Information et éducation par et pour la communauté SAP

Forensische Datenanalyse in SAP

SAP ist eine tabellengesteuerte Applikation. Die Inhalte dieser Tabellen sind der Ausgangspunkt für forensische Datenanalysen im SAP-System. Im Folgenden sollen einige Grundsätze und Tools der forensischen Datenanalyse vorgestellt werden.
Marcus Herold, IBS Schreiber
9 novembre 2017
Sécurité informatique
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Wenn Datenanalysen durch Einsatz von Transaktionen und Reports durchgeführt werden, arbeitet man bereits auf von SAP verarbeiteten Daten. In dieser Verarbeitung können Fehler passieren. Um dies auszuschließen, sollte auf den Tabellen der Rohdaten analytisch gearbeitet werden.

Dieser Ansatz wird mit SPOT (Single point of truth) bezeichnet. Transaktionen und Reports liefern häufig aggregierte Werte – es entsteht Informationsverlust. In Datenanalysen ist es aber sinnvoll, auf den einzelnen Datensätzen zu arbeiten.

Durch Auswahl und Verknüpfen der richtigen Tabellen kann ein Geschäftsprozess datenanalytisch vollständig abgebildet und nach vielfältigen Aspekten analysiert werden (z. B. Verletzung von Funktionstrennungen, betrügerische Handlungen).

Beispielsweise sind die vollständigen Beleg- und Zahllaufinformationen der Finanzbuchhaltung in fünf (BKPF, BSEG, BSEC, REGUH und REGUP), die wesentlichen Prozessschritte im Einkauf in acht Tabellen (EBAN, EKKO, EKPO, MKPF, MSEG, RBKP, RSEG sowie EKBE) abgespeichert.

Die größte Hürde beim tabellenorientierten Prüfen ist die Ermittlung der Tabellen mit den gewünschten Informationen und wie diese untereinander verknüpft sind. Hier stellt SAP aber zahlreiche Hilfsmittel zur Verfügung, beispielsweise die logischen Datenbanken (Transaktion SLDB), in denen prozessbezogen Tabellen mit ihren Verknüpfungen zusammengefasst sind.

In der logischen Datenbank BRF sind z. B. alle wichtigen Informationen zum Beleggeschehen der Finanzbuchhaltung zusammengefasst. Für die Verknüpfung der Tabellen stellt SAP einige Werkzeuge bereit. Mit den Transaktionen SE16H (erweiterte Tabellenanzeige), SQVI (QuickViewer) oder SQ01-SQ03 (Queries) können Tabellen innerhalb von SAP miteinander verknüpft werden.

Daten eigenhändig exportieren

Für umfangreichere Analysen ist es erforderlich, die erforderlichen Daten aus dem SAP-System mit externen Tools zu exportieren. Dieser Export sollte eigenhändig durchgeführt werden, um sicherzugehen, dass der Export fehler- und manipulationsfrei durchgeführt wurde.

Veränderungen über die Zeit analysieren

In der forensischen Datenanalyse spielt die Analyse der zeitlichen Veränderungen der Daten eine große Rolle. Wird nur stichtagsbezogen analysiert, können nur Aussagen zum Stichtag gemacht werden.

Besonders bei betrügerischen Handlungen wird der Täter versuchen, die Spuren seiner betrügerischen Handlungen nach ihrer Ausführung zu beseitigen. Diese Vertuschungsaktionen hinterlassen aber Spuren in den Protokollen des SAP-Systems.

Werden Veränderungen im Customizing des SAP-Systems vorgenommen, so werden diese in den Tabellenänderungsprotokollen aufgezeichnet. Änderungen an den Stamm- und Bewegungsdaten werden in den Änderungsbelegen protokolliert.

Die Tabellenänderungen werden in der Tabelle DBTABLOG gespeichert und können mit der Transaktion SCU3 ausgewertet werden. Die Änderungsbelege werden in den beiden Tabellen CDHDR (wer hat wann mit welcher Transaktion eine Änderung durchgeführt) und CDPOS (an welchem Tabellenfeld wurde die Änderung durchgeführt und wie war der Feldinhalt vor und nach der Änderung) gespeichert.

Um sich nur bestimmte Arten von Änderungen anzeigen zu lassen, kann man nach dem Änderungsbelegobjekt filtern. Möchte man sich z. B. nur die Änderungen an den Kreditorenstammdaten anzeigen lassen, so filtert man nach Änderungsbelegobjekt KRED.

Um die Zuverlässigkeit der Protokollierungen sicherzustellen, muss aber sichergestellt werden, dass diese richtig konfiguriert wurden und dass kein Benutzer Berechtigungen besitzt, Protokollierungseinstellungen und -einträge zu manipulieren.

avatar
Marcus Herold, IBS Schreiber

Marcus Herold ist Leiter des Bereiches Data Science bei IBS Schreiber.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.