Forensische Datenanalyse in SAP

Wenn Datenanalysen durch Einsatz von Transaktionen und Reports durchgeführt werden, arbeitet man bereits auf von SAP verarbeiteten Daten. In dieser Verarbeitung können Fehler passieren. Um dies auszuschließen, sollte auf den Tabellen der Rohdaten analytisch gearbeitet werden.

Dieser Ansatz wird mit SPOT (Single point of truth) bezeichnet. Transaktionen und Reports liefern häufig aggregierte Werte – es entsteht Informationsverlust. In Datenanalysen ist es aber sinnvoll, auf den einzelnen Datensätzen zu arbeiten.

Durch Auswahl und Verknüpfen der richtigen Tabellen kann ein Geschäftsprozess datenanalytisch vollständig abgebildet und nach vielfältigen Aspekten analysiert werden (z. B. Verletzung von Funktionstrennungen, betrügerische Handlungen).

Beispielsweise sind die vollständigen Beleg- und Zahllaufinformationen der Finanzbuchhaltung in fünf (BKPF, BSEG, BSEC, REGUH und REGUP), die wesentlichen Prozessschritte im Einkauf in acht Tabellen (EBAN, EKKO, EKPO, MKPF, MSEG, RBKP, RSEG sowie EKBE) abgespeichert.

Die größte Hürde beim tabellenorientierten Prüfen ist die Ermittlung der Tabellen mit den gewünschten Informationen und wie diese untereinander verknüpft sind. Hier stellt SAP aber zahlreiche Hilfsmittel zur Verfügung, beispielsweise die logischen Datenbanken (Transaktion SLDB), in denen prozessbezogen Tabellen mit ihren Verknüpfungen zusammengefasst sind.

In der logischen Datenbank BRF sind z. B. alle wichtigen Informationen zum Beleggeschehen der Finanzbuchhaltung zusammengefasst. Für die Verknüpfung der Tabellen stellt SAP einige Werkzeuge bereit. Mit den Transaktionen SE16H (erweiterte Tabellenanzeige), SQVI (QuickViewer) oder SQ01-SQ03 (Queries) können Tabellen innerhalb von SAP miteinander verknüpft werden.

Daten eigenhändig exportieren

Für umfangreichere Analysen ist es erforderlich, die erforderlichen Daten aus dem SAP-System mit externen Tools zu exportieren. Dieser Export sollte eigenhändig durchgeführt werden, um sicherzugehen, dass der Export fehler- und manipulationsfrei durchgeführt wurde.

Veränderungen über die Zeit analysieren

In der forensischen Datenanalyse spielt die Analyse der zeitlichen Veränderungen der Daten eine große Rolle. Wird nur stichtagsbezogen analysiert, können nur Aussagen zum Stichtag gemacht werden.

Besonders bei betrügerischen Handlungen wird der Täter versuchen, die Spuren seiner betrügerischen Handlungen nach ihrer Ausführung zu beseitigen. Diese Vertuschungsaktionen hinterlassen aber Spuren in den Protokollen des SAP-Systems.

Werden Veränderungen im Customizing des SAP-Systems vorgenommen, so werden diese in den Tabellenänderungsprotokollen aufgezeichnet. Änderungen an den Stamm- und Bewegungsdaten werden in den Änderungsbelegen protokolliert.

Die Tabellenänderungen werden in der Tabelle DBTABLOG gespeichert und können mit der Transaktion SCU3 ausgewertet werden. Die Änderungsbelege werden in den beiden Tabellen CDHDR (wer hat wann mit welcher Transaktion eine Änderung durchgeführt) und CDPOS (an welchem Tabellenfeld wurde die Änderung durchgeführt und wie war der Feldinhalt vor und nach der Änderung) gespeichert.

Um sich nur bestimmte Arten von Änderungen anzeigen zu lassen, kann man nach dem Änderungsbelegobjekt filtern. Möchte man sich z. B. nur die Änderungen an den Kreditorenstammdaten anzeigen lassen, so filtert man nach Änderungsbelegobjekt KRED.

Um die Zuverlässigkeit der Protokollierungen sicherzustellen, muss aber sichergestellt werden, dass diese richtig konfiguriert wurden und dass kein Benutzer Berechtigungen besitzt, Protokollierungseinstellungen und -einträge zu manipulieren.