Information und Bildungsarbeit von und für die SAP-Community

Forensische Datenanalyse in SAP

SAP ist eine tabellengesteuerte Applikation. Die Inhalte dieser Tabellen sind der Ausgangspunkt für forensische Datenanalysen im SAP-System. Im Folgenden sollen einige Grundsätze und Tools der forensischen Datenanalyse vorgestellt werden.
Marcus Herold, IBS Schreiber
9. November 2017
It-Security
avatar

Wenn Datenanalysen durch Einsatz von Transaktionen und Reports durchgeführt werden, arbeitet man bereits auf von SAP verarbeiteten Daten. In dieser Verarbeitung können Fehler passieren. Um dies auszuschließen, sollte auf den Tabellen der Rohdaten analytisch gearbeitet werden.

Dieser Ansatz wird mit SPOT (Single point of truth) bezeichnet. Transaktionen und Reports liefern häufig aggregierte Werte – es entsteht Informationsverlust. In Datenanalysen ist es aber sinnvoll, auf den einzelnen Datensätzen zu arbeiten.

Durch Auswahl und Verknüpfen der richtigen Tabellen kann ein Geschäftsprozess datenanalytisch vollständig abgebildet und nach vielfältigen Aspekten analysiert werden (z. B. Verletzung von Funktionstrennungen, betrügerische Handlungen).

Beispielsweise sind die vollständigen Beleg- und Zahllaufinformationen der Finanzbuchhaltung in fünf (BKPF, BSEG, BSEC, REGUH und REGUP), die wesentlichen Prozessschritte im Einkauf in acht Tabellen (EBAN, EKKO, EKPO, MKPF, MSEG, RBKP, RSEG sowie EKBE) abgespeichert.

Die größte Hürde beim tabellenorientierten Prüfen ist die Ermittlung der Tabellen mit den gewünschten Informationen und wie diese untereinander verknüpft sind. Hier stellt SAP aber zahlreiche Hilfsmittel zur Verfügung, beispielsweise die logischen Datenbanken (Transaktion SLDB), in denen prozessbezogen Tabellen mit ihren Verknüpfungen zusammengefasst sind.

In der logischen Datenbank BRF sind z. B. alle wichtigen Informationen zum Beleggeschehen der Finanzbuchhaltung zusammengefasst. Für die Verknüpfung der Tabellen stellt SAP einige Werkzeuge bereit. Mit den Transaktionen SE16H (erweiterte Tabellenanzeige), SQVI (QuickViewer) oder SQ01-SQ03 (Queries) können Tabellen innerhalb von SAP miteinander verknüpft werden.

Daten eigenhändig exportieren

Für umfangreichere Analysen ist es erforderlich, die erforderlichen Daten aus dem SAP-System mit externen Tools zu exportieren. Dieser Export sollte eigenhändig durchgeführt werden, um sicherzugehen, dass der Export fehler- und manipulationsfrei durchgeführt wurde.

Veränderungen über die Zeit analysieren

In der forensischen Datenanalyse spielt die Analyse der zeitlichen Veränderungen der Daten eine große Rolle. Wird nur stichtagsbezogen analysiert, können nur Aussagen zum Stichtag gemacht werden.

Besonders bei betrügerischen Handlungen wird der Täter versuchen, die Spuren seiner betrügerischen Handlungen nach ihrer Ausführung zu beseitigen. Diese Vertuschungsaktionen hinterlassen aber Spuren in den Protokollen des SAP-Systems.

Werden Veränderungen im Customizing des SAP-Systems vorgenommen, so werden diese in den Tabellenänderungsprotokollen aufgezeichnet. Änderungen an den Stamm- und Bewegungsdaten werden in den Änderungsbelegen protokolliert.

Die Tabellenänderungen werden in der Tabelle DBTABLOG gespeichert und können mit der Transaktion SCU3 ausgewertet werden. Die Änderungsbelege werden in den beiden Tabellen CDHDR (wer hat wann mit welcher Transaktion eine Änderung durchgeführt) und CDPOS (an welchem Tabellenfeld wurde die Änderung durchgeführt und wie war der Feldinhalt vor und nach der Änderung) gespeichert.

Um sich nur bestimmte Arten von Änderungen anzeigen zu lassen, kann man nach dem Änderungsbelegobjekt filtern. Möchte man sich z. B. nur die Änderungen an den Kreditorenstammdaten anzeigen lassen, so filtert man nach Änderungsbelegobjekt KRED.

Um die Zuverlässigkeit der Protokollierungen sicherzustellen, muss aber sichergestellt werden, dass diese richtig konfiguriert wurden und dass kein Benutzer Berechtigungen besitzt, Protokollierungseinstellungen und -einträge zu manipulieren.

avatar
Marcus Herold, IBS Schreiber

Marcus Herold ist Leiter des Bereiches Data Science bei IBS Schreiber.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.