen?<br />
1.12<br />
1.13<br />
1.14<br />
1.15<br />
wer hat zugriff auf das Shared memory?<br />
Hinweis: der gemeinsame Speicher wird vom SaP-System-dispatcher und den workprozessen<br />
für bestimmte aktivitäten verwendet, z. B. für den austausch von Verwaltungsinformationen. da<br />
das SaP-System den gesamten gemeinsamen Speicher erstellt, werden dem Benutzer, der das<br />
SaP-System startet, die ausschließlichen zugriffsrechte für den gemeinsamen Speicher<br />
zugewiesen.<br />
SaP empfiehlt, um während des Betriebs von SaP-Systemen zugriffskonflikte mit bestimmten<br />
internen werkzeugen (dpmon.exe, gwmon.exe) zu vermeiden, sicherzustellen, dass derselbe<br />
Benutzer, der das SaP-System startet, auch diese werkzeuge startet.<br />
Sind die Schutzmaßnahmen für dynamisch erzeugte dateien wirksam?<br />
Hinweis: da SaP-Systeme die ein- und ausgabe der anSi-datenstromdatei verwenden, erhält<br />
eine von aBaP erstellte datei die zugriffsrechte des Ordners, in dem sie erstellt wurde. nur der<br />
Besitzer der dateien oder der administrator kann diese zugriffsrechte ändern. wenn aBaPanweisungen<br />
die dateien anlegen, gehören sie dem SaP-System (adm oder<br />
SaPService).<br />
Sind die Berechtigungen für Verwaltungsaufgaben bei mehreren SaP-Systemen auf Servern<br />
entsprechend der zuständigkeit verschiedener administratoren zugewiesen?<br />
Hinweis: Befinden sich auf dem oder den Servern mehrere SaP-Systeme, können die Verwaltungsaufgaben<br />
separat über verschiedene lokale und globale Gruppe durchgeführt werden.<br />
SaP empfiehlt:<br />
> die zugriffsrechte sind entsprechend für die dateien im Verzeichnis (und in den Unterverzeichnissen)<br />
\usr\sap zuzuweisen. dabei kann zwischen den administratoren und Gruppen<br />
unterscheiden werden, indem die namen der SaP-Systeme zur Kennzeichnung verwendet<br />
werden (z. B. und ).<br />
> alle administratoren sollten zugriff auf die beiden Verzeichnisse auf der obersten ebene von<br />
\usr\sap haben.<br />
Sind die Schutzmaßnahmen für einen gemeinsamen Speicher umgesetzt?<br />
Hinweis: wenn mehrere SaP-Systeme auf einem Server installiert sind, gibt es einen zusätzlichen<br />
Bereich des gemeinsamen Speichers. dieser Speicher wird von saposcol.exe erstellt und<br />
gemeinsam vom OS collector und allen SaP-Systemen verwendet.<br />
SaP empfiehlt, den Gruppen SaP__localadmin für die ausführbare datei saposcol.exe die<br />
zugriffsrechte full control zu vergeben. Um zugriffskonflikte zu vermeiden, muss erst saposcol.<br />
exe und anschließend das SaP-System gestartet werden.<br />
1.16 Sind die Sicherheitshinweise von microsoft zum härten des Systems bekannt und umgesetzt?<br />
1.17<br />
wird das Betriebssystem mit den von microsoft freigegebenen Sicherheits-Patches auf dem<br />
neusten Stand gehalten?<br />
Seite 107 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 108<br />
10 Kommunikations- und Netzsicherheit<br />
10.1 PrüfPrOGramm: Sicherheit deS SaP internet tranSactiOn SerVerS<br />
der SaP internet transaction Server (itS) dient zur darstellung von SaP-eigenen graphischen anwendungsoberflächen<br />
als html-Oberflächen. die html-Seiten werden dazu vom itS an einen Browser eines<br />
nutzers ausgeliefert. der itS kommuniziert seinerseits mit einem SaP-System unter anderem über das<br />
SaP eigene diaG Protokoll.<br />
der SaP internet transaction Server (itS) fügt der entwicklungsplattform des SaP web anwen-dung<br />
Servers eine html-basierende entwicklungsumgebung für front-end-anwendungen hinzu und arbeitet als<br />
Gateway zwischen dem SaP web anwendung Server und httP. als spezieller html-editor steht SaP@web<br />
Studio zur Verfügung.<br />
nr. SicherheitSreleVante einStellUnGen deS SaP internet tranSactiOn SerVerS<br />
1.<br />
H<br />
1.1<br />
2.<br />
H<br />
2.1<br />
2.2<br />
2.3<br />
Kontrollziel: Die Service-Dateien und die Dateien zur Steuerung der Anwendungen sind<br />
gegen unbefugten Zugriff geschützt.<br />
Risiko: auf dem aGate-Server sind die zugriffsrechte auf die Service-dateien nicht restriktiv<br />
gesetzt. angreifer aus dem internet können die lücken erkennen, ausnutzen und unbefugt<br />
zugreifen.<br />
ist der SaP-hinweis 693 220 „empfehlungen zur Sicherheit von itS-Services“ bekannt und umgesetzt?<br />
welche werte sind für die Berechtigungsobjekte S_tcOde und S_rfc gesetzt?<br />
zu den Berechtigungsobjekten S_tcOde und S_rfc sollte kein Benutzer die Gesamtberechtigung<br />
(Berechtigungswert ‚*‘) besitzen. dies gilt im besonderen maße für Benutzer, die über das<br />
internet zugriff auf das System bekommen. die freigegebenen transaktionen oder rfcfunktionsgruppen,<br />
auf die der zugriff benötigt wird, sollten auf den erforderlichen Umfang zugeschnitten<br />
und minimal sein.<br />
Hinweis: wenn es möglich ist, sollte nicht der Benutzertyp ‚dialog‘ oder ‚Service‘, sondern der<br />
Benutzertyp ‚Kommunikation‘ verwendet werden. Bei webrfc-internetanwendungen, die ausschließlich<br />
per rfc auf das System zugreifen, genügt der Benutzertyp ‚Kommunikation‘.<br />
Sind alle webGui Services deaktiviert, die nicht benötigt werden?<br />
aus Sicherheitsgründen ist es immer besser, alle nicht benötigten Services abzuschalten.<br />
Kontrollziel: Die Administration und der Zugriff verschiedener Administrationsfunktionen<br />
auf das ITS sind geregelt und restriktiv gesetzt.<br />
Risiko: der Superadministrator „itsadmin“ hat das Standardkennwort und ist über das internet<br />
aufrufbar. weitere administratorkonten sind mit uneingeschränktem zugriff auf alle dateien des<br />
itS angelegt, insbesondere auf die Konfigurationsverzeichnisse.<br />
ist der Port 1080 für den administrationsdienst auf der externen firewall gesperrt?<br />
http://www.muster.com:1080/scripts/wgate/admin<br />
ist das Kennwort des Superadministrators „itsadmin“ geändert? Unterliegt die nutzung von<br />
„itsadmin“ dem Vieraugenprinzip? wie viele mitarbeiter kennen das Kennwort von „itsadmin“?<br />
Sind weitere administratorkonten angelegt? ist der Berechtigungsumfang entsprechend der<br />
funktion restriktiv vergeben, z. B. nur lesezugriff für help-desk-mitarbeiter?
nr. SicherheitSreleVante einStellUnGen deS SaP internet tranSactiOn SerVerS<br />
3.<br />
Kontrollziel: Die ITS-Komponenten Webserver, WGate und AGate sind entsprechend einem<br />
Konzept der Netzsegmentierung implementiert, um nicht vertrauenswürdige Netzsegmente<br />
von vertrauenswürdigen Netzsegmente über eine DMZ (Demilitarized Zone) zu trennen.<br />
Risiko: der itS-Server ist als Single-host konfiguriert. Bei fehlerhafter Konfiguration kann ein<br />
externer angreifer zugriff auf die Service-dateien erlangen (wGate=aGate) oder sogar den hinter<br />
dem itS-Server liegenden SaP web applikation Server übernehmen.<br />
3.1 es ist mindestens die physische trennung zwischen wGate und aGate implementiert.<br />
4.<br />
5.<br />
Kontrollziel: Die Kommunikationsverbindungen zwischen<br />
> Webbrowser und WGate,<br />
> WGate und AGate,<br />
> AGate und <strong>SAP</strong> WEB Applikation Server<br />
sind verschlüsselt.<br />
Risiko: Benutzerkennung und Kennwort werden abgehört und für eine unbefugte anmeldung<br />
genutzt.<br />
Kontrollziel: Die Benutzeranmeldungen über den ITS am Web Applikation Server beruhen<br />
auf einer starken Authentisierung.<br />
Risiko: ein angreifer errät durch ausprobieren einfach gewählte Kennworte und meldet sich<br />
unbefugt an.<br />
10.2 PrüfPrOGramm: Sicherheit SaPrOUter<br />
SaProuter ist ein SaP-Programm, das eine zwischenstation (Proxy) in einer netzwerkverbindung zwischen<br />
SaP-Systemen oder zwischen einem SaP-System und der außenwelt darstellt. SaProuter dient dazu, den<br />
zugang zum netzwerk zu regeln (anwendungs level Gateway) und stellt daher eine sinnvolle ergänzung zu<br />
einem bestehenden firewall-System (Port-, Packetfilter) dar.<br />
Bildlich gesprochen: die firewall bildet eine undurchdringliche „mauer“ um das netzwerk. da aber gewisse<br />
Verbindungen durch diese wand hindurch kommen sollen, muss ein „loch“ in die firewall gemacht<br />
werden. die Kontrolle dieses loches übernimmt SaProuter. dies ist oft nützlich, wenn etwa eine Support-<br />
Verbindung von SaP zu dem SaP-System eines Kunden existiert, über die sich SaP-mitarbeiter bei<br />
Problemen an dem System anmelden können. diese Verbindungen werden mit SaProuter kontrolliert.<br />
nr. SicherheitSreleVante einStellUnGen deS SaPrOUterS<br />
1.<br />
1.1<br />
H<br />
1.2<br />
Kontrollziel: Der <strong>SAP</strong>Router ist als Proxy für die <strong>SAP</strong>-Protokolle DIAG (<strong>SAP</strong> GUI) und RFC<br />
sicher konfiguriert.<br />
Risiko: Ohne SaProuter ist ein direkter zugriff aus einem nicht vertrauenswürdigen netzsegment<br />
auf einen SaP web anwendungsserver möglich. das risiko für einen unbefugten zugriff ist hoch.<br />
erfolgt die fernwartung des SaP-Systems durch SaP über eine firewall des Unternehmensnetzes<br />
und ist dazu auch ein SaProuter konfiguriert?<br />
welche routing-regeln sind in der Konfigurationsdatei SaProuttab hinterlegt?<br />
werden in den zeilen für Permit oder SecUre Verbindungen wildcards (*) für den zielrechner<br />
oder die zielports verwendet?<br />
Seite 109 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 110<br />
10 Kommunikations- und Netzsicherheit<br />
10.3 PrüfPrOGramm: Sichere KOnfiGUratiOn deS SaP SinGle SiGn-On<br />
nr. Sichere KOnfiGUratiOn deS SaP SinGle SiGn-On<br />
1.<br />
1.1<br />
1.2<br />
2.<br />
2.1<br />
2.2<br />
2.3<br />
2.4<br />
Kontrollziel: Single Sign-On ist nur zwischen vertrauenswürdigen Systemen konfiguriert.<br />
Risiko: nicht vertrauenswürdige Systemen sind zugelassen.<br />
Hinweis 1: es gibt ein System, das SaP logon tickets ausstellt, und die anderen Systeme<br />
nehmen dieses als vertrauenswürdig an. SaP logon tickets werden entweder durch das SaP<br />
enterprise Portal oder durch einen SaP weB anwendungsserver ausgestellt. im folgenden wird<br />
ein SaP weB anwendungsserver aBaP unterstellt.<br />
Hinweis 2: es darf allerdings nur ein führendes System definiert werden. damit wird vermieden,<br />
dass mit der Verwaltung komplexer Vertrauensbeziehungen das Sicherheitsniveau herabgesetzt wird.<br />
wie ist das SaP-System konfiguriert, das die SaP logon tickets annehmen soll?<br />
welche zertifikate anderer SaP-Systeme akzeptiert das lokale SaP-System bei Single Sign-On<br />
zugriffen?<br />
transaktionen StrUSt, SSO2 oder SSO2_admin.<br />
wie ist der SaP web aS aBaP für die erteilung von SaP logon tickets konfiguriert?<br />
hat eine PKi (öffentliches trust-center, z. B. SaP ca) für den Server ein digitales zertifikat nach<br />
dem X.509-Standard ausgestellt und signiert?<br />
wurde das zertifikat in das Personal Security environment des SaP web aS übernommen?<br />
Hinweis: Selbst signierte zertifikate sind nur für ein testszenario zu empfehlen.<br />
Kontrollziel: Beschränkungen für Single Sign-On sind über Profilparameter konfiguriert.<br />
Risiko: Schwachstellen in der Konfiguration ermöglichen ein Unterlaufen der beabsichtigten<br />
Sicherheit.<br />
wie ist der Systemparameter login/accept_sso2_ticket des SaP web aS aBaP für die erteilung<br />
von SaP logon tickets konfiguriert?<br />
Hinweis: login/accept_sso2_ticket lässt die anmeldung per SSO-ticket zu oder sperrt sie.<br />
dieser Parameter muss auf „1“ gesetzt sein, um zuzulassen, dass der SaP web aS auch SaP<br />
logon tickets selbst akzeptiert.<br />
wie ist der Systemparameter login/create_sso2_ticket des SaP web aS aBaP für die erteilung<br />
von SaP logon tickets konfiguriert?<br />
Hinweis: login/create_sso2_ticket lässt die erzeugung von SSO-tickets zu.<br />
dieser Parameter muss auf „1“ gesetzt sein, um zuzulassen, dass der SaP web aS die SaP logon<br />
tickets selbst erzeugt und sein eigenes digitales zertifikat dabei verwendet.<br />
Hinweis: die Option „2“ wird nur für selbst signierte Serverzertifikate empfohlen.<br />
wie ist der Systemparameter login/ticket_expiration_time des SaP web aS aBaP für die erteilung<br />
von SaP logon tickets konfiguriert?<br />
Hinweis: login/ticket_expiration_time legt die Gültigkeitsdauer eines SSO-tickets fest.<br />
ein maximaler wert von acht Stunden, der einem arbeitstag entspricht, sollte nicht überschritten<br />
werden (neuer Standardwert: 8 statt 60 Stunden).<br />
wie ist der Systemparameter login/accept_sso2_ticket des SaP-Systems konfiguriert, das die<br />
SaP logon tickets annehmen soll?<br />
Hinweis: login/accept_sso2_ticket lässt die anmeldung per SSO-ticket zu oder sperrt sie.<br />
dieser Parameter muss auf „1“ gesetzt sein, um SaP logon tickets zuzulassen.
nr. aUthentiSierUnG Und aUtOriSierUnG im BetrieBSSyStem windOwS<br />
3.<br />
3.1<br />
3.2<br />
4.<br />
4.1<br />
Kontrollziel: Die Kommunikation zwischen dem Browser des Benutzers und dem<br />
ausstellenden <strong>SAP</strong>-System ist verschlüsselt.<br />
Risiko: eine man-in-the-middle-attacke ist möglich, ein angreifer kann das SSO ticket abhören<br />
und somit ohne anmeldung auf das SaP-System zugreifen.<br />
ist die Kommunikation zwischen Benutzer und austellendem SaP-System verschlüsselt?<br />
der Profilparameter login/ticket_only_by_https ist auf „1“ (Verschlüsselung) gesetzt.<br />
SOS: SSO ticket can Be Sent via an Unsecured connection (0608)<br />
Hinweis: weitere Parameter für anmeldekontrollen für das Single Sign-On sind wie folgt<br />
generisch zu suchen:<br />
login/*<br />
aiS: System audit - top ten Security reports – Profilparameter anzeigen<br />
aiS: System audit – System Konfiguration – Parameter – Systemparameter, übersicht mit historie<br />
aiS: System audit – System Konfiguration – Parameter – Systemparameter mit doku.<br />
Kontrollziel: Restriktive Administration der Konfiguration des <strong>SAP</strong> Single Sign-On<br />
Risiko: Gefahr einer nicht autorisierten nutzung, wenn andere Benutzer als die Systemadministratoren<br />
für die Konfiguration zugelassen sind.<br />
wer darf die Konfiguration des SaP Single Sign-On verändern?<br />
report rSUSr002 mit den eingaben:<br />
S_tcOde mit Sm30 oder Sm31 oder Se16 oder Se16n<br />
S_taBU_diS (tabellenpflege) mit actVt=02 dicBerclS=SS<br />
S_rzl_adm (rechenzentrumsleitstand) mit actVt=01<br />
S_admi_fcd (Systemberechtigungen) mit aktivität nadm<br />
SOS: Users – Other than the System administrators – are authorized to maintain the SSO<br />
configuration (0604)<br />
Seite 111 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 112<br />
11 Literaturverzeichnis<br />
BSi, Bundesamt für Sicherheit in der informationstechnik, it-Grundschutz-Kataloge: 9. ergänzungslieferung<br />
Stand 2007, Kapitel B 5.13 „SaP-System“<br />
linkies, m./Off, f. (2006), Sicherheit und Berechtigungen in SaP-Systemen, Bonn 2006<br />
SaP, SaP library SaP netweaver Security Guide<br />
SaP, Service report, SaP Security Optimization Self-Service<br />
SaP, Schulungskurs „SaP Berechtigungskonzept“, adm940<br />
tiede, t. (2004); SaP r/3 Ordnungsmäßigkeit und Prüfung des SaP-Systems (OPSaP), hamburg 2004<br />
wildensee, c.: (2006); externer zugriff auf SaP r/3 Systeme über rfc, in „Prev revisionspraxis“, Ottokar<br />
Schreiber Verlag 2006
Seite 113 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 1, Stand märz 2009, © dSaG e. V.
Seite 114<br />
<strong>Prüfleitfaden</strong> <strong>SAP</strong> Teil 2<br />
<strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>,<br />
teil 2, BetrieBSwirtSchaftlicher teil<br />
dSaG e. V.<br />
deutschsprachige SaP-anwendergruppe<br />
Inhaltsverzeichnis<br />
1 OrGaniSatiOnSeinheiten im eXternen rechnUnGSweSen 117<br />
1.1 Prüfungsziele 117<br />
1.1.1 Organisationsstruktur 117<br />
1.1.2 Stammdaten 117<br />
1.1.3 Belege 118<br />
1.2 Prüfungsdurchführung 119<br />
1.2.1 Organisationsstruktur 119<br />
1.2.2 Stammdaten 120<br />
1.2.3 Belege 121<br />
2 OrGaniSatiOnSeinheiten im internen rechnUnGSweSen 122<br />
2.1 Prüfungsziele 122<br />
2.1.1 Organisationsstruktur 122<br />
2.1.2 Stammdaten 122<br />
2.1.3 Belege 123<br />
2.2 Prüfungsdurchführung 123<br />
2.2.1 Organisationsstruktur 123<br />
2.2.2 Stammdaten 124<br />
2.2.3 Belege 125<br />
3 BeSchaffUnGSPrOzeSS (PUrchaSe tO Pay) 126<br />
3.1 Prüfungsziele 126<br />
3.1.1 Stammdaten 126<br />
3.1.2 Bestellvorgang 126<br />
3.1.3 rechnungsprüfung 127<br />
3.2 Prüfungsdurchführung 128<br />
3.2.1 Stammdaten 128<br />
3.2.2 Bestellvorgang 130<br />
3.2.3 rechnungsprüfung 130<br />
4 KalKUlatiOnSPrOzeSS 133<br />
4.1 Prüfungsziele 133<br />
4.1.1 Stammdaten und customizing 133<br />
4.1.2 durchführung 133<br />
4.1.3 ergebnisse/auswertungen 133<br />
4.2 Prüfungsdurchführung 134<br />
4.2.1 Stammdaten und customizing 134<br />
4.2.2 durchführung 135<br />
4.2.3 ergebnisse/auswertungen 135
5 PeriOdiScheS cOntrOllinG Bei einem laGerfertiGUnGSPrOzeSS 136<br />
5.1 Prüfungsziele 136<br />
5.1.1 Stammdaten und customizing 136<br />
5.1.2 durchführung/Belege 136<br />
5.1.3 ergebnisse/auswertungen 136<br />
5.2 Prüfungsdurchführung 137<br />
5.2.1 Stammdaten und customizing 137<br />
5.2.2 durchführung 137<br />
5.2.3 ergebnisse/auswertungen 138<br />
6 VertrieBSPrOzeSS: VerKaUf VOm laGer (Order tO caSh) 139<br />
6.1 Prüfungsziele 139<br />
6.1.1 Stammdaten und customizing 139<br />
6.1.2 durchführung/Belege 139<br />
6.1.3 ergebnisse/auswertungen 140<br />
6.2 Prüfungsdurchführung 141<br />
6.2.1 Stammdaten und customizing 141<br />
6.2.2 durchführung/Belege 143<br />
6.2.3 ergebnisse/auswertungen 144<br />
7 PeriOdenaBSchlUSS im internen rechnUnGSweSen<br />
Bei laGerfertiGUnG 148<br />
7.1 Prüfungsziele 148<br />
7.1.1 Stammdaten und customizing 148<br />
7.1.2 durchführung/Belege 148<br />
7.1.3 ergebnisse/auswertungen 149<br />
7.2 Prüfungsdurchführung 149<br />
7.2.1 Stammdaten und customizing 149<br />
7.2.2 durchführung/Belege 151<br />
7.2.3 ergebnisse/auswertungen 152<br />
8 PeriOdenaBSchlUSS in der anlaGenBUchhaltUnG 153<br />
8.1 Prüfungsziele 153<br />
8.1.1 Stammdaten und customizing 153<br />
8.1.2 ergebnisse/auswertungen 154<br />
8.2 Prüfungsdurchführung 155<br />
8.2.1 Stammdaten und customizing 155<br />
8.2.2 ergebnisse/auswertungen 156<br />
9 PeriOdenaBSchlUSS im eXternen rechnUnGSweSen 158<br />
9.1 Prüfungsziele 158<br />
9.1.1 Stammdaten und customizing 158<br />
9.1.2 Saldenbestätigung 158<br />
9.1.3 Bewertung der Offenen Posten in fremdwährung 158<br />
9.1.4 Pauschalierte einzelwertberichtigung 159<br />
9.1.5 Umbuchen und rastern der forderungen und Verbindlichkeiten 159<br />
9.1.6 abgrenzungsbuchungen 159<br />
9.1.7 Saldovortrag 159<br />
9.1.8 technische abstimmung zwischen Verkehrszahlen und Belegen 159<br />
Seite 115 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 116<br />
Inhaltsverzeichnis<br />
9.2 Prüfungsdurchführung 160<br />
9.2.1 Stammdaten und customizing 160<br />
9.2.2 Saldenbestätigung 161<br />
9.2.3 Bewertung der Offenen Posten in fremdwährung 162<br />
9.2.4 Pauschalierte einzelwertberichtigung 163<br />
9.2.5 Umbuchen und rastern der forderungen und Verbindlichkeiten 163<br />
9.2.6 abgrenzungsbuchungen 164<br />
9.2.7 Saldovortrag 166<br />
9.2.8 technische abstimmung zwischen Verkehrszahlen und Belegen 167<br />
10 BewertUnGSStrateGien für laGerBeStand 168<br />
10.1 Prüfungsziele 168<br />
10.1.1 Stammdaten 168<br />
10.2 Prüfungsdurchführung 169<br />
10.2.1 Stammdaten 169<br />
11 BewertUnG mit iStKalKUlatiOn Und tranSferPreiSen 172<br />
11.1 Prüfungsziele 172<br />
11.1.1 istkalkulation und transferpreise 172<br />
11.2 Prüfungsdurchführung 172<br />
11.2.1 istkalkulation und transferpreise 172<br />
12 VerKaUf einer KUndenaUftraGSfertiGUnG 174<br />
12.1 Prüfungsziele 174<br />
12.1.1 Stammdaten und customizing 174<br />
12.1.2 durchführung/Belege 174<br />
12.1.3 ergebnisse/auswertungen 175<br />
12.2 Prüfungsdurchführung 175<br />
12.2.1 Stammdaten und customizing 175<br />
12.2.2 durchführung/Belege 176<br />
12.2.3 ergebnisse/auswertungen 177<br />
13 PeriOdenaBSchlUSS im internen rechnUnGSweSen<br />
Bei KUndenaUftraGSfertiGUnG Oder dienStleiStUnG 178<br />
13.1 Prüfungsziele 178<br />
13.1.1 Stammdaten und customizing 178<br />
13.1.2 durchführung/Belege 178<br />
13.1.3 ergebnisse/auswertungen 179<br />
13.2 Prüfungsdurchführung 179<br />
13.2.1 Stammdaten und customizing 179<br />
13.2.2 durchführung/Belege 180<br />
13.2.3 ergebnisse/auswertungen 181<br />
14 fUnKtiOnStrennUnG 182<br />
14.1 zielsetzung 182<br />
14.1.1 anforderungen 182<br />
14.1.2 risiken 182<br />
14.2 Prüfungen von kritischen Berechtigungskombinationen im Bereich finanzbuchhaltung 182<br />
14.3 Prüfungen von kritischen Berechtigungskombinationen im Bereich materialwirtschaft 183
1 Organisationseinheiten im externen<br />
Rechnungswesen<br />
1.1 PrüfUnGSziele<br />
ziele riSiKO<br />
1.1.1 Organisationsstruktur<br />
Vollständiger und richtiger ausweis<br />
aller Vermögensgegenstände und<br />
Schulden im Berichtszeitraum<br />
Vollständiger und richtiger ausweis<br />
aller Vermögensgegenstände und<br />
Schulden im Berichtszeitraum<br />
Vollständiger und richtiger ausweis<br />
aller Vermögensgegenstände und<br />
Schulden im Berichtszeitraum<br />
die nachvollziehbarkeit der<br />
Verarbeitung wird durch eine auf-<br />
zeichnung der änderungen an<br />
zentralen rechnungslegungs-<br />
relevanten Steuerungstabellen<br />
sichergestellt<br />
Stetige Verwendung von sicheren und<br />
geprüften Organisationseinheiten<br />
Sicherheit vor unberechtigten<br />
änderungen an Organisationseinheiten<br />
1.1.2 Stammdaten<br />
der ausweis entspricht den<br />
mindestgliederungsvorschriften der<br />
anzuwendenden rechnungslegungsvorschrift<br />
der in Verwendung stehende<br />
Kontenplan ist genehmigt und steht in<br />
einklang mit den ausweisanforderungen<br />
der anzuwendenden<br />
rechnungslegungsvorschrift<br />
änderungen am Kontenplan sind<br />
autorisiert und im einklang mit den<br />
anzuwendenden rechnungslegungsvorschriften<br />
eine unzureichende abbildung der Unternehmensstruktur führt<br />
in der finanzberichterstattung zu einem falschausweis des<br />
Buchungsstoffes<br />
Unautorisierte änderungen an den rechnungslegungsrelevanten<br />
Steuerungsparametern/customizingeinstellungen direkt im<br />
Produktivsystem und/oder direkte entwicklungsarbeiten am<br />
Produktivsystem gefährden die integrität der Verarbeitung<br />
falsche Grundeinstellungen des Buchungskreises (löschkennzeichen,<br />
Geschäftsjahresvariante, max. Kursabweichungen…)<br />
gefährden die integrität der Verarbeitung<br />
änderungen an zentralen rechnungslegungsrelevanten<br />
Steuerungstabellen werden nicht aufgezeichnet und sind nicht<br />
mehr nachvollziehbar<br />
Unbekannte Organisationseinheiten können nicht beurteilt<br />
werden<br />
änderungen am Kontenplan wird von nicht autorisierten<br />
Personen vorgenommen<br />
falsche zuordnung der Konten zu den Bilanzposten (ausweis)<br />
Kontenplan ist nicht autorisiert und unzureichend ausgestaltet<br />
änderungen am Kontenplan sind nicht autorisiert und gefährden<br />
den richtigen ausweis der Geschäftsvorfälle<br />
Seite 117 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 118<br />
1 Organisationseinheiten im externen<br />
Rechnungswesen<br />
ziele riSiKO<br />
die Konten sind in ihren Grund- und<br />
Steuerungseinstellungen korrekt<br />
gepflegt und ermöglichen eine<br />
ordnungsgemäße finanzberichterstattung<br />
änderungen an Konteneinstellungen<br />
sind genehmigt, überwacht und in<br />
einklang nit den erfordernissen der<br />
rechnungslegungsvorschriften<br />
1.1.3 Belege<br />
Sicherheit vor unberechtigten<br />
Buchungen durch unautorisierte<br />
Personen<br />
Keine Gefährdung durch unzulässige<br />
funktionshäufungen bei einzelnen<br />
Personen<br />
Sicherheit vor unberechtigten<br />
Buchungen durch unautorisierte<br />
Personen<br />
Sicherheit vor unberechtigten<br />
änderungen an gebuchten Belegen.<br />
änderungen dürfen nur an unkritischen<br />
informationen erfolgen<br />
abweichungen bei Beträgen dürfen<br />
nur akzeptiert werden, wenn eine<br />
definierte höchstgrenze nicht<br />
überschritten ist<br />
Periodengerechte abgrenzung und<br />
zeitnahe Buchung (Buchungsperioden)<br />
Korrekte Bebuchung der cpd-Konten<br />
(Konto pro diverse)<br />
Konten sind unzureichend gepflegt (hinsichtlich der Bebuchbarkeit<br />
automatisch/manuell, abstimmkonto, Offene Posten/<br />
einzelpostenführung)<br />
Unautorisierte änderungen an den zentralen Steuerungseinstellungen<br />
der Konten<br />
Buchungen werden durch Unberechtigte vorgenommen<br />
Buchungen können von Personen vorgenommen werden, die<br />
zusammen mit ihren anderen Berechtigungen eine funktionshäufung<br />
besitzen<br />
Unberechtigte Personen führen Stornos durch<br />
änderungen werden an Belegen durchgeführt<br />
Bei Buchungen werden zu hohe abweichungen akzeptiert<br />
Verstoß gegen den Grundsatz der zeitnahen Buchung<br />
> manipulation von zahlungsdaten, da die daten für die<br />
debitoren/Kreditoren bei der jeweiligen Buchung direkt<br />
eingegeben werden<br />
> Unterlaufen von limits inkl. Buchungsbetragslimits durch<br />
mehrfache Bebuchung desselben debitors/Kreditors
1.2 PrüfUnGSdUrchführUnG<br />
riSiKO KOntrOlle teSt/Bericht<br />
1.2.1 Organisationsstruktur<br />
eine unzureichende abbildung<br />
der Unternehmensstruktur führt<br />
in der finanzberichterstattung zu<br />
einem falschausweis des<br />
Buchungsstoffes<br />
Unautorisierte änderungen an<br />
den rechnungslegungsrelevanten<br />
Steuerungsparametern/<br />
customizingeinstellungen direkt<br />
im Produktivsystem und/oder<br />
direkte entwicklungsarbeiten im<br />
Produktivsystem gefährden die<br />
integrität der Verarbeitung<br />
falsche Grundeinstellungen des<br />
Buchungskreises (löschkennzeichen,<br />
Geschäftsjahresvariante,<br />
max. Kursabweichungen…)<br />
gefährden die integrität der<br />
Verarbeitung<br />
änderungen an zentralen<br />
rechnungslegungsrelevanten<br />
Steuerungstabellen werden nicht<br />
aufgezeichnet und sind nicht<br />
mehr nachvollziehbar<br />
die Unternehmensstruktur ist<br />
korrekt im System abgebildet<br />
und ermöglicht eine korrekte<br />
erfassung aller Geschäftsvorfälle<br />
und deren ausweis in der<br />
finanzberichterstattung.<br />
die bestehenden einstellungen<br />
an rechnungslegungsrelevanten<br />
Parametern, Steuerungseinstellungen<br />
sowie die Verarbeitungsprogramme<br />
können nur über das<br />
tmS geändert werden,<br />
anwendungsentwicklung im<br />
Produktivsystem ist ausgeschlossen.<br />
die generelle<br />
mandantenänderbarkeit lautet<br />
auf nicht änderbar.<br />
die einstellungen sind konform<br />
den empfehlungen der SaP<br />
gesetzt. der BuKr ist vor<br />
versehentlichem löschen<br />
geschützt, es ist die richtige<br />
Geschäftsjahresvariante<br />
eingepflegt, die Kursabweichung<br />
beträgt max. 10%...<br />
die tabellenprotokollierung ist<br />
grundsätzlich im System<br />
aktiviert. definierte tabellen<br />
werden regelmäßig auf<br />
auffälligkeiten kontrolliert.<br />
aufnahme der Unternehmensstruktur<br />
im customizing<br />
(mandant) Buchungskreise –<br />
werke – einkaufsorganisationen<br />
– Verkaufsorganisationen<br />
Vertriebsbereiche – Sparten<br />
Kaufmännisches audit –<br />
einzelabschluss → aiS -<br />
Organisatorische übersicht<br />
transaktionen Scc4, Se06<br />
Kaufmännisches audit –<br />
einzelabschluss → Kaufmännisches<br />
audit – einzelabschluss<br />
→ aiS - Organisatorische<br />
übersicht → Org.Struktur →<br />
mandant<br />
transaktion OBy6<br />
Kaufmännisches audit - einzelabschluss<br />
→ aiS - Organisatorische<br />
übersicht → Org.Struktur<br />
→ Buchungskreis<br />
rSParam Parameter rec/client,<br />
auswertung der Protokolle über<br />
rStBhiSt<br />
System – audit → aiS - System<br />
audit – repository/tabellen -><br />
tabellenaufzeichnungen →<br />
Systemparameter<br />
(S_alr_87101223)<br />
Seite 119 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 120<br />
1 Organisationseinheiten im externen<br />
Rechnungswesen<br />
riSiKO KOntrOlle teSt/Bericht<br />
Unbekannte Organisationseinheiten<br />
können nicht beurteilt<br />
werden<br />
änderungen am Kontenplan wird<br />
von nicht autorisierten Personen<br />
vorgenommen<br />
1.2.2 Stammdaten<br />
falsche zuordnung der Konten<br />
zu den Bilanzposten (ausweis)<br />
Kontenplan ist nicht autorisiert<br />
und unzureichend ausgestaltet<br />
änderungen am Kontenplan sind<br />
nicht autorisiert und gefährden<br />
den richtigen ausweis der<br />
Geschäftsvorfälle<br />
Konten sind unzureichend<br />
gepflegt (hinsichtlich der<br />
Bebuchbarkeit automatisch /<br />
manuell, abstimmkonto, Offene<br />
Posten/einzelpostenführung)<br />
es werden nur im Unternehmen<br />
zulässige und geprüfte Organisationselemente<br />
verwendet<br />
änderungen am Kontenplan<br />
werden nur von autorisierten<br />
Personen durchgeführt<br />
die eingepflegten zuordnungen<br />
der in Verwendung stehenden<br />
Bilanzversionen entsprechen den<br />
Vorschriften der anzuwendenden<br />
rechnungslegungsvorschriften<br />
(bspw. hGB)<br />
der in Verwendung stehende<br />
Kontenplan ist autorisiert und in<br />
einklang mit den anzuwendenden<br />
rechnungslegungsvorschriften<br />
änderungen an den Konten und<br />
am Kontenplan werden nur in<br />
einem formalisierten änderungsverfahren<br />
durchgeführt.<br />
änderungen werden regelmäßig<br />
analysiert<br />
die einstellungen der Konten<br />
sind korrekt und in übereinstimmung<br />
mit den anforderungen an<br />
die nachvollziehbarkeit der<br />
Verarbeitung (abstimmkonto,<br />
we/re Konto…) gepflegt.<br />
Kaufmännisches audit - einzelabschluss<br />
→ aiS - Organisatorische<br />
übersicht → Kontierungselemente<br />
→ …<br />
Belegart, Belegnummer,<br />
Buchungsschlüssel, Buchungsperiode,<br />
Umsatzsteuerkennzeichen<br />
System – audit → aiS – System<br />
audit – Benutzer und Berechtigungen<br />
→ welcher Benutzer darf<br />
… (rSUSr002)<br />
transaktion OB58<br />
Kaufmännisches audit – einzelabschluss<br />
→ aiS - Organisatorische<br />
übersicht → Org.Struktur<br />
→ Kontenplan/Bilanzstruktur<br />
(OB58 - Bilanz/GuV-Strukturen)<br />
f.10<br />
rSKVz00<br />
Kaufmännisches audit - einzelabschluss<br />
→ abschluss - allgemein<br />
→ aiS - hauptbuch (Glt0)<br />
→ Sachkonten → Stammdaten<br />
neue/gelöschte Konten im<br />
Geschäftsjahr rSKVz00<br />
Kaufmännisches audit - einzelabschluss<br />
→ abschluss - allgemein<br />
→ aiS - hauptbuch (Glt0)<br />
→ Sachkonten - Stammdaten<br />
→ controls<br />
transaktion fS00<br />
Kaufmännisches audit - einzelabschluss<br />
→ abschluss - allgemein<br />
→ aiS - hauptbuch (Glt0)<br />
→ Sachkonten – Stammdaten<br />
→ übersicht
iSiKO KOntrOlle teSt/Bericht<br />
Unautorisierte änderungen an<br />
den zentralen Steuerungseinstellungen<br />
der Konten<br />
1.2.3 Belege<br />
Buchungen werden durch<br />
Unberechtigte vorgenommen<br />
änderungen werden an Belegen<br />
durchgeführt<br />
Bei Buchungen werden zu hohe<br />
abweichungen akzeptiert<br />
Verstoß gegen den Grundsatz der<br />
zeitnahen Buchung<br />
> manipulation von zahlungs<br />
daten, da die daten für die<br />
debitoren/Kreditoren bei der<br />
jeweiligen Buchung direkt<br />
eingegeben werden<br />
> Unterlaufen von limits inkl.<br />
Buchungsbetragslimits durch<br />
mehrfache Bebuchung<br />
desselben debitors/Kreditors<br />
änderungen an den Steuerungseinstellungen<br />
der Konten sind<br />
autorisiert und in einklang mit<br />
den erfordernissen der anzu-<br />
wendenden rechnungslegungsvorschriften<br />
nur berechtigte Personen führen<br />
Stornobuchungen durch<br />
eingestellte änderungsregeln<br />
prüfen<br />
eingestellte abweichungsgrenzen<br />
prüfen<br />
welche Buchungsperioden sind<br />
geöffnet; Untersuchung der<br />
änderungsprotokolle<br />
wer darf die tabelle t001B<br />
ändern bzw. hat zugriff auf die<br />
laufenden einstellungen in der<br />
hauptbuchhaltung, um Buch-<br />
ungsperioden zu öffnen/schließen<br />
> existiert ein Buchungsbetrags-<br />
limit für cpd Konten?<br />
> mehrfachbebuchung desselben<br />
debitors/Kreditors?<br />
> einstellung des mahnlaufs für<br />
cpd-Konten?<br />
> manipulation von zahlungsdaten<br />
(Vergleich Buchung mit Beleg)?<br />
rfSaBl00, fS04<br />
Kaufmännisches audit - einzelabschluss<br />
→ abschluss - allgemein<br />
→ aiS - hauptbuch (Glt0)<br />
→ Sachkonten - Stammdaten<br />
→ controls → Stammdatenänderungen<br />
Kaufmännisches audit - einzelabschluss<br />
→ abschluss - allgemein<br />
→ aiS - hauptbuch (Glt0)<br />
→ tOP 10 → Belegjournal (mit<br />
Beleganalyse): nach Buchungsschlüssel<br />
für Storno selektieren<br />
Kaufmännisches audit – einzelabschluss<br />
→ aiS - Organisatorische<br />
übersicht → Belegsteuerungen<br />
→ Belegänderungsregeln<br />
→ übersicht – detail<br />
Kaufmännisches audit – einzelabschluss<br />
→ aiS - Organisatorische<br />
übersicht → Belegsteuerungen<br />
→ toleranzen →<br />
toleranzgruppe → übersicht -<br />
detail nach Buchungsschlüssel<br />
für Storno selektieren<br />
aiS - audit information System<br />
→ Kaufmännisches audit - einzelabschluss<br />
→ Kontierungselemente<br />
→ Buchungsperiode<br />
tabellenpflege z.B. Sm31 und<br />
Berechtigungsobjekt<br />
S_taBU_diS<br />
reports: überblick über<br />
cpd-Konten rfKKVz00/<br />
rfdKVz00, auswertung über<br />
Kontensaldenanzeige fK10n/<br />
fd11, detailansicht doppelklick<br />
Seite 121 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 122<br />
2 Organisationseinheiten im internen<br />
Rechnungswesen<br />
2.1 PrüfUnGSziele<br />
ziele riSiKO<br />
2.1.1 Organisationsstruktur<br />
richtige und zweckdienliche<br />
abbildung der controllingstrukturen<br />
richtige und zweckdienliche<br />
abbildung der controllingstrukturen<br />
richtige und zweckdienliche<br />
abbildung der controllingstrukturen<br />
die nachvollziehbarkeit der<br />
Verarbeitung wird durch eine<br />
aufzeichnung der änderungen an<br />
zentralen rechnungslegungsrelevanten<br />
Steuerungstabellen<br />
sichergestellt<br />
Stetige Verwendung von sicheren und<br />
geprüften Organisationseinheiten<br />
Stetige Verwendung von sicheren und<br />
geprüften Organisationseinheiten<br />
Sicherheit vor unberechtigten<br />
änderungen an Organisationseinheiten<br />
2.1.2 Stammdaten<br />
Verantwortungsgerechte zuordnung<br />
der controllingobjekte zu Profit centern<br />
die kostengleichen aufwendungen im<br />
fi werden richtig und zeitnah in das<br />
controlling übernommen<br />
änderungen an den Kostenarten sind<br />
autorisiert und im einklang mit der<br />
beschlossenen controllingstruktur<br />
die informationen der controllingobjekte<br />
sind richtig und aktuell<br />
der Kostenrechnungskreis im controlling ist nicht richtig<br />
definiert<br />
die Standardhierarchie in der Kostenstellenrechnung ist falsch<br />
aufgebaut<br />
die Standardhierarchie in der Profit center- rechnung ist falsch<br />
aufgebaut und gefährdet die richtige Segmentberichtserstattung<br />
änderungen an zentralen rechnungslegungsrelevanten<br />
Steuerungstabellen werden nicht aufgezeichnet und sind nicht<br />
mehr nachvollziehbar<br />
Unbekannte Organisationseinheiten in der Kostenstellerechnung<br />
können nicht beurteilt werden<br />
Unbekannte Organisationseinheiten in der auftragsrechnung<br />
können nicht beurteilt werden<br />
änderungen an Standardhierarchien und Organisationselementen<br />
werden von nicht autorisierten Personen vorgenommen<br />
falsche zuordnung der Stammdaten zu den Profit centern<br />
Kostenarten sind nicht richtig gepflegt<br />
Kostenarten werden unautorisiert angelegt und gefährden den<br />
richtigen ausweis der Geschäftsvorfälle<br />
Kostenstellen werden unautorisiert geändert und führen<br />
besonders bei änderungen der zuordnung zur Standard-<br />
hierarchie zu falschen ergebnissen
ziele riSiKO<br />
2.1.3 Belege<br />
Sicherheit vor unberechtigten<br />
Buchungen durch unautorisierte<br />
Personen<br />
Keine Gefährdung durch unzulässige<br />
funktionshäufungen bei einzelnen<br />
Personen<br />
Sicherheit vor unberechtigten<br />
Buchungen durch unautorisierte<br />
Personen<br />
die verursachungsgerechte Buchung<br />
von Kosten zu den richtigen<br />
controllingobjekten ist gewährleistet<br />
2.2 PrüfUnGSdUrchführUnG<br />
Buchungen werden durch Unberechtigte vorgenommen<br />
Buchungen können von Personen vorgenommen werden, die<br />
zusammen mit ihren anderen Berechtigungen eine funktionshäufung<br />
besitzen<br />
Unberechtigte Personen buchen Kosten auf Kostenstellen<br />
Kosten werden Kostenstellen nicht verursachungsgerecht<br />
belastet<br />
riSiKO KOntrOlle teSt/Bericht<br />
2.2.1 Organisationsstruktur<br />
der Kostenrechnungskreis im<br />
controlling ist nicht richtig<br />
definiert<br />
die Standardhierarchie in der<br />
Kostenstellenrechnung ist falsch<br />
aufgebaut<br />
die Standardhierarchie in der<br />
Profit center- rechnung ist<br />
falsch aufgebaut und gefährdet<br />
die richtige Segmentberichtserstattung<br />
der Kostenrechnungskreis ist<br />
entsprechend den Unternehmensvorgaben<br />
richtig definiert,<br />
die richtigen Buchungskreise<br />
und der richtige ergebnisbereich<br />
sind zugeordnet<br />
die Kostenstellenhierarchie<br />
entspricht den Unternehmensvorgaben<br />
und die Kostenstellen<br />
sind richtig eingeordnet<br />
die Profit center- Standardhierarchie<br />
entspricht den<br />
Unternehmensvorgaben und die<br />
Profit center sind richtig<br />
eingeordnet<br />
imG → Unternehmensstruktur →<br />
zuordnung → controlling (OX19)<br />
imG → controlling → controlling<br />
allgemein → Organisation (OKKP)<br />
SaP menu → rechnungswesen<br />
→ controlling → Kostenstellenrechnung<br />
→ Stammdaten →<br />
Standardhierarchie → anzeigen<br />
(OKenn)<br />
SaP menu → rechnungswesen<br />
→ controlling → Profit center-<br />
rechnung → Stammdaten →<br />
Standardhierarchie → anzeigen<br />
(Och6n)<br />
Seite 123 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 124<br />
2 Organisationseinheiten im internen<br />
Rechnungswesen<br />
riSiKO KOntrOlle teSt/Bericht<br />
änderungen an zentralen<br />
rechnungslegungsrelevanten<br />
Steuerungstabellen werden nicht<br />
aufgezeichnet und sind nicht<br />
mehr nachvollziehbar<br />
Unbekannte Organisationseinheiten<br />
in der Kostenstellenrechnung<br />
können nicht beurteilt<br />
werden<br />
Unbekannte Organisationseinheiten<br />
in der auftragsrechnung<br />
können nicht beurteilt werden<br />
änderungen an Standardhierarchien<br />
und Organisationselementen<br />
werden von nicht autorisierten<br />
Personen vorgenommen<br />
2.2.2 Stammdaten<br />
falsche zuordnung der<br />
Stammdaten zu den Profit centern<br />
Kostenarten sind nicht richtig<br />
gepflegt<br />
die tabellenprotokollierung ist<br />
grundsätzlich im System<br />
aktiviert. definierte tabellen<br />
werden regelmäßig auf<br />
auffälligkeiten kontrolliert.<br />
es werden nur im Unternehmen<br />
zulässige und geprüfte Organisationselemente<br />
verwendet<br />
es werden nur im Unternehmen<br />
zulässige und geprüfte Organisationselemente<br />
verwendet<br />
änderungen an Standardhierarchie<br />
und Organisationselementen<br />
werden nur von autorisierten<br />
Personen durchgeführt<br />
die eingepflegten zuordnungen<br />
der Stammdaten müssen der<br />
Verantwortlichkeit im Unternehmen<br />
sowie den intern oder<br />
extern berichtspflichtigen<br />
einheiten entsprechen<br />
alle aufwandskonten, die Kosten<br />
aufnehmen, sind im controlling<br />
als primäre Kostenarten gepflegt:<br />
Vergleich der aufwandskontenliste<br />
mit der Kostenartenliste<br />
rSParam Parameter rec/client,<br />
auswertung der Protokolle über<br />
rStBhiSt<br />
System – audit → aiS - System<br />
audit – repository /tabellen →<br />
tabellenaufzeichnungen →<br />
Systemparameter<br />
(S_alr_87101223)<br />
imG → controlling → Kostenstellenrechnung<br />
→ Stammdaten →<br />
Kostenstellen → Kostenstellenarten<br />
imG → controlling → innenaufträge<br />
→ auftragsstammdaten →<br />
auftragsarten definieren<br />
Se16, tabelle USOBt<br />
System – audit → aiS – System<br />
audit – Benutzer und Berechtigungen<br />
→ welcher Benutzer darf<br />
… (rSUSr002)<br />
imG → controlling → Profit<br />
center- rechnung → zuordnungen<br />
von Kontierungsobjekten<br />
zu Profit centern → zuordnungen<br />
überprüfen<br />
aiS → Kaufmännisches audit –<br />
einzelabschluß → aiS – interne<br />
leistungsverrechnung →<br />
Stellenrechnung/innenaufträge<br />
→ Stammdaten → Kostenarten:<br />
Stammdatenbericht
iSiKO KOntrOlle teSt/Bericht<br />
Kostenarten werden unautorisiert<br />
angelegt und gefährden den<br />
richtigen ausweis der Geschäftsvorfälle<br />
Kostenstellen werden unautorisiert<br />
geändert und führen<br />
besonders bei änderungen der<br />
zuordnung zur Standardhierarchie<br />
zu falschen ergebnissen<br />
2.2.3 Belege<br />
Buchungen werden durch<br />
Unberechtigte vorgenommen<br />
Buchungen können von<br />
Personen vorgenommen<br />
werden, die zusammen mit ihren<br />
anderen Berechtigungen eine<br />
funktionshäufung besitzen<br />
Unberechtigte Personen buchen<br />
Kosten auf Kostenstellen<br />
Kosten werden Kostenstellen<br />
nicht verursachungsgerecht<br />
belastet<br />
anlegen und ändern von<br />
Kostenarten werden nur in<br />
einem formalisierten änderungs-<br />
verfahren durchgeführt.<br />
änderungen werden regelmäßig<br />
analysiert<br />
die einstellungen der Kostenstellen<br />
werden nur von autorisierten<br />
Personen geändert.<br />
nur berechtigte Personen führen<br />
Sachkontenbuchungen durch<br />
die gleiche Person darf nicht<br />
Kreditoren-, debitoren- und<br />
Sachkonten bebuchen dürfen<br />
nur berechtigte Personen führen<br />
Stornobuchungen durch<br />
Kosten werden in controlling<br />
verursachungsgerecht gebucht<br />
aiS → Kaufmännisches audit –<br />
einzelabschluß → aiS – interne<br />
leistungsverrechnung →<br />
Stellenrechnung/innenaufträge<br />
→ Stammdaten → Kostenarten:<br />
Stammdatenbericht<br />
feld „angelegt von“ einblenden<br />
SaP menue → rechnungswesen<br />
→ controlling → Kostenstellenrechnung<br />
→ Stammdaten →<br />
Kostenstellen → einzelbearbeitung<br />
→ änderungen anzeigen<br />
Kaufmännisches audit - einzelabschluss<br />
→ abschluss - allgemein<br />
→ aiS - hauptbuch (Glt0)<br />
→ Sachkonten, Konto – Belege<br />
→ übersicht → einzelposten<br />
(alV- Bericht: feld „name des<br />
Benutzers“ aufnehmen)<br />
Se16, USOBt: Berechtigungsobjekte<br />
für bspw. fB01: f_BKPf_<br />
BeS, f_BKPf_Bed, f_BKPf_<br />
BeK<br />
rSUSr002: welche User haben<br />
diese Berechtigungsobjekte?<br />
aiS → Kaufmännisches audit –<br />
einzelabschluß → aiS – interne<br />
leistungsverrechnung →<br />
Stellenrechnung/innenaufträge<br />
→ einzelposten/Belege →<br />
Kostenrechnungsbelege ist<br />
aiS → Kaufmännisches audit –<br />
einzelabschluß → aiS – interne<br />
leistungsverrechnung →<br />
Stellenrechnung/innenaufträge<br />
→ einzelposten/Belege →<br />
Kostenstelle einzelposten ist<br />
Seite 125 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 126<br />
3 Beschaffungsprozeß (purchase to pay)<br />
3.1 PrüfUnGSziele<br />
ziele riSiKO<br />
3.1.1 Stammdaten<br />
Kreditorenstammdaten sind<br />
vollständig, richtig und zeitnah gepflegt.<br />
Kreditorenstammdaten werden in<br />
einem geregelten Verfahren angelegt,<br />
geändert oder gelöscht.<br />
die auf den Kreditoren erfassten<br />
Vorgänge werden korrekt im<br />
hauptbuch ausgewiesen (richtige<br />
definition des abstimmkontos)<br />
eine wirksame trennung von Pflege<br />
der Stammdaten und erfassung der<br />
Bewegungsdaten verhindert dolose<br />
handlungen.<br />
änderungen an Kreditoren sind<br />
autorisiert<br />
der ausweis der Verbindlichkeiten<br />
entspricht den Bilanzierungsvorschriften.<br />
die erfassten Verbindlichkeiten<br />
enthalten nur die vom Unternehmen<br />
tatsächlich bezogenen leistungen<br />
richtiger ausweis der Verbindlichkeiten<br />
3.1.2 Bestellvorgang<br />
der zugriff auf die einkaufsdaten und<br />
funktionen ist restriktiv ausgestaltet<br />
unter einhaltung von funktionstrennungsgesichtspunkten<br />
und dem<br />
4-augenprinzip<br />
es werden nur autorisierte Beschaffungsvorgänge<br />
initiiert. die Beschaffungsrichtlinien<br />
und zeichnungsrichtlinien<br />
werden eingehalten<br />
die unterschiedlichen Sichten der Kreditorenstammdaten sind<br />
nicht konsistent gepflegt (einkausssicht/Buchhaltungssicht)<br />
Unautorisierte Pflege von Kreditorenstammdaten<br />
falscher ausweis im hauptbuch<br />
einmallieferanten werden mißbräuchlich verwendet.<br />
Unautorisierte änderungen an Kreditoren gefährden die<br />
integrität der Stammdaten.<br />
ein erforderlicher ausweis nach den Bilanzierungsvorschriften<br />
erfolgt nicht (abstimmkonten sind falsch definiert)<br />
lieferantenrechnungen werden doppelt erfasst<br />
falsche Bildung von Unternehmensstrukturen im customizing<br />
(zuordnung von einkaufsorganisationen zu Buchungskreisen)<br />
Betrügerische handlung aufgrund einer unzureichenden<br />
funktionstrennung von Stammdatenpflege Kreditoren und<br />
durchführung von Beschaffungsvorgängen<br />
Bestellungen werden ohne Bestellanforderungen angelegt
ziele riSiKO<br />
es werden nur autorisierte<br />
Bestellungen initiiert. die Beschaffungsrichtlinien<br />
und zeichnungsrichtlinien<br />
werden eingehalten<br />
es werden nur autorisierte Bestellungen<br />
initiiert. die Beschaffungsrichtlinien<br />
und zeichnungsrichtlinien werden<br />
eingehalten<br />
3.1.3 Rechnungsprüfung<br />
die erfassten Verbindlichkeiten<br />
enthalten nur die vom Unternehmen<br />
tatsächlich bezogenen und genehmigten<br />
leistungen<br />
die erfassten Verbindlichkeiten<br />
enthalten nur die vom Unternehmen<br />
tatsächlich bezogenen und genehmigten<br />
leistungen<br />
die erfassten Verbindlichkeiten<br />
enthalten nur die vom Unternehmen<br />
tatsächlich bezogenen und genehmigten<br />
leistungen<br />
die erfassten Verbindlichkeiten<br />
enthalten nur die vom Unternehmen<br />
tatsächlich bezogenen und genehmigten<br />
leistungen<br />
die Verbindlichkeiten beruhen auf<br />
genehmigten Beschaffungsvorgängen<br />
und wurden genehmigt bezogen.<br />
die Verbindlichkeiten beruhen auf<br />
genehmigten Beschaffungsvorgängen<br />
und wurden genehmigt bezogen.<br />
es werden keine auszahlungen bei<br />
Kreditoren getätigt, bei denen<br />
gleichzeitig ein ausfallrisiko bei<br />
Offenen forderungen besteht<br />
die freigabestrategie von Bestellanforderungen ist nicht<br />
Unternehmenskonform ausgeprägt<br />
zu nicht freigegebenen Bestellanforderungen werden<br />
Bestellungen angelegt<br />
es werden Verbindlichkeiten für nicht erbrachte leistungen<br />
direkt auf den Kreditoren erfasst.<br />
eingangsrechnungen werden mit einem zu hohen Betrag erfasst<br />
(und ausbezahlt).<br />
eingangsrechnungen werden mit einem zu hohen Betrag erfasst<br />
(und ausbezahlt).<br />
Unzureichende ausgestaltung des 3-wege matches durch<br />
mangelhafte einstellungen des we/re Kontos<br />
ausgewiesene Verbindlichkeiten zum Bilanzstichtag haben<br />
keinen Bestand.<br />
ausgewiesene Verbindlichkeiten zum Bilanzstichtag haben<br />
keinen Bestand oder sind zu niedrig ausgewiesen.<br />
es werden auszahlungen für Verbindlichkeiten getätigt, bei<br />
Kreditoren mit uneinbringlichen forderungen (z.B. durch<br />
mögliche insolvenzgefährdung des Kreditors)<br />
Seite 127 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 128<br />
3 Beschaffungsprozeß (purchase to pay)<br />
ziele riSiKO<br />
alle ausgewiesenen Verbindlichkeiten<br />
bestehen zum Bilanzstichtag<br />
alle ausgewiesenen Verbindlichkeiten<br />
bestehen zum Bilanzstichtag<br />
die Bewertung der Verbindlichkeiten<br />
entspricht den Bewertungsvorschriften<br />
der GaaP/hGB.<br />
es werden keine auszahlungen bei<br />
Kreditoren getätigt, bei denen<br />
gleichzeitig ein ausfallrisiko bei<br />
Offenen forderungen besteht<br />
3.2 PrüfUnGSdUrchführUnG<br />
haupt- und nebenbücher stimmen nicht überein<br />
haupt- und nebenbücher stimmen nicht überein<br />
es werden Verbindlichkeiten ausgewiesen, die keinen Bestand<br />
haben<br />
es werden auszahlungen für Verbindlichkeiten getätigt, bei<br />
Kreditoren mit uneinbringlichen forderungen (z.B. durch<br />
mögliche insolvenzgefährdung des Kreditors)<br />
riSiKO KOntrOlle teSt/Bericht<br />
3.2.1 Stammdaten<br />
die unterschiedlichen Sichten<br />
der Kreditorenstammdaten sind<br />
nicht konsistent gepflegt<br />
(einkaufssicht/Buchhaltungssicht)<br />
Unautorisierte Pflege von<br />
Kreditorenstammdaten<br />
falscher ausweis im hauptbuch<br />
überprüfung der vollständigen<br />
und konsistenten Pflege der<br />
Stammdatensichten<br />
überprüfung wer wann welche<br />
Kreditoren angelegt hat (in<br />
Stichproben)<br />
überprüfung, ob alle Kreditoren<br />
ein abstimmkonto zugewiesen<br />
haben, überprüfung der<br />
inhaltlichen richtigkeit in<br />
Stichproben<br />
rfKKaG00<br />
rfKKVz00<br />
aiS - audit information System<br />
- Bilanz - Passiva - Verbindlichkeiten<br />
- aiS - Kreditoren -<br />
Stammdaten - Stammdaten -<br />
übersicht - S_alr_87101118<br />
– Kontenverzeichnis<br />
databrowser Se16, tabelle lfB1,<br />
Selektion auf dem feld<br />
abstimmkonto<br />
aiS - audit information System<br />
- Bilanz - Passiva - Verbindlichkeiten<br />
- aiS - Kreditoren –<br />
Stammdaten → Stammdaten<br />
- data Browser - Se16_lfB1<br />
- lfB1 = lieferantenstamm<br />
(Buchungskreis)
iSiKO KOntrOlle teSt/Bericht<br />
einmallieferanten werden<br />
missbräuchlich verwendet.<br />
Unautorisierte änderungen an<br />
Kreditoren gefährden die<br />
integrität der Stammdaten.<br />
ein erforderlicher ausweis nach<br />
den Bilanzierungsvorschriften<br />
erfolgt nicht (abstimmkonten<br />
sind falsch definiert)<br />
änderungen an Standardhierarchien<br />
und Organisationselementen<br />
werden von nicht autorisierten<br />
Personen vorgenommen<br />
lieferantenrechnungen werden<br />
doppelt erfasst<br />
falsche Bildung von Unternehmensstrukturen<br />
im customizing<br />
(zuordnung von einkaufsorganisationen<br />
zu Buchungskreisen)<br />
überprüfung der angelegten cpd<br />
Konten, dass nur Vorgänge mit<br />
geringen Beträgen erfasst<br />
werden<br />
überprüfung der änderungen an<br />
Kreditorenstammdaten.<br />
änderungen an Stammdaten<br />
werden korrekt aufgezeichnet.<br />
überprüfung der abstimmkonten<br />
auf korrekte definition.<br />
änderungen an Standardhierarchie<br />
und Organisationselementen<br />
werden nur von autorisierten<br />
Personen durchgeführt<br />
automatische Prüfung auf<br />
doppelte lieferantenrechnungen<br />
bei erfassung der eingangsrechnungen<br />
durch Pflege des feldes<br />
„doppelte lieferantenrechnungen“<br />
im Stammsatz<br />
die Unternehmensstrukturen<br />
sind korrekt gebildet und bilden<br />
die rechtlichen Gegebenheiten<br />
korrekt im System wieder.<br />
report rfKKVz00, Selektion cpd<br />
Konten, anzeige der Konten<br />
fK10n<br />
aiS - audit information System<br />
- Bilanz - Passiva - Verbindlichkeiten<br />
- aiS - Kreditoren -<br />
Stammdaten aiS - Verbindlichkeiten<br />
- Kreditoren, Konto →<br />
Salden - übersicht - Saldenliste<br />
cPd<br />
änderungsreport rfKaBl00,<br />
einstellungen zum änderungsreport<br />
in der tabelle t077K<br />
Bilanz - aktiva - forderungen<br />
- aiS – forderungen- debitoren,<br />
Konto → Salden - übersicht -<br />
Saldenliste cPd<br />
imG → controlling → innenaufträge<br />
→ auftragsstammdaten →<br />
auftragsarten definieren<br />
rfKSld00 (Selektion auf<br />
abstimmkonten Kreditoren)<br />
Kaufmännisches audit - einzelabschluss<br />
- aiS - Organisatorische<br />
übersicht abstimmkonten<br />
S_alr_87101046 – abstimmkonten<br />
Pflege des feldes „doppelte<br />
lieferantenrechnungen“ in der<br />
tabelle lfB1<br />
Bilanz - aktiva - forderungen<br />
- aiS - debitoren - Stammdaten<br />
- Stammdaten controls -<br />
Stammdatenänderungen<br />
- S_alr_87101066 - liste (Batch !)<br />
einsicht im customizing über die<br />
zuordnungen<br />
transaktion SPrO – referenzimG<br />
– Unternehmensstruktur<br />
– zuordnung – materialwirtschaft<br />
– einkaufsorganisation –<br />
Buchungskreis zuordnen<br />
Seite 129 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 130<br />
3 Beschaffungsprozeß (purchase to pay)<br />
riSiKO KOntrOlle teSt/Bericht<br />
3.2.2 Bestellvorgang<br />
Betrügerische handlungen<br />
aufgrund einer unzureichenden<br />
funktionstrennung von<br />
Stammdatenpflege Kreditoren<br />
und durchführung von<br />
Beschaffungsvorgängen<br />
Bestellungen werden ohne<br />
Bestellanforderungen angelegt<br />
die freigabestrategie von<br />
Bestellanforderungen ist nicht<br />
Unternehmenskonform<br />
ausgeprägt<br />
zu nicht freigegebenen<br />
Bestellanforderungen werden<br />
Bestellungen angelegt<br />
3.2.3 Rechnungsprüfung<br />
es werden Verbindlichkeiten für<br />
nicht erbrachte leistungen direkt<br />
auf den Kreditoren erfasst.<br />
eingangsrechnungen werden mit<br />
einem zu hohen Betrag erfasst<br />
(und ausbezahlt).<br />
funktionstrennung zwischen<br />
Bestellanforderung, Bestellung<br />
und wareneingang sollte<br />
systemseitig sichergestellt und<br />
wirksam sein<br />
Prüfung, ob Bestellungen ohne<br />
Bezug zu Bestellanforderungen<br />
existieren<br />
die freigabestrategie für<br />
Bestellanforderungen entsprechend<br />
der durch das Unternehmen<br />
definierten Beschaffungsrichtlinie<br />
die Bestellung kann nur mit<br />
Bezug zu einer freigegeben<br />
Bestellanforderung angelegt<br />
werden<br />
lieferantenrechnungen können<br />
nur mit einer Bestellnummer<br />
erfasst werden. erfasste<br />
rechnungen, bei denen noch<br />
kein wareneingang erfolgt ist<br />
sind zur Bezahlung gesperrt.<br />
rechnungspositionsbetragsprüfung.<br />
lediglich innerhalb eng<br />
definierter toleranzgrenzen<br />
können eingangsrechnungen mit<br />
abweichungen zum Bestellpreis<br />
im System erfasst werden.<br />
Keine Vergabe der transaktionen<br />
fK01 zzgl. Ber.obj. f_lfa1_BUK<br />
akt 01 und den transaktionen<br />
me21n, miGO, mirO zzgl. Ber.obj.<br />
(siehe oben)<br />
analyse über rSUSr002<br />
Systemaudit - infosystem<br />
Benutzer & Berechtigungen<br />
liste der Bestellungen: SaP<br />
Quick Viewer, join der tabellen<br />
eKKO und eKPO mit anzeige der<br />
entsprechenden felder<br />
imG → materialwirtschaft →<br />
einkauf → Bestellanforderungen<br />
→ freigabestrategie<br />
report rSUSr002: Prüfung auf<br />
Berechtigungsobjekt m_einK_frG<br />
liste der Bestellungen: SaP<br />
Quick Viewer, join der tabellen<br />
eKKO und eKPO mit anzeige der<br />
entsprechenden felder<br />
analyse der tabelle BKPf auf<br />
Belege ungleich transaktionscode<br />
mirO (hierzu ist es<br />
erforderlich die tabellen BSiK/<br />
BSaK mit der tabelle BKPf zu<br />
joinen – datenanalysesoftware)<br />
customizing transaktion Omrh,<br />
Omri, Omr6<br />
Omrh = aktivierung Sperren wg.<br />
Positionsbetrages muss für den<br />
Buchungskreis gesetzt sein<br />
Omri = rechnungsprüfung:<br />
Prüfung auf Betragshöhe muss<br />
gesetzt sein<br />
Omr6 = toleranzgrenzen müssen<br />
angemessen gepflegt sein
iSiKO KOntrOlle teSt/Bericht<br />
eingangsrechnungen werden mit<br />
einem zu hohen Betrag erfasst<br />
(und ausbezahlt).<br />
Unzureichende ausgestaltung<br />
des 3-wege matches durch<br />
mangelhafte einstellungen des<br />
we/re Kontos<br />
ausgewiesene Verbindlichkeiten<br />
zum Bilanzstichtag haben keinen<br />
Bestand.<br />
ausgewiesene Verbindlichkeiten<br />
zum Bilanzstichtag haben keinen<br />
Bestand oder sind zu niedrig<br />
ausgewiesen.<br />
es werden auszahlungen für<br />
Verbindlichkeiten getätigt, bei<br />
Kreditoren mit uneinbringlichen<br />
forderungen (bspw. durch<br />
mögliche insolvenzgefährdung<br />
des Kreditors)<br />
3-wege abstimmung über das<br />
wareneingangs- rechnungseingangskonto.<br />
zeitnahe Pflege und<br />
Klärung aller differenzfälle.<br />
die einstellungen des we/re<br />
Kontos sind angemessen (nur<br />
maschinell bebuchbar)<br />
die Kreditorenumsätze werden<br />
plausibilisiert.<br />
es werden Saldenbestätigungen<br />
von lieferanten eingeholt<br />
automatische Verrechnung von<br />
Offenen Posten bei debitorischen<br />
Kreditoren (mit insolvenzgefährdung/drohenderzahlungsunfähigkeit)<br />
identifikation des we/re Kontos<br />
über den in Verwendung<br />
stehenden Kontenplan<br />
transaktion f.10 und analyse des<br />
Pflegestandes des we/re Kontos<br />
über transaktion fS10n<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva -<br />
aiS – Vorratsvermögen - Konsistenzprüfungen<br />
- S_P6B_12000135<br />
- we/re-Saldenliste<br />
identifikation des we/re Kontos<br />
über den in Verwendung<br />
stehenden Kontenplan<br />
transaktion f.10 und analyse der<br />
einstellungen des we/re Kontos<br />
über transaktion fS00 zzgl.<br />
änderungshistorie über fS04<br />
managementreview des reports<br />
rfKUml00<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - Passiva<br />
- Verbindlichkeiten - aiS - Verbindlichkeiten<br />
- Kreditoren,<br />
Konto → Salden - übersicht<br />
- Umsatzauswahl nach Betrag<br />
transaktion f.18<br />
Stammdatenpflege/customizing<br />
feld im debitorenstammsatz<br />
gesetzt Verrechung mit Kreditor<br />
(KnB1 – feld XVerr) und feld<br />
im Kreditorenstammsatz gesetzt<br />
Verrechnung mit debitor XVerr<br />
Seite 131 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 132<br />
3 Beschaffungsprozeß (purchase to pay)<br />
riSiKO KOntrOlle teSt/Bericht<br />
haupt- und nebenbücher<br />
stimmen nicht überein<br />
haupt- und nebenbücher<br />
stimmen nicht überein<br />
es werden Verbindlichkeiten<br />
ausgewiesen die keinen Bestand<br />
haben<br />
abstimmung von haupt- und<br />
nebenbücher zum Jahresabschluss<br />
regelmäßige automatisierte<br />
abstimmung von haupt- und<br />
nebenbücher<br />
analyse der altersstruktur der<br />
Offenen Posten<br />
abstimmung der reports<br />
rfKSSldO mit rfhaBU00<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - Passiva -<br />
Verbindlichkeiten - aiS - Verbindlichkeiten<br />
- abstimmung/<br />
Große Umsatzprobe<br />
report SaPf190<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - Passiva -<br />
Verbindlichkeiten - aiS - Verbindlichkeiten<br />
- abstimmung/<br />
Große Umsatzprobe<br />
report rfKOPr10<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - Passiva -<br />
Verbindlichkeiten - aiS - Verbindlichkeiten<br />
fiaP - infosystem<br />
- S_alr_87010027 - Kreditoren<br />
info-System
4 Kalkulationsprozess<br />
4.1 PrüfUnGSziele<br />
ziele riSiKO<br />
4.1.1 Stammdaten und Customizing<br />
richtige Pflege der materialstammsätze der materialstammsatz ist unzutreffend gepflegt<br />
richtiger ansatz der internen<br />
Verrechnungspreise<br />
richtiger ansatz der internen<br />
Verrechnungspreise<br />
zweckentsprechende Bewertung der<br />
ressourcen, um richtige herstellkosten<br />
zu ermitteln<br />
Verursachungsgerechte weiterverrechnung<br />
von Gemeinkosten auf die<br />
Kostenträger<br />
4.1.2 Durchführung<br />
Sicherheit vor Kalkulationen durch<br />
unautorisierte Personen<br />
Sicherheit vor materialbewertungs<br />
änderungen durch unautorisierte<br />
Personen<br />
4.1.3 Ergebnisse/Auswertungen<br />
richtiger Standardpreis im<br />
materialstammsatz<br />
Stetige Bewertung des materials im<br />
lager<br />
richtige Bewertung des materials im<br />
lager<br />
richtiger ausweis der herstellkosten<br />
richtiger ausweis der herstellkosten<br />
und Sicherheit für die Bewertung von<br />
materialbeständen<br />
die tarife der leistungsarten sind falsch gepflegt<br />
die Kostenstellentarife sind zwar im durchschnitt gut, haben<br />
aber hohe periodenbezogene Schwankungen<br />
die Kalkulationsvariante verwendet unzweckmäßige Bewertungen<br />
die Kalkulationsvariante verwendet unzweckmäßige Gemeinkostenverrechnungen<br />
Kalkulationen werden von unautorisierten Personen durchgeführt<br />
Kalkulationen werden von unautorisierten Personen vorgemerkt<br />
und freigegeben<br />
der Standardpreis im materialstammsatz stammt nicht aus<br />
einer freigegebenen erzeugniskalkulation<br />
die Standardpreise im materialstamm werden unangemessen<br />
häufig verändert<br />
die änderung der Standardpreise im materialstamm ist<br />
auffallend/unangemessen hoch<br />
die materialpreise in den Preisfeldern sind stark unterschiedlich<br />
Seite 133
Seite 134<br />
4 Kalkulationsprozess<br />
4.2 PrüfUnGSdUrchführUnG<br />
riSiKO KOntrOlle teSt/Bericht<br />
4.2.1 Stammdaten und Customizing<br />
der materialstammsatz ist<br />
unzutreffend gepflegt<br />
die tarife der leistungsarten<br />
sind falsch gepflegt<br />
die Kostenstellentarife sind zwar<br />
im durchschnitt gut, haben aber<br />
hohe periodenbezogene Schwankungen<br />
die Kalkulationsvariante<br />
verwendet unzweckmäßige<br />
Bewertungen<br />
die Kalkulationsvariante<br />
verwendet unzweckmäßige<br />
Gemeinkostenverrechnungen<br />
die materialstammsätze<br />
stichprobenartig oder in<br />
listenform prüfen<br />
die Kostenstellentarife auflisten<br />
und auf unsinnige werte oder auf<br />
hohe abweichungen gegenüber<br />
den vergangenen Jahren prüfen<br />
die Kostenstellentarife auflisten<br />
und auf unsinnige werte oder auf<br />
hohe abweichungen gegenüber<br />
den vergangenen Jahren prüfen<br />
Bewertungsvariante in der<br />
Kalkulationsvarianten prüfen<br />
Bewertungsvariante in der<br />
Kalkulationsvarianten prüfen<br />
logistik → materialwirtschaft →<br />
materialstamm → material<br />
anzeigen<br />
logistik → materialwirtschaft →<br />
materialstamm → Sonstige →<br />
materialverzeichnis<br />
controlling → Kostenstellenrechnung<br />
→ infosystem → tarife<br />
→ Kostenstellen: leistungsartentarife<br />
controlling → Kostenstellenrechnung<br />
→ infosystem →<br />
weitere Berichte → leistungsarten:<br />
Periodenaufriss<br />
imG → controlling → Produktkosten-controlling<br />
→ Produktkostenplanung<br />
→ materialkalkulation<br />
mit mengengerüst →<br />
Kalkulationsvarianten definieren:<br />
Preisfindungsstrategien prüfen<br />
imG → controlling → Produktkosten-controlling<br />
→ Produktkostenplanung<br />
→ materialkalkulation<br />
mit mengengerüst →<br />
Kalkulationsvarianten definieren:<br />
Kalkulationsschema prüfen
iSiKO KOntrOlle teSt/Bericht<br />
4.2.2 Durchführung<br />
Kalkulationen werden von<br />
unautorisierten Personen<br />
durchgeführt<br />
Kalkulationen werden von<br />
unautorisierten Personen<br />
vorgemerkt und freigegeben<br />
4.2.3 Ergebnisse/Auswertungen<br />
der Standardpreis im materialstammsatz<br />
stammt nicht aus<br />
einer freigegebenen erzeugniskalkulation<br />
die Standardpreise im material-<br />
stamm werden unangemessen<br />
häufig verändert<br />
die änderung der Standardpreise<br />
im materialstamm ist<br />
auffallend/unangemessen hoch<br />
die materialpreise in den Preis-<br />
feldern sind stark unterschiedlich<br />
Kalkulationen auflisten und<br />
deren erfasser anzeigen<br />
Berechtigungen der mitarbeiter<br />
prüfen<br />
materialstammsätze auflisten und<br />
deren änderungen durch freigabe<br />
von Kalkulationen anzeigen<br />
Berechtigungen der mitarbeiter<br />
prüfen<br />
Kalkulationen zu den materialien<br />
auflisten und auf Status<br />
„freigegeben“ prüfen. mit liste<br />
der materialstammsätze<br />
vergleichen<br />
Kalkulationen zu den materialien<br />
mit Status „freigegeben“ auflisten:<br />
datum prüfen<br />
Kalkulationen zu den materialien<br />
mit Status „freigegeben“ auflisten:<br />
abweichungen vom Standardpreis<br />
prüfen<br />
materialpreise im Vergleich auflisten<br />
und auf abweichungen untersuchen<br />
rechnungswesen → controlling<br />
→ Produktkosten-controlling →<br />
Produktkostenplanung →<br />
infosystem → Objektliste → zum<br />
material → analyse/Vergleich<br />
von materialkalkulationen<br />
Se16, USOBt, Berechtigungsobjekt<br />
K_KeKO, report rSUSr002<br />
logistik → materialwirtschaft →<br />
materialstamm → material →<br />
Stammdaten → anzeigen →<br />
anzeigen aktueller Stand, dann<br />
änderungsbeleg anschauen<br />
Se16, cdhdr, Objektklasse material<br />
Se16, USOBt, Berechtigungsobjekt<br />
K_fVmK, report rSUSr002<br />
controlling → Produktkostenrechnung<br />
→ Produktkostenplanung<br />
→ infosystem →<br />
Objektliste zum material →<br />
analyse/Vergleich von material-<br />
kalkulationen<br />
controlling → Produktkostenrechnung<br />
→ Produktkostenplanung<br />
→ infosystem →<br />
Objektliste zum material →<br />
analyse/Vergleich von material-<br />
kalkulationen: layout 1SaP03,<br />
datum einblenden, nach datum<br />
sortieren<br />
controlling → Produktkostenrechnung<br />
→ Produktkostenplanung<br />
→ infosystem →<br />
Objektliste zum material →<br />
analyse/Vergleich von material-<br />
kalkulationen: layout 1SaP03,<br />
datum einblenden, nach datum<br />
sortieren<br />
Se16, mBew, Preisfelder<br />
anzeigen lassen<br />
Seite 135 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 136<br />
5 Periodisches Controlling bei einem<br />
Lagerfertigungsprozess<br />
5.1 PrüfUnGSziele<br />
ziele riSiKO<br />
5.1.1 Stammdaten und Customizing<br />
ein zum logistischen Prozess<br />
passendes und adäquates controlling<br />
soll gewährleistet werden. die richtige<br />
Steuerung der fertigungsaufträge<br />
ermöglicht die richtige ermittlung der<br />
ware in arbeit beim Periodenabschluss<br />
die Bewertung der logistischen<br />
ressourcenverbräuche geschieht mit<br />
angemessenen Preisen bzw. tarifen.<br />
dies ermöglicht eine gute mitlaufende<br />
Kalkulation auf den Kostenträgern.<br />
5.1.2 Durchführung/Belege<br />
die disposition soll richtige Bedarfe<br />
ausweisen und diese sollen in einem<br />
angemessenem zeitraum gedeckt<br />
werden<br />
die logistischen ressourcenverbräuche<br />
werden zeitnah und mengengerecht<br />
gebucht, um eine gute mitlaufende<br />
Kalkulation zu ermöglichen.<br />
die fertigungsprozesse werden in<br />
angemessenem zeitraum durchgeführt<br />
und die Kostenträger entsprechend<br />
mitgeführt<br />
5.1.3 Ergebnisse/Auswertungen<br />
abweichungen der Produktion<br />
werden schnell erkannt, damit ein<br />
korrigierendes eingreifen noch<br />
möglich ist<br />
falsche auftragsarten steuern das controlling anders als im<br />
Unternehmen erwartet. dies kann zu falschen auftragswerten<br />
führen, die auch auswirkungen auf Bilanz und GuV haben<br />
können<br />
die Verwendung schlecht gepflegter Kalkulationsvarianten<br />
kann zu ungewöhnlich hohen abweichungen oder unerwarteten<br />
abweichungskategorien führen, die die erfolgsrechnung verfälschen<br />
Planaufträge werden lange zeit nicht in fertigungsaufträge<br />
umgesetzt. dies deutet auf Störungen in der disposition oder<br />
fertigung hin<br />
die Verbrauchsbuchungen auf den Kostenträgern werden<br />
zeitlich unkorrekt gebucht. dies kann durch verspätete<br />
rückmeldungen oder warenbewegungsbuchungen<br />
verursacht werden<br />
fertigungsaufträge werden lange zeit nicht endgeliefert. dies<br />
deutet auf eine Störung bei der Beschaffung von ressourcen<br />
oder bei der fertigung hin. ebenfalls könnten verspätete oder<br />
unterlassene rückmeldungen/Buchungen aufgetreten sein<br />
die fertigung erzielt hohe abweichungen, deren auftreten nicht<br />
bemerkt wird
5.2 PrüfUnGSdUrchführUnG<br />
riSiKO KOntrOlle teSt/Bericht<br />
5.2.1 Stammdaten und Customizing<br />
falsche auftragsarten steuern<br />
das controlling anders als im<br />
Unternehmen erwartet. dies<br />
kann zu falschen auftragswerten<br />
führen, die auch auswirkungen<br />
auf Bilanz und GuV haben können<br />
die Verwendung schlecht<br />
gepflegter Kalkulationsvarianten<br />
kann zu ungewöhnlich hohen<br />
abweichungen oder unerwarteten<br />
abweichungskategorien<br />
führen, die die erfolgsrechnung<br />
verfälschen<br />
5.2.2 Durchführung/Belege<br />
Planaufträge werden lange zeit<br />
nicht in fertigungsaufträge<br />
umgesetzt. dies deutet auf<br />
Störungen in der disposition<br />
oder fertigung hin<br />
die auftragsart ist auf periodisches<br />
controlling eingestellt<br />
und wird auch für den fertigungs<br />
auftrag so verwendet<br />
im customizing tabelle<br />
Vorschlagswerte nachschauen<br />
im fertigungsauftrag bei der<br />
abrechnungsregel „per“<br />
(periodische abrechnung)<br />
verifizieren<br />
die Kalkulationsvariante ist<br />
entsprechend den beschlossenen<br />
Vorgaben im Unternehmen<br />
eingestellt<br />
Kalkulationsvariante analysieren,<br />
besonders Bewertungsvariante<br />
auftragsbericht aufrufen,<br />
leistungstarif prüfen<br />
alter der Planaufträge analysieren<br />
und auf abweichungen zum<br />
Standarddurchlauf des Produkt-<br />
ionsprozesses hin untersuchen<br />
in der Bedarfs-/Bestandsliste die<br />
Situation der materialien überprüfen<br />
Planaufträge auflisten und nach<br />
alter sortieren<br />
imG → controlling → Produktkosten-controlling<br />
→ Kostenträgerrechnung<br />
→ auftragsbezogenes<br />
Produktcontrolling →<br />
Produktionsaufträge →<br />
auftragsarten überprüfen (KOt2 )<br />
imG → controlling → Produktkosten-controlling<br />
→ Kostenträgerrechnung<br />
→ auftragsbezogenes<br />
Produktcontrolling → Produktionsaufträge<br />
→ Kostenrechnungsrelevante<br />
Vorschlagswerte<br />
je auftragsart/werk pflegen<br />
imG → controlling → Produktkosten-controlling<br />
→ Kostenträgerrechnung<br />
→ auftragsbezogenes<br />
Produktcontrolling →<br />
Produktionsaufträge →<br />
Kalkulationsvariante für<br />
Produktionsaufträge überprüfen<br />
(OPl1)<br />
logistik → Produktion →<br />
Bedarfsplanung → Planauftrag<br />
→ anzeigen → Sammelanzeige<br />
(md16)<br />
Seite 137 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 138<br />
5 Periodisches Controlling bei einem<br />
Lagerfertigungsprozess<br />
riSiKO KOntrOlle teSt/Bericht<br />
die Verbrauchsbuchungen auf<br />
den Kostenträgern werden<br />
zeitlich unkorrekt gebucht. dies<br />
kann durch verspätete<br />
rückmeldungen oder warenbewegungsbuchungen<br />
verursacht werden<br />
fertigungsaufträge werden lange<br />
zeit nicht endgeliefert. dies<br />
deutet auf eine Störung bei der<br />
Beschaffung von ressourcen<br />
oder bei der fertigung hin.<br />
ebenfalls könnten verspätete<br />
oder unterlassene rückmeldungen/<br />
Buchungen aufgetreten<br />
sein<br />
5.2.3 Ergebnisse/Auswertungen<br />
die fertigung erzielt hohe<br />
abweichungen, deren auftreten<br />
nicht bemerkt wird<br />
die Verbrauchsbuchung erfolgt<br />
zeitgleich zum logistischen<br />
Verbrauch der ressource<br />
we Belege selektieren: gibt es<br />
unbewertete wareneingänge?<br />
rückmeldebelege selektieren<br />
alter der fertigungsaufträge<br />
analysieren und auf abweichungen<br />
zum Standarddurchlauf des<br />
Produktionsprozesses hin<br />
untersuchen<br />
im informationssystem die<br />
aufträge auflisten lassen, die<br />
älter als eine bestimmte<br />
zeitspanne sind.<br />
auftragsberichte:<br />
Soll- istkosten- Vergleich<br />
logistik → materialwirtschaft →<br />
Bestandsführung → Umfeld →<br />
listanzeigen → materialbelege<br />
logistik → Produktion →<br />
infosystem → auftragsinfosystem<br />
logistik → Produktion →<br />
infosystem → auftragsinfosystem<br />
rechnungswesen → controlling<br />
→ Produktkosten-controlling →<br />
Kostenträgerrechnung →<br />
auftragsbezogenes Produktcontrolling<br />
→ infosystem → Berichte<br />
zum auftragsbezogenen Produkt-<br />
controlling → Objektliste →<br />
auftragsselektion
6 Vertriebsprozeß: Verkauf vom Lager (order to cash)<br />
6.1 PrüfUnGSziele<br />
ziele riSiKO<br />
6.1.1 Stammdaten und Customizing<br />
Unternehmensstrukturen und<br />
Organisationseinheiten werden im<br />
System korrekt abgebildet<br />
aufträge werden vollständig, zeitnah,<br />
mit der richtigen Belegart, zu<br />
autorisierten Konditionen im System<br />
erfasst und vollständig bis zum<br />
richtigen ausweis im hauptbuch<br />
verarbeitet.<br />
aufträge werden zu autorisierten<br />
Preisen verarbeitet und vollständig im<br />
hauptbuch ausgewiesen. manuelle<br />
Preisänderungen im auftrag sind<br />
nicht möglich.<br />
änderungen in aufträgen sind<br />
autorisiert und beruhen auf<br />
genehmigten Kundenzusagen<br />
aufträge werden zeitnah bearbeitet.<br />
aufträge im rückstand werden<br />
zeitnah überwacht und nachverfolgt.<br />
6.1.2 Durchführung/Belege<br />
lieferungen im rückstand werden<br />
zeitnah bearbeitet.<br />
alle erbrachten leistungen werden<br />
vollständig, mit genehmigten<br />
Belegarten und zeitnah fakturiert.<br />
alle erbrachten leistungen werden<br />
vollständig, mit genehmigten<br />
Belegtypen und zeitnah fakturiert.<br />
alle fakturierten leistungen beruhen<br />
auf genehmigten Kundenaufträgen<br />
und auf korrekt erbrachten leistungen.<br />
ein funktionierendes mahnwesen<br />
sichert die werthaltigkeit der offenen<br />
Posten<br />
falsche Bildung von Unternehmensstrukturen im customizing<br />
(zuordnung von Vertriebsbereichen zu Buchungskreisen)<br />
Kundenaufträge werden fehlerhaft im System erfasst und können<br />
nicht zeitnah bearbeitet werden. dies führt zu Umsatzverlusten.<br />
fehler im Belegfluss führen zu unvollständigen Geschäftsprozessen.<br />
(fehlender ausweis von forderungen und Umsatzerlösen)<br />
Unautorisierte, manuelle änderungen von Preisen bei der<br />
auftragsanlage (z.B. Standardpreis Pr00)<br />
Unautorisierte nachträgliche änderungen an Verkaufsaufträgen<br />
aufträge im rückstand werden nicht angemessen überwacht<br />
und im System gepflegt.<br />
lieferungen im rückstand führen zu Kundenverlusten und<br />
verlorenen Umsätzen<br />
leistungen werden systemseitig nicht vollständig fakturiert<br />
(fakturavorrat). es werden hierbei trotz leistung keine offenen<br />
Posten in der Buchhaltung erzeugt.<br />
aufgrund technischer Verarbeitungsfehler wird aus der faktura<br />
der Buchhaltungsbeleg nicht erzeugt (fehlerhafte Buchungsstatus)<br />
es werden forderungen für nicht erbrachte leistungen direkt<br />
auf den debitoren erfasst.<br />
Offene Posten werden nicht vollständig in das mahnwesen<br />
einbezogen.<br />
Seite 139 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 140<br />
6 Vertriebsprozeß: Verkauf vom Lager (order to cash)<br />
6.1.3 Ergebnisse/Auswertungen<br />
ein funktionierendes mahnwesen<br />
sichert die werthaltigkeit der offenen<br />
Posten<br />
ein funktionierendes mahnwesen<br />
sichert die werthaltigkeit der offenen<br />
Posten<br />
die debitorenumsätze beruhen auf<br />
genehmigten Kundenaufträgen und<br />
es wurde korrekt geleistet<br />
die debitorenumsätze beruhen auf<br />
gültigen Kundenaufträgen und es<br />
wurde korrekt geleistet<br />
die forderungen sind werthaltig und<br />
entsprechen den anzuwendenden<br />
Bewertungsvorschriften<br />
wirksamer Vermögensschutz durch<br />
zielführenden einsatz von Kreditlimits<br />
wirksamer Vermögensschutz durch<br />
zielführenden einsatz von Kreditlimits<br />
alle ausgewiesenen forderungen<br />
bestehen zum Bilanzstichtag<br />
die Bewertung der forderungen<br />
entspricht den Bewertungsvorschriften<br />
der GaaP/hGB.<br />
der ausweis der forderungen ent-<br />
spricht den Bilanzierungsvorschriften.<br />
debitorenstammdaten sind<br />
vollständig, richtig und zeitnah<br />
gepflegt.<br />
debitorenstammdaten werden in<br />
einem geregelten Verfahren angelegt,<br />
geändert oder gelöscht.<br />
die auf den debitoren erfassten<br />
Vorgänge werden korrekt im<br />
hauptbuch ausgewiesen (richtige<br />
definition des abstimmkontos)<br />
mahnverfahren sind unzureichend ausgestaltet, mahnstufen im<br />
System stimmen nicht mit Konzernvorgaben überein.<br />
mahnläufe werden in unregelmäßigen abständen durchgeführt<br />
ausgewiesene forderungen zum Bilanzstichtag haben keinen<br />
Bestand.<br />
ausgewiesene forderungen zum Bilanzstichtag haben keinen<br />
Bestand.<br />
mängel im Kreditlimitprozess führen dazu, dass Geschäfte<br />
getätigt werden, bei denen forderungen uneinbringlich werden<br />
können<br />
eingepflegte Kreditlimite werden nicht eingehalten (Offene Posten<br />
übersteigen das eingepflegte Kreditlimit ohne Genehmigung)<br />
Kreditlimite sind nicht vollständig gepflegt<br />
haupt- und nebenbücher stimmen nicht überein<br />
erforderliche wertberechtigungen werden nicht durchgeführt<br />
ein erforderlicher ausweis nach forderungen inland/ausland/<br />
Verbundene erfolgt nicht (abstimmkonten sind falsch definiert)<br />
die unterschiedlichen Sichten der debitorenstammdaten sind<br />
nicht konsistent gepflegt (Vertriebssicht/Buchhaltungssicht)<br />
Unautorisierte Pflege von debitorenstammdaten<br />
falscher ausweis im hauptbuch
ziele riSiKO<br />
eine wirksame trennung von Pflege<br />
der Stammdaten und erfassung der<br />
Bewegungsdaten verhindert<br />
betrügerische handlungen.<br />
änderungen an debitoren sind<br />
autorisiert<br />
richtiger ausweis der Umsätze und<br />
forderungen<br />
der zugriff auf die Vertriebsdaten und<br />
funktionen ist restriktiv ausgestaltet<br />
unter einhaltung von funktionstrennungsgesichtspunkten<br />
und dem<br />
4-augenprinzip<br />
der zugriff auf die Vertriebsdaten und<br />
funktionen ist restriktiv ausgestaltet<br />
unter einhaltung von funktionstrennungsgesichtspunkten<br />
und dem<br />
4-augenprinzip<br />
6.2 PrüfUnGSdUrchführUnG<br />
einmalkunden werden missbräuchlich verwendet.<br />
Unautorisierte änderungen an debitoren gefährden die<br />
integrität der Stammdaten.<br />
falsche Bildung von Unternehmensstrukturen im customizing<br />
(zuordnung von Vertriebsbereichen zu Buchungskreisen)<br />
Betrügerische handlung aufgrund einer unzureichenden<br />
funktionstrennung von Stammdatenpflege debitoren und<br />
erfassung und fakturierung von aufträgen<br />
Betrügerische handlung aufgrund einer unzureichenden<br />
funktionstrennung von der Buchung des zahlungseingangs und<br />
der fakturierung von aufträgen<br />
riSiKO KOntrOlle teSt/Bericht<br />
6.2.1 Stammdaten und Customizing<br />
falsche Bildung von Unternehmensstrukturen<br />
im customizing<br />
(zuordnung von Vertriebsbereichen<br />
zu Buchungskreisen)<br />
Kundenaufträge werden<br />
fehlerhaft im System erfasst und<br />
können nicht zeitnah bearbeitet<br />
werden. dies führt zu Umsatzverlusten.<br />
fehler im Belegfluss<br />
führen zu unvollständigen<br />
Geschäftsprozessen.<br />
(fehlender ausweis von<br />
forderungen und Umsatzerlösen)<br />
die Unternehmensstrukturen<br />
sind korrekt gebildet und bilden<br />
die rechtlichen Gegebenheiten<br />
korrekt im System wieder.<br />
die zeitnähe der Bearbeitung von<br />
Kundenaufträgen wird<br />
regelmäßig anhand definierter<br />
Kontrollreports überwacht.<br />
fehlerhafte Vorgänge werden<br />
umgehend korrigiert.<br />
imG - Unternehmensstruktur –<br />
zuordnung – Vertrieb<br />
imG - Unternehmensstruktur –<br />
zuordnung – Konsistenzprüfung<br />
report rVaUferr (transaktion<br />
v.05: liste unvollständiger aufträge)<br />
korrekte definition des Unvollständigkeitsschemas<br />
im customizing<br />
(insbesondere zu achten auf<br />
Status beliefert – nicht fakturiert)<br />
imG → Vertrieb → Grundfunktionen<br />
→ Unvollständigkeit →<br />
Unvollständigkeitsschemata definieren/zuordnen/Statusgruppen<br />
definieren<br />
aiS Kaufmännisches audit - einzelabschluss<br />
- G.u.V. - aiS - Umsatzerlöse<br />
- Verkaufsbelege- V.02<br />
- liste unvollständige aufträge<br />
Seite 141 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 142<br />
6 Vertriebsprozeß: Verkauf vom Lager (order to cash)<br />
riSiKO KOntrOlle teSt/Bericht<br />
Unautorisierte, manuelle<br />
änderungen von Preisen bei der<br />
auftragsanlage (bspw.<br />
Standardpreis Pr00)<br />
Unautorisierte nachträgliche<br />
änderungen an Verkaufsaufträgen<br />
aufträge im rückstand werden<br />
nicht angemessen überwacht<br />
und im System gepflegt.<br />
Systemeinstellungen lauten auf<br />
nicht änderbar für Standardpreise<br />
die änderungshistorie in<br />
aufträgen werden in Stichproben<br />
kontrolliert und geprüft, ob<br />
änderungen autorisiert und<br />
inhaltlich richtig durchgeführt<br />
wurden<br />
aufträge im rückstand werden<br />
wöchentlich analysiert und<br />
gepflegt (nachlieferungen,…)<br />
transaktion V/06 (Konditionsarten:<br />
Preisfindung Vertrieb)<br />
definition der Preisfindung auf<br />
nicht änderbar (änderungsmöglichkeit<br />
- einstellung d)<br />
aiS Kaufmännisches audit - einzelabschluss<br />
→ G.u.V. → aiS<br />
- Umsatzerlöse → Preise<br />
transaktion Va03 (anzeige<br />
auftrag) – eingabe eines<br />
wesentlichen auftrages (bspw.<br />
identifiziert aus VBaK) menü<br />
Umfeld → änderungen<br />
aiS → Kaufmännisches audit<br />
- einzelabschluss → G.u.V. →<br />
aiS - Umsatzerlöse - Verkaufsbelege<br />
→ S_P6B_12000143 -<br />
änderungsbelege anzeigen<br />
transaktion v.15<br />
aufträge im rückstand,<br />
Vorgänge älter 6 monate sollten<br />
nicht vorliegen (abhängig vom<br />
Unternehmen)<br />
Kaufmännisches audit - einzelabschluss<br />
- G.u.V. - aiS - Umsatzerlöse<br />
- Verkaufsbelege -<br />
V.15 - anzeigen rückständige<br />
aufträge
iSiKO KOntrOlle teSt/Bericht<br />
6.2.2 Durchführung/Belege<br />
lieferungen im rückstand<br />
führen zu Kundenverlusten und<br />
verlorenen Umsätzen<br />
leistungen werden systemseitig<br />
nicht vollständig fakturiert<br />
(fakturavorrat). es werden<br />
hierbei trotz leistung keine<br />
offenen Posten in der Buchhaltung<br />
erzeugt.<br />
aufgrund technischer Verarbeitungsfehler<br />
wird aus der faktura<br />
der Buchhaltungsbeleg nicht<br />
erzeugt (fehlerhafte Buchungsstatus)<br />
es werden forderungen für nicht<br />
erbrachte leistungen direkt auf<br />
den debitoren erfasst.<br />
Offene Posten werden nicht<br />
vollständig in das mahnwesen<br />
einbezogen.<br />
lieferungen im rückstand<br />
werden täglich kontrolliert und<br />
bearbeitet<br />
der fakturavorrat wird zu jedem<br />
monatsabschluss bearbeitet und<br />
kontrolliert. zum Jahresabschluss<br />
ist sichergestellt, dass sich keine<br />
Geschäftsvorfälle aus vorangegangenen<br />
Geschäftsjahren im<br />
System befinden.<br />
das System wird wenigstens<br />
monatlich auf fehlerhafte<br />
Buchungsstatus in den fakturen<br />
kontrolliert. fehlerhafte fakturen<br />
werden zeitnah nachgebucht<br />
debitoren werden nur aus Sd mit<br />
existenten Kundenaufträgen<br />
bebucht bei denen korrekt<br />
geleistet wurde. Offene Posten<br />
werden auf direkte Buchungen<br />
analysiert.<br />
alle offenen Posten sind in das<br />
mahnverfahren einbezogen.<br />
transaktion Vl04 oder Vl10<br />
(Selektion auf Versandstelle)<br />
Kaufmännisches audit - einzelabschluss<br />
- G.u.V. - aiS - Umsatzerlöse<br />
- Verkaufsbelege -<br />
V.02 - liste unvollständige<br />
aufträge<br />
transaktion vf04, Schalter<br />
fakturavorrat (es dürfen sich<br />
keine Geschäftsvorfälle aus<br />
vorangegangenen Geschäftsjahren<br />
im System befinden)<br />
Kaufmännisches audit - einzelabschluss<br />
- G.u.V. - aiS - Umsatzerlöse<br />
- faktura - Vf04_aiS<br />
- fakturavorrat anzeigen<br />
transaktion VfX3, alle<br />
aufgezeigten Vorgänge müssen<br />
nachbearbeitet worden sein.<br />
Kaufmännisches audit - einzelabschluss<br />
- G.u.V. - aiS - Umsatzerlöse<br />
- faktura - Vf04 -<br />
VfX3 - liste gesperrte fakturen<br />
analyse der tabelle BKPf auf<br />
Belege ungleich transaktionscode<br />
vf01<br />
(es ist hierzu erforderlich die<br />
tabellen BSid/BSad mit der<br />
tabelle BKPf zu joinen)<br />
Kaufmännisches audit - einzelabschluss<br />
- abschluss - allgemein<br />
- export Belegdaten<br />
analyse auf mahngesperrte<br />
offene Posten, databrowser se16<br />
tabelle KnB5, auswertung auf<br />
feld mahnsperre<br />
Seite 143 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 144<br />
6 Vertriebsprozeß: Verkauf vom Lager (order to cash)<br />
riSiKO KOntrOlle teSt/Bericht<br />
6.2.3 Ergebnisse/Auswertungen<br />
mahnverfahren sind unzureichend<br />
ausgestaltet, mahnstufen<br />
im System stimmen nicht mit<br />
Konzernvorgaben überein.<br />
mahnläufe werden in unregelmäßigen<br />
abständen durchgeführt<br />
ausgewiesene forderungen zum<br />
Bilanzstichtag haben keinen<br />
Bestand.<br />
ausgewiesene forderungen zum<br />
Bilanzstichtag haben keinen<br />
Bestand.<br />
mängel im Kreditlimitprozess<br />
führen dazu, dass Geschäfte<br />
getätigt werden, bei denen<br />
forderungen uneinbringlich<br />
werden können<br />
eingepflegte Kreditlimite werden<br />
nicht eingehalten (Offene Posten<br />
übersteigen das eingepflegte<br />
Kreditlimit ohne Genehmigung)<br />
die im System hinterlegten<br />
mahnverfahren stimmen mit den<br />
Konzernvorgaben überein und<br />
sind wirksam ausgestaltet. die<br />
zuordnung der mahnverfahren ist<br />
korrekt.<br />
es wird laufend überprüft, ob<br />
regelmäßige, zeitnahe mahnläufe<br />
durchgeführt werden.<br />
die debitorenumsätze werden auf<br />
ihre werthaltigkeit und Plausibi-<br />
lität durch das management<br />
kontrolliert<br />
es werden Saldenbestätigungen<br />
von wesentlichen Kundenumsätzen<br />
eingeholt<br />
funktionierendes Kreditmanagement,<br />
alle debitoren haben ein<br />
genehmigtes, angemessenes<br />
Kreditlimit zugeordnet<br />
eingepflegte Kreditlimite sind<br />
genehmigt und werden eingehalten<br />
analyse der im System<br />
hinterlegten mahnverfahren im<br />
customizing transaktion OBl6,<br />
zuordnung der mahnverfahren<br />
über tabelle KnB5<br />
mahnhistorie transaktion f150<br />
managementreview des reports<br />
rfdUml00<br />
aiS Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva<br />
- forderungen - aiS forderungen<br />
- debitoren, Konto → Salden -<br />
übersicht - Umsatzauswahl nach<br />
Betrag - S_alr_87101084 – inland<br />
transaktion f.17<br />
Bilanz - aktiva - forderungen<br />
- aiS - debitoren - Stammdaten<br />
- Kreditmanagement<br />
analyse der tabelle KnKK,<br />
transaktion fdK43<br />
rfdKli40 (ausschöpfungsgrad),<br />
analyse bei welchen debitoren<br />
die Offenen Posten das einge-<br />
pflegte Kreditlimit übersteigt<br />
Bilanz - aktiva - forderungen<br />
- aiS - debitoren - Stammdaten<br />
- Kreditmanagement<br />
übersicht - S_alr_87101107 –<br />
Kreditübersicht
iSiKO KOntrOlle teSt/Bericht<br />
Kreditlimite sind nicht vollständig<br />
gepflegt<br />
haupt- und nebenbücher<br />
stimmen nicht überein<br />
erforderliche wertberechtigungen<br />
werden nicht durchgeführt<br />
ein erforderlicher ausweis nach<br />
forderungen inland/ausland/<br />
Verbundene erfolgt nicht<br />
(abstimmkonten sind falsch<br />
definiert)<br />
die unterschiedlichen Sichten der<br />
debitorenstammdaten sind nicht<br />
konsistent gepflegt (Vertriebssicht/Buchhaltungssicht)<br />
Unautorisierte Pflege von<br />
debitorenstammdaten<br />
Kreditlimitdaten sind vollständig<br />
gepflegt und genehmigt<br />
regelmäßige abstimmung von<br />
haupt- und nebenbücher<br />
analyse der altersstruktur und<br />
wertberechtigungen der Offenen<br />
Posten<br />
überprüfung der abstimmkonten<br />
auf korrekte definition.<br />
überprüfung der vollständigen<br />
und konsistenten Pflege der<br />
Stammdatensichten<br />
überprüfung wer wann welche<br />
debitoren angelegt hat<br />
(in Stichproben)<br />
rfdKli10<br />
Bilanz - aktiva - forderungen<br />
- aiS - debitoren - Stammdaten<br />
- Kreditmanagement<br />
übersicht - controls -<br />
S_alr_87101108 - fehlende<br />
Kreditdaten<br />
SaPf190<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva -<br />
forderungen - aiS forderungen<br />
abstimmung/Große Umsatzprobe<br />
rfdOPr10 und f.10/fs10n zur<br />
anzeige der wertberichtigungen<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva -<br />
forderungen - aiS forderungen<br />
- forderungsrisiken<br />
rfdSld00 (Selektion auf<br />
abstimmkonten debitoren über<br />
freie abgrenzungen)<br />
Kaufmännisches audit - einzelabschluss<br />
- aiS - Organisatorische<br />
übersicht abstimmkonten<br />
S_alr_87101046 – abstimmkonten<br />
report rfdKaG00 (Selektionsparameter:<br />
nicht angelegt in Buch-<br />
haltung, nicht angelegt im Vertrieb)<br />
rfdKVz00 (freie abgrenzung<br />
angelegt von anlegt am)<br />
Bilanz - aktiva - forderungen -<br />
aiS - debitoren - Stammdaten -<br />
übersicht - S_alr_87101061 –<br />
Kontenverzeichnis<br />
Seite 145 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 146<br />
6 Vertriebsprozeß: Verkauf vom Lager (order to cash)<br />
riSiKO KOntrOlle teSt/Bericht<br />
falscher ausweis im hauptbuch<br />
einmalkunden werden<br />
missbräuchlich verwendet.<br />
Unautorisierte änderungen an<br />
debitoren gefährden die integrität<br />
der Stammdaten.<br />
falsche Bildung von Unternehmensstrukturen<br />
im customizing<br />
(zuordnung von Vertriebsbereichen<br />
zu Buchungskreisen)<br />
überprüfung, ob alle debitoren<br />
ein richtiges abstimmkonto<br />
zugewiesen haben, überprüfung<br />
der inhaltlichen richtigkeit in<br />
Stichproben<br />
überprüfung der angelegten cpd<br />
Konten, dass nur Vorgänge mit<br />
geringen Beträgen erfasst werden<br />
überprüfung der änderungen an<br />
debitorenstammdaten.<br />
änderungen an Stanmdaten<br />
werden korrekt aufgezeichnet.<br />
die Unternehmensstrukturen<br />
sind korrekt gebildet und bilden<br />
die rechtlichen Gegebenheiten<br />
korrekt im System wieder.<br />
databrowser se16, tabelle KnB1,<br />
Selektion auf dem feld<br />
abstimmkonto<br />
Bilanz - aktiva - forderungen -<br />
aiS - debitoren - Stammdaten<br />
übersicht - data Browser -<br />
Se16_KnB1 - KnB1 = Kundenstamm<br />
(Buchungskreis)<br />
report rfdKVz00, Selektion cpd<br />
Konten, Saldenanzeige der<br />
Konten fd10n (weiterverzeigung<br />
in die einzelposten)<br />
Bilanz - aktiva - forderungen<br />
- aiS – forderungen- debitoren,<br />
Konto → Salden - übersicht -<br />
Saldenliste cPd<br />
änderungsreport rfdaBl00,<br />
einstellungen zum änderungs<br />
report in der tabelle t077d<br />
Bilanz - aktiva - forderungen -<br />
aiS - debitoren - Stammdaten -<br />
Stammdaten controls - Stammdatenänderungen<br />
- S_alr_87101066 - liste (Batch!)<br />
einsicht im customizing über die<br />
zuordnungen<br />
transaktion SPrO – SaP-referenz-imG<br />
– Unternehmensstruktur<br />
– zuordnung – Vertrieb – Verkaufsorganisation<br />
– Buchungs-<br />
kreis zuordnen<br />
zusätzlich Konsistenzprüfung im<br />
customizing transaktion SPrO<br />
– SaP-referenz-imG – Unternehmensstruktur<br />
– Konsistenzprüfung
iSiKO KOntrOlle teSt/Bericht<br />
Betrügerische handlung aufgrund<br />
einer unzureichenden funktionstrennung<br />
von Stammdatenpflege<br />
debitoren und erfassung und<br />
fakturierung von aufträgen<br />
Betrügerische handlung<br />
aufgrund einer unzureichenden<br />
funktionstrennung von der<br />
Buchung des zahlungseingangs<br />
und der fakturierung von<br />
aufträgen<br />
es besteht eine funktionstrennung<br />
zwischen der Pflege von<br />
debitorenstammdaten und der<br />
erfassung und fakturierung von<br />
aufträgen<br />
es besteht eine funktionstrennung<br />
zwischen der Buchung des<br />
zahlungseingangs und der<br />
fakturierung von aufträgen<br />
Keine Vergabe der transaktionen<br />
Va01 (zzgl u.a. Berobj V_VKaK_<br />
VKO akt. 01), Vf01 (zzgl. Ber.obj.<br />
u.a. V_VBrK_fKa akt01, V_<br />
VBrK_VK0 akt01) und<br />
transaktion fd01 (zzgl. u.a. Ber.<br />
obj. f_Kna1_BUK akt 01) an den<br />
selben Benutzerstammsatz<br />
analyse über rSUSr002<br />
System audit - infosystem<br />
Benutzer & Berechtigungen<br />
Keine Vergabe der transaktionen<br />
Vf01 (zzgl. Ber.obj. u.a. V_VBrK_<br />
fKa akt01, V_VBrK_VK0 akt01)<br />
und transaktion f-28 (zzgl. Ber.<br />
obj. f_BKPf_BUK akt. 01) den<br />
selben Benutzerstammsatz<br />
analyse über rSUSr002<br />
System audit - infosystem<br />
Benutzer & Berechtigungen<br />
Seite 147 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 148<br />
7 Periodenabschluß im internen Rechnungswesen<br />
bei Lagerfertigung<br />
7.1 PrüfUnGSziele<br />
ziele riSiKO<br />
7.1.1 Stammdaten und Customizing<br />
Gemeinkosten werden verursachungs-<br />
gerecht auf Kostenträger weiterverrechnet<br />
die abweichungen der Kostenträger<br />
werden richtig und verursachungsgerecht<br />
ausgewiesen<br />
richtige Bewertung und richtiger<br />
ausweis der ware in arbeit<br />
dito<br />
dito<br />
richtige Bewertung des ausschusses<br />
die abweichungen der Kostenträger<br />
werden richtig und verursachungsgerecht<br />
ausgewiesen<br />
7.1.2 Durchführung/Belege<br />
dito<br />
richtige abrechnung/weiterverrechnung<br />
von ware in arbeit<br />
richtige abrechnung/weiterverrechnung<br />
von ausschuss und abweichungen<br />
durch die Verwendung ungewöhnlich hoher Gemeinkostenzuschläge<br />
werden die herstellkosten bzw. die abweichungen auf<br />
den kostenträgern verfälscht. die kann auswirkungen auf die<br />
wertansätze von Bilanz und GuV haben<br />
die Verwendung von periodengenauen tarifen bei den<br />
istbuchungen verrechnet die abweichung der Kostenstellen auf<br />
die Kostenträger weiter. die abweichungen der fertigung<br />
können dadurch erhöht oder konterkariert werden. eine liste<br />
der Kostenträger „nach Größe der abweichungen“ bringt nicht<br />
mehr die kritischen aufträge nach vorn<br />
die ware in arbeit wird falsch berechnet<br />
Bei der ware in arbeit werden teile der Kosten als „nicht<br />
aktivierungsfähig“ behandelt<br />
die ware in arbeit wird auf falsche Konten der finanzbuch-<br />
haltung abgerechnet<br />
der ausschuss wird in falscher höhe ausgewiesen<br />
der ausschuss wird falsch berechnet<br />
die abweichungen werden falschen abweichungskategorien<br />
zugeordnet und täuschen über die wahren Gründe der<br />
abweichungen hinweg<br />
die werte für wiP, ausschuss und abweichungen wurden nicht<br />
korrekt gespeichert und fehlen deshalb in übergreifenden<br />
Berichten und analysen<br />
die ware in arbeit wurde nicht oder falsch abgerechnet<br />
der Saldo des auftrags (auch abweichungen, ausschuss) wurde<br />
nicht oder falsch abgerechnet
ziele riSiKO<br />
7.1.3 Ergebnisse/Auswertung<br />
richtiger ausweis von wiP<br />
aufträge, die logistisch bereits fertig sind und für die keine<br />
nachlaufkosten mehr erwartet werden, bilden trotzdem noch<br />
ware in arbeit<br />
richtiger ausweis von wiP die ware in arbeit wird falsch berechnet<br />
7.2 PrüfUnGSdUrchführUnG<br />
riSiKO KOntrOlle teSt/Bericht<br />
7.2.1 Stammdaten und Customizing<br />
durch die Verwendung<br />
ungewöhnlich hoher Gemeinkostenzuschläge<br />
werden die<br />
herstellkosten bzw. die<br />
abweichungen auf den<br />
kostenträgern verfälscht. die<br />
kann auswirkungen auf die<br />
wertansätze von Bilanz und GuV<br />
haben<br />
die Verwendung von periodengenauen<br />
tarifen bei den<br />
istbuchungen verrechnet die<br />
abweichung der Kostenstellen<br />
auf die Kostenträger weiter. die<br />
abweichungen der fertigung<br />
können dadurch erhöht oder<br />
konterkariert werden. eine liste<br />
der Kostenträger „nach Größe<br />
der abweichungen“ bringt nicht<br />
mehr die kritischen aufträge<br />
nach vorn<br />
die Gemeinkostenzuschlagssätze<br />
müssen adäquat und in ihrer<br />
höhe begründbar sein.<br />
idealerweise sind sie verursachungsgerecht.<br />
welches zuschlagsschema?<br />
Von was hängen die Prozentsätze<br />
ab?<br />
wie hoch sind die Prozentsätze?<br />
was wird bezuschlagt?<br />
die Bewertungsvariante ist auf<br />
die verwendeten tarife der<br />
leistungsarten hin zu überprüfen<br />
> Kalkulationsvariante<br />
analysieren, besonders die<br />
Bewertungsvariante<br />
> auftragsbericht aufrufen,<br />
leistungstarif prüfen<br />
imG → controlling → Produktkosten-controlling<br />
→ Kostenträgerrechnung<br />
→ auftragsbezogenes<br />
Produkt-controlling →<br />
Grundeinstellungen für das<br />
auftragsbezogene Produktcontrolling<br />
→ Gemeinkostenzuschläge<br />
→ Kalkulationsschemata<br />
definieren<br />
imG → controlling → Produktkosten-controlling<br />
→ Kostenträgerrechnung<br />
→ auftragsbezogenes<br />
Produkt-controlling →<br />
Produktionsaufträge →<br />
Kalkulationsvarianten für die<br />
erzeugniskalkulation überprüfen<br />
(OPl1)<br />
controlling → Produktkostencontrolling<br />
→ Kostenträgerrechnung<br />
→ auftragsbezogenes<br />
Produkt-controlling →<br />
infosystem → Berichte zum<br />
auftragsbezogenes Produktcontrolling<br />
→ detailberichte →<br />
zu aufträgen<br />
Seite 149 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 150<br />
7 Periodenabschluß im internen Rechnungswesen<br />
bei Lagerfertigung<br />
riSiKO KOntrOlle teSt/Bericht<br />
die ware in arbeit wird falsch<br />
berechnet<br />
Bei der ware in arbeit werden<br />
teile der Kosten als „nicht<br />
aktivierungsfähig“ behandelt<br />
die ware in arbeit wird auf<br />
falsche Konten der finanzbuchhaltung<br />
abgerechnet<br />
der ausschuss wird in falscher<br />
höhe ausgewiesen<br />
die einstellungen zur automatischen<br />
Berechnung der ware in<br />
arbeit ist zu prüfen und stich-<br />
probenweise nachzurechnen<br />
welche Kalkulation wird für die<br />
ermittlung des wiP zu Sollkosten<br />
herangezogen?<br />
die einstellungen zur automatischen<br />
Berechnung der ware in<br />
arbeit ist zu prüfen<br />
wie werden die Bestandteile der<br />
ware in arbeit kategorisiert und<br />
dementsprechend behandelt?<br />
die Kontenfindung zur Buchung<br />
der abgrenzungswerte ist richtig<br />
eingestellt<br />
einstellungen in der Buchungsregeltabelle<br />
prüfen<br />
die einstellungen zur automatischen<br />
Berechnung der ware in<br />
arbeit ist zu prüfen und stich-<br />
probenweise nachzurechnen<br />
welche Kalkulation wird für die<br />
ermittlung des wertes des<br />
ausschusses herangezogen?<br />
imG → controlling → Produktkosten-controlling<br />
→ Kostenträgerrechnung<br />
→ Periodisches<br />
Produkt-controlling →<br />
Periodenabschluss → ware in<br />
arbeit → Bewertungsvariante<br />
wiP und ausschuss (Sollkosten)<br />
definieren<br />
imG → controlling → Produktkosten-controlling<br />
→ Kostenträgerrechnung<br />
→ Periodisches<br />
Produkt-controlling →<br />
Periodenabschluss → ware in<br />
arbeit → zuordnung definieren<br />
imG → controlling → Produktkosten-controlling<br />
→ Kostenträgerrechnung<br />
→ Periodisches<br />
Produkt-controlling →<br />
Periodenabschluss → ware in<br />
arbeit → Buchungsregeln für<br />
abrechnung der ware in arbeit<br />
definieren<br />
imG → controlling → Produktkosten-controlling<br />
→ Kostenträgerrechnung<br />
→ Periodisches<br />
Produkt-controlling →<br />
Periodenabschluss → ware in<br />
arbeit → Bewertungsvariante<br />
wiP und ausschuss (Sollkosten)<br />
definieren
iSiKO KOntrOlle teSt/Bericht<br />
der ausschuss wird falsch<br />
berechnet<br />
die abweichungen werden<br />
falschen abweichungskategorien<br />
zugeordnet und täuschen über<br />
die wahren Gründe der<br />
abweichungen hinweg<br />
7.2.2 Durchführung/Belege<br />
die werte für wiP, ausschuss<br />
und abweichungen wurden nicht<br />
korrekt gespeichert und fehlen<br />
deshalb in übergreifenden<br />
Berichten und analysen<br />
die vorgangsbezogene Bewert-<br />
ung des ausschusses ist zu prüfen<br />
welche ausschussmengen sind<br />
an welchem Vorgang angefallen<br />
und mit welchen Kosten werden<br />
sie bewertet?<br />
die einstellungen für die<br />
abweichungsermittlung ist zu<br />
überprüfen<br />
> Sind abweichungskategorien<br />
abgeschaltet?<br />
> wurden sinnvolle mindest-<br />
werte für die abweichungs-<br />
kategorien festgelegt?<br />
die werte für wiP, ausschuss<br />
und abweichungen sind im<br />
Berichtswesen zu prüfen<br />
imG → controlling → Produktkosten-controlling<br />
→ Kostenträgerrechnung<br />
→ Periodisches<br />
Produkt-controlling → Periodenabschluss<br />
→ ware in arbeit →<br />
Bewertungsvariante wiP und<br />
ausschuss (Sollkosten) definieren<br />
controlling → Produktkostencontrolling<br />
→ Kostenträgerrechnung<br />
→ auftragsbezogenes<br />
Produkt-controlling → auftrag<br />
→ fertigungsauftrag PP →<br />
anzeigen, von dort Springen →<br />
Kosten → einzelnachweis,<br />
layout 1SaP06<br />
imG → controlling → Produktkosten-controlling<br />
→ Kostenträgerrechnung<br />
→ auftragsbezogenes<br />
Produkt-controlling →<br />
Periodenabschluss →<br />
abweichungsermittlung →<br />
abweichungsvarianten<br />
überprüfen<br />
controlling → Produktkostencontrolling<br />
→ Kostenträgerrechnung<br />
→ auftragsbezogenes<br />
Produkt-controlling →<br />
infosystem → Berichte zum<br />
auftragsbezogenes Produktcontrolling<br />
→ detailberichte →<br />
zu aufträgen, layout 1SaP06<br />
Seite 151 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 152<br />
7 Periodenabschluß im internen Rechnungswesen<br />
bei Lagerfertigung<br />
riSiKO KOntrOlle teSt/Bericht<br />
die ware in arbeit wurde nicht<br />
oder falsch abgerechnet<br />
der Saldo des auftrags (auch<br />
abweichungen, ausschuss)<br />
wurde nicht oder falsch<br />
abgerechnet<br />
7.2.3 Ergebnisse/Auswertung<br />
aufträge, die logistisch bereits<br />
fertig sind und für die keine<br />
nachlaufkosten mehr erwartet<br />
werden, bilden trotzdem noch<br />
ware in arbeit<br />
die ware in arbeit wird falsch<br />
berechnet<br />
der wiP muss ordnungsgemäß<br />
in die finanzbuchhaltung und die<br />
Profit center rechnung weiter-<br />
verrechnet worden sein<br />
abrechnungsbelege prüfen. Von<br />
dort die rechnungswesenbelege<br />
prüfen<br />
der Saldo des auftrags (und<br />
damit ausschuss und abweichungen)<br />
müssen ordnungsgemäß<br />
in die finanzbuchhaltung<br />
und die Profit center rechnung<br />
weiterverrechnet worden sein.<br />
zusätzlich kann es gewünscht<br />
sein, die abweichungen in die<br />
kalkulatorische ergebnisrechnung<br />
zu übertragen<br />
die aufträge nach Status<br />
selektieren und prüfen, ob alte<br />
aufträge noch nicht den Status<br />
„technisch abgeschlossen“ haben<br />
altersstruktur der selektierten<br />
aufträge analysieren und<br />
Ursachen erforschen, warum<br />
„alte“ aufträge noch nicht<br />
abgeschlossen sind<br />
die vorgangsbezogene Bewer-<br />
tung der ware in arbeit ist zu<br />
prüfen<br />
welche mengen liegen<br />
rechnerisch an welchem<br />
Vorgang und mit welchen Kosten<br />
werden sie bewertet?<br />
controlling → Produktkostencontrolling<br />
→ Kostenträgerrechnung<br />
→ auftragsbezogenes<br />
Produkt-controlling →<br />
Periodenabschluss →<br />
einzelfunktionen → abrechnung<br />
→ einzelverarbeitung<br />
bisherige abrechnungen →<br />
Umfeld → rechnungswesenbelege<br />
controlling → Produktkostencontrolling<br />
→ Kostenträgerrechnung<br />
→ auftragsbezogenes<br />
Produkt-controlling →<br />
Periodenabschluss →<br />
einzelfunktionen → abrechnung<br />
→ einzelverarbeitung<br />
bisherige abrechnungen →<br />
Umfeld → rechnungswesenbelege<br />
controlling → Produktkostencontrolling<br />
→ Kostenträgerrechnung<br />
→ auftragsbezogenes<br />
Produkt-controlling →<br />
infosystem → Objektliste →<br />
auftragsselektion<br />
nach aufträgen suchen, die noch<br />
nicht taBG sind<br />
controlling → Produktkostencontrolling<br />
→ Kostenträgerrechnung<br />
→ auftragsbezogenes<br />
Produkt-controlling →<br />
infosystem → Berichte zum<br />
auftragsbezogenen Produktcontrolling<br />
→ detailberichte →<br />
zu aufträgen, layout 1SaP06
8 Periodenabschluß in der Anlagenbuchhaltung<br />
8.1 PrüfUnGSziele<br />
ziele riSiKO<br />
8.1.1 Stammdaten und Customizing<br />
der ausweis des anlagenvermögens<br />
steht in übereinstimmung mit den<br />
geltenden Bilanzierungsrichtlinien<br />
der ausweis des anlagenvermögens<br />
steht in übereinstimmung mit den<br />
geltenden Bilanzierungsrichtlinien<br />
das anlagevermögen wird richtig in<br />
der finanzberichterstattung erfasst<br />
und ausgewiesen<br />
der ausweis des anlagenvermögens<br />
steht in übereinstimmung mit den<br />
geltenden Bilanzierungsrichtlinien<br />
das ausgewiesene Sachanlagevermögen<br />
und das ausgewiesene<br />
immaterielle Vermögen beinhaltet<br />
alle bestehenden anlagen<br />
abschreibungsmethode und<br />
nutzungsdauer sind in übereinstimmung<br />
mit den geltenden Bilanzierungsrichtlinien<br />
der zugriff auf das anlagevermögen<br />
ist restriktiv ausgestaltet lediglich die<br />
hierzu autorisierten Personen haben<br />
zugriff auf die daten und funktionalitäten<br />
des anlagevermögens.<br />
die Pflege des anlagevermögens<br />
erfolgt unter einhaltung des<br />
4-augen-Prinzips. tätigkeiten der<br />
Stammdatenpflege sind von den<br />
laufenden Buchungen/Starten von<br />
abschreibungsläufen u.ä. getrennt<br />
eine unzureichende Bildung und Verwendung von Bewertungsbereichen<br />
führt zu einer falschen abbildung des anlagenvermögens<br />
eine unzureichende Verwendung und zuordnung von Bewertungsplänen<br />
führt zu einer falschen abbildung des anlagenvermögens<br />
fehlerhafte Bildung von anlagenklassen, die nicht in übereinstimmung<br />
mit den geltenden Bilanzierungsrichtlinien stehen.<br />
Unautorisierte änderungen an anlagenklassen können zu<br />
einem fehlerhaften ausweis des anlagevermögens führen.<br />
fehler im customizing können zu einem fehlerhaften ausweis<br />
des anlagevermögens führen.<br />
fehlerhafte abschreibungsmethoden und nutzungsdauern<br />
führen zu einem falschausweis in der Bilanz<br />
zu weitgehende Vergabe der Berechtigungen für das anlagevermögen<br />
die nichtabbildung eines 4-augen-Prinzips begünstigt dolose<br />
handlungen im Bereich des anlagevermögens.<br />
Seite 153 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 154<br />
8 Periodenabschluß in der Anlagenbuchhaltung<br />
ziele riSiKO<br />
8.1.2 Ergebnisse/Auswertungen<br />
das ausgewiesene Sachanlagevermögen<br />
und das ausgewiesene<br />
immaterielle Vermögen beinhaltet<br />
alle bestehenden anlagen<br />
das ausgewiesene Sachanlagevermögen<br />
und immaterielles Vermögen<br />
bestehen zum Bilanzstichtag<br />
alle abgänge der Periode werden<br />
richtig erfasst und ausgewiesen<br />
Sachanlagevermögen und immaterielles<br />
Vermögen bestehen zum<br />
Bilanzstichtag und sind in Verwendung<br />
das ausgewiesene Sachanlagevermögen<br />
und das ausgewiesene<br />
immaterielle Vermögen beinhaltet<br />
alle bestehenden anlagen<br />
das ausgewiesene Sachanlagevermögen<br />
und das ausgewiesene<br />
immaterielle Vermögen beinhaltet<br />
alle bestehenden anlagen<br />
falsche zuordnung der Stammdaten zu den Profit centern<br />
es werden zugänge von Vermögensgegenständen im<br />
Geschäftsjahr erfasst, die nicht dem anlagevermögen<br />
zuzurechnen sind<br />
der abgang von Vermögensgegenständen im Geschäftsjahr<br />
wird nicht vollständig im System erfasst.<br />
nicht existente Vermögensgegenstände werden ausgewiesen.<br />
das im nebenbuch erfasste anlagevermögen wird nicht<br />
vollständig im nebenbuch ausgewiesen.<br />
das im nebenbuch erfasste anlagevermögen wird nicht<br />
vollständig im nebenbuch ausgewiesen.
8.2 PrüfUnGSdUrchführUnG<br />
es wird auf das anlageninformationssystem, der zusammenstellung aller wesentlicher reports hingewiesen:<br />
aiS - Kaufmännisches audit - aktiva - aiS – Sachanlagen - SaP anlageninformationssystem.<br />
riSiKO KOntrOlle teSt/Bericht<br />
8.2.1 Stammdaten und Customizing<br />
eine unzureichende Bildung und<br />
Verwendung von Bewertungsbereichen<br />
führt zu einer falschen<br />
abbildung des anlagenvermögens<br />
eine unzureichende Verwendung<br />
und zuordnung von Bewertungsplänen<br />
führt zu einer falschen<br />
abbildung des anlagenvermögens<br />
fehlerhafte Bildung von<br />
anlagenklassen, die nicht in<br />
übereinstimmung mit den<br />
geltenden Bilanzierungsrichtlinien<br />
stehen.<br />
Unautorisierte änderungen an<br />
anlagenklassen können zu<br />
einem fehlerhaften ausweis des<br />
anlagevermögens führen.<br />
fehler im customizing können<br />
zu einem fehlerhaften ausweis<br />
des anlagevermögens führen.<br />
die im customizing gebildeten<br />
Bewertungsbereiche bilden die<br />
in Verwendung stehenden<br />
Bilanzierungsrichtlinien<br />
betreffend des anlagevermögens-<br />
korrekt ab und sind dazu<br />
geeignet den richtigen ausweis<br />
des anlagevermögens zu<br />
gewährleisten.<br />
die den betreffenden Buchungskreisen<br />
zugeordneten Bewertungspläne<br />
bilden die in Ver-<br />
wendung stehenden Bilanz-<br />
ierungsrichtlinien betreffend des<br />
anlagevermögens korrekt ab<br />
und sind dazu geeignet den<br />
richtigen ausweis des anlage-<br />
vermögens zu gewährleisten.<br />
die anlagenklassen sind korrekt<br />
gebildet und stehen in über-<br />
einstimmung mit den geltenden<br />
Bilanzierungsrichtlinien<br />
änderungen an anlagenklassen<br />
erfolgen in einem formalisierten<br />
Verfahren, alle änderungen<br />
werden nachträglich kontrolliert<br />
durch ein korrektes und<br />
konsistentes customizing des<br />
Verfahrens wird sichergestellt,<br />
dass die Bedingungen zum<br />
richtigen ausweis des anlage-<br />
vermögens sichergestellt ist.<br />
über einen Konsistenzcheck im<br />
customizing wird das System<br />
hierbei auf fehler überprüft.<br />
transaktion OadB (Bewertungsbereiche<br />
prüfen)<br />
transaktion OaOB (Buchungskreis<br />
in der anlagenbuchhaltung<br />
pflegen)<br />
customizing OaOa<br />
report raaend02<br />
report rachecK0<br />
Seite 155 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 156<br />
8 Periodenabschluß in der Anlagenbuchhaltung<br />
riSiKO KOntrOlle teSt/Bericht<br />
fehlerhafte abschreibungsmethoden<br />
und nutzungsdauern<br />
führen zu einem falschausweis<br />
in der Bilanz<br />
zu weitgehende Vergabe der<br />
Berechtigungen für das<br />
anlagevermögen<br />
die nichtabbildung eines<br />
4-augen-Prinzips begünstigt<br />
betrügerische handlungen im<br />
Bereich des anlagevermögens.<br />
8.2.2 Ergebnisse/Auswertungen<br />
Unbebuchte anlagenstammsätze<br />
können darauf hinweisen, dass<br />
nicht alle zur anschaffung<br />
geplanten/vorgesehenen<br />
wirtschaftsgüter bei denen ein<br />
zugang stattgefunden hat im<br />
System erfasst wurden.<br />
es werden zugänge von<br />
Vermögensgegenständen im<br />
Geschäftsjahr erfasst, die nicht<br />
dem anlagevermögen<br />
zuzurechnen sind<br />
die nutzungsdauern sind korrekt<br />
gepflegt und stehen in über-<br />
einstimmung mit den geltenden<br />
Bilanzierungsrichtlinien. in Stichproben<br />
werden die nutzungsdauern<br />
einzelner anlagengegenstände<br />
auf ihre richtigkeit<br />
kontrolliert.<br />
die Berechtigungen zur Pflege<br />
des anlagevermögens<br />
(Stammdaten, Bewegungsdaten)<br />
sind restriktiv vergeben.<br />
lediglich mitarbeiter der anlagen-<br />
buchhaltung verfügen über die<br />
entsprechenden zugriffs- und<br />
änderungsrechte.<br />
die Berechtigungen im Bereich<br />
des anlagevermögens sind für<br />
die Stammdatenpflege und die<br />
laufenden transaktionen nach<br />
dem 4-augen Prinzip vergeben.<br />
das System wird regelmäßig auf<br />
unbebuchte/unvollständige<br />
anlagenstammsätze analysiert.<br />
festgestellte unbebuchte<br />
anlagen werden umgehend<br />
geklärt.<br />
neuzugänge des anlagenvermögens<br />
werden in Stichproben auf<br />
die korrekte erfassung und ihren<br />
ausweis geprüft.<br />
databrowser analyse nutzungsdauern<br />
und abschreibungsbeträge<br />
über tabellen anlB und anlP<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva -<br />
aiS - Sachanlagen - abschreibungen<br />
- S_P6B_12000066 -<br />
Gebuchte abschreibungen<br />
transaktion suim<br />
Systemaudit - infosystem<br />
Benutzer & Berechtigungen<br />
transaktion suim<br />
Systemaudit - infosystem<br />
Benutzer & Berechtigungen<br />
report raanla01<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva - aiS<br />
- Sachanlagen - anlagenstammdaten<br />
- controls - Stammdatenänderungen<br />
- S_P6B_12000054<br />
- Verzeichnis unvollständiger<br />
anlagen und S_P6B_12000058<br />
- Verzeichnis unbebuchter<br />
anlagen<br />
report razUGa01<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva - aiS<br />
- Sachanlagen - anlagenbewegungen<br />
- S_P6B_12000060 – anlagenzugänge
iSiKO KOntrOlle teSt/Bericht<br />
der abgang von Vermögensgegenständen<br />
im Geschäftsjahr<br />
wird nicht vollständig im System<br />
erfasst.<br />
nicht existente Vermögensgegenstände<br />
werden ausgewiesen.<br />
das im nebenbuch erfasste<br />
anlagevermögen wird nicht<br />
vollständig im nebenbuch<br />
ausgewiesen.<br />
das im nebenbuch erfasste<br />
anlagevermögen wird nicht<br />
vollständig im nebenbuch<br />
ausgewiesen.<br />
abgänge des anlagenvermögens<br />
werden auf die vollständige<br />
erfassung im System kontrolliert.<br />
aBc analyse über den anlagenbestand.<br />
die wertmäßig höchsten<br />
anlagengüter werden auf ihren<br />
tatsächlichen Bestand hin über-<br />
prüft.<br />
das hauptbuch wird regelmäßig<br />
mit dem nebenbuch fi-aa ab-<br />
gestimmt. differenzen werden<br />
umgehend geklärt und korrigiert.<br />
das anlagengitter wird<br />
regelmäßig mit dem hauptbuch<br />
abgeglichen. differenzen werden<br />
umgehend geklärt und korrigiert.<br />
report raaBGa01<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva - aiS<br />
- Sachanlagen - anlagenbewegungen<br />
- anlagenabgänge<br />
databrowser tabellen aneK und<br />
aneP<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva - aiS<br />
- Sachanlagen - anlagenbestand<br />
raaBSt02 (und raaBSt01)<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva - aiS<br />
- Sachanlagen - abstimmung/<br />
Große Umsatzprobe - S_P6B_<br />
12000053 - abstimmungsanalyse<br />
fi-aa (Batch!)<br />
raGitt01<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva - aiS<br />
- Sachanlagen - abstimmung/<br />
Große Umsatzprobe S_P6B_<br />
12000051 - abstimmungsanalyse<br />
anlagengitter (Batch!)<br />
Seite 157 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 158<br />
9 Periodenabschluß im externen Rechnungswesen<br />
9.1 PrüfUnGSziele<br />
ziele riSiKO<br />
9.1.1 Stammdaten und Customizing<br />
Vollständiger und richtiger ausweis<br />
aller Vermögensgegenstände und<br />
Schulden im Berichtszeitraum.<br />
der ausweis entspricht den<br />
mindestgliederungsvorschriften der<br />
anzuwendenden rechnungslegungsvorschrift.<br />
die auflistung der Konten und der<br />
Positionsreihenfolge in der Bilanz und<br />
Gewinn- und Verlust-rechnung<br />
erfolgt in der vorgeschriebenen form.<br />
die Kontensummen entsprechen der<br />
gebuchten einzelposten.<br />
die Kontensummen entsprechen der<br />
gebuchten einzelposten.<br />
9.1.2 Saldenbestätigung<br />
alle Geschäftsvorfälle der Geschäftspartner<br />
sind vollständig geordnet,<br />
richtig und zeitgerecht im System<br />
erfasst. mit hilfe der Saldenbestätigungen<br />
können die forderungen und<br />
Verbindlichkeiten gegenüber ihren<br />
Geschäftspartnern auf richtigkeit<br />
geprüft werden.<br />
9.1.3 Bewertung der Offenen Posten in Fremdwährung<br />
Vor der erstellung der Bilanz und GuV<br />
werden die in fremdwährung<br />
gebuchten offenen forderungen und<br />
Verbindlichkeiten gemäß den Bewer-<br />
tungsprinzipien der rechnungslegungsvorschriften<br />
(bspw. hGB)<br />
bewertet und die ergebnisse in der<br />
Bilanz und Gewinn und Verlust<br />
rechnung entsprechend ausgewiesen.<br />
falsche zuordnung der Konten zu den Bilanzpositionen (ausweis).<br />
Konten sind entweder einseitig oder gar nicht zugeordnet.<br />
fehlende bzw. unvollständige Selektionskriterien und<br />
ausgabeart bei der ausführung der Berichte.<br />
die Verkehrszahlen für die Konten innerhalb der Bilanz- und<br />
GuV-Positionen sind zwar vollständig aufgelistet, jedoch besteht<br />
keine möglichkeit, diese Salden durch die ursprünglichen<br />
Buchungen vom Bericht aus, auf richtigkeit und aktualität zu<br />
prüfen.<br />
rechnungen und Gutschriften von Geschäftspartnern sind nicht<br />
erfasst oder übersehen worden. es wurde versäumt, für<br />
gewisse Geschäftspartner (insbesondere debitoren), wertberichtigung<br />
vorzunehmen, da vorhersehbare forderungsausfälle<br />
nicht rechtzeitig bekannt gegeben wurden.<br />
zum zeitpunkt der Bewertung der offenen Posten wurden die<br />
Bilanzstichtagskurse nicht richtig gepflegt, die falsche<br />
Bewertungsmethode ausgewählt und/oder die falschen Konten<br />
für den ausweis der Korrektur verwendet.
ziele riSiKO<br />
9.1.4 Pauschalierte Einzelwertberichtigung<br />
im rahmen der Bilanzvorbereitung<br />
werden die offenen Posten der<br />
debitoren bewertet werden. mit einer<br />
wertberichtigung werden zweifelhafte<br />
forderungen korrigiert.<br />
der ausweis entspricht den mindest-<br />
gliederungsvorschriften der anzuwen-<br />
denden rechnungslegungsvorschrift.<br />
die regeln zur abwertung sind nicht eingestellt oder es fehlt dafür<br />
eine Verbindung zu den Stammdaten der in Betracht zu ziehenden<br />
debitoren.<br />
die Kontenfindung für die forderungskorrektur in der Bilanz bzw.<br />
für den GuV-aufwand ist nicht oder fehlerhaft eingestellt und dieser<br />
ausweis fehlt in der auflistung der Bilanz und Gewinn und Verlust<br />
rechnung<br />
9.1.5 Umbuchen und Rastern der Forderungen und Verbindlichkeiten<br />
forderungen und Verbindlichkeiten<br />
sind nach restlaufzeiten gegliedert<br />
9.1.6 Abgrenzungsbuchungen<br />
aufwand und ertrag sind dem<br />
Geschäftjahr zugeordnet, dem sie<br />
erfolgsmäßig zugehören. abgrenzungsbuchungen<br />
erfolgen, wenn die<br />
zeitpunkte der leistung und der<br />
zahlung differieren. dabei sind<br />
sowohl antizipative wie auch<br />
transitorische Posten berücksichtigt.<br />
9.1.7 Saldovortrag<br />
der Saldovortrag wurde ordnungsgemäß<br />
vorgenommen und stellt die<br />
Kontinuität der Bilanzzahlen sicher.<br />
sind nach restlaufzeiten gegliedert<br />
eine methode für die rasterung fehlt und/oder die Kontenfindung<br />
dafür ist fehlerhaft.<br />
abgrenzungen, die im Programmumfeld des accrual engine<br />
vorgenommen wurden, werden nicht mit den ergebnissen in der<br />
hauptbuchhaltung abgestimmt und fehlen in der Bilanz und<br />
Gewinn und Verlust rechnung. es wurde versäumt, das Programm<br />
für die Periodische abgrenzung in den dafür vorgesehenen<br />
abständen durchzuführen.<br />
die Kontenfindung für die forderungskorrektur in der Bilanz bzw.<br />
für den GuV-aufwand ist nicht oder fehlerhaft eingestellt und dieser<br />
ausweis fehlt in der auflistung der Bilanz und Gewinn und Verlust<br />
rechnung<br />
der erfolgskontentyp legt für GuV-Konten fest, auf welches<br />
Gewinnvortragskonto das ergebnis im rahmen des Jahresabschlusses<br />
übertragen wird.<br />
die zuordnung für einige erfolgskonten fehlt oder ist fehlerhaft<br />
nach dem Saldovortrag werden die vorgetragen Salden nicht<br />
geprüft.<br />
9.1.8 Technische Abstimmung zwischen Verkehrszahlen und Belegen<br />
alle Geschäftsvorfälle sind ordnungsgemäß<br />
und periodengerecht gebucht<br />
Buchungsperioden sind nicht ordnungsgemäß gepflegt und<br />
gefährden die zeitgerechte Buchung.<br />
technische differenzen gefährden die Konsistenz und integrität der<br />
Buchführungsdaten.<br />
abgebrochene Verbuchungen und nicht sachgemäß verarbeitete<br />
Schnittstellendaten gefährden die Vollständigkeit der Verarbeitung.<br />
Seite 159 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 160<br />
9 Periodenabschluß im externen Rechnungswesen<br />
9.2 PrüfUnGSdUrchführUnG<br />
riSiKO KOntrOlle teSt/Bericht<br />
9.2.1 Stammdaten und Customizing<br />
falsche zuordnung der Konten<br />
zu den Bilanzpositionen (ausweis).<br />
Konten sind entweder einseitig<br />
oder gar nicht zugeordnet.<br />
fehlende bzw. unvollständige<br />
Selektionskriterien und<br />
ausgabeart bei der ausführung<br />
der Berichte.<br />
die Verkehrszahlen für die<br />
Konten innerhalb der Bilanz- und<br />
GuV-Positionen sind zwar<br />
vollständig aufgelistet, jedoch<br />
besteht keine möglichkeit, diese<br />
Salden durch die ursprünglichen<br />
Buchungen vom Bericht aus, auf<br />
richtigkeit und aktualität zu<br />
prüfen.<br />
Vollständigkeit der Bilanz-/<br />
GuV-Struktur prüfen.<br />
Selektionskriterien für den (die)<br />
Buchungskreis(e) und die<br />
entsprechende ausgabenart<br />
wählen.<br />
für eine selektive Kontrolle der<br />
zu den Summen entsprechenden<br />
einzelposten und Belegen<br />
wählen Sie die recherche.<br />
führen Sie die transaktion OB58<br />
aus, oder wählen Sie<br />
werkzeuge → customizing →<br />
imG → Projektbearbeitung →<br />
SaP referenz-imG → finanzwesen<br />
→ hauptbuchhaltung →<br />
Geschäftsvorfälle → hauptbuch<br />
→ abschluss → dokumentieren<br />
→ Bilanz-GuV-Strukturen<br />
definieren.<br />
in der Strukturpflege die Prüfung<br />
auf<br />
> einseitig zugeordnete Konten,<br />
> nicht zugeordnete Konten und<br />
> falsch zugeordnete Konten<br />
durchführen.<br />
Bericht rfSKVz00 Sachkontenverzeichnis<br />
(feld ergebniszuordnung)<br />
Programm rfBila00 (Se38).<br />
alternativ: wählen Sie<br />
SaP easy access → rechnungswesen<br />
→ finanzwesen →<br />
hauptbuch → infosystem →<br />
Berichte zum hauptbuch →<br />
Bilanz/GuV/cash flow →<br />
allgemein → ist-/ist Vergleiche<br />
→ Bilanz/GuV (S_alr_87012284)<br />
recherche-Bericht: wählen Sie<br />
SaP easy access → rechnungswesen<br />
→ finanzwesen →<br />
hauptbuch → infosystem<br />
Berichte zum hauptbuch →<br />
Bilanz/GuV/cash flow →<br />
allgemein → ist-/ist Vergleiche<br />
→ ist/ist- Vergleich Jahr<br />
(S_alr_87012249)
iSiKO KOntrOlle teSt/Bericht<br />
9.2.2 Saldenbestätigung<br />
rechnungen und Gutschriften<br />
von Geschäftspartnern sind nicht<br />
erfasst oder übersehen worden.<br />
es wurde versäumt, für gewisse<br />
Geschäftspartner (insbesondere<br />
debitoren), wertberichtigung<br />
vorzunehmen, da vorhersehbare<br />
forderungsausfälle nicht<br />
rechtzeitig bekannt gegeben<br />
wurden.<br />
die Sprache im Stammsatz der<br />
debitoren/Kreditoren, die<br />
entsprechenden formulare der<br />
Saldenbestätigung, deren<br />
textelemente und die adresse<br />
für das rückantwortschreiben<br />
prüfen.<br />
Stammsätze prüfen:<br />
SaP easy access → rechnungswesen<br />
→ finanzwesen →<br />
debitoren (Kreditoren) →<br />
Stammdaten anzeigen (fd03).<br />
Unter allgemeine daten – Kommunikation<br />
– Sprache.<br />
customizing Saldenbestätigung:<br />
werkzeuge → customizing →<br />
imG → Projektbearbeitung →<br />
SaP referenz-imG → finanzwesen<br />
→ debitoren- und<br />
Kreditorenbuchhaltung →<br />
Geschäftsvorfälle → abschluss<br />
→ zählen → Korrespondenz<br />
Saldenbestätigung → einstellungen<br />
zur durchführen und<br />
prüfen<br />
1. formulare für Korrespondenz<br />
definieren… → werthilfe:<br />
finanzwesen → Korrespondenz<br />
→ formularsatz Saldenbestätigung.<br />
formular f130_cOnfirm_01<br />
wird angeboten →<br />
fenster → main hauptfenster<br />
-textelemente (textbausteine).<br />
2. Prüfen der adresse für die<br />
rückantwortschreiben (pro<br />
Buchungskreis werden die<br />
adressen über eine identifikation<br />
[adrid] ermittelt.<br />
3. Saldenbestätigung durchführen.<br />
SaP easy access → rechnungswesen<br />
→ finanzwesen →<br />
debitoren → Periodische<br />
arbeiten → abschluss → Prüfen/<br />
zählen → Saldenb drucken.<br />
-Saldenbestätigung – rückantwort<br />
– abstimmliste - deckblatt<br />
Seite 161 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 162<br />
9 Periodenabschluß im externen Rechnungswesen<br />
riSiKO KOntrOlle teSt/Bericht<br />
9.2.3 Bewertung der Offenen Posten in Fremdwährung<br />
zum zeitpunkt der Bewertung<br />
der offenen Posten wurden die<br />
Bilanzstichtagskurse nicht richtig<br />
gepflegt, die falsche Bewertungs-<br />
methode ausgewählt und/oder<br />
die falschen Konten für den<br />
ausweis der Korrektur<br />
verwendet.<br />
Kurse, Bewertungsmethode und<br />
Kontenfindung für die fremdwährungsbewertung<br />
prüfen.<br />
die ergebnisse der Bewertung in<br />
der Bilanz und GuV und<br />
gegebenenfalls in den offenen<br />
Posten kontrollieren.<br />
Kurse:<br />
SaP easy access→ werkzeuge<br />
→ customizing → imG → SaP<br />
netweaver → allgemeine<br />
einstellungen → währungen<br />
Umrechnungskurse eingeben –<br />
S_Bce_68000174 (Berechtigungsobjekt:<br />
S_eXchrate)<br />
Bewertungsmethode:<br />
SaP easy access → werkzeuge<br />
→ customizing → imG →<br />
Projektbearbeitung → SaP<br />
referenz-imG → finanzwesen →<br />
hauptbuchhaltung → Geschäftsvorfälle<br />
→ abschluss →<br />
Bewerten → fremdwährungsbewertung<br />
→ Bewertungsmethoden<br />
definieren (transaktion OB59)<br />
Kontenfindung:<br />
SaP easy access → werkzeuge<br />
→ customizing → imG →<br />
Projektbearbeitung → SaP<br />
referenz-imG → finanzwesen<br />
→ hauptbuchhaltung →<br />
Geschäftsvorfälle → abschluss<br />
→ Bewerten → fremdwährungsbewertung<br />
→ automatische<br />
Buchungen für fremdwährungsbewertung<br />
vorber.<br />
(transaktion OBa1)<br />
recherche-Bericht:<br />
SaP easy access → rechnungswesen<br />
→ finanzwesen →<br />
hauptbuch → infosystem<br />
Berichte zum hauptbuch →<br />
Bilanz/GuV/cash flow →<br />
allgemein → ist-/ist Vergleiche<br />
→ ist/ist- Vergleich Jahr (S_<br />
alr_87012249)<br />
Bewertung in Kontokorrentzeile<br />
prüfen: über Umfeld →<br />
Bewertung → Bewertung<br />
anzeigen bzw. im layout der<br />
offenen Posten das feld<br />
BSeG-Bdiff einblenden.
iSiKO KOntrOlle teSt/Bericht<br />
9.2.4 Pauschalierte Einzelwertberichtigung<br />
die regeln zur abwertung sind<br />
nicht eingestellt oder es fehlt<br />
dafür eine Verbindung zu den<br />
Stammdaten der in Betracht zu<br />
ziehenden debitoren.<br />
die Kontenfindung für die<br />
forderungskorrektur in der<br />
Bilanz bzw. für den GuV-aufwand<br />
ist nicht oder fehlerhaft<br />
eingestellt und dieser ausweis<br />
fehlt in der auflistung der Bilanz<br />
und Gewinn und Verlust<br />
rechnung<br />
zuordnung debitoren zu<br />
wertberichtigungsschlüssel.<br />
einstellungen zu wertberichtigungsschlüssel<br />
und Kontenfindung<br />
zu PwB-Bewertung.<br />
die ergebnisse der Bewertung in<br />
der Bilanz und GuV und in den<br />
offenen Posten kontrollieren.<br />
9.2.5 Umbuchen und Rastern der Forderungen und Verbindlichkeiten<br />
eine methode für die rasterung<br />
fehlt und/oder die Kontenfindung<br />
dafür ist fehlerhaft.<br />
einstellungen zur rastermethode<br />
und Kontenfindung kontrollieren<br />
und die ergebnisse der rasterung<br />
in der Bilanz und GuV kontrollieren.<br />
Bewertungslauf (Bewertungsläufe)<br />
überprüfen:<br />
SaP easy access → rechnungswesen<br />
→ finanzwesen →<br />
debitoren → Periodische arbeiten<br />
→ abschluss → Bewerten →<br />
weitere Bewertungen (Programm<br />
SaPf107V)<br />
übersicht Bewertungsein-<br />
stellungen:<br />
Umfeld → Konfiguration<br />
(wertberichtigungsschlüssel<br />
[transaktion OB_7], Basiswertbestimmung<br />
[transaktion OB_8],<br />
Kontenfindung [transaktion<br />
OBB0], zinssätze [transaktion<br />
OB42] Kontrolle des Bewertungslaufes:<br />
Bearbeiten (Parameter,<br />
Bewertungslauf (-Protokoll,-<br />
Bewertungsliste), überleitungsprotokoll<br />
Pauschalwert und<br />
Bewertung in den offenen Posten<br />
(über Umfeld) nachprüfen.<br />
rastermethode:<br />
werkzeuge → customizing →<br />
imG → Projektbearbeitung →<br />
SaP referenz-imG → finanzwesen<br />
→ hauptbuchhaltung →<br />
Geschäftsvorfälle → abschluss<br />
→ Umgliedern → Umbuchen und<br />
rastern der forderungen und<br />
Verbindlichkeiten → rastermethode<br />
definieren und Korrekturkonten<br />
ford./Verb. Umgliederung<br />
(transaktion OBBU)<br />
Kontenfindung: Korrekturkonten<br />
(transaktion OBBV)<br />
Seite 163 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 164<br />
9 Periodenabschluß im externen Rechnungswesen<br />
riSiKO KOntrOlle teSt/Bericht<br />
9.2.6 Abgrenzungsbuchungen<br />
abgrenzungen, die im<br />
Programmumfeld des accrual<br />
engine vorgenommen wurden,<br />
werden nicht mit den ergebnissen<br />
in der hauptbuchhaltung<br />
abgestimmt und fehlen in der<br />
Bilanz und Gewinn und Verlust<br />
rechnung.<br />
es wurde versäumt, das<br />
Programm für die Periodische<br />
abgrenzung in den dafür<br />
vorgesehenen abständen<br />
durchzuführen.<br />
accrual engine einstellungen<br />
kontrollieren.<br />
überblick der abgrenzungsobjekte.<br />
Prüfung des periodischen<br />
abgrenzungslaufs.<br />
Gebuchte abgrenzungen mit<br />
dem infosystem kontrollieren.<br />
mögliche Korrekturen (Stornolauf,<br />
überleitung ins rechnungswesen)<br />
nachprüfen.<br />
abstimmung accrual engine mit<br />
dem hauptbuch.<br />
ergebnisse der abgrenzungen in<br />
der Bilanz und GuV kontrollieren.<br />
einstellungen zu manuellen<br />
abgrenzungen prüfen:<br />
SaP easy access → werkzeuge<br />
→ customizing → imG →<br />
Projektbearbeitung → SaP<br />
referenz-imG → finanzwesen<br />
→ hauptbuchhaltung →<br />
Geschäftsvorfälle → manuelle<br />
abgrenzungen →<br />
Grundeinstellungen…<br />
Buchungskreise zuordnen<br />
rechnungslegungsvorschriften<br />
abgrenzungsarten definieren<br />
Geschäftsjahr für abgrenzungsbuchungen<br />
öffnen<br />
technische einstellungen<br />
(abgrenzungsobjekte,<br />
abgrenzungsobjekttypen)<br />
Abgrenzungsberechnung…<br />
abgrenzungsmethoden<br />
Abgrenzungsbuchung …<br />
Buchungssteueurung definieren<br />
nummernkreise<br />
Kontenfindung<br />
abgrenzungsobjekte:<br />
SaP easy access → rechnungswesen<br />
→ finanzwesen →<br />
hauptbuch → Periodische<br />
arbeiten → manuelle abgrenzungen,<br />
abgrenzungsobjekte<br />
bearbeiten (transaktion<br />
acactree02)<br />
fortsetzung folgende Seite >
iSiKO KOntrOlle teSt/Bericht<br />
fortsetzung ><br />
Prüfung des periodischen<br />
abgrenzungslaufes (transaktion:<br />
acacact:Programm acac_PeriOdic_POStinG)<br />
Kontrolle der gebuchten<br />
abgrenzungen:<br />
infosystem → Gebuchte<br />
abgrenzungen anzeigen…<br />
Summenwerte anzeigen<br />
(transaktion acacPSitemS)<br />
einzelposten anzeigen<br />
(transaktion acacPSdOcitemS)<br />
Korrekturen anzeigen: Stornolauf<br />
(transaktion acacreVerS)<br />
überleitung ins rechnungswesen<br />
(transaktion acactranSfer)<br />
abstimmung accrual engine mit<br />
dem hauptbuch:<br />
SaP easy access → rechnungswesen<br />
→ finanzwesen →<br />
hauptbuch → Periodische<br />
arbeiten → abschluss → Prüfen/<br />
zählen → manuelle abgrenzungen:<br />
abstimmung accrual<br />
engine mit hauptbuch<br />
(transaktion: acacfirecOn;<br />
Programm acac_fi_recOnciliatiOn)<br />
Seite 165 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 166<br />
9 Periodenabschluß im externen Rechnungswesen<br />
riSiKO KOntrOlle teSt/Bericht<br />
9.2.7 Saldovortrag<br />
der erfolgskontentyp legt für<br />
GuV-Konten fest, auf welches<br />
Gewinnvortragskonto das<br />
ergebnis im rahmen des<br />
Jahresabschlusses übertragen<br />
wird: die zuordnung für einige<br />
erfolgskonten fehlt oder ist<br />
fehlerhaft.<br />
nach dem Saldovortrag werden<br />
die vorgetragen Salden nicht<br />
geprüft.<br />
erfolgskontentyp und erfolgsvortragskonto<br />
nachprüfen<br />
Stammdaten der erfolgskonten<br />
und ihre zuordnung zum<br />
erfolgskontentyp kontrollieren.<br />
eröffnungsbilanz ausführen und<br />
Sachkontensalden auflisten, um<br />
die vorgetragenen Salden zu<br />
prüfen.<br />
die findung des ergebnis-Vortragskontos<br />
muss definiert sein :<br />
SaP easy access → werkzeuge<br />
→ customizing → imG → Projektbearbeitung<br />
→ SaP referenzimG<br />
→ finanzwesen → hauptbuchhaltung<br />
→ Geschäftsvorfälle<br />
→ abschluss → Vortragen →<br />
ergebnisvortragskonto festlegen<br />
(transaktion OB53)<br />
für jeden verwendeten Konten-<br />
plan muss festgelegt werden,<br />
dass die Kontenfindung für das<br />
Vortragskonto nach erfolgskontentyp<br />
differenziert geschehen<br />
soll. zu jedem erfolgskontentyp<br />
muss das zugehörige ergebnis-<br />
Vortragskonto hinterlegt sein.<br />
(Stammdaten des erfolgskontos<br />
im Kontenplan (transaktion fSP0)<br />
Bericht rfSKPl00 (auswahl<br />
Sachkonten mit erfolgskontentyp)<br />
Bericht rfSaBl00 (änderungsanzeige<br />
Sachkonten)<br />
data Browser (transaktion Se16):<br />
tabelle t882 (ledgertabelle),<br />
Bukrs und ledger 00 (hauptbuch).<br />
im feld VtrhJ sehen Sie das<br />
höchste Geschäftsjahr, in das<br />
vorgetragen wurde.<br />
Saldovortragsprogramm:<br />
SaP easy access → rechnungswesen<br />
→ finanzwesen → hauptbuch<br />
→ Periodische arbeiten →<br />
abschluss → Vortragen<br />
(SaPfGVtr)<br />
rfBila00 report mit Berichtsart 4<br />
(eröffnungsbilanz):<br />
SaP easy access → rechnungswesen<br />
→ finanzwesen → hauptbuch<br />
→ infosystem → Bilanz/<br />
GuV/cash flow → allgemein →<br />
ist-/ist Vergleiche → Bilanz/GuV
iSiKO KOntrOlle teSt/Bericht<br />
9.2.8 Technische Abstimmung zwischen Verkehrszahlen und Belegen<br />
Buchungsperioden sind nicht<br />
ordnungsgemäß gepflegt und<br />
gefährden die zeitgerechte<br />
Buchung.<br />
technische differenzen<br />
gefährden die Konsistenz und<br />
integrität der Buchführungsdaten.<br />
abgebrochene Verbuchungen<br />
und nicht sachgemäß verarbeitete<br />
Schnittstellendaten gefährden<br />
die Vollständigkeit der<br />
Verarbeitung.<br />
die Buchungsperioden sind<br />
zeitnah gepflegt. nur der aktuelle<br />
und der folgemonat, ggf Sonder-<br />
perioden sind zum Buchen<br />
geöffnet; Buchungsperioden des<br />
alten Geschäftsjahres sind<br />
geschlossen<br />
abstimmungsreport durchführen<br />
abgebrochene Verbuchungen<br />
kontrollieren<br />
fehlerhafte Batch-input-mappen<br />
kontrollieren.<br />
Buchungsperioden: Bebuchbare<br />
zeiträume: transaktion OB52,<br />
alternativ data Browser (Se16)<br />
t001B<br />
technische abstimmung:<br />
SaP easy access → rechnungswesen<br />
→ finanzwesen →<br />
hauptbuch → Periodische<br />
arbeiten → abschluss →<br />
abstimmung<br />
(SaPf190 – enthält abstimmung<br />
Belege/Verkehrszahlen Stamm<br />
report SaPf070):<br />
report rfVBer00<br />
(liste abgebrochener Verbuchungen)<br />
transaktion Sm35 (Batch-inputmappe)<br />
kontrollieren auf nicht<br />
fertig abgespielte mappen<br />
Seite 167 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 168<br />
10 Bewertungsstrategien für Lagerbestand<br />
10.1 PrüfUnGSziele<br />
ziele riSiKO<br />
10.1.1 Bestandsdaten<br />
wareneingänge werden nur zu<br />
gültigen Bestellungen mit den<br />
richtigen Bewegungsarten erfasst<br />
die warenbestände weisen einen<br />
konsistenten Pflegestand auf<br />
die ausgewiesen Bestände sind zum<br />
Bilanzstichtag vorhanden<br />
Korrekter wertmäßiger ausweis des<br />
Vorratsvermögens<br />
Vollständiger ausweis der Bestände<br />
im hauptbuch<br />
Korrekter wertmäßiger ausweis des<br />
Vorratsvermögens<br />
der ausweis der Bestände im<br />
hauptbuch erfolgt vollständig<br />
der ausweis der Bestände erfolgt<br />
durch eine korrekte Kontenfindung<br />
richtig im hauptbuch<br />
der ausweis der Bestände erfolgt<br />
durch eine korrekte Kontenfindung<br />
richtig im hauptbuch<br />
der ausweis der Vorräte entspricht<br />
den geltenden Bilanzierungsvorschriften<br />
der ausweis der Vorräte entspricht<br />
den geltenden Bilanzierungsvorschriften<br />
zulässige Bewertung des lagerbestands<br />
(Umlaufvermögen)<br />
anforderungsgerechter zugriff auf die<br />
relevanten daten der Bestandsführung<br />
Korrekte Verbuchung auf dem we/<br />
re-Konto<br />
das we/re-Konto gleicht wareneingang<br />
und zugehörige rechnungen<br />
gegeneinander ab.<br />
wareneingänge werden fälschlicherweise mit den Bewegungsarten<br />
„warenzugang ohne Bestellung“ oder mit Bewegungsarten<br />
zu Umlagerungen erfasst.<br />
inkonsistenzen bei den Beständen (Beispiel wertmäßiger<br />
Bestand bei nullmengen Bestand)<br />
es werden nicht existente Bestände ausgewiesen<br />
falsche Vorratsbewertung durch einen falsch ermittelten<br />
gleitenden durchschnittspreis bei Verwendung von Schätzpreisen<br />
fehlerhafte einstellungen bei den systemseitig hinterlegten<br />
einstellungen zur inventur<br />
Kritische tatbestände im rahmen der inventur werden nicht<br />
erkannt<br />
die Bestände der Vorräte werden nicht vollständig/richtig im<br />
hauptbuch ausgewiesen<br />
fehlerhafte Kontenfindung führt zu einem falschausweis der<br />
warenbewegungen<br />
Unautorisierte änderungen an den einstellungen zur fixkontenfindung<br />
zum Jahresabschluss erfolgt für erfasste eingangsrechnungen,<br />
bei denen noch kein wareneingang erfolgt ist, keine aktivische<br />
abgrenzungsbuchung<br />
zum Jahresabschluss erfolgt für erfasste wareneingänge, bei<br />
denen noch kein rechnungseingang erfolgt ist, keine Buchung<br />
der rückstellung für ausstehende lieferantenrechnungen<br />
Unzulässige Bewertungen im zuge der anwendung des<br />
niederstwertprinzips<br />
zu weitgehende Berechtigungen im Bereich des Vorratsvermögens,<br />
welche gegen die funktionstrennung oder einhaltung des<br />
4-augenprinzips verstoßen.<br />
differenzen auf dem we/re-Konto können ihre Ursache in<br />
fehlerhaft ermittelten Preisen, in fehlenden (teil-) rechnungen<br />
bzw. (teil-) wareneingängen oder in fehlerhaft zugewiesenen<br />
Sachkonten haben.
10.2 PrüfUnGSdUrchführUnG<br />
riSiKO KOntrOlle teSt/Bericht<br />
10.2.1 Bestandsdaten<br />
wareneingänge werden<br />
fälschlicherweise mit den<br />
Bewegungsarten „warenzugang<br />
ohne Bestellung“ oder mit<br />
Bewegungsarten zu Umlagerungen<br />
erfasst.<br />
inkonsistenzen bei den Beständen<br />
(Beispiel wertmäßiger Bestand<br />
bei nullmengen Bestand)<br />
es werden nicht existente<br />
Bestände ausgewiesen<br />
falsche Vorratsbewertung durch<br />
einen falsch ermittelten<br />
gleitenden durchschnittspreis<br />
bei Verwendung von Schätzpreisen<br />
fehlerhafte einstellungen bei<br />
den systemseitig hinterlegten<br />
einstellungen zur inventur<br />
durchsicht der erfassten<br />
wareneingänge auf kritische<br />
Bewegungsarten<br />
automatisierter Konsistenzcheck<br />
über die Bestände<br />
aBc analyse über die Bestände<br />
die abweichungen bei den<br />
gleitenden durchschnittspreisen<br />
werden analysiert<br />
die einstellungen zur inventur<br />
sind angemessen<br />
transaktion mB51 auf Bewegungsarten<br />
501 oder 561<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva - aiS<br />
- Vorratsvermögen material<br />
- warenbewegungen und Belege<br />
- mB51 – materialbelegliste<br />
report rm07KO01<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva -<br />
aiS – Vorratsvermögen - Konsistenzprüfungen<br />
- mB5K -<br />
Konsistenzprüfung der Bestände<br />
Selektion in der tabelle mBew<br />
auf die wertmäßig höchsten<br />
Bestände, (alternativ Bestandsverzeichnis<br />
mit datenanalysesoftware)<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva -<br />
aiS – Vorratsvermögen - Konsistenzprüfungen<br />
- mB5K -<br />
Konsistenzprüfung der Bestände<br />
aiS report, Kaufmännisches<br />
audit - einzelabschluss - Bilanz<br />
- aktiva - aiS – Vorratsvermögen<br />
-hitlisten/Kennzahlen - cKmtOPPricedif<br />
- mat. mit höchster<br />
V-Preis-differenz<br />
customizing: transaktion,<br />
customizing Verbrauchsfolgeverfahren,<br />
transaktion SPrO,<br />
referenz-imG, materialwirtschaft<br />
Seite 169 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 170<br />
10 Bewertungsstrategien für Lagerbestand<br />
riSiKO KOntrOlle teSt/Bericht<br />
Kritische tatbestände im<br />
rahmen der inventur werden<br />
nicht erkannt<br />
die Bestände der Vorräte werden<br />
nicht vollständig/richtig im<br />
hauptbuch ausgewiesen<br />
fehlerhafte Kontenfindung führt<br />
zu einem falschausweis der<br />
warenbewegungen<br />
Unautorisierte änderungen an<br />
den einstellungen zur fixkontenfindung<br />
zum Jahresabschluss erfolgt für<br />
erfasste eingangsrechnungen,<br />
bei denen noch kein wareneingang<br />
erfolgt ist, keine aktivische<br />
abgrenzungsbuchung<br />
zum Jahresabschluss erfolgt für<br />
erfasste wareneingänge, bei<br />
denen noch kein rechnungseingang<br />
erfolgt ist, keine Buchung<br />
der rückstellung für ausstehende<br />
lieferantenrechnungen<br />
die erfassten inventurdifferenzen<br />
werden überprüft<br />
automatischer abstimmreport<br />
für die Bestände der materialwirtschaft<br />
zum hauptbuch<br />
es wird ein Konsistenzcheck<br />
über die Kontenfindung<br />
durchgeführt<br />
änderungen an den einstellungen<br />
zur Kontenfindung<br />
werden geprüft<br />
Kontrolle der korrekten<br />
Behandlung des we/re Kontos<br />
Kontrolle der korrekten<br />
Behandlung des we/re Kontos<br />
transaktion mi20<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva - aiS<br />
– Vorratsvermögen - inventur -<br />
inventur ohne platzgenaue<br />
Bestandsführung - mi20 -<br />
inventurdifferenzen<br />
report rm07mBSt<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva - aiS<br />
– Vorratsvermögen - Konsistenzprüfungen<br />
- mB5l - Bestandswertliste:<br />
Saldendarstellung<br />
report rm07c030<br />
änderungshistorie der tabellen<br />
zur fixkontenfindung rStBhiSt<br />
für t030*<br />
(Voraussetzung tabellenprotokol-<br />
lierung über rec/client ist aktiviert)<br />
transaktionen f.10 und fS10n<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva -<br />
aiS – Vorratsvermögen - Konsistenzprüfungen<br />
- mB5l -<br />
Bestandswertliste: Saldendar-<br />
stellung<br />
f.10 und fS10n<br />
Kaufmännisches audit - einzelabschluss<br />
- Bilanz - aktiva -<br />
aiS – Vorratsvermögen - Konsistenzprüfungen<br />
- S_P6B_12000135<br />
- we/re-Saldenliste
iSiKO KOntrOlle teSt/Bericht<br />
Unzulässige Bewertungen im<br />
zuge der anwendung des<br />
niederstwertprinzips<br />
zu weitgehende Berechtigungen<br />
im Bereich des Vorratsvermögens,<br />
welche gegen die funktionstrennung<br />
oder einhaltung des<br />
4-augenprinzips verstoßen<br />
differenzen auf dem we /<br />
re-Konto können ihre Ursache<br />
in fehlerhaft ermittelten Preisen,<br />
in fehlenden (teil-) rechnungen<br />
bzw. (teil-) wareneingängen oder<br />
in fehlerhaft zugewiesenen<br />
Sachkonten haben.<br />
nur sinnvolle/zulässige Preise<br />
werden bei der niederstwertermittlung<br />
berücksichtigt<br />
anforderungsgerechte Vergabe<br />
der relevanten Berechtigungen<br />
> anlegen und Pflege material-<br />
stammsätze<br />
> Buchen von inventurdifferenzen<br />
> Buchen von warenbewegungen<br />
…<br />
Prüfung der Buchungen auf dem<br />
we/re-Verrechnungskonten,<br />
insbe-sondere manuelle<br />
ausbuchungen<br />
report rmniwe00 (transaktion<br />
mrn0), zusätzlich rmniwe80<br />
und rmniwe90<br />
transaktion SUim<br />
Systemaudit - infosystem<br />
Benutzer & Berechtigungen<br />
reports rfwere00 analyse der<br />
we/re-Verrechnungskonten<br />
rOOlmB14 manuelle Kontierung<br />
auf warenbewegungen<br />
Seite 171 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 172<br />
11 Bewertung mit Istkalkulation und<br />
Transferpreisen<br />
11.1 PrüfUnGSziele<br />
ziele riSiKO<br />
11.1.1 Ist-Kalkulation und Transferpreise<br />
Vergleichbarer wertansatz bei der<br />
lagerbestandsbewertung in allen<br />
werken<br />
die istherstellkosten müssen richtig<br />
ermittelt sein, damit die lagerbestandsbewertung<br />
den Buchhaltungsvorschriften<br />
bestimmter länder entspricht<br />
das materialledger ist richtig und<br />
zielgerecht eingestellt, damit die<br />
umfangreichen Berechnungen zur<br />
istherstellkostenermittlung richtig,<br />
komfortabel und nachvollziehbar ablaufen<br />
und die abweichungen folgerichtig<br />
ermittelt und verbucht werden<br />
die verrechneten Preisdifferenzen<br />
werden auf separaten Konten<br />
getrennt ausgewiesen<br />
realistische Standardpreise und<br />
Standardkosten sollen im System<br />
verwendet werden<br />
die ermittlung von Standardkosten,<br />
istherstellkosten erfolgt einheitlich im<br />
Konzern. die Kostenstrukturen und<br />
Kostenkomponenten werden<br />
einheitlich ermittelt<br />
11.2 PrüfUnGSdUrchführUnG<br />
nicht alle werke bewerten den Bestand gemäß istkalkulation.<br />
dies führt zu unterschiedlichen Verfahren zur wertansatzermittlung<br />
in den verschiedenen werken<br />
die tatsächlichen istherstellkosten werden unrichtig ermittelt<br />
Prinzipielle einstellungen im materialledger sind falsch<br />
die Kontenfindung für die Preisdifferenzen ist falsch eingestellt<br />
die istherstellkosten weichen sehr stark vom Standardpreis ab<br />
eine einheitliche Vorgabe im Konzern zur ermittlung der ist-<br />
herstellkosten fehlt, die definition erfolgt in den werken/<br />
tochtergesellschaften unterschiedlich<br />
riSiKO KOntrOlle teSt/Bericht<br />
11.2.1 Ist-Kalkulation und Transferpreise<br />
nicht alle werke bewerten den<br />
Bestand gemäß istkalkulation.<br />
dies führt zu unterschiedlichen<br />
Verfahren zur wertansatzermittlung<br />
in den verschiedenen werken.<br />
für alle werke ist das materialledger<br />
und die istkalkulation<br />
aktiviert<br />
imG → controlling → Produktkostencontrolling<br />
→ istkalkulation/<br />
materialledger → istkalkulation<br />
→ istkalkulation aktivieren →<br />
istkalkulation aktivieren
iSiKO KOntrOlle teSt/Bericht<br />
die tatsächlichen istherstellkosten<br />
werden unrichtig ermittelt<br />
Prinzipielle einstellungen im<br />
materialledger sind falsch<br />
die Kontenfindung für die<br />
Preisdifferenzen ist falsch<br />
eingestellt<br />
die istherstellkosten weichen<br />
sehr stark vom Standardpreis ab<br />
eine einheitliche Vorgabe im<br />
Konzern zur ermittlung der ist-<br />
herstellkosten fehlt, die<br />
definition erfolgt in den werken/<br />
tochtergesellschaften unterschiedlich<br />
die isttarife für die leistungsarten<br />
werden nicht berücksichtigt<br />
einstellungen des materialledgers<br />
und der istkalkulation<br />
prüfen<br />
Kontenfindung für die Vorgänge<br />
der istkalkulation prüfen<br />
Vergleich der periodischen<br />
Verrechnungspreise mit dem<br />
Standardpreis<br />
das customizing für die<br />
herstellkostenermittlung wird<br />
zentral im Konzern eingestellt. in<br />
allen werken ist die istkalkulation<br />
aktiv und alle werke benutzen<br />
die gleichen einstellungen<br />
controlling → Kostenstellenrechnung<br />
→ infosystem →<br />
Berichte zur Kostenstellenrechnung<br />
→ tarife: Prüfen, ob<br />
isttarife ermittelt wurden<br />
imG → controlling → Produktkostencontrolling<br />
→ istkalkulation/<br />
materialledger → istkalkulation<br />
→ istkalkulation aktivieren →<br />
istkalkulation aktivieren:<br />
leistungsfortschreibung prüfen<br />
rechnungswesen→ controlling<br />
→ Produktkostencontrolling →<br />
Kostenträgerrechnung → istkalkulation/material-ledger<br />
→<br />
Umfeld → customizing-einstellungen<br />
→ prüfen<br />
imG → materialwirtschaft →<br />
Bewertung und Kontierung →<br />
Kontenfindung → Kontenfindung<br />
ohne assistent → automatische<br />
Buchungen einstellen. Pop-up<br />
abbrechen und icon „Kontierung“<br />
drücken<br />
rechnungswesen → controlling<br />
→ Produktkostencontrolling →<br />
Kostenträgerrechnung → istkalkulation/material-ledger<br />
→ infosystem<br />
→ Objektliste → Preise<br />
und Bestandswerte<br />
imG → controlling → controlling<br />
allgemein → Parallele wertansätze/transferpreise<br />
führen →<br />
Grundeinstellungen → einstellungen<br />
für das material-<br />
ledger prüfen<br />
→ Bewertungskreise für das<br />
material-ledger aktivieren<br />
→ material-ledger-typen einem<br />
Bewertungskreis zuordnen<br />
Seite 173 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 174<br />
12 Verkauf einer Kundenauftragsfertigung<br />
12.1 PrüfUnGSziele<br />
ziele riSiKO<br />
12.1.1 Stammdaten und Customizing<br />
für Kundenaufträge, die leistungserstellungsprozesse<br />
zur folge haben,<br />
erfolgt ein befriedigendes controlling<br />
der bewertete Kundenauftragsbestand<br />
wird verwendet, um Verbräuche<br />
zeit- und sachgerecht zu buchen und<br />
Bestände richtig auszuweisen<br />
der Kundenauftragsbestand ist zulässig<br />
bewertet und entspricht des anforde-<br />
rungen des betreffenden landes bzw.<br />
rechnungslegungsvorschriften<br />
12.1.2 Durchführung/Belege<br />
Kundenaufträge werden nur von<br />
autorisierten mitarbeitern angelegt<br />
Kundenaufträge erhalten richtige<br />
Verkaufspreise. der auftragseingang<br />
wird richtig bewertet und ausgewiesen<br />
für die leistungserstellungsprozesse<br />
zu Kundenaufträgen werden die her-<br />
stellkosten ermittelt. diese werden in<br />
der regel als Preisuntergrenze<br />
betrachtet<br />
Kosten werden verursachungsgerecht<br />
gebucht<br />
Kosten werden verursachungsgerecht<br />
gebucht<br />
Kosten des Umsatzes werden zeitnah<br />
und verursachungsgerecht verbucht<br />
die Kundenauftragsposition ist kein Kostenträger<br />
die Kundenauftragsposition nutzt keinen bewerteten Kundenauftragsbestand<br />
die Bewertung des Kundenauftragsbestands ist falsch<br />
der Kundenauftrag wird von nicht berechtigten mitarbeitern<br />
angelegt<br />
der Kundenauftrag hat die falsche Preisfindung<br />
der Kundenauftrag wurde nicht vorkalkuliert<br />
Kosten der fertigung werden auf den Kundenauftrag gebucht<br />
Sondereinzelkosten des Vertriebs werden auf den fertigungsauftrag<br />
gebucht<br />
die lieferung an den Kunden führt nicht zu einer Belastung des<br />
Kundenauftrags
ziele riSiKO<br />
12.1.3 Ergebnisse/Auswertungen<br />
die Kundenaufträge werden in<br />
angemessener zeit bearbeitet,<br />
beliefert und abgeschlossen<br />
wert- und mengenmäßige Bestände<br />
sind zwischen logistik und<br />
rechnungswesen abgestimmt<br />
Kundenauftragsbestände werden im<br />
fi unter separaten Konten ausgewiesen<br />
12.2 PrüfUnGSdUrchführUnG<br />
aufträge werden nicht nach angemessener zeit beliefert und<br />
abgeschlossen.<br />
der ausweis der Bestände im Kundenauftragsbestand ist<br />
zwischen logistik und controlling nicht abgestimmt und zeigt<br />
unterschiedliche mengen oder werte<br />
die Kontenfindung für Kundenauftragsbestände ist nicht<br />
anforderungsgemäß ausgesteuert<br />
riSiKO KOntrOlle teSt/Bericht<br />
12.2.1 Stammdaten und Customizing<br />
die Kundenauftragsposition ist<br />
kein Kostenträger<br />
die Kundenauftragsposition nutzt<br />
keinen bewerteten Kundenauftragsbestand<br />
die Bewertung des Kundenauftragsbestands<br />
ist falsch<br />
im imG prüfen, ob für den<br />
Positionstyp des Kundenauftrags<br />
der Kontierungstyp „e“ gefunden<br />
wird<br />
die Kundenauftragsposition hin<br />
überprüfen, ob im Bild<br />
„Kontierung“ eine abrechnungsvorschrift<br />
eingetragen ist<br />
im imG prüfen, ob für den<br />
Positionstyp des Kundenauftrags<br />
der Kontierungstyp „e“ oder ein<br />
anderer gefunden wird, der<br />
einen Kundenauftragsbestand<br />
ermöglicht<br />
im imG prüfen, ob für den<br />
Positionstyp des Kundenauftrags<br />
eine Bedarfsklasse gefunden<br />
wird, die eine richtige Bewertungssteuerung<br />
des Kundenauftragsbestandes<br />
vorsieht<br />
imG → Kundenauftragsfertigung<br />
→ Steuerung der Bedarfsartenfindung<br />
…. → Bedarfsklasse<br />
prüfen<br />
Va03 → Kundenauftragsposition<br />
→ Kontierung: eingetragene<br />
abrechnungsvorschrift prüfen<br />
imG → Kundenauftragsfertigung<br />
→ Steuerung der Bedarfsartenfindung<br />
… → Bedarfsklasse<br />
prüfen<br />
Kontierungstyp prüfen<br />
imG → Kundenauftragsfertigung<br />
→ Steuerung der Bedarfsartenfindung<br />
… → Bedarfsklasse<br />
prüfen: eingestellte Bewertung<br />
prüfen<br />
Seite 175 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 176<br />
12 Verkauf einer Kundenauftragsfertigung<br />
riSiKO KOntrOlle teSt/Bericht<br />
12.2.2 Durchführung/Belege<br />
der Kundenauftrag wird von<br />
nicht berechtigten mitarbeitern<br />
angelegt<br />
der Kundenauftrag hat die<br />
falsche Preisfindung<br />
der Kundenauftrag wurde nicht<br />
vorkalkuliert<br />
Kosten der fertigung werden auf<br />
den Kundenauftrag gebucht<br />
Sondereinzelkosten des<br />
Vertriebs werden auf den<br />
fertigungsauftrag gebucht<br />
die lieferung an den Kunden<br />
führt nicht zu einer Belastung<br />
des Kundenauftrags<br />
im Kundenauftrag den erfasser<br />
nachschauen und seine<br />
Berechtigung prüfen<br />
in der Kundenauftragsposition<br />
die Preisfindung nachvollziehen<br />
alle Kundenauftragspositionen<br />
mit dem gleichen material<br />
auflisten und nach signifikanten<br />
Preisabweichungen hin prüfen<br />
im Kundenauftrag die Vorkalkulation<br />
prüfen<br />
im Bericht zum fertigungsauftrag<br />
die gebuchten Kosten<br />
analysieren<br />
im Bericht zum Kundenauftrag<br />
die gebuchten Kosten analysieren<br />
im Bericht zum Kundenauftrag<br />
die gebuchten Kosten analysieren<br />
alle Kundenauftragspositionen<br />
mit dem gleichen material<br />
auflisten und nach signifikanten<br />
Preisabweichungen hin prüfen<br />
Va03, erfasser nachschauen<br />
SU01 Berechtigung des<br />
erfassers prüfen<br />
Se16, USOBt<br />
rSUSr002<br />
Va03 → Kundenauftragsposition<br />
→ Konditionen<br />
infosystem controlling → Objektliste<br />
Va03 → Kundenauftragsposition<br />
→ Kalkulation anzeigen<br />
Kostenträgerrechnung →<br />
Kundenauftragsfertigung →<br />
detailberichte → Kundenauftrag<br />
mit zugeordneten fertigungsaufträgen:<br />
Bericht zum fertigungsauftrag<br />
aufrufen<br />
Kostenträgerrechnung →<br />
Kundenauftragsfertigung →<br />
detailberichte → Kundenauftrag<br />
mit zugeordneten fertigungsaufträgen:<br />
Bericht zur Kundenauftragsposition<br />
aufrufen<br />
Kostenträgerrechnung →<br />
Kundenauftragsfertigung →<br />
detailberichte → Kundenauftrag<br />
mit zugeordneten fertigungsaufträgen:<br />
Bericht zur Kundenauftragsposition<br />
aufrufen: die<br />
Kosten des Umsatzes müssen<br />
ausgewiesen werden
iSiKO KOntrOlle teSt/Bericht<br />
12.2.3 Ergebnisse/Auswertungen<br />
aufträge werden nicht nach<br />
angemessener zeit beliefert und<br />
abgeschlossen.<br />
der ausweis der Bestände im<br />
Kundenauftragsbestand ist<br />
zwischen logistik und controlling<br />
nicht abgestimmt und zeigen<br />
unterschiedliche mengen oder<br />
werte<br />
der ausweis der Bestände im<br />
Kundenauftragsbestand ist<br />
zwischen logistik und controlling<br />
nicht abgestimmt und zeigen<br />
unterschiedliche mengen oder<br />
werte<br />
die Kontenfindung für<br />
Kundenauftragsbestände ist<br />
nicht anforderungsgemäß<br />
ausgesteuert<br />
liste der rückständigen<br />
Kundenaufträge<br />
in der logistik und im controlling<br />
die Berichte für den bewerteten<br />
Sonderbestand vergleichen<br />
in der logistik und im controlling<br />
die Berichte für den bewerteten<br />
Sonderbestand vergleichen<br />
die Kontenfindung für<br />
Kundenauftragsbestände prüfen<br />
logistik → Vertrieb → Verkauf �<br />
infosystem → aufträge →<br />
anzeigen rückständige aufträge<br />
Kostenträgerrechnung →<br />
Kundenauftragsfertigung →<br />
detailberichte → Kundenauftrag<br />
mit zugeordneten fertigungsaufträgen:<br />
Bericht zur Kundenauftragsposition<br />
aufrufen und die<br />
mengen und werte der<br />
mittelbindung zeigen<br />
logistik → materialwirtschaft →<br />
auswertungen → bewerteter<br />
Sonderbestand: Bericht aus-<br />
führen und Kundenauftragsbestand<br />
„e“ mitselektieren<br />
Kostenträgerrechnung →<br />
Kundenauftragsfertigung →<br />
detailberichte → Kundenauftrag<br />
mit zugeordneten fertigungsaufträgen:<br />
Bericht zur Kundenauftragsposition<br />
aufrufen und die<br />
mengen und werte der<br />
mittelbindung zeigen<br />
logistik → materialwirtschaft →<br />
auswertungen → bewerteter<br />
Sonderbestand: Bericht<br />
ausführen und Kundenauftragsbestand<br />
„e“ mitselektieren<br />
mm03: materialstamm anzeigen:<br />
Sicht Buchhaltung: eintrag im<br />
feld „Bewertungsklasse<br />
Kundenauftragsbestand“ prüfen<br />
imG → materialwirtschaft →<br />
Bewertung und Kontierung →<br />
Kontenfindung → Kontenfindung<br />
ohne assistent → automatische<br />
Buchungen einstellen (Vorgänge<br />
GBB und BSX) (tcode: OByc)<br />
Seite 177 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 178<br />
13 Periodenabschluß im internen Rechnungswesen<br />
bei Kundenauftragsfertigung oder Dienstleistung<br />
13.1 PrüfUnGSziele<br />
ziele riSiKO<br />
13.1.1 Stammdaten und Customizing<br />
Gemeinkosten werden verursachungsgerecht<br />
auf Kostenträger<br />
weiterverrechnet<br />
die abweichungen der Kostenträger<br />
werden richtig und verursachungsgerecht<br />
ausgewiesen<br />
Kundenaufträge sind am ende der<br />
Periode richtig „abgegrenzt“, das heißt,<br />
erlöse, Kosten des Umsatzes,<br />
Bestände und rückstellungen werden<br />
periodengenau ermittelt<br />
Kundenaufträge sind am ende der<br />
Periode richtig „abgegrenzt“, das heißt,<br />
erlöse, Kosten des Umsatzes,<br />
Bestände und rückstellungen werden<br />
periodengenau ermittelt<br />
die erlöse, Kosten des Umsatzes,<br />
Bestände und rückstellungen werden<br />
auf die richtigen Konten gebucht<br />
13.1.2 Durchführung/Belege<br />
die erlöse, Kosten des Umsatzes,<br />
Bestände und rückstellungen werden<br />
periodengenau errechnet und<br />
gespeichert.<br />
die erlöse, Kosten des Umsatzes,<br />
Bestände und rückstellungen werden<br />
periodengenau in die finanzbuchhaltung,<br />
ergebnisrechnung und Profit<br />
center rechnung abgerechnet<br />
durch die Verwendung ungewöhnlich hoher Gemeinkostenzuschläge<br />
werden die herstellkosten bzw. die abweichungen auf<br />
den Kostenträgern verfälscht. die kann auswirkungen auf die<br />
wertansätze von Bilanz und GuV haben<br />
die Verwendung von periodengenauen tarifen bei den<br />
istbuchungen verrechnet die abweichung der Kostenstellen auf<br />
die Kostenträger weiter. die abweichungen der fertigung<br />
können dadurch erhöht oder konterkariert werden. eine liste<br />
der Kostenträger „nach Größe der abweichungen“ bringt nicht<br />
mehr die kritischen aufträge nach vorn<br />
erlöse, Kosten des Umsatzes, Bestände und rückstellungen<br />
werden falsch ermittelt bzw. sind nicht konform zu den<br />
Bestimmungen des betreffenden landes oder der rechnungslegungsvorschriften<br />
Bei den Beständen werden teile der Kosten als „nicht<br />
aktivierungsfähig“ behandelt<br />
die Bestände und rückstellungen werden auf falsche Konten<br />
der finanzbuchhaltung abgerechnet<br />
die werte für die Bestände und rückstellungen wurden nicht<br />
korrekt gespeichert und fehlen deshalb in übergreifenden<br />
Berichten und analysen<br />
die erlöse, Kosten des Umsatzes, Bestände und rückstellungen<br />
wurden nicht oder falsch abgerechnet
ziele riSiKO<br />
13.1.3 Ergebnisse/Auswertungen<br />
Kundenaufträge sind am ende der<br />
Periode richtig „abgegrenzt“, das<br />
heißt, erlöse, Kosten des Umsatzes,<br />
Bestände und rückstellungen werden<br />
periodengenau ermittelt<br />
Kundenaufträge werden in einem<br />
angemessen zeitraum bearbeitet und<br />
abgeschlossen<br />
13.2 PrüfUnGSdUrchführUnG<br />
Kundenaufträge, die logistisch bereits abgewickelt sind und für<br />
die weder weitere erlöse noch nachlaufkosten erwartet werden,<br />
bilden trotzdem noch Bestände oder rückstellungen<br />
aufträge sind in Verzug<br />
riSiKO KOntrOlle teSt/Bericht<br />
13.2.1 Stammdaten und Customizing<br />
durch die Verwendung<br />
ungewöhnlich hoher Gemeinkostenzuschläge<br />
werden die<br />
herstellkosten bzw. die abweich-<br />
ungen auf den Kostenträgern<br />
verfälscht. die kann auswirkungen<br />
auf die wertansätze von<br />
Bilanz und GuV haben<br />
die Verwendung von periodengenauen<br />
tarifen bei den<br />
istbuchungen verrechnet die<br />
abweichung der Kostenstellen<br />
auf die Kostenträger weiter. die<br />
abweichungen der fertigung<br />
können dadurch erhöht oder<br />
konterkariert werden. eine liste<br />
der Kostenträger „nach Größe<br />
der abweichungen“ bringt nicht<br />
mehr die kritischen aufträge<br />
nach vorn<br />
die Gemeinkostenzuschlagssätze<br />
müssen adäquat und in ihrer<br />
höhe begründbar sein.<br />
idealerweise sind sie verursachungsgerecht.<br />
welches zuschlagsschema?<br />
Von was hängen die Prozentsätze<br />
ab?<br />
wie hoch sind die Prozentsätze?<br />
was wird bezuschlagt?<br />
die Bewertungsvariante ist auf<br />
die verwendeten tarife der<br />
leistungsarten hin zu überprüfen<br />
- Kalkulationsvariante<br />
analysieren, besonders die<br />
Bewertungsvariante<br />
- auftragsbericht aufrufen,<br />
leistungstarif prüfen<br />
imG → controlling → Produktkosten-controlling<br />
→ Kostenträgerrechnung<br />
→ Kundenauftrags-controlling<br />
→ Grundeinstellungen<br />
für das<br />
Kundenauftrags-controlling →<br />
Gemeinkostenzuschläge →<br />
Kalkulationsschemata definieren<br />
imG → controlling → Produktkosten-controlling<br />
→ Kostenträgerrechnung<br />
→ Kundenauftragscontrolling<br />
→ Vorkalkulation und<br />
auftragsstücklistenkalkulation<br />
→ erzeugniskalkulation zu<br />
Kundenauftragsposition/<br />
auftragsstückliste → Kalkulationsvarianten<br />
für die erzeugniskalkulation<br />
überprüfen (OKy9)<br />
controlling → Kostenträgerrechnung<br />
→ Kundenauftragsfertigung<br />
→ infosystem→ Berichte zum<br />
Kundenauftrags-controlling →<br />
detailberichte → Kundenauftrag<br />
mit zugeordneten fertigungsaufträgen:<br />
Bericht zum fertigungsauftrag<br />
aufrufen<br />
Seite 179 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 180<br />
13 Periodenabschluß im internen Rechnungswesen<br />
bei Kundenauftragsfertigung oder Dienstleistung<br />
riSiKO KOntrOlle teSt/Bericht<br />
erlöse, Kosten des Umsatzes,<br />
Bestände und rückstellungen<br />
werden falsch ermittelt bzw. sind<br />
nicht konform zu den Bestimmungen<br />
des betreffenden<br />
landes oder der rechnungslegungsvorschriften<br />
Bei den Beständen werden teile<br />
der Kosten als „nicht aktivierungsfähig“<br />
behandelt<br />
die Bestände und rückstellungen<br />
werden auf falsche<br />
Konten der finanzbuchhaltung<br />
abgerechnet<br />
13.2.2 Durchführung/Belege<br />
die werte für die Bestände und<br />
rückstellungen wurden nicht<br />
korrekt gespeichert und fehlen<br />
deshalb in übergreifenden<br />
Berichten und analysen<br />
die einstellungen zur automatischen<br />
Berechnung der erlöse,<br />
der Kosten des Umsatzes, der<br />
Bestände und der rückstellungen<br />
ist zu prüfen und stichprobenweise<br />
nachzurechnen<br />
Bewertungsmethode<br />
die einstellungen zur automatischen<br />
Berechnung der erlöse,<br />
der Kosten des Umsatzes, der<br />
Bestände und der rückstellungen<br />
ist zu prüfen und stichprobenweise<br />
nachzurechnen<br />
ergebnisermittlung in der<br />
zuordnungstabelle prüfen: wie<br />
werden die Bestände kategorisiert<br />
und dementsprechend<br />
behandelt?<br />
die Kontenfindung zur Buchung<br />
der abgrenzungswerte ist richtig<br />
eingestellt<br />
Buchungsregeltabelle prüfen<br />
die ergebnisse der ergebnisermittlung<br />
sind im Berichtswesen<br />
zu prüfen<br />
> Berichte für die Kostenträger<br />
aufrufen<br />
> Verdichtungen für die Kosten-<br />
träger erstellen und die Summen<br />
prüfen<br />
imG → controlling → Produktkosten-controlling<br />
→ Kostenträgerrechnung<br />
→ Kundenauftragscontrolling<br />
→ Periodenabschluß<br />
→ ergebnisermittlung → Bewertungsmethoden<br />
für ergebnisermittlung<br />
festlegen (OKG3)<br />
imG → controlling → Produktkosten-controlling<br />
→ Kostenträgerrechnung<br />
→ Kundenauftragscontrolling<br />
→ Periodenabschluß<br />
→ ergebnisermittlung → zuordnung<br />
für ergebnisermittlung<br />
festlegen (OKG5)<br />
imG → controlling → Produktkosten-controlling<br />
→ Kostenträgerrechnung<br />
→ Kundenauftragscontrolling<br />
→ Periodenabschluß<br />
→ ergebnisermittlung →<br />
Buchungsregeln für abrechnung<br />
an fi festlegen<br />
controlling → Kostenträgerrechnung<br />
→ Kundenauftragsfertigung<br />
→ infosystem → Berichte<br />
zum Kundenauftrags-controlling<br />
→ detailberichte → Kundenauftrag<br />
mit zugeordneten<br />
fertigungsaufträgen: Bericht<br />
zum Kundenauftrag aufrufen<br />
auf layout „abgrenzung“<br />
schalten
iSiKO KOntrOlle teSt/Bericht<br />
die erlöse, Kosten des<br />
Umsatzes, Bestände und<br />
rückstellungen wurden nicht<br />
oder falsch abgerechnet<br />
13.2.3 Ergebnisse/Auswertungen<br />
Kundenaufträge, die logistisch<br />
bereits abgewickelt sind und für<br />
die weder weitere erlöse noch<br />
nachlaufkosten erwartet werden,<br />
bilden trotzdem noch Bestände<br />
oder rückstellungen<br />
aufträge sind in Verzug<br />
die erlöse, Kosten des Umsatzes,<br />
Bestände und rückstellungen<br />
müssen ordnungsgemäß in die<br />
finanzbuchhaltung, die ergebnisrechnung<br />
und die Profit center<br />
rechnung weiterverrechnet<br />
worden sein<br />
abrechnungsbelege prüfen. Von<br />
dort die rechnungswesenbelege<br />
prüfen<br />
die Kundenaufträge nach Status<br />
selektieren und prüfen, ob alte<br />
aufträge noch nicht den Status<br />
„technisch abgeschlossen“ und<br />
„endfakturiert“ haben<br />
> auftragsselektion nach Status<br />
> altersstruktur der selektierten<br />
aufträge analysieren und Ur-<br />
sachen erforschen, warum<br />
„alte“ aufträge noch nicht<br />
abgeschlossen sind<br />
die Kundenaufträge im Verzug<br />
auflisten und die Gründe prüfen<br />
controlling → Kostenträgerrechnung<br />
→ Kundenauftragsfertigung<br />
→ Periodenabschluß →<br />
einzelfunktionen → abrechnung<br />
bisherige abrechnungen →<br />
Umfeld → rechnungswesenbelege<br />
controlling → Kostenträgerrechnung<br />
→ Kundenauftragsfertigung<br />
→ infosystem → Berichte<br />
zum Kundenauftrags-controlling<br />
→ Objektliste → Kundenauftragsselektion<br />
auf layout „/abgrenzung“<br />
umschalten<br />
datum einblenden und nach<br />
datum sortieren<br />
aiS → Kaufmännisches audit –<br />
einzelabschluß → G.u.V. –> aiS<br />
– Umsatzerlöse → Verkaufsbelege<br />
→ anzeige rückständige<br />
aufträge<br />
Seite 181 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Seite 182<br />
14 Funktionstrennung<br />
14.1 zielSetzUnG<br />
zur erreichung einer ausreichenden Sicherheit, auch im Sinne eines internen Kontrollsystems zur erfüllung<br />
der erfordernisse der GoB, sind bestimmte funktionstrennungen erforderlich.<br />
Bei kleinen Unternehmen ist dies jedoch organisatorisch oft nicht realisierbar. deshalb sind hier zur<br />
erreichung eines ausreichenden Sicherheitsstandards besondere - individuell konzipierte - überprüfungen<br />
der Stammdatenänderungen erforderlich. Bei größeren Unternehmen können diese Prüfungen jedoch nicht<br />
die durchgehende funktionstrennung ersetzen.<br />
14.1.1 anfOrderUnGen<br />
eindeutig festgelegte zuständigkeiten/Berechtigungen hinsichtlich der Stammdatenverwaltung.<br />
funktionstrennung in angemessener form zwischen edV und fachabteilung einerseits sowie zwischen<br />
Stammdatenpflege und Buchungstätigkeit jeder art andererseits.<br />
14.1.2 riSiKen<br />
durch ein unzureichendes internes Kontrollsystem für die überwachung von Stammdatenänderungen<br />
können sowohl die Ordnungsmäßigkeit als auch die datensicherheit beeinträchtigt werden. So können z.B.<br />
bei mangelnder Sicherheit des zahlungsverkehrs (Stammdatenpflege) auch Vermögensschäden auftreten.<br />
14.2 PrüfUnGen VOn KritiSchen BerechtiGUnGSKOmBinatiOnen<br />
im Bereich finanzBUchhaltUnG<br />
a) Kreditoren Stammdaten (anlegen)<br />
1) f_lfa1_aPP ( 01 / f )<br />
2) f_lfa1_BUK ( BUKr / 01 )<br />
3) f_lfa1_Gen ( 01 )<br />
4) S_tcOde ( fK01 Or XK01 )<br />
b) Kreditoren Stammdaten inkl. Bankdaten (ändern)<br />
1) f_lfa1_aen ( 01 )<br />
2) f_lfa1_aPP ( 02 / f )<br />
3) f_lfa1_BUK ( BUKr / 02 )<br />
4) f_lfa1_Gen ( 02 )<br />
5) S_tcOde ( fK02 Or XK02 )<br />
c) Kreditoren Buchungen (z.B. rechnungen)<br />
1) f_BKPf_BUK ( BUKr / 01 )<br />
2) f_BKPf_KOa ( K / 01 )<br />
3) S_tcOde ( fB60 Or fB65 )<br />
d) Kreditoren zahlungen<br />
1) f_reGU_BUK ( BUKr / 21 )<br />
2) f_reGU_KOa ( K / 21 )<br />
3) S_tcOde ( f110 )<br />
e) debitoren Stammdaten (anlegen)<br />
1) f_Kna1_aPP ( 01 / f )<br />
2) f_Kna1_BUK ( BUKr / 01 )<br />
3) f_Kna1_Gen ( 01 )<br />
4) S_tcOde ( fd01 Or Xd01 )
f) debitoren Stammdaten inkl. Bankdaten (ändern)<br />
1) f_Kna1_aen ( 03 )<br />
2) f_Kna1_aPP ( 02 / f )<br />
3) f_Kna1_BUK ( BUKr / 02 )<br />
4) f_Kna1_Gen ( 02 )<br />
5) S_tcOde ( fd02 Or Xd02 )<br />
g) debitoren Buchungen (z.B. Gutschriften)<br />
1) f_BKPf_BUK ( BUKr / 01 )<br />
2) f_BKPf_KOa ( d / 01 )<br />
3) S_tcOde ( fB70 Or fB75 )<br />
h) debitoren zahlungen<br />
1) f_reGU_BUK ( BUKr / 21 )<br />
2) f_reGU_KOa ( d / 21 )<br />
3) S_tcOde ( f110 )<br />
14.3 PrüfUnGen VOn KritiSchen BerechtiGUnGSKOmBinatiOnen<br />
im Bereich materialwirtSchaft<br />
a) wareneingang zur Bestellung (anlegen/ändern)<br />
1) m_mSeG_Bwe ( 01 Or 02 / 101 )<br />
2) m_mSeG_wwe ( 01 Or 02 / wrK )<br />
3) S_tcOde ( miGO Or miGO_Gr )<br />
b) rechnungsprüfung (anlegen/ändern)<br />
1) m_rech_BUK ( BUKr / 01 Or 02 )<br />
2) m_rech_wrK ( wrK / 01 Or 02 )<br />
3) S_tcOde ( mirO )<br />
c) einkaufsinfosätze anlegen/bearbeiten<br />
1) m_einf_eKO ( 01 Or 02 / eKO )<br />
2) m_einf_wrK ( 01 Or 02 / wrK )<br />
3) S_tcOde ( me11 Or me12 )<br />
d) materialstamm anlegen<br />
1) m_mate_neU ( * )<br />
2) m_mate_Sta ( 01 )<br />
3) m_mate_wrK ( 01 / wrK )<br />
4) S_tcOde ( mm01 )<br />
Seite 183 <strong>Prüfleitfaden</strong> SaP erP <strong>6.0</strong>, teil 2, Stand märz 2009, © dSaG e. V.
Copyright © 2009 <strong>DSAG</strong> e.V.<br />
Alle Rechte vorbehalten.<br />
namen von Produkten und Dienstleistungen sind marken der jeweiligen Firmen.<br />
Deutschsprachige <strong>SAP</strong> ® Anwendergruppe e.V.<br />
Altrottstraße 34 a<br />
69190 Walldorf<br />
Deutschland<br />
Fon: +49 (0) 62 27 – 358 09 58<br />
Fax: +49 (0) 62 27 – 358 09 59<br />
E-mail: info@dsag.de<br />
internet: www.dsag.de