Information und Bildungsarbeit von und für die SAP-Community
MAG 21-12, Wirtschaft

Nach der Prüfung ist vor der Prüfung

Alle Jahre wieder, das ist jedem SAP- und Security-Verantwortlichen klar, steht das Wirtschaftsprüfer-Audit an. Und trotzdem herrscht dann oft Unsicherheit über die aktuelle Risikosituation der SAP-Systeme.
SAST SOLUTIONS
17. Februar 2022
Inhalt:
avatar

SAP-Berechtigungskonzepte sind ständigen Veränderungen unterworfen. Gerade deshalb werden Berechtigungen wie „SAP_ALL“ oder die Absicherung der SAP-Standard-User, aber auch SoD-Risiken (Segregation of Duties) von den Wirtschaftsprüfern jedes Jahr aufs Neue geprüft. Die Liste der notwendigen Maßnahmen ist lang, vom Einspielen der Sicherheits-Patches bis hin zur Kontrolle und Reduzierung kritischer Berechtigungen.

Oft werden dann kurzfristig Security-Spezialisten wie Sast Solutions beauftragt, sicherzustellen, dass die Finding-Liste des letztjährigen Wirtschaftsprüfer-Audits
gründlich abgearbeitet wurde und dass seit der Bereinigung keine gravierenden Risiken hinzukamen, ob Debug und Replace, Löschen von Änderungsbelegen oder Start aller Reports bei einzelnen kritischen Berechtigungen. Ein Grund für diese Ad-hoc-Beauftragungen ist, dass aufgrund Ressourcenmangels zwischenzeitlich keine Nachprüfung der Bereinigungen nach dem vorhergehenden Audit erfolgte.

Beschränkt man sich auf dieses reaktive Vorgehen, ist der alljährliche Kreislauf programmiert. Sind alle alten Findings gerade noch vor der nächsten Wirtschaftsprüfung eliminiert oder mitigiert, wird der Wirtschaftsprüfer nicht nur diese testen, sondern natürlich auch weitere Prüfungen durchführen, eine erneute Finding-Liste erstellen – und das Spiel beginnt von Neuem.

Um kurzfristig Schaden abzuwenden, ist eine zeitpunktbezogene Aktion daher zwar notwendig, aber nicht zukunftsträchtig. Der Compliance-Status des Systems verschlechtert sich sofort wieder durch Zuweisung neuer Berechtigungen, ein Wiedereinschleichen wird nicht proaktiv verhindert. Neue Risiken werden im Jahresverlauf oft nicht erkannt, sondern erst, wenn das nächste Audit ansteht. Es wird also weder kontinuierlich an der Verbesserung der Situation gearbeitet, noch findet eine permanente Risikokontrolle statt. Denn jedes Audit stellt lediglich eine Momentaufnahme dar. Eine Finding-Liste zeigt immer nur einen kleinen Ausschnitt der Risiken in einem SAP-System.

Die Lösung für dieses Problem ist dabei relativ einfach: nicht bis zum nächsten Audit warten, sondern sich jetzt eigene Schwachstellen bewusst machen. Nur so bleibt die Sicherheit der SAP-Systeme ganzjährig gewährleistet und eine schnelle Reaktionsfähigkeit bei Anomalien erhalten. Der einfachste und gründlichste Weg dazu ist der Einsatz einer toolgestützten, ganzheitlichen Lösung für SAP Threat Detection und Access Governance wie der Sast Suite. Diese übernimmt nicht nur eine umfassende Echtzeitüberwachung, sondern auch die Integration von zyklischen Prüfungen bis hin zum Erstellen eines Auditplans mit eigener Policy für die Finding-Liste des Wirtschaftsprüfers.

https://e3mag.com/partners/sast-solutions-ag/
avatar
SAST SOLUTIONS

Das SAST SOLUTIONS-Portfolio schützt SAP ERP- und S/4HANA-Systeme – dank eigenentwickelter Software Suite, Consulting-Leistungen und Managed Services


Alle Artikel des Autors

Schreibe einen Kommentar

Christian Klein bleibt noch in SAP

Cognigy und Infinit.CX verkünden Partnerschaft

No-Name-Kolumne

SAP-Stammtisch

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren. Alle Informationen zum Event finden Sie hier:

SAP Competence Center Summit 2024

Veranstaltungsort

Eventraum, FourSide Hotel Salzburg,
Am Messezentrum 2,
A-5020 Salzburg

Veranstaltungsdatum

5. und 6. Juni 2024

Reguläres Ticket:

€ 590 exkl. USt.

Veranstaltungsort

Eventraum, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Veranstaltungsdatum

28. und 29. Februar 2024

Tickets

Regular Ticket
EUR 590 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2024, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.