Sie sind auf Seite 1von 184

Prfleitfaden SAP ERP 6.

0
Deutschsprachige SAP Anwendergruppe

DSAG Arbeitsgruppe Audit Roadmap


Stand mrz 2009

DSAG Arbeitsgruppe Audit Roadmap


S.2113
Prfleitfaden SAP ERP 6.0,
Teil 1, Stand 1.0 mrz 2009
S.114183
Prfleitfaden SAP ERP 6.0,
Teil 2, Betriebswirtschaftlicher Teil , Stand 1.0

Seite 2

DSAG e.V.
Deutschsprachige SAP-Anwendergruppe

Der vorliegende Prfleitfaden der Arbeitsgruppe (AG) Audit Roadmap bezieht sich auf den Release-Stand
SAP ERP 6.0. Die AG ist Teil der Deutschsprachigen SAP-Anwendergruppe e. V. (DSAG) mit Sitz in Walldorf.
Zielsetzung ist, Revisoren Anhaltspunkte fr die Prfungen von SAP-Anwendungen zu geben. In diesem
Leitfaden werden Prfaspekte fr den Basisbereich im Teil 1 und auf der Applikationsebene fr die Module
FI, MM, CO und SD im Teil 2 aufgezeigt.
Die Prflisten in diesem Leitfaden sind als Hinweise fr einen mit SAP vertrauten Prfer gedacht. Sie sind
keine verbindliche Richtlinie oder Norm. Jegliche Verantwortung fr Art, Umfang und Ergebnis externer und
interner Prfungen verbleibt beim Prfer selbst. In seiner Verantwortung liegt auch die Zuordnung der
ausgewhlten Prfungsschwerpunkte zu einschlgigen ISO Normen, z. B. fr IT-Sicherheit ISO/IEC 27001,
zu Rahmenwerken fr die Prfung, z. B. COSO, COBIT oder zu berufsstndischen Prfungsstandards.
Voraussetzung ist die Erfahrung mit dem SAP-System, insbesondere mit SAP ERP 6.0 sowie Kenntnisse der
gesetzlichen Vorschriften fr die Rechnungslegung. Zur detaillierten Auseinandersetzung mit der neuen
SAP-Architektur verweist das Autorenteam auf die SAP-Online-Dokumentation, auf entsprechende
Literatur und Schulungskurse.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Einleitung

Die Kapitel des Prfleitfadens sind alle einheitlich aufgebaut: Zunchst werden fr das unter der Kapitelberschrift genannte Prfungsfeld summarisch Risiken und Kontrollziele aufgefhrt, anschlieend folgen in den
gekennzeichneten Prfprogrammen detaillierte Prfungshandlungen zu den genannten Risiken und
Kontrollzielen. Die Kapitel sind thematisch in sich abgeschlossen, um Redundanzen weitestgehend zu
vermeiden.
Die ausgewhlten Prfprogramme vermitteln Handlungen, die dem Prfer die Wahrnehmung der kritischen
kundenspezifischen Ausprgungen, der technischen SAP-Konzepte und -Funktionen erleichtern sollen. Die
notwendigen kundenspezifischen organisatorischen Prozesse mssen jeweils individuell dem Prfungsumfang angepasst werden.
Der Prfleitfaden wird in Versionen fortgeschrieben.

Seite 3

Hinweise zum Teil 1 (Basisbereich):


> Eine Prfungshandlung auf fehlerhafte Konfiguration der SAP Software ist in der linken Spalte mit einem
H gekennzeichnet, wenn diese ein hohes Risiko bedeutet. Dies ist als ein Hinweis fr den Prfer gedacht.
Der Prfleitfaden bietet allerdings keine systematische Risikobewertung.
> Bei Prfungshandlungen, die durch das SAP Audit Informationssystem (AIS) untersttzt werden, ist der
betreffende AIS Menpfad angegeben.
> Prfungshandlungen, die der SAP Security Optimization Self-Service untersttzt (http://service.sap.com/
SOS), sind mit SOS gekennzeichnet. Text und Nummer der automatisierten Prfung sind angegeben.

Einleitung
Die Autoren des ersten Teils sind Mitglieder der AG Audit Roadmap des DSAG Arbeitskreises Revision und
Risikomanagement, der zweite Teil ist analog des Schulungskurses FIN 900 aufgesetzt worden. Die
Verantwortung fr den Inhalt tragen die Autoren.

Copyright 2009 DSAG e.V.


Die Autoren:
Herr Thorsten Bretzler
BHI Informatik
Herr nder Gngr
SAP AG
Herr Oliver Herbert
BHI Informatik
Herr Martin Le Maire Heidelberger Druckmaschinen AG
Herr Carsten Schultz
PricewaterhouseCoopers AG
Frau Beate Spickenheier Ernst Klett AG
HINWEIS:
Die vorliegende Publikation ist urheberrechtlich geschtzt (Copyright). Alle Rechte liegen, soweit nicht
ausdrcklich anders gekennzeichnet, bei:
DEUTSCHSPRACHIGE SAP ANWENDERGRUPPE E.V.
Altrottstrae 34 a
69190 Walldorf
Deutschland
Jedwede unerlaubte Verwendung ist nicht gestattet. Dies gilt insbesondere fr die Vervielfltigung,
Verbreitung, bersetzung oder die Verwendung in elektronischen Systemen /digitalen Medien.
Die Autoren des Prfleitfadens sind fr Kritik, nderungs- und Ergnzungswnsche dankbar. Zuschriften
an die Autoren knnen formlos an die folgende E-Mail-Adresse:
PRUEFLEITFADEN@BH-INFORMATIK.de

Seite 4

gerichtet werden, die Betreffzeile muss dabei mit dem Wort Prfleitfaden beginnen. Auch das Formular
auf der folgenden Seite kann verwendet werden.

Fax: +49 (0) 069 27 40 15-111

Absender
Name
Funktion
Abteilung
Firma
Anschrift
Telefon Telefax

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

An die
Arbeitsgruppe SAP Audit Roadmap
z. Hd. Herrn Oliver Herbert
c/o. BHI Informatik Bretzler und Herbert Partnerschaft
Mainzer Landstrae 27-31
D-60329 Frankfurt am Main

Ergnzende Information(en) zum Prfleitfaden SAP ERP 06


Ich beziehe mich auf den Prfleitfaden ERP 6.0 Version:
.V0 ................. Seite: ................. Textnummer: .................

Meine Information lautet:


............................................................................................................................................................................................
............................................................................................................................................................................................
............................................................................................................................................................................................
............................................................................................................................................................................................
............................................................................................................................................................................................
............................................................................................................................................................................................
............................................................................................................................................................................................
............................................................................................................................................................................................
............................................................................................................................................................................................

Zur weiteren Erluterung sind Anlagen beigefgt (bitte ankreuzen):


( ) Ja
( ) Nein

Seite 5

Bitte pro Information ein Formblatt verwenden!

Gliederung
1 SAP ERP 6.0

2 Prferrolle, Bestandsaufnahme der SAP-Systemlandschaft und


der Richtlinien des Unternehmens

Seite 6

2.1 Grundlagen zur Erstellung einer Prferrolle


2.2 Bestandsaufnahme der SAP-Systemlandschaft
2.3 Bestandsaufnahme der Richtlinien des Unternehmens

9
9
10

3 Identifikation und Authentisierung (ABAP Stack)

12

12
12
12
13
16
18
20
24

3.1 Anmeldekontrollen
3.2 Risiken
3.3 Kontrollziele
3.4 Prfprogramm: Systemparameter fr die Anmeldekontrolle
3.5 Tabelle: Vorschlagswerte fr die Systemparameter der Anmeldekontrolle
3.6 Prfprogramm: Gltigkeitszeitraum von Benutzerkennungen
3.7 Prfprogramm: Sichere Konfiguration besonderer Benutzertypen
3.8 Prfprogramm: berwachung der Wirksamkeit des Zugriffsschutzes

4 Autorisierung (ABAP-Stack)

26

4.1 Berechtigungsvergabe
4.2 Risiken
4.3 Kontrollziele
4.4 Prfprogramm: Dokumentiertes Berechtigungs- und Benutzerkonzept
4.5 Prfprogramm: Notfallbenutzerkonzept (ABAP Stack)
4.6 Prfprogramm: Nutzung kritischer SAP Standardprofile/-rollen
4.7 Prfprogramm: Ersetzen kritischer Vorschlagswerte im Profilgenerator
4.8 Prfprogramm: Ordnungsmige Berechtigungs- und Benutzerorganisation
4.9 Tabellen: Beispielszenarien der Organisation einer Benutzer- und Berechtigungsverwaltung

4.9.1 Szenario 1: 4-Augen Prinzip

4.9.2 Szenario 2: 6-Augen Prinzip

4.9.3 Szenario 3: 6-Augen Prinzip
4.10 Prfprogramm: Berechtigungen fr die Benutzer- und Berechtigungsverwaltung
4.11 Prfprogramm: Sicherheitsmechanismen zur Aktivierung der Prfung von Berechtigungen

26
26
27
27
29
30
32
36
38
38
40
43
46
49

5 Systemintegritt auf der Anwendungsebene

50

50
50
50
51
53
55
58
59
64
68
70
72
74

5.1 Gewhrleisten der Integritt von System und Daten


5.2 Risiken
5.3 Kontrollziele
5.4 Prfprogramm: Systemeinstellungen zum Schutz des Produktivsystems gegen nderungen
5.5 Prfprogramm: Systemeinstellungen zum Schutz der Mandanten
5.6 Prfprogramm: Nachvollziehbarkeit von nderungen an Tabellen im Produktivsystem
5.7 Prfprogramm: Ordnungsmige Verbuchung
5.8 Prfprogramm: Schutz sicherheitskritischer Systemeinstellungen und Basisberechtigungen
5.9 Prfprogramm: Schutz der RFC-Aufrufe
5.10 Prfprogramm: Schutz der Batch-Input-Prozesse
5.11 Prfprogramm: Schutz sicherheitskritischer Anwendungsberechtigungen
5.12 Prfprogramm: Schutz der Job-Ablufe
5.13 Prfprogramm: Schutz der Druckauftrge

78
78
78

7 Systemintegritt mit dem SAP Java-Stack

86

86
86
86
87
88
92

7.1 Neue und parallele Software-Entwicklungs- und Anwendungsumgebung


7.2 Risiken
7.3 Kontrollziele
7.4 Prfprogramm: Sichere Konfiguration des SAP Java Stack
7.5 Prfprogramm: Authentisierung und Autorisierung (Java Stack)
7.6 Prfprogramm: SAP Java Stack Softwareverteilung

79
82

8 Systemintegritt auf der Datenbankebene

94

94
94
94
95
96
97

8.1 Interne und externe Anforderungen


8.2 Risiken
8.3 Kontrollziele
8.4 Prfprogramm: Authentisierung und Autorisierung mit Oracle unter UNIX
8.5 Prfprogramm: Autorisierung mit Oracle unter UNIX und Datenbankmanagement
8.6 Prfprogramm: Authentisierung und Autorisierung mit Oracle unter Windows

9 Systemintegritt auf der Betriebssystemebene

100

100
100
100
101
104

9.1 Interne und externe Anforderungen


9.2 Risiken
9.3 Kontrollziele
9.4 Prfprogramm: Authentisierung und Autorisierung mit UNIX
9.5 Prfprogramm: Authentisierung und Autorisierung mit Windows

10 Kommunikations- und Netzsicherheit

108

108
109
110

10.1 Prfprogramm: Sicherheit des SAP Internet Transaction Servers


10.2 Prfprogramm: Sicherheit SAPROUTER
10.3 Prfprogramm: Sichere Konfiguration des SAP Single Sign-On

11 Literaturverzeichnis

112

Teil 2

114

Inhaltsverzeichnis
Betriebswirtschaftlicher teil

118

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

78

6.1 Kontrolliertes Software-nderungs- und Einsatzverfahren


6.2 Risiken
6.3 Kontrollziele
6.4 Prfprogramm:

Ordnungsmige und sichere Implementierung des Transport Management Systems
6.5 Prfprogramm:
Einhaltung der Regeln des Software-Change-Managements fr das Produktivsystem

Seite 7

6 Software-Change-Management

1 SAP ERP 6.0


Nach den Produkten SAP R/1 und SAP R/2 fhrte SAP im Jahr 1992 SAP R/3 ein. Bis zum SAP R/3 Release
4.6 setzte SAP eine zweistufige Architektur (SAP Basis und SAP Application) ein. Mit SAP R/3 Enterprise
wurde auf dreistufig erweitert.
Mit SAP ERP, das seit Mrz 2003 verfgbar ist, bietet SAP ein Bndel von Komponenten, um die ERPrelevanten Geschftsprozesse zu untersttzen. An diesem Punkt war SAP R/3 Enterprise eine dieser
Komponenten. Wie aus der Abbildung ersichtlich, ist SAP ERP selbst dann mehr als nur SAP R/3 Enterprise
plus SAP NetWeaver, da die Lsung viele funktionale Erweiterungen wie Self Services, SAP SEM und mehr
bereitstellt.
Die nchsten Schritte sind eine engere Integration mit SAP ERP (insbesondere mit den SAP Net-WeaverFunktionen), Erweiterungen im Bereich der Bedienbarkeit und Mitarbeitereffizienz und die Senkung der
Total Cost of Ownership. Darber hinaus mchte SAP weitere Funktionalitt bereitstellen. Die SAP ERP
Central Component stellt den nchsten Schritt in dieser Entwicklung dar.
Die nachfolgende Abbildung vermittelt einen berblick ber die Entwicklung der ERP-Lsungen von SAP.

Anwendung

Architektur von 4.x bis ERP 6.0

SAP Enterprise
Extension Set
Application
Application

SAP R/3
Enterprise Core (4.70)
SAP Enterprise
Extension Set

SAP ERP 2004

SAP ERP 6.0 (vormals ERP 2005)

Zustzliche Komponenten

Zustzliche Komponenten

Self-Service Procurement

Self-Service Procurement

Internet Sales

Internet Sales

... und mehr

... und mehr

Composite Applications

Composite Applications

SAP ERP Central Component

SAP ERP Central Component

Self-Services

Self-Services

Strategic Enterprise Management

Strategic Enterprise Management

SAP ECC Core 6.00

SAP NetWeaver 04

SAP NetWeaver 04s

Integration von Personen

Integration von Personen

Multi Channel Access

Integration von Prozessen


Business
Process Mgmt

SAP Web AS 6.40


J2EE

Collaboration

Integration von Informationen


Bus. Intelligence

Knowledge Mgmt

Master Data Mgmt


Integration von Prozessen
Integration
Broker

Business
Process Mgmt

SAP Web AS 6.40


ABAP

Unabhngig von DB und Betriebssystem

J2EE

ABAP

Unabhngig von DB und Betriebssystem

Life Cycle Mgmt

Knowledge Mgmt

Master Data Mgmt

Integration
Broker

Portal
Life Cycle Mgmt

Bus. Intelligence

Multi Channel Access

Collaboration

Integration von Informationen

Technologie

Branchenfhig

SAP ECC Core 5.00

Portal

Seite 8

SAP ECC Extension Set

SAP ECC Extension Set


Branchenfhig

2.1 Grundlagen zur Erstellung einer Prferrolle


Im Rahmen einer Prfung mssen neben den fr das Unternehmen geltenden gesetzlichen Vorgaben auch
die internen Compliance-Vorgaben bercksichtigt werden, wobei den gesetzlichen Vorgaben Vorrang zu
gewhren ist.
Die Prferrollen sind in der Form aufzubauen, dass nur die Inhalte der zum Prfungsumfang gehrenden
Bereiche angezeigt werden drfen. Dies gilt insbesondere dann, wenn gesetzliche Vorgaben im Kontext des
Datenschutzes oder einer Steuerprfung (DART-Zugriffe) zu erfllen sind.
Ist aus technischer Sicht in den Prferrollen eine nderungsfunktion/nderungstransaktion unumgnglich
(z. B. Zugriff auf bestimmte Customizing-Tabellen), ist diese separat nur fr die Dauer des spezifischen
Prfungsschrittes zu berechtigen.
Bentigt ein Prfer Berechtigungen (z. B. Zugriff auf Eigenentwicklungen), die denen eines Notfallusers
entsprechen, ist gem dem vorliegenden Notfalluserkonzept zu verfahren.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

2 Prferrolle, Bestandsaufnahme der SAP-System landschaft und der Richtlinien des Unternehmens

Es ist wichtig, dass die prfende Instanz keine Sonderrechte erhlt, die gegen interne oder gesetzliche
Compliance-Vorschriften verstt.

2.2 Bestandsaufnahme der SAP-Systemlandschaft


1.

Gibt es ein Diagramm der SAP-Systemlandschaft?

2.

Gibt es eine bersicht ber alle eingesetzten SAP-Systeme, SAP-Anwendungen und deren
Releasestand?

3.

Auf welchen Betriebssystemen laufen die SAP-Systeme?

4.

Welche Datenbanken untersttzen die SAP-Anwendungen?

5.

Gibt es ein Netzdiagramm, das die Verbindungen der SAP-Systeme untereinander, zu den
SAP Clients und die Netzverbindung in das Internet darstellt?

6.

Gibt es eine bersicht ber verschlsselte Netzverbindungen?

Seite 9

NR.

2 Prferrolle, Bestandsaufnahme der SAP-System landschaft und der Richtlinien des Unternehmens
2.3 Bestandsaufnahme der Richtlinien des Unternehmens

Die Unternehmen sind in der Vorgabe und der Gestaltung von internen Richtlinien frei. Allerdings ben
gesetzliche Vorgaben und externe IT Standards einen Normierungsdruck auf Inhalte und Ausprgung von IT
bezogenen Richtlinien aus.

Seite 10

Hier sind lediglich diejenigen Vorgaben aufgefhrt, die fr die Prfung von SAP-Systemen relevant sind.
Sind sie vorhanden, untersttzt das die Prfung.
NR.

Unternehmensinterne Richtlinien und IT spezifische Prozessdokumentation

1.

Gibt es ein Diagramm der SAP-Systemlandschaft?

1.1

Gibt es Vorgaben fr die Identifikation von Benutzern?

1.2

Gibt es Vorgaben zum Passwortschutz?

1.3

Gibt es Vorgaben fr die Zustndigkeiten und Rollen bei der Berechtigungsvergabe?

1.4

Gibt es Vorgaben fr die Zustndigkeiten und Aufgaben der Dateneigentmer sowie der
Systembetreiber?

2.

Ist die IT-Sicherheit von spezifischen Systemplattformen geregelt und dokumentiert, z. B. fr:

2.1

SAP Client am Arbeitsplatz (PC, Notebook)?

2.2

Netzverbindungen?

2.3

MS Windows Server?

2.4

UNIX Server?

2.5

Datenbank?

3.

Gibt es eine Projektrichtlinie?

4.

Gibt es Vorgaben fr das Software Development Life Cycle (SDLC) Management?

5.

Gibt es fr die SAP-Anwendungs- und Systemlandschaft eine Prozessdokumentation fr:

5.1

das Customizing?

5.2

den Betrieb und die berwachung?

5.3

das Change- und Konfigurationsmanagement?

5.4

das Release-Management?

5.5

die Benutzer- und Berechtigungsverwaltung?

5.6

das IT Sicherheits-Management?

5.7

das Business Continuity Management?

6.

Gibt es Service Level Agreements zwischen den Betreibern der SAP-Systemlandschaft


und den Geschftseinheiten, die die SAP-Anwendungen fr Ihre Geschftsprozesse
nutzen?

7.

Ist ein User Help Desk eingerichtet?

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Unternehmensinterne Richtlinien und IT spezifische Prozessdokumentation

Seite 11

NR.

3 Identifikation und Authentisierung (ABAP Stack)


3.1 Anmeldekontrollen
Die Identifikation und Authentisierung mittels Benutzerkennung und Kennwort ist ein bliches und
einfaches Verfahren. Das Verhalten des Benutzers bestimmt wesentlich die Wirksamkeit des Verfahrens.
Mgliche Schwachstellen sind z. B. einfache, leicht erratbare oder auch anderen Benutzern bekannte
Kennworte.
Mit zustzlichen automatisierten Regeln kann Einfluss auf die Wahl des Kennworts und auf den Umgang
mit dem Kennwort genommen werden. SAP bietet eine Reihe solcher mglichen Regeln ber konfigurierbare Systemparameter an. Das Unternehmen muss diese gem den eigenen Sicherheitsvorgaben
anpassen.

3.2 Risiken
Risiken ergeben sich vor allem aus der fehlerhaften Konfiguration der Systemeinstellungen fr die
Anmeldekontrollen des SAP-Systems:
> Die Systemparameter fr die Anmeldekontrollen sind nicht entsprechend dem IT Sicherheitskonzept des
Unternehmens ausgeprgt. Sie sind unzureichend oder widersprchlich gesetzt, so dass die beabsichtigte
Wirkung verfehlt wird.
> Sicherheitsmechanismen sind nicht angemessen umgesetzt, die SAP zur Untersttzung der Benutzer-
verwaltung bereitstellt, z. B. Vorgabe des Gltigkeitszeitraums, Nutzung von Sperrkennzeichen oder von
besonderen Benutzertypen und die Zuordnung zu Benutzergruppen.
> Die Sonderbenutzer, fr die SAP im Auslieferungsstand der Software bekannte Standardkennworte vor-
gesehen hat, sind bei der Implementierung nicht sicher konfiguriert worden.
> Sicherheitsereignisse werden nicht erkannt und verfolgt, die ein Unterlaufen der gesetzten Anmelde-
kontrollen bedeuten.

3.3 Kontrollziele

Seite 12

>



>
>
>

>

Die Systemparameter fr die Anmeldekontrollen sind so gesetzt, dass sie in der Verbundwirkung einen
angemessenen Zugriffsschutz gewhrleisten. Die gewnschte Kennwortqualitt wird durch automatisierte
Vorgaben sichergestellt. Ein Schutz vor Angriffen auf Kennworte wird konfiguriert. Mehrfachanmeldungen
werden verhindert.
Gltigkeitszeitrume fr Benutzerkennungen sind definiert.
Die Sonderbenutzer sind sicher konfiguriert.
Sicherheitsmechanismen fr die Verwaltung von Benutzergruppen und fr besondere Benutzertypen
sind aktiviert.
Die Wirksamkeit der Anmeldekontrollen wird berwacht.

Systemparameter fr die Anmeldekontrolle

Die Systemparameter, die fr die Kennwortbildung und Anmeldung relevant sind, werden wie folgt
angezeigt:
AIS: System Audit Top Ten Security Reports Profilparameter anzeigen (generisch ber log-in/*)
AIS: System Audit System Konfiguration Parameter Systemparameter, bersicht mit Historie
AIS: System Audit System Konfiguration Parameter Systemparameter mit Doku.
Hinweis: Die im Folgenden aufgefhrten Vorschlagswerte fr die Anmeldekontrollen sind noch einmal in
der Tabelle zusammengefasst, die diesem Prfprogramm folgt.

1.

Kontrollziel: Die Bildung des Kennworts unterliegt Komplexittsregeln.


Risiko: Das Kennwort ist einfach und kann mit wenigen Anmeldeversuchen erraten werden. Der
Benutzer verwendet wiederholt dasselbe Kennwort. Er berlistet den systemseitig erzwungenen
Wechsel des Kennworts, wenn keine oder eine zu kurze Passworthistorie gewhlt ist.

1.1
H

Die Kennwortmindestlnge login/min_password_lng ist festgelegt.


Vorschlagswert: 6 Zeichen
Hinweis: Das SAP-System lsst eine Kennwortlnge von bis zu 40 Zeichen zu.
SOS: Minimum Password Length is Too Short (0126)

1.2
H

Das Kennwort unterliegt Bildungsregeln.


Die relevanten Systemparameter sind login/password_charset, login/min_password_letters,
login/min_password_digits und login/min_password_specials, login/min_password_lowercase
und login/min_password_uppercase.
Vorschlagswerte: Kennwort muss mindestens einen Buchstaben, eine Zahl und ein Sonderzeichen enthalten.
SOS: Required Number of Digits/Letters/Special Characters in Passwords is Too Low (0129, 0130,
0131)

1.3
H

Die Anzahl Zeichen ist geregelt, in denen sich ein neues Kennwort vom alten unterscheiden muss,
login/min_password_diff.
Vorschlagswert: 3, d. h. mindestens die Hlfte der vorgeschriebenen Passwortlnge.
SOS: Number of Characters in Which Passwords Have to Differ is Too Low (0128)

1.4
H

Die Gre der Passworthistorie ist vorbesetzt, login/password_history_size.


Vorschlagswert: 15 Kennworte bei einem Wechsel, der alle 90 Tage erzwungen wird.

1.5

In der Tabelle USR40 sind unzulssige Kennwrter eingetragen.


Hinweis: Wenn bereits ber eine Passwortbildungsregel gefordert ist, dass mindestens ein
Sonderzeichen zu whlen ist, brauchen in dieser Tabelle keine Wrter aus dem Duden, auch keine
Buchstaben- oder Zahlenkombinationen eingetragen zu werden.
SOS: Trivial Passwords Are Not Sufficiently Prohibited (0125)

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

NR.

Seite 13

3.4 Prfprogramm: Systemparameter fr die Anmeldekontrolle

Seite 14

3 Identifikation und Authentisierung (ABAP Stack)


NR.

Systemparameter fr die Anmeldekontrolle

2.

Kontrollziel: Die Gltigkeitsdauer eines Kennworts ist beschrnkt.


Risiko: Benutzerkennungen verbleiben lange mit Initialkennwort. Der Benutzer kann dasselbe
Kennwort monatelang verwenden. Es besteht das Risiko, dass das Initialkennwort bekannt ist
oder dass das Kennwort ausgespht worden ist.

2.1
H

Die Gltigkeitsdauer eines initialen Kennworts ist geregelt, login/password_max_ idle_initial.


Dieser Parameter zieht nicht fr die Benutzer vom Typ Service oder System.
Vorschlagswert: Die Gltigkeitsdauer berschreitet nicht drei Arbeitstage.
Hinweis: Dieser Systemparameter ersetzt die Profilparameter login/password_max_new_valid
und login/password_max_reset_valid aus dem SAP Web Anwendungsserver 6.20 und 6.40.
SOS: Users with Initial Passwords Who Have Never Logged On (0009)

2.2
H

Der Zeitpunkt fr den Kennwortnderungszwang ist vorbestimmt, login/password_ expiration_ time.


Vorschlagswert: Erzwungener Wechsel des Kennworts nach hchstens 90 Tagen.
SOS: Interval for Password Change is Too Long (0127)

2.3

Die Gltigkeitsdauer eines nicht benutzten Kennworts ist geregelt, login/password_max_idle_


productive. Dieser Parameter zieht nicht fr die Benutzer vom Typ Service oder System.
Hinweis: Dieser Parameter gibt die maximale Frist an, in der ein produktives vom Benutzer gewhltes Kennwort gltig bleibt, wenn es nicht benutzt wird. Nachdem diese Frist abgelaufen ist,
kann das Kennwort nicht mehr zur Authentifizierung verwendet werden. Der Benutzeradministrator kann die Kennwortanmeldung durch Zuweisen eines neuen Initialkennworts wieder
aktivieren.
Vorschlagswert: Gltigkeitsdauer eines nicht benutzten Kennworts hher setzen als die Dauer fr
den erzwungenen Wechsel des Kennworts (max. 180 Tage).
SOS: Users with Reset Passwords Who Have Never Logged On (0140)
SOS: Users Who Have Not Logged On for an Extended Period of Time (0010)

2.4

Der Benutzer muss sein Kennwort jederzeit ndern knnen.


Gem der SAP Mindesteinstellung ist dies einmal am Tag (Standardwert: 1) mglich, login/
password_change_waittime.
Vorschlagswert: 1, d. h. der Benutzer muss einen Tag warten, bis er sein Kennwort wieder ndern
darf.

Kontrollziel: Erschweren des Ausprobierens von Kennworten


Risiko: Kennworte fremder Benutzerkennungen knnen ber wiederholte Anmeldeversuche
ausprobiert werden.

3.1

Die maximale Anzahl der Falschanmeldungen bis zum Abbrechen des Anmeldevorgangs ist
definiert, login/ fails_to_session_end.
Vorschlagswert: 3 als maximale Anzahl Passwortfehlversuche bis zum Abbruch des Vorgangs.

3.2

Die maximale Anzahl der Falschanmeldungen bis zur Sperre der Benutzerkennung ist bestimmt,
login/fails_to_user_lock.
Vorschlagswert: 5 als maximale Anzahl Passwortfehlversuche bis Sperre des Benutzers.
SOS: Too Many Incorrect Logon Attempts Allowed Before a User is Locked (0133)

3.3

Die automatische Freischaltung der Benutzerkennungen, die wegen Falschanmeldung gesperrt


wurden, ist auf Mitternacht eingeschaltet, login/failed_user_auto_unlock (Standardwert 0).
Vorschlagswert: 1,d. h. automatisches Entsperren des Benutzers ber Nacht.
Hinweis: Wenn es bei dieser Standardeinstellung bleibt, mssen zustzlich die gesperrten Benutzerkennungen mit den Mitteln des SAP Audit Logs auf aufflliges Vorkommen im Zeitverlauf
berwacht werden.
SOS: User Locks due to Failed Logon Attempts Are Automatically Released at Midnight (0134)

4.

Kontrollziel: Verhindern von Mehrfachanmeldungen


Risiko: Mehrere Benutzer teilen sich eine Benutzerkennung und melden sich getrennt am SAPSystem an. Das ist ein Versto gegen die Lizenzbestimmungen von SAP.

4.1

Mehrfachanmeldungen sind ausgeschlossen, login/disable_multi_gui_login (Standardwert: 1).


Vorschlagswert: 1, d. h. mehrfache Anmeldung ist nicht mglich.
Hinweis 1: Ausnahmebenutzer wie Administratoren oder Notfallbenutzer, denen eine Mehrfachanmeldung ermglicht werden muss, sind unter dem Systemparameter login/multi_login_users
gelistet.
Hinweis 2: Das SAP-System protokolliert Mehrfachanmeldungen in der Tabelle USR41_MLD.
SOS: Multiple Logons Using the Same User Id is Not Prevented (0138)

5.

Kontrollziel: Die unbefugte Nutzung einer offenen SAP-Sitzung durch einen anderen als
den angemeldeten Benutzer wird erschwert.
Risiko: Ein Kollege nutzt die Abwesenheit des Benutzers, um an dessen Frontend eine geffnete
SAP-Sitzung nicht autorisierte Transaktionen durchzufhren.

5.1

Ist ein passwortgeschtztes Abschalten der Bedienoberflche des Frontend aktiviert?

5.2

Wird die Mglichkeit der automatischen Abmeldung der SAP-Sitzung genutzt?


Der Parameter rdisp/gui_auto_logout ist zweckentsprechend (ungleich 0) gesetzt. Er definiert
die maximale Zeit in Sekunden bei ausbleibender Ttigkeit des angemeldeten Benutzers bis zum
automatischen Abmeldung. Dies gilt nur fr SAP GUI Verbindungen.
SOS: Interval After Which Inactive Users Are Logged Off is Too Long (0137).

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Systemparameter fr die Anmeldekontrolle

Seite 15

NR.

3 Identifikation und Authentisierung (ABAP Stack)

Seite 16

3.5 Vorschlagswerte fr die Systemparameter der Anmeldekontrolle


NR.

parameter

SAP
mgliche
Werte

SAP
Voreinstellung

Vorschlagswert

1.
H

login/min_password_lng

6-40

6
(statt 3)

6 (Kennwortmindestlnge)

2.

login/password_charset

0,1,2

1 (abwrtskompatibel)

3.
H

login/min_password_letters

0-40

1 (Kennwort muss mindestens


einen Buchstabe enthalten)

4.

login/min_password_digits

0-40

1 (Kennwort muss mindestens


eine Zahl enthalten)

5.
H

login/min_password_specials

0-40

1 (Kennwort muss mindestens


ein Sonderzeichen enthalten)

6.

login/min_password_lowercase

0-40

optional

7.

login/min_password_uppercase

0-40

optional

8.
H

login/min_password_diff

1-40

3 (mindestens die Hlfte der


minimalen Kennwortlnge)

9.
H

login/password_history_size

1-100

15 Kennworte (bei einem


Wechsel, der alle 90 Tage
erzwungen wird)

10.
H

login/password_max_idle_initial

0-24.000
(Tage)

Gltigkeitsdauer fr ein initiales


Kennwort berschreitet nicht 3
Arbeitstage

11.
H

login/password_expiration_time

0-999
(Tage)

Erzwungener Wechsel des


Kennworts nach hchstens 90
Tagen

12.

login/password_max_idle_productive

0-24.000
(Tage)

Gltigkeitsdauer eines nicht benutzten Kennworts hher


setzen als die Dauer fr den
erzwungenen Wechsel des
Kennwort

13.

login/password_change_waittime

1-1000
(Tage)

1 (Benutzer muss einen Tag


warten, bis er sein Kennwort
wieder ndern darf)

14.

login/fails_to_session_end

1-99

3 (maximale Anzahl Passwortfehlversuche bis Abbruch des


Vorgangs)

parameter

SAP
mgliche
Werte

SAP
Voreinstellung

Vorschlagswert

15.
H

login/ fails_to_user_lock

1-99

5
(statt 12)

5 (maximale Anzahl Passwortfehlversuche bis Sperre des


Benutzers)

16.

login/failed_user_auto_unlock

0 oder 1

0
(statt 1)

1 (automatisches Entsperren
des Benutzers ber Nacht)

17.

login/disable_multi_gui_login

1 (mehrfache Anmeldung nicht


mglich)

18.

login/multi_login_users

19.

login/ password_compliance_ to_


current_policy
Zweck: Wenn ein bereits vergebenes
Kennwort nicht mehr den inzwischen
genderten Kennwortbildungsregeln
entspricht, erzwingt das System eine
nderung des Kennworts bei der Anmeldung.

0 oder 1

20.

login/ password_downwards_
compatibility
Zweck: Dieser Parameter spezifiziert
den Grad der Abwrtskompatibilitt
z.B. der untersttzten Passwortlngen
zu frheren SAP Releases. Details
sind der technischen Dokumentation
zu entnehmen.

Siehe
SAP Dokumentation

21.

Tabelle USR40
Beispieleintragungen:
123456, qwertz, (oder andere Zeichenfolge auf der Tastatur) oder generisch
*Montag*, *Januar*, *Sommer*,
*Passwort*, *<Firmennamen>*

22.

rdisp/ gui_auto_logout
Definiert die maximale Zeit in Sekunden bei ausbleibender Ttigkeit des
angemeldeten Benutzers bis zum automatischen Abmeldung. Dies gilt nur
fr SAP GUI Verbindungen.
Wenn der Parameter auf den Standardwert 0 gesetzt ist, erfolgt keine
automatische Abschaltung.

Liste der Benutzer, fr die eine


Mehrfachanmeldung mglich ist
0

optional

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

NR.

optional

Abfragen auf triviale Kennworte


erbrigen sich, wenn bereits
komplexe Passwortbildungsregeln eingestellt sind

Optional, aber verpflichtend,


wenn keine automatische
Frontend-Sperre eingerichtet
ist (Bildschirmschoner mit PCSperre)

Seite 17

Jeder
numerische Wert

3 Identifikation und Authentisierung (ABAP Stack)


3.6 Prfprogramm: Gltigkeitszeitraum von Benutzerkennungen
NR.

Prfprogramm: Gltigkeitszeitraum von Benutzerkennungen

Seite 18

Wie viele Benutzer sind im Mandant registriert?


AIS: System Audit Benutzer und Berechtigungen Infosystem Benutzerbersicht Anzahl Benutzerstammstze
oder Tabelle USR02, keine Auswahl vornehmen, die Anzahl Treffer wird oberhalb der Ergebnisliste
zwischen den Kopfzeilen des SAP Mens angezeigt.

1.

Kontrollziel: Kurze Gltigkeitsdauer von Benutzerkennungen mit Initialkennwort


Risiko: Ein Benutzer meldet sich unter einer fremden Benutzerkennung mit bekanntem Initialkennwort an.

1.1

Welche Benutzer haben sich noch nie angemeldet? Wie lange ist der Benutzer mit Initialkennwort
schon angelegt?
AIS: System Audit Benutzer und Berechtigungen Infosystem Benutzerbersicht Auswertung
nach unbenutzt im Feld Letzte Anmeldung
oder Tabelle USR02, Feld letztes Login-Datum mit = <LEER> auswhlen. Das entspricht dem Feld
TRDAT in der angezeigten Liste.
Benutzer mit Initialkennwort mssen nach Ablauf einer Frist von wenigen Arbeitstagen automatisch
gesperrt werden. Dies muss ber den Login-Parameter login/password_max_ idle_initial erzwungen
sein.
SOS: Users with Initial Passwords Who Have Never Logged On (0009)
SOS: Users with Reset Passwords Who Have Never Logged On (0140)

1.2

Welche Benutzer haben seit lngerer Zeit ihr Passwort nicht gendert?
AIS: System Audit Benutzer und Berechtigungen Infosystem Benutzerbersicht Seit 180 Tagen
Kennwort nicht gendert, ggf. Voreinstellung im Feld Tage seit Kennwortnderung berschreiben.
Benutzer mssen regelmig ihr Kennwort ndern. Dies muss ber den Login-Parameter login/
password_expiration_time erzwungen sein.
SOS: Users Who Have Not Logged On for an Extended Period of Time (0010)

2.

Kontrollziel: Alle Benutzer sind mit einem Gltigkeitszeitraum versehen, der dem
Zeitraum des notwendigen Zugriffs auf das SAP-System entspricht.
Risiko: Nicht mehr bentigte Benutzerkennungen werden nicht rechtzeitig erkannt und gesperrt.
Sie sind anderen Benutzern bekannt, die unter dieser fremden Benutzerkennung auf das SAPSystem zugreifen knnen, wenn ihnen das Kennwort auf welche Weise auch immer bekannt geworden ist.

2.1

Fr welche Benutzer ist kein Gltigkeitszeitraum oder ein zu weit gefasster Gltigkeitszeitraum
eingetragen?
AIS: System Audit Benutzer und Berechtigungen Infosystem Benutzerbersicht Benutzer
nach Anmeldedatum, Auswertung nach Feld Gltig-Bis
oder ber die Tabelle USR02 ermitteln, dabei keine Auswahl vornehmen, das Ergebnis nach dem
Feld GLTB, Gltig Bis, auswerten.
Abgleich mit Informationen zu den Mitarbeitern, die die Personalabteilung bereitstellt.
Ist z. B. fr Mitarbeiter, die Auszubildende, temporre oder externe Mitarbeiter sind, ein solches
Gltig-Bis-Datum eingetragen, das dem befristeten Arbeitsverhltnis entspricht?

3.

Kontrollziel: Besondere Zeitrume von Aktivitt oder Inaktivitt werden durch flexible
Handhabung und unternehmensindividuelle Kennzeichnung der Sperrung einer Benutzerkennung kontrolliert.
Risiko: Nicht aktive Benutzerkennungen sind anderen Benutzern bekannt. Diese greifen unter
dieser fremden Benutzerkennung auf das SAP-System zu, wenn sie das Kennwort ausprobiert
oder auskundschaftet haben.

3.1

Sind unternehmensindividuelle Varianten der Sperrargumente aktiviert?


Tabelle USR02, Feld UFLAG, User Sperre, mit = <LEER> auswhlen, das Ergebnis nach dem Inhalt
von Feld UFLAG auswerten.
Sind temporre Sperren aufgrund bekannter befristeter Abwesenheit eines Mitarbeiters oder
besondere Sperrkennzeichnungen fr solche Mitarbeiter gesetzt, die selten die Benutzerkennung
bentigen. Diese Benutzer haben i. d .R. gleich bleibende Berechtigungen fr einen definierten, aber
temporren Auftrag, z. B. fr Aktivitten im Rahmen von Messeveranstaltungen.

4.

Kontrollziel: Identifikation nicht mehr bentigter Benutzerkennungen


Risiko: Benutzerkennungen ausgeschiedener Benutzer werden nicht gelscht.

4.1

Welche Benutzer haben sich ber einen lngeren Zeitraum nicht mehr angemeldet?
AIS: System Audit Benutzer und Berechtigungen Infosystem Benutzerbersicht Benutzer
nach Anmeldedatum oder Seit 30 Tagen nicht angemeldet,
Auswertung nach dem Feld Letzte Anmeldung
oder ber die Tabelle USR02 ermitteln, dabei keine Auswahl vornehmen, das Ergebnis nach dem
Feld TRDAT, letztes Login-Datum, auswerten.
Abgleich mit Informationen zu den Mitarbeitern, die die Personalabteilung bereitstellt.
Benutzerkennungen ausgeschiedener Mitarbeiter sind zu lschen.
SOS: Users Who Have Not Logged On for an Extended Period of Time (0010)

4.2

Welche Benutzer sind gesperrt?


AIS: System Audit Benutzer und Berechtigungen Infosystem Benutzerbersicht Benutzer
nach Anmeldedatum,
Auswertung nach dem Feld Benutzer gesperrt.
Oder ber Tabelle USR02 ermitteln, Feld UFLAG, User Sperre, mit = <LEER> auswhlen, das
Ergebnis nach dem Inhalt von Feld UFLAG auswerten.
Benutzerkennungen, die seit lngerer Zeit gesperrt sind, knnen Benutzerkennungen ausgeschie-dener Mitarbeiter sein, die zu lschen sind.
SOS: Profiles on Long Time Locked Users (0089)

4.3

Fr welche Benutzer ist der angegebene Gltigkeitszeitraum abgelaufen?


AIS: System Audit Benutzer und Berechtigungen - Infosystem Benutzerbersicht Benutzer
nach Anmeldedatum,
Auswertung nach dem Feld Gltig Bis.
Oder ber die Tabelle USR02 ermitteln, dabei keine Auswahl vornehmen, das Ergebnis nach dem
Feld GLTB, Gltig Bis, auswerten.
Benutzerkennungen, deren Gltigkeitszeitraum abgelaufen ist, knnen Benutzerkennungen
ausgeschiedener Mitarbeiter sein, die zu lschen sind.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Prfprogramm: Gltigkeitszeitraum von Benutzerkennungen

Seite 19

NR.

3 Identifikation und Authentisierung (ABAP Stack)


NR.

Prfprogramm: Gltigkeitszeitraum von Benutzerkennungen

5.

Kontrollziel: Benutzerkennungen sind bis auf definierte Ausnahmen personenbezogen.


Risiko: Benutzerkennungen werden als Sammelbenutzer verwendet. Es gibt keine organisatorische Regelung, die in bestimmten Fllen Sammelbenutzer zulsst, oder es gibt eine organisatorische Regelung fr Benutzerkennungen, der aber in der Ausprgung der Benutzerkennungen
nicht gefolgt wird.

5.1

Welche Benutzerkennungen sind nicht aufgrund des Namens eines Benutzers gebildet oder folgen
nicht der festgelegten Namenskonvention fr Benutzerkennungen?
AIS: System Audit Benutzer und Berechtigungen - Infosystem Benutzerbersicht Benutzer nach
Anmeldedatum, Auswertung nach dem Feld Benutzer
oder ber die Tabelle USR02 ermitteln, dabei keine Auswahl vornehmen, das Ergebnis nach dem Feld
BNAME, Benutzername, auswerten.
Manuelles Durchsuchen der Liste auf Bezeichnungen wie AZUBI, WERK-STUDENT, LAGER, TEST,
TESTUSER.
Benutzerkennungen, die nicht der Namenskonvention folgen, knnen z. B. nicht autorisierte
Sammelbenutzerkennungen sein.

3.7 Prfprogramm: Sichere Konfiguration besonderer Benutzertypen

Seite 20

bersicht ber initiale Anmeldung fr Sonderbenutzer in SAP-mandanten:


Mandant

000/001

000/001

066

Neuer Mandant

Benutzer

SAP*

DDIC

EarlyWatch

SAP*

Initiales Kennwort

nicht mehr

nicht mehr

support

pass

Kennwort im
frheren Release

06071992

19920706

NR.

Sichere Konfiguration besonderer Benutzertypen

1.
H

Kontrollziel: Schutz der Sonderbenutzer vor nicht autorisiertem Zugriff


Risiko: Jeder kann anonym die SAP-Standardbenutzer SAP* und Early Watch ber die bekannten
Standardkennwrter aufrufen und darunter nicht autorisierte Aktionen durchfhren. Mit SAP*
knnen z. B. SAP interne Kontrollen unterlaufen und SAP interne Zwangsprotokolle manipuliert
werden.
Hinweis: In den Mandanten 000 und 001 wird bei der Installation automatisch ein Benutzerstammsatz erzeugt. Es wird gefordert, ein individuelles Kennwort fr SAP* und DDIC zu vergeben. Das
Kennwort beider Standardbenutzer ist nicht mehr automatisch auf das Standardkennwort aus
dem Jahr 1992 gesetzt.

1.1

Sind in jedem Mandant die Standardkennwrter aller SAP Standardbenutzer gendert?


AIS: System Audit Top Ten Security Reports Kennworte der Standardbenutzer prfen
Report RSUSR003.
Wenn die Prferrolle diesen Report nicht zulsst, muss der Prfer einen der zugelassenen
Systemadministratoren in seinem Beisein den Report ausfhren lassen und das Ergebnis sofort
prfen.
SOS: User EARLYWATCH Has Default Password (0056)

1.2

Ist der Benutzer SAP* gegen unbefugte Nutzung geschtzt (SAP-Hinweise 2 383 und 68 048)?
Smtliche Berechtigungen im Benutzerstammsatz SAP* werden gelscht.
> Der Benutzerstammsatz SAP* wird gesperrt.
> Der Benutzerstammsatz SAP* wird der Gruppe SUPER zugeordnet.
> Es wird ber die Setzung des Systemparameters login/no_automatic_user_sapstar auf den
Wert 1 verhindert, dass nach Lschung des Benutzers SAP* (mit Benutzerstammsatz) der
systeminterne Benutzer SAP* mit dem unvernderbaren Standardkennwort PASS aufgerufen
werden kann.
> Fr die Systemadministration wird ein Notfallbenutzer mit umfassenden Berechtigungen angelegt.
SOS: User SAP* is Neither Locked nor Expired (0043)
SOS: User SAP* is Not Assigned to the Group SUPER (0044)
SOS: Usage of the Hard Coded User SAP* is NOT Disabled (0046)

1.3

Ist der Benutzer SAP* in allen Mandanten ohne Berechtigungen angelegt und gesperrt?
AIS: System Audit Benutzer und Berechtigungen - Infosystem Benutzer Benutzer nach komplexen Selektionskriterien, Selektion nach Benutzer SAP*, nach Anzeige des Ergebnisses im Auswahlmen Rollen oder Profile anklicken.
SOS: Not All Profiles Are Removed from User SAP* (0042)
SOS: User SAP* is Neither Locked nor Expired (0043)

1.4

Sind die Benutzer SAP* und DDIC in allen Mandanten der Benutzergruppe SUPER zugeordnet?
AIS: System Audit Benutzer und Berechtigungen - Infosystem Benutzer Benutzer nach komplexen Selektionskriterien, Selektion nach Benutzern SAP*, DDIC.
SOS: User SAP* is Not Assigned to the Group SUPER (0044)

1.5

Welche Benutzer- und Berechtigungsadministratoren drfen die Benutzergruppe SUPER pflegen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SU01
S_USER_GRP (Benutzerverwaltung) mit Aktivitt 01 (Anlegen), 02 (ndern) oder * und Gruppe =
* oder = SUPER.
SOS: Unexpected Users Are Authorized to Change a Super User Account (0026)

1.6

Ist der Parameter login/no_automatic_user_sapstar auf den Wert 1 gesetzt?


Hinweis 1: Mit Hilfe diese Parameters kann verhindert werden, dass sich jemand nach dem
Lschen des Benutzerstammsatzes fr SAP* dann unter dem systeminternen automatischen
Benutzer SAP* mit dem unvernderbaren Kennwort PASS anmelden kann (Wert 1). Wenn es bei
der Standardeinstellung (Wert 0) bleibt, ist immer ein erneutes Anmeldung unter diesem
systeminternen Benutzer SAP* mglich.
Hinweis 2: Soll der systeminterne automatische Benutzer SAP* wieder aktiviert werden, muss
erst dieser Parameter zurckgesetzt und das System wieder gestartet werden.
SOS: Usage of the Hard Coded User SAP* is not Disabled (0046)
SOS: User SAP* Has Been Deleted at Least in One Client (0045).

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Sichere Konfiguration besonderer Benutzertypen

Seite 21

NR.

Seite 22

3 Identifikation und Authentisierung (ABAP Stack)


NR.

Sichere Konfiguration besonderer Benutzertypen

2.

Kontrollziel: Sichere Nutzung des Konzeptes der Referenzbenutzer


Risiko: Benutzerkennungen vom Typ Referenz haben Berechtigungen, die die Prinzipien der
Berechtigungsvergabe verletzen (Forderung nach geringstem Berechtigungsumfang; Einhaltung
der Funktionstrennung).

2.1

Welche Benutzerkennungen sind Referenzbenutzer (Benutzertyp L)?


AIS: System Audit Benutzer und Berechtigungen - Infosystem Benutzerbersicht Benutzer
nach Anmeldedatum, Selektion nach Benutzertyp Referenzbenutzer.

2.2

Welche Rollen und Profile sind den Referenzbenutzern zugeordnet?


AIS: System Audit Benutzer und Berechtigungen - Infosystem Benutzer Benutzer nach komplexen Selektionskriterien, Selektion nach Benutzertyp Referenzbenutzer, nach Anzeige des Ergebnisses im Auswahlmen Rollen oder Profile anklicken.
Auch Referenzbenutzer drfen nur Berechtigungen haben, die fr den Arbeitsplatz notwendig
sind. Es darf keine Referenzbenutzer mit weit gefassten Berechtigungen, z. B. eines Superusers,
geben.

2.3

Welchen Benutzern sind Referenzbenutzer zugeordnet?


AIS: System Audit Benutzer und Berechtigungen - Infosystem Benutzer Benutzer nach komplexen Selektionskriterien, Liste der Referenzbenutzer im Feld Referenzbenutzer eingeben.
Welchen Benutzern sind Nicht-Referenzbenutzer als Referenz zugeordnet?
AIS: System Audit Benutzer und Berechtigungen - Infosystem Benutzer Benutzer nach komplexen Selektionskriterien, Selektion auf Nicht gleich <LEER> im Feld Referenzbenutzer, in
der Ergebnisliste die Nicht-Referenzbenutzer ermitteln.
Hinweis: Die Zuordnung eines normalen Benutzers als Referenzbenutzer kann ber einen
Eintrag im Customizing grundstzlich verhindert werden (SAP-Hinweis 513 694).
SOS: Usage of Normal Users as Reference Users is Not Prohibited (0012)

2.4

Wird die Zuordnung von Referenzbenutzern protokolliert?


AIS: System Audit Repository / Tabellen - Tabellenaufzeichnungen Technische Tabelleneinstellungen, letzte Zeile in der Anzeige zur Tabelle USREFUS.

3.

Kontrollziel: Sichere Nutzung des Konzeptes der Benutzer vom Typ Service
Risiko: Benutzerkennungen vom Typ Referenz haben Berechtigungen, die die Prinzipien der Berechtigungsvergabe verletzen (Forderung nach geringstem Berechtigungsumfang; Einhaltung der
Funktionstrennung).

3.1

Welche Benutzerkennungen sind Servicebenutzer (Benutzertyp S)?


AIS: System Audit Benutzer und Berechtigungen - Infosystem Benutzerbersicht Benutzer
nach Anmeldedatum, Selektion nach Benutzertyp Servicebenutzer.

3.2

Welche Rollen und Profile sind den Referenzbenutzern zugeordnet?


AIS: System Audit Benutzer und Berechtigungen - Infosystem Benutzer Benutzer nach
komplexen Selektionskriterien, Selektion nach Benutzertyp Referenzbenutzer, nach Anzeige des
Ergebnisses im Auswahlmen Rollen oder Profile anklicken.
Auch Servicebenutzer drfen nur Berechtigungen haben, die fr die Funktion notwendig sind. Es

4.

Kontrollziel: Sichere Nutzung des Konzeptes der Benutzergruppe


Risiko: Alle Benutzeradministratoren knnen einzelne Benutzer pflegen. Es kann zu nicht autorisierten Berechtigungsvergaben kommen.
Hinweis: ber die Zuordnung eines Benutzers zu einer Benutzergruppe kann gesteuert werden,
welche Benutzeradministratoren diesen Benutzer pflegen knnen. Wenn dieser Sicherheitsmechanismus genutzt wird, muss darauf geachtet werden, dass alle Benutzer auch einer Benutzergruppe zugeordnet werden.
Hinweis: Eine bersicht ber die existierenden Benutzergruppen geben die Tabellen USGRP(T).

4.1

Welche Benutzerkennungen sind keiner Benutzergruppe zugeordnet?


AIS: System Audit Benutzer und Berechtigungen - Infosystem Benutzerbersicht Benutzer
nach Anmeldedatum, Selektion auf Gleich <LEER> im Feld Benutzertyp (allgemein).
Wenn der Sicherheitsmechanismus der Benutzergruppe konsequent angewendet ist, darf es
keine Benutzer ohne eine Benutzergruppe geben.
SOS: Users Are NOT Assigned to User Groups (0005)

4.2

Wer kann Benutzergruppen anlegen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SUGR
S_USER_GRP (Benutzerverwaltung) mit Aktivitt * oder 01 (Anlegen) und Gruppe = * oder =
Gruppennamen.

4.3

Wer kann Benutzergruppen ndern?


Report RSUSR002 mit den Eingaben:
S_TCODE = SU01
S_USER_GRP (Benutzerverwaltung) mit Aktivitt * oder 02 (ndern) und Gruppe = * oder =
Gruppennamen.

4.4

Wie sind Benutzergruppen fr Administratoren eingerichtet?


Report RSUSR002 mit den Eingaben:
S_TCODE = SU01
S_USER_GRP (Benutzergruppen) mit Aktivitt * oder 02 (ndern) und Gruppe = * oder =
dieselbe Gruppe, die der Benutzeradministrator angehrt
ber die Zuordnung der Benutzergruppe muss verhindert werden, dass ein Administrator dem
eigenen Benutzerstammsatz Rollen/Profile zuweisen kann. Auch die nderung der Benutzergruppen Zuweisung darf im eigenen Benutzerstammsatz nicht mglich sein.
SOS: User Administrators Are Authorized to Change Their Own User Master Record (0003)

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Sichere Konfiguration besonderer Benutzertypen

Seite 23

NR.

3 Identifikation und Authentisierung (ABAP Stack)


3.8 Prfprogramm: berwachung der Wirksamkeit des Zugriffsschutzes
NR.

berwachung der Wirksamkeit des Zugriffsschutzes


Kontrollziel: Die Zugriffe auf das SAP-System werden regelmig berwacht. Es ist definiert, was auffllige Ereignissen sind. Sicherheitsverste werden bei Verdacht auf Missbrauch untersucht.
Risiko: Sicherheitsereignisse, die aufgrund fehlender oder falsch eingestellter sicherheitsrelevanter Parameter auftreten, werden nicht erkannt. Ein Sicherheitsversto oder Missbrauch eines
Benutzers wird nicht zeitnah erkannt. Bei dem Verdacht auf Missbrauch kann im nachhinein nicht
mehr auf automatisch erfolgte Systemaufzeichnungen zurckgegriffen werden, die zur
Aufklrung des Vorgangs oder Verfolgung der Tter dienen knnen.

Seite 24

1.

Kontrollfragen zum Prozess:


> Ist dokumentiert, dass das SAP Security Audit Log aktiviert werden muss und welche Mindesteinstellungen dabei vorgenommen werden mssen?
> Ist definiert, wer fr die Einrichtung und nderung der Einstellungen des SAP Security Audit
Logs und das Lschen der Protokolldateien zustndig ist?
> Gibt es einen definierten Prozess fr die Auswertung und berwachung der Ereignisse,
die ber das SAP Security Audit Log aufgezeichnet werden?
> Gibt es eine Vorgabe, wie lange die Protokolldateien im System vorgehalten werden mssen,
z.B. um nachtrglich noch Recherchen zu Sicherheitsereignissen durchfhren zu knnen, die
erst spter und auf anderem Wege bekannt geworden sind

1.1

Ist das SAP Security Audit Log aktiviert? Welche Benutzer, welche Audit-Klassen, welche Ereignisse
werden protokolliert?
AIS: System Audit Systemprotokolle und Statusanzeigen Security-Audit-Log
oder
Transaktion SM19
SOS: Security Critical Events for End Users Are Not Logged in the Security Audit Log (0136)
Empfehlung 1:
Kritische Ereignisse bei den folgenden Audit-Klassen
Dialog-Anmeldung
RFC- /CPIC-Anmeldung
RFC-Funktionsaufruf
werden fr alle Benutzer in allen Mandanten protokolliert.
Empfehlung 2:
Alle Ereignisse aller Audit-Klassen werden fr alle Notfallbenutzer protokolliert.
Empfehlung 3:
Alle Ereignisse aller Audit-Klassen werden fr alle Dialogbenutzer in der Benutzergruppe SUPER
protokolliert

1.2

Wer darf das SAP Security Audit Log aktivieren und die Einstellungen dazu ndern?
Report RSUSR002 mit den Eingaben:
S_TCODE = SM19
S_ADMI_FCD (Systemberechtigung) mit Funktion AUDA (Audit Administration)
S_C_FUNCT (direkter Aufruf von C-Kernel Funktionen aus ABAP) mit Aktivitt 16 (Ausfhren
und Programmname SAPLSECU und C-Routine AUDIT_SET_INFO.
Diese Berechtigung ist im Produktivsystem nur fr Systemadministratoren zulssig.

1.3

Wer darf die Protokolldateien des SAP Security Audit Log auswerten?
S_TCODE = SM20
S_ADMI_FCD (Systemberechtigung) mit Funktion AUDD (Audit Anzeige.
Diese Berechtigung ist im Produktivsystem nur Systemadministratoren und fr die Mitarbeitern
zulssig, die fr die Aufgabe der berwachung und Auswertung der Ereignisse zustndig sind.

1.4

Wer darf die Protokolldateien des SAP Security Audit Log lschen?
Report RSUSR002 mit den Eingaben:
S_TCODE = SM18 oder SA38 oder SE38 (Report RSAUPURG)
S_ADMI_FCD (Systemberechtigung) mit Funktion AUDA (Audit Administration) und ST0R (Auswerten
von Traces)
S_DATASET (Berechtigung zum Dateizugriff) mit Aktivitt 34 und Programmname SAPL-STUW und
Dateiname (Pfad gem der Angabe zu dem Profilparameter DIR_AUDIT, in dem die Protokolldateien
gespeichert sind.).
Diese Berechtigung ist im Produktivsystem nur fr Systemadministratoren zulssig.

2.

Kontrollziel: Aufdecken von Versuchen, das Kennwort einer Benutzerkennung auszuprobieren.


Risiko: Ein Benutzer versucht das Kennwort eines anderen Benutzers systematisch auszuprobieren.

2.1

Zu welchen Benutzerkennungen ist eine hohe Anzahl von Falschanmeldungen registriert?


AIS: System Audit Benutzer und Berechtigungen - Infosystem Benutzerbersicht Benutzer
nach Anmeldedatum, Selektion auf Benutzer mit Falschanmeldungen.

2.2

Welche Benutzerkennungen, die seit langem inaktiv sind, haben eine Sperre wegen Falschanmeldung?
AIS: System Audit Benutzer und Berechtigungen - Infosystem Benutzerbersicht Benutzer
nach Anmeldedatum, Selektion auf Benutzer mit Falschanmeldungen.

2.3

Prfung auf Anmeldefehler mit dem SAP Security Audit Log:


Transaktion SM20, Auswahl Alle entf. Auditlogs, von Datum und bis Datum eingeben,
Wechsel in den Expertenmodus ber den Menpunkt Bearbeiten Expertenmodus, Einschrnkung zum Beispiel auf folgende Meldungen:
> AU0, AU2, fehlgeschlagenes Login
> AUM, Benutzer wurde nach Falschanmeldungen gesperrt
> AUN, Benutzersperre wegen Falschanmeldungen wurde wieder aufgehoben.
Die angezeigten Protokollstze sind auf auffllige zeitliche Hufungen bei einer Benutzerkennung zu
untersuchen. Detailinformationen knnen durch Doppelklick auf die Einzelmeldungen angezeigt werden.
Hinweis: Die Texte zu allen Meldekennungen sind in der Tabelle TSL1T hinterlegt. Die fr die
Protokolldateien des SAP Security Audit Log relevanten Meldekennungen beginnen mit AU.

2.4

Prfung auf Anmeldefehler mit dem Systemlog:


Transaktion SM21, Auswahl Alle entf. SysLogs, von Datum und bis Datum eingeben, Wechsel in
den Expertenmodus ber den Menpunkt Bearbeiten Expertenmodus, ber die Schaltflche
Meld.kennungen z. B. auf folgende Meldungen einschrnken:
> US1 Ein Benutzer wurde auf Grund von Falschanmeldungen gesperrt.
> US3 Es wurde versucht, sich mit einem gesperrten Benutzer anzumelden.
Hinweis: Die Texte zu allen Meldekennungen sind in der Tabelle TSL1T hinterlegt.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

berwachung der Wirksamkeit des Zugriffsschutzes

Seite 25

NR.

4 Autorisierung (ABAP-Stack)
4.1 Berechtigungsvergabe
Der Zugriff eines Benutzers auf die Funktionen und Daten des SAP-Systems wird ber Berechtigungen frei
geschaltet. Dabei gelten zwei Vergabegrundstze:
> Nach dem ersten Grundsatz der Berechtigungsvergabe drfen die Berechtigungen eines Benutzers nur
diejenigen Sichten und Funktionen fr die Daten freigeben, die er zur Erfllung der Ttigkeiten an
seinem Arbeitsplatz bentigt. Dies wird als das Prinzip des geringsten Berechtigungsumfangs, im
englischen Sprachgebrauch als least privilege bezeichnet.
> Der zweite Grundsatz der Berechtigungsvergabe fordert, dass Funktionen, die zu einer unerwnschten
Kummulierung der Rechte fhren wrden, nicht an die gleiche Person vergeben werden drfen. Dieses
Prinzip der Funktionstrennung hilft, Missbrauch und betrgerische Handlungen zu verhindern.
Im englischen Sprachgebrauch wird es principle of segregation of duties, kurz SoD, genannt.
Fr das Unternehmen leiten sich beide Vergabegrundstze aus den Forderungen des Internen Kontrollsystem ab. Unternehmen mssen aus eigenem Interesse ein Internes Kontrollsystem einrichten, warten,
berwachen und kontinuierlich optimieren.

4.2 Risiken

Seite 26

Die Risiken liegen in der mangelhaften Umsetzung des geforderten internen Kontrollsystems, das
unternehmensindividuell ber die Vergabe von Berechtigungen zu realisieren ist:
> Die Prfbarkeit des Benutzers- und Berechtigungskonzeptes ist nicht gewhrleistet. Das Berechtigungs
konzept gengt nicht den gesetzlichen und unternehmensinternen Anforderungen. Es ist nicht dokumentiert.
> Wesentliche interne Kontrollen fehlen in der Benutzer- und Berechtigungsverwaltung. Organisatorische
oder technische Schwachstellen ermglichen ein Unterlaufen der beabsichtigten internen Kontrollen.
> Universelle Berechtigungen und sicherheitskritische Systemeinstellungen werden nach dem Produktiv-
einsatz im SAP-System belassen, obwohl sie SAP ausschlielich nur fr die Phase der Implementierung
oder des Release-Wechsels vorgesehen hat. Im Produktivsystem gefhrden sie aber Systemintegritt
und den ordnungsmigen Betrieb.
> Kritische Berechtigungen, die gegen gesetzliche und unternehmensinterne Regelungen verstoen
(Internes Kontrollsystem), werden ohne Restriktionen vergeben. Es ist nicht untersucht worden, welche
Berechtigungen als kritisch einzuordnen sind. Die besonderen Bedingungen sind nicht festgelegt, unter
denen sie zu vergeben sind.
> Technische Konzepte, die das SAP-System zur Ausprgung und Prfung von Berechtigungen bereitstellt,
werden nicht konsequent genutzt. Beispiele sind Berechtigungsgruppen von Tabellen und Programmen
oder Berechtigungsprfungen in selbst entwickelten Programmen. Somit werden Sicherheitslcken in
Kauf genommen, die die Manipulation an kritischen Systemeinstellungen oder an Geschftsdaten
zulassen.
> Die eingerichteten Benutzerkennungen und die vergebenen Berechtigungen werden nicht regelmig
geprft und besttigt. Mglicher Missbrauch einzelner Benutzerkennungen durch fremde Benutzer oder
durch einen Benutzer, der im Zeitlauf mit umfangreichen Berechtigungen ausgestattet wurde, wird nicht
verhindert.

Die Kontrollziele beziehen sich in der Regel auf die effektive und effiziente Gestaltung der Prozesse der
Benutzer- und Berechtigungsverwaltung:
> Ein dokumentiertes Berechtigungskonzept liegt vor, das die gesetzlichen und unternehmensinternen
Anforderungen erfllt.
> Die Organisation der Benutzer- und Berechtigungsverwaltung ist auch im SAP-System durch angemes-
sene Autorisierung der dafr vorgesehenen Mitarbeiter gewhrleistet. Insbesondere ist die Funktions-
trennung abgebildet.
> Universelle SAP-Standardprofile, die nur fr die Implementierung und den Release-Wechsel bereitge-
stellt sind, sind gelscht oder durch unternehmensspezifische Berechtigungen abgelst.
> Kritische Berechtigung sind identifiziert und die Restriktionen dokumentiert, unter denen sie zu ver-
geben sind.
> Das in Einzelfllen notwendige Aufheben der von SAP vorgesehenen Sicherheitseinstellungen ist
autorisiert und dokumentiert (Konzept des Notfallbenutzers).
> Sicherheitskritische Funktionen werden nur restriktiv und kontrolliert vergeben.
> Prozesse zur Ausprgung von Berechtigungsgruppen und zur Prfung von Berechtigungen in
Programmen sind definiert und wirksam.
> Die Benutzer- und Berechtigungsverwaltung wird regelmig berwacht und die Prozesse dazu geprft
und optimiert.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

4.3 kontrollziele

NR.

Inhalte eines dokumentierten Berechtigungs- und Benutzerkonzeptes

Kontrollziel: Die Dokumentation des Berechtigungs- und Benutzerkonzeptes erfllt die


Mindestanforderungen.
Risiko: Gesetzliche Anforderungen an die Dokumentation und Prfbarkeit sind nicht erfllt. Die
Wirksamkeit eines Berechtigungs- und Benutzerkonzeptes kann nur geprft werden, wenn das
Sollkonzept dokumentiert ist

1.

Vorgaben fr die Konfiguration von Authentisierung und Autorisierung

1.1

Gibt es Vorgaben, wie die Profilparameter fr die Anmeldekontrollen gesetzt sein mssen?

1.2

Gibt es Vorgaben, welche Angaben in Benutzerstammstze obligatorisch und welche optional sind?

1.3

Gibt es Vorgaben, wie die Profilparameter fr die Autorisierung gesetzt sein mssen?

1.4

Gibt es Vorgaben, wie die obligatorischen und optionalen Berechtigungsprfungen genutzt werden
mssen? (Inaktivsetzen von Prfkennzeichen, Berechtigungsprfung bei eigenentwickelten Programmen)

1.5

Gibt es Vorgaben, wie der SAP Profilgenerator und seine optionalen Rollenkonzepte zu nutzen sind?

1.6

Gibt es Vorgaben zur Konfiguration und Nutzung der Zentralen Benutzerverwaltung?

1.7

Gibt es Vorgaben, wie das Security Audit Log zu konfigurieren und zu berwachen ist?

Seite 27

4.4 Prfprogramm: Dokumentiertes Berechtigungs- und Benutzerkonzept

Seite 28

4 Autorisierung (ABAP-Stack)
NR.

Inhalte eines dokumentierten Berechtigungs- und Benutzerkonzeptes

2.

Dokumentation der Vorgehensweise fr die Erstellung des Berechtigungskonzeptes

2.1

Gibt es eine bersicht ber Geschftsprozess-Verantwortliche/Dateneigentmer?

2.2

Gibt es Vorgaben fr die Ausprgung des Berechtigungskonzeptes?


> Zugriffselemente: Rollen, Profile, Berechtigungen
> Namenskonventionen
> Top-Down- oder Bottom-Up-Ansatz
> Mehrfachverwendung und Einzelverwendung von Zugriffselementen (Rollen, Profile)

2.3

Sind folgende Dokumente aus dem Implementierungsprojekt verfgbar:


> Definition der Arbeitspltze
> Definition der Zugriffselemente (Rollen, Profile) und
> die Zuordnung von Arbeitspltzen zu Zugriffselementen nach einer Autorisierungs- oder
Arbeitsplatzmatrix?

2.4

Wurden im Implementierungsprojekt die fr die Arbeitspltze vergebenen Berechtigungen in der


3-Systeme Landschaft getestet und freigegeben? Gibt es zum Testergebnis und der Freigabe ein
Abnahmeprotokoll?

3.

Dokumentation des Antrags- und Vergabeverfahrens fr Benutzer und Berechtigungen

3.1

Bercksichtigt das Antrags- und Vergabeverfahren die folgenden vier Phasen: Antrag, Freigabe,
Durchfhrung und Besttigung?
Sind fr jede Phase die Zustndigkeiten, Aufgaben, Kontroll- und Freigabeschritte definiert?

3.2

Gibt es insbesondere Vorgaben fr Kontrollen bei nderungen eines existierenden Benutzerstammsatzes: Werden die Benutzerstammstze hinsichtlich ihrer Autorisierung und Systemzugriffe berprft, insbesondere wenn ein Benutzer die Abteilung wechselt oder das Unternehmen
verlassen hat?

4.

Dokumentation der Benutzer- und Berechtigungsverwaltung

4.1

Ist die Organisation der Benutzer- und Berechtigungsverwaltung dokumentiert? Sind dabei die
folgenden Dimensionen der mglichen Ausprgung festgelegt:
> Dezentrale oder zentrale Administration
> Administration nach Abteilungen, Modulen, Transaktionen
> Zustndigkeit fr Entwicklung, Test, Freigabe und Produktivsetzung in der 3-Systeme Landschaft.

5.

Dokumentation der Prfung auf Verletzungen der Anforderungen des internen Kontrollsystems

5.1

Ist dokumentiert, auf welche Weise die Anforderungen des internen Kontrollsystems bei der
Ausprgung von Zugriffselementen (Rollen, Profile) zu bercksichtigen sind, insbesondere das
Prinzip der Funktionstrennung?

5.2

Ist das Verfahren dokumentiert, wie die Regeln auf Einhaltung von Funktionstrennung vorgegeben,
freigegeben und im SAP-System als automatische Prfregeln eingesetzt werden?

5.3

Ist das Verfahren dokumentiert, wie die vom SAP-System erkannten Verste gegen die
Funktionstrennung behandelt und die betreffenden Konflikte gelst werden?

6.

Dokumentation der Untersttzung durch zustzliche Produkte

6.1

Ist der Einsatz von SAP Workflows zur Untersttzung des Antrags- und Vergabeverfahrens sowie
der Benutzer- und Berechtigungsverwaltung dokumentiert?

6.2

Ist der Einsatz von Produkten von Drittanbietern zur Untersttzung des Antrags- und Vergabeverfahrens sowie der Benutzer- und Berechtigungsverwaltung dokumentiert?

4.5 Prfprogramm: Notfallbenutzerkonzept (ABAP Stack)


NR.

Notfallbenutzerkonzept

1.

Kontrollziel: Absicherung des Notfallbenutzers


Risiko:
> Es gibt keinen Notfallbenutzer: Systemadministratoren arbeiten im Normalbetrieb unter dem
Standardbenutzer SAP* oder zwar unter einem eigens eingerichteten Benutzer, aber mit der
universalen Superuser-Berechtigung SAP_ALL.
> Es gibt einen eigenen Notfallbenutzer mit der universalen Superuser-Berechtigung SAP_ALL, den
sich die Systemadministratoren teilen und der jederzeit unkontrolliert eingesetzt werden kann.

1.1

Ist fr den Notfall mindestens eine Benutzerkennung eingerichtet,


> die nicht der Standardbenutzer SAP* ist,
> die die notwendigen weitreichenden Berechtigungen hat,
> die mit einem komplexen Kennwort ausgestattet ist,
> deren Kennwort an einem sicheren Ort zugriffsgeschtzt aufbewahrt wird,
> wobei der Zugriff auf das Kennwort im Vier-Augen-Prinzip erfolgen muss?

1.2

Werden Aktionen unter dem Notfallbenutzer dokumentiert mindestens unter Angabe


> des Grundes
> des Zeitraums
> der darunter ttigen Personen
> der Ttigkeiten, die damit durchgefhrt wurden.

1.3

Werden fr einen Notfallbenutzer ber das SAP Security Audit Log alle Ereignisse aller AuditKlassen zwangsprotokolliert?

1.4

Wird nach der Notfallaktion das Kennwort des Notfallbenutzers gendert?

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Inhalte eines dokumentierten Berechtigungs- und Benutzerkonzeptes

Seite 29

NR.

4 Autorisierung (ABAP-Stack)

Seite 30

4.6 Prfprogramm: Nutzung kritischer SAP Standardprofile/-rollen


NR.

Nutzung kritischer SAP Standardprofile/-rollen

1.

Kontrollziel: Einschrnkung der Nutzung der kritischen universellen SAP Standardprofile/-rollen


Risiko: Verlust der Vertraulichkeit, Verlust der Integritt der Daten und des SAP-Systems, Verlust
der Verfgbarkeit.
Auf dem Produktivsystem werden entgegen den eindeutigen Sicherheitsempfehlungen des Herstellers SAP - nach Inbetriebnahme weiterhin die sicherheitskritischen SAP Standardprofile vergeben - nach dem Motto Simplicity over Security:
> an externe Dienstleister, z. B. fr Beratung, technische Untersttzung, Wartung,
> an interne Systemadministratoren,
> an Benutzer aus der Fachabteilung.
Damit werden das gesetzlich geforderte unternehmensinterne Interne Kontrollsystem und das
SAP interne Sicherheitskontrollsystem unterlaufen. Ordnungsmigkeitsanforderungen werden
verfehlt.

1.1

An welche Benutzer ist SAP_ALL vergeben?


AIS: System Audit Benutzer und Berechtigungen - Infosystem Benutzer Benutzer nach komplexen Selektionskriterien, Selektion nach Profil SAP_ALL.
Wie ist die Vergabe und Nutzung des Standardprofils SAP_ALL organisatorisch geregelt?
Das Profil SAP_ALL ist im Produktivsystem nicht zulssig. SAP empfiehlt, dieses Profil nur dem
Notfallbenutzer zuzuweisen.
Hinweis 1: Dieses Sammelprofil enthlt alle SAP-Berechtigungen. Ein Benutzer mit diesem Profil
kann im SAP-System alle Aufgaben durchfhren.
Risiko: Benutzer manipulieren unter dem hchst privilegierten SAP Standardprofil SAP_ ALL
beliebige Geschftsdaten, deaktivieren installierte SAP interne Kontrollen oder sicherheitsrelevante
Systemeinstellungen oder lschen die Systemaufzeichnungen der Aktivitten, um die Spuren erfolgter
Manipulationen zu beseitigen.
Hinweis 2: Anstatt das Profil SAP_ALL zu benutzen, knnen die darin enthaltenen Berechtigungen
auf die entsprechenden Funktionen verteilt werden. Es sollte z. B. dem Systemadministrator nicht
die Berechtigung SAP_ALL zugewiesen werden, sondern nur die fr die Systemverwaltung
erforderlichen Berechtigungen, also die S_*-Berechtigungen. Dies berechtigt ihn zur Verwaltung
des gesamten SAP-Systems, er kann damit jedoch keine Aufgaben in anderen Bereichen, z. B. in
Anwendungen, durchfhren.
Hinweis 3: Es ist zu prfen, ob Rollen oder Profile mit Berechtigungsumfngen analog SAP_ALL
existieren.
SOS: Users with the most Full Access Authorizations (* Field Values) (0027)
SOS: Users with the most Roles (0028)
SOS: 20% or max 30% of All Users That Have for the most Profiles (0029)

1.2

An welche Benutzer ist SAP_NEW vergeben?


AIS: System Audit Benutzer und Berechtigungen - Infosystem Benutzer Benutzer nach komplexen Selektionskriterien, Selektion nach Profilen der Form SAP_NEW*.
AIS: System Audit Benutzer und Berechtigungen - Infosystem Profile Profile nach Profilnamen,
Selektion nach Profilen der Form SAP_NEW*.
Eine lange Liste von SAP_NEW-Profilen, z. B. nach mehreren Upgrades, ist ein Zeichen
dafr, dass das Berechtigungskonzept zu berarbeiten und neu festzusetzen ist.
Wie ist die Vergabe und Nutzung des SAP Standardprofils SAP_NEW organisatorisch geregelt?
Das Profil SAP_NEW ist im Produktivsystem nicht zulssig.
SAP empfiehlt, die SAP_NEW_* Profile nach einem Upgrade aufzulsen und die bentigten
Teilberechtigungen zu verteilen sowie SAP_NEW zu lschen.
Hinweis 1: Dieses Sammelprofil enthlt alle Profile, die mit einem Release neu hinzukommen.
Nach jedem Release-Wechsel bentigt man dieses Profil, damit bestimmte Aufgaben problemlos
ablaufen knnen.
Risiko: Benutzer missbrauchen die privilegierten Berechtigungen des SAP Standardprofils SAP_
NEW und fhren nicht autorisierte Aktivitten durch.
SAP empfiehlt im einzelnen:
> nach dem Upgrade die SAP_NEW_*-Profile fr Releases vor der Einfhrung des Berechtigungskonzepts zu lschen,
> die SAP_NEW_*-Profile fr Releases zu lschen, in denen bereits die darin enthaltenen Profile
verteilt worden sind,
> den Rest der in den SAP_NEW_*-Rollen enthaltenen Profile an die entsprechenden Funktionen
zu verteilen und ihre Berechtigungswerte zu pflegen,
> SAP_NEW zu lschen.
SOS: Users with Profile SAP_NEW (0031)

1.3

An welche Benutzer sind weitere kritische SAP Standardprofile vergeben, ggf. noch aus alten
Releasestnden? Beispiele sind:
> S_A.SYSTEM (Systemverwalter, Superuser), S_A.ADMIN (Operator), S_A.CUSTOMIZ (Customizer),
S_A.DEVELOP (Alle Berechtigungen fr einen Entwickler)
> S_CTS_ALL, u.a. kann damit die Systemnderbarkeit gesetzt werden
> S_CTS_PROJECT, u.a. kann damit ein nderungsauftrag eines anderen Benutzers bernommen
werden, indem der Name im nderungsauftrag gendert wird
> S_DATASET_AL, S_C_FUNCT_AL, S_TCD_ALL, S_TSKH_ALL
> F_BUCH_ALL, Z_ANWEND
AIS: System Audit Benutzer und Berechtigungen - Infosystem Benutzer Benutzer nach komplexen Selektionskriterien, Selektion nach Profil.
Sind die Vorgaben von SAP zur Vergabe und Nutzung der kritischen SAP Standardprofile bekannt
und in eine organisatorische Regelung umgesetzt?
Risiko: Benutzer knnen nach dem Produktivstart oder einem Release-Wechsel diese weitreichenden SAP Standardprofile missbrauchen, die SAP nur zur Untersttzung der Implementierungsphase bereitstellt.
SOS: SAP Standard Roles Are Assigned to Users (0082)
SOS: SAP Standard Profiles Are Assigned to Users (0083)
Empfehlung: ber die Transaktion SUIM oder die Tabellen UST10S/UST12 kann zustzlich geprft
werden, ob Profile mit analogen Inhalten zu den oben aufgefhrten Profilen existieren.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Nutzung kritischer SAP Standardprofile/-rollen

Seite 31

NR.

4 Autorisierung (ABAP-Stack)

Seite 32

4.7 Prfprogramm: Ersetzen kritischer Vorschlagswerte im


Profilgenerator
NR.

Ersetzen kritischer Vorschlagswerte im Profilgenerator

1.

Kontrollziel: Die von SAP standardmig gesetzten und vordefinierten Ausprgungen von
Berechtigungen im Profilgenerator sind auf kritische Setzungen bewertet worden. Bei der
Vergabe von Profilen werden die als kritisch erkannten Vorgaben bercksichtigt und gem den
unternehmensspezifischen Sicherheits- und Kontrollanforderungen gendert.
Risiko: Die von SAP gesetzten Vorschlagswerte im Profilgenerator fr die Berechtigungsprfung
werden unverndert bernommen, obwohl einige davon nicht den geforderten IT internen Kontrollen
im Produktivsystem gengen.

1.1

Soll jeder Benutzer auf dem Produktivsystem uneingeschrnkte Entwicklungsberechtigungen


erhalten?
S_DEVELOP (ABAP Workbench) mit Aktivitt * und Paket * und Objektname * und Objekttyp *
und Berechtigungsgruppe * ist sehr kritisch.
Dieses Berechtigungsobjekt darf im Produktivsystem nur mit dem Objekttyp SUSO (Berechtigungsobjekte) und der Aktivitt 03, Anzeigen, ausgeprgt sein.
Risiko: Ausprgungen, die die Aktivitten 01, Anlegen, oder 02, ndern, zusammen mit den
einem der beiden Objekttypen DEBUG oder PROG beinhalten, verstoen im Produktivsystem gegen Grundstze der ordnungsmigen Buchfhrung (Radierverbot).

1.2

Soll jeder Benutzer die kritische Systemberechtigung zum Auswerten des Syslogs erhalten?
S_ADMI_FCD (Systemberechtigungen) mit Aktivitt SM21 berechtigt, den Systemlog auszuwerten.
Dieses Berechtigungsobjekt darf mit der Aktivitt SM21 im Produktivsystem nicht fr alle Benutzer
frei geschaltet werden.

1.3

Soll jeder Benutzer neue Projekte generieren knnen?


S_PRO_AUTH (Neue Berechtigungen fr Projekte) mit Aktivitt 03 (Anzeigen).
Dieses Berechtigungsobjekt darf im Produktivsystem nur mit der Aktivitt 03, Anzeigen, ausgeprgt werden.

1.4

Welche Adressgruppen knnen fr alle Benutzer frei geschaltet werden knnen?


S_ADRESS1 (Adresstyp1: Organisationsadressen)
mit Aktivitt * und Adressgruppe BC01 (SAP Benutzeradressen) ist sinnvoll.
Im Produktivsystem ist auf die spezifische Eingabe der Adressgruppe zu achten, insbesondere
nur BC01 (SAP Benutzeradressen) zulassen. Adressgruppen wie Geschftspartner, BP, oder EHS
Berichtsempfnger, EHS1, drfen wegen des Prinzips der geringsten Berechtigungsvergabe und
der Gewhrleistung der Vertraulichkeit nicht grundstzlich an alle Benutzer freigegeben werden.
Risiko: Die Vertraulichkeit von Daten ist unter Umstnden nicht gewhrleistet.

1.5

Welche Transaktionscodes knnen fr alle Benutzer von HR frei geschaltet werden?


P_TCODE (HR Transaktionscode) mit Transaktionscode: PFCG, SUID oder SU01D ist sinnvoll.
Dieses Berechtigungsobjekt darf im Produktivsystem nur fr die Transaktionscodes PFCG, SUID
oder SU01D frei geschaltet sein.
Die im Kontext zu den Transaktionen PFCG stehenden Berechtigungsobjekte mssen gem der
zugeordneten Aufgabe ausgeprgt sein (Administrations- oder Anzeigefunktion).

2.

Zugriff auf Tabellen

2.1

Welche Tabellengruppen drfen von Benutzern nicht gendert werden knnen?


S_TABU_DIS (Tabellenpflege) mit Aktivitt 03 (Anzeigen) und Berechtigungsgruppen ALE0 oder SS.
Dieses Berechtigungsobjekt darf im Produktivsystem fr die beiden Berechtigungsgruppen ALE0
und SS nur mit Aktivitt 03, Anzeigen, ausgeprgt werden.

2.2

Welche Tabellengruppen drfen von Benutzern gendert werden knnen?


S_TABU_DIS (Tabellenpflege) mit Aktivitt 02 oder 03 und Berechtigungsgruppe SUSR.
Dieses Berechtigungsobjekt darf im Produktivsystem fr die Berechtigungsgruppe SUSR nur mit
den Aktivitten 02, ndern, und 03, Anzeigen, ausgeprgt werden.

3.

Zugriff auf IDOCS

3.1

Welcher Zugriff auf IDOCS kann allen Benutzern eingerumt werden?


S_IDOCCTRL (allgemeiner Zugriff auf IDOC Funktionen)
mit Aktivitt 03 und Transaktionscode * ist ist applikationsabhngig mglich.
Dieses Berechtigungsobjekt darf im Produktivsystem nur die Aktivitt 03, Anzeigen, haben.
Empfehlenswert ist auch Einschrnkung auf nicht FI-spezifische Transaktionscodes.
Risiko: Ansonsten knnen FI spezifische IDOCs, die z. B. vertrauliche Daten beinhalten, von allen
Benutzern eingesehen werden.
Hinweis: Unter allen IDOC-Berechtigungsobjekten sollte nur das Berechtigungsobjekt S_IDOCCTRL
an alle Benutzer mit den oben beschriebenen Einschrnkungen berechtigt werden, falls berhaupt
erforderlich.

3.2

Welcher Zugriff auf IDOCS kann allen Benutzern eingerumt werden, die eine Kontrollfunktion ber
IDOCs bentigen?
S_IDOCMONI (Zugriff auf IDOC Monitoring) mit Aktivitt 03 und Richtung der IDOC bertragung 1
und 2 und
Nachrichtentyp CCLONE und USERCLONE und PARTNERNUMMER * und PARTNERART LS und
TRANSAKTIONSCODE: * ist applikationsabhngig mglich.
Risiko: Die Aktivitt muss 03, Anzeigen, sein. Sonst knnen IDOCS, die auch nderungsbelege
sind, gendert oder gelscht werden.
Hinweis: Die Angabe des Transaktionscodes ist dann unkritisch, wenn die anderen Felder des
Berechtigungsobjektes wie oben gepflegt sind.

4.

Benutzer- und Berechtigungsadministration

4.1

Welche Administratoren sollen Benutzer und ihre Berechtigungen auf welche Weise verwalten drfen?
S_USER_AGR (Berechtigungswesen: Prfer fr Rollen)
mit Aktivitt * und Name der Rolle * ist kritisch.
Dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem
nur restriktiv gem dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration belegt werden.
Risiko: Wenn diese von SAP vordefinierten uneingeschrnkten Freigaben (*) bestehen bleiben,
kann jeder alle Aktivitten durchfhren. Insbesondere kann jeder jede Rolle anlegen. Das kann
nicht gewnscht sein.
Hinweis: Zur Einhaltung des Vieraugenprinzips mssen bei den Feldern Aktivitt und Name der
Rolle die 4 Funktionen Anlegen, ndern, Aktivieren und Zuordnen entsprechend bercksichtigt werden.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Ersetzen kritischer Vorschlagswerte im Profilgenerator

Seite 33

NR.

Seite 34

4 Autorisierung (ABAP-Stack)
NR.

Ersetzen kritischer Vorschlagswerte im Profilgenerator

4.2

Welche Administratoren sollen Benutzer und ihre Berechtigungen auf welche Weise verwalten drfen?
S_USER_AUT (Benutzerstammpflege: Berechtigungen) mit Aktivitt * und Berechtigungsname in
Benutzerstamm * und Berechtigungsobjekt * ist kritisch.
Dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem nur restriktiv gem dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration belegt werden.
Risiko: Wenn diese von SAP vordefinierten uneingeschrnkten Freigaben (*) bestehen bleiben,
kann jeder alle Aktivitten durchfhren. Insbesondere kann jeder jede Rolle anlegen. Das kann
nicht gewnscht sein.
Hinweis: Zur Einhaltung des Vieraugenprinzips mssen bei den Feldern Aktivitt und Name der

4.3

Welche Administratoren sollen Benutzer und ihre Berechtigungen auf welche Weise verwalten drfen?
S_HIERARCH (Berechtigungsprfungen der Hierarchiepflege) mit Aktivitt * und Paket * und
Strukturtyp * ist kritisch.
Dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem nur restriktiv gem dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration belegt werden.
Die Mglichkeit der Einschrnkung auf die verwendete Struktur zur Berechtigungsverwaltung
muss genutzt werden.
Dieses Berechtigungsobjekt ermglicht das Arbeiten mit dem allgemeinen Hierarchiepflegetool
oder den darauf basierenden Transaktionen. Die Berechtigung muss eingeschrnkt werden ber
den Typ der zu bearbeitenden Struktur und ber deren Paket.

4.4

Welche Administratoren sollen Benutzer und ihre Berechtigungen auf welche Weise verwalten drfen?
S_USR_GRP (Benutzerstammpflege: Benutzergruppen)
mit Aktivitt * und Benutzergruppe in Benutzerstamm * ist kritisch.
Dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem nur restriktiv gem dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration belegt werden.
Risiko: Wenn diese uneingeschrnkten Freigaben (*) bestehen bleiben, kann jeder alle Aktivitten
durchfhren. Dann kann jeder jede Benutzergruppe pflegen, auch sich selbst. Das kann nicht
gewnscht sein.
Hinweis: Zur Einhaltung des Vieraugenprinzips mssen bei der Aktivitt und Name der Benutzergruppe die 4 Funktionen Anlegen, ndern, Aktivieren und Zuordnen entsprechend bercksichtigt werden.

4.5

Welche Administratoren sollen Benutzer und ihre Berechtigungen auf welche Weise verwalten drfen?
S_USR_PRO (Benutzerstammpflege: Berechtigungsprofil)
Mit Aktivitt * und Berechtigungsprofil im Benutzerstamm * ist kritisch.
Dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem nur restriktiv gem dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration belegt werden.
Risiko: Wenn diese uneingeschrnkten Freigaben (*) bestehen bleiben, kann jeder alle Aktivitten durchfhren. Dann kann jeder jedes Benutzerprofil pflegen. Das kann nicht gewnscht sein.
Hinweis: Zur Einhaltung des Vieraugenprinzips mssen bei der Aktivitt und Name des Berechtigungsprofils die 4 Funktionen Anlegen, ndern, Aktivieren und Zuordnen entsprechend
bercksichtigt werden.

4.6

Welche Administratoren sollen Benutzer und ihre Berechtigungen auf welche Weise verwalten drfen?
S_USER_SAS (Benutzerstammpflege: Systemspezifische Zuordnungen) mit Aktivitt *, Name
der Rolle *, Benutzergruppe , Berechtigungsprofil im Benutzerstamm und Empfngersystem
ZBV ist kritisch.
Dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem nur restriktiv gem dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration belegt werden.
Risiko: Bei Vollausprgung kann jeder jede Benutzerausprgung und jede Rolle in jedem System
zuweisen.
Hinweis: Das neue Berechtigungsobjekt S_USER_SAS wird ber den Eintrag mit der Id CHECK_
S_USER_SAS und dem Wert YES in der Tabelle PRGN_CUST aktiviert(OSS-Hinweis 536101) und
ersetzt die Berechtigungsobjekte S_USER_GRP, S_USER_AGR, S_USER_PRO und S_USER_SYS
bezglich der Zuordnung von Rollen oder Profilen zu Benutzern.
Die Verwendung der erweiterten Berechtigungsprfung ist unabhngig vom Einsatz der zentralen
Benutzerverwaltung.

4.7

Welche Administratoren sollen Benutzer und ihre Berechtigungen auf welche Weise verwalten drfen?
S_USR_SYS (Benutzerstammpflege: System fr zentrale Benutzerpflege) spezifisches Objekt) mit
Aktivitt * und Empfngersystem ZBV ist kritisch.
Dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem nur restriktiv gem dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration belegt werden.
Risiko: Bei Vollausprgung kann jeder in allen Systemen Rollen zuweisen.

4.8

Welche Administratoren sollen Benutzer und ihre Berechtigungen auf welche Weise verwalten drfen?
S_USER_TCD (Berechtigungswesen: Transaktionen in Rollen) mit Transaktionscode * ist kritisch.
Dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem nur restriktiv gem dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration belegt werden.
Risiko: Bei Vollausprgung knnen modul- und basisbergreifend alle Berechtigungsobjekte in
Rollen aufgenommen werden.

4.9

Welche Administratoren sollen Benutzer und ihre Berechtigungen auf welche Weise verwalten drfen?
S_USER_VAL (Berechtigungswesen: Feldwerte in Rollen)
mit Feldname * und Berechtigungswert * und Berechtigungsobjekt * ist kritisch.
Dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem
nur restriktiv gem dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration belegt werden.
Risiko: Bei Vollausprgung knnen modul- und basisbergreifend alle Berechtigungsobjekte in
Rollen aufgenommen werden.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Ersetzen kritischer Vorschlagswerte im Profilgenerator

Seite 35

NR.

4 Autorisierung (ABAP-Stack)
4.8 Prfprogramm: OrdnungsmSSige Berechtigungs- und Benutzer organisation
NR.

OrdnungsmSSige Berechtigungs- und Benutzerorganisation

1.

Kontrollziel: Einhaltung der Funktionstrennung, kein Administrator darf die folgenden drei zu
trennenden Aufgaben durchfhren:
1. Benutzer verwalten
2. Berechtigungen pflegen
3. Berechtigungsprofile generieren.
Risiko: Die Aufgaben des Benutzers- und Berechtigungsverwalters werden in vollem Umfang an
einen oder mehrere Mitarbeiter vergeben. Eine berwachung der Ttigkeiten eines Benutzers- und
Berechtigungsverwalters gibt es nicht. Die Folgen sind:
> nicht autorisierte nderungen sind mglich,
> betrgerische Handlungen knnen durchgefhrt und die Spuren dazu zumindest verschleiert
werden.

1.1

Sind die Mglichkeiten der Funktionstrennung bezogen auf die Ressourcen und den Sicherheitsanforderungen des Unternehmens umgesetzt?
Beispiele fr die Realisierung eines 4-Augen Prinzips und eines 6-Augen Prinzips sind in den folgenden bersichten aufgefhrt.
Scenario 1: 4-Augen Prinzip
Zentrale Benutzerverwaltung
> Ein Benutzerverwalter fr alle Benutzer.
> Unbegrenzte Berechtigungen fr alle Benutzerverwaltungsaufgaben des Benutzeradministrators
Zentrale Pflege von Rollen und Profilen
Ein Administrator bernimmt beide Rollen:
> Berechtigungsdatenverwalter
> Berechtigungsprofilverwalter.

Seite 36

Scenario 2: 6-Augen Prinzip


Dezentrale Benutzerverwaltung (Produktivsystem)
Ein Benutzerverwalter fr pro Anwendungsbereich (FI, MM),
> berechtigt, um eine bestimmte Benutzergruppe zu pflegen,
> berechtigt, um eine bestimmte Menge von Rollen/Profilen zuzuordnen,
> keine weiteren Einschrnkungen auf spezifische Benutzerverwaltungsaufgaben.
Zentrale Pflege von Rollen und Profilen
Trennung der Zustndigkeiten:
> Berechtigungsdatenverwalter
> Berechtigungsprofilverwalter.
Keine weiteren Einschrnkungen auf spezifische Rollen oder Profile.

Scenario 3: 6-Augen Prinzip, dezentrale Benutzerverwaltung im Produktivsystem


Zentrales Anlegen und Lschen fr alle Benutzer
Dezentrale Benutzerverwaltung (Produktivsystem)
Ein Benutzerverwalter fr pro Anwendungsbereich (FI, MM),
> berechtigt, um eine bestimmte Benutzergruppe zu pflegen,
> berechtigt, um eine bestimmte Menge von Rollen/Profilen zuzuordnen,
> berechtigt fr nur einige Benutzerverwaltungsaufgaben: ndern, sperren/entsperren, Kennwort
zurcksetzen.
Zentrale Pflege von Rollen und Profilen
Trennung der Zustndigkeiten:
> Berechtigungsdatenverwalter
> Berechtigungsprofilverwalter
Keine weiteren Einschrnkungen auf spezifische Rollen oder Profile.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

OrdnungsmSSige Berechtigungs- und Benutzerorganisation

Seite 37

NR.

4 Autorisierung (ABAP-Stack)
4.9 Tabellen: Beispielszenarien der Organisation einer Benutzer- und
Berechtigungsverwaltung
4.9.1 Szenario 1: 4-Augen Prinzip
Zentrale Benutzerverwaltung
> Ein Benutzerverwalter fr alle Benutzer.
> Unbegrenzte Berechtigungen fr alle Benutzerverwaltungsaufgaben des Benutzeradministrators
Zentrale Pflege von Rollen und Profilen
Ein Administrator bernimmt beide Rollen:
> Berechtigungsdatenverwalter
> Berechtigungsprofilverwalter.

A. Ohne Berechtigungsobjekt S_USER_SAS


Entwicklung

Produktiv

Benutzeradministrator

Berechtigungsdatenund Berechtigungsprofilverwalter

Benutzerverwalter

ACTVT

03, 08

CLASS

ACTVT

03, 22

03, 22

ACT_GROUP

Szenario 1

S_USER_GRP

S_USER_AGR

S_USER_TCD
TCD

S_USER_VAL
OBJECT

AUTH_FIELD

AUTH_VALUE

Seite 38

S_USER_PRO
ACTVT

03, 08, 22

03, 08, 22

PROFILE

Produktiv

Benutzeradministrator

Berechtigungsdatenund Berechtigungsprofilverwalter

Benutzerverwalter

ACTVT

03, 08

03, 08

OBJECT

AUTH

Szenario 1

S_USER_AUT

Bei aktiver ZBV


S_USER_SYS
ACTVT

03, 78

03, 78

SUBSYSTEM

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Entwicklung

b. Mit aktiviertem Berechtigungsobjekt S_USER_SAS


Entwicklung
Szenario 1

Benutzeradministrator

Produktiv
Berechtigungsdatenund Berechtigungsprofilverwalter

Benutzerverwalter

S_USER_GRP
ACTVT

03, 08

CLASS

S_USER_AGR
ACTVT

ACT_GROUP

S_USER_TCD
TCD

OBJECT

AUTH_FIELD

AUTH_VALUE

Seite 39

S_USER_VAL

4 Autorisierung (ABAP-Stack)
Entwicklung

Szenario 1

Benutzeradministrator

Produktiv
Berechtigungsdatenund Berechtigungsprofilverwalter

Benutzerverwalter

S_USER_PRO
ACTVT

PROFILE

S_USER_AUT
ACTVT

03, 08

03, 08

OBJECT

AUTH

Bei aktiver ZBV wird zustzlich das Berechtigungsfeld SUBSYSTEM gepflegt


S_USER_SAS
ACTVT

22

22

CLASS

SUBSYSTEM

ACT_GROUP

PROFILE

4.9.2 Szenario 2: 6-Augen Prinzip


Dezentrale Benutzerverwaltung (Produktivsystem)
Ein Benutzerverwalter fr pro Anwendungsbereich (FI, MM),
> berechtigt, um eine bestimmte Benutzergruppe zu pflegen,
> berechtigt, um eine bestimmte Menge von Rollen/Profilen zuzuordnen,
> keine weiteren Einschrnkungen auf spezifische Benutzerverwaltungsaufgaben.

Seite 40

Zentrale Pflege von Rollen und Profilen


Trennung der Zustndigkeiten:
> Berechtigungsdatenverwalter
> Berechtigungsprofilverwalter.
Keine weiteren Einschrnkungen auf spezifische Rollen oder Profile.

Entwicklung

Produktiv

Benutzeradministrator

Berechtigungsdatenverwalter

Berechtigungsprofilverwalter

FI-Benutzerverwalter

MM-Benutzerverwalter

ACTVT

03, 08

03, 08

CLASS

FI_USER

FI_USER

ACTVT

03, 22

01, 02, 03, 06

03, 64

03, 22

03, 22

ACT_GROUP

Szenario 2

S_USER_GRP

S_USER_AGR

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

A. Ohne Berechtigungsobjekt S_USER_SAS

S_USER_TCD
TCD

S_USER_VAL
OBJECT

AUTH_FIELD

AUTH_VALUE

S_USER_PRO
ACTVT

03, 08, 22

01, 02, 03, 06, 08

03, 07, 08

03, 08, 22

03, 08, 22

PROFILE

FI*

MM*

ACTVT

03, 08

01, 02, 03, 06, 08, 22

03, 07, 08

03, 08

03, 08

OBJECT

AUTH

S_USER_AUT

Bei aktiver ZBV

ACTVT

03, 78

03, 78

03, 78

SUBSYSTEM

Seite 41

S_USER_SYS

4 Autorisierung (ABAP-Stack)
B. Mit aktiviertem Berechtigungsobjekt S_USER_SAS
Entwicklung

Produktiv
Berechtigungsdatenverwalter

Berechtigungsprofilverwalter

ACTVT

03, 08

03, 08

CLASS

ACTVT

01, 02, 03, 06

03, 64

ACT_GROUP

Szenario 2

Benutzeradministrator

FI-Benutzerverwalter

MM-Benutzerverwalter

S_USER_GRP

S_USER_AGR

S_USER_TCD
TCD

S_USER_VAL
OBJECT

AUTH_FIELD

AUTH_VALUE

S_USER_PRO
ACTVT

01, 02, 03, 06, 08

03, 07, 08

PROFILE

S_USER_AUT
ACTVT

03, 08

01, 02, 03, 06, 08, 22

03, 07, 08

03, 08

03, 08

OBJECT

AUTH

Bei aktiver ZBV wird zustzlich das Berechtigungsfeld SUBSYSTEM gepflegt

Seite 42

S_USER_SaS
ACTVT

22

22

22

CLASS

FI_USER

FI_USER

SUBSYSTEM

ACT_GROUP

FI*

MM*

PROFILE

FI*

MM*

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

4.9.3 Szenario 3: 6-Augen Prinzip,


dezentrale Benutzerverwaltung im Produktiv-system
Zentrales Anlegen und Lschen fr alle Benutzer
Dezentrale Benutzerverwaltung (Produktivsystem)
Ein Benutzerverwalter fr pro Anwendungsbereich (FI, MM),
> berechtigt, um eine bestimmte Benutzergruppe zu pflegen,
> berechtigt, um eine bestimmte Menge von Rollen/Profilen zuzuordnen,
> berechtigt fr nur einige Benutzerverwaltungsaufgaben: ndern, sperren/entsperren,
Kennwort zurcksetzen.
Zentrale Pflege von Rollen und Profilen
Trennung der Zustndigkeiten:
> Berechtigungsdatenverwalter
> Berechtigungsprofilverwalter.
Keine weiteren Einschrnkungen auf spezifische Rollen oder Profile.

A. Ohne Berechtigungsobjekt S_USER_SAS


Entwicklung

Produktiv

Benutzeradministrator

Berechtigungsdatenverwalter

Berechtigungsprofilverwalter

FIBenutzerverwalter

MMBenutzerverwalter

ZentralBenutzerverwalter

ACTVT

03, 08

03, 08

02, 03, 05, 22

02, 03, 05, 22

01, 03, 06, 08

CLASS

FI_USER

MM_USER

ACTVT

03, 22

01, 02, 03, 06

03, 64

03, 22

03, 22

ACT_GROUP

Szenario 3

S_USER_GRP

S_USER_AGR

S_USER_TCD
TCD

OBJECT

AUTH_FIELD

AUTH_VALUE

Seite 43

S_USER_VAL

4 Autorisierung (ABAP-Stack)
Entwicklung

Produktiv

Benutzeradministrator

Berechtigungsdatenverwalter

Berechtigungsprofilverwalter

FIBenutzerverwalter

MMBenutzerverwalter

ZentralBenutzerverwalter

ACTVT

03, 08, 22

01, 02, 03,


06, 08

03, 07, 08

03, 08, 22

03, 08, 22

03, 08

PROFILE

FI*

MM*

ACTVT

03, 08

01, 02, 03, 06,


08, 22

03, 07, 08

03, 08

03, 08

03, 08

OBJECT

AUTH

Szenario 3

S_USER_PRO

S_USER_AUT

Bei aktiver ZBV


S_USER_SYS
ACTVT

03, 78

03, 78

03, 78

03, 78

SUBSYSTEM

MMBenutzerverwalter

ZentralBenutzerverwalter

B. Ohne Berechtigungsobjekt S_USER_SAS


Entwicklung

Produktiv

Berechtigungsdatenverwalter

Berechtigungsprofilverwalter

ACTVT

03, 08

03, 08

CLASS

ACTVT

01, 02, 03, 06

03, 64

ACT_GROUP

Szenario 3

Benutzeradministrator

S_USER_GRP

S_USER_AGR

Seite 44

S_USER_TCD
TCD

FIBenutzerverwalter

Szenario 3

Benutzeradministrator

Berechtigungsdatenverwalter

Produktiv
Berechtigungsprofilverwalter

FIBenutzerverwalter

MMBenutzerverwalter

ZentralBenutzerverwalter

S_USER_VAL
OBJECT

AUTH_FIELD

AUTH_VALUE

S_USER_PRO
ACTVT

01, 02, 03,


06, 08

03, 07, 08

PROFILE

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Entwicklung

S_USER_AUT
ACTVT

03, 08

01, 02, 03, 06,


08, 22

03, 07, 08

03, 08

03, 08

03, 08

OBJECT

AUTH

Bei aktiver ZBV wird zustzlich das Berechtigungsfeld SUBSYSTEM gepflegt

ACTVT

22

22

22

22

CLASS

FI_USER

MM_USER

SUBSYSTEM

ACT_GROUP

FI*

MM*

PROFILE

FI*

MM*

Seite 45

S_USER_SaS

4 Autorisierung (ABAP-Stack)
4.10 Prfprogramm: Berechtigungen fr die Benutzer- und
Berechtigungsverwaltung
NR.

Berechtigungsverwaltung: Benutzer

1.

Das Objekt Benutzerstammpflege, Benutzergruppen S_USER_GRP


legt die Benutzergruppen und die zulssigen Aktivitten fest, fr die ein Benutzerverwalter
berechtigt ist. Damit knnen Benutzer angelegt, gepflegt, ge- und entsperrt werden, insbesondere
auch das Kennwort eines Benutzers gendert werden.
Es kann benutzt werden, um bei einer dezentralisierten Verwaltung einem Benutzeradministrator
nur die Verwaltung einer bestimmten Benutzergruppe zu ermglichen.

1.1

Wer kann Benutzer anlegen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SU01
S_USER_GRP (Benutzergruppen) mit Aktivitt * oder 01 (Anlegen) und Gruppe = * oder = Gruppennamen.

1.2

Wer kann Benutzereigenschaften ndern (auer den Zugriffsrechten)?


Report RSUSR002 mit den Eingaben:
S_TCODE = SU01
S_USER_GRP (Benutzergruppen) mit Aktivitt * oder 02 (ndern) und Gruppe = * oder =
Gruppennamen.

1.3

Wer kann Benutzer sperren oder lschen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SU01
S_USER_GRP (Benutzerverwaltung) mit Aktivitt * oder 05 (Sperren) oder 06 (Lschen) und Gruppe =
* oder = Gruppennamen.

2.

Das Objekt Benutzerstammpflege, System fr die zentrale Benutzerpflege S_USER_SYS


legt fest, auf welches System ein Benutzerverwalter aus der Zentralen Benutzerverwaltung mit
welchen zulssigen Aktivitten zugreifen kann.

2.1

Wer kann aus der Zentralen Benutzerverwaltung Benutzer ndern?


Report RSUSR002 mit den Eingaben:
S_TCODE = SU01 oder PFCG
S_USER_SYS (Benutzerpflege) mit Aktivitt * oder 02 (ndern) und SUBSYSTEM = * oder =
Logisches System.

Seite 46

lizenzfrei
99,-

3.

Das Objekt Berechtigungswesen, Prfung fr Rollen S_USR_AGR


legt die Rollennamen und die zulssigen Aktivitten fest, fr die ein Berechtigungsverwalter
berechtigt ist. Damit knnen Rollen angelegt und gepflegt werden.
Es kann benutzt werden, um bei einer dezentralisierten Administration einem Berechtigungsverwalter nur Zugriff auf bestimmte Rollen zugeben, z. B. fr ein Modul oder eine Organisationseinheit.

3.1

Wer kann Rollen anlegen (ohne Berechtigungswerte)?


Report RSUSR002 mit den Eingaben:
S_TCODE = PFCG
S_USER_AGR (Rollen verwalten) mit Aktivitt *, 01 (Anlegen) und Rolle = * oder = Rollennamen

3.2

Wer kann Rollen ndern (ohne Berechtigungswerte)?


Report RSUSR002 mit den Eingaben:
S_TCODE = PFCG
S_USER_AGR (Rollen verwalten) mit Aktivitt * oder 02 (ndern) und Rolle = * oder = Rollennamen

4.

Das Objekt Berechtigungswesen, Transaktionen in Rollen S_USR_TCD


legt fest, welche Transaktionen ein Berechtigungsverwalter in eine Rolle aufnehmen darf.
Es kann benutzt werden, um einem Berechtigungsverwalter nur die Aufnahme bestimmter
Transaktionen in Rollen zu erlauben und damit die Vergabe kritischer Transaktionen zu
verhindern.

4.1

Wer ist fr S_USER_AGR berechtigt und kann Transaktionen anlegen (ohne Berechtigungswerte)?
Report RSUSR002 mit den Eingaben:
S_TCODE = PFCG
S_USER_AGR (Rollen verwalten) mit Aktivitt * oder 01 (Anlegen) oder 02 (ndern) und Rolle =
* oder = Rollennamen.
S_USER_TCD (Transaktionen in Rollen) mit Transaktionscode * oder = Transaktionsname

5.

Das Objekt Berechtigungswesen, Feldwerte fr Rollen S_USR_VAL


legt fest, fr welche Berechtigungsobjekte und fr welche Felder ein Berechtigungsverwalter
welche Feldwerte in eine Rolle eintragen darf.
Es kann benutzt werden, um einem Berechtigungsverwalter nur die Vergabe bestimmter
Berechtigungen in Rollen zu erlauben und damit die Vergabe kritischer Berechtigungen in Rollen
zu verhindern.

5.1

Wer kann Rollen mit allen Berechtigungswerten ndern?


Report RSUSR002 mit den Eingaben:
S_TCODE = PFCG
S_USER_AGR (Rollen verwalten) mit Aktivitt * oder 01 (Anlegen), 02 (ndern) und Rolle = *
oder = Rollennamen
S_USER_VAL (Objektverwendung in Rollen) mit * in allen Feldern

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Berechtigungsverwaltung: Rollen

Seite 47

NR.

Seite 48

4 Autorisierung (ABAP-Stack)
NR.

Berechtigungsverwaltung: Profile und Berechtigungen

6.

Das Objekt Benutzerstammpflege, Berechtigungsprofil S_USR_PRO legt die Profilnamen


sowie die zulssigen Aktivitten fest, fr die ein Berechtigungsverwalter berechtigt ist.
Es kann benutzt werden, um bei einer dezentralisierten Benutzerverwaltung einem Benutzerverwalter nur die Zuordnung bestimmter Profile zu ermglichen, z. B. fr ein Modul oder eine
Organisationseinheit.

6.1

Wer kann Profile anlegen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SU02
S_USER_PRO (Profile verwalten) mit Aktivitt * oder 01 (Anlegen) und Profil = * oder =
Profilnamen.

6.2

Wer kann Profile ndern?


Report RSUSR002 mit den Eingaben:
S_TCODE = SU02
S_USER_PRO (Profile verwalten) mit Aktivitt * oder 02 (ndern) und Profil = * oder =
Profilnamen

7.

Das Objekt Benutzerstammpflege, Berechtigungen S_USR_AUT legt die Berechtigungsobjektnamen und die Berechtigungsnamen sowie die zulssigen Aktivitten fest, fr die ein
Berechtigungsverwalter berechtigt ist.
Es kann benutzt werden, um bei einer dezentralisierten Benutzerverwaltung einem Berechtigungsverwalter nur die Erstellung bestimmter Berechtigungen in Profilen zu erlauben und damit
die Erstellung kritischer Berechtigungen in Profilen zu verhindern.

NR.

Berechtigungsverwaltung: Rollen den Benutzern zuordnen

8.1

Wer kann Rollen Benutzern zuordnen?


Report RSUSR002 mit den Eingaben:
S_TCODE = PFCG
S_USER_AGR (Rollen verwalten) mit Aktivitt * oder 02 (ndern) und 22 (Zuordnen) und Rolle =
* oder = Rollennamen

8.2

Wer kann Benutzern Profile zuordnen und entziehen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SU01 oder PFCG
S_USER_GRP (Benutzerverwaltung) mit Aktivitt * oder 02 (ndern) und Gruppe = * oder =
Gruppennamen
S_USER_PRO (Profile verwalten) mit Aktivitt* oder 22 (Zuordnen) und Profil = * oder =
Profilnamen.

8.3

Wer kann Benutzern Rollen oder Profile zuordnen und entziehen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SU01
S_USER_GRP (Benutzerverwaltung) mit Aktivitt * oder 02 (ndern) und Aktivitt 22 (Zuordnen)
und Gruppe = * oder = Gruppennamen
S_USER_PRO (Profile verwalten) mit Aktivitt * oder 22 (Zuordnen) und Profil = * oder =
Profilnamen

Berechtigungsverwaltung: Benutzer

1.1

Berechtigungsverwaltung: Wer kann Berechtigungsobjekte deaktivieren?


Report RSUSR002 mit den Eingaben:
S_TCODE = AUTH_SWITCH_OBJECTS
S_USER_OBJ (Objekte verwalten) mit Aktivitt 02 (ndern) und 07 (Aktivieren) und Objekt = *
oder = Objektnamen.
Diese Berechtigung ist restriktiv an Systemadministratoren zu vergeben. Das Deaktivieren von
Berechtigungsobjekten muss freigegeben und dokumentiert werden.
Hinweis: Mit der Transaktion AUTH_ SWITCH_ OBJECTS knnen Berechtigungsobjekte global
ausgeschaltet werden.
> Fr ausgeschaltete Berechtigungsobjekte fgt der Profilgenerator keine Berechtigungen in die
generierten Profile ein.
> Beim Wiedereinschalten eines Objektes mssen daher eventuell eine groe Anzahl von Rollen
bzw. Profilen bearbeitet werden. Das Abschalten von Objekten wird auch aus diesem Grund
nicht empfohlen.
> Berechtigungsobjekte, die mit S_ und P_ beginnen (Bereiche Basis und HR), lassen sich
grundstzlich nicht global ausschalten.
> Ein berblick ber global ausgeschaltete Objekte kann mit der Transaktion AUTH_DISPLAY_
OBJECTS angezeigt werden.
> Im Anwendungsprotokoll (Transaktion SLG1) wird unter dem Objektnamen PRGN_LOG_OBJ
das globale Ein- und Ausschalten von Objekten protokolliert.

1.2

Ist der Profilgenerator aktiviert?


AIS: System Audit - Top Ten Security Reports Profilparameter anzeigen (auth/*)
AIS: System Audit System Konfiguration Parameter Systemparameter, bersicht mit Historie
Seit Version 4.6C ist der Profilparameter auth/no_check_in_some_cases auf den Wert Y (Defaultwert)
gesetzt.

1.3

Wer kann die Prfkennzeichen und Vorschlagswerte des Profilgenerators pflegen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SU24
S_DEVELOP (Anwendungsentwicklung) mit Aktivitt 02 (ndern) und Objekttypen
> SUSK (Zuordnung Transaktion zu Berechtigungsobjekt im Kundenstamm, USOBX_C und U-SOBT_C)
> SUST (Zuordnung Transaktion zu Berechtigungsobjekt in SAP-Systemen, USOBX und USOBT
und Objektname = * (alle Transaktionen) oder = Name einer Transaktion, die zu bearbeiten ist.
Diese Berechtigung ist restriktiv an Systemadministratoren zu vergeben. Die Pflege der Prfkennzeichen und Vorschlagswerte des Profilgenerators muss freigegeben und dokumentiert werden.

1.4

Werden indirekte Transaktionsaufrufe einer Berechtigungsprfung unterzogen?


Ist in der Tabelle TCDCOUPLES im Feld OKFLAG bei den aufgefhrten Transaktionspaaren ein X
gesetzt?
Hinweis: Wird eine Transaktion indirekt, d. h. von einer anderen Transaktion aufgerufen, so wird keine
Berechtigungsprfung vorgenommen. So werden z. B. Berechtigungen nicht geprft, wenn eine
Transaktion eine andere mit der Anweisung CALL TRANSACTION aufruft (SAP-Hinweis 358 122).

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

NR.

Seite 49

4.11 Prfprogramm: Sicherheitsmechanismen zur Aktivierung der


Prfung von Berechtigungen

5 Systemintegritt auf der Anwendungsebene


5.1 Gewhrleisten der Integritt von System und Daten
Die vom Hersteller SAP vorgesehenen Kontrollen mssen zweckentsprechend aktiviert werden, um die
System- und Datenintegritt im Produktivsystem zu gewhrleisten und um die gesetzliche Anforderungen
an die Nachvollziehbarkeit zu erfllen. Technische Mglichkeiten zur Umgehung des aktivierten Kontrollsystems sind durch zustzliche Schutzmanahmen auszuschlieen.

5.2 Risiken
Die Risiken entstehen dadurch, dass die Standardinstallation eines SAP-Systems unverndert als Produktivsystem genutzt wird. In der Standardinstallation sind aber kritische Funktionen nicht angemessen
konfiguriert, die den unternehmensindividuellen und gesetzlichen Anforderungen an Sicherheit und
Ordnungsmigkeit gengen mssen.
> Im Produktivsystem knnen nicht autorisierte und nicht nachvollziehbare nderungen an Programmen,
Tabellen und Daten vorgenommen werden.
> Im Produktivsystem werden bei der Konfiguration eines neuen Unternehmens (Mandant) Sicherheits-
lcken geffnet.
> Softwareentwickler knnen auf dem Produktivsystem die Vorgaben eines geordneten Entwicklungs-,
Test- und Freigabeverfahrens unterlaufen.
> nderungen an Tabellen mit Parametern fr die Steuerung der Geschftsablufe und an den system-
intern gefhrten Belegen sind nicht nachvollziehbar.
> Erfasste Buchungen werden vom SAP-System zwar besttigt, werden aber aufgrund eines technischen
Problems nur zwischengespeichert, ohne im Buchungswerk registriert zu werden.
> Nicht autorisierte Zugriffe auf Systemeinstellungen sind mglich, die interne Kontrollen fr Geschfts-
ablufe oder sicherheitskritische systemtechnische Ablufe steuern.
> Die eingerichtete systembergreifende Kommunikation lsst nicht autorisierte Zugriffe von unsicheren
Systemen zu.
> Vorhandene Berechtigungsprfungen werden deaktiviert und damit das Zugriffskontrollsystem
unterlaufen.
> Nicht autorisierte Eingriffe in automatisierte Buchungsablufe sind mglich.
> Sicherheitsrelevante Systemereignisse werden nicht protokolliert und berwacht. Angriffe oder Sicher-
heitsverletzungen werden nicht erkannt und verfolgt.

5.3 Kontrollziele

Seite 50

> Die Software des Produktivsystems kann nur ber den dazu vorgesehenen Software-Change-Management Prozess gendert werden. Die mgliche Umgehung der dazu vorgesehenen Ablufe und Kontrollen ist
mit der von SAP vorgesehenen spezifischen Konfiguration des Produktivsystems zum Schutz gegen
nderungen verhindert.
> Bei der Anlage eines neuen produktiven Mandanten wird diejenige Konfiguration gewhlt, die die mit der
Neuanlage verbundenen Risiken fr Informationssicherheit und Ordnungsmigkeit ausschliet.
> Der vorgesehene Prozess fr das Software-Change-Management ist mittels der von SAP vorgesehenen
Systemeinstellungen auch auf dem Produktivsystem konsequent und sicher konfiguriert.
> Die gesetzlichen und unternehmensinternen Anforderungen an die Nachvollziehbarkeit von nderungen
an der Ablauflogik von Geschftsprozessen und an systemintern gefhrten Geschftsbelegen werden
durch die zweckentsprechende Konfiguration systeminterner Verfahren zur automatischen Protokollierung
und Archivierung umgesetzt.

Die von SAP vorgesehenen Kontroll- und Abstimmverfahren sind als Prozesse definiert und implementiert,
um die vollstndige und sichere Verarbeitung des Buchungsstoffs und der geschftlichen Belege zu
gewhrleisten.
Die sicherheitskritischen Systemeinstellungen und Basisberechtigungen sind identifiziert und zum
Schutz der Systemintegritt des Produktivsystems restriktiv gesetzt und kontrolliert vergeben.
Weitere und besondere Systemeinstellungen und Basisberechtigungen sind identifiziert und korrekt
gesetzt, die den gesetzlichen Anforderungen (Corporate Governance, Compliance) gengen mssen,
insbesondere die Ordnungsmigkeit der Rechnungslegung gewhrleisten.
Der Zugriff von anderen Systemen auf das Produktivsystem ist so konfiguriert, dass die Anforderungen
an die IT-Sicherheit erfllt sind.
Die Systemeinstellungen und Berechtigungen zur Steuerung und Verwaltung der produktiven Jobs sind
so konfiguriert, dass die ordnungsmige Verbuchung des Buchungsstoffes, die Daten- und System-
integritt gewhrleistet sind und die Funktionstrennung zwischen Systemadministration und Benutzern
eingehalten ist.
Sicherheitsrelevante Ereignisse werden berwacht und verfolgt.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

>


>

>


>

>



>

5.4 Prfprogramm: Systemeinstellungen zum Schutz des


Produktivsystems gegen nderungen
NR.

Systemeinstellungen zum Schutz des Produktivsystems gegen nderungen

1.

Kontrollziel: Im Produktivsystem sind grundstzlich keine nderungen an Entwicklungsobjekten zugelassen. Das SAP-System ist so konfiguriert, dass nderungen an Entwicklungsobjekten im Produktivsystem nur fr Notfallbenutzer mglich sind.
Risiko: Im Produktivsystem ist es mglich, die Software zu warten, ohne dass die nderungen
protokolliert werden. Interne Kontrollen des Prozesses Software-Change-Management knnen
umgangen werden. nderungen sind im SAP-System nicht mehr nachvollziehbar.

1.1
H

Ist das Produktivsystem gegen Softwareentwicklung gesperrt?


Report RSWBO004: Die globale Einstellung muss auf Nicht nderbar stehen.
Hinweis: Auch fr Integrations-, Test- und Qualittssicherungssysteme muss die globale
Einstellung auf Nicht nderbar gesetzt sein.
SOS: System Change Option Not Appropriately Configured in the Production System (0301)

1.2
H

Wer darf die Systemnderbarkeit ndern?


Report RSUSR002 mit den Eingaben:
S_TCODE = SE06 oder SA38 oder SE38
S_CTS_ADMI (Administrationsfunktion im CTO) mit Funktion SYSC (Systemnderbarkeit).
Diese Berechtigung ist nur an Notfalluser oder restriktiv an die Systemadministration zu vergeben.
SOS: Users - Other Than the System Administrators Are Authorized to Change the System
Change Option (0303)

1.3

Wann wurde die Systemnderbarkeit im Produktivsystem aufgehoben?


Report RSWBO095, Auswahl Systemnderbarkeit, Schaltflche Ausfhren, dann Schaltflche
Alles expandieren.
Die Systemnderbarkeit darf nur fr kurze Zeit aufgelassen werden. Die Anlsse sind zu dokumentieren.

Seite 51

Systemnderbarkeit

5 Systemintegritt auf der Anwendungsebene


NR.

Systemeinstellungen zum Schutz des Produktivsystems gegen nderungen

Seite 52

Mandantennderbarkeit

2.1
H

Ist der Produktivmandant gegen Customizing gesperrt?


AIS: Organisatorische bersicht Org. Struktur Mandant, Anzeigen, Doppelklick auf den Produktivmandant
Fr den Produktivmandanten prfen, ob unter nderungen und Transporte fr mandantenabhngige Objekte der Punkt Keine nderungen erlaubt aktiviert ist.
Customizing ist im Produktivmandanten nicht zulssig.
SOS: Client Change Option Not Appropriately Configured (0302)

2.2

Ist der Produktivmandant durch weitere generelle Einstellungen gegen nderungen, Kopieren
oder Testen geschtzt?
AIS: Organisatorische bersicht Org. Struktur Mandant, Anzeigen, Doppelklick auf den Produktivmandant
Fr den Produktivmandanten die folgenden Eintragungen prfen,
> ob unter nderungen an mandantenbergreifenden Objekten der Punkt Keine nderungen
von Repository- und mandantenunabhngige Cust.-Obj aktiviert ist,
> ob unter Schutz bzgl. Mandantenkopierer und Vergleichstool der Punkt Schutzstufe 1: kein
berschreiben oder Schutzstufe 2: kein berschreiben, keine ext. Verfgbarkeit aktiviert ist,
> ob unter Einschrnkungen beim Starten von CATT und eCATT der Punkt eCATT und CATT
nicht erlaubt aktiviert ist.
Diese Einstellungen sind Empfehlungen.

2.3
H

Wer darf die Mandantennderbarkeit (Tabelle T000) ndern?


Report RSUSR002 mit den Eingaben:
S_TCODE = SCC4 oder SM30 oder SM31
S_ADMI_FCD (Systemberechtigung) mit Funktion T000 (Anlegen neuer Mandanten)
S_TABU_DIS (Tabellenpflege) mit Aktivitt 02 (ndern) und Berechtigungsgruppe SS (Systemtabellen)
S_TABU_CLI (Tabellenpflege mandantenunabhngiger Tabellen) mit Kennzeichen X (ndern
mandantenunabhngiger Tabellen)
Diese Prfung muss in allen Mandanten des Produktivsystems erfolgen. Diese Berechtigung ist
nur an Notfalluser oder restriktiv an die Systemadministration zu vergeben.
SOS: Users - Other Than the System Administrators Are Authorized to Change the Client Change
Option (0304)

2.4
H

Werden Tabellennderungen im Produktivmandanten protokolliert?


AIS: System Audit - Top Ten Security Reports Profilparameter anzeigen
AIS: System Audit System Konfiguration Parameter Systemparameter, bersicht mit Historie
Selektion auf rec/client: ist der Eintrag auf ALL gesetzt oder sind alle Mandanten des Produktivsystems gelistet?
Alle manuellen nderungen an Tabellen sind im Produktivmandanten zu protokollieren.

Systemeinstellungen zum Schutz des Produktivsystems gegen nderungen

2.5
H

Werden nderungen an der Tabelle T000 protokolliert?


AIS: System Audit Repository / Tabellen - Tabellenaufzeichnungen Technische Tabelleneinstellungen, letzte Zeile in der Anzeige zur Tabelle T000.
Diese Voraussetzung fr die Zwangsprotokollierung muss erfllt sein.

2.6

Wann wurde die Mandanten-nderbarkeit im Produktivsystem aktiviert?


AIS: System Audit Repository / Tabellen - Tabellenaufzeichnungen Auswertung Tabellenhistorie
(RSTBPROT/RSVTPROT) mit Selektion auf Tabelle T000 und Selektion des Zeitraums.
Wurden die nderungen an der Mandanten-nderbarkeit dokumentiert?

2.7

Wer hat welche Mandanten zuletzt gendert?


AIS: System Audit Repository / Tabellen - Tabellenaufzeichnungen Auswertung Tabellenhistorie
(RSTBPROT/RSVTPROT) mit Selektion auf Tabelle T000 und Selektion des Zeitraums.
Auswertung nach Mandant, Benutzer, Datum und Uhrzeit.
Wurden die nderungen dokumentiert?

2.8

Wer besitzt uneingeschrnkte Zugriffsrechte zum Customizing im Produktivmandanten?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM30
S_TABU_DIS (Tabellenpflege) mit Aktivitt 02 (ndern) und Berechtigungsgruppe * (alle Tabellen).
Customizing ist im Produktivmandanten nicht zulssig.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

NR.

5.5 Prfprogramm: Systemeinstellungen zum Schutz der Mandanten


NR.

Systemeinstellungen zum Schutz der Mandanten

1.

Kontrollziel: Anlegen und ndern eines Mandanten im Produktivsystem erfolgt autorisiert


und dokumentiert. Die Systemintegritt des Produktivsystems und der Informationsschutz
der kopierten Daten bleibt dabei gewahrt
Risiko: Verlust der Integritt von System und Daten, Verlust der Vertraulichkeit: mit jedem neu
angelegten Mandanten lebt der Superuser SAP* mit seinen umfassenden, auch mandantenbergreifenden Rechten und dem vergebenen Standardpasswort auf. Mandantenbergreifende
Tabellen knnen gendert werden. Das Kontrollsystem eines anderen, produktiven Mandanten
kann damit ausgehebelt und unterlaufen werden.

1.2

Welche Benutzer existieren in den Mandanten 000 und 066?


Tabelle USR02 in den beiden Mandanten
Report RSUVM005, Mandanten angeben
Die SAP Sonderbenutzer mssen genderte Standardkennworte haben (Test mit Report
RSUSR003). Der Parameter login /no_automatic_user _sapstar muss auf 1 gesetzt sein (Test mit
Report RSPFPAR). Im Mandant 000 drfen zustzliche Administratorkennungen vergeben sein.
Seite 53

1.1

Welche Mandanten existieren im Produktivsystem?


AIS: System Audit Systemkonfiguration Mandanten Mandantenbersicht
AIS: Organisatorische bersicht Org. Struktur Mandant, Anzeigen, jeweils Doppelklick auf die
Mandanten
Nur aktive und bentigte Mandanten drfen im Produktivsystem existieren.

5 Systemintegritt auf der Anwendungsebene


NR.

1.3

Seite 54

2.1

Systemeinstellungen zum Schutz der Mandanten


Wer darf Mandanten anlegen oder ndern? Wer hat die Pflegeberechtigung fr die Tabelle T000?
Report RSUSR002 mit den Eingaben:
S_TCODE = SCC4 oder SM30 oder SM31
S_ADMI_FCD (Systemberechtigung) mit Funktion T000 (Anlegen neuer Mandanten)
S_TABU_DIS (Tabellenpflege) mit Aktivitt 02 (ndern) und Berechtigungsgruppe SS (Systemtabellen)
S_TABU_CLI (Tabellenpflege mandantenunabhngiger Tabellen) mit Kennzeichen X (ndern
mandantenunabhngiger Tabellen)
Diese Berechtigung ist im Produktivsystem nur fr Notfallbenutzer zulssig.
SOS: Users Other Than the System Administrators Are Authorized to Create New Clients (0305)
SOS: Users Other Than the System Administrators Are Authorized to Change the Client Change
Option (0304)
Kontrollziel: Kopieren eines Mandanten im Produktivsystem erfolgt autorisiert und dokumentiert.
Risiko: Verlust der Integritt von System und Daten, Verlust der Vertraulichkeit: ber die technische Mglichkeit, eine Mandantenkopie zu erstellen, knnen sensitive Produktivdaten kopiert und
ohne den Schutz des Kontrollsystems des ursprnglichen Mandanten eingesehen werden.
Welche Daten wurden zu welchem Zeitpunkt aus dem Produktivmandanten herauskopiert?
AIS: System Audit Systemkonfiguration Mandanten Mandantenkopie Protokoll

2.2

Wer darf Mandanten kopieren? (Lokale Kopien ohne Benutzerstmme und Profile)
Report RSUSR002 mit den Eingaben:
S_TCODE = SCCL oder SCC9
S_ADMI_FCD (Systemberechtigung) mit Funktion T000 (Anlegen neuer Mandanten)
S_TABU_DIS (Tabellenpflege) mit Aktivitt 02 (ndern) und Berechtigungsgruppe * (alle Tabellen)
S_TABU_CLI (Tabellenpflege mandantenunabhngiger Tabellen) mit Kennzeichen X (ndern
mandantenunabhngiger Tabellen)
S_DATASET (Berechtigung zum Dateizugriff) mit * in allen Feldern (Programmname, Aktivitt
und Dateiname)
S_CLNT_IMP (Dateiimport bei Mandantenkopie) mit Aktivitt 60 (Importieren)
Diese Berechtigung ist restriktiv nur an Systemadministratoren zu vergeben.

2.3

Wer darf Mandanten kopieren? (Remote-Kopien ohne Benutzerstmme und Profile)


Zu den obigen Berechtigungen kommen noch die folgenden dazu:
Report RSUSR002 mit den Eingaben:
S_CTS_ADMI (Administrationsfunktion im Workbench Organizer) mit Funktion IMPS (Importieren
einzelner Transportauftrge)
S_TRANSPRT (Change and Transport Organizer) mit Aktivitt 01 (Anlegen) und 43 (Freigeben) und
60 (Importieren) und Auftragstyp CLCP (Mandantentransporte)
Diese Berechtigung ist restriktiv nur an Systemadministratoren zu vergeben.

2.4

Wer darf Mandanten kopieren? (Kopien mit Benutzerstammstzen und Profilen)


Zu den obigen Berechtigungen kommen noch die folgenden dazu:
Report RSUSR002 mit den Eingaben:
S_USER_GRP (Benutzerverwaltung)
mit Aktivitt 01 (Anlegen) oder 02 (ndern) oder 06 (Lschen) und Gruppe = * (alle Gruppen)
S_USER_PRO (Profilverwaltung)
mit Aktivitt 01 (Anlegen) oder 02 (ndern) oder 06 (Lschen) und Profile = * (alle Profile)
S_USER_AUT (Berechtigungsverwaltung)
mit Aktivitt 01 (Anlegen) oder 02 (ndern) oder 06 (Lschen) und Objekte = * (alle Objekte) und
Berechtigungen = * (alle Berechtigungen)
Diese Berechtigung ist restriktiv nur an Systemadministratoren zu vergeben.

5.6 Prfprogramm: Nachvollziehbarkeit von nderungen an


Tabellen im Produktivsystem
NR.

Nachvollziehbarkeit von nderungen an Tabellen im Produktivsystem

1.

Kontrollziel: Das Verwalten der Tabellen muss Anforderungen an die IT-Sicherheit


gengen. nderungen an Tabelleninhalten mit steuernden Funktionen unterliegen den
Nachweis- und Aufbewahrungspflichten der ordnungsmigen Buchfhrung gem den
deutschen Rechnungslegungsvorschriften (AGB, AO).
Risiko:
> Anwendungsbergreifende oder anwendungsspezifische Parameter in Tabellen werden unbefugt
oder aus Unkenntnis falsch eingestellt. Fehleinstellungen gefhrden die Daten- und Systemintegritt.
> Nachweispflichtige nderungen werden nicht automatisch protokolliert.
> Protokollierte nderungen werden nicht gem den gesetzlich geforderten Aufbewahrungspflichten archiviert. Automatisch generierte nderungsbelege knnen unbefugt ohne Archivierung gelscht werden.

1.1
H

Ist die Tabellenprotokollierung im Produktivsystem fr alle Mandanten aktiviert?


AIS: System Audit Repository / Tabellen Tabellenaufzeichnungen Systemparameter
Der Parameter rec/client muss auf ALL gesetzt sein, d. h. die Protokollierung fr alle Mandanten
des Systems aktiviert sein.
SOS: Table Logging is Not Enabled Sufficiently (0316)

1.2
H

Werden Tabellennderungen protokolliert, die durch Transporte ins Produktivsystem eingespielt


wurden?
Report RSTMSTPP, im Feld System den Namen des Produktivsystems eintragen.
Fr das Produktivsystem ist der Parameter des Transport Management Systems
RECCLIENT auf ALL gesetzt.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Systemeinstellungen zum Schutz der Mandanten

Seite 55

NR.

Seite 56

5 Systemintegritt auf der Anwendungsebene


NR.

Nachvollziehbarkeit von nderungen an Tabellen im Produktivsystem

1.3
H

Wer darf den Eintrag fr die Protokollierung bei Tabellen setzen oder zurcknehmen?
Report RSUSR002 mit den Eingaben:
S_TCODE = SE11 oder SE13
S_DEVELOP mit Aktivitt 02 (ndern) und Objekttyp TABT.
Dieses Zugriffsrecht ist im Produktivsystem nur fr Notfallbenutzer zulssig.
SOS: Users Are Authorized to Modify the Table Logging Flag for Tables

1.4

Werden unternehmenseigene Tabellen protokolliert, die z.B. das Buchungswerk oder die Steuerung des Buchungswerkes betreffen?
Tabelle DD09L mit den Eintrgen Y* und Z* im Feld Tabellenname und Selektion =<LEER> im
Feld Protokoll (alle Tabellen mit keinem Eintrag im Feld Protokoll).
Unternehmenseigene Tabellen mit Relevanz fr die externe Rechnungslegung mssen ebenfalls
zwangsprotokolliert werden.

1.5

Wer darf Tabellennderungsprotokolle lschen?


Risiko: Das SAP-System stellt eine Funktion bereit, die Tabellennderungsprotokolle lscht. Dieses
Lschen ist mandantenbergreifend wirksam. Wenn die Tabellennderungsprotokolle nicht zustzlich
ber das Archivierungsobjekt BC_DBLOGS archiviert worden sind, ist die Nachvollziehbarkeit nicht
mehr gewhrleistet.
Hinweis: Das Lschen erfolgt mit dem Report RSTBPDEL. Er kann manuell ber die Transaktion SA38
aufgerufen werden. Abrufbar ist er auch ber den Report RSTBHIST. Ausgefhrt wird er auch mittels
der Transaktion SCU3 ber den Pfad Bearbeiten Protokolle Lschen.
Es ist zu prfen, welche Benutzer die Tabelle DBTABLOG ndern drfen. Sie ist standardmig der
Berechtigungsgruppe SA zugeordnet.
Report RSUSR002 mit den Eingaben:
S_TCODE = SA38 oder SE38
S_TABU_DIS (Tabellenpflege) mit Aktivitt 02 (ndern) und Berechtigungsgruppe SA
(RS: Anwendungstabelle)
S_TABU_CLI (Tabellenpflege mandantenunabhngiger Tabellen) mit Kennzeichen X
(ndern mandantenunabhngiger Tabellen).
Dieses Zugriffsrecht ist im Produktivsystem nur fr Notfallbenutzer zulssig.

2.

Kontrollziel: nderungen an Belegobjekten werden autorisiert durchgefhrt. nderungsbelege, die als Nachweise fr die ordnungsmige Buchfhrung dienen, werden gem
den gesetzlich erforderlichen Aufbewahrungsfristen archiviert.
Risiko: Fr einzelne Belegobjekte wird die automatische Zwangsprotokollierung ausgesetzt.
Dadurch werden die gesetzlich erforderlichen nderungsnachweise nicht mehr erzeugt.
nderungsbelege werden vor der vorgesehenen Frist fr die Archivierung gelscht.

2.1

Wer darf Objekte von nderungsbelegen verwalten?


Risiko: Das Protokollieren von nderungen kann vorstzlich ausgesetzt werden, indem Eintrge
zu definierten nderungsbelegobjekte gendert werden.
Report RSUSR002 mit den Eingaben:
S_TCODE = SCDO
S_SCD0 (nderungsbelege) mit Aktivitt 12 (Pflegen)
nderungsbelegobjekte des SAP-Systems (Auslieferungsstand) drfen nicht gendert werden.

2.2
H

Wurden Standard SAP nderungsbelegobjekte gendert?


Report RSSCD100, Selektion im Feld Objektklasse auf das nderungsbelegobjekt AENDBELEG.
nderungsbelegobjekte des SAP-Systems (Auslieferungsstand) drfen nicht gendert werden.

2.3
H

Wer darf nderungsbelege lschen?


Risiko: Das SAP-System stellt den Report RSCDOK99 bereit, mit der nderungsbelege gelscht
werden knnen. Wenn diese nderungsbelege nicht zustzlich archiviert worden sind, ist die
Nachvollziehbarkeit nicht mehr gewhrleistet.
Report RSUSR002 mit den Eingaben:
S_TCODE = SA38 oder SE38
S_SCD0 (nderungsbelege) mit Aktivitt 06 (Lschen)
Dieses Zugriffsrecht ist im Produktivsystem nur fr Notfallbenutzer zu vergeben.

2.4
H

Wer darf Daten ohne Archivierung lschen?


Risiko: Zur Archivierung vorgesehene Daten knnen gelscht werden, bevor sie archiviert
worden sind.
Report RSUSR002 mit den Eingaben:
S_ADMI_FCD (Systemberechtigungen) mit Wert RSET
Dieses Zugriffsrecht darf im Produktivsystem nicht vergeben oder nur fr Notfallbenutzer
zugelassen sein.

3.

Kontrollziel: Generelle Berechtigungen fr Tabellen sind nicht oder sehr restriktiv


vergeben.
Risiko: Benutzer erhalten entgegen den beiden Vergabeprinzipien Geringster Berechtigungsumfang und Funktionstrennung universelle Berechtigungen, Tabellen zu ndern. Manipulation an
dem Regelwerk der Buchhaltung und an buchhaltungsrelevanten Daten wird dadurch ermglicht.

3.1
H

Wer darf alle mandantenabhngigen Tabellen ndern?


Risiko: Nicht autorisierte Benutzer knnen Tabellen ndern, deren Inhalte rechnungslegungsrelevant sind.
Report RSUSR002 mit den Eingaben:
S_TABU_DIS (Tabellenpflege) mit Aktivitt 02 (ndern) und Berechtigungsgruppe * (alle Tabellen).
Dieses universelle Tabellennderungsrecht ist im Produktivsystem nur an Notfallbenutzer zu vergeben.
SOS: Users are Authorized to Maintain All Tables (0514)

3.2
H

Wer darf alle mandantenunabhngigen Tabellen ndern?


Risiko: Benutzer knnen Systemeinstellungen ndern, die das SAP interne Kontrollsystem
betreffen, z. B. Mandanten fr Tabellennderungen freischalten.
Report RSUSR002 mit den Eingaben:
S_TABU_DIS (Tabellenpflege) mit Aktivitt 02 (ndern) und Berechtigungsgruppe * (alle Tabellen)
S_TABU_CLI (Tabellenpflege mandantenunabhngiger Tabellen) mit Kennzeichen X
(ndern mandantenunabhngiger Tabellen)
Diese Berechtigung darf im Produktivsystem nur an die Systemadministration vergeben werden.
SOS: Users are Authorized to Perform Customizing in the Production System (0309)

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Nachvollziehbarkeit von nderungen an Tabellen im Produktivsystem

Seite 57

NR.

5 Systemintegritt auf der Anwendungsebene


NR.

Nachvollziehbarkeit von nderungen an Tabellen im Produktivsystem

3.3

Welche Benutzer haben ndernden Zugriff auf die Tabellenberechtigungsgruppe &NC&.


Risiko: Hiermit wird der nderungszugriff auf eine groe Anzahl Tabellen ermglicht, bei SAP
Enterprise, ca. 15.000, darunter 3.000 Tabellen, die manuell nderbar sind.
Report RSUSR002 mit den Eingaben:
S_TABU_DIS (Tabellenpflege) mit Aktivitt 02 (ndern) und Berechtigungsgruppe &NC& (default
Tabellenberechtigungsgruppe)
Dieses Zugriffsrecht ist restriktiv zu vergeben.

3.4

Welche Benutzer drfen alle Tabellen ber RFC Zugriff einsehen?


Report RSUSR002 mit den Eingaben:
S_RFC (Berechtigungsprfung beim RFC-Zugriff) mit Aktivitt 16 (Ausfhren) und RFC-Typ FUGR
(Funktionsgruppe) und RFC-Name SDTX
S_TABU_DIS (Tabellenpflege) mit Aktivitt 03 (Lesen) und Berechtigungsgruppe * (alle Tabellen).
Diese Berechtigung darf im Produktivsystem nur an die Systemadministration vergeben werden.
SOS: Users - Other Than the Key Users - Are Authorized to Visualize all Tables via RFC (0245)

Seite 58

5.7 Prfprogramm: OrdnungsmSSige Verbuchung


NR.

OrdnungsmSSige Verbuchung

1.

Kontrollziel: Buchungsstze, die in SAP eingegeben sind, sind auch systemtechnisch


vollstndig, richtig und zeitnah in der SAP-Datenbank verbucht worden.
Risiko: Anforderungen an die Ordnungsmigkeit der Buchhaltung sind nicht eingehalten. Es
existieren systemintern nicht verarbeitete Verbuchungsstze, die keiner berwachung und
Weiterverarbeitung unterliegen. Aufgetretene nicht verarbeitete Verbuchungsstze sind nicht
erkannt und bearbeitet, sondern vom System automatisch gelscht worden.

1.1
H

Wer untersucht die Tabelle VBLOG regelmig auf abgebrochene Verbuchungen?


> Report RFVBER00 mit der Selektion auf den Mandanten
> Transaktion SM21, Auswahl Alle entf. SysLogs, von Datum und bis Datum eingeben,
Wechsel in den Expertenmodus ber den Menpunkt Bearbeiten Expertenmodus, ber die
Schaltflche Meld.kennungen auf folgende Meldung einschrnken: R65 Ein Verbuchungsauftrag ist abgebrochen.

1.2

Wie sind die Parameter fr Verbuchungsabbrche gesetzt (rdisp/vb*)?


AIS: System Audit - Top Ten Security Reports Profilparameter anzeigen
AIS: System Audit System Konfiguration Parameter Systemparameter, bersicht mit Historie
AIS: System Audit System Konfiguration Parameter Systemparameter mit Doku.
> rdisp/vb_delete: Dauer der Aufbewahrung der abgebrochenen Verbuchungsstze im System
bis
zum automatischen Lschen in Tagen (Standardwert: 50 Tage)
> rdisp/vb-mail: Aktivierung des Versands eines Emails (Standardwert: 1 - Es wird eine Email
verschickt.)
> rdisp/vb_mail_user_list: Liste aller Email-Adressaten, die ber den Verbuchungsabbruch zu

1.3

Wer ist berechtigt, Verbuchungsparameter zu ndern?


Report RSUSR002 mit den Eingaben:
S_TCODE = RZ10
S_RZL_ADM (Rechenzentrumsleitstand) mit Aktivitt 01 (Anlegen und ndern).

1.4

Wer ist berechtigt, Verbuchungen zu verwalten?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM13 oder SM14
S_ADMI_FCD (Systemadministration) mit Funktion UADM (Verbuchungsadministration).

5.8 Prfprogramm: Schutz sicherheitskritischer Systemeinstellungen und Basisberechtigungen


NR.

Schutz sicherheitskritischer Systemeinstellungen und Basisberechtigungen

1.

Kontrollziel: Das ndern von Profilparametern erfolgt auftragsbezogen nur durch die
Systemadministration.
Risiko: Profilparameter werden nicht autorisiert gendert. Es wird z.B. ein sicherheitsrelevanter
Parameter auer Kraft gesetzt. Aufgrund einer fehlerhafter Setzung wird eine Betriebsstrung
beim nchsten Restart verursacht.

1.1
H

Wer darf Profilparameter ndern?


Report RSUSR002 mit den Eingaben:
S_TCODE = RZ10
S_RZL_ADM (Rechenzentrumsleitstand) mit Aktivitt 01 (Anlegen und ndern)
Dieses Zugriffsrecht ist nur fr Systemadministratoren zuzulassen.
SOS: Users - Other Than the System Administrators Are Authorized to Maintain System Profiles
(0152)

1.2

Wie sind die Parameter fr Verbuchungsabbrche gesetzt (rdisp/vb*)?


AIS: System Audit - Top Ten Security Reports Profilparameter anzeigen
AIS: System Audit System Konfiguration Parameter Systemparameter, bersicht mit Historie
AIS: System Audit System Konfiguration Parameter Systemparameter mit Doku.
> rdisp/vb_delete: Dauer der Aufbewahrung der abgebrochenen Verbuchungsstze im System bis
zum automatischen Lschen in Tagen (Standardwert: 50 Tage)
> rdisp/vb-mail: Aktivierung des Versands eines Emails (Standardwert: 1 - Es wird eine Email
verschickt.)
> rdisp/vb_mail_user_list: Liste aller Email-Adressaten, die ber den Verbuchungsabbruch zu
informieren sind neben dem Verursacher (Standardwert: $ACTUSER).

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

OrdnungsmSSige Verbuchung

Seite 59

NR.

Seite 60

5 Systemintegritt auf der Anwendungsebene


NR.

Schutz sicherheitskritischer Systemeinstellungen und Basisberechtigungen

2.

Kontrollziel: Das ndern der SAP Standardtransaktionen oder Anlegen und ndern eigenentwickelter Transaktionen erfolgt auftragsbezogen und ist dokumentiert.
Die Funktionstrennung zwischen Benutzer, Anwendungsentwicklung und Systemadministration ist eingehalten.
Risiko: SAP Standardtransaktionen oder eigenentwickelte Transaktionen werden unbefugt
gendert, gesperrt oder entsperrt.

2.1

Wer darf Transaktionen anlegen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SE93
S_DEVELOP (Anwendungsentwicklung) mit Aktivitt 01 (Anlegen) und Objekttyp TRAN (Transaktionen).
Diese Berechtigung darf nur an die Systemadministration vergeben werden.

2.2

Wer darf Transaktionen ndern?


Report RSUSR002 mit den Eingaben:
S_TCODE = SE93
S_DEVELOP (Anwendungsentwicklung) mit Aktivitt 02 (ndern) und Objekttyp TRAN (Transaktionen) und Objektname = * (alle Transaktionen) oder = Name einer Transaktion, die gendert
werden darf.
Diese Berechtigung darf nur an die Systemadministration vergeben werden.

2.3

Wurden neue Transaktionen angelegt?


Tabelle TSTC, Selektion im Feld TCODE auf Y* bis Z*.

2.4

Sind die neuen Transaktionen durch Berechtigungsobjekte geschtzt?


Tabelle TSTCA, Selektion im Feld TCODE auf Y* bis Z*.
Alle in der Tabelle TSTC eingetragenen neuen Transaktionen mssen auch in der Tabelle TSTCA
enthalten sein.

2.5

Wer darf Transaktionen sperren?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM01
S_ADMI_FCD (Systemberechtigung) mit Funktion TLCK (Transaktionen <ent>sperren)
Diese Berechtigung darf nur an die Systemadministration vergeben werden.
SOS: User - Other Than the System Administrators Are Authorized to Lock/Unlock Transactions
(0157)

2.6

Welche Transaktionen sind gesperrt?


AIS System Audit Entwicklung / Customizing Transaktionen Gesperrte Transaktionen.
Zu den gesperrten Transaktionen muss es eine dokumentierte Vorgabe geben.

3.
H

Kontrollziel: Anlegen, ndern und Lschen von Eintrgen zu Betriebssystemkommandos


erfolgt auftragsbezogen und ist dokumentiert. Mglicher Missbrauch wird berwacht. Die
Funktionstrennung zwischen Benutzer, Anwendungsentwicklung und Systemadministration
ist eingehalten.
Risiko: Bei nicht autorisierter oder unsachgemer Nutzung der Betriebssystembefehle ist die
Integritt und Verfgbarkeit des SAP-Systems sowie die Datenintegritt gefhrdet.
Die Betriebssystembefehle laufen unter den hchst privilegierten Berechtigungen desjenigen
Systembenutzers auf der Betriebssystemebene, der das SAP-System gestartet hat. Dieser hat
i.d.R. uneingeschrnkten Zugriff auf das SAP-System.

3.1

Welche logischen Betriebssystemkommandos sind vorhanden?


AIS: System Audit Systemkonfiguration Betriebssystem Zugriffsrechte fr SAP Directories Betriebssystemaufrufe erlaubt (tatschlich?)
AIS: System Audit Systemkonfiguration Betriebssystem Zugriffsrechte fr SAP Directories
Externer OS-Kommandos (tatschlich?)
Oder Tabellen SXPGCOSTAB (Betriebssystemkommandos, die das Unternehmen angelegt hat) und
SXPGCOTABE (Betriebssystembefehle, die von SAP angelegt wurden).
Es drfen nur die von SAP ausgelieferten und die zustzlich autorisierten Betriebssystemkommandos eingetragen sein.

3.2
H

Wurden logische Betriebssystemkommandos angelegt und wieder gelscht?


Tabelle SXPGHISTOR (Historie ber die logischen Betriebssystemkommandos), Eintrge C (Create) und D (Delete) im Feld MODIFIER.
Das Anlegen und Lschen von Betriebssystemkommandos muss freigegeben und dokumentiert
sein

3.3
H

Wer darf neue Betriebssystemkommandos anlegen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM69
S_RZL_ADM (Rechenzentrumsleitstand) mit Aktivitt 01 (Anlegen und ndern)
Dieses Zugriffsrecht ist im Produktivsystem nur fr Notfallbenutzer zuzulassen.
SOS: Users - Other Than the System Administrators Are Authorized to Define External OS
Commands (0171)

3.4
H

Wer darf alle Betriebssystemkommandos ausfhren?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM49
S_LOG_COM (Ausfhren logischer Betriebssystemkommandos) mit * (alle mglichen Werte) in
allen Feldern (Kommando, Betriebssystem, Servername).
Dieses Zugriffsrecht ist im Produktivsystem nur fr Notfallbenutzer zuzulassen.
SOS: Users - Other Than the System Administrators Are Authorized to Execute External OS
Commands (0171)

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Schutz sicherheitskritischer Systemeinstellungen und Basisberechtigungen

Seite 61

NR.

Seite 62

5 Systemintegritt auf der Anwendungsebene


NR.

Schutz sicherheitskritischer Systemeinstellungen und Basisberechtigungen

3.5
H

Wer darf mit dem Report RSBDCOS0 beliebige Betriebssystemkommandos ausfhren?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM49, SM69
S_RZL_ADM (Rechenzentrumsleitstand) mit Aktivitt 01 (Anlegen und ndern)
S_LOG_COM (Ausfhren logischer Betriebssystemkommandos) mit Kommando = RSBDCOS0 und
* (alle mglichen Werte) in den beiden restlichen Feldern Betriebssystem und Servername.
Dieses Zugriffsrecht ist im Produktivsystem nur den Notfallbenutzer zuzulassen.

3.6
H

Wurde der Report RSBDCOS0 eingesetzt?


Risiko: Der Report RSBDCOS0 ermglicht das unmittelbare und uneingeschrnkte Absetzen von
Betriebssystemkommandos aus der SAP Bedienoberflche heraus.
Hinweis: Im Systemlog, SysLog, werden Start des Reports und Inhalt des Betriebssystemkommandos protokolliert.
Transaktion SM21, Umschalten auf Expertenmodus und Auswertung der Meldungsnummer LC0
ber die Schaltflche Meld.kennungen.
Die unmittelbare einmalige Eingabe von Betriebssystemkommandos ber das Programm
RSBDCOS0 ist im Produktivsystem nicht zulssig, seine Ausfhrung ist zu berwachen und Verste sind zu verfolgen.

4.

Kontrollziel: Gewhrleistung der Integritt von System und Daten durch restriktive
Vergabe der systembergreifenden Funktionsaufrufen.
Einhaltung der Funktionstrennung zwischen Benutzern, Entwicklern und Systemadministration.
Hinweis: SAP stellt Berechtigungen fr die kontrollierte Nutzung systembergreifender
Funktionsaufrufen bereit. Systembergreifend ist zum einen vertikal zu verstehen, z. B.
zwischen SAP Anwendung und Betriebssystem, und zum anderen horizontal, z. B. zwischen
verschiedenen SAP-Systemen oder zwischen SAP-Systemen und Fremdsystemen.
Risiko: Nicht autorisierte Nutzung systembergreifender Funktionsaufrufe durch Entwickler und
Systemadministration. Schwachstelle in der systembergreifenden Kommunikation, die von
einem Hacker ausgenutzt werden kann, um von einem bereits bernommenen System auf das
nchste zu gelangen (iland-hopping).

4.1
H

Wer hat uneingeschrnkte Berechtigung fr den Zugriff auf Betriebssystemdateien aus ABAPProgrammen?
Report RSUSR002 mit den Eingaben: S_DATASET mit * in allen Feldern oder mit Aktivitt 34
(Schreiben oder Lschen einer Datei) und * in den restlichen Feldern.
Diese Berechtigung ist im Produktivsystem nur Notfallbenutzern vorbehalten, im Ausnahmefall
auch Systemadministratoren.
Fr Standardablufe mssen mindestens der Dateiname und die Aktivitt spezifiziert sein.

4.2
H

Wer hat uneingeschrnkte Berechtigung fr CPIC Aufrufe aus ABAP-Programmen?


Report RSUSR002 mit den Eingaben:
S_CPIC (CPIC-Aufruf aus ABAP) mit * in allen Feldern.
Diese Berechtigung ist im Produktivsystem nur Notfallbenutzern vorbehalten, im Ausnahmefall
auch Systemadministratoren.
Fr Standardablufe mssen mindestens der Programmname und die Aktivitt spezifiziert sein.
Der Benutzer im Zielsystem darf kein Pseudo-Benutzer sein.

4.3
H

Wer hat uneingeschrnkte Berechtigung zum Aufruf von C-Kernel Funktionen aus ABAPProgrammen?
Report RSUSR002 mit den Eingaben:
S_C_FUNCT (direkter Aufruf von C-Kernel Funktionen aus ABAP) mit * in allen Feldern.
Diese Berechtigung ist im Produktivsystem nur Notfallbenutzern vorbehalten, im Ausnahmefall
auch Systemadministratoren.
Fr Standardablufe mssen mindestens der Programmname und die CALL-bare C-Routine
spezifiziert sein.

4.4
H

Wer hat uneingeschrnkte Berechtigung zum Aufruf von OLE-Funktionen aus ABAP-Programmen?
Report RSUSR002 mit den Eingaben:
S_OLE_CALL (OLE-Aufruf aus ABAP) mit * in allen Feldern.
Im Produktivsystem: nur Notfallbenutzern vorbehalten, im Ausnahmefall auch Systemadministratoren.
Fr Standardablufe mssen mindestens der Programmname und die OLE-Anwendung
spezifiziert sein.

4.5
H

Wer hat uneingeschrnkte Berechtigung zum Aufruf von OLE-Funktionen aus ABAP-Programmen?
Report RSUSR002 mit den Eingaben:
S_OLE_CALL (OLE-Aufruf aus ABAP) mit * in allen Feldern.
Im Produktivsystem: nur Notfallbenutzern vorbehalten, im Ausnahmefall auch Systemadministratoren.
Fr Standardablufe mssen mindestens der Programmname und die OLE-Anwendung
spezifiziert sein.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Schutz sicherheitskritischer Systemeinstellungen und Basisberechtigungen

Seite 63

NR.

5 Systemintegritt auf der Anwendungsebene

Seite 64

5.9 Prfprogramm: Schutz der RFC-Aufrufe


NR.

Schutz der RFC-Aufrufe

1.

Kontrollziel: Die Integritt von Systemen und Daten ist sicherzustellen. Nicht autorisierte
Nutzung ist zu verhindern. Die Funktionstrennung zwischen Benutzer, Anwendungsentwicklung und Systemadministration ist einzuhalten.
Risiko: Wenn zu RFC-Verbindungen Dialog-Benutzer und Kennwrter hinterlegt sind, kann ohne
Anmel-dung eine Verbindung aufgebaut und zu nicht autorisierten Zwecken verwendet werden.
RFC-Anmeldungen werden nicht automatisch protokolliert, sodass sie nicht nachweisbar sind. Es
fehlt dann die Basis fr Recherchen bei Missbrauchsverdacht.

1.1

Welche RFC-Verbindungen zu verschiedenen Systemen existieren auf dem untersuchten SAPSystem?


Tabelle RFCDES oder Report RSRSDEST.
Dabei ist keine Selektion vorzunehmen.
oder
AIS: System Audit - Top Ten Security Reports RFC-Destinations mit Anmeldedaten
AIS: System Audit System Konfiguration Kommunikationsarten von SAP RFC / SAP Remote
Function Call.

1.2
H

Existieren RFC-Verbindungen, in denen fr Dialogbenutzer Kennwrter hinterlegt sind?


Selektionsmaske der Tabelle RFCDES oder des Reports RSRSDEST mit Wert v=%_PWD.ber
Transaktion SU01D oder Report RSUSR002 prfen, ob die ausgewiesenen Benutzer in einem der
Mandanten des Systems existieren und ob es Dialog- oder Servicebenutzer sind.
Oder ber den Report RSRFCCHK anzeigen lassen, zu welchen RFC-Verbindungen Anmeldedaten
hinterlegt sind.
Es drfen keine Dialog- oder Servicebenutzer im Zielsystem eingetragen sein bis auf die von
SAP vergebenen RFC-Standardbenutzer, z. B. den des Transport Management Systems (TMS), und
die Kommunikations- und Systembenutzer.

1.3

Knnen RFC Verbindungen zu Benutzern mit abgelaufenen Passwrtern benutzt werden?


AIS: System Audit Top Ten Security Reports Profilparameter anzeigen (generisch ber rfc/*)
Der Systemparameter rfc/reject_expired_passwd muss auf 1 gesetzt sein, um RFC Verbindungen
ber einen Benutzer mit abgelaufenem Kennwort auszuschlieen.
SOS: Incoming RFC with Expired Password Is Allowed (0234)

1.4

Wer kann RFC Logon Informationen einsehen?


Report RSUSR002 mit den Eingaben:
S_TCODE mit SE16 oder SE16N oder SE17, SM30 oder SM31
S_TABU_DIS (Tabellenpflege) mit Aktivitt 03 (Lesen) und Berechtigungsgruppe SC.
Diese Berechtigung darf nur an die Systemadministration vergeben werden.
SOS: Users - Other Than the System Administrators Are Authorized to Access RFC Logon Information (0256)

1.5

Wer kann RFC-Verbindungen verwalten?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM59
S_ADMI_FCD (Systemberechtigung) mit Funktion NADM (Netzwerkadministration).
Diese Berechtigung darf nur an die Systemadministration vergeben werden.
SOS: Users - Other Than the System Administrators Are Authorized to Administer RFC Connections (0255)

1.6
H

Werden Anmeldungen und Funktionsbausteinaufrufe ber RFC ber das SAP Security Audit Log
protokolliert und berwacht?
Transaktion SM19 und auf folgende Eintrge prfen:
> Klassen: RFC-/CPIC-Anmeldungen und RFC Funktionsbausteinaufrufe
> Ereignisse: nur kritische.
Diese angegebene Mindestanforderung an die Protokollierung muss gegeben sein.
SOS: Security Critical Events for End Users Are Not Logged in the Security Audit Log (0136)

2.

Kontrollziel: RFC-Berechtigungen sind restriktiv zu vergeben. Nicht autorisierte Nutzung


ist zu verhindern.
Risiko: Verlust der Vertraulichkeit, Integritt von Systemen und Daten. Die RFC-Berechtigung
(S_RFC) ist nicht eingeschrnkt und ermglicht Zugriff auf kritische Funktionsbausteine, die
missbruchlich genutzt werden knnen.
Hinweis: Das Berechtigungsobjekt S_RFC ist nur fr den ABAP Stack wirksam, nicht aber fr den
JAVA Stack.

2.1

Ist der Parameter auth/rfc_authority_check auf einen Wert grer oder gleich 1 gesetzt sein,
damit die Berechtigung S_RFC greift?
AIS: System Audit Top Ten Security Reports Profilparameter anzeigen (generisch ber auth/*)
Ist er mit dem Wert 0 belegt, nimmt das System keine Prfung auf die Berechtigung S_RFC vor.

2.2
H

Wer hat uneingeschrnkte Berechtigung fr RFC-Zugriffe?


Report RSUSR002 mit den Eingaben:
S_RFC (RFC-Zugriffsberechtigung) mit * in allen Feldern.
Im Produktivsystem: nur Notfallbenutzern vorbehalten, im Ausnahmefall auch Systemadministratoren.
Fr Standardablufe muss mindestens die Funktionsgruppe unter dem Namen des zu schtzenden RFC-Objektes spezifiziert sein. Der Benutzer im Zielsystem darf kein Pseudo-Benutzer sein.

2.3
H

Wer kann alle oder bestimmte Funktionsbausteine aufrufen, auch aus anderen Programmen?
Report RSUSR002 mit den Eingaben:
S_RFC (Berechtigungsprfung beim RFC-Zugriff) mit Aktivitt 16 (Ausfhren) und RFC-Typ FUGR
(Funktionsgruppe) und RFC-Name mit dem Wert * oder den Namen der Funktionsgruppen.
Hinweis: Kritische Funktionsgruppen aufgrund kritischer Funktionsbausteine sind z.B.
> SYST, system interface, mit dem Funktionsbaustein SYSTEM_REMOTE_LOGIN
> SRFC, RFC Verwaltung, mit dem Funktionsbaustein RFC_LOGIN
> SUTL, Utilities, mit dem Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN.
S_RFC darf nur an die Benutzer restriktiv vergeben werden, die fr die Verwaltung von Schnittstellen zustndig sind, oder an die Systemadministration.
SOS: Users - Other Than the Communication Users - Are Authorized to Run any RFC Function
(0241)

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Schutz der RFC-Aufrufe

Seite 65

NR.

Seite 66

5 Systemintegritt auf der Anwendungsebene


NR.

Schutz der RFC-Aufrufe

2.4
H

Welche Benutzer drfen alle Tabellen ber RFC Zugriff einsehen?


Report RSUSR002 mit den Eingaben:
S_RFC (Berechtigungsprfung beim RFC-Zugriff) mit Aktivitt 16 (Ausfhren) und RFC-Typ FUGR
(Funktionsgruppe) und RFC-Name SDTX (Desktop Access)
S_TABU_DIS (Tabellenpflege) mit Aktivitt 03 (Lesen) und Berechtigungsgruppe * (alle Tabellen).
Hinweis: Die Funktionsgruppe SDTX (Desktop Access) beinhaltet den Funktionsbaustein RFC_
READ_TABLE, external access to R/3 tables via RFC.
Hinweis: Weitere kritische Funktionsgruppen von Funktionsbausteinen mit umfassender
Leseberechtigung sind z.B.
> SRTT, Funktionen zum Remote-Tabellentransport, mit Funktionsbausteinen, die das Holen von
Tabellen aus anderen Systemen und das Anzeigen von Tabelleninhalten ermglichen.
> BDCH, ALE-Konsistenzprfungen, u.a. mit einem Funktionsbaustein, der das Holen von
Tabellen aus einem anderen Systemen ermglicht.
Diese Berechtigung darf im Produktivsystem nur an die Systemadministration vergeben werden.
SOS: Users - Other Than the Key Users - Are Authorized to Visualize all Tables via RFC (0245)

3.

Kontrollziel: Keine nicht autorisierten Softwarenderungen auf dem Produktivsystem


ber den universell einsetzbaren Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN.
Risiko: Die vorgesehenen Kontrollen des Software-Change-Management fr das Produktivsystem knnen damit unterlaufen werden. Manipulationen an Programmen und Daten sowie
Lschung von nderungsbelegen knnen damit durchgefhrt werden.

3.1
H

Wer kann den hchst kritischen Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN aufrufen?


Damit knnen ABAP-Quelltexte an das SAP-System zur Ausfhrung bergeben werden.
Report RSUSR002 mit den Eingaben:
S_RFC (Berechtigungsprfung beim RFC-Zugriff) mit Aktivitt 16 (Ausfhren) und RFC-Typ FUGR
(Funktionsgruppe) und RFC-Name SUTL (Utilities)
S_ADMI_FCD (Systemberechtigung) mit Funktion MEMO (Speicherverwaltung)
S_DEVELOP (Anwendungsentwicklung) mit Aktivitt 03 (Anzeigen) und Objekttyp PROG (ABAPProgramme).
Das Zugriffsrecht zum Ausfhren dieses Funktionsbausteins darf insbesondere im Produktivsystem keinem Benutzer vergeben werden.

4.

Kontrollziel: Sicherer Einsatz von Trusted System Beziehungen.


Hinweis 1: Dabei handelt es sich um eine definierte Vertrauensbeziehung zwischen einem
vertrauenden System (Trusting System), sozusagen als Ziel-System oder lieferndes System, und
einem System, dem vertraut wird (Trusted System), sozusagen als Satelliten-System oder
anfragendem System.
Hinweis 2:ber das Berechtigungsobjekt S_RFCACL wird im Ziel-System festgelegt, welche
Benutzer Aufrufe ohne Kennwortprfung durchfhren drfen.
Risiko: Verlust der Vertraulichkeit, Integritt von Systemen und Daten.
> Von einem beliebigen System aus knnen Benutzer Aufrufe ohne Kennwortanmeldung in
einem vertrauenden System durchfhren.
> Von einem System aus, dem vertraut wird, knnen beliebige Benutzer anonym einen Benutzer
mit umfassenden Berechtigungen im vertrauenden System nutzen.

4.1

Wer kann die Einstellungen fr ein Trusted (1) und ein Trusting Systems (2) verwalten?
(1) Report RSUSR002 mit den Eingaben:
S_TCODE mit SMT1
S_ADMI_FCD (Systemberechtigungen) mit Aktivitt NADM (Netzadministration).
Diese Berechtigung darf nur an die Systemadministration vergeben werden.
SOS: Users - Other Than the System Administrators Are Authorized to Maintain Trusted Systems
(0240)
(2) Report RSUSR002 mit den Eingaben:
S_TCODE mit SMT2
S_ADMI_FCD (Systemberechtigungen) mit Aktivitt NADM (Netzadministration).
Diese Berechtigung darf nur an die Systemadministration vergeben werden.
SOS: Users - Other Than the System Administrators Are Authorized to Maintain Trusting
Systems (0268)

4.2
H

Welche uneingeschrnkten Vertrauensbeziehungen fr RFC-Zugriffe aus Satellitensystemen


bestehen in einem vertrauenden System?
Im vertrauenden System Report RSUSR002 mit den Eingaben:
S_RFCACL (Berechtigungsprfung fr RFC-Benutzer) mit * in allen Feldern.
Mindestens die Felder RFC_SYSID (Kennung des rufenden Systems bzw. Domne des
Satellitensystems) und RFC_CLIENT (Mandant des rufenden Systems) mssen spezifiziert sein.
SOS: Users Authorized for Trusted RFC (Object S_RFCACL) (0239)

4.3
H

Welche Benutzer mit welchem Berechtigungsumfang sind auf dem vertrauenden System (Tristing
System) der jeweiligen Vertrauensbeziehung zugeordnet?
1. Nach bestehenden Vertrauensbeziehungen auf dem Trusting System suchen:
Transaktion STM1
Oder
Transaktion SE16(N) (Tabellenanzeige) fr Tabelle RFCSYSACL
2. Ausfhrenden Benutzer und seinen Berechtigungsumfang auf dem vertrauenden System feststellen
ber das Programm RSUSR002 oder ber Transaktion SUIM prfen, welche Benutzer mit dem
Objekt S_RFCACL berechtigt sind.
Im Feld RFC_USER prfen, ob im System, dem vertraut wird, mit derselben Benutzerkennung
oder mit einem anderen Benutzer die RFC Verbindung aufgebaut wird.
3. Auf dem System, dem vertraut wird, prfen, unter welchem Benutzer der Zugriff auf das vertrauende System erfolgt:
> ber die Transaktion SM59 die RFC Verbindung feststellen
> im Register Anmeldung/Sicherheit prfen, ob es sich um eine Vertrauensbeziehung handelt.
Das Feld Trusted System ist dann auf ja gesetzt.
> im Register Anmeldung/Sicherheit prfen, ob mit dem aktuellen Benutzer oder mit einem
anderen Benutzer im vertrauenden System die RFC Verbindung aufgebaut wird.
Unzulssig sind Vertrauensbeziehungen, in denen beliebige Benutzer eines Systems, dem
vertraut wird, einen Benutzer des vertrauenden Systems aufrufen knnen. Im vertrauenden
System muss nachvollziehbar sein, welcher aufrufende Benutzer aktiv war.
SOS: Users Authorized for Trusted RFC (Object S_RFCACL) (0239)

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Schutz der RFC-Aufrufe

Seite 67

NR.

5 Systemintegritt auf der Anwendungsebene


5.10 Prfprogramm: Schutz der Batch-Input-Prozesse
NR.

Schutz der Batch-Input-Prozesse

1.

Kontrollziel: Die ordnungsmige Verarbeitung der Geschftsdaten und des Buchungsstoffs ist sichergestellt.
1. Die Vollstndigkeit, Richtigkeit und Zeitgerechtigkeit der Verarbeitung ist sicherzustellen,
insbesondere bei Daten der Buchhaltung.
2. ber Arbeitsanweisungen ist sichergestellt, dass die Vollstndigkeit der Verarbeitung berwacht wird und die notwendigen Manahmen zur Nachbearbeitung von Belegen durchgefhrt
werden.
3. Das interne Kontrollsystem verlangt eine Funktionstrennung zwischen planender, ausfhrender
und berwachender Stelle.
Risiko: Belege werden nicht verarbeitet. Fehlerhafte oder nicht vollstndige Belege werden nicht
korrigiert. Die gleichen Belege werden mehrfach eingelesen. Belege werden in falscher
Reihenfolge bearbeitet, z. B. Stammdatennderungen nach Buchungen, die diese Stammdatennderungen zur Voraussetzung hatten. Fehler- und Verarbeitungsprotokolle werden gelscht, bevor
sie als Hinweise fr notwendige Korrekturen oder als Nachweise der ordnungsmigen
Verarbeitung verwendet worden sind.

Seite 68

1.1

Kontrollfragen zum Prozess:


> Gibt es eine bersicht ber alle Batch-Input-Schnittstellen, z. B. mit den folgenden Angaben:
abgebendes Arbeitsgebiet, Dateninhalt, Dateiname, Periode, Mappen-Name, Verarbeitungsjob,
relevante Tabellen, Abstimmkreis, Verantwortlichkeit?
> Welche Anwender drfen welche Mappen erstellen, starten, korrigieren oder lschen?
> Gibt es eine bersicht, welche Mappen-Namen fr welche Abteilung reserviert sind?
> Wer stimmt den Buchungsstoff der verarbeiteten Mappen ab?
> Wer kontrolliert, dass die Daten aus den Vorsystemen vollstndig, richtig und zeitgerecht
bernommen werden? Wird insbesondere ein mehrfaches Einlesen der gleichen Belege
verhindert? Werden insbesondere die Dateien nach dem Einlesen gesichert und gelscht?
> Sind die internen Kontrollen zwischen Vorsystemen und dem Zielsystem gewahrt, in dem die
Mappen abgespielt werden?

1.2

Analyse der Batch-Input-Mappen


AIS: System Audit Hintergrundverarbeitung Batch Input Monitoring

1.3

Wer darf alle Batch-Input-Mappen uneingeschrnkt verwalten?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM35
S_BDC_MONI (Batch-Input-Berechtigung) mit Aktivitt * und Mappennamen = *
oder speziell auf alle kritischen Verwaltungsaktionen bezogen:
S_BDC_MONI (Batch-Input-Berechtigung) mit Aktivitten ABTC (Hintergrundverarbeitung) , FREE
(Freigeben), LOCK (<Ent>Sperren), DELE (Lschen) und REOG (Reorganisieren) und Mappennamen = *.
Diese Berechtigung ist nur an Systemadministratoren zu vergeben.

1.4

Wer kann Batch-Input-Mappen freigeben?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM35
S_BDC_MONI (Batch-Input-Berechtigung) mit Aktivitt FREE (Mappen freigeben) und Mappennamen = *.
Hierbei ist die Funktionstrennung (Vieraugenprinzip) einzuhalten.

1.5

Wer kann Batch-Input-Mappen und Protokolle analysieren?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM35
S_BDC_MONI (Batch-Input-Berechtigung) mit Aktivitt ANAL (Mappen und Protokolle analysieren)
und Mappennamen = *.
Hierbei ist die Funktionstrennung (Vieraugenprinzip) einzuhalten.

1.6

Wer kann Batch-Input-Mappen im Dialogbetrieb oder im Hintergrund verarbeiten?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM35
S_BDC_MONI (Batch-Input-Berechtigung) mit Aktivitt ABTC (Mappen fr die Hintergrundverarbeitung bergeben) oder AONL (Mappen im Dialogbetrieb abspielen) und Mappennamen = *.

1.7

Wer kann Batch-Input-Mappen (ent-)sperren?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM35
S_BDC_MONI (Batch-Input-Berechtigung) mit Aktivitt LOCK (Mappen sperren oder entsperren)
und Mappennamen = *.
Hierbei ist die Funktionstrennung (Vieraugenprinzip) einzuhalten.

1.8

Wer kann Batch-Input-Mappen und Protokolle reorganisieren?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM35
S_BDC_MONI (Batch-Input-Berechtigung) mit Aktivitt REOG (Mappen und Protokolle reorganisieren) und Mappennamen = *.
Risiko: Verarbeitungsnachweise knnen ber einen Reorganisationslauf gelscht werden.
Hierbei ist die Funktionstrennung (Vieraugenprinzip) einzuhalten.

1.9

Wer kann Batch-Input-Mappen lschen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM35
S_BDC_MONI (Batch-Input-Berechtigung) mit Aktivitt DELE (Mappen lschen) und Mappennamen = *.
Risiko: Mappen z. B. mit relevantem Buchungsstoff knnen vor der Weiterverarbeitung gelscht
werden.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Schutz der Batch-Input-Prozesse

Seite 69

NR.

5 Systemintegritt auf der Anwendungsebene


NR.

Schutz der Batch-Input-Prozesse

Kontrollziel: Gewhrleistung des ordnungsmigen Programmeinsatzes und der


Datenintegritt, wenn beim Direct-Input-Verfahren die Daten mit reduzierten Plausibilittsprfungen direkt in die Datenbank geschrieben werden.
Risiko: Es ist mglich, vorhandene Datenbestnde unprotokolliert zu verndern. Bei einer
fehlerhaften Anwendung ist die Datenintegritt des Systems gefhrdet.

2.1

Wird das Verfahren des Direct-Input genutzt?


Prfen ber die Transaktion BMV0 (Verwaltung von Datenbernahmen).

2.2

Kontrollfragen zum Prozess:


> Ist der Einsatz des Direct-Input-Verfahrens dokumentiert?
> Wird der Einsatz eines Direct-Input-Ablaufs vor dem produktiven Einsatz im Testsystem
getestet und nach dem Vier-Augen-Prinzip freigegeben?
> Gibt es eine Verfahrensanweisung, wie der Prozess des Direct-Input berwacht und wie
fehlerhafte Ablufe behandelt werden?

5.11Prfprogramm: Schutz sicherheitskritischer Anwendungsberechtigungen


NR.

Schutz sicherheitskritischer Anwendungsberechtigungen

1.

Kontrollziel: Datenintegritt und Konsistenz der Datenbank sind zu gewhrleisten.


Risiko: Gefhrdung der Konsistenz der Datenbank bei nicht autorisiertem Lschen von
Sperrobjekten.

1.1

Seite 70

1.2

Wer darf Sperreintrge lschen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM12
S_ENQUE (Anzeigen und Lschen von Sperreintrgen) mit Wert * oder ALL (alle Aktionen) oder
mit Wert DLFU (Lschen Sperrobjekte fremder Benutzer im gleichen Mandanten)
Die Funktionen DLFU und ALL (*) in S_ENQUE sind restriktiv nur an Systemadministratoren zu
vergeben. Eine Freischaltung von Sperreintrgen erfordert die schriftliche Freigabe der Fachabteilung.
SOS: Users - Other Than the System Administrators Are Authorized to Maintain Other Users
Lock Entries (0159)
Wer darf eigene Sperreintrge lschen?
Report RSUSR002 mit den Eingaben:
S_TCODE = SM12
S_ENQUE (Anzeigen und Lschen von Sperreintrgen) mit Wert DLOU (Lschen der Sperrobjekte
des eigenen Benutzers)
Die Funktion DLOU ist restriktiv nur an autorisierte Benutzer zu vergeben.
SOS: Users - Other Than the System Administrators Are Authorized to Maintain Own Lock
Entries (0166)

Kontrollziel: Nachweisbare lckenlose Vergabe von Belegnummern


Risiko: Belegnummern werden nicht lckenlos aus dem Vorsystem in das SAP-System bertragen.

2.1

Kontrollfragen zum Prozess:


> Werden externe Belegnummern vergeben und in das SAP-System bernommen?
> Wie wird fr die externe Vergabe von Belegnummern deren Lckenlosigkeit gewhrleistet?
> Wird das Auftreten von Lcken in den Belegnummern regelmig kontrolliert?
> Werden entstandene Lcken in den Belegnummern dokumentiert?
> Liegt dazu die erforderliche Verfahrensdokumentation vor?
Hinweis: Es gibt drei Ursachen fr Lcken in Belegnummern: Lcken knnen entweder bei der
externen Nummernvergabe oder aufgrund der SAP internen Belegnummernpufferung falls aktiviert oder dem SAP internen Abbruch der datentechnischen Verbuchung in das Datenbanksystem
entstanden sein.

2.2

Welche Nummernkreisobjekte gibt es im SAP-System?


Tabelle TNRO, Eingabe von Selektionsparametern, z. B. X im Feld Pufferung.

2.3

Welche Nummernkreisobjekte sind gepuffert?


Tabelle TNRO, Eingabe von Selektionsparameter X im Feld Pufferung .
Hinweis: Es drfen keine Nummernkreise gepuffert sein, fr die eine lckenlose Nummernvergabe
erforderlich ist.
Ist speziell das Nummernkreisobjekt RF-BELEG gepuffert?
Transaktion SNRO, Eingabe des Nummernkreisobjektes RF-BELEG.
Hinweis: Das Nummernkreisobjekt RF_BELEG sollte nicht gepuffert sein.
Wenn es doch gepuffert ist, sind dann entstandene Lcken in den Belegnummern durch die
Administration dokumentiert?
Hinweis: Lcken, die durch das Herunterfahren einer Instanz entstehen, sind zu dokumentieren.
Das Protokoll ist der Finanzabteilung zu bermitteln.

2.4

Existieren Lcken in den Belegnummern?


Report RFBNUM00N oder RFBNUM00 unter Angabe eines Prfungszeitraums in der Selektionsauswahl.
Risiko: Zum Jahresabschluss knnen die Ursachen fr die Lcken nicht mehr nachvollzogen werden.
Es sollten keine Lcken in denjenigen Belegnummernkreisen existieren, die einer lckenlosen
Nummernvergabe unterliegen.
Risiko: Aufgetretene Lcken werden nicht zeitnah erkannt, dokumentiert und geklrt.
Wird das Auftreten von Lcken in den Belegnummern regelmig kontrolliert?

2.5

Wer darf alle Nummernkreisobjekte verwalten?


Report RSUSR002 mit den Eingaben:
S_TCODE = SNRO
S_NUMBER (Nummerkreisobjekt pflegen mit Aktivitt * (alle Aktionen) oder 01 (Hinzufgen)
oder 02 (Anlegen, ndern oder Lschen eines Nummernkreisintervalls) oder 17 (Nummernkreisobjekte pflegen) und Name des Nummernkreisobjektes = *.

2.6

Wer darf den Nummernstand aller Nummernkreise ndern?


Report RSUSR002 mit den Eingaben:
S_TCODE = SNUM
S_NUMBER (Nummerkreisobjekt pflegen mit Aktivitt 11 (Nummernstand ndern) oder 13 (Nummernstand initialisieren) und Name des Nummernkreisobjektes = *.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Schutz sicherheitskritischer Anwendungsberechtigungen

Seite 71

NR.

5 Systemintegritt auf der Anwendungsebene


5.12 Prfprogramm: Schutz der Job-Ablufe
NR.

Schutz der Job-Ablufe

1.

Kontrollziel: Bei der Berechtigungsvergabe von Verwaltungsfunktionen fr Jobs ist


sichergestellt, dass die Funktionstrennung zwischen Systemadministration und Benutzern
eingehalten wird.
Risiko: An Benutzer werden zu weit reichende Berechtigungen fr die Verwaltung von Jobs
vergeben. In Verbindung mit ihren aufgabenbezogenen Berechtigungen knnen sie nicht
autorisierte nderungen an der Batch-Verarbeitung vornehmen, damit Manipulationen an Daten
durchfhren, sogar die Spuren erfolgter Manipulation beseitigen.

Seite 72

1.1

Wer hat Vollzugriff auf die Batch-Verwaltung und darf Hintergrundjobs in allen Mandanten
verwalten?
Report RSUSR002 mit den Eingaben:
S_TCODE = SM36, SM37
S_BTCH_ADM (Batch-Administrator/Job-Superuser) mit Wert Y.
Diese Berechtigung ist nur an Systemadministratoren zu vergeben.
Risiko: Nicht autorisierte Nutzung dieser Job-Superuser Verwaltungsfunktion, z. B. knnen alte
Hintergrundjobs gelscht werden, die unbefugt gelaufen sind.
SOS: Users - Other Than the Background Administrators Are Authorized to Schedule Jobs in
SM36 (0212)

1.2

Wer hat die Berechtigung fr uneingeschrnkte Batch-Job-Steuerung?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM36
S_BTCH_JOB (Batch-Job-Steuerung) mit Aktion * und Jobgruppe *.
Diese Berechtigung ist nur an Systemadministratoren zu vergeben. Die SAP-Hinweise 28 162 und
1 001 146 sind zu beachten.
SOS: Users - Other Than the Background Administrators Are Authorized to Schedule Jobs in
SM36 (0212)

1.3

Wer darf seine eigenen Jobs freigeben?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM36
S_BTCH_JOB (Batch-Job-Steuerung) mit Aktion RELE und Jobgruppe *.
Die Berechtigung zur Freigabe von Batch-Jobs ist bei einem geregelten Freigabeprozess an eine
andere Funktion zu vergeben als an die Funktion, die den Batch-Job selbst gestartet hat.
SOS: Users - Other Than the Background Administrators Are Authorized to Schedule Jobs in
SM36 (0212)

1.4

Wer darf Jobs in externen Kommandos freigeben?


S_TCODE = SM36
S_BTCH_ADM (Batch-Administrator/Job-Superuser) mit Wert Y
S_BTCH_JOB (Batch-Job-Steuerung) mit Aktion RELE
S_RZL_ADM (Rechenzentrumsleitstand) mit Aktivitt 01 (Anlegen und ndern).
Diese Berechtigung ist nur an Systemadministratoren zu vergeben.
Risiko: Nicht autorisierte Ausfhrung externer Programme oder Kommandos.

1.5

Wer darf Hintergrundjobs anderer Benutzer lschen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM36
S_BTCH_JOB (Batch-Job-Steuerung) mit Aktion DELE und Jobgruppe *.
Diese Berechtigung ist an Systemadministratoren zu vergeben. Jobs anderer Benutzer knnen
durch eine Berechtigungsgruppe in den Attributen vor dem Zugriff nicht zugelassener Benutzer
geschtzt werden (Prinzip der geschlossenen Benutzergruppe).
Risiko: Nicht autorisierte Nutzung, wenn Jobs anderer Benutzer gelscht werden knnen.

1.6

Wer darf Hintergrundjobs anderer Benutzer anzeigen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM36
S_BTCH_JOB (Batch-Job-Steuerung) mit Aktion LIST und Jobgruppe *.
Diese Berechtigung ist an Systemadministratoren zu vergeben. Jobs anderer Benutzer knnen
durch eine Berechtigungsgruppe in den Attributen vor dem Zugriff nicht zugelassener Benutzer
geschtzt werden (Prinzip der geschlossenen Benutzergruppe).
Risiko: Nicht autorisierte Nutzung und Verlust der Vertraulichkeit, wenn Jobs anderer Benutzer
eingesehen werden knnen.

1.7
H

Wer darf fr Hintergrundjobs beliebige Benutzer eintragen und starten?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM36 (in Step 1)
S_BTCH_NAM (Angabe des Batchbenutzernamens fr Berechtigungsprfung) mit einem Wert ungleich Leer
S_BTCH_ADM (Batch-Administrator/Job-Superuser) mit Wert Y
oder S_BTCH_JOB (Batch-Job-Steuerung) mit Aktion RELE
Diese Berechtigung darf nur an Systemadministratoren vergeben sein. Bitte den SAP-Hinweis 101
146 beachten!
Risiko der nicht autorisierten Nutzung: Ein Benutzer knnte einen Job unter einem privilegierten
Benutzer fahren, z. B. SAP*, um eine Manipulation zu ermglichen. Es ist dann systemseitig nicht
mehr nachzuvollziehen, wer diesen Job gestartet hat.
SOS: Users - Other Than the Background Administrators Are Authorized to Schedule Jobs Under
Another User Id (0214)

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Schutz der Job-Ablufe

Seite 73

NR.

5 Systemintegritt auf der Anwendungsebene


5.13 Prfprogramm: Schutz der Druckauftrge
NR.

Schutz der Druckauftrge

1.

Kontrollziel: Sicheres Verwalten von Druckauftrgen


Gem der Sicherheitsrichtlinie des Unternehmens sind die folgenden beiden SAP Zugriffsberechtigungen zum Schutz von Druckauftrgen angemessen zu aktivieren:
> S_SPO_DEV, Spooler Gerteberechtigungen und
> S_SPO_ACT, Spooler Aktionen.
Betroffene Fachabteilungen sind z. B. Personalabteilung, Finanzbuchhaltung und Controlling. Die
Namenskonvention kann sich entweder nach dem Modulnamen oder nach dem Abteilungsnamen
richten.
Risiko: Vertrauliche Informationen in Druckauftrgen sind nicht gegen unbefugte Kenntnisnahme
geschtzt. (Streng) vertrauliche Druckauftrge werden unbefugt gelesen oder auf fremde Drucker
umgeleitet und ausgedruckt. Druckauftrge sind ungeschtzt, sofern keine zustzlichen SAPZugriffsberechtigungen fr den Schutz der Druckausgaben aktiviert sind.
Tckisch ist, dass der Benutzer den unbefugten Informationsabfluss aufgrund zu weitreichender
Zugriffsberechtigungen auf zwischengespeicherte Daten oder Druckauftrge nicht als Risiko
kennt. Recherchen, ob oder wie ein unbefugter Informationsabfluss erfolgt ist, sind wegen der
fehlenden Protokollierung erschwert oder bleiben ohne Ergebnis. Hinweis: Druckauftrge sind
mandantenbergreifend.

Seite 74

1.1

Kontrollfragen zum Prozess:


> Sind fr jeden Benutzer die zulssigen Drucker definiert?
> Werden Druckauftrge mit (streng) vertraulichen Daten mit einem Berechtigungswert geschtzt?
> Sind die Berechtigungen fr Druckauftrge mit (streng) vertraulichen Daten restriktiv vergeben?
Transaktion SU03, Objektklasse Basis-Administration,
Objekt S_SPO_DEV, - Verwendungsnachweis.

1.2

Wird bei Druckauftrgen mit (streng) vertraulichen Daten die Einstellung Lschen nach Angabe
eingesetzt?
Transaktion SU01, Stammdaten ausgewhlter Benutzer anzeigen: prfen, fr welche Benutzer der
Eintrag Lschen nach Angabe standardmig vorgegeben ist.
Risiko: Standardmig verbleibt ein Druckauftrag 8 Tage im System (Spool-Verweildauer) und
knnte in dieser Zeit unbefugt eingesehen werden, wenn keine zustzlichen Zugriffskontrollen
dies verhindern.

1.3

Wer darf Inhalte von Druckauftrgen einsehen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SP01 oder SP01O
S_SPO_ACT (Spooler Aktionen) mit Aktionen SPOACTION BASE (Spool-Auftrge auflisten) und
DISP (Inhalt eines Spool-Auftrags anzeigen).

1.4

Wer darf Inhalte der Druckauftrge anderer Benutzer im gleichen Mandanten einsehen?
Hinweis (Druckauftrge sind geschtzt): Es ist mglich auf geschtzte Spool-Auftrge anderer
Benutzer im aktuellen Mandanten zuzugreifen, falls folgende Berechtigung vergeben ist:
Report RSUSR002 mit den Eingaben:
S_TCODE = SP01 oder SP01O
S_ADMI_FCD (Systemberechtigungen) mit Wert SP0R (Zugriff auf die Spool-Auftrge anderer
Benutzer im aktuellen Mandanten)
S_SPO_ACT (Spooler Aktionen) mit Aktionen SPOACTION BASE (Spool-Auftrge auflisten) und
DISP (Inhalt eines Spool-Auftrags anzeigen) sowie mit dem Wert fr die Autorisierungsprfung
SPOAUTH = * oder __USER__.
Hinweis: Die Zugriffsberechtigungen fr die Zugriffe auf den Spool sind in allen Mandanten des
Produktivsystems zu prfen.
Diese Berechtigung ist nur an einen eingeschrnkten Personenkreis zu vergeben, wenn dies
aufgrund der unternehmensinternen Risikoanalyse oder den unternehmensinternen Sicherheitsvorgaben gefordert ist.
Risiko: Unberechtigter Zugriff auf Druckauftrge mit (streng) vertraulichen Daten.
SOS: Users Other Than the Spool Admins Are Authorized to Display Other Users Spool
Requests (0192)
SOS: Users Other Than the Spool Admins Are Authorized to Display Protected Spool Requests
of Other Users (0198)

1.5

Wer darf Inhalte der Druckauftrge anderer Benutzer in allen Mandanten einsehen?
Hinweis (Druckauftrge sind geschtzt): Es ist mglich, aus einem Mandanten auf Spool-Auftrge
anderer Benutzer in allen Mandanten zuzugreifen, falls folgende Berechtigung vergeben ist:
Report RSUSR002 mit den Eingaben:
S_TCODE = SP01 oder SP01O
S_ADMI_FCD (Systemberechtigungen) mit Wert SP01 (Zugriff auf die Spool-Auftrge anderer
Benutzer in allen Mandanten)
S_SPO_ACT (Spooler Aktionen) mit Aktionen SPOACTION BASE (Spool-Auftrge auflisten) und
DISP (Inhalt eines Spool-Auftrags anzeigen) sowie mit dem Wert fr die Autorisierungsprfung
SPOAUTH = * oder __USER__.
Diese Berechtigung ist nur an einen eingeschrnkten Personenkreis zu vergeben, wenn dies aufgrund der unternehmensinternen Risikoanalyse oder den unternehmensinternen Sicherheitsvorgaben gefordert ist.
Risiko: Unberechtigter Zugriff auf Druckauftrge mit (streng) vertraulichen Daten.
SOS: Users Other Than the Spool Admins Are Authorized to Display Other Users Spool
Requests (0192)
SOS: Users Other Than the Spool Admins Are Authorized to Display Protected Spool Requests
of Other Users (0198)

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Schutz der Druckauftrge

Seite 75

NR.

Seite 76

5 Systemintegritt auf der Anwendungsebene


NR.

Schutz der Druckauftrge

1.6

Wer darf die Druckausgabe auf einen anderen Drucker umleiten?


Report RSUSR002 mit den Eingaben:
S_TCODE = SP01S_ADMI_FCD (Systemberechtigungen) mit Wert SP01 (Zugriff auf die SpoolAuftrge anderer Benutzer in allen Mandanten) oder SP0R (Zugriff auf die Spool-Auftrge anderer
Benutzer im aktuellen Mandanten)
S_SPO_ACT (Spooler Aktionen) mit Aktion REDI (Umlenken auf Drucker gleichen Typs).
Diese Berechtigung ist nur an einen eingeschrnkten Personenkreis zu vergeben.
Risiko: Druckauftrge mit (streng) vertraulichen Daten, die nur fr besondere Drucker in kontrollierten Bereichen bestimmt sind, knnen unbefugt auf einen beliebigen Drucker umgeleitet
werden.
Hinweis: Die Zugriffsberechtigungen fr die Zugriffe auf den Spool sind in allen Mandanten des
Produktivsystems zu prfen.
SOS: Users Other Than the Spool Admins Are Authorized to Redirect a Print Request to
Another Printer (0195)
SOS: Users Other Than the Spool Admins Are Authorized to Export a Print Request (0196)
Hinweis: Aktion DOWN (Herunterladen ber SAPOffice) statt REDI.

1.7

Wer darf die Berechtigungswerte fr Druckauftrge, z. B. den Eigentmer, ndern?


Report RSUSR002 mit den Eingaben:
S_TCODE = SP01
S_ADMI_FCD (Systemberechtigungen) mit Wert SP01 (Zugriff auf die Spool-Auftrge anderer
Benutzer in allen Mandanten) oder SP0R (Zugriff auf die Spool-Auftrge anderer Benutzer im
aktuellen Mandanten)S_SPO_ACT (Spooler Aktionen) mit Aktion AUTH (Berechtigungswert eines
Auftrags ndern).
Diese Berechtigung ist nur an den Eigentmer des Druckauftrages zu vergeben.
Risiko: Unberechtigter Zugriff auf Druckauftrge mit (streng) vertraulichen Daten.
Hinweis: Die Zugriffsberechtigungen fr die Zugriffe auf den Spool sind in allen Mandanten des
Produktivsystems zu prfen.
SOS: Users Other Than the Spool Admins Are Authorized to Change the Owner of Spool
Requests (0194)

1.8

Wer hat Einsicht in TemSe-Objekte?


Hinweis: Die TemSe ist eine Ablage fr temporre sequentielle Daten, d. h. in der TemSe werden
Objekte gespeichert, die normalerweise nicht dauerhaft im System gehalten werden. Das SpoolSystem verwendet die TemSe zum temporren Speichern von Ausgabedaten.
Jedes TemSe-Objekt besteht aus einem Kopfeintrag in der Tabelle TST01 und dem eigentlichen
Objekt. Dieses kann im Dateisystem abgelegt sein (z. B. bei Job-Protokollen) oder in der Tabelle
TST03 (z. B. bei HR-Daten).
Es gibt unter anderem folgende TemSe-Objekte:
> Spool-Auftrge (TemSe-Name: Spool....)
> Job-Protokolle (TemSe-Name: JOBLG...)
> Objekte aus anderen Anwendungen wie z. B. aus der Personalwirtschaft (TemSe-Name: HR)
> ein Objekt, dessen Name mit KONS beginnt; dieses Objekt wird stndig vom Report RSPO1043
verwendet.
Report RSUSR002 mit den Eingaben:
S_TCODE mit SP11 oder SP12
S_TMS_ACT mit
> STMSACTION = REA <Lesen> und
> (STMSOWNER = GRP <fremde TemSe Objekte im eigenen Mandant>
> oder OCL <TemSe Objekte in fremden Mandanten>) und
> STMSOBJECT = SPOOL* <generischer Name des TemSe-Objektes>.
Diese Berechtigung ist nur an einen eingeschrnkten Personenkreis zu vergeben.
Risiko: Zwischengespeicherte (streng) vertrauliche Daten, die nur fr einen Benutzer bestimmt
sind (Eigentmer), knnen unbefugt von einem anderen Benutzer eingesehen werden. SOS:
Users Other Than the Spool Administrators Are Authorized to Display the TemSe Content
(0193)

2.

Kontrollziel: Angemessene Vergabe der Berechtigung zum Download.


Gem der Sicherheitsrichtlinie des Unternehmens darf die Berechtigung S_GUI zum Exportieren
von Tabellen und Listen nur an den zulssigen Personenkreis vergeben werden.
Risiko: Verlust der Vertraulichkeit durch unberechtigte Weitergabe (streng) vertraulicher Daten.
Versto gegen das Datenschutzgesetz durch Zweckentfremdung, nicht zulssige Weitergabe von
Daten oder Missbrauch bei der Weiterverarbeitung von Daten. Vertrauliche Informationen z. B. der
Personal- oder Finanzabteilung knnen auf den PC eines Benutzers heruntergeladen, dort
gendert, mit anderen Daten verknpft, weiterverarbeitet oder an unbefugte Dritte bermittelt
werden.

2.1

Wer darf Daten exportieren (PC-Download)?


Report RSUSR002 mit den Eingaben:
S_GUI mit Aktivitt 61 (Exportieren).
Hinweis: Eine weitere spezifische Einschrnkung auf die Art der Information ist ber dieses
Objekt nicht mglich.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Schutz der Druckauftrge

Seite 77

NR.

6 Software-Change-Management
6.1 Kontrollierte Softwarenderungs- und Einsatzverfahren
Die gesetzlichen Anforderungen an ein dokumentiertes phasenorientiertes Softwarenderungs- und
-einsatzverfahren mit den erforderlichen Freigabekontrollen sind zu erfllen.
Die SAP-Software bietet verschiedene softwaretechnische Konzepte und Funktionen an, die die Steuerung
und Kontrolle eines Software-ChangeManagements untersttzen, z. B. das Transport-ManagementSystem. Diese Konzepte und Funktionen sind entsprechend dem unternehmensindividuellen Konzept eines
Software-Change-Managements auszuprgen und adquat zu aktivieren.

6.2 Risiken
>

>

>

>

>


>


>

Konzept, Aufgaben und Zustndigkeiten fr das Software-Change-Management einer SAP-Systemland-


schaft sind nicht definiert.
Die erforderlichen Funktionstrennungen eines geordneten Entwicklungs-, Tests- und Freigabeverfahrens
sind nicht im SAP-System abgebildet.
Schwachstellen bei der Implementierung des SAP eigenen Software-Transport-Systems ermglichen
ein Umgehen der internen Kontrollen und gefhrden System- und Datenintegritt.
System- und Datenintegritt ist nicht gewhrleistet, weil Softwareentwicklung im Produktivsystem
mglich ist.
Entwickler knnen ber eine autorisierte Softwarenderung einen Funktionsbaustein in das Produktiv-
system einfhren, der als Hintertr fr das Einbringen weiterer ausfhrbarer Codes zur Manipulation
am System und an Daten dient.
Im Produktivsystem sind eigenentwickelte Programme im Einsatz, die aufgrund fehlender programmierter
Berechtigungsprfungen von jedem Benutzer ausgefhrt und zu nicht auftragsbezogenen Manipulationen
verwendet werden knnen.
Gesetzliche Anforderungen an die Nachvollziehbarkeit von Programm-/Tabellen-nderungen und
gesetzliche Aufbewahrungspflichten sind nicht umgesetzt: nderungen an Programmen/Tabellen
werden nicht protokolliert und archiviert.

6.3 Kontrollziele

Seite 78

> Ein Konzept fr das Software-Change-Management der SAP-Landschaft liegt vor.


> Vorgaben fr ein geordnetes Entwicklungs-, Test- und Freigabeverfahren sind definiert und dokumentiert.
> Das SAP Transportmanagementsystem (TMS) untersttzt das geordnete Entwicklungs-, Test- und
Freigabeverfahren und ist sicher implementiert.
> Softwareentwicklung im Produktivsystem ist ausgeschlossen, die dazu von SAP bereitgestellten
softwaretechnischen Kontrollen sind aktiviert.
> Eigenentwicklungen unterliegen definierten und dokumentierten Programmierstandards und einer
Qualittskontrolle.
> Die von SAP bereitgestellten Funktionen zur Untersttzung der gesetzlichen Anforderung an Nachvoll-
ziehbarkeit und Aufbewahrung von nderungen an Programmen/Tabellen sind ordnungsgem und
sicher implementiert.

Transportmanagementsystem (TMS)

1.

ber das Transportmanagementsystem (TMS) werden die Transportwege und -strategien


festgelegt, um neue oder genderte Objekte in das Produktivsystem einzuspielen. ber das TMS
werden auch das Qualittssicherungsverfahren und der Workflow fr die Sondertransporte
konfiguriert.
Kontrollziel:
1. Das interne Kontrollsystem verlangt eine Funktionstrennung zwischen planenden,
ausfhrenden und berwachenden Stellen.
a. Die Funktionstrennung zwischen Fachabteilung, Anwendungsentwicklung und Systemadministration wird eingehalten.
b. Wenn das Qualittssicherungsverfahren in der mehrstufigen SAP-Systemlandschaft aktiviert
ist, kann ein Auftrag nur dann in das Produktivsystem importiert werden, wenn alle Genehmigungsschritte abgearbeitet sind.
2. Der Zugriff auf das Transportmanagementsystem, das Transportverzeichnis und die
Transportdaten ist nur fr berechtigte Mitarbeiter mglich.
Risiko: Entwickler importieren ohne Auftrag genderte Software selbst in das Produktivsystem.
Test- und Freigabeschritte sind nicht vorgegeben oder werden umgangen. Nicht autorisierte
nderungen an den Einstellungen des Transportsystems und an den Transportdaten selbst sind
mglich.

1.1

Wie sind die Transportwege definiert?


Transaktion STMS, bersicht Transportwege
Oder AIS: System Audit Transportverbund Transport Management System Werkzeuge
Konfiguration anzeigen (?)

1.2

Gibt es ein Qualittssicherungsverfahren mit Genehmigungsstufen fr den Software Change


Management Prozess?
Transaktion STMS, bersicht Systeme, Menpfad Springen Transportdomne, Register
QA-Genehmigungsverfahren
Oder AIS: System Audit Transportverbund Transport Management System Werkzeuge
Konfiguration anzeigen (?).

1.3

Welche Zugriffsrechte sind auf das Transportverzeichnis vergeben? (auf Betriebssystemebene


gem SAP-Sicherheitsleitfaden eingestellt?)

1.4

Wer darf die Einstellungen des Transport Management Systems initialisieren?


Report RSUSR002 mit den Eingaben:
S_TCODE = STMS
S_CTS_ADMI (Change and Transport Organizer) mit Funktion INIT (Inititialisieren nach Systemkopie).
Diese Berechtigung ist restriktiv an die Systemadministration zu vergeben.
SOS: Users Other Than the System and Transport Admins Are Authorized to Change the TMS
Configuration (0341)

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009 DSAG e.V.

NR.

Seite 79

6.4 Prfprogramm: OrdnungsmSSige und sichere Implementierung


des Transport Management Systems

Seite 80

6 Software-Change-Management
NR.

Transportmanagementsystem (TMS)

1.5

Wer darf Transportwege pflegen?


Report RSUSR002 mit den Eingaben: S_TCODE = STMS
S_CTS_ADMI (Change and Transport Organizer) mit Funktion TABL (Pflege der Steuertabellen).
Diese Berechtigung ist restriktiv an die Systemadministration zu vergeben.

Entwicklungsklassen, Aufgaben und nderungstransporte

2.1

Welche selbst definierten Entwicklungsklassen werden genutzt?


Tabelle TDEVC, Selektion auf Entw.klasse mit Y* und Z*

2.2

Wer darf Entwicklungsklassen anlegen, die Tabelle TADIR, ndern?


Report RSUSR002 mit den Eingaben: S_TCODE = SM30 oder SM31
S_TABU_DIS (Tabellenpflege) mit Aktivitt 02 (ndern) und Berechtigungsgruppe SS (Systemtabellen)
S_TABU_CLI (Tabellenpflege mandantenunabhngiger Tabellen) mit Kennzeichen X (ndern
mandantenunabhngiger Tabellen).
Das Anlegen von Entwicklungsklassen sollte durch die Systemadministration oder Projektleitung
geschehen, nicht durch die Entwickler selbst.

2.3

Wer darf transportierbare nderungsauftrge im Entwicklungssystem anlegen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SE01 oder SE09 oder SE10
S_TRANSPRT (Change and Transport Organizer) mit Aktivitt 01 (Anlegen) und Auftragstyp DTRA
(Transportierbare nderungsauftrge) oder Auftragstyp CUST (Customizing Auftrge).
Das Anlegen neuer nderungsauftrge sollte durch die Systemadministration oder Projektleitung
geschehen.

2.4

Wer darf Aufgaben im Entwicklungssystem anlegen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SE01 oder SE09 oder SE10
S_TRANSPRT (Change and Transport Organizer) mit Aktivitt 01 (Anlegen) und Auftragstyp TASK.
Das Anlegen neuer Aufgaben innerhalb eines Auftrages sollte gem Funktionstrennung durch
Systemadministration oder Projektleitung erfolgen.
SOS: Users Other Than the System and Transport Admins are Authorized to Create and
Release Transports (0343)

2.5

Wer darf nderungsauftrge im Entwicklungssystem freigeben?


Report RSUSR002 mit den Eingaben:
S_TCODE = SE01 oder SE09 oder SE10
S_TRANSPRT (Change and Transport Organizer) mit Aktivitt 43 (Freigeben) und Auftragstyp DTRA
(Transportierbare nderungsauftrge)
Auftrge sollten ausschlielich durch Systemadministration oder Projektleitung freigegeben
werden.
SOS: Users Other Than the System and Transport Admins are Authorized to Create and
Release Transports (0343)

2.6

Wer darf einzelne Transportauftrge importieren?


Report RSUSR002 mit den Eingaben: S_TCODE = STMS
S_CTS_ADMI (Change and Transport Organizer) mit Funktion IMPS (Importieren einzelner Auftrge).
Der Import der Transporte ins Zielsystem ist ausschlielich der Systemadministration vorbehalten.
SOS: Users Other Than the System and Transport Admins Are Authorized to Start Imports to
Production (0342)

2.7

Wer darf alle Transportauftrge der Importqueue importieren?


Report RSUSR002 mit den Eingaben: S_TCODE = STMS
S_CTS_ADMI (Change and Transport Organizer) mit Funktion IMPA (Importieren aller Auftrge).
Der Import der Transporte ins Zielsystem ist ausschlielich der Systemadministration vorbehalten.
SOS: Users Other Than the System and Transport Admins Are Authorized to Start Imports to
Production (0342)

2.8

Wer darf Transportauftrge aus der Importqueue lschen?


Report RSUSR002 mit den Eingaben:
S_TCODE = STMS
S_CTS_ADMI (Change and Transport Organizer) mit Funktion TDEL (Transportauftrge lschen).
Das Lschen von Transporten ist ausschlielich der Systemadministration vorbehalten.

2.9

Wer darf Transporte in das Produktivsystem genehmigen?


Report RSUSR002 mit den Eingaben: S_TCODE = STMS
S_CTS_ADMI (Change and Transport Organizer) mit Funktion QTEA (Genehmigen von Transporten).
Die Genehmigung der Transporte ins Zielsystem ist ausschlielich der Systemadministrator der
einer eigens dazu bestimmten Funktion vorbehalten.
Risiko: Durch eine fehlende Funktionstrennung knnen Entwicklungen ohne Freigabeverfahren
ins Produktivsystem importiert werden.
SOS: Users Are Authorized to Approve Transports (0346)

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009 DSAG e.V.

Transportmanagementsystem (TMS)

Seite 81

NR.

6 Software-Change-Management

Seite 82

6.5 Prfprogramm: Einhaltung der Regeln des Software-ChangeManagements fr das Produktivsystem


NR.

Einhaltung der Regeln des Software-Change-Managements fr das Produktivsystem

1.

Das Software-Change-Management sieht eine dreistufige Entwicklung ber ein Entwicklungs-,


ein Test- und Qualitts- und ein Produktivsystem vor.
Kontrollziel:
1. ber ein gestuftes Auftrags-, Test,- und Freigabeverfahren wird sichergestellt, dass nur
autorisierte Programme und Programmnderungen zum Einsatz kommen. Im Produktivsystem
drfen keine Entwicklerberechtigungen vergeben sein.
2. Fr eigenentwickelte Programme gibt es Programmiervorgaben (Style Guide) insbesondere fr Berechtigungsprfungen, die den ordnungsmigen und sicheren Einsatz der Programme im Produktivsystem sicherstellen. Die Einhaltung dieser Vorgaben wird berwacht.
Risiko: Verlust der Verfgbarkeit, der Integritt von Daten und Systemen, Verlust der Vertraulichkeit
1. Im Produktivsystem sind Entwicklerberechtigungen vergeben, die ein Unterlaufen der
vorgegebenen Kontrollen des Software Change Management Prozesses ermglichen.
2. Im Produktivsystem sind eigenentwickelte Programme im Einsatz, die aufgrund fehlender
programmierter Berechtigungsprfungen von jedem Benutzer ausgefhrt und zu nicht auftragsbezogenen Manipulationen verwendet werden knnen.

1.1

Wer darf im Produktivsystem Patches einspielen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SPAM
S_TRANSPRT mit Auftragstyp PATC
Diese Berechtigung darf im Produktivsystem nur an Systemadministratoren vergeben sein.

1.2
H

Wer darf im Produktivsystem ABAP-Programme anlegen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SE*
S_DEVELOP mit Aktivitt 01 (Anlegen) und Objekttyp PROG.
Diese Berechtigung darf im Produktivsystem nur an Notfallbenutzer vergeben sein.
Risiko: Unberechtigte Benutzer oder Entwickler legen ohne Auftrag Programme im Produktivsystem an.

1.3
H

Wer darf ABAP-Programme im Produktivsystem ndern?


Report RSUSR002 mit den Eingaben:
S_TCODE = SE*S_DEVELOP mit Aktivitt 02 (ndern) und Objekttyp PROG.
Diese Berechtigung darf im Produktivsystem nur an Notfallbenutzer vergeben sein.
Risiko: Unberechtigte Benutzer oder Entwickler ndern ohne Auftrag Programme im Produktivsystem.

1.4

Wer darf Debuggen mit Hauptspeichernderungen?


Report RSUSR002 mit den Eingaben:
S_TCODE = SE*
S_DEVELOP mit Aktivitt 02 (ndern) und Objekttyp DEBUG. Die anderen Felder des Objektes S_
DEVELOP sind fr diese Prfungshandlung nicht relevant.
Diese Berechtigung ist im Produktivsystem nicht zulssig.
Risiko: Versto gegen 239, Abs. III HGB (Radierverbot).
SOS: Users are Authorized to Debug and Replace Field Values in the Production System (0308)

1.5

Wurden in letzter Zeit im Produktivsystem im Debug-Modus Hauptspeicherinhalte gendert?


AIS: System Audit Systemprotokolle und Statusanzeigen Systemprotokoll Systemprotokoll
Datei, keine Selektion, Wechsel in den Expertenmodus ber den Menpunkt Bearbeiten Expertenmodus, Aktivieren der Schaltflche Meld.kennungen, dann Selektion Nur diese Meldungen und Eingabe der Meldungsnummer A19.
Die nderungen mssen unter Einhaltung des Vier-Augen-Prinzips durchgefhrt worden und
dokumentiert sein.

1.6

Welche Elemente der Tabelle TADIR wurden im Produktivsystem angelegt?


Tabelle TADIR, Selektion im Feld OBJ_Name mit Werten Y* und Z* und im Feld SRCSYSTEM
den Namen des Produktivsystems.

1.7

Wer darf nderungsantrge anlegen (im Produktivsystem fr Reparaturen)?


Report RSUSR002 mit den Eingaben:
S_TCODE = SE01 oder SE09 oder SE10
S_TRANSPRT (Change and Transport Organizer) mit Aktivitt 01 (Anlegen) und Auftragstyp DTRA.
Dieses Zugriffsrecht ist nur an den Notfallbenutzer zu vergeben.

1.8
H

Wurden im Produktivsystem Reparaturen durchgefhrt?


1. Tabelle E070, Selektion auf Typ (TRFUNCTION) mit R (alle Reparaturen)
2. Inhalt der Auftrge mit Transaktion SE01 oder Report RSWBO050 prfen.
Nur Notfallbenutzer drfen unter Einhaltung des Vier-Augen-Prinzips Reparaturen im Produktivsystem durchfhren. Die Reparaturen sind manuell zu dokumentieren, weil SAP keine automatische Protokollierung der Reparaturen im Produktivsystem vorsieht.

1.9

Wer ist berechtigt, Reparaturkennzeichen im Produktivsystem zu ndern?


Report RSUSR002 mit den Eingaben:
S_TCODE = SM30 oder SE03
S_TABU_DIS (Tabellenpflege) mit Aktivitt 02 (ndern) und Berechtigungsgruppe SS (Systemtabellen)
S_TABU_CLI (Tabellenpflege mandantenunabhngiger Tabellen) mit Kennzeichen X (ndern
mandantenunabhngiger Tabellen).
Dieses Zugriffsrecht ist nur an die Systemadministration vergeben.

2.

Kontrollziel: Die gesetzlich erforderliche Versionsfhrung von Programmen ist gewhrleistet.


Risiko: Versionen werden auf mehreren SAP-Systemen der gleichen mehrstufigen SAPLandschaft (Entwicklung-, Test-, Integrations-, Produktiv-System) gefhrt. Versionen werden
nicht autorisiert gelscht, bevor sie archiviert worden sind.

2.1

Wurde durch den Import neuer Programmversionen eine Versionshistorie im Produktivsystem erzeugt?
Report RSTMSTPP, der fr ein System die Transportparameter anzeigt.
Selektionsmaske: Name des Produktivsystems.
Der Parameter VERS_AT_IMP gibt an:
NEVER es werden keine Versionen erzeugt.
ALWAYS es werden Versionen erzeugt.
Hinweis: Falls die Versionshistorie grundstzlich im Produktivsystem vorgehalten wird, sind auch
im Produktivsystem die beiden Reports RSVCAD03/04 gegen Ausfhrung zu schtzen.
Risiko: Aufbewahrungspflichtige Programmversionen werden nicht archiviert. Sie sind laut HGB
10 Jahre aufbewahrungspflichtig.
SOS: Program Versioning During Import is Not Enabled (0349)

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009 DSAG e.V.

Einhaltung der Regeln des Software-Change-Managements fr das Produktivsystem

Seite 83

NR.

Seite 84

6 Software-Change-Management
NR.

Einhaltung der Regeln des Software-Change-Managements fr das Produktivsystem

2.2

Knnen die Reports RSVCAD03 und RSVCAD04 zum Lschen von Versionen (im Entwicklungssystem)
benutzt werden?
Die beiden Reports RSVCAD03 und -04 sind gegen unbefugte Ausfhrung zu schtzen, z. B. durch
deren Zuordnung zu einer Berechtigungsgruppe, die nicht vergeben wird.
Risiko: Das Lschen der Versionshistorie ist damit mglich.
In der SAP-Standardauslieferung sind die Reports RSVCAD03 (Lschen aller Versionen eines
Objektes) und RSVCAD04 (Lschen aller Versionen eines Objektes bis zu einem bestimmten
Datum) nicht durch Berechtigungsprfungen oder Berechtigungsgruppen geschtzt. Es besteht
damit fr Benutzer uneingeschrnkt die Mglichkeit, Versionen zu lschen, die i. d. R. standardmig auf dem Entwicklungssystem gefhrt und von dort aus archiviert werden. Dann ist keine
Nachvollziehbarkeit mehr ber die Programmnderungen gegeben. Es wird gegen die gesetzliche Dokumentations- und Aufbewahrungspflicht von Programmnderungen verstoen.

3.
H

Kontrollziel: Fr die Programm-Entwicklung sind Vorgaben fr die Codierung von


Standardbausteinen gesetzt, die die Sicherheitsmechanismen des SAP internen Sicherheitskontrollsystems untersttzen und damit die System- und Datenintegritt sicherstellen.
Risiko: Anwendungsentwickler knnen die Ausprgung der sicherheitsrelevanten Parameter von
Standardprogrammierbausteinen unterlassen und somit Programme fertig stellen, die das SAP
interne Sicherheitskontrollsystem unterlaufen.
Oder sie knnen nicht auftragsbezogen und damit nicht autorisiert Funktionsaufrufe verwenden,
die zur Manipulation von Daten vorgesehen sind. Beispiele fr solche Funktionsaufrufe sind:
> INSERT REPORT (ABAP Kommando)
> EDITOR-CALL FOR REPORT (ABAP Kommando)
> DELETE_USER_ON_DB (Funktionsmodul)
> BAPI_USER_* (Funktionsmodul).

3.1

Wird die Funktion des Code Inspectors regelmig genutzt (verfgbar ab WEB AS 6.10)?
Hinweis: Der Kunde muss den Code Inspector im Detail einstellen, z. B. welche Programme er
auf welche Funktionsaufrufe untersuchen soll. Es gibt keine abschlieende Liste kritischer
Funktionsaufrufe.
SOS: Development Sources Are Not Scanned for Critical Statements (0335)

3.2

Sind in eigenentwickelten ABAP-Programmen Berechtigungsprfungen eingebaut?


Report RPR_ABAP_SOURCE_SCAN mit folgender Selektion auf gesuchten String: AUTHORITYCHECK
Unternehmensspezifische Programmierrichtlinien (Style Guide) enthalten Vorgaben, fr welche
Programme welche Berechtigungsprfungen zwingend zu implementieren sind. Die Einhaltung
der Vorgaben wird berwacht.
Risiko: Wenn keine Berechtigungsprfungen in eigenentwickelten Programmen implementiert
sind, knnen alle Benutzer dieses Programm ausfhren. Das fhrt bei unbefugter Nutzung, z. B.
bei Reports mit (streng) vertraulichen Daten zum Verlust der Vertraulichkeit, bei buchungsrelevanten Programmen zum Verlust der Integritt der Buchungsdaten.

Einhaltung der Regeln des Software-Change-Managements fr das Produktivsystem

3.3

Wird in neu angelegten ABAP-Programmen der Befehl EXEC SQL verwendet?


Report RPR_ABAP_SOURCE_SCAN mit folgenden Selektionen:
Programmname: Y*, Z*
Programmtyp: 1 (ausfhrbares Programm)
Includes auflsen: Aktivieren
Kommentarzeile ignorieren: Aktivieren.
Unternehmensspezifische Programmierrichtlinien (Style Guide) enthalten die Vorgabe, dass in
eigenentwickelten Programmen der Befehl EXEC SQL nur bei systemnahen Zugriffen auf die
Datenbank, z. B. fr ein Monitoring, verwendet wird. Die Einhaltung dieser Vorgabe wird
berwacht.
Risiko: ber diese Programme knnen Tabellen in der Datenbank direkt gendert werden. Die
Sicherheitskontrollstruktur von SAP kann damit unterlaufen werden.

3.4

Wird in neu angelegten ABAP-Programmen der SELECT Zusatz CLIENT SPECIFIED verwendet?
Report RPR_ABAP_ SOURCE_SCAN mit folgender Selektion auf den gesuchten String: CLIENT
SPECIFIED
Unternehmensspezifische Programmierrichtlinien (Style Guide) enthalten die Vorgabe, dass in
eigenentwickelten im SELECT-Befehl die Klausel CLIENT SPECIFIED verwendet werden muss,
wenn Daten nicht mandantenbergreifend gelesen werden mssen. Die Einhaltung dieser
Vorgabe wird berwacht.
Risiko: Ein Programm ohne diesen Zusatz bei der SELECT Routine ermglicht den Benutzern den
Zugriff auf Tabellen aus anderen Mandanten, z. B. aus einem Nicht-Produktivmandanten auf den
Produktivmandanten des gleichen SAP-Systems.

3.5

Werden in neu angelegten Dialoganwendungen ENQUEUE-Bausteine zur Sperrung von Daten


genutzt?
Report RPR_ABAP_ SOURCE_SCAN mit folgender Selektion auf gesuchten String: ENQUEUE
Unternehmensspezifische Programmierrichtlinien (Style Guide) enthalten die Vorgabe, dass in
eigenentwickelten Dialogprogrammen bei der Programmierung eines Tabellenzugriffes, der
Daten verndert, ein Enqueue-Baustein aufgerufen werden muss, um konkurrierende Tabellennderungszugriffe abzufangen. Die Einhaltung dieser Vorgabe wird berwacht.
Risiko: Konkurrierender Tabellenzugriff, d. h. dass mehrere Benutzer den gleichen Tabellensatz
gleichzeitig ndern mchten, fhrt zu nicht vorhersehbarem Ergebnis, zur Dateninkonsistenz,
wenn dies technisch nicht durch eine entsprechende Sperrroutine beim ersten Aufruf des
betreffenden Datensatzes abgefangen wird.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009 DSAG e.V.

NR.

Seite 85

7 Systemintegritt mit dem SAP Java-Stack


7.1 Neue und parallele Software-Entwicklungs- und
Anwendungsumgebung
SAP stellt den Java Stack auf einem Anwendungsserver gem der Spezifikation J2EE (Java 2 Enterprise
Edition) bereit. Die Java-basierte Technologie wird hauptschlich fr web-basierte Anwendungsszenarien
eingesetzt.

7.2 Risiken
> Die Sicherheitsanforderungen der Java Architektur sind nicht ermittelt, bekannt und umgesetzt.
> Die Anforderungen an ein geregeltes Softwarenderungs- und Einsatzverfahren sind nicht um-gesetzt.

7.3 Kontrollziele
> Die Sicherheitsempfehlungen von SAP zur sicheren Konfiguration der Java Architektur sind umgesetzt.
> Die Anforderungen an ein geregeltes Softwarenderungs- und Einsatzverfahren sind mit den Mitteln von
SAP untersttzt (Software Deploy Manager, SDM, und Change Management Service, CMS).

Internet

Demilitarized Zone
(DMZ)

Intranet

Shell Admin

Web Client

Visual
Administrator

Admin Tools

Deploy Tool

Communication Protocols:

Application
Gateway
(reverse proxy/
Webfilter)

AS-Java

Dispatcher

Visual
Administrator

AS Java Cluster
User Persistence Store
AS-ABAP

LDAP
Directory

Server

Database

SDM Server

P4
LDAP

SDM GUI

Telnet

SDM Java API

SDM Clients

HTTP
RFC
JDBC

Seite 86

SDM client/server
TCP/IP based
Session

Web Application
(SAP, non SAP)

Database

SAP System

Backend Systems

Sichere Konfiguration des SAP Java Stack

1.

Kontrollziel: Sichere Konfiguration des SAP Java Stack


Risiko: Sicherheitsrisiken im Betrieb eines SAP Java Stacks sind nicht beurteilt und abgestellt.
Der SAP Java Stack bleibt in dem ungesicherten Zustand nach erfolgter Standardinstallation.

1.1

Werden berhaupt Java basierte Produkte oder Anwendungen eingesetzt?


Falls dies nicht zutrifft, knnen alle Dienste des Java Stack deaktiviert werden.

1.2

Sind nicht bentigte Dienste abgeschaltet? Ist der folgende SAP-Hinweis bekannt und umgesetzt
worden?
SAP-Hinweis: 871 394, Dispensable functions with impact on security.

1.3

Ist der http-Dienst gesichert?


> Ist die Verzeichnisanzeige unterbunden?
> Sind nicht bentigte Aliase deaktiviert?
> Ist das Hochladen von Daten ausgeschlossen (http PUT)?
SAP-Hinweis: 604 285, Security vulnerability by unprotected http PUT method.
SOS: HTTP Based Browsing IEX (0780)
SOS: Restriction of HTTP PUT Method IEX (0779)

1.4

Ist die kryptografische Funktionsbibliothek konfiguriert?


Die Datei IAIK_JCE.JAR muss manuell in das Verzeichnis <SAPj2eeEngine_install_dir>/admin/lib
gebracht werden.
Hinweis: Per default wird die SAP J2EE Engine nur mit der Exportversion des Sicherheitswerkzeugkastens ausgeliefert. Diese enthlt nur die Funktionen fr die digitale Ver-schlsselung, nicht
aber die Verschlsselungsfunktion, um SSL zu untersttzen.
SOS: Installation of the SAPcryptolib IEX (0871)

1.5

Sind die Betriebssystemdateien mit den streng vertraulichen Anmeldeinformationen stark


verschlsselt?
Hinweis 1: Die J2EE Engine speichert standardmig sichere Daten in der Datei \usr\sap\<SID>\
SYS\global\security\data\SecStore.properties im Dateisystem. Diese Datei wird whrend der
Installation geschaffen und die J2EE Engine benutzt sie, um Informationen ber die Datenbankverbindungen zu speichern, z. B. ber den Datenbankbenutzer SAP<SID>DB, sein Passwort, ber
die Datenbankbasis sowie Informationen ber den Benutzeradministrator und sein Passwort.
Hinweis 2: Zur Verschlsselung der Passworte des Datenbankbenutzers SAP<SID>DB und des
Administrator-Benutzers sollte die SAP Java Cryptographic Library aktiviert sein. Wenn die SAP
Java Cryptographic Library genutzt wird, werden die Passworte mit dem triple DES Verfahren
verschlsselt anstatt mit dem base64 Verfahren.
SOS: Strong Encryption for the Secured Storage in the File System IEX (0882)

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

NR.

Seite 87

7.4 Prfprogramm: Sichere Konfiguration des SAP Java Stack

7 Systemintegritt mit dem SAP Java-Stack


NR.

Sichere Konfiguration des SAP Java Stack

1.6

Welche Benutzer sind in der Standardbenutzergruppe Administrators?


Hinweis: Benutzer der Gruppe Administrators haben uneingeschrnkte Administrator
Privilegien auf den Java-Anwendungsserver. Sie haben die Berechtigung alle anderen Benutzer
zu verwalten, einschlielich anderer Benutzer mit Administrator-Privilegien. Sie knnen alle
Sicherheitseinstellungen verndern. Es gibt auerhalb dieser Gruppe keine anderen Benutzer, die
fr die Benutzer- und Sicherheitsadministration zustndig sind.
Nur Systemadministratoren drfen in der Standardbenutzergruppe Administrators sein.
SOS: Users of Standard User Group Administrators IEX (0893)

1.7

An welche Benutzer ist die Sicherheitsrolle telnet_login vergeben?


Sie darf nur an die Administratoren der J2EE Engine vergeben sein.
SOS: J2EE Server Remote Administration with Telnet IEX (0775)

1.8

Ist das Java-Stack Single Sign-On sicher konfiguriert?


Sind der SSL Service Provider und das SSL Server Zertifikat angegeben?
Ist der startup Modus auf Always gesetzt, sodass der SSL Dienstleister aktiviert ist?
SOS: Start of the SSL Service Provider IEX (0872)
Ist fr CN=localhost das default Server Certificat ersetzt?
SOS: Default SSL Server Certificate IEX (0873)

7.5 Prfprogramm: Authentisierung und Autorisierung (Java Stack)


NR.

Authentisierung und Autorisierung bei Nutzung des SAP-Java-Stack

1.

Kontrollziel: Sichere Authentisierung und Autorisierung des SAP-Java-Stacks-Risiko:


Sicherheitsparameter sind nicht oder fehlerhaft konfiguriert. Die Passwortbildungsregeln und
Anmeldekontrollen sind nicht, widersprchlich oder unzureichend gesetzt, um eine wirksame
Kontrolle auf die Zugriffe auszuben. Die protokollierten Sicherheitsereignisse aus der Anmeldung
oder aus der Benutzer- und Berechtigungsverwaltung werden nicht regelmig berwacht.

1.1

Gibt es ein Benutzer- und Berechtigungskonzept speziell fr den SAP-Java-Stack?

1.2

Seite 88

1.3

Wie ist der Benutzerpersistenzspeicher konfiguriert?


Hinweis: Es gibt zwei technische Mglichkeiten, um Benutzer und ihre Zugriffsrechte zu
verwalten, entweder ber die Nutzung des J2EE Java Authentication and Authorization Service
(JAAS) oder ber die darauf aufbauende SAP spezifische User Management Engine (UME). Die
UME lsst wiederum drei Optionen zu, wie die Stamm- und Anmeldedaten gespeichert werden:
> in der eigenen J2EE-Datenbank
> in Anbindung an ein LDAP-Verzeichnis
> im SAP WEB Anwendungsserver SAP (ABAP Stack).
Wie sind die Authentisierungsmodule konfiguriert?
Hinweis: Es gibt drei technische Mglichkeiten, um die Anmeldung beim Zugriff auf den Java-Stack
zu regeln (Authentisierungsverfahren):
> Benutzernamen und Passwort-Verfahren
> Zertifikate
> Single-Sign-On-Tickets.
Weitere Verfahren knnen aktiviert werden, indem z. B. Bibliotheken von Drittherstellern instal-liert
werden, die dem Java-Standard der JAAS-Schnittstelle gengen.

1.4

Werden sowohl der J2EE Java Authentication and Authorization Service (JAAS) als auch die SAP
spezifische User Management Engine (UME) zur Administration von Benutzern und Berechtigungen
eingesetzt?
Risiko: Benutzer- und Berechtigungsadministration erfolgt ber zwei unterschiedliche Anwendungen, auch wenn UME softwaretechnisch auf JAAS aufgesetzt ist. Nicht autorisierte oder konkurrierende Einrichtung von Benutzern und deren Berechtigungen werden dadurch begnstigt.
User Management Engine (UME) Anmeldekontrollen

2.

Kontrollziel: Die Bildung der Benutzerkennung und des Kennworts unterliegt Komplexittsregeln.
Risiko:
> Systemtechnische Benutzerkennungen oder die der Administratoren sind aufgrund der
Funktion, fr die sie eingerichtet werden, leicht zu erraten, sodass Kennwortattacken gezielt
auf die erratenen Benutzerkennungen vorgenommen werden knnen.
> Das Kennwort ist einfach und kann mit wenigen Anmeldeversuchen erraten werden.
> Der Benutzer verwendet wiederholt dasselbe Kennwort. Er berlistet den systemseitig erzwungenen Wechsel des Kennworts, wenn keine oder eine zu kurze Passworthistorie gewhlt ist.

2.1

Sind Bildungsregeln fr Benutzerkennungen konfiguriert?


In der ume.logon.security_policyin der Datei sapum.properties stehen folgende Parameter zur
Verfgung:
userid_digits
userid_special_character_required
useridmaxlength
useridminlenght.
Die Bildungsregeln mssen gem den dokumentierten unternehmensindividuellen Vorgaben
gesetzt sein.

2.2

Sind Bildungsregeln fr Kennwrter konfiguriert?


In der ume.logon.security_policyin der Datei sapum.properties stehen folgende Parameter zur
Verfgung:
password_max_length
password_min_length
password_alpha_numeric_required
password_mix_case_required
password_special_char_required
oldpass_in_newpass_allowed
userid_in_password_allowed
password_history
password_impermissible.
Die Bildungsregeln mssen gem den dokumentierten unternehmensindividuellen Vorgaben
gesetzt sein.
SOS: Password Contains Upper and Lower Case Letters IEX (0807)

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Authentisierung und Autorisierung bei Nutzung des SAP-Java-Stack

Seite 89

NR.

7 Systemintegritt mit dem SAP Java-Stack


NR.

Authentisierung und Autorisierung bei Nutzung des SAP-Java-Stack


Kontrollziel: Die Gltigkeitsdauer eines Kennworts ist beschrnkt.
Risiko: Benutzerkennungen verbleiben lange mit Initialkennwort. Der Benutzer kann dasselbe
Kennwort monatelang verwenden. Es besteht das Risiko, dass das Initialkennwort bekannt ist
oder dass das Kennwort ausgespht worden ist.

3.1

Wird regelmig ein Wechsel des Kennworts erzwungen?


In der ume.logon.security_policy in der Datei sapum.properties knnen dazu folgende Parameter
genutzt werden:
password_change_allowed
password_expire_days
password_last_change_date_default
password_successful_check_date_default
password_max_idle_time.
Die Anmelderegeln mssen gem den dokumentierten unternehmensindividuellen Vorgaben
gesetzt sein.
SOS: Regular Password Change IEX (0805)

Kontrollziel: Erschweren des Ausprobierens von Kennworten


Risiko: Kennworte fremder Benutzerkennungen knnen ber wiederholte Anmeldeversuche
ausprobiert werden.

4.1

Werden Kennwortfehlversuche registriert und erfolgt eine automatische Sperre?


In der ume.logon.security_policy in der Datei sapum.properties knnen dazu folgende Parameter
genutzt werden:
lock_after_invalid_attempts
auto_unlock_time.
Die Anmelderegeln mssen gem den dokumentierten unternehmensindividuellen Vorgaben
gesetzt sein. SOS: Number of Allowed Failed Logon Attempts IEX (0802)
SOS: Lock Time After Failed Logon Attempts IEX (0801)

Seite 90

User Management Engine (UME) Benutzer- und Berechtigungsverwaltung

5.

Kontrollziel: Rollen- und aufgabenspefische Vergabe von Administrationsberechtigungen


Risiko: Der Grundsatz der Funktionstrennung ist nicht eingehalten. Administrationsberechtigungen
sind auch an Benutzer vergeben. Derselben Administratorkennung sind unterschiedliche Rollen
der Benutzer- und Berechtigungsverwaltung.

5.1

Welche Benutzer sind der Rolle Administrators zugeordnet (Benutzergruppe im UME Benutzerspeicher)?
Hinweis: Der UME Web Admin und der Visual Admin, haben die Administrators Rolle zugeordnet.
Sie knnen alle Benutzerdaten uneingeschrnkt pflegen.
Nur Benutzer- und Berechtigungsadministratoren drfen in der UME Benutzergruppe Administrators sein.SOS: Users of UME User Group Administrators IEX (0793)

Authentisierung und Autorisierung bei Nutzung des SAP-Java-Stack

5.2

Welche der folgenden Administrationsberechtigungen sind an welche Benutzer vergeben?


UME.Manage_User_Passwords
UME.Manage_All
UME.Manage_Users
UME.Manage_All_Companies
UME.Manage_Groups
UME.Manage_Roles
UME.Batch_Admin.
Diese Administrationsberechtigungen sind restriktiv nur an die zustndigen Administratoren zu
vergeben.
Wird das Protokoll ber Sicherheitsereignisse (Security Logging) regelmig berwacht?
Protokolldatei ber den Log Viewer: ./log/system/security.log
Protokolldatei im Dateisystem: /usr /sap /<SID> /<instance_number> /j2ee /cluster /server<X> /
log /system /security.log
Diese Protokolldatei enthlt die Aufzeichnung relevanter Sicherheitsereignisse wie erfolglose
Anmeldungen oder das Anlegen oder ndern von Benutzern, Gruppen oder Rollen.

5.3

5.4

Im Einzelnen:
user.create und useraccount.create
role.create
role.modify
islocked
login.error

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

NR.

Benutzer neu angelegt


Anlegen von Rollen
ndern von Rollen
Benutzer gesperrt/entsperrt
Fehlgeschlagene Anmeldeversuche (IP-Adresse
wird mitgeloggt.)

Werden die Konfigurationseinstellungen des Kommunikationsbenutzers zwischen der UME und


den angebundenen SAP-Systemen geprft?
Standardmig wird der Benutzer SAPJSF verwendet. SAP liefert die Rollen SAP_BC_JSF_
COMMUNICATION (Schreibrechte auf Benutzerkonten) und SAP_BC_JSF_COMMUNICATION_RO
(Lesezugriff auf Benutzerkonten) aus.
Der Kommunikationsbenutzer muss vom Typ System und darf nicht vom Typ Service oder Dialog
sein, da keine Online-Anmeldung erlaubt ist.
Wird der Java-Benutzer SAP* als Notfallbenutzer eingesetzt?
Der Benutzer SAP* in Java-Systemen ist nicht zu verwechseln mit dem in klassischen SAPSystemen. Er verfgt ber volle Administrationsberechtigungen und wird in der UME als
Notfallbenutzer eingesetzt. Er verfgt ber kein Standard-Kennwort. Dieses wird ber eine UMEEigenschaft gesetzt.

5.5

Seite 91

Durch Aktivierung des Benutzers SAP* als Notfallbenutzer werden nach dem Neustart des JavaAnwendungsservers alle anderen Benutzer deaktiviert.
ume.superadmin.activated
aktiviert bzw. deaktiviert den Benutzer als Notfallbenutzer
TRUE/FALSE)
ume.superadmin.password
enthlt das Kennwort des Notfallbenutzers
Diese Einstellung darf nur in einem tatschlichen Notfall gesetzt werden.

7 Systemintegritt mit dem SAP Java-Stack

Seite 92

7.6 Prfprogramm: SAP Java Stack Softwareverteilung


NR.

Authentisierung und Autorisierung bei Nutzung des SAP-Java-Stack

1.

Kontrollziel: Sichere Konfiguration der SAP-Java-Stack-Softwareverteilung


Risiko: Entwickler importieren ohne Auftrag genderte Software selbst in das Produktivsystem.
Test- und Freigabeschritte sind nicht vorgegeben oder werden umgangen. Nicht autorisierte
nderungen an den Einstellungen des Change Management Service (CMS) und an den Transportdaten selbst sind mglich.

1.1

Gibt es ein Konzept fr die SAP Softwareverteilung, das auf die SAP Java Stack Umgebung
zugeschnitten ist?

1.2

Sind die getrennten Zustndigkeiten in den Phasen der Entwicklung, des Testens und der
Abnahme geregelt?

1.3

Wer darf Softwareverteilungen direkt aus einer Entwicklungsumgebung in ein Produktivsystem


vornehmen?
Risiko: Software kann aus der Entwicklungsumgebung unmittelbar in den Java Stack geladen
werden.

1.4

Wie ist der Software Deployment Manager (SDM) Dienst konfiguriert?


> Ist das Standardkennwort des SDM Administrators bei der Installation gendert worden?
> Ist das neue Kennwort nach restriktiven Kennwortbildungsregeln vergeben worden?
> Wie vielen Benutzern ist das neue Kennwort zur Erfllung ihrer Aufgaben mitgeteilt worden?
Risiko: Es gibt nur einen Benutzer fr die SDM Administration. Ein Zurckverfolgen, wer diesen
Benutzer fr welche Aktivitt genutzt hat, ist erschwert, wenn nicht unmglich. Nach einem
Patch-Upgrade wird systemseitig keine nderung des Kennworts des SDM Administrators
erzwungen.

1.5

Ist die Netzwerkverbindung zwischen SDM Client und SDM Server fr Produktivsysteme
gesichert?
SAP empfiehlt, fr die Softwareverteilung auf produktive Zielsysteme eine gesicherte VPNVerbindung einzurichten und zu nutzen.

Seite 93

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

lizenzfrei
99,-

8 Systemintegritt auf der Datenbankebene


8.1 Interne und externe Anforderungen
Die Daten eines SAP-Systems werden in einer proprietren Datenbank gehalten, z.B. Oracle. Auf alle Daten
eines SAP-Systems kann ber das Datenbanksystem zugegriffen werden. Dabei knnen auch Daten
gendert werden unabhngig vom Zugriffsschutz, der ber die SAP-Anwendungen realisiert ist.
Die Datenbank ist ein eigenes System, das implementiert, konfiguriert, betrieben, verwaltet und berwacht
werden muss.
Dabei sind die allgemeinen Sicherheitsanforderungen zur Gewhrleistung von Verfgbarkeit, Zugriffsschutz, Integritt und Vertraulichkeit umzusetzen.
Spezielle Sicherheitsanforderungen ergeben sich zum einen aus dem SAP-spezifischen Einsatz der
Datenbank, zum anderen aus der proprietren Ausprgung der Funktionen der Datenbank.
Deshalb sind sowohl die Hinweise von SAP zu den Datenbank Plattformen im SAP Netweaver Security
Guide zu bercksichtigen als auch die Security White Paper des Herstellers der Datenbank.
Prfungsstandards zum Einsatz von Informationstechnologie fordern insbesondere die Prfung der
Datenbank eines ERP-Systems.

8.2 Risiken
Risiken knnen sich zum einen daraus ergeben, dass die Sicherheitsempfehlungen von SAP nicht
umgesetzt sind, zum anderen, dass die Datenbank konkurrierend zu der Nutzung durch SAP genutzt wird:
> Die SAP-Systembenutzer, der Datenbank-Systembenutzer oder zustzlich eingerichtete Administratoren
nutzen noch das Initialkennwort des Auslieferungsstandes der Software. Dies ermglicht auch nicht
autorisierten Dritten das unbefugte Anmelden an die Datenbank.
> Benutzer aus der Fachabteilung knnen sich an die Datenbank anmelden und sind berechtigt, mit den
Funktionen der Datenbank nderungen in den Datenbanktabellen durchzufhren, die konkurrierend
auch von SAP-Benutzern gendert werden.
> Angreifer knnen ber nicht bentigte Datenbankbenutzer eine Sicherheitsschwachstelle im Datenbank
system nutzen, um privilegierten Zugriff auf die Datenbank zu erlangen.
> Die Datenbank lsst beliebige Anmeldeversuche ber das Netz zu.
> Anmeldungen an die Datenbank werden nicht protokolliert und berwacht.
> Die Daten in der Datenbank sind nicht verschlsselt.
> Sicherheitsempfehlungen des Herstellers der Datenbank sind nicht umgesetzt.

8.3 Kontrollziele

Seite 94

> Die Sicherheitsempfehlungen von SAP zur sicheren Konfiguration und zum ordnungsmigen Betrieb
der Datenbank sind umgesetzt.
> Eine zur SAP-Anwendung konkurrierende Nutzung der Datenbank ist nicht implementiert, die
nderungen an den gleichen Datenbanktabellen zulsst, die schon SAP verwaltet.
> Anmeldungen von beliebigen Clients aus nicht vertrauenswrdigen Netzwerksegmenten an die
Datenbank sind verhindert.

NR.

Authentisierung mit Oracle unter UNIX

1.

Kontrollziel: Angemessene Zugriffskontrolle fr Oracle unter UNIX


Risiko: Beliebige Benutzer knnen sich Remote an der Datenbank unter einem der StandardDatenbankbenutzer mit dem Standardkennwort anmelden, knnen alle Tabelleninhalte einsehen und
nicht autorisierte nderungen durchfhren.

1.1

Welche Benutzer sind in der Datenbank eingerichtet?


SQL> select * from all_users
Klren, welche Benutzer zu welchem Zweck eingerichtet sind.
Es drfen nur Standardsystembenutzer und Systemadministratoren eingerichtet sein. Nicht
bentigte Datenbankbenutzer, z.B. Gast- oder Demo-Benutzer, sind zu sperren oder zu entfernen.

1.2

Wird der OPS Mechanismus korrekt genutzt?


SQL> select * from OPS$<SID>ADM.SAPUSER

1.3

Ist der SAP Datenbankbenutzer SAPR3 / SAP<SAPSID> gegen unbefugten Zugriff geschtzt?
1. Durch regulren Wechsel des Kennworts fr <SAPSID>ADM?
2. Durch Deaktivieren des Dienstes rlogin?
3. Durch angemessene Nutzung des Mechanismus der sqlnet.ora Datei, der IP-Adressen zulsst
oder aussperrt (tcp.invited-nodes, tcp.excluded-nodes)?

1.4
H

Sind die Standardkennwrter der Standard-Datenbankbenutzer gendert?


> SAP<SAPSID> oder SAPR3 (Kennwort: SAP)
> SYS (Kennwort: CHANGE_ON_INSTALL)
> SYSTEM (Kennwort: MANAGER).
Austesten, ob eine Anmeldung mit den Standardkennworten mglich ist.
Die Kennwrter sind whrend der Installation zu ndern. Komplexe Kennwrter sind zu whlen.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

8.4 Prfprogramm: Authentisierung und Autorisierung mit Oracle


unter UNIX

Seite 95

> Die technischen Mglichkeiten, dass ein Benutzer sich von seinem Client aus direkt an die Datenbank
anmelden kann, sind entweder ausgeschlossen oder auf den notwendigen Umfang eingeschrnkt und
gegen unbefugte Nutzung abgesichert (OBDC-Zugriff).
> Nicht bentigte Datenbankbenutzer sind gesperrt oder gelscht.
> Die Funktionen zur Anmeldekontrolle werden genutzt, die das proprietre Datenbanksystem bereitstellt.
Insbesondere werden Fehlversuche bei der Anmeldung protokolliert und berwacht.
> Die Daten in der Datenbank werden entsprechend ihrem Schutzbedarf verschlsselt gespeichert.
> Zustzliche Sicherheitsempfehlungen des Herstellers der Datenbank sind umgesetzt.

8 Systemintegritt auf der Datenbankebene


NR.

Authentisierung mit Oracle unter UNIX

1.5
H

Werden Systemereignisse wie An- und Abmeldungen an die Datenbank protokolliert?


SQL>select * from DBA_AUDIT_SESSION
Wird die Protokolldatei regelmig archiviert und gelscht, um zu verhindern, dass es zu einem
berlauf der SYS.AUD$ Tabelle kommt?
Haben nur Systemadministratoren Zugriffsrechte, sowohl die Einstellungen fr die Protokolldatei
als auch die Protokolldatei selbst zu warten?

1.6

Knnen sich Benutzer ber eine Client-Software an der Datenbank anmelden?


Ist der Remote-Datenbankzugriff eingeschrnkt und kontrolliert?
> Sind in der sqlnet.ora Datei die IP-Adressen der zugelassenen Clients (Management-Konsolen)
eingetragen (tcp.invited.nodes)?
> Ist der Zugriff auf die Datenbank ber eine Firewall geregelt (Oracle Listener auf dem Port TCP/
IP 1529)?

1.7
H

Ist der Oracle Listener sicher konfiguriert?


Ist ein Kennwort fr den Oracle Listener vergeben?

1.8

Sind die Datenbankdateien verschlsselt abgelegt?

Seite 96

8.5 Prfprogramm: Autorisierung mit Oracle unter unix und


Datenbankmanagement
NR.

Autorisierung mit Oracle unter UNIX und Datenbankmanagement

1.

Kontrollziel: Zugriff auf die Datenbank ist exklusiv fr SAP-Anwendungen und gem den
Vorgaben von SAP installiert.
Risiko: Konkurrierende Datenbanknderungen durch weitere Datenbankanwendungen auf den SAP
Tabellen fhren zur Dateninkonsistenz.

1.1

Sind die Zugriffsrechte fr Oracle-Verzeichnisse und Dateien unter UNIX so gesetzt, wie es von
SAP vorgesehen ist und bei der Standard-Installation durchgefhrt wird?

1.2

Nutzt exklusiv das SAP-System die Datenbank oder laufen auch andere Anwendungen auf der
Datenbank?
Auf der Datenbank fr das SAP-System drfen keine anderen Anwendungen ablaufen, insbesondere drfen keine Verknpfungen zwischen den Tabellen des SAP-Systems und anderen
Datenbanken eingerichtet sein.

2.

Datenbankmanagement

2.1

Existiert ein Datenbanksicherungskonzept?

2.2

Existiert ein Upgrade-Konzept fr Sicherheits-Patches?

Authentisierung mit Oracle unter Windows

1.

Kontrollziel: Angemessene Zugriffskontrolle fr Oracle unter Windows


Risiko: Beliebige Benutzer knnen sich Remote an der Datenbank unter einem der StandardDatenbankbenutzer mit dem Standardkennwort anmelden, knnen alle Tabelleninhalte einsehen und
nicht autorisierte nderungen durchfhren.

1.1

Welche Benutzer sind in der Datenbank eingerichtet?


SQL> select * from all_users
Klren, welche Benutzer zu welchem Zweck eingerichtet sind.
Es drfen nur Standardsystembenutzer und Systemadministratoren eingerichtet sein. Nicht
bentigte Datenbankbenutzer, z. B. Gast- oder Demo-Benutzer, sind zu sperren oder zu entfernen.

1.2

Wird der OPS Mechanismus korrekt genutzt?


SQL> select * from OPS$<SID>ADM.SAPUSER
SAP empfiehlt, nur OPS$-Benutzer fr die Windows Benutzer zu definieren, die fr den Betrieb
des SAP-Systems erforderlich sind. Normalerweise sind das die Benutzer SAPService<SID> und
<SID>ADM. Weitere Informationen ber das Anlegen von OPS$-Benutzern unter Windows finden
sich im SAP-Hinweis 50 088.

1.3

Sind die SAP-Datenbankbenutzer SAPR3 / SAP<SAPSID> und <SAPSID>ADM gegen unbefugten


Zugriff geschtzt?
1. Durch regulren Wechsel des Kennworts fr <SAPSID>ADM?
2. Durch angemessene Nutzung des Mechanismus der sqlnet.ora Datei, der IP-Adressen zulsst
oder aussperrt (tcp.invited-nodes, tcp.excluded-nodes)?

1.4
H

Sind die Standardkennwrter der Standard-Datenbankbenutzer gendert?


> SAP<SAPSID> oder SAPR3 (Kennwort: SAP)
> SYS (Kennwort: CHANGE_ON_INSTALL)
> SYSTEM (Kennwort: MANAGER).
Austesten, ob eine Anmeldung mit den Standardkennworten mglich ist.
Die Kennwrter sind whrend der Installation zu ndern. Komplexe Kennwrter sind zu whlen.

1.5
H

Werden Systemereignisse wie An- und Abmeldungen an die Datenbank protokolliert?


SQL>select * from DBA_AUDIT_SESSION
Wird die Protokolldatei regelmig archiviert und gelscht, um zu verhindern, dass es zu einem
berlauf der SYS.AUD$ Tabelle kommt?
Haben nur Systemadministratoren Zugriffsrechte, sowohl die Einstellungen fr die Protokolldatei
als auch die Protokolldatei selbst zu warten?

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

NR.

Seite 97

8.6 Prfprogramm: Authentisierung und Autorisierung mit Oracle


unter Windows

8 Systemintegritt auf der Datenbankebene


NR.

Authentisierung mit Oracle unter Windows

1.6

Knnen sich Benutzer ber eine Client-Software an der Datenbank anmelden?


Ist der Remote-Datenbankzugriff eingeschrnkt und kontrolliert?
> Sind in der sqlnet.ora Datei die IP-Adressen der zugelassenen Clients (Management-Konsolen)
eingetragen (tcp.invited.nodes)?
> Ist der Zugriff auf die Datenbank ber eine Firewall geregelt (Oracle Listener auf dem Port
TCP/IP 1529)?

1.7
H

Ist der ORACLE Listener sicher konfiguriert?


Ist ein Kennwort fr den ORACLE Listener vergeben?

1.8

Sind die Datenbankdateien verschlsselt abgelegt?

2.

Kontrollziel: Zugriff auf die Datenbank ist exklusiv fr SAP-Anwendungen und gem den
Vorgaben von SAP installiert.
Risiko: Konkurrierende Datenbanknderungen durch weitere Datenbankanwendungen auf den
SAP-Tabellen fhren zur Dateninkonsistenz.
Sind die Zugriffsrechte fr ORACLE-Verzeichnisse und -Dateien unter Windows so gesetzt, wie es
von SAP vorgesehen ist und bei der Standard-Installation durchgefhrt wird?
Um die ORACLE-Dateien zu schtzen, mssen folgende Zugriffsrechte vergeben sein:
> der lokalen Gruppe SAP_<SID>_LocalAdmin und dem lokalen Benutzer SYSTEM mssen die
Zugriffsrechte Full control fr alle ORACLE-Dateien zugewiesen sein.
> anderen Gruppen oder Benutzern drfen keine Zugriffsrechte fr die ORACLE vergeben sein.
Die folgende Tabelle gibt die Dateien und die zugehrenden Zugriffsrechte an:
Oracle Verzeichnisse

Zugriffsrecht

Benutzer oder Gruppe

Full Control

SYSTEM, Administrators,
SAP_<SAPSID>_GlobalAdmin
(domain installation),
SAP_<SAPSID>_LocalAdmin
(local installation)

Full Control

SYSTEM, Administrators,
SAP_<SAPSID>_GlobalAdmin (do-main installation),
SAP_<SAPSID>_LocalAdmin
(local installation)

2.1
%ORACLE_HOME%

Seite 98

<drive>:\oracle\<dbsid>

2.2

Nutzt exklusiv das SAP-System die Datenbank oder laufen auch andere Anwendungen auf der
Datenbank?
Auf der Datenbank fr das SAP-System drfen keine anderen Anwendungen ablaufen, insbesondere drfen keine Verknpfungen zwischen den Tabellen des SAP-Systems und anderen
Datenbanken eingerichtet sein.

2.3

Existiert ein Datenbanksicherungskonzept?

3.

Datenbankmanagement

3.1

Existiert ein Datenbanksicherungskonzept?

3.2

Existiert ein Upgrade-Konzept fr Sicherheits-Patches?

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Autorisierung mit Oracle unter Windows und Datenbankmanagement

Seite 99

NR.

9 Systemintegritt auf der Betriebssystemebene


9.1 Interne und externe Anforderungen
Das Betriebssystem ermglicht die Installation eines SAP-Systems, z. B. Windows. ber das Betriebssystem wird das SAP-System konfiguriert. ber das Betriebssystem knnen auf alle Programme und Daten
eines SAP-Systems zugegriffen werden. Dabei knnen Programme und Daten gendert werden unabhngig von dem Zugriffsschutz, der ber die SAP-Anwendungen eingerichtet ist.
Das Betriebssystem ermglicht insbesondere den Zugriff auf das SAP-System ber das Netz. Angriffe aus
dem Netzwerk zielen auf Sicherheitsschwachstellen in der Konfiguration der Netzdienste des Betriebssystems.
Spezielle Sicherheitsanforderungen ergeben sich aus
> der SAP-spezifischen Nutzung von Betriebssystemfunktionen,
> der proprietren Ausprgung der Funktionen der Betriebssystems und
> den proprietren technischen Schnittstellen zu anderen Trgersystemen, z. B. Datenbank oder Netz,
insbesondere den Services, die ber das Netz aufrufbar sind.
Es sind sowohl die Hinweise von SAP zu den Betriebssystem Plattformen im SAP Netweaver Security Guide
zu bercksichtigen als auch die Security White Paper der Herstellers des Betriebssystems.

9.2 Risiken
Risiken knnen sich daraus ergeben, dass die Sicherheitsempfehlungen von SAP oder dass andere
sicherheitsrelevante Einstellungen des Betriebssystems gem den Hinweisen des Herstellers des
Betriebssystems nicht umgesetzt sind:
> Die Kennworte der SAP-Systembenutzer, der Standard-Betriebssystembenutzer oder zustzlich
eingerichteter Administratoren sind noch auf dem Standard bei Auslieferung und ermglichen das
unbefugte Anmelden an das Betriebssystem.
> Der Zugriff auf der Ebene des Betriebssystems durch Benutzer oder ber fr sie eigens eingerichtete
Benutzerfunktionen, z. B. File Transfer, ist schlecht konfiguriert und unzureichend abgesichert.
> Jeder aus dem Netz kann wegen eines Konfigurationsfehlers auf ein Verzeichnis mit streng
vertraulichen Informationen oder ausfhrbaren SAP-Programmen zugreifen, das ber das Netz nur fr
eine bestimmte Benutzergruppe bereitgestellt sein soll (network share).
> Anmeldungen an das Betriebssystem werden nicht protokolliert und berwacht.
> Das Betriebssystem hat ein bekanntes Sicherheitsloch, das ein Hacker ber das Netz erkennen und
ausnutzen kann, um einen Trojaner zu installieren, Programme und Daten zu manipulieren, die Spuren
der Manipulation zu lschen oder den Superuser zu bernehmen.
> Die Manipulation eines SAP Programms wird nicht erkannt.

9.3 Kontrollziele

Seite 100

>
>
>
>


>

>

Die Sicherheitsempfehlungen von SAP zur sicheren Konfiguration des Betriebssystems sind umgesetzt.
Zustzliche Sicherheitsempfehlungen des Herstellers des Betriebssystems sind umgesetzt.
Der Zugriff ber das Netz auf das Betriebssystem ist restriktiv gesetzt und sicher konfiguriert.
Network Shares sind mit restriktiven Zugriffsrechten nur fr die zugelassene Benutzergruppe gesetzt. Sie
werden auf fehlerhafte Zugriffsvergaben (Windows: EVERYONE, UNIX: weltweites Lese- oder Schreibrecht)
berwacht.
Die Funktionen zur Anmeldekontrolle werden genutzt, die das Betriebssystem bereitstellt. Insbesondere
werden Fehlversuche bei der Anmeldung protokolliert und berwacht.
Die SAP-Programme unterliegen einem Integrittscheck.

Authentisierung im Betriebssystem UNIX

1.

Kontrollziel: Angemessene Zugriffskontrollen auf UNIX-Ebene


> Der Zugriff personenbezogener Benutzer auf das Betriebssystem ist auf wenige Systemadministratoren beschrnkt.
> Benutzer aus Fachabteilungen haben keinen Zugriff auf das Betriebssystem.
> Automatisierte Anmeldekontrollen und Passwortbildungsregeln auf der Ebene des Betriebssystems sind fr die personenbezogenen Benutzer aktiviert.
> Die Anmeldungen werden protokolliert und berwacht.
Risiko:
> Personenbezogene Benutzer haben leicht erratbare Kennworte gewhlt, die keinem nderungszwang unterliegen.
> Versuche, die Kennworte von Benutzern auszuprobieren, werden nicht protokolliert und
berwacht.
> Nicht autorisierte Benutzer knnen Zugriff auf das Betriebssystem erlangen.

1.1

Welche Gruppen sind in der UNIX-Gruppendatei eingerichtet? Sind neben den Standardgruppen
auch unternehmensspezifische Gruppennamen vergeben? Welche Benutzer sind den unternehmensspezifischen Gruppen zugeordnet?
Hinweis: Die Standardgruppen sind in der Systemdokumentation des Herstellers aufgefhrt.

1.2

Welche Benutzer sind in der UNIX-Passwortdatei eingerichtet? Sind neben den Standardsystembenutzern auch personenbezogene Benutzer vergeben? Welche Aufgaben haben diese eingerichteten personenbezogenen Benutzer?
Die Benutzer root, <sid>adm und <db><sid sollten neben wenigen Spezialsystembenutzen die
einzigen Benutzer auf den Anwendungsservern und der Hauptinstanz sein. Nach der Installation
kann <db><sid> auf den Anwendungsservern gesperrt werden.
Hinweis: Die Standardbenutzer sind in der Systemdokumentation des Herstellers und von SAP
aufgefhrt.

1.3
H

Sind fr alle Benutzer Passworte vergeben?

1.4
H

Sind Regeln fr die Bildung und nderung des Passworts aktiviert?


Hinweis: Die Systemdokumentation des Herstellers informiert darber, welche Anmelde- und
Kennwortkontrollen das betreffende UNIX-System untersttzt.

1.5

Werden Anmeldungen von Benutzern, insbesondere fehlerhafte Anmeldungen automatisch protokolliert und berwacht?
Hinweis: Die Systemdokumentation des Herstellers informiert darber, ob und wie das
betreffende UNIX-System die Protokollierung der Anmeldungen untersttzt.

1.6

Bietet das UNIX-Betriebssystem eine Schattenkennwortdatei, auf die nur der Superuser root
Zugriff hat?

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

NR.

Seite 101

9.4 Prfprogramm: Authentisierung und Autorisierung mit UNIX

Seite 102

9 Systemintegritt auf der Betriebssystemebene


NR.

Authentisierung im Betriebssystem UNIX

1.7

Sind die BSD Remote Services rlogin und remsh/rsh deaktiviert oder restriktiv und kontrolliert
eingesetzt?
SAP empfiehlt, nach Mglichkeit diese Services zu deaktivieren
Welche Systemnamen, IP Nummern oder generischen Eintrge sind in den dazugehrenden
Dateien /etc/host.equiv und $HOME/.rhosts eingetragen?
Fr kritische Benutzer mssen die .rhosts-Dateien geleert und dafr als Zugriffsrecht die
Oktalzahl 000 zugewiesen sein.
Die Datei /etc/hosts.equiv muss entweder gelscht oder geleert sein.
Alternative: Diese Services werden nur innerhalb eines abgesicherten lokalen Netzwerkes
eingesetzt.

1.8

Ist das Network Information System (NIS) restriktiv und kontrolliert eingesetzt?
Risiko: NIS erlaubt es jedem UNIX-System in einem lokalen Netzwerk mit dem Befehl ypcat
passwd die mittels NIS zentral gehaltene Passwortdatei zu lesen und zu verwenden.
Alternative: Dieser Service wird nur innerhalb eines abgesicherten lokalen Netzwerkes
eingesetzt.

1.9

Ist der Service X-Windows im Einsatz? Wird er tatschlich bentigt? Ist er gem den Sicherheitsempfehlungen des UNIX-Herstellers installiert?

1.10
H

Ist der administrative Fernzugriff auf das Betriebssystem ber eine Web-Schnittstelle abgesichert,
d. h. sind die Standardkennwrter durch komplexe Kennwrter ersetzt und sind auch Hrtungsmanahmen fr diese Web-Schnittstelle getroffen worden?
Risiko: Bei der Installation eines UNIX-Betriebssysteme kann standardmig auch eine WebSchnittstelle fr den Remote-Zugriff der Systemadministratoren implementiert werden, ohne
dass dies bei der Installation bekannt oder wahrgenommen wird. Angreifer aus dem Netzwerk
knnen die dabei vergebenen Standardkennworte oder Sicherheitsschwachstellen in der Version
des betreffenden Web Servers ausnutzen, um unbefugte Aktionen auf der Ebene des Betriebssystems auszufhren.

Kontrollziel: Die Zugriffsrechte sind nach dem Prinzip der minimalen Berechtigung vergeben.
Die fr UNIX-Systeme spezifischen und verschiedenen technischen Mglichkeiten, Eigentmerrechte auf Verzeichnisse und Dateien zu vergeben, sind kontrolliert eingesetzt.
Risiko: Personenbezogenen Benutzern sind Standardumgebungen, z. B. login shell, eingerichtet,
die zu weit reichende automatische Rechtevergaben beinhalten. Unbefugte Aktionen auf der
Betriebssystemebene sind mglich. Die Integritt der System- und Datendateien des SAP-Systems ist gefhrdet.

2.1

Sind die Zugriffsprivilegien auf die SAP Datei- und Systemverzeichnisse so gesetzt, wie es von SAP
vorgesehen ist und bei der Installation standardmig durchgefhrt wird?

2.2

Welche UMASK-Definitionen sind in den relevanten Dateien vorgegeben, z. B. in .login, .cshrc, .


profile, /etc/profile, und beschrnken diese automatisch die Berechtigungen fr neu erstellte
Dateien, z. B. dass alle neu erstellten Dateien nur Zugriffsrechte mit dem Oktalwert 750 haben?
Diese Vorgaben mssen insbesondere fr alle Login-Umgebungen personenbezogener Benutzer
gelten.

2.3

Ist das Network Filesystem (NFS) restriktiv und kontrolliert eingesetzt?


ber NFS drfen keine Verzeichnisse mit vertraulichen Daten exportiert werden. ber NFS drfen
keine Home-Verzeichnisse von welchen Benutzern auch immer mit Schreibberechtigung
exportiert werden. Verzeichnisse drfen nur an vertrauenswrdige Systeme exportiert werden.
Risiko: Die ber NFS exportierten Verzeichnisse fr alle Benutzer im Netz knnen vertrauliche Daten
enthalten. Wird ein fr alle beschreibbares Home-Verzeichnis eines UNIX-Benutzers exportiert, ist
darber ein Angriff auf das UNIX-System mglich, der dem Angreifer die bernahme der Privilegien
des Superusers root ermglicht.

2.4

Werden SUID/SGID-Dateien berwacht, insbesondere bei der Installation neuer zustzlicher Software
auf dem Betriebssystem?
Hinweis: Dateien bei denen das SUID oder SGID Bit gesetzt ist, werden mit den Rechten des
Benutzers bzw. der Gruppe ausgefhrt, der diese Datei gehrt. Normalerweise werden diese Bits bei
Dateien verwendet, die als Superuser root ausgefhrt werden mssen, um ihren Zweck zu erfllen.
Risiko: Diese Dateien sind Ziel externer Angreifer, um die Privilegien des Superusers zu erhalten.

2.5

Sind die Sicherheitshinweise des UNIX-Herstellers zum Hrten des Systems bekannt und umgesetzt,
z. B. Hinweise zum Deaktivieren nicht bentigter Dienste?

2.6

Untersttzt das UNIX-Betriebssystem Integrittsprfungen fr Systemdateien? Wird diese


Mglichkeit genutzt?

2.7

Wird das Betriebssystem mit den vom Betriebssystemlieferanten freigegebenen Sicherheits-Patches


auf dem neusten Stand gehalten?

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Autorisierung im Sicherheitsmanagement

Seite 103

NR.

9 Systemintegritt auf der Betriebssystemebene

Seite 104

9.5 Prfprogramm: Authentisierung und Autorisierung mit Windows


NR.

Authentisierung und Autorisierung im Betriebssystem Windows

1.

Kontrollziel: Die Zugriffsrechte sind nach dem Prinzip der minimalen Berechtigung zu vergeben.
Die fr Windows-Systeme spezifischen technischen Mglichkeiten, Eigentmerrechte auf
Verzeichnisse und Dateien zu vergeben sind kontrolliert eingesetzt.
Risiko: Personenbezogenen Usern sind zu weitreichende Rechte vergeben. Unbefugte Aktionen
auf Betriebssystemebene sind mglich. Die Integritt der System- und Dateien des SAP-Systems
ist gefhrdet.

1.1

Ist das SAP-System auf einem Windows-Domnencontroller installiert?


Hinweis: Ein auf einem Domnen-Controller definiertes lokales Benutzerrecht ist auf allen
Domnen-Controllern gltig.
SAP empfiehlt nicht, SAP-Systeme auf einem Domnen-Controller zu installieren.

1.2

Ist bei mehreren SAP-Landschaften eine getrennte Windows-Domne fr die SAP-Systeme


eingerichtet?
SAP empfiehlt, zwei getrennte Domnen fr das SAP-System anzulegen.
> In einer Domne sind die Domnenbenutzer, einschlielich der SAP-Systembenutzer, und der
Domnenadministrator eingerichtet.
> In der davon getrennten SAP-Domne sind die SAP-System-Server, -Services und -Administratoren eingerichtet. Dazu zhlen:
> SAP-System-Anwendungsserver und -Datenbankserver
> SAP-System- oder Datenbank-Services
> SAP-Systemadministratoren
> Windows-Administratoren
> Administratoren der Domne SAP.

1.3

Welche Vertrauensbeziehungen sind zwischen anderen Windows-Domnen und der WindowsDomne fr die SAP-Systeme definiert?
Hinweis 1: In den Standard-Installationsvorgehensweisen empfiehlt SAP, getrennte Domnen
einzurichten. Zu beachten ist jedoch, dass bestimmte SAP-spezifische Funktionen und Windowsspezifische Services eine Vertrauensbeziehung zwischen Domnen erfordern.
> Es gibt bestimmte Services, die nur eine einseitige Vertrauensbeziehung erfordern, z. B. das
Drucken im Netzwerk mit dem Print Manager oder die Dateienbertragung mit Betriebssys
tembefehlen wie z. B. xcopy oder move.
> Einige Services erfordern eine beiderseitige Vertrauensbeziehung, z. B. Single Sign-On ber
das Microsoft LAN Manager Security Service Provider Interface (NTLMSSPI).
Hinweis 2: Wenn das SAP-System standardmig installiert wird, implementiert das InstallationsWerkzeug, SAPinst genannt, automatisch alle notwendigen Manahmen, die relevant sind, um
das SAP-System gegen nicht autorisierten Zugriff zu schtzen.

1.4

Welche Gruppen sind auf den SAP-Servern registriert (Windows-Domne)?


Es sollten keine anderen Gruppen als die Windows Standardgruppen und den SAP-System- und
Datenbankgruppen definiert sein.
Hinweis 1: Globale Benutzergruppen sind innerhalb einer Windows-Domne gltig, nicht nur auf
einem Server.
SAP empfiehlt, die Domnenbenutzer nach Aufgaben in verschiedenen Aktivittsgruppen zu
bndeln. Der Domnenadministrator kann die Aktivittsgruppen in andere Domnen exportieren,
so dass der entsprechende Benutzer auf alle zur Verwaltung des SAP-Systems erforderlichen
Ressourcen zugreifen kann.
Hinweis 2: Standardmig ist die globale Gruppe fr SAP-Administratoren als SAP _<SID> _
GlobalAdmin definiert.

1.5

Welche Gruppen sind auf den SAP-Servern registriert (Lokaler SAP-Server)?


Hinweis 1: Lokale Benutzergruppen (und lokale Benutzer) liegen lokal auf einem Server vor. Bei
der Installation werden Benutzerrechte lokalen Benutzern anstelle von Gruppen zugeordnet. Z. B.
erhlt der Benutzer <SID>ADM das Benutzerecht Logon on as a service.
SAP empfiehlt, um die Benutzerverwaltung zu vereinfachen, Serverressourcen lokalen Gruppen
anstelle von einzelnen Benutzern zuzuordnen. Entsprechende globale Benutzer und globale Gruppen knnen dann der lokalen Gruppe zugeordnet werden. Dadurch kann besser kontrolliert werden, wer zu welcher Gruppe gehrt und welche Aufgaben er hat.
Hinweis 2: Standardmig ist die lokale Gruppe fr SAP-Administratoren als SAP_ <SID> _
LocalAdmin definiert.

1.6

Ist der Benutzeradministrator gesichert?


Hinweis: Der in Windows eingebaute Superuser-Administrator hat unbeschrnkten Zugriff auf
alle Windows-Ressourcen. Administrator kann z. B.
> alle Datendateien, Festplatten und Shares anlegen, verwalten und deren Besitzer werden
> lokale Benutzer und ihre Rechte anlegen und verwalten
> Peripheriegerte, Kernel- und Benutzer-Services anlegen und verwalten
SAP empfiehlt, diesen Benutzer zu deaktivieren, um ihn vor unberechtigtem Zugriff zu schtzen.
Der Benutzername muss gendert und das Kennwort geheim gehalten werden. Fr Verwaltungsaufgaben werden andere Benutzer angelegt und deren Rechte auf die Aufgaben beschrnkt, fr
die sie verwendet werden, z. B. Benutzeradministrator, Sicherungs- und Serveroperatoren.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Authentisierung und Autorisierung im Betriebssystem Windows

Seite 105

NR.

Seite 106

9 Systemintegritt auf der Betriebssystemebene


NR.

Authentisierung und Autorisierung im Betriebssystem Windows

1.7

Ist der Benutzer <SID>ADM gesichert?


Hinweis 1: <SID>ADM ist der Windows-Superuser fr die SAP-Systemverwaltung. Der Benutzer
wird whrend des SAP-Systeminstallationsverfahrens angelegt, normalerweise als Domnenbenutzer fr das SAP-System. Der Benutzer kann sich daher an allen Windows-Rechnern in der
Domne anmelden. <SID>ADM bentigt auch vollen Zugriff auf alle instanzenspezifischen
Ressourcen des SAP-Systems wie Dateien, Shares, Peripheriegerte (z. B. Bandlaufwerke oder
Drucker) und Netzwerkressourcen (z. B. den SAProuter-Service).
Bei der Installation oder einem Upgrade muss Sie <SID>ADM der Gruppe Domain Administrators
zugewiesen werden. In diesem Status hat <SID>ADM dieselben Rechte wie der Administrator in
einer normalen Windows-Umgebung.
SAP empfiehlt, die folgenden Manahmen zu ergreifen, um diesen Benutzer vor unberechtigtem
Zugriff zu schtzen:
> nach einer Installation oder einem Upgrade die Gruppenmitgliedschaft in den Gruppen
Administrators und Domain Administrators zu beenden,
> sein Kennwort regelmig zu ndern.
> seine Zugriffsrechte auf instanzenspezifische Ressourcen fr das SAP-System zu beschrnken.
Hinweis 2: Wenngleich <SID>ADM auf SAP-System-Dateien zugreifen kann, wird das SAPSystem von einem anderen Benutzer gestartet, nmlich SAPservice<SID>.

1.8

Ist der Benutzer SAPService<SID> gesichert?


Hinweis 1: SAPService<SID> wird bei der Installation des SAP-Systems angelegt. Der Benutzer
wird normalerweise als ein Domnenbenutzer angelegt, der das SAP-System ausfhrt und
Datenbankressourcen verwaltet. Der Benutzer kann sich lokal auf allen Windows-Rechnern in der
Domne anmelden.
Da das SAP-System selbst dann laufen muss, wenn kein Benutzer an dem lokalen WindowsRechner angemeldet ist, luft das SAP-System als Windows-Service. Aus diesem Grund erhlt
der Benutzer SAPService<SID> whrend der Installation das Recht Logon as a service auf dem
lokalen Rechner.
Hinweis 2: SAPService<SID> verwaltet auch das SAP-System und Datenbankressourcen
innerhalb des Computing Center Management System (CCMS). Der Benutzer braucht daher vollen
Zugriff auf alle instanzen- und datenbankspezifischen Ressourcen wie Dateien, Shares,
Peripheriegerte und Netzwerkressourcen.
Hinweis 3: Das Kennwort dieses Benutzers zu ndern, ist relativ schwierig. Um das Kennwort
eines Windows-NT-Service-Benutzers zu ndern, muss man den Service stoppen, seine
Starteigenschaften bearbeiten und ihn erneut starten. Um das Benutzerkennwort zu ndern,
muss also das SAP-System gestoppt werden.
SAP empfiehlt, folgende Vorkehrungen treffen, um SAPService<SID> zu schtzen:
> das Benutzerrecht Log on locally aufzuheben,
> seinen Zugriff auf instanzen- und datenbankspezifische Ressourcen zu beschrnken,
> zu verhindern, dass sich dieser spezielle Service-Benutzer interaktiv am System anmeldet.
Die letzte Manahme verhindert einen Missbrauch durch Benutzer, die versuchen, von
Prsentationsservern aus auf das System zuzugreifen. In diesem Fall brauchen man kein
Verfallsdatum fr das Kennwort anzugeben und kann die Einstellung change password at
Logon deaktivieren.

1.9

Sind die Datenbankbenutzer gesichert?


Hinweis 1: Analog zum SAP-System muss auch die Datenbank laufen, selbst wenn kein Benutzer
am Windows-Rechner angemeldet ist. D. h. die Datenbank muss als Service laufen. Whrend der
Datenbankinstallation erhlt der Benutzer <DB-Service> das Recht Logon as as a service auf
dem lokalen Rechner.

1.10

Ist der Benutzer Gast gesperrt oder gelscht?

1.11

Wer darf das SAP-System starten oder stoppen?

1.12

Wer hat Zugriff auf das Shared Memory?


Hinweis: Der gemeinsame Speicher wird vom SAP-System-Dispatcher und den Workprozessen
fr bestimmte Aktivitten verwendet, z. B. fr den Austausch von Verwaltungsinformationen. Da
das SAP-System den gesamten gemeinsamen Speicher erstellt, werden dem Benutzer, der das
SAP-System startet, die ausschlielichen Zugriffsrechte fr den gemeinsamen Speicher
zugewiesen.
SAP empfiehlt, um whrend des Betriebs von SAP-Systemen Zugriffskonflikte mit bestimmten
internen Werkzeugen (dpmon.exe, gwmon.exe) zu vermeiden, sicherzustellen, dass derselbe
Benutzer, der das SAP-System startet, auch diese Werkzeuge startet.

1.13

Sind die Schutzmanahmen fr dynamisch erzeugte Dateien wirksam?


Hinweis: Da SAP-Systeme die Ein- und Ausgabe der ANSI-Datenstromdatei verwenden, erhlt
eine von ABAP erstellte Datei die Zugriffsrechte des Ordners, in dem sie erstellt wurde. Nur der
Besitzer der Dateien oder der Administrator kann diese Zugriffsrechte ndern. Wenn ABAPAnweisungen die Dateien anlegen, gehren sie dem SAP-System (<SID>ADM oder
SAPService<SID>).

1.14

Sind die Berechtigungen fr Verwaltungsaufgaben bei mehreren SAP-Systemen auf Servern


entsprechend der Zustndigkeit verschiedener Administratoren zugewiesen?
Hinweis: Befinden sich auf dem oder den Servern mehrere SAP-Systeme, knnen die Verwaltungsaufgaben separat ber verschiedene lokale und globale Gruppe durchgefhrt werden.
SAP empfiehlt:
> Die Zugriffsrechte sind entsprechend fr die Dateien im Verzeichnis (und in den Unterverzeichnissen) \usr\sap zuzuweisen. Dabei kann zwischen den Administratoren und Gruppen
unterscheiden werden, indem die Namen der SAP-Systeme zur Kennzeichnung verwendet
werden (z. B. <SID1> und <SID2>).
> Alle Administratoren sollten Zugriff auf die beiden Verzeichnisse auf der obersten Ebene von
\usr\sap haben.

1.15

Sind die Schutzmanahmen fr einen gemeinsamen Speicher umgesetzt?


Hinweis: Wenn mehrere SAP-Systeme auf einem Server installiert sind, gibt es einen zustzlichen Bereich des gemeinsamen Speichers. Dieser Speicher wird von saposcol.exe erstellt und
gemeinsam vom OS Collector und allen SAP-Systemen verwendet.
SAP empfiehlt, den Gruppen SAP_<SID>_LocalAdmin fr die ausfhrbare Datei saposcol.exe die
Zugriffsrechte Full control zu vergeben. Um Zugriffskonflikte zu vermeiden, muss erst saposcol.
exe und anschlieend das SAP-System gestartet werden.

1.16

Sind die Sicherheitshinweise von Microsoft zum Hrten des Systems bekannt und umgesetzt?

1.17

Wird das Betriebssystem mit den von Microsoft freigegebenen Sicherheits-Patches auf dem
neusten Stand gehalten?

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Authentisierung und Autorisierung im Betriebssystem Windows

Seite 107

NR.

10 Kommunikations- und Netzsicherheit


10.1 Prfprogramm: Sicherheit des SAP Internet Transaction Servers
Der SAP Internet Transaction Server (ITS) dient zur Darstellung von SAP-eigenen graphischen Anwendungsoberflchen als HTML-Oberflchen. Die HTML-Seiten werden dazu vom ITS an einen Browser eines
Nutzers ausgeliefert. Der ITS kommuniziert seinerseits mit einem SAP-System unter anderem ber das
SAP eigene DIAG Protokoll.

Seite 108

Der SAP Internet Transaction Server (ITS) fgt der Entwicklungsplattform des SAP Web Anwen-dung
Servers eine HTML-basierende Entwicklungsumgebung fr Front-End-Anwendungen hinzu und arbeitet als
Gateway zwischen dem SAP Web Anwendung Server und HTTP. Als spezieller HTML-Editor steht SAP@Web
Studio zur Verfgung.
NR.

Sicherheitsrelevante Einstellungen des SAP Internet Transaction Servers

1.
H

Kontrollziel: Die Service-Dateien und die Dateien zur Steuerung der Anwendungen sind
gegen unbefugten Zugriff geschtzt.
Risiko: Auf dem AGate-Server sind die Zugriffsrechte auf die Service-Dateien nicht restriktiv
gesetzt. Angreifer aus dem Internet knnen die Lcken erkennen, ausnutzen und unbefugt
zugreifen.

1.1

Ist der SAP-Hinweis 693 220 Empfehlungen zur Sicherheit von ITS-Services bekannt und umgesetzt?
Welche Werte sind fr die Berechtigungsobjekte S_TCODE und S_RFC gesetzt?
Zu den Berechtigungsobjekten S_TCODE und S_RFC sollte kein Benutzer die Gesamtberechtigung (Berechtigungswert *) besitzen. Dies gilt im besonderen Mae fr Benutzer, die ber das
Internet Zugriff auf das System bekommen. Die freigegebenen Transaktionen oder RFCFunktionsgruppen, auf die der Zugriff bentigt wird, sollten auf den erforderlichen Umfang zugeschnitten und minimal sein.
Hinweis: Wenn es mglich ist, sollte nicht der Benutzertyp Dialog oder Service, sondern der
Benutzertyp Kommunikation verwendet werden. Bei WebRFC-Internetanwendungen, die ausschlielich per RFC auf das System zugreifen, gengt der Benutzertyp Kommunikation.
Sind alle WebGui Services deaktiviert, die nicht bentigt werden?
Aus Sicherheitsgrnden ist es immer besser, alle nicht bentigten Services abzuschalten.

2.
H

Kontrollziel: Die Administration und der Zugriff verschiedener Administrationsfunktionen


auf das ITS sind geregelt und restriktiv gesetzt.
Risiko: Der Superadministrator itsadmin hat das Standardkennwort und ist ber das Internet
aufrufbar. Weitere Administratorkonten sind mit uneingeschrnktem Zugriff auf alle Dateien des
ITS angelegt, insbesondere auf die Konfigurationsverzeichnisse.

2.1

Ist der Port 1080 fr den Administrationsdienst auf der externen Firewall gesperrt?
http://www.muster.com:1080/scripts/wgate/admin

2.2

Ist das Kennwort des Superadministrators itsadmin gendert? Unterliegt die Nutzung von
itsadmin dem Vieraugenprinzip? Wie viele Mitarbeiter kennen das Kennwort von itsadmin?

2.3

Sind weitere Administratorkonten angelegt? Ist der Berechtigungsumfang entsprechend der


Funktion restriktiv vergeben, z. B. nur Lesezugriff fr Help-Desk-Mitarbeiter?

Sicherheitsrelevante Einstellungen des SAP Internet Transaction Servers

3.

Kontrollziel: Die ITS-Komponenten Webserver, WGate und AGate sind entsprechend einem
Konzept der Netzsegmentierung implementiert, um nicht vertrauenswrdige Netzsegmente
von vertrauenswrdigen Netzsegmente ber eine DMZ (Demilitarized Zone) zu trennen.
Risiko: Der ITS-Server ist als Single-Host konfiguriert. Bei fehlerhafter Konfiguration kann ein
externer Angreifer Zugriff auf die Service-Dateien erlangen (WGate=AGate) oder sogar den hinter
dem ITS-Server liegenden SAP Web Applikation Server bernehmen.

3.1

Es ist mindestens die physische Trennung zwischen WGate und AGate implementiert.

4.

Kontrollziel: Die Kommunikationsverbindungen zwischen


> Webbrowser und WGate,
> WGate und AGate,
> AGate und SAP WEB Applikation Server
sind verschlsselt.
Risiko: Benutzerkennung und Kennwort werden abgehrt und fr eine unbefugte Anmeldung
genutzt.

5.

Kontrollziel: Die Benutzeranmeldungen ber den ITS am Web Applikation Server beruhen
auf einer starken Authentisierung.
Risiko: Ein Angreifer errt durch Ausprobieren einfach gewhlte Kennworte und meldet sich
unbefugt an.

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

NR.

10.2 Prfprogramm: Sicherheit SAPROUTER


SAProuter ist ein SAP-Programm, das eine Zwischenstation (Proxy) in einer Netzwerkverbindung zwischen
SAP-Systemen oder zwischen einem SAP-System und der Auenwelt darstellt. SAProuter dient dazu, den
Zugang zum Netzwerk zu regeln (Anwendungs Level Gateway) und stellt daher eine sinnvolle Ergnzung zu
einem bestehenden Firewall-System (Port-, Packetfilter) dar.
Bildlich gesprochen: die Firewall bildet eine undurchdringliche Mauer um das Netzwerk. Da aber gewisse
Verbindungen durch diese Wand hindurch kommen sollen, muss ein Loch in die Firewall gemacht
werden. Die Kontrolle dieses Loches bernimmt SAProuter. Dies ist oft ntzlich, wenn etwa eine SupportVerbindung von SAP zu dem SAP-System eines Kunden existiert, ber die sich SAP-Mitarbeiter bei
Problemen an dem System anmelden knnen. Diese Verbindungen werden mit SAProuter kontrolliert.
NR.

Sicherheitsrelevante Einstellungen des SAPRouters

1.

Kontrollziel: Der SAPRouter ist als Proxy fr die SAP-Protokolle DIAG (SAP GUI) und RFC
sicher konfiguriert.
Risiko: Ohne SAPRouter ist ein direkter Zugriff aus einem nicht vertrauenswrdigen Netzsegment
auf einen SAP Web Anwendungsserver mglich. Das Risiko fr einen unbefugten Zugriff ist hoch.

1.1
H

Erfolgt die Fernwartung des SAP-Systems durch SAP ber eine Firewall des Unternehmensnetzes
und ist dazu auch ein SAPRouter konfiguriert?
Welche Routing-Regeln sind in der Konfigurationsdatei SAProuttab hinterlegt?
Werden in den Zeilen fr PERMIT oder SECURE Verbindungen Wildcards (*) fr den Zielrechner
oder die Zielports verwendet?
Seite 109

1.2

10 Kommunikations- und Netzsicherheit

Seite 110

10.3 Prfprogramm: Sichere Konfiguration des SAP Single Sign-On


NR.

Sichere Konfiguration des SAP Single Sign-On

1.

Kontrollziel: Single Sign-On ist nur zwischen vertrauenswrdigen Systemen konfiguriert.


Risiko: Nicht vertrauenswrdige Systemen sind zugelassen.
Hinweis 1: Es gibt ein System, das SAP Logon Tickets ausstellt, und die anderen Systeme
nehmen dieses als vertrauenswrdig an. SAP Logon Tickets werden entweder durch das SAP
Enterprise Portal oder durch einen SAP WeB Anwendungsserver ausgestellt. Im Folgenden wird
ein SAP WeB Anwendungsserver ABAP unterstellt.
Hinweis 2: Es darf allerdings nur ein fhrendes System definiert werden. Damit wird vermieden,
dass mit der Verwaltung komplexer Vertrauensbeziehungen das Sicherheitsniveau herabgesetzt wird.

1.1

Wie ist das SAP-System konfiguriert, das die SAP Logon Tickets annehmen soll?
Welche Zertifikate anderer SAP-Systeme akzeptiert das lokale SAP-System bei Single Sign-On
Zugriffen?
Transaktionen STRUST, SSO2 oder SSO2_ADMIN.

1.2

Wie ist der SAP Web AS ABAP fr die Erteilung von SAP Logon Tickets konfiguriert?
Hat eine PKI (ffentliches Trust-Center, z. B. SAP CA) fr den Server ein digitales Zertifikat nach
dem X.509-Standard ausgestellt und signiert?
Wurde das Zertifikat in das Personal Security Environment des SAP Web AS bernommen?
Hinweis: Selbst signierte Zertifikate sind nur fr ein Testszenario zu empfehlen.

2.

Kontrollziel: Beschrnkungen fr Single Sign-On sind ber Profilparameter konfiguriert.


Risiko: Schwachstellen in der Konfiguration ermglichen ein Unterlaufen der beabsichtigten
Sicherheit.

2.1

Wie ist der Systemparameter login/accept_sso2_ticket des SAP Web AS ABAP fr die Erteilung
von SAP Logon Tickets konfiguriert?
Hinweis: login/accept_sso2_ticket lsst die Anmeldung per SSO-Ticket zu oder sperrt sie.
Dieser Parameter muss auf 1 gesetzt sein, um zuzulassen, dass der SAP Web AS auch SAP
Logon Tickets selbst akzeptiert.

2.2

Wie ist der Systemparameter login/create_sso2_ticket des SAP Web AS ABAP fr die Erteilung
von SAP Logon Tickets konfiguriert?
Hinweis: login/create_sso2_ticket lsst die Erzeugung von SSO-Tickets zu.
Dieser Parameter muss auf 1 gesetzt sein, um zuzulassen, dass der SAP Web AS die SAP Logon
Tickets selbst erzeugt und sein eigenes digitales Zertifikat dabei verwendet.
Hinweis: Die Option 2 wird nur fr selbst signierte Serverzertifikate empfohlen.

2.3

Wie ist der Systemparameter login/ticket_expiration_time des SAP Web AS ABAP fr die Erteilung von SAP Logon Tickets konfiguriert?
Hinweis: login/ticket_expiration_time legt die Gltigkeitsdauer eines SSO-Tickets fest.
Ein maximaler Wert von acht Stunden, der einem Arbeitstag entspricht, sollte nicht berschritten
werden (neuer Standardwert: 8 statt 60 Stunden).

2.4

Wie ist der Systemparameter login/accept_sso2_ticket des SAP-Systems konfiguriert, das die
SAP Logon Tickets annehmen soll?
Hinweis: login/accept_sso2_ticket lsst die Anmeldung per SSO-Ticket zu oder sperrt sie.
Dieser Parameter muss auf 1 gesetzt sein, um SAP Logon Tickets zuzulassen.

3.

Kontrollziel: Die Kommunikation zwischen dem Browser des Benutzers und dem
ausstellenden SAP-System ist verschlsselt.
Risiko: Eine Man-in-the-Middle-Attacke ist mglich, ein Angreifer kann das SSO Ticket abhren
und somit ohne Anmeldung auf das SAP-System zugreifen.

3.1

Ist die Kommunikation zwischen Benutzer und austellendem SAP-System verschlsselt?


Der Profilparameter login/ticket_only_by_https ist auf 1 (Verschlsselung) gesetzt.
SOS: SSO Ticket Can Be Sent via an Unsecured Connection (0608)

3.2

Hinweis: Weitere Parameter fr Anmeldekontrollen fr das Single Sign-On sind wie folgt
generisch zu suchen:
login/*
AIS: System Audit - Top Ten Security Reports Profilparameter anzeigen
AIS: System Audit System Konfiguration Parameter Systemparameter, bersicht mit Historie
AIS: System Audit System Konfiguration Parameter Systemparameter mit Doku.

4.

Kontrollziel: Restriktive Administration der Konfiguration des SAP Single Sign-On


Risiko: Gefahr einer nicht autorisierten Nutzung, wenn andere Benutzer als die Systemadministratoren fr die Konfiguration zugelassen sind.

4.1

Wer darf die Konfiguration des SAP Single Sign-On verndern?


Report RSUSR002 mit den Eingaben:
S_TCODE mit SM30 oder SM31 oder SE16 oder SE16N
S_TABU_DIS (Tabellenpflege) mit ACTVT=02 DICBERCLS=SS
S_RZL_ADM (Rechenzentrumsleitstand) mit ACTVT=01
S_ADMI_FCD (Systemberechtigungen) mit Aktivitt NADM
SOS: Users Other Than the System Administrators Are Authorized to Maintain the SSO
Configuration (0604)

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Authentisierung und Autorisierung im Betriebssystem Windows

Seite 111

NR.

11 Literaturverzeichnis
BSI, Bundesamt fr Sicherheit in der Informationstechnik, IT-Grundschutz-Kataloge: 9. Ergnzungslieferung
Stand 2007, Kapitel B 5.13 SAP-System
Linkies, M./Off, F. (2006), Sicherheit und Berechtigungen in SAP-Systemen, Bonn 2006
SAP, SAP Library SAP Netweaver Security Guide
SAP, Service Report, SAP Security Optimization Self-Service
SAP, Schulungskurs SAP Berechtigungskonzept, ADM940
Tiede, T. (2004); SAP R/3 Ordnungsmigkeit und Prfung des SAP-Systems (OPSAP), Hamburg 2004

Seite 112

Wildensee, C.: (2006); Externer Zugriff auf SAP R/3 Systeme ber RFC, in PRev Revisionspraxis, Ottokar
Schreiber Verlag 2006

Seite 113

Prfleitfaden SAP ERP 6.0, Teil 1, Stand mrz 2009, DSAG e.V.

Prfleitfaden SAP Teil 2


Prfleitfaden SAP ERP 6.0,
Teil 2, betriebswirtschaftlicher teil
DSAG e.V.
Deutschsprachige SAP-Anwendergruppe

Seite 114

Inhaltsverzeichnis
1 Organisationseinheiten im externen Rechnungswesen

117

1.1



1.2


117
117
117
118
119
119
120
121

Prfungsziele
1.1.1 Organisationsstruktur
1.1.2 Stammdaten
1.1.3 Belege
Prfungsdurchfhrung
1.2.1 Organisationsstruktur
1.2.2 Stammdaten
1.2.3 Belege

2 Organisationseinheiten im internen Rechnungswesen

122

2.1



2.2


122
122
122
123
123
123
124
125

Prfungsziele
2.1.1 Organisationsstruktur
2.1.2 Stammdaten
2.1.3 Belege
Prfungsdurchfhrung
2.2.1 Organisationsstruktur
2.2.2 Stammdaten
2.2.3 Belege

3 BeschaffungsprozeSS (purchase to pay)

126

3.1



3.2


126
126
126
127
128
128
130
130

Prfungsziele
3.1.1 Stammdaten
3.1.2 Bestellvorgang
3.1.3 Rechnungsprfung
Prfungsdurchfhrung
3.2.1 Stammdaten
3.2.2 Bestellvorgang
3.2.3 Rechnungsprfung

4 Kalkulationsprozess

133

4.1



4.2


133
133
133
133
134
134
135
135

Prfungsziele
4.1.1 Stammdaten und Customizing
4.1.2 Durchfhrung
4.1.3 Ergebnisse/Auswertungen
Prfungsdurchfhrung
4.2.1 Stammdaten und Customizing
4.2.2 Durchfhrung
4.2.3 Ergebnisse/Auswertungen

136

5.1



5.2


136
136
136
136
137
137
137
138

6 VertriebsprozeSS: Verkauf vom Lager (order to cash)

139

6.1



6.2


139
139
139
140
141
141
143
144

Prfungsziele
6.1.1 Stammdaten und Customizing
6.1.2 Durchfhrung/Belege
6.1.3 Ergebnisse/Auswertungen
Prfungsdurchfhrung
6.2.1 Stammdaten und Customizing
6.2.2 Durchfhrung/Belege
6.2.3 Ergebnisse/Auswertungen

7 PeriodenabschluSS im internen Rechnungswesen


bei Lagerfertigung
7.1



7.2


Prfungsziele
7.1.1 Stammdaten und Customizing
7.1.2 Durchfhrung/Belege
7.1.3 Ergebnisse/Auswertungen
Prfungsdurchfhrung
7.2.1 Stammdaten und Customizing
7.2.2 Durchfhrung/Belege
7.2.3 Ergebnisse/Auswertungen

148
148
148
148
149
149
149
151
152

8 PeriodenabschluSS in der Anlagenbuchhaltung

153

8.1


8.2

153
153
154
155
155
156

Prfungsziele
8.1.1 Stammdaten und Customizing
8.1.2 Ergebnisse/Auswertungen
Prfungsdurchfhrung
8.2.1 Stammdaten und Customizing
8.2.2 Ergebnisse/Auswertungen

9 PeriodenabschluSS im externen Rechnungswesen

158

9.1







158
158
158
158
159
159
159
159
159

Prfungsziele
9.1.1 Stammdaten und Customizing
9.1.2 Saldenbesttigung
9.1.3 Bewertung der Offenen Posten in Fremdwhrung
9.1.4 Pauschalierte Einzelwertberichtigung
9.1.5 Umbuchen und Rastern der Forderungen und Verbindlichkeiten
9.1.6 Abgrenzungsbuchungen
9.1.7 Saldovortrag
9.1.8 Technische Abstimmung zwischen Verkehrszahlen und Belegen

Seite 115

Prfungsziele
5.1.1 Stammdaten und Customizing
5.1.2 Durchfhrung/Belege
5.1.3 Ergebnisse/Auswertungen
Prfungsdurchfhrung
5.2.1 Stammdaten und Customizing
5.2.2 Durchfhrung
5.2.3 Ergebnisse/Auswertungen

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

5 Periodisches Controlling bei einem Lagerfertigungsprozess

Inhaltsverzeichnis

Seite 116

9.2







Prfungsdurchfhrung
9.2.1 Stammdaten und Customizing
9.2.2 Saldenbesttigung
9.2.3 Bewertung der Offenen Posten in Fremdwhrung
9.2.4 Pauschalierte Einzelwertberichtigung
9.2.5 Umbuchen und Rastern der Forderungen und Verbindlichkeiten
9.2.6 Abgrenzungsbuchungen
9.2.7 Saldovortrag
9.2.8 Technische Abstimmung zwischen Verkehrszahlen und Belegen

160
160
161
162
163
163
164
166
167

10 Bewertungsstrategien fr Lagerbestand

168

10.1

10.2

168
168
169
169

Prfungsziele
10.1.1 Stammdaten
Prfungsdurchfhrung
10.2.1 Stammdaten

11 Bewertung mit Istkalkulation und Transferpreisen

172

11.1

11.2

172
172
172
172

Prfungsziele
11.1.1 Istkalkulation und Transferpreise
Prfungsdurchfhrung
11.2.1 Istkalkulation und Transferpreise

12 Verkauf einer Kundenauftragsfertigung

174

12.1



12.2


174
174
174
175
175
175
176
177

Prfungsziele
12.1.1 Stammdaten und Customizing
12.1.2 Durchfhrung/Belege
12.1.3 Ergebnisse/Auswertungen
Prfungsdurchfhrung
12.2.1 Stammdaten und Customizing
12.2.2 Durchfhrung/Belege
12.2.3 Ergebnisse/Auswertungen

13 PeriodenabschluSS im internen Rechnungswesen


bei Kundenauftragsfertigung oder Dienstleistung

178

13.1



13.2


178
178
178
179
179
179
180
181

Prfungsziele
13.1.1 Stammdaten und Customizing
13.1.2 Durchfhrung/Belege
13.1.3 Ergebnisse/Auswertungen
Prfungsdurchfhrung
13.2.1 Stammdaten und Customizing
13.2.2 Durchfhrung/Belege
13.2.3 Ergebnisse/Auswertungen

14 Funktionstrennung

182

14.1 Zielsetzung

14.1.1 Anforderungen

14.1.2 Risiken
14.2 Prfungen von kritischen Berechtigungskombinationen im Bereich Finanzbuchhaltung
14.3 Prfungen von kritischen Berechtigungskombinationen im Bereich Materialwirtschaft

182
182
182
182
183

1.1 Prfungsziele
ziele

risiko

1.1.1 Organisationsstruktur
Vollstndiger und richtiger Ausweis
aller Vermgensgegenstnde und
Schulden im Berichtszeitraum

Eine unzureichende Abbildung der Unternehmensstruktur fhrt


in der Finanzberichterstattung zu einem Falschausweis des
Buchungsstoffes

Vollstndiger und richtiger Ausweis


aller Vermgensgegenstnde und
Schulden im Berichtszeitraum

Unautorisierte nderungen an den rechnungslegungsrelevanten


Steuerungsparametern/Customizingeinstellungen direkt im
Produktivsystem und/oder direkte Entwicklungsarbeiten am
Produktivsystem gefhrden die Integritt der Verarbeitung

Vollstndiger und richtiger Ausweis


aller Vermgensgegenstnde und
Schulden im Berichtszeitraum

Falsche Grundeinstellungen des Buchungskreises (Lschkennzeichen, Geschftsjahresvariante, Max. Kursabweichungen)


gefhrden die Integritt der Verarbeitung

Die Nachvollziehbarkeit der


Verarbeitung wird durch eine Aufzeichnung der nderungen an
zentralen rechnungslegungsrelevanten Steuerungstabellen
sichergestellt

nderungen an zentralen rechnungslegungsrelevanten


Steuerungstabellen werden nicht aufgezeichnet und sind nicht
mehr nachvollziehbar

Stetige Verwendung von sicheren und


geprften Organisationseinheiten

Unbekannte Organisationseinheiten knnen nicht beurteilt


werden

Sicherheit vor unberechtigten


nderungen an Organisationseinheiten

nderungen am Kontenplan wird von nicht autorisierten


Personen vorgenommen

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

1 Organisationseinheiten im externen
Rechnungswesen

Der Ausweis entspricht den


Mindestgliederungsvorschriften der
anzuwendenden Rechnungslegungsvorschrift

Falsche Zuordnung der Konten zu den Bilanzposten (Ausweis)

Der in Verwendung stehende


Kontenplan ist genehmigt und steht in
Einklang mit den Ausweisanforderungen der anzuwendenden
Rechnungslegungsvorschrift

Kontenplan ist nicht autorisiert und unzureichend ausgestaltet

nderungen am Kontenplan sind


autorisiert und im Einklang mit den
anzuwendenden Rechnungslegungsvorschriften

nderungen am Kontenplan sind nicht autorisiert und gefhrden


den richtigen Ausweis der Geschftsvorflle
Seite 117

1.1.2 Stammdaten

1 Organisationseinheiten im externen
Rechnungswesen
ziele

risiko

Die Konten sind in ihren Grund- und


Steuerungseinstellungen korrekt
gepflegt und ermglichen eine
ordnungsgeme Finanzberichterstattung

Konten sind unzureichend gepflegt (hinsichtlich der Bebuchbarkeit automatisch/manuell, Abstimmkonto, Offene Posten/
Einzelpostenfhrung)

nderungen an Konteneinstellungen
sind genehmigt, berwacht und in
Einklang nit den Erfordernissen der
Rechnungslegungsvorschriften

Unautorisierte nderungen an den zentralen Steuerungseinstellungen der Konten

Seite 118

1.1.3 Belege
Sicherheit vor unberechtigten
Buchungen durch unautorisierte
Personen

Buchungen werden durch Unberechtigte vorgenommen

Keine Gefhrdung durch unzulssige


Funktionshufungen bei einzelnen
Personen

Buchungen knnen von Personen vorgenommen werden, die


zusammen mit ihren anderen Berechtigungen eine Funktionshufung besitzen

Sicherheit vor unberechtigten


Buchungen durch unautorisierte
Personen

Unberechtigte Personen fhren Stornos durch

Sicherheit vor unberechtigten


nderungen an gebuchten Belegen.
nderungen drfen nur an unkritischen Informationen erfolgen

nderungen werden an Belegen durchgefhrt

Abweichungen bei Betrgen drfen


nur akzeptiert werden, wenn eine
definierte Hchstgrenze nicht
berschritten ist

Bei Buchungen werden zu hohe Abweichungen akzeptiert

Periodengerechte Abgrenzung und


zeitnahe Buchung (Buchungsperioden)

Versto gegen den Grundsatz der zeitnahen Buchung

Korrekte Bebuchung der CpD-Konten


(Konto pro Diverse)

> Manipulation von Zahlungsdaten, da die Daten fr die


Debitoren/Kreditoren bei der jeweiligen Buchung direkt
eingegeben werden
> Unterlaufen von Limits inkl. Buchungsbetragslimits durch
mehrfache Bebuchung desselben Debitors/Kreditors

Kontrolle

Test/Bericht

1.2.1 Organisationsstruktur

Eine unzureichende Abbildung


der Unternehmensstruktur fhrt
in der Finanzberichterstattung zu
einem Falschausweis des
Buchungsstoffes

Die Unternehmensstruktur ist


korrekt im System abgebildet
und ermglicht eine korrekte
Erfassung aller Geschftsvorflle
und deren Ausweis in der
Finanzberichterstattung.

Unautorisierte nderungen an
den rechnungslegungsrelevanten Steuerungsparametern/
Customizingeinstellungen direkt
im Produktivsystem und/oder
direkte Entwicklungsarbeiten im
Produktivsystem gefhrden die
Integritt der Verarbeitung

Die bestehenden Einstellungen


an rechnungslegungsrelevanten
Parametern, Steuerungseinstellungen sowie die Verarbeitungsprogramme knnen nur ber das
TMS gendert werden,
Anwendungsentwicklung im
Produktivsystem ist ausgeschlossen. Die generelle
Mandantennderbarkeit lautet
auf nicht nderbar.

Falsche Grundeinstellungen des


Buchungskreises (Lschkennzeichen, Geschftsjahresvariante,
Max. Kursabweichungen)
gefhrden die Integritt der
Verarbeitung

Die Einstellungen sind konform


den Empfehlungen der SAP
gesetzt. Der BuKr ist vor
versehentlichem Lschen
geschtzt, es ist die richtige
Geschftsjahresvariante
eingepflegt, die Kursabweichung
betrgt max. 10%...

nderungen an zentralen
rechnungslegungsrelevanten
Steuerungstabellen werden nicht
aufgezeichnet und sind nicht
mehr nachvollziehbar

Die Tabellenprotokollierung ist


grundstzlich im System
aktiviert. Definierte Tabellen
werden regelmig auf
Aufflligkeiten kontrolliert.

Aufnahme der Unternehmensstruktur im Customizing


(Mandant) Buchungskreise
Werke Einkaufsorganisationen
Verkaufsorganisationen
Vertriebsbereiche Sparten
Kaufmnnisches Audit
Einzelabschluss AIS Organisatorische bersicht

Transaktionen SCC4, SE06


Kaufmnnisches Audit
Einzelabschluss Kaufmnnisches Audit Einzelabschluss AIS - Organisatorische
bersicht Org.Struktur
Mandant

Transaktion OBY6
Kaufmnnisches Audit - Einzelabschluss AIS - Organisatorische bersicht Org.Struktur
Buchungskreis

RSPARAM Parameter rec/client,


Auswertung der Protokolle ber
RSTBHIST
System Audit AIS - System
Audit Repository/Tabellen ->
Tabellenaufzeichnungen
Systemparameter
(S_ALR_87101223)

Seite 119

Risiko

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

1.2 Prfungsdurchfhrung

1 Organisationseinheiten im externen
Rechnungswesen
risiko

Kontrolle

Test/Bericht

Unbekannte Organisationseinheiten knnen nicht beurteilt


werden

Es werden nur im Unternehmen


zulssige und geprfte Organisationselemente verwendet

Kaufmnnisches Audit - Einzelabschluss AIS - Organisatorische bersicht Kontierungselemente


Belegart, Belegnummer,
Buchungsschlssel, Buchungsperiode, Umsatzsteuerkennzeichen

nderungen am Kontenplan wird


von nicht autorisierten Personen
vorgenommen

nderungen am Kontenplan
werden nur von autorisierten
Personen durchgefhrt

System Audit AIS System


Audit Benutzer und Berechtigungen welcher Benutzer darf
(RSUSR002)

1.2.2 Stammdaten

Seite 120

Falsche Zuordnung der Konten


zu den Bilanzposten (Ausweis)

Die eingepflegten Zuordnungen


der in Verwendung stehenden
Bilanzversionen entsprechen den
Vorschriften der anzuwendenden
Rechnungslegungsvorschriften
(bspw. HGB)

Kontenplan ist nicht autorisiert


und unzureichend ausgestaltet

Der in Verwendung stehende


Kontenplan ist autorisiert und in
Einklang mit den anzuwendenden
Rechnungslegungsvorschriften

nderungen am Kontenplan sind


nicht autorisiert und gefhrden
den richtigen Ausweis der
Geschftsvorflle

nderungen an den Konten und


am Kontenplan werden nur in
einem formalisierten nderungsverfahren durchgefhrt.
nderungen werden regelmig
analysiert

Konten sind unzureichend


gepflegt (hinsichtlich der
Bebuchbarkeit automatisch /
manuell, Abstimmkonto, Offene
Posten/Einzelpostenfhrung)

Die Einstellungen der Konten


sind korrekt und in bereinstimmung mit den Anforderungen an
die Nachvollziehbarkeit der
Verarbeitung (Abstimmkonto,
WE/RE Konto) gepflegt.

Transaktion OB58
Kaufmnnisches Audit Einzelabschluss AIS - Organisatorische bersicht Org.Struktur
Kontenplan/Bilanzstruktur
(OB58 - Bilanz/GuV-Strukturen)
F.10
RSKVZ00
Kaufmnnisches Audit - Einzelabschluss Abschluss - allgemein AIS - Hauptbuch (GLT0)
Sachkonten Stammdaten
Neue/gelschte Konten im
Geschftsjahr RSKVZ00
Kaufmnnisches Audit - Einzelabschluss Abschluss - allgemein AIS - Hauptbuch (GLT0)
Sachkonten - Stammdaten
Controls
Transaktion FS00
Kaufmnnisches Audit - Einzelabschluss Abschluss - allgemein AIS - Hauptbuch (GLT0)
Sachkonten Stammdaten
bersicht

Unautorisierte nderungen an
den zentralen Steuerungseinstellungen der Konten

nderungen an den Steuerungseinstellungen der Konten sind


autorisiert und in Einklang mit
den Erfordernissen der anzuwendenden Rechnungslegungsvorschriften

Test/Bericht
RFSABL00, FS04
Kaufmnnisches Audit - Einzelabschluss Abschluss - allgemein AIS - Hauptbuch (GLT0)
Sachkonten - Stammdaten
Controls Stammdatennderungen

1.2.3 Belege

Buchungen werden durch


Unberechtigte vorgenommen

Nur berechtigte Personen fhren


Stornobuchungen durch

Kaufmnnisches Audit - Einzelabschluss Abschluss - allgemein AIS - Hauptbuch (GLT0)


TOP 10 Belegjournal (mit
Beleganalyse): nach Buchungsschlssel fr Storno selektieren

nderungen werden an Belegen


durchgefhrt

Eingestellte nderungsregeln
prfen

Kaufmnnisches Audit Einzelabschluss AIS - Organisatorische bersicht Belegsteuerungen Belegnderungsregeln


bersicht Detail

Eingestellte Abweichungsgrenzen
prfen

Kaufmnnisches Audit Einzelabschluss AIS - Organisatorische bersicht Belegsteuerungen Toleranzen


Toleranzgruppe bersicht Detail nach Buchungsschlssel
fr Storno selektieren

Bei Buchungen werden zu hohe


Abweichungen akzeptiert

Welche Buchungsperioden sind


geffnet; Untersuchung der
nderungsprotokolle
Versto gegen den Grundsatz der
zeitnahen Buchung

> Manipulation von Zahlungs


daten, da die Daten fr die
Debitoren/Kreditoren bei der
jeweiligen Buchung direkt
eingegeben werden
> Unterlaufen von Limits inkl.
Buchungsbetragslimits durch
mehrfache Bebuchung
desselben Debitors/Kreditors

Wer darf die Tabelle T001B


ndern bzw. hat Zugriff auf die
laufenden Einstellungen in der
Hauptbuchhaltung, um Buchungsperioden zu ffnen/schlieen
> Existiert ein Buchungsbetragslimit fr CpD Konten?
> Mehrfachbebuchung desselben
Debitors/Kreditors?
> Einstellung des Mahnlaufs fr
CpD-Konten?
> Manipulation von Zahlungsdaten
(Vergleich Buchung mit Beleg)?

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

Kontrolle

AIS - Audit Information System


Kaufmnnisches Audit - Einzelabschluss Kontierungselemente Buchungsperiode
Tabellenpflege z.B. SM31 und
Berechtigungsobjekt
S_TABU_DIS

Reports: berblick ber


CpD-Konten RFKKVZ00/
RFDKVZ00, Auswertung ber
Kontensaldenanzeige FK10N/
FD11, Detailansicht Doppelklick
Seite 121

risiko

2 Organisationseinheiten im internen
Rechnungswesen
2.1 Prfungsziele
ziele

risiko

2.1.1 Organisationsstruktur
Richtige und zweckdienliche
Abbildung der Controllingstrukturen

Der Kostenrechnungskreis im Controlling ist nicht richtig


definiert

Richtige und zweckdienliche


Abbildung der Controllingstrukturen

Die Standardhierarchie in der Kostenstellenrechnung ist falsch


aufgebaut

Richtige und zweckdienliche


Abbildung der Controllingstrukturen

Die Standardhierarchie in der Profit Center- Rechnung ist falsch


aufgebaut und gefhrdet die richtige Segmentberichtserstattung

Die Nachvollziehbarkeit der


Verarbeitung wird durch eine
Aufzeichnung der nderungen an
zentralen rechnungslegungsrelevanten Steuerungstabellen
sichergestellt

nderungen an zentralen rechnungslegungsrelevanten


Steuerungstabellen werden nicht aufgezeichnet und sind nicht
mehr nachvollziehbar

Stetige Verwendung von sicheren und


geprften Organisationseinheiten

Unbekannte Organisationseinheiten in der Kostenstellerechnung knnen nicht beurteilt werden

Stetige Verwendung von sicheren und


geprften Organisationseinheiten

Unbekannte Organisationseinheiten in der Auftragsrechnung


knnen nicht beurteilt werden

Sicherheit vor unberechtigten


nderungen an Organisationseinheiten

nderungen an Standardhierarchien und Organisationselementen werden von nicht autorisierten Personen vorgenommen

Seite 122

2.1.2 Stammdaten

Verantwortungsgerechte Zuordnung
der Controllingobjekte zu Profit Centern

Falsche Zuordnung der Stammdaten zu den Profit Centern

Die kostengleichen Aufwendungen im


FI werden richtig und zeitnah in das
Controlling bernommen

Kostenarten sind nicht richtig gepflegt

nderungen an den Kostenarten sind


autorisiert und im Einklang mit der
beschlossenen Controllingstruktur

Kostenarten werden unautorisiert angelegt und gefhrden den


richtigen Ausweis der Geschftsvorflle

Die Informationen der Controllingobjekte sind richtig und aktuell

Kostenstellen werden unautorisiert gendert und fhren


besonders bei nderungen der Zuordnung zur Standardhierarchie zu falschen Ergebnissen

risiko

2.1.3 Belege
Sicherheit vor unberechtigten
Buchungen durch unautorisierte
Personen

Buchungen werden durch Unberechtigte vorgenommen

Keine Gefhrdung durch unzulssige


Funktionshufungen bei einzelnen
Personen

Buchungen knnen von Personen vorgenommen werden, die


zusammen mit ihren anderen Berechtigungen eine Funktionshufung besitzen

Sicherheit vor unberechtigten


Buchungen durch unautorisierte
Personen

Unberechtigte Personen buchen Kosten auf Kostenstellen

Die verursachungsgerechte Buchung


von Kosten zu den richtigen
Controllingobjekten ist gewhrleistet

Kosten werden Kostenstellen nicht verursachungsgerecht


belastet

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

ziele

2.2 Prfungsdurchfhrung
Risiko

Kontrolle

Test/Bericht

Der Kostenrechnungskreis im
Controlling ist nicht richtig
definiert

Der Kostenrechnungskreis ist


entsprechend den Unternehmensvorgaben richtig definiert,
die richtigen Buchungskreise
und der richtige Ergebnisbereich
sind zugeordnet

IMG Unternehmensstruktur
Zuordnung Controlling (OX19)

Die Standardhierarchie in der


Kostenstellenrechnung ist falsch
aufgebaut

Die Kostenstellenhierarchie
entspricht den Unternehmensvorgaben und die Kostenstellen
sind richtig eingeordnet

SAP Menu Rechnungswesen


Controlling Kostenstellenrechnung Stammdaten
Standardhierarchie anzeigen
(OKENN)

Die Standardhierarchie in der


Profit Center- Rechnung ist
falsch aufgebaut und gefhrdet
die richtige Segmentberichtserstattung

Die Profit Center- Standardhierarchie entspricht den


Unternehmensvorgaben und die
Profit Center sind richtig
eingeordnet

SAP Menu Rechnungswesen


Controlling Profit CenterRechnung Stammdaten
Standardhierarchie anzeigen
(OCH6N)

2.2.1 Organisationsstruktur

Seite 123

IMG Controlling Controlling


allgemein Organisation (OKKP)

2 Organisationseinheiten im internen
Rechnungswesen
risiko

Kontrolle

Test/Bericht
RSPARAM Parameter rec/client,
Auswertung der Protokolle ber
RSTBHIST

nderungen an zentralen
rechnungslegungsrelevanten
Steuerungstabellen werden nicht
aufgezeichnet und sind nicht
mehr nachvollziehbar

Die Tabellenprotokollierung ist


grundstzlich im System
aktiviert. Definierte Tabellen
werden regelmig auf
Aufflligkeiten kontrolliert.

Unbekannte Organisationseinheiten in der Kostenstellenrechnung knnen nicht beurteilt


werden

Es werden nur im Unternehmen


zulssige und geprfte Organisationselemente verwendet

IMG Controlling Kostenstellenrechnung Stammdaten


Kostenstellen Kostenstellenarten

Unbekannte Organisationseinheiten in der Auftragsrechnung


knnen nicht beurteilt werden

Es werden nur im Unternehmen


zulssige und geprfte Organisationselemente verwendet

IMG Controlling Innenauftrge Auftragsstammdaten


Auftragsarten definieren

nderungen an Standardhierarchien und Organisationselementen


werden von nicht autorisierten
Personen vorgenommen

nderungen an Standardhierarchie und Organisationselementen


werden nur von autorisierten
Personen durchgefhrt

System Audit AIS - System


Audit Repository /Tabellen
Tabellenaufzeichnungen
Systemparameter
(S_ALR_87101223)

SE16, Tabelle USOBT


System Audit AIS System
Audit Benutzer und Berechtigungen welcher Benutzer darf
(RSUSR002)

2.2.2 Stammdaten

Falsche Zuordnung der


Stammdaten zu den Profit Centern

Kostenarten sind nicht richtig


gepflegt

Die eingepflegten Zuordnungen


der Stammdaten mssen der
Verantwortlichkeit im Unternehmen sowie den intern oder
extern berichtspflichtigen
Einheiten entsprechen
Alle Aufwandskonten, die Kosten
aufnehmen, sind im Controlling
als primre Kostenarten gepflegt:

Seite 124

Vergleich der Aufwandskontenliste mit der Kostenartenliste

IMG Controlling Profit


Center- Rechnung Zuordnungen von Kontierungsobjekten
zu Profit Centern Zuordnungen berprfen
AIS Kaufmnnisches Audit
Einzelabschlu AIS interne
Leistungsverrechnung
Stellenrechnung/Innenauftrge
Stammdaten Kostenarten:
Stammdatenbericht

Kontrolle

Kostenarten werden unautorisiert


angelegt und gefhrden den
richtigen Ausweis der Geschftsvorflle

Anlegen und ndern von


Kostenarten werden nur in
einem formalisierten nderungsverfahren durchgefhrt.
nderungen werden regelmig
analysiert

Test/Bericht
AIS Kaufmnnisches Audit
Einzelabschlu AIS interne
Leistungsverrechnung
Stellenrechnung/Innenauftrge
Stammdaten Kostenarten:
Stammdatenbericht
Feld Angelegt von einblenden

Kostenstellen werden unautorisiert gendert und fhren


besonders bei nderungen der
Zuordnung zur Standardhierarchie
zu falschen Ergebnissen

Die Einstellungen der Kostenstellen werden nur von autorisierten


Personen gendert.

SAP Menue Rechnungswesen


Controlling Kostenstellenrechnung Stammdaten
Kostenstellen Einzelbearbeitung nderungen anzeigen

Nur berechtigte Personen fhren


Sachkontenbuchungen durch

Kaufmnnisches Audit - Einzelabschluss Abschluss - allgemein AIS - Hauptbuch (GLT0)


Sachkonten, Konto Belege
bersicht Einzelposten
(ALV- Bericht: Feld Name des
Benutzers aufnehmen)

Die gleiche Person darf nicht


Kreditoren-, Debitoren- und
Sachkonten bebuchen drfen

SE16, USOBT: Berechtigungsobjekte fr bspw. FB01: F_BKPF_


BES, F_BKPF_BED, F_BKPF_
BEK
RSUSR002: welche User haben
diese Berechtigungsobjekte?

Nur berechtigte Personen fhren


Stornobuchungen durch

AIS Kaufmnnisches Audit


Einzelabschlu AIS interne
Leistungsverrechnung
Stellenrechnung/Innenauftrge
Einzelposten/Belege
Kostenrechnungsbelege Ist

Kosten werden in Controlling


verursachungsgerecht gebucht

AIS Kaufmnnisches Audit


Einzelabschlu AIS interne
Leistungsverrechnung
Stellenrechnung/Innenauftrge
Einzelposten/Belege
Kostenstelle Einzelposten Ist

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

risiko

Buchungen werden durch


Unberechtigte vorgenommen

Buchungen knnen von


Personen vorgenommen
werden, die zusammen mit ihren
anderen Berechtigungen eine
Funktionshufung besitzen

Unberechtigte Personen buchen


Kosten auf Kostenstellen

Kosten werden Kostenstellen


nicht verursachungsgerecht
belastet

Seite 125

2.2.3 Belege

3 Beschaffungsproze (purchase to pay)


3.1 Prfungsziele
ziele

risiko

3.1.1 Stammdaten
Kreditorenstammdaten sind
vollstndig, richtig und zeitnah gepflegt.

Die unterschiedlichen Sichten der Kreditorenstammdaten sind


nicht konsistent gepflegt (Einkausssicht/Buchhaltungssicht)

Kreditorenstammdaten werden in
einem geregelten Verfahren angelegt,
gendert oder gelscht.

Unautorisierte Pflege von Kreditorenstammdaten

Die auf den Kreditoren erfassten


Vorgnge werden korrekt im
Hauptbuch ausgewiesen (richtige
Definition des Abstimmkontos)

Falscher Ausweis im Hauptbuch

Eine wirksame Trennung von Pflege


der Stammdaten und Erfassung der
Bewegungsdaten verhindert dolose
Handlungen.

Einmallieferanten werden mibruchlich verwendet.

nderungen an Kreditoren sind


autorisiert

Unautorisierte nderungen an Kreditoren gefhrden die


Integritt der Stammdaten.

Der Ausweis der Verbindlichkeiten


entspricht den Bilanzierungsvorschriften.

Ein erforderlicher Ausweis nach den Bilanzierungsvorschriften


erfolgt nicht (Abstimmkonten sind falsch definiert)

Die erfassten Verbindlichkeiten


enthalten nur die vom Unternehmen
tatschlich bezogenen Leistungen

Lieferantenrechnungen werden doppelt erfasst

Richtiger Ausweis der Verbindlichkeiten

Falsche Bildung von Unternehmensstrukturen im Customizing


(Zuordnung von Einkaufsorganisationen zu Buchungskreisen)

Seite 126

3.1.2 Bestellvorgang
Der Zugriff auf die Einkaufsdaten und
Funktionen ist restriktiv ausgestaltet
unter Einhaltung von Funktionstrennungsgesichtspunkten und dem
4-Augenprinzip

Betrgerische Handlung aufgrund einer unzureichenden


Funktionstrennung von Stammdatenpflege Kreditoren und
Durchfhrung von Beschaffungsvorgngen

Es werden nur autorisierte Beschaffungsvorgnge initiiert. Die Beschaffungsrichtlinien und Zeichnungsrichtlinien werden eingehalten

Bestellungen werden ohne Bestellanforderungen angelegt

Es werden nur autorisierte


Bestellungen initiiert. Die Beschaffungsrichtlinien und Zeichnungsrichtlinien werden eingehalten

Die Freigabestrategie von Bestellanforderungen ist nicht


Unternehmenskonform ausgeprgt

Es werden nur autorisierte Bestellungen initiiert. Die Beschaffungsrichtlinien und Zeichnungsrichtlinien werden
eingehalten

Zu nicht freigegebenen Bestellanforderungen werden


Bestellungen angelegt

3.1.3 Rechnungsprfung
Die erfassten Verbindlichkeiten
enthalten nur die vom Unternehmen
tatschlich bezogenen und genehmigten Leistungen

Es werden Verbindlichkeiten fr nicht erbrachte Leistungen


direkt auf den Kreditoren erfasst.

Die erfassten Verbindlichkeiten


enthalten nur die vom Unternehmen
tatschlich bezogenen und genehmigten Leistungen

Eingangsrechnungen werden mit einem zu hohen Betrag erfasst


(und ausbezahlt).

Die erfassten Verbindlichkeiten


enthalten nur die vom Unternehmen
tatschlich bezogenen und genehmigten Leistungen

Eingangsrechnungen werden mit einem zu hohen Betrag erfasst


(und ausbezahlt).

Die erfassten Verbindlichkeiten


enthalten nur die vom Unternehmen
tatschlich bezogenen und genehmigten Leistungen

Unzureichende Ausgestaltung des 3-Wege Matches durch


mangelhafte Einstellungen des WE/RE Kontos

Die Verbindlichkeiten beruhen auf


genehmigten Beschaffungsvorgngen
und wurden genehmigt bezogen.

Ausgewiesene Verbindlichkeiten zum Bilanzstichtag haben


keinen Bestand.

Die Verbindlichkeiten beruhen auf


genehmigten Beschaffungsvorgngen
und wurden genehmigt bezogen.

Ausgewiesene Verbindlichkeiten zum Bilanzstichtag haben


keinen Bestand oder sind zu niedrig ausgewiesen.

Es werden keine Auszahlungen bei


Kreditoren gettigt, bei denen
gleichzeitig ein Ausfallrisiko bei
Offenen Forderungen besteht

Es werden Auszahlungen fr Verbindlichkeiten gettigt, bei


Kreditoren mit uneinbringlichen Forderungen (z.B. durch
mgliche Insolvenzgefhrdung des Kreditors)

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

risiko

Seite 127

ziele

3 Beschaffungsproze (purchase to pay)


ziele

risiko

Alle ausgewiesenen Verbindlichkeiten


bestehen zum Bilanzstichtag

Haupt- und Nebenbcher stimmen nicht berein

Alle ausgewiesenen Verbindlichkeiten


bestehen zum Bilanzstichtag

Haupt- und Nebenbcher stimmen nicht berein

Die Bewertung der Verbindlichkeiten


entspricht den Bewertungsvorschriften
der GAAP/HGB.

Es werden Verbindlichkeiten ausgewiesen, die keinen Bestand


haben

Es werden keine Auszahlungen bei


Kreditoren gettigt, bei denen
gleichzeitig ein Ausfallrisiko bei
Offenen Forderungen besteht

Es werden Auszahlungen fr Verbindlichkeiten gettigt, bei


Kreditoren mit uneinbringlichen Forderungen (z.B. durch
mgliche Insolvenzgefhrdung des Kreditors)

3.2 Prfungsdurchfhrung
Risiko

Kontrolle

Test/Bericht

berprfung der vollstndigen


und konsistenten Pflege der
Stammdatensichten

RFKKAG00

3.2.1 Stammdaten
Die unterschiedlichen Sichten
der Kreditorenstammdaten sind
nicht konsistent gepflegt
(Einkaufssicht/Buchhaltungssicht)

RFKKVZ00

Unautorisierte Pflege von


Kreditorenstammdaten

berprfung wer wann welche


Kreditoren angelegt hat (in
Stichproben)

AIS - Audit Information System


- Bilanz - Passiva - Verbindlichkeiten - AIS - Kreditoren Stammdaten - Stammdaten bersicht - S_ALR_87101118
Kontenverzeichnis
Databrowser SE16, Tabelle LFB1,
Selektion auf dem Feld
Abstimmkonto

Seite 128

Falscher Ausweis im Hauptbuch

berprfung, ob alle Kreditoren


ein Abstimmkonto zugewiesen
haben, berprfung der
inhaltlichen Richtigkeit in
Stichproben

AIS - Audit Information System


- Bilanz - Passiva - Verbindlichkeiten - AIS - Kreditoren
Stammdaten Stammdaten
- Data Browser - SE16_LFB1
- LFB1 = Lieferantenstamm
(Buchungskreis)

Kontrolle

Test/Bericht
Report RFKKVZ00, Selektion CpD
Konten, Anzeige der Konten
FK10N

Einmallieferanten werden
missbruchlich verwendet.

berprfung der angelegten CpD


Konten, dass nur Vorgnge mit
geringen Betrgen erfasst
werden

Unautorisierte nderungen an
Kreditoren gefhrden die
Integritt der Stammdaten.

berprfung der nderungen an


Kreditorenstammdaten.
nderungen an Stammdaten
werden korrekt aufgezeichnet.

nderungsreport RFKABL00,
Einstellungen zum nderungsreport in der Tabelle T077K
Bilanz - Aktiva - Forderungen
- AIS Forderungen- Debitoren,
Konto Salden - bersicht Saldenliste CPD

Ein erforderlicher Ausweis nach


den Bilanzierungsvorschriften
erfolgt nicht (Abstimmkonten
sind falsch definiert)

berprfung der Abstimmkonten


auf korrekte Definition.

IMG Controlling Innenauftrge Auftragsstammdaten


Auftragsarten definieren

nderungen an Standardhierarchien und Organisationselementen


werden von nicht autorisierten
Personen vorgenommen

Lieferantenrechnungen werden
doppelt erfasst

nderungen an Standardhierarchie und Organisationselementen


werden nur von autorisierten
Personen durchgefhrt

Automatische Prfung auf


doppelte Lieferantenrechnungen
bei Erfassung der Eingangsrechnungen durch Pflege des Feldes
doppelte Lieferantenrechnungen im Stammsatz

AIS - Audit Information System


- Bilanz - Passiva - Verbindlichkeiten - AIS - Kreditoren Stammdaten AIS - Verbindlichkeiten - Kreditoren, Konto
Salden - bersicht - Saldenliste
CPD

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

risiko

RFKSLD00 (Selektion auf


Abstimmkonten Kreditoren)
Kaufmnnisches Audit - Einzelabschluss - AIS - Organisatorische bersicht Abstimmkonten
S_ALR_87101046 Abstimmkonten
Pflege des Feldes doppelte
Lieferantenrechnungen in der
Tabelle LFB1
Bilanz - Aktiva - Forderungen
- AIS - Debitoren - Stammdaten
- Stammdaten Controls Stammdatennderungen
- S_ALR_87101066 - Liste (Batch !)

Falsche Bildung von Unternehmensstrukturen im Customizing


(Zuordnung von Einkaufsorganisationen zu Buchungskreisen)

Die Unternehmensstrukturen
sind korrekt gebildet und bilden
die rechtlichen Gegebenheiten
korrekt im System wieder.

Transaktion SPRO ReferenzIMG Unternehmensstruktur


Zuordnung Materialwirtschaft
Einkaufsorganisation
Buchungskreis zuordnen

Seite 129

Einsicht im Customizing ber die


Zuordnungen

3 Beschaffungsproze (purchase to pay)


risiko

Kontrolle

Test/Bericht

3.2.2 Bestellvorgang
Keine Vergabe der Transaktionen
FK01 zzgl. Ber.obj. F_LFA1_BUK
Akt 01 und den Transaktionen
ME21N, MIGO, MIRO zzgl. Ber.obj.
(siehe oben)
Analyse ber RSUSR002

Betrgerische Handlungen
aufgrund einer unzureichenden
Funktionstrennung von
Stammdatenpflege Kreditoren
und Durchfhrung von
Beschaffungsvorgngen

Funktionstrennung zwischen
Bestellanforderung, Bestellung
und Wareneingang sollte
systemseitig sichergestellt und
wirksam sein

Bestellungen werden ohne


Bestellanforderungen angelegt

Prfung, ob Bestellungen ohne


Bezug zu Bestellanforderungen
existieren

Die Freigabestrategie von


Bestellanforderungen ist nicht
Unternehmenskonform
ausgeprgt

Die Freigabestrategie fr
Bestellanforderungen entsprechend der durch das Unternehmen
definierten Beschaffungsrichtlinie

Zu nicht freigegebenen
Bestellanforderungen werden
Bestellungen angelegt

Die Bestellung kann nur mit


Bezug zu einer freigegeben
Bestellanforderung angelegt
werden

Liste der Bestellungen: SAP


Quick Viewer, join der Tabellen
EKKO und EKPO mit Anzeige der
entsprechenden Felder

Lieferantenrechnungen knnen
nur mit einer Bestellnummer
erfasst werden. Erfasste
Rechnungen, bei denen noch
kein Wareneingang erfolgt ist
sind zur Bezahlung gesperrt.

Analyse der Tabelle BKPF auf


Belege ungleich Transaktionscode MIRO (hierzu ist es
erforderlich die Tabellen BSIK/
BSAK mit der Tabelle BKPF zu
joinen Datenanalysesoftware)

Systemaudit - Infosystem
Benutzer & Berechtigungen
Liste der Bestellungen: SAP
Quick Viewer, join der Tabellen
EKKO und EKPO mit Anzeige der
entsprechenden Felder
IMG Materialwirtschaft
Einkauf Bestellanforderungen
Freigabestrategie
Report RSUSR002: Prfung auf
Berechtigungsobjekt M_EINK_FRG

3.2.3 Rechnungsprfung

Es werden Verbindlichkeiten fr
nicht erbrachte Leistungen direkt
auf den Kreditoren erfasst.

Seite 130

Eingangsrechnungen werden mit


einem zu hohen Betrag erfasst
(und ausbezahlt).

Rechnungspositionsbetragsprfung. Lediglich innerhalb eng


definierter Toleranzgrenzen
knnen Eingangsrechnungen mit
Abweichungen zum Bestellpreis
im System erfasst werden.

Customizing Transaktion OMRH,


OMRI, OMR6
OMRH = Aktivierung Sperren wg.
Positionsbetrages muss fr den
Buchungskreis gesetzt sein
OMRI = Rechnungsprfung:
Prfung auf Betragshhe muss
gesetzt sein
OMR6 = Toleranzgrenzen mssen
angemessen gepflegt sein

Eingangsrechnungen werden mit


einem zu hohen Betrag erfasst
(und ausbezahlt).

Unzureichende Ausgestaltung
des 3-Wege Matches durch
mangelhafte Einstellungen des
WE/RE Kontos

Kontrolle

Test/Bericht

3-Wege Abstimmung ber das


Wareneingangs- Rechnungseingangskonto. Zeitnahe Pflege und
Klrung aller Differenzflle.

Identifikation des WE/RE Kontos


ber den in Verwendung
stehenden Kontenplan
Transaktion F.10 und Analyse des
Pflegestandes des WE/RE Kontos
ber Transaktion FS10N
Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva AIS Vorratsvermgen - Konsistenzprfungen - S_P6B_12000135
- WE/RE-Saldenliste

Die Einstellungen des WE/RE


Kontos sind angemessen (nur
maschinell bebuchbar)

Identifikation des WE/RE Kontos


ber den in Verwendung
stehenden Kontenplan
Transaktion F.10 und Analyse der
Einstellungen des WE/RE Kontos
ber Transaktion FS00 zzgl.
nderungshistorie ber FS04

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

risiko

Managementreview des Reports


RFKUML00
Ausgewiesene Verbindlichkeiten
zum Bilanzstichtag haben keinen
Bestand.

Die Kreditorenumstze werden


plausibilisiert.

Ausgewiesene Verbindlichkeiten
zum Bilanzstichtag haben keinen
Bestand oder sind zu niedrig
ausgewiesen.

Es werden Saldenbesttigungen
von Lieferanten eingeholt

Es werden Auszahlungen fr
Verbindlichkeiten gettigt, bei
Kreditoren mit uneinbringlichen
Forderungen (bspw. durch
mgliche Insolvenzgefhrdung
des Kreditors)

Automatische Verrechnung von


Offenen Posten bei debitorischen
Kreditoren (mit Insolvenzgefhrdung/drohender Zahlungsunfhigkeit)

Kaufmnnisches Audit - Einzelabschluss - Bilanz - Passiva


- Verbindlichkeiten - AIS - Verbindlichkeiten - Kreditoren,
Konto Salden - bersicht
- Umsatzauswahl nach Betrag

Transaktion F.18

Stammdatenpflege/Customizing

Seite 131

Feld im Debitorenstammsatz
gesetzt Verrechung mit Kreditor
(KNB1 Feld XVERR) und Feld
im Kreditorenstammsatz gesetzt
Verrechnung mit Debitor XVERR

3 Beschaffungsproze (purchase to pay)


risiko

Kontrolle

Test/Bericht
Abstimmung der Reports
RFKSSLDO mit RFHABU00

Haupt- und Nebenbcher


stimmen nicht berein

Abstimmung von Haupt- und


Nebenbcher zum Jahresabschluss

Kaufmnnisches Audit - Einzelabschluss - Bilanz - Passiva Verbindlichkeiten - AIS - Verbindlichkeiten - Abstimmung/


Groe Umsatzprobe
Report SAPF190

Haupt- und Nebenbcher


stimmen nicht berein

Regelmige automatisierte
Abstimmung von Haupt- und
Nebenbcher

Kaufmnnisches Audit - Einzelabschluss - Bilanz - Passiva Verbindlichkeiten - AIS - Verbindlichkeiten - Abstimmung/


Groe Umsatzprobe
Report RFKOPR10

Seite 132

Es werden Verbindlichkeiten
ausgewiesen die keinen Bestand
haben

Analyse der Altersstruktur der


Offenen Posten

Kaufmnnisches Audit - Einzelabschluss - Bilanz - Passiva Verbindlichkeiten - AIS - Verbindlichkeiten FIAP - Infosystem
- S_ALR_87010027 - Kreditoren
Info-System

4 Kalkulationsprozess
4.1 Prfungsziele
ziele

risiko

4.1.1 Stammdaten und Customizing


Richtige Pflege der Materialstammstze

Der Materialstammsatz ist unzutreffend gepflegt

Richtiger Ansatz der internen


Verrechnungspreise

Die Tarife der Leistungsarten sind falsch gepflegt

Richtiger Ansatz der internen


Verrechnungspreise

Die Kostenstellentarife sind zwar im Durchschnitt gut, haben


aber hohe periodenbezogene Schwankungen

Zweckentsprechende Bewertung der


Ressourcen, um richtige Herstellkosten zu ermitteln

Die Kalkulationsvariante verwendet unzweckmige Bewertungen

Verursachungsgerechte Weiterverrechnung von Gemeinkosten auf die


Kostentrger

Die Kalkulationsvariante verwendet unzweckmige Gemeinkostenverrechnungen

4.1.2 Durchfhrung
Sicherheit vor Kalkulationen durch
unautorisierte Personen

Kalkulationen werden von unautorisierten Personen durchgefhrt

Sicherheit vor Materialbewertungs


nderungen durch unautorisierte
Personen

Kalkulationen werden von unautorisierten Personen vorgemerkt


und freigegeben

4.1.3 Ergebnisse/Auswertungen
Richtiger Standardpreis im
Materialstammsatz

Der Standardpreis im Materialstammsatz stammt nicht aus


einer freigegebenen Erzeugniskalkulation

Stetige Bewertung des Materials im


Lager

Die Standardpreise im Materialstamm werden unangemessen


hufig verndert

Richtige Bewertung des Materials im


Lager

Die nderung der Standardpreise im Materialstamm ist


auffallend/unangemessen hoch

Richtiger Ausweis der Herstellkosten

Die Materialpreise in den Preisfeldern sind stark unterschiedlich

Seite 133

Richtiger Ausweis der Herstellkosten


und Sicherheit fr die Bewertung von
Materialbestnden

4 Kalkulationsprozess
4.2 Prfungsdurchfhrung
Risiko

Kontrolle

Test/Bericht

4.2.1 Stammdaten und Customizing

Der Materialstammsatz ist


unzutreffend gepflegt

Die Materialstammstze
stichprobenartig oder in
Listenform prfen

Die Tarife der Leistungsarten


sind falsch gepflegt

Die Kostenstellentarife auflisten


und auf unsinnige Werte oder auf
hohe Abweichungen gegenber
den vergangenen Jahren prfen

Controlling Kostenstellenrechnung Infosystem Tarife


Kostenstellen: Leistungsartentarife

Die Kostenstellentarife sind zwar


im Durchschnitt gut, haben aber
hohe periodenbezogene Schwankungen

Die Kostenstellentarife auflisten


und auf unsinnige Werte oder auf
hohe Abweichungen gegenber
den vergangenen Jahren prfen

Controlling Kostenstellenrechnung Infosystem


weitere Berichte Leistungsarten: Periodenaufriss

Bewertungsvariante in der
Kalkulationsvarianten prfen

IMG Controlling Produktkosten-Controlling Produktkostenplanung Materialkalkulation mit Mengengerst


Kalkulationsvarianten definieren:
Preisfindungsstrategien prfen

Bewertungsvariante in der
Kalkulationsvarianten prfen

IMG Controlling Produktkosten-Controlling Produktkostenplanung Materialkalkulation mit Mengengerst


Kalkulationsvarianten definieren:
Kalkulationsschema prfen

Die Kalkulationsvariante
verwendet unzweckmige
Bewertungen

Die Kalkulationsvariante
verwendet unzweckmige
Gemeinkostenverrechnungen

Seite 134

Logistik Materialwirtschaft
Materialstamm Material
anzeigen
Logistik Materialwirtschaft
Materialstamm Sonstige
Materialverzeichnis

Kontrolle

Test/Bericht

4.2.2 Durchfhrung

Kalkulationen werden von


unautorisierten Personen
durchgefhrt

Kalkulationen auflisten und


deren Erfasser anzeigen
Berechtigungen der Mitarbeiter
prfen

Rechnungswesen Controlling
Produktkosten-Controlling
Produktkostenplanung
Infosystem Objektliste zum
Material Analyse/Vergleich
von Materialkalkulationen
SE16, USOBT, Berechtigungsobjekt K_KEKO, Report RSUSR002

Kalkulationen werden von


unautorisierten Personen
vorgemerkt und freigegeben

Materialstammstze auflisten und


deren nderungen durch Freigabe
von Kalkulationen anzeigen

Logistik Materialwirtschaft
Materialstamm Material
Stammdaten Anzeigen
Anzeigen aktueller Stand, dann
nderungsbeleg anschauen

Berechtigungen der Mitarbeiter


prfen

SE16, CDHDR, Objektklasse Material

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

risiko

SE16, USOBT, Berechtigungsobjekt K_FVMK, Report RSUSR002


4.2.3 Ergebnisse/Auswertungen

Die Standardpreise im Materialstamm werden unangemessen


hufig verndert

Die nderung der Standardpreise im Materialstamm ist


auffallend/unangemessen hoch

Die Materialpreise in den Preisfeldern sind stark unterschiedlich

Kalkulationen zu den Materialien


auflisten und auf Status
freigegeben prfen. Mit Liste
der Materialstammstze
vergleichen

Controlling Produktkostenrechnung Produktkostenplanung Infosystem


Objektliste zum Material
Analyse/Vergleich von Materialkalkulationen

Kalkulationen zu den Materialien


mit Status freigegeben auflisten:
Datum prfen

Controlling Produktkostenrechnung Produktkostenplanung Infosystem


Objektliste zum Material
Analyse/Vergleich von Materialkalkulationen: Layout 1SAP03,
Datum einblenden, nach Datum
sortieren

Kalkulationen zu den Materialien


mit Status freigegeben auflisten:
Abweichungen vom Standardpreis prfen

Materialpreise im Vergleich auflisten


und auf Abweichungen untersuchen

Controlling Produktkostenrechnung Produktkostenplanung Infosystem


Objektliste zum Material
Analyse/Vergleich von Materialkalkulationen: Layout 1SAP03,
Datum einblenden, nach Datum
sortieren
SE16, MBEW, Preisfelder
anzeigen lassen

Seite 135

Der Standardpreis im Materialstammsatz stammt nicht aus


einer freigegebenen Erzeugniskalkulation

5 Periodisches Controlling bei einem


Lagerfertigungsprozess
5.1 Prfungsziele
ziele

risiko

5.1.1 Stammdaten und Customizing


Ein zum logistischen Prozess
passendes und adquates Controlling
soll gewhrleistet werden. Die richtige
Steuerung der Fertigungsauftrge
ermglicht die richtige Ermittlung der
Ware in Arbeit beim Periodenabschluss

Falsche Auftragsarten steuern das Controlling anders als im


Unternehmen erwartet. Dies kann zu falschen Auftragswerten
fhren, die auch Auswirkungen auf Bilanz und GuV haben
knnen

Die Bewertung der logistischen


Ressourcenverbruche geschieht mit
angemessenen Preisen bzw. Tarifen.
Dies ermglicht eine gute mitlaufende
Kalkulation auf den Kostentrgern.

Die Verwendung schlecht gepflegter Kalkulationsvarianten


kann zu ungewhnlich hohen Abweichungen oder unerwarteten
Abweichungskategorien fhren, die die Erfolgsrechnung verflschen

5.1.2 Durchfhrung/Belege
Die Disposition soll richtige Bedarfe
ausweisen und diese sollen in einem
angemessenem Zeitraum gedeckt
werden

Planauftrge werden lange Zeit nicht in Fertigungsauftrge


umgesetzt. Dies deutet auf Strungen in der Disposition oder
Fertigung hin

Die logistischen Ressourcenverbruche


werden zeitnah und mengengerecht
gebucht, um eine gute mitlaufende
Kalkulation zu ermglichen.

Die Verbrauchsbuchungen auf den Kostentrgern werden


zeitlich unkorrekt gebucht. Dies kann durch versptete
Rckmeldungen oder Warenbewegungsbuchungen
verursacht werden

Die Fertigungsprozesse werden in


angemessenem Zeitraum durchgefhrt und die Kostentrger entsprechend mitgefhrt

Fertigungsauftrge werden lange Zeit nicht endgeliefert. Dies


deutet auf eine Strung bei der Beschaffung von Ressourcen
oder bei der Fertigung hin. Ebenfalls knnten versptete oder
unterlassene Rckmeldungen/Buchungen aufgetreten sein

5.1.3 Ergebnisse/Auswertungen

Seite 136

Abweichungen der Produktion


werden schnell erkannt, damit ein
korrigierendes Eingreifen noch
mglich ist

Die Fertigung erzielt hohe Abweichungen, deren Auftreten nicht


bemerkt wird

Risiko

Kontrolle

Test/Bericht

5.2.1 Stammdaten und Customizing

Falsche Auftragsarten steuern


das Controlling anders als im
Unternehmen erwartet. Dies
kann zu falschen Auftragswerten
fhren, die auch Auswirkungen
auf Bilanz und GuV haben knnen

Die Verwendung schlecht


gepflegter Kalkulationsvarianten
kann zu ungewhnlich hohen
Abweichungen oder unerwarteten Abweichungskategorien
fhren, die die Erfolgsrechnung
verflschen

Die Auftragsart ist auf periodisches Controlling eingestellt


und wird auch fr den Fertigungs
auftrag so verwendet
Im Customizing Tabelle
Vorschlagswerte nachschauen
Im Fertigungsauftrag bei der
Abrechnungsregel per
(periodische Abrechnung)
verifizieren

Die Kalkulationsvariante ist


entsprechend den beschlossenen
Vorgaben im Unternehmen
eingestellt
Kalkulationsvariante analysieren,
besonders Bewertungsvariante
Auftragsbericht aufrufen,
Leistungstarif prfen

IMG Controlling Produktkosten-Controlling Kostentrgerrechnung Auftragsbezogenes Produktcontrolling


Produktionsauftrge
Auftragsarten berprfen (KOT2 )
IMG Controlling Produktkosten-Controlling Kostentrgerrechnung Auftragsbezogenes
Produktcontrolling Produktionsauftrge Kostenrechnungsrelevante Vorschlagswerte
je Auftragsart/Werk pflegen

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

5.2 Prfungsdurchfhrung

IMG Controlling Produktkosten-Controlling Kostentrgerrechnung Auftragsbezogenes Produktcontrolling


Produktionsauftrge
Kalkulationsvariante fr
Produktionsauftrge berprfen
(OPL1)

5.2.2 Durchfhrung/Belege

In der Bedarfs-/Bestandsliste die


Situation der Materialien berprfen

Logistik Produktion
Bedarfsplanung Planauftrag
anzeigen Sammelanzeige
(MD16)

Planauftrge auflisten und nach


Alter sortieren

Seite 137

Planauftrge werden lange Zeit


nicht in Fertigungsauftrge
umgesetzt. Dies deutet auf
Strungen in der Disposition
oder Fertigung hin

Alter der Planauftrge analysieren


und auf Abweichungen zum
Standarddurchlauf des Produktionsprozesses hin untersuchen

5 Periodisches Controlling bei einem


Lagerfertigungsprozess
risiko
Die Verbrauchsbuchungen auf
den Kostentrgern werden
zeitlich unkorrekt gebucht. Dies
kann durch versptete
Rckmeldungen oder Warenbewegungsbuchungen
verursacht werden

Fertigungsauftrge werden lange


Zeit nicht endgeliefert. Dies
deutet auf eine Strung bei der
Beschaffung von Ressourcen
oder bei der Fertigung hin.
Ebenfalls knnten versptete
oder unterlassene Rckmeldungen/ Buchungen aufgetreten
sein

Kontrolle
Die Verbrauchsbuchung erfolgt
zeitgleich zum logistischen
Verbrauch der Ressource
WE Belege selektieren: gibt es
unbewertete Wareneingnge?

Test/Bericht

Logistik Materialwirtschaft
Bestandsfhrung Umfeld
Listanzeigen Materialbelege
Logistik Produktion
Infosystem Auftragsinfosystem

Rckmeldebelege selektieren
Alter der Fertigungsauftrge
analysieren und auf Abweichungen
zum Standarddurchlauf des
Produktionsprozesses hin
untersuchen

Logistik Produktion
Infosystem Auftragsinfosystem

Im Informationssystem die
Auftrge auflisten lassen, die
lter als eine bestimmte
Zeitspanne sind.

5.2.3 Ergebnisse/Auswertungen

Seite 138

Die Fertigung erzielt hohe


Abweichungen, deren Auftreten
nicht bemerkt wird

Auftragsberichte:
Soll- Istkosten- Vergleich

Rechnungswesen Controlling
Produktkosten-Controlling
Kostentrgerrechnung
Auftragsbezogenes Produktcontrolling Infosystem Berichte
zum auftragsbezogenen Produktcontrolling Objektliste
Auftragsselektion

6.1 Prfungsziele
ziele

risiko

6.1.1 Stammdaten und Customizing


Unternehmensstrukturen und
Organisationseinheiten werden im
System korrekt abgebildet
Auftrge werden vollstndig, zeitnah,
mit der richtigen Belegart, zu
autorisierten Konditionen im System
erfasst und vollstndig bis zum
richtigen Ausweis im Hauptbuch
verarbeitet.

Falsche Bildung von Unternehmensstrukturen im Customizing


(Zuordnung von Vertriebsbereichen zu Buchungskreisen)
Kundenauftrge werden fehlerhaft im System erfasst und knnen
nicht zeitnah bearbeitet werden. Dies fhrt zu Umsatzverlusten.
Fehler im Belegfluss fhren zu unvollstndigen Geschftsprozessen.
(Fehlender Ausweis von Forderungen und Umsatzerlsen)

Auftrge werden zu autorisierten


Preisen verarbeitet und vollstndig im
Hauptbuch ausgewiesen. Manuelle
Preisnderungen im Auftrag sind
nicht mglich.

Unautorisierte, manuelle nderungen von Preisen bei der


Auftragsanlage (z.B. Standardpreis PR00)

nderungen in Auftrgen sind


autorisiert und beruhen auf
genehmigten Kundenzusagen

Unautorisierte nachtrgliche nderungen an Verkaufsauftrgen

Auftrge werden zeitnah bearbeitet.


Auftrge im Rckstand werden
zeitnah berwacht und nachverfolgt.

Auftrge im Rckstand werden nicht angemessen berwacht


und im System gepflegt.

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

6 Vertriebsproze: Verkauf vom Lager (order to cash)

Lieferungen im Rckstand werden


zeitnah bearbeitet.

Lieferungen im Rckstand fhren zu Kundenverlusten und


verlorenen Umstzen

Alle erbrachten Leistungen werden


vollstndig, mit genehmigten
Belegarten und zeitnah fakturiert.

Leistungen werden systemseitig nicht vollstndig fakturiert


(Fakturavorrat). Es werden hierbei trotz Leistung keine offenen
Posten in der Buchhaltung erzeugt.

Alle erbrachten Leistungen werden


vollstndig, mit genehmigten
Belegtypen und zeitnah fakturiert.

Aufgrund technischer Verarbeitungsfehler wird aus der Faktura


der Buchhaltungsbeleg nicht erzeugt (fehlerhafte Buchungsstatus)

Alle fakturierten Leistungen beruhen


auf genehmigten Kundenauftrgen
und auf korrekt erbrachten Leistungen.

Es werden Forderungen fr nicht erbrachte Leistungen direkt


auf den Debitoren erfasst.

Ein funktionierendes Mahnwesen


sichert die Werthaltigkeit der offenen
Posten

Offene Posten werden nicht vollstndig in das Mahnwesen


einbezogen.
Seite 139

6.1.2 Durchfhrung/Belege

6 Vertriebsproze: Verkauf vom Lager (order to cash)

Seite 140

6.1.3 Ergebnisse/Auswertungen
Ein funktionierendes Mahnwesen
sichert die Werthaltigkeit der offenen
Posten

Mahnverfahren sind unzureichend ausgestaltet, Mahnstufen im


System stimmen nicht mit Konzernvorgaben berein.

Ein funktionierendes Mahnwesen


sichert die Werthaltigkeit der offenen
Posten

Mahnlufe werden in unregelmigen Abstnden durchgefhrt

Die Debitorenumstze beruhen auf


genehmigten Kundenauftrgen und
es wurde korrekt geleistet

Ausgewiesene Forderungen zum Bilanzstichtag haben keinen


Bestand.

Die Debitorenumstze beruhen auf


gltigen Kundenauftrgen und es
wurde korrekt geleistet

Ausgewiesene Forderungen zum Bilanzstichtag haben keinen


Bestand.

Die Forderungen sind werthaltig und


entsprechen den anzuwendenden
Bewertungsvorschriften

Mngel im Kreditlimitprozess fhren dazu, dass Geschfte


gettigt werden, bei denen Forderungen uneinbringlich werden
knnen

Wirksamer Vermgensschutz durch


zielfhrenden Einsatz von Kreditlimits

Eingepflegte Kreditlimite werden nicht eingehalten (Offene Posten


bersteigen das eingepflegte Kreditlimit ohne Genehmigung)

Wirksamer Vermgensschutz durch


zielfhrenden Einsatz von Kreditlimits

Kreditlimite sind nicht vollstndig gepflegt

Alle ausgewiesenen Forderungen


bestehen zum Bilanzstichtag

Haupt- und Nebenbcher stimmen nicht berein

Die Bewertung der Forderungen


entspricht den Bewertungsvorschriften der GAAP/HGB.

Erforderliche Wertberechtigungen werden nicht durchgefhrt

Der Ausweis der Forderungen entspricht den Bilanzierungsvorschriften.

Ein erforderlicher Ausweis nach Forderungen Inland/Ausland/


Verbundene erfolgt nicht (Abstimmkonten sind falsch definiert)

Debitorenstammdaten sind
vollstndig, richtig und zeitnah
gepflegt.

Die unterschiedlichen Sichten der Debitorenstammdaten sind


nicht konsistent gepflegt (Vertriebssicht/Buchhaltungssicht)

Debitorenstammdaten werden in
einem geregelten Verfahren angelegt,
gendert oder gelscht.

Unautorisierte Pflege von Debitorenstammdaten

Die auf den Debitoren erfassten


Vorgnge werden korrekt im
Hauptbuch ausgewiesen (richtige
Definition des Abstimmkontos)

Falscher Ausweis im Hauptbuch

risiko

Eine wirksame Trennung von Pflege


der Stammdaten und Erfassung der
Bewegungsdaten verhindert
betrgerische Handlungen.

Einmalkunden werden missbruchlich verwendet.

nderungen an Debitoren sind


autorisiert

Unautorisierte nderungen an Debitoren gefhrden die


Integritt der Stammdaten.

Richtiger Ausweis der Umstze und


Forderungen

Falsche Bildung von Unternehmensstrukturen im Customizing


(Zuordnung von Vertriebsbereichen zu Buchungskreisen)

Der Zugriff auf die Vertriebsdaten und


Funktionen ist restriktiv ausgestaltet
unter Einhaltung von Funktionstrennungsgesichtspunkten und dem
4-Augenprinzip

Betrgerische Handlung aufgrund einer unzureichenden


Funktionstrennung von Stammdatenpflege Debitoren und
Erfassung und Fakturierung von Auftrgen

Der Zugriff auf die Vertriebsdaten und


Funktionen ist restriktiv ausgestaltet
unter Einhaltung von Funktionstrennungsgesichtspunkten und dem
4-Augenprinzip

Betrgerische Handlung aufgrund einer unzureichenden


Funktionstrennung von der Buchung des Zahlungseingangs und
der Fakturierung von Auftrgen

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

ziele

6.2 Prfungsdurchfhrung
Risiko

Kontrolle

Test/Bericht

6.2.1 Stammdaten und Customizing


Falsche Bildung von Unternehmensstrukturen im Customizing
(Zuordnung von Vertriebsbereichen zu Buchungskreisen)

Die Unternehmensstrukturen
sind korrekt gebildet und bilden
die rechtlichen Gegebenheiten
korrekt im System wieder.

IMG - Unternehmensstruktur
Zuordnung Vertrieb
IMG - Unternehmensstruktur
Zuordnung Konsistenzprfung
Report RVAUFERR (Transaktion
v.05: Liste unvollstndiger Auftrge)

(Fehlender Ausweis von


Forderungen und Umsatzerlsen)

Die Zeitnhe der Bearbeitung von


Kundenauftrgen wird
regelmig anhand definierter
Kontrollreports berwacht.
Fehlerhafte Vorgnge werden
umgehend korrigiert.

korrekte Definition des Unvollstndigkeitsschemas im Customizing


(insbesondere zu achten auf
Status beliefert nicht fakturiert)
IMG Vertrieb Grundfunktionen Unvollstndigkeit
Unvollstndigkeitsschemata definieren/zuordnen/Statusgruppen
definieren
AIS Kaufmnnisches Audit - Einzelabschluss - G.u.V. - AIS - Umsatzerlse - Verkaufsbelege- V.02
- Liste unvollstndige Auftrge

Seite 141

Kundenauftrge werden
fehlerhaft im System erfasst und
knnen nicht zeitnah bearbeitet
werden. Dies fhrt zu Umsatzverlusten. Fehler im Belegfluss
fhren zu unvollstndigen
Geschftsprozessen.

6 Vertriebsproze: Verkauf vom Lager (order to cash)


risiko

Kontrolle

Test/Bericht
Transaktion V/06 (Konditionsarten: Preisfindung Vertrieb)

Unautorisierte, manuelle
nderungen von Preisen bei der
Auftragsanlage (bspw.
Standardpreis PR00)

Systemeinstellungen lauten auf


nicht nderbar fr Standardpreise

Definition der Preisfindung auf


nicht nderbar (nderungsmglichkeit - Einstellung D)
AIS Kaufmnnisches Audit - Einzelabschluss G.u.V. AIS
- Umsatzerlse Preise

Unautorisierte nachtrgliche
nderungen an Verkaufsauftrgen

Die nderungshistorie in
Auftrgen werden in Stichproben
kontrolliert und geprft, ob
nderungen autorisiert und
inhaltlich richtig durchgefhrt
wurden

Transaktion VA03 (Anzeige


Auftrag) Eingabe eines
wesentlichen Auftrages (bspw.
identifiziert aus VBAK) Men
Umfeld nderungen
AIS Kaufmnnisches Audit
- Einzelabschluss G.u.V.
AIS - Umsatzerlse - Verkaufsbelege S_P6B_12000143 nderungsbelege anzeigen
Transaktion v.15

Seite 142

Auftrge im Rckstand werden


nicht angemessen berwacht
und im System gepflegt.

Auftrge im Rckstand werden


wchentlich analysiert und
gepflegt (Nachlieferungen,)

Auftrge im Rckstand,
Vorgnge lter 6 Monate sollten
nicht vorliegen (abhngig vom
Unternehmen)
Kaufmnnisches Audit - Einzelabschluss - G.u.V. - AIS - Umsatzerlse - Verkaufsbelege V.15 - Anzeigen rckstndige
Auftrge

Test/Bericht

6.2.2 Durchfhrung/Belege
Transaktion VL04 oder VL10
(Selektion auf Versandstelle)
Lieferungen im Rckstand
fhren zu Kundenverlusten und
verlorenen Umstzen

Leistungen werden systemseitig


nicht vollstndig fakturiert
(Fakturavorrat). Es werden
hierbei trotz Leistung keine
offenen Posten in der Buchhaltung
erzeugt.

Aufgrund technischer Verarbeitungsfehler wird aus der Faktura


der Buchhaltungsbeleg nicht
erzeugt (fehlerhafte Buchungsstatus)

Es werden Forderungen fr nicht


erbrachte Leistungen direkt auf
den Debitoren erfasst.

Offene Posten werden nicht


vollstndig in das Mahnwesen
einbezogen.

Lieferungen im Rckstand
werden tglich kontrolliert und
bearbeitet

Der Fakturavorrat wird zu jedem


Monatsabschluss bearbeitet und
kontrolliert. Zum Jahresabschluss
ist sichergestellt, dass sich keine
Geschftsvorflle aus vorangegangenen Geschftsjahren im
System befinden.

Das System wird wenigstens


monatlich auf fehlerhafte
Buchungsstatus in den Fakturen
kontrolliert. Fehlerhafte Fakturen
werden zeitnah nachgebucht

Debitoren werden nur aus SD mit


existenten Kundenauftrgen
bebucht bei denen korrekt
geleistet wurde. Offene Posten
werden auf direkte Buchungen
analysiert.

Alle offenen Posten sind in das


Mahnverfahren einbezogen.

Kaufmnnisches Audit - Einzelabschluss - G.u.V. - AIS - Umsatzerlse - Verkaufsbelege V.02 - Liste unvollstndige
Auftrge
Transaktion vf04, Schalter
Fakturavorrat (es drfen sich
keine Geschftsvorflle aus
vorangegangenen Geschftsjahren im System befinden)

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

Kontrolle

Kaufmnnisches Audit - Einzelabschluss - G.u.V. - AIS - Umsatzerlse - Faktura - VF04_AIS


- Fakturavorrat anzeigen
Transaktion VFX3, alle
aufgezeigten Vorgnge mssen
nachbearbeitet worden sein.
Kaufmnnisches Audit - Einzelabschluss - G.u.V. - AIS - Umsatzerlse - Faktura - VF04 VFX3 - Liste gesperrte Fakturen
Analyse der Tabelle BKPF auf
Belege ungleich Transaktionscode vf01
(Es ist hierzu erforderlich die
Tabellen BSID/BSAD mit der
Tabelle BKPF zu joinen)
Kaufmnnisches Audit - Einzelabschluss - Abschluss - allgemein - Export Belegdaten
Analyse auf mahngesperrte
offene Posten, Databrowser se16
Tabelle KNB5, Auswertung auf
Feld Mahnsperre
Seite 143

risiko

6 Vertriebsproze: Verkauf vom Lager (order to cash)


risiko

Kontrolle

Test/Bericht

Mahnverfahren sind unzureichend ausgestaltet, Mahnstufen


im System stimmen nicht mit
Konzernvorgaben berein.

Die im System hinterlegten


Mahnverfahren stimmen mit den
Konzernvorgaben berein und
sind wirksam ausgestaltet. Die
Zuordnung der Mahnverfahren ist
korrekt.

Analyse der im System


hinterlegten Mahnverfahren im
Customizing Transaktion OBL6,
Zuordnung der Mahnverfahren
ber Tabelle KNB5

Mahnlufe werden in unregelmigen Abstnden durchgefhrt

Es wird laufend berprft, ob


regelmige, zeitnahe Mahnlufe
durchgefhrt werden.

Mahnhistorie Transaktion F150

6.2.3 Ergebnisse/Auswertungen

Managementreview des Reports


RFDUML00
Ausgewiesene Forderungen zum
Bilanzstichtag haben keinen
Bestand.

Die Debitorenumstze werden auf


ihre Werthaltigkeit und Plausibilitt durch das Management
kontrolliert

Ausgewiesene Forderungen zum


Bilanzstichtag haben keinen
Bestand.

Es werden Saldenbesttigungen
von wesentlichen Kundenumstzen eingeholt

Mngel im Kreditlimitprozess
fhren dazu, dass Geschfte
gettigt werden, bei denen
Forderungen uneinbringlich
werden knnen

Funktionierendes Kreditmanagement, alle Debitoren haben ein


genehmigtes, angemessenes
Kreditlimit zugeordnet

AIS Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva


- Forderungen - AIS Forderungen
- Debitoren, Konto Salden bersicht - Umsatzauswahl nach
Betrag - S_ALR_87101084 Inland
Transaktion F.17

Eingepflegte Kreditlimite werden


nicht eingehalten (Offene Posten
bersteigen das eingepflegte
Kreditlimit ohne Genehmigung)

Bilanz - Aktiva - Forderungen


- AIS - Debitoren - Stammdaten
- Kreditmanagement

Analyse der Tabelle KNKK,


Transaktion FDK43

RFDKLI40 (Ausschpfungsgrad),
Analyse bei welchen Debitoren
die Offenen Posten das eingepflegte Kreditlimit bersteigt
Eingepflegte Kreditlimite sind
genehmigt und werden eingehalten

Bilanz - Aktiva - Forderungen


- AIS - Debitoren - Stammdaten
- Kreditmanagement

Seite 144

bersicht - S_ALR_87101107
Kreditbersicht

Kontrolle

Test/Bericht
RFDKLI10

Kreditlimite sind nicht vollstndig


gepflegt

Kreditlimitdaten sind vollstndig


gepflegt und genehmigt

Bilanz - Aktiva - Forderungen


- AIS - Debitoren - Stammdaten
- Kreditmanagement
bersicht - Controls S_ALR_87101108 - Fehlende
Kreditdaten
SAPF190

Haupt- und Nebenbcher


stimmen nicht berein

Regelmige Abstimmung von


Haupt- und Nebenbcher

Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva Forderungen - AIS Forderungen


Abstimmung/Groe Umsatzprobe

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

risiko

RFDOPR10 und f.10/fs10n zur


Anzeige der Wertberichtigungen
Erforderliche Wertberechtigungen
werden nicht durchgefhrt

Analyse der Altersstruktur und


Wertberechtigungen der Offenen
Posten

Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva Forderungen - AIS Forderungen


- Forderungsrisiken
RFDSLD00 (Selektion auf
Abstimmkonten Debitoren ber
freie Abgrenzungen)

Ein erforderlicher Ausweis nach


Forderungen Inland/Ausland/
Verbundene erfolgt nicht
(Abstimmkonten sind falsch
definiert)

berprfung der Abstimmkonten


auf korrekte Definition.

Die unterschiedlichen Sichten der


Debitorenstammdaten sind nicht
konsistent gepflegt (Vertriebssicht/Buchhaltungssicht)

berprfung der vollstndigen


und konsistenten Pflege der
Stammdatensichten

Kaufmnnisches Audit - Einzelabschluss - AIS - Organisatorische bersicht Abstimmkonten


S_ALR_87101046 Abstimmkonten
Report RFDKAG00 (Selektionsparameter: nicht angelegt in Buchhaltung, nicht angelegt im Vertrieb)
RFDKVZ00 (freie Abgrenzung
Angelegt von Anlegt am)

berprfung wer wann welche


Debitoren angelegt hat
(in Stichproben)

Bilanz - Aktiva - Forderungen AIS - Debitoren - Stammdaten bersicht - S_ALR_87101061


Kontenverzeichnis

Seite 145

Unautorisierte Pflege von


Debitorenstammdaten

6 Vertriebsproze: Verkauf vom Lager (order to cash)


risiko

Falscher Ausweis im Hauptbuch

Einmalkunden werden
missbruchlich verwendet.

Unautorisierte nderungen an
Debitoren gefhrden die Integritt
der Stammdaten.

Kontrolle

berprfung, ob alle Debitoren


ein richtiges Abstimmkonto
zugewiesen haben, berprfung
der inhaltlichen Richtigkeit in
Stichproben

berprfung der angelegten CpD


Konten, dass nur Vorgnge mit
geringen Betrgen erfasst werden

berprfung der nderungen an


Debitorenstammdaten.
nderungen an Stanmdaten
werden korrekt aufgezeichnet.

Test/Bericht
Databrowser se16, Tabelle KNB1,
Selektion auf dem Feld
Abstimmkonto
Bilanz - Aktiva - Forderungen AIS - Debitoren - Stammdaten
bersicht - Data Browser SE16_KNB1 - KNB1 = Kundenstamm (Buchungskreis)
Report RFDKVZ00, Selektion CpD
Konten, Saldenanzeige der
Konten FD10N (Weiterverzeigung
in die Einzelposten)
Bilanz - Aktiva - Forderungen
- AIS Forderungen- Debitoren,
Konto Salden - bersicht Saldenliste CPD
nderungsreport RFDABL00,
Einstellungen zum nderungs
report in der Tabelle T077D
Bilanz - Aktiva - Forderungen AIS - Debitoren - Stammdaten Stammdaten Controls - Stammdatennderungen
- S_ALR_87101066 - Liste (Batch!)
Einsicht im Customizing ber die
Zuordnungen

Falsche Bildung von Unternehmensstrukturen im Customizing


(Zuordnung von Vertriebsbereichen zu Buchungskreisen)

Die Unternehmensstrukturen
sind korrekt gebildet und bilden
die rechtlichen Gegebenheiten
korrekt im System wieder.

Transaktion SPRO SAP-Referenz-IMG Unternehmensstruktur


Zuordnung Vertrieb Verkaufsorganisation Buchungskreis zuordnen

Seite 146

Zustzlich Konsistenzprfung im
Customizing Transaktion SPRO
SAP-Referenz-IMG Unternehmensstruktur Konsistenzprfung

Es besteht eine Funktionstrennung zwischen der Pflege von


Debitorenstammdaten und der
Erfassung und Fakturierung von
Auftrgen

Test/Bericht
Keine Vergabe der Transaktionen
VA01 (zzgl u.a. Berobj V_VKAK_
VKO Akt. 01), VF01 (zzgl. Ber.obj.
u.a. V_VBRK_FKA Akt01, V_
VBRK_VK0 Akt01) und
Transaktion FD01 (zzgl. u.a. Ber.
obj. F_KNA1_BUK Akt 01) an den
selben Benutzerstammsatz
Analyse ber RSUSR002
System Audit - Infosystem
Benutzer & Berechtigungen

Betrgerische Handlung
aufgrund einer unzureichenden
Funktionstrennung von der
Buchung des Zahlungseingangs
und der Fakturierung von
Auftrgen

Es besteht eine Funktionstrennung zwischen der Buchung des


Zahlungseingangs und der
Fakturierung von Auftrgen

Keine Vergabe der Transaktionen


VF01 (zzgl. Ber.obj. u.a. V_VBRK_
FKA Akt01, V_VBRK_VK0 Akt01)
und Transaktion F-28 (zzgl. Ber.
obj. F_BKPF_BUK Akt. 01) den
selben Benutzerstammsatz
Analyse ber RSUSR002

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

Betrgerische Handlung aufgrund


einer unzureichenden Funktionstrennung von Stammdatenpflege
Debitoren und Erfassung und
Fakturierung von Auftrgen

Kontrolle

System Audit - Infosystem


Benutzer & Berechtigungen

Seite 147

risiko

7 Periodenabschlu im internen Rechnungswesen


bei Lagerfertigung
7.1 Prfungsziele
ziele

risiko

7.1.1 Stammdaten und Customizing


Gemeinkosten werden verursachungsgerecht auf Kostentrger weiterverrechnet

Durch die Verwendung ungewhnlich hoher Gemeinkostenzuschlge werden die Herstellkosten bzw. die Abweichungen auf
den kostentrgern verflscht. Die kann Auswirkungen auf die
Wertanstze von Bilanz und GuV haben

Die Abweichungen der Kostentrger


werden richtig und verursachungsgerecht ausgewiesen

Die Verwendung von periodengenauen Tarifen bei den


Istbuchungen verrechnet die Abweichung der Kostenstellen auf
die Kostentrger weiter. Die Abweichungen der Fertigung
knnen dadurch erhht oder konterkariert werden. Eine Liste
der Kostentrger nach Gre der Abweichungen bringt nicht
mehr die kritischen Auftrge nach vorn

Richtige Bewertung und richtiger


Ausweis der Ware in Arbeit

Die Ware in Arbeit wird falsch berechnet

Dito

Bei der Ware in Arbeit werden Teile der Kosten als nicht
aktivierungsfhig behandelt

Dito

Die Ware in Arbeit wird auf falsche Konten der Finanzbuchhaltung abgerechnet
Der Ausschuss wird in falscher Hhe ausgewiesen

Richtige Bewertung des Ausschusses


Der Ausschuss wird falsch berechnet
Die Abweichungen der Kostentrger
werden richtig und verursachungsgerecht ausgewiesen

Die Abweichungen werden falschen Abweichungskategorien


zugeordnet und tuschen ber die wahren Grnde der
Abweichungen hinweg

Seite 148

7.1.2 Durchfhrung/Belege

Dito

Die Werte fr WIP, Ausschuss und Abweichungen wurden nicht


korrekt gespeichert und fehlen deshalb in bergreifenden
Berichten und Analysen

Richtige Abrechnung/Weiterverrechnung von Ware in Arbeit

Die Ware in Arbeit wurde nicht oder falsch abgerechnet

Richtige Abrechnung/Weiterverrechnung von Ausschuss und Abweichungen

Der Saldo des Auftrags (auch Abweichungen, Ausschuss) wurde


nicht oder falsch abgerechnet

7.1.3 Ergebnisse/Auswertung

Richtiger Ausweis von WIP

Auftrge, die logistisch bereits fertig sind und fr die keine


Nachlaufkosten mehr erwartet werden, bilden trotzdem noch
Ware in Arbeit

Richtiger Ausweis von WIP

Die Ware in Arbeit wird falsch berechnet

7.2 Prfungsdurchfhrung
Risiko

Kontrolle

Test/Bericht

7.2.1 Stammdaten und Customizing

Durch die Verwendung


ungewhnlich hoher Gemeinkostenzuschlge werden die
Herstellkosten bzw. die
Abweichungen auf den
kostentrgern verflscht. Die
kann Auswirkungen auf die
Wertanstze von Bilanz und GuV
haben

Die Verwendung von periodengenauen Tarifen bei den


Istbuchungen verrechnet die
Abweichung der Kostenstellen
auf die Kostentrger weiter. Die
Abweichungen der Fertigung
knnen dadurch erhht oder
konterkariert werden. Eine Liste
der Kostentrger nach Gre
der Abweichungen bringt nicht
mehr die kritischen Auftrge
nach vorn

Die Gemeinkostenzuschlagsstze
mssen adquat und in ihrer
Hhe begrndbar sein.
Idealerweise sind sie verursachungsgerecht.
Welches Zuschlagsschema?
Von was hngen die Prozentstze ab?
Wie hoch sind die Prozentstze?
Was wird bezuschlagt?

Die Bewertungsvariante ist auf


die verwendeten Tarife der
Leistungsarten hin zu berprfen
> Kalkulationsvariante
analysieren, besonders die
Bewertungsvariante
> Auftragsbericht aufrufen,
Leistungstarif prfen

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

risiko

IMG Controlling Produktkosten-Controlling Kostentrgerrechnung Auftragsbezogenes Produkt-Controlling


Grundeinstellungen fr das
auftragsbezogene ProduktControlling Gemeinkostenzuschlge Kalkulationsschemata definieren

IMG Controlling Produktkosten-Controlling Kostentrgerrechnung Auftragsbezogenes Produkt-Controlling


Produktionsauftrge
Kalkulationsvarianten fr die
Erzeugniskalkulation berprfen
(OPL1)
Controlling ProduktkostenControlling Kostentrgerrechnung Auftragsbezogenes
Produkt-Controlling
Infosystem Berichte zum
Auftragsbezogenes ProduktControlling Detailberichte
zu Auftrgen

Seite 149

ziele

7 Periodenabschlu im internen Rechnungswesen


bei Lagerfertigung
risiko

Die Ware in Arbeit wird falsch


berechnet

Kontrolle

Test/Bericht

Die Einstellungen zur automatischen Berechnung der Ware in


Arbeit ist zu prfen und stichprobenweise nachzurechnen

IMG Controlling Produktkosten-Controlling Kostentrgerrechnung Periodisches


Produkt-Controlling
Periodenabschluss Ware in
Arbeit Bewertungsvariante
WIP und Ausschuss (Sollkosten)
definieren

Welche Kalkulation wird fr die


Ermittlung des WIP zu Sollkosten
herangezogen?

Bei der Ware in Arbeit werden


Teile der Kosten als nicht
aktivierungsfhig behandelt

Die Ware in Arbeit wird auf


falsche Konten der Finanzbuchhaltung abgerechnet

Der Ausschuss wird in falscher


Hhe ausgewiesen

Die Einstellungen zur automatischen Berechnung der Ware in


Arbeit ist zu prfen
Wie werden die Bestandteile der
Ware in Arbeit kategorisiert und
dementsprechend behandelt?

Die Kontenfindung zur Buchung


der Abgrenzungswerte ist richtig
eingestellt
Einstellungen in der Buchungsregeltabelle prfen

Die Einstellungen zur automatischen Berechnung der Ware in


Arbeit ist zu prfen und stichprobenweise nachzurechnen

Seite 150

Welche Kalkulation wird fr die


Ermittlung des Wertes des
Ausschusses herangezogen?

IMG Controlling Produktkosten-Controlling Kostentrgerrechnung Periodisches


Produkt-Controlling
Periodenabschluss Ware in
Arbeit Zuordnung definieren
IMG Controlling Produktkosten-Controlling Kostentrgerrechnung Periodisches
Produkt-Controlling
Periodenabschluss Ware in
Arbeit Buchungsregeln fr
Abrechnung der Ware in Arbeit
definieren
IMG Controlling Produktkosten-Controlling Kostentrgerrechnung Periodisches
Produkt-Controlling
Periodenabschluss Ware in
Arbeit Bewertungsvariante
WIP und Ausschuss (Sollkosten)
definieren

Kontrolle

Die vorgangsbezogene Bewertung des Ausschusses ist zu prfen


Der Ausschuss wird falsch
berechnet

Die Abweichungen werden


falschen Abweichungskategorien
zugeordnet und tuschen ber
die wahren Grnde der
Abweichungen hinweg

Welche Ausschussmengen sind


an welchem Vorgang angefallen
und mit welchen Kosten werden
sie bewertet?

Die Einstellungen fr die


Abweichungsermittlung ist zu
berprfen
> Sind Abweichungskategorien
abgeschaltet?
> Wurden sinnvolle Mindestwerte fr die Abweichungskategorien festgelegt?

Test/Bericht
IMG Controlling Produktkosten-Controlling Kostentrgerrechnung Periodisches
Produkt-Controlling Periodenabschluss Ware in Arbeit
Bewertungsvariante WIP und
Ausschuss (Sollkosten) definieren
Controlling ProduktkostenControlling Kostentrgerrechnung Auftragsbezogenes
Produkt-Controlling Auftrag
Fertigungsauftrag PP
anzeigen, von dort Springen
Kosten Einzelnachweis,
Layout 1SAP06

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

risiko

IMG Controlling Produktkosten-Controlling Kostentrgerrechnung Auftragsbezogenes Produkt-Controlling


Periodenabschluss
Abweichungsermittlung
Abweichungsvarianten
berprfen

7.2.2 Durchfhrung/Belege

Die Werte fr WIP, Ausschuss


und Abweichungen sind im
Berichtswesen zu prfen

Seite 151

Die Werte fr WIP, Ausschuss


und Abweichungen wurden nicht
korrekt gespeichert und fehlen
deshalb in bergreifenden
Berichten und Analysen

Controlling ProduktkostenControlling Kostentrgerrechnung Auftragsbezogenes


Produkt-Controlling
Infosystem Berichte zum
Auftragsbezogenes ProduktControlling Detailberichte
zu Auftrgen, Layout 1SAP06

7 Periodenabschlu im internen Rechnungswesen


bei Lagerfertigung
risiko

Die Ware in Arbeit wurde nicht


oder falsch abgerechnet

Der Saldo des Auftrags (auch


Abweichungen, Ausschuss)
wurde nicht oder falsch
abgerechnet

Kontrolle
Der WIP muss ordnungsgem
in die Finanzbuchhaltung und die
Profit Center Rechnung weiterverrechnet worden sein
Abrechnungsbelege prfen. Von
dort die Rechnungswesenbelege
prfen

Der Saldo des Auftrags (und


damit Ausschuss und Abweichungen) mssen ordnungsgem in die Finanzbuchhaltung
und die Profit Center Rechnung
weiterverrechnet worden sein.
Zustzlich kann es gewnscht
sein, die Abweichungen in die
kalkulatorische Ergebnisrechnung zu bertragen

Test/Bericht
Controlling ProduktkostenControlling Kostentrgerrechnung Auftragsbezogenes
Produkt-Controlling
Periodenabschluss
Einzelfunktionen Abrechnung
Einzelverarbeitung
bisherige Abrechnungen
Umfeld Rechnungswesenbelege
Controlling ProduktkostenControlling Kostentrgerrechnung Auftragsbezogenes
Produkt-Controlling
Periodenabschluss
Einzelfunktionen Abrechnung
Einzelverarbeitung
bisherige Abrechnungen
Umfeld Rechnungswesenbelege

7.2.3 Ergebnisse/Auswertung

Auftrge, die logistisch bereits


fertig sind und fr die keine
Nachlaufkosten mehr erwartet
werden, bilden trotzdem noch
Ware in Arbeit

Die Auftrge nach Status


selektieren und prfen, ob alte
Auftrge noch nicht den Status
technisch abgeschlossen haben
Altersstruktur der selektierten
Auftrge analysieren und
Ursachen erforschen, warum
alte Auftrge noch nicht
abgeschlossen sind
Die vorgangsbezogene Bewertung der Ware in Arbeit ist zu
prfen

Seite 152

Die Ware in Arbeit wird falsch


berechnet

Welche Mengen liegen


rechnerisch an welchem
Vorgang und mit welchen Kosten
werden sie bewertet?

Controlling ProduktkostenControlling Kostentrgerrechnung Auftragsbezogenes


Produkt-Controlling
Infosystem Objektliste
Auftragsselektion
Nach Auftrgen suchen, die noch
nicht TABG sind
Controlling ProduktkostenControlling Kostentrgerrechnung Auftragsbezogenes
Produkt-Controlling
Infosystem Berichte zum
Auftragsbezogenen ProduktControlling Detailberichte
zu Auftrgen, Layout 1SAP06

ziele

risiko

8.1.1 Stammdaten und Customizing


Der Ausweis des Anlagenvermgens
steht in bereinstimmung mit den
geltenden Bilanzierungsrichtlinien

Eine unzureichende Bildung und Verwendung von Bewertungsbereichen fhrt zu einer falschen Abbildung des Anlagenvermgens

Der Ausweis des Anlagenvermgens


steht in bereinstimmung mit den
geltenden Bilanzierungsrichtlinien

Eine unzureichende Verwendung und Zuordnung von Bewertungsplnen fhrt zu einer falschen Abbildung des Anlagenvermgens

Das Anlagevermgen wird richtig in


der Finanzberichterstattung erfasst
und ausgewiesen

Fehlerhafte Bildung von Anlagenklassen, die nicht in bereinstimmung mit den geltenden Bilanzierungsrichtlinien stehen.

Der Ausweis des Anlagenvermgens


steht in bereinstimmung mit den
geltenden Bilanzierungsrichtlinien

Unautorisierte nderungen an Anlagenklassen knnen zu


einem fehlerhaften Ausweis des Anlagevermgens fhren.

Das ausgewiesene Sachanlagevermgen und das ausgewiesene


immaterielle Vermgen beinhaltet
alle bestehenden Anlagen

Fehler im Customizing knnen zu einem fehlerhaften Ausweis


des Anlagevermgens fhren.

Abschreibungsmethode und
Nutzungsdauer sind in bereinstimmung mit den geltenden Bilanzierungsrichtlinien

Fehlerhafte Abschreibungsmethoden und Nutzungsdauern


fhren zu einem Falschausweis in der Bilanz

Der Zugriff auf das Anlagevermgen


ist restriktiv ausgestaltet Lediglich die
hierzu autorisierten Personen haben
Zugriff auf die Daten und Funktionalitten des Anlagevermgens.

Zu weitgehende Vergabe der Berechtigungen fr das Anlagevermgen

Die Pflege des Anlagevermgens


erfolgt unter Einhaltung des
4-Augen-Prinzips. Ttigkeiten der
Stammdatenpflege sind von den
laufenden Buchungen/Starten von
Abschreibungslufen u.. getrennt

Die Nichtabbildung eines 4-Augen-Prinzips begnstigt dolose


Handlungen im Bereich des Anlagevermgens.

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

8.1 Prfungsziele

Seite 153

8 Periodenabschlu in der Anlagenbuchhaltung

8 Periodenabschlu in der Anlagenbuchhaltung


ziele

risiko

Seite 154

8.1.2 Ergebnisse/Auswertungen
Das ausgewiesene Sachanlagevermgen und das ausgewiesene
immaterielle Vermgen beinhaltet
alle bestehenden Anlagen

Falsche Zuordnung der Stammdaten zu den Profit Centern

Das ausgewiesene Sachanlagevermgen und immaterielles Vermgen


bestehen zum Bilanzstichtag

Es werden Zugnge von Vermgensgegenstnden im


Geschftsjahr erfasst, die nicht dem Anlagevermgen
zuzurechnen sind

Alle Abgnge der Periode werden


richtig erfasst und ausgewiesen

Der Abgang von Vermgensgegenstnden im Geschftsjahr


wird nicht vollstndig im System erfasst.

Sachanlagevermgen und immaterielles Vermgen bestehen zum


Bilanzstichtag und sind in Verwendung

Nicht existente Vermgensgegenstnde werden ausgewiesen.

Das ausgewiesene Sachanlagevermgen und das ausgewiesene


immaterielle Vermgen beinhaltet
alle bestehenden Anlagen

Das im Nebenbuch erfasste Anlagevermgen wird nicht


vollstndig im Nebenbuch ausgewiesen.

Das ausgewiesene Sachanlagevermgen und das ausgewiesene


immaterielle Vermgen beinhaltet
alle bestehenden Anlagen

Das im Nebenbuch erfasste Anlagevermgen wird nicht


vollstndig im Nebenbuch ausgewiesen.

Risiko

Kontrolle

Test/Bericht

8.2.1 Stammdaten und Customizing

Eine unzureichende Bildung und


Verwendung von Bewertungsbereichen fhrt zu einer falschen
Abbildung des Anlagenvermgens

Die im Customizing gebildeten


Bewertungsbereiche bilden die
in Verwendung stehenden
Bilanzierungsrichtlinien
betreffend des Anlagevermgenskorrekt ab und sind dazu
geeignet den richtigen Ausweis
des Anlagevermgens zu
gewhrleisten.

Transaktion OADB (Bewertungsbereiche prfen)

Eine unzureichende Verwendung


und Zuordnung von Bewertungsplnen fhrt zu einer falschen
Abbildung des Anlagenvermgens

Die den betreffenden Buchungskreisen zugeordneten Bewertungsplne bilden die in Verwendung stehenden Bilanzierungsrichtlinien betreffend des
Anlagevermgens korrekt ab
und sind dazu geeignet den
richtigen Ausweis des Anlagevermgens zu gewhrleisten.

Transaktion OAOB (Buchungskreis in der Anlagenbuchhaltung


pflegen)

Fehlerhafte Bildung von


Anlagenklassen, die nicht in
bereinstimmung mit den
geltenden Bilanzierungsrichtlinien stehen.

Die Anlagenklassen sind korrekt


gebildet und stehen in bereinstimmung mit den geltenden
Bilanzierungsrichtlinien

Customizing OAOA

Unautorisierte nderungen an
Anlagenklassen knnen zu
einem fehlerhaften Ausweis des
Anlagevermgens fhren.

nderungen an Anlagenklassen
erfolgen in einem formalisierten
Verfahren, alle nderungen
werden nachtrglich kontrolliert

Report RAAEND02

Fehler im Customizing knnen


zu einem fehlerhaften Ausweis
des Anlagevermgens fhren.

Durch ein korrektes und


konsistentes Customizing des
Verfahrens wird sichergestellt,
dass die Bedingungen zum
richtigen Ausweis des Anlagevermgens sichergestellt ist.
ber einen Konsistenzcheck im
Customizing wird das System
hierbei auf Fehler berprft.

Report RACHECK0

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

Es wird auf das Anlageninformationssystem, der Zusammenstellung aller wesentlicher Reports hingewiesen:
AIS - Kaufmnnisches Audit - Aktiva - AIS Sachanlagen - SAP Anlageninformationssystem.

Seite 155

8.2 Prfungsdurchfhrung

8 Periodenabschlu in der Anlagenbuchhaltung


risiko

Kontrolle

Fehlerhafte Abschreibungsmethoden und Nutzungsdauern


fhren zu einem Falschausweis
in der Bilanz

Die Nutzungsdauern sind korrekt


gepflegt und stehen in bereinstimmung mit den geltenden
Bilanzierungsrichtlinien. In Stichproben werden die Nutzungsdauern einzelner Anlagengegenstnde auf ihre Richtigkeit
kontrolliert.

Zu weitgehende Vergabe der


Berechtigungen fr das
Anlagevermgen

Die Berechtigungen zur Pflege


des Anlagevermgens
(Stammdaten, Bewegungsdaten)
sind restriktiv vergeben.
Lediglich Mitarbeiter der Anlagenbuchhaltung verfgen ber die
entsprechenden Zugriffs- und
nderungsrechte.

Die Nichtabbildung eines


4-Augen-Prinzips begnstigt
betrgerische Handlungen im
Bereich des Anlagevermgens.

Die Berechtigungen im Bereich


des Anlagevermgens sind fr
die Stammdatenpflege und die
laufenden Transaktionen nach
dem 4-Augen Prinzip vergeben.

Test/Bericht
Databrowser Analyse Nutzungsdauern und Abschreibungsbetrge
ber Tabellen ANLB und ANLP
Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva AIS - Sachanlagen - Abschreibungen - S_P6B_12000066 Gebuchte Abschreibungen

Transaktion suim
Systemaudit - Infosystem
Benutzer & Berechtigungen

Transaktion suim
Systemaudit - Infosystem
Benutzer & Berechtigungen

8.2.2 Ergebnisse/Auswertungen
Report RAANLA01
Unbebuchte Anlagenstammstze
knnen darauf hinweisen, dass
nicht alle zur Anschaffung
geplanten/vorgesehenen
Wirtschaftsgter bei denen ein
Zugang stattgefunden hat im
System erfasst wurden.

Das System wird regelmig auf


unbebuchte/unvollstndige
Anlagenstammstze analysiert.
Festgestellte unbebuchte
Anlagen werden umgehend
geklrt.

Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva - AIS


- Sachanlagen - Anlagenstammdaten - Controls - Stammdatennderungen - S_P6B_12000054
- Verzeichnis unvollstndiger
Anlagen und S_P6B_12000058
- Verzeichnis unbebuchter
Anlagen
Report RAZUGA01

Seite 156

Es werden Zugnge von


Vermgensgegenstnden im
Geschftsjahr erfasst, die nicht
dem Anlagevermgen
zuzurechnen sind

Neuzugnge des Anlagenvermgens werden in Stichproben auf


die korrekte Erfassung und ihren
Ausweis geprft.

Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva - AIS


- Sachanlagen - Anlagenbewegungen - S_P6B_12000060 Anlagenzugnge

Kontrolle

Der Abgang von Vermgensgegenstnden im Geschftsjahr


wird nicht vollstndig im System
erfasst.

Abgnge des Anlagenvermgens


werden auf die vollstndige
Erfassung im System kontrolliert.

Nicht existente Vermgensgegenstnde werden ausgewiesen.

ABC Analyse ber den Anlagenbestand. Die wertmig hchsten


Anlagengter werden auf ihren
tatschlichen Bestand hin berprft.

Test/Bericht
Report RAABGA01
Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva - AIS
- Sachanlagen - Anlagenbewegungen - Anlagenabgnge
Databrowser Tabellen ANEK und
ANEP
Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva - AIS
- Sachanlagen - Anlagenbestand
RAABST02 (und RAABST01)

Das im Nebenbuch erfasste


Anlagevermgen wird nicht
vollstndig im Nebenbuch
ausgewiesen.

Das Hauptbuch wird regelmig


mit dem Nebenbuch FI-AA abgestimmt. Differenzen werden
umgehend geklrt und korrigiert.

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

risiko

Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva - AIS


- Sachanlagen - Abstimmung/
Groe Umsatzprobe - S_P6B_
12000053 - Abstimmungsanalyse
FI-AA (Batch!)
RAGITT01

Das Anlagengitter wird


regelmig mit dem Hauptbuch
abgeglichen. Differenzen werden
umgehend geklrt und korrigiert.

Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva - AIS


- Sachanlagen - Abstimmung/
Groe Umsatzprobe S_P6B_
12000051 - Abstimmungsanalyse
Anlagengitter (Batch!)

Seite 157

Das im Nebenbuch erfasste


Anlagevermgen wird nicht
vollstndig im Nebenbuch
ausgewiesen.

9 Periodenabschlu im externen Rechnungswesen


9.1 Prfungsziele
ziele

risiko

9.1.1 Stammdaten und Customizing


Vollstndiger und richtiger Ausweis
aller Vermgensgegenstnde und
Schulden im Berichtszeitraum.
Der Ausweis entspricht den
Mindestgliederungsvorschriften der
anzuwendenden Rechnungslegungsvorschrift.
Die Auflistung der Konten und der
Positionsreihenfolge in der Bilanz und
Gewinn- und Verlust-Rechnung
erfolgt in der vorgeschriebenen Form.
Die Kontensummen entsprechen der
gebuchten Einzelposten.
Die Kontensummen entsprechen der
gebuchten Einzelposten.

Falsche Zuordnung der Konten zu den Bilanzpositionen (Ausweis).


Konten sind entweder einseitig oder gar nicht zugeordnet.

Fehlende bzw. unvollstndige Selektionskriterien und


Ausgabeart bei der Ausfhrung der Berichte.
Die Verkehrszahlen fr die Konten innerhalb der Bilanz- und
GuV-Positionen sind zwar vollstndig aufgelistet, jedoch besteht
keine Mglichkeit, diese Salden durch die ursprnglichen
Buchungen vom Bericht aus, auf Richtigkeit und Aktualitt zu
prfen.

9.1.2 Saldenbesttigung
Alle Geschftsvorflle der Geschftspartner sind vollstndig geordnet,
richtig und zeitgerecht im System
erfasst. Mit Hilfe der Saldenbesttigungen knnen die Forderungen und
Verbindlichkeiten gegenber Ihren
Geschftspartnern auf Richtigkeit
geprft werden.

Rechnungen und Gutschriften von Geschftspartnern sind nicht


erfasst oder bersehen worden. Es wurde versumt, fr
gewisse Geschftspartner (insbesondere Debitoren), Wertberichtigung vorzunehmen, da vorhersehbare Forderungsausflle
nicht rechtzeitig bekannt gegeben wurden.

9.1.3 Bewertung der Offenen Posten in Fremdwhrung

Seite 158

Vor der Erstellung der Bilanz und GuV


werden die in Fremdwhrung
gebuchten offenen Forderungen und
Verbindlichkeiten gem den Bewertungsprinzipien der Rechnungslegungsvorschriften (bspw. HGB)
bewertet und die Ergebnisse in der
Bilanz und Gewinn und Verlust
Rechnung entsprechend ausgewiesen.

Zum Zeitpunkt der Bewertung der offenen Posten wurden die


Bilanzstichtagskurse nicht richtig gepflegt, die falsche
Bewertungsmethode ausgewhlt und/oder die falschen Konten
fr den Ausweis der Korrektur verwendet.

risiko

9.1.4 Pauschalierte Einzelwertberichtigung


Im Rahmen der Bilanzvorbereitung
werden die offenen Posten der
Debitoren bewertet werden. Mit einer
Wertberichtigung werden zweifelhafte
Forderungen korrigiert.
Der Ausweis entspricht den Mindestgliederungsvorschriften der anzuwendenden Rechnungslegungsvorschrift.

Die Regeln zur Abwertung sind nicht eingestellt oder es fehlt dafr
eine Verbindung zu den Stammdaten der in Betracht zu ziehenden
Debitoren.
Die Kontenfindung fr die Forderungskorrektur in der Bilanz bzw.
fr den GuV-Aufwand ist nicht oder fehlerhaft eingestellt und dieser
Ausweis fehlt in der Auflistung der Bilanz und Gewinn und Verlust
Rechnung

9.1.5 Umbuchen und Rastern der Forderungen und Verbindlichkeiten


Forderungen und Verbindlichkeiten
sind nach Restlaufzeiten gegliedert

Eine Methode fr die Rasterung fehlt und/oder die Kontenfindung


dafr ist fehlerhaft.

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

ziele

9.1.6 Abgrenzungsbuchungen

Aufwand und Ertrag sind dem


Geschftjahr zugeordnet, dem sie
erfolgsmig zugehren. Abgrenzungsbuchungen erfolgen, wenn die
Zeitpunkte der Leistung und der
Zahlung differieren. Dabei sind
sowohl antizipative wie auch
transitorische Posten bercksichtigt.

Abgrenzungen, die im Programmumfeld des Accrual Engine


vorgenommen wurden, werden nicht mit den Ergebnissen in der
Hauptbuchhaltung abgestimmt und fehlen in der Bilanz und
Gewinn und Verlust Rechnung. Es wurde versumt, das Programm
fr die Periodische Abgrenzung in den dafr vorgesehenen
Abstnden durchzufhren.
Die Kontenfindung fr die Forderungskorrektur in der Bilanz bzw.
fr den GuV-Aufwand ist nicht oder fehlerhaft eingestellt und dieser
Ausweis fehlt in der Auflistung der Bilanz und Gewinn und Verlust
Rechnung

9.1.7 Saldovortrag

Der Saldovortrag wurde ordnungsgem vorgenommen und stellt die


Kontinuitt der Bilanzzahlen sicher.
sind nach Restlaufzeiten gegliedert

Der Erfolgskontentyp legt fr GuV-Konten fest, auf welches


Gewinnvortragskonto das Ergebnis im Rahmen des Jahresabschlusses bertragen wird.
Die Zuordnung fr einige Erfolgskonten fehlt oder ist fehlerhaft
Nach dem Saldovortrag werden die vorgetragen Salden nicht
geprft.

9.1.8 Technische Abstimmung zwischen Verkehrszahlen und Belegen


Buchungsperioden sind nicht ordnungsgem gepflegt und
gefhrden die zeitgerechte Buchung.
Technische Differenzen gefhrden die Konsistenz und Integritt der
Buchfhrungsdaten.
Abgebrochene Verbuchungen und nicht sachgem verarbeitete
Schnittstellendaten gefhrden die Vollstndigkeit der Verarbeitung.

Seite 159

Alle Geschftsvorflle sind ordnungsgem und periodengerecht gebucht

9 Periodenabschlu im externen Rechnungswesen


9.2 Prfungsdurchfhrung
Risiko

Kontrolle

Test/Bericht

9.2.1 Stammdaten und Customizing


Fhren Sie die Transaktion OB58
aus, oder whlen Sie

Falsche Zuordnung der Konten


zu den Bilanzpositionen (Ausweis).
Konten sind entweder einseitig
oder gar nicht zugeordnet.

Vollstndigkeit der Bilanz-/


GuV-Struktur prfen.

Werkzeuge Customizing
IMG Projektbearbeitung
SAP Referenz-IMG Finanzwesen Hauptbuchhaltung
Geschftsvorflle Hauptbuch
Abschluss Dokumentieren
Bilanz-GuV-Strukturen
definieren.
In der Strukturpflege die Prfung
auf
> Einseitig zugeordnete Konten,
> Nicht zugeordnete Konten und
> Falsch zugeordnete Konten
durchfhren.
Bericht RFSKVZ00 Sachkontenverzeichnis (Feld Ergebniszuordnung)
Programm RFBILA00 (SE38).
Alternativ: Whlen Sie

Seite 160

Fehlende bzw. unvollstndige


Selektionskriterien und
Ausgabeart bei der Ausfhrung
der Berichte.
Die Verkehrszahlen fr die
Konten innerhalb der Bilanz- und
GuV-Positionen sind zwar
vollstndig aufgelistet, jedoch
besteht keine Mglichkeit, diese
Salden durch die ursprnglichen
Buchungen vom Bericht aus, auf
Richtigkeit und Aktualitt zu
prfen.

Selektionskriterien fr den (die)


Buchungskreis(e) und die
entsprechende Ausgabenart
whlen.
Fr eine selektive Kontrolle der
zu den Summen entsprechenden
Einzelposten und Belegen
whlen Sie die Recherche.

SAP Easy Access Rechnungswesen Finanzwesen


Hauptbuch Infosystem
Berichte zum Hauptbuch
Bilanz/GuV/Cash Flow
Allgemein Ist-/Ist Vergleiche
Bilanz/GuV (S_ALR_87012284)
Recherche-Bericht: Whlen Sie
SAP Easy Access Rechnungswesen Finanzwesen
Hauptbuch Infosystem
Berichte zum Hauptbuch
Bilanz/GuV/Cash Flow
Allgemein Ist-/Ist Vergleiche
Ist/Ist- Vergleich Jahr
(S_ALR_87012249)

Test/Bericht

9.2.2 Saldenbesttigung
Stammstze prfen:

Rechnungen und Gutschriften


von Geschftspartnern sind nicht
erfasst oder bersehen worden.
Es wurde versumt, fr gewisse
Geschftspartner (insbesondere
Debitoren), Wertberichtigung
vorzunehmen, da vorhersehbare
Forderungsausflle nicht
rechtzeitig bekannt gegeben
wurden.

Die Sprache im Stammsatz der


Debitoren/Kreditoren, die
entsprechenden Formulare der
Saldenbesttigung, deren
Textelemente und die Adresse
fr das Rckantwortschreiben
prfen.

SAP Easy Access Rechnungswesen Finanzwesen


Debitoren (Kreditoren)
Stammdaten Anzeigen (FD03).
Unter Allgemeine Daten Kommunikation Sprache.

Customizing Saldenbesttigung:
Werkzeuge Customizing
IMG Projektbearbeitung
SAP Referenz-IMG Finanzwesen Debitoren- und
Kreditorenbuchhaltung
Geschftsvorflle Abschluss
Zhlen Korrespondenz
Saldenbesttigung Einstellungen zur durchfhren und
prfen

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

Kontrolle

1. Formulare fr Korrespondenz
definieren Werthilfe:
Finanzwesen Korrespondenz
Formularsatz Saldenbesttigung. Formular F130_CONFIRM_01 wird angeboten
Fenster MAIN Hauptfenster
-Textelemente (Textbausteine).
2. Prfen der Adresse fr die
Rckantwortschreiben (pro
Buchungskreis werden die
Adressen ber eine Identifikation
[AdrID] ermittelt.
3. Saldenbesttigung durchfhren.
SAP Easy Access Rechnungswesen Finanzwesen
Debitoren Periodische
Arbeiten Abschluss Prfen/
Zhlen Saldenb Drucken.
-Saldenbesttigung Rckantwort Abstimmliste - Deckblatt

Seite 161

risiko

9 Periodenabschlu im externen Rechnungswesen


risiko

Kontrolle

Test/Bericht

9.2.3 Bewertung der Offenen Posten in Fremdwhrung


Kurse:
SAP Easy Access Werkzeuge
Customizing IMG SAP
Netweaver Allgemeine
Einstellungen Whrungen
Umrechnungskurse eingeben
S_BCE_68000174 (Berechtigungsobjekt: S_EXCHRATE)
Bewertungsmethode:
SAP Easy Access Werkzeuge
Customizing IMG
Projektbearbeitung SAP
Referenz-IMG Finanzwesen
Hauptbuchhaltung Geschftsvorflle Abschluss
Bewerten Fremdwhrungsbewertung Bewertungsmethoden
definieren (Transaktion OB59)
Zum Zeitpunkt der Bewertung
der offenen Posten wurden die
Bilanzstichtagskurse nicht richtig
gepflegt, die falsche Bewertungsmethode ausgewhlt und/oder
die falschen Konten fr den
Ausweis der Korrektur
verwendet.

Kurse, Bewertungsmethode und


Kontenfindung fr die Fremdwhrungsbewertung prfen.
Die Ergebnisse der Bewertung in
der Bilanz und GuV und
gegebenenfalls in den offenen
Posten kontrollieren.

Kontenfindung:
SAP Easy Access Werkzeuge
Customizing IMG
Projektbearbeitung SAP
Referenz-IMG Finanzwesen
Hauptbuchhaltung
Geschftsvorflle Abschluss
Bewerten Fremdwhrungsbewertung Automatische Buchungen fr Fremdwhrungsbewertung vorber.
(Transaktion OBA1)

Seite 162

Recherche-Bericht:
SAP Easy Access Rechnungswesen Finanzwesen
Hauptbuch Infosystem
Berichte zum Hauptbuch
Bilanz/GuV/Cash Flow
Allgemein Ist-/Ist Vergleiche
Ist/Ist- Vergleich Jahr (S_
ALR_87012249)
Bewertung in Kontokorrentzeile
prfen: ber Umfeld
Bewertung Bewertung
anzeigen bzw. im Layout der
offenen Posten das Feld
BSEG-BDIFF einblenden.

Kontrolle

Test/Bericht

9.2.4 Pauschalierte Einzelwertberichtigung

Die Regeln zur Abwertung sind


nicht eingestellt oder es fehlt
dafr eine Verbindung zu den
Stammdaten der in Betracht zu
ziehenden Debitoren.
Die Kontenfindung fr die
Forderungskorrektur in der
Bilanz bzw. fr den GuV-Aufwand
ist nicht oder fehlerhaft
eingestellt und dieser Ausweis
fehlt in der Auflistung der Bilanz
und Gewinn und Verlust
Rechnung

Zuordnung Debitoren zu
Wertberichtigungsschlssel.
Einstellungen zu Wertberichtigungsschlssel und Kontenfindung zu PWB-Bewertung.
Die Ergebnisse der Bewertung in
der Bilanz und GuV und in den
offenen Posten kontrollieren.

Bewertungslauf (Bewertungslufe) berprfen:


SAP Easy Access Rechnungswesen Finanzwesen
Debitoren Periodische Arbeiten
Abschluss Bewerten
Weitere Bewertungen (Programm SAPF107V)
bersicht Bewertungseinstellungen:
Umfeld Konfiguration
(Wertberichtigungsschlssel
[Transaktion OB_7], Basiswertbestimmung [Transaktion OB_8],
Kontenfindung [Transaktion
OBB0], Zinsstze [Transaktion
OB42] Kontrolle des Bewertungslaufes: Bearbeiten (Parameter,
Bewertungslauf (-Protokoll,Bewertungsliste), berleitungsprotokoll Pauschalwert und
Bewertung in den offenen Posten
(ber Umfeld) nachprfen.

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

risiko

9.2.5 Umbuchen und Rastern der Forderungen und Verbindlichkeiten

Einstellungen zur Rastermethode


und Kontenfindung kontrollieren
und die Ergebnisse der Rasterung
in der Bilanz und GuV kontrollieren.

Kontenfindung: Korrekturkonten
(Transaktion OBBV)

Seite 163

Eine Methode fr die Rasterung


fehlt und/oder die Kontenfindung
dafr ist fehlerhaft.

Rastermethode:
Werkzeuge Customizing
IMG Projektbearbeitung
SAP Referenz-IMG Finanzwesen Hauptbuchhaltung
Geschftsvorflle Abschluss
Umgliedern Umbuchen und
Rastern der Forderungen und
Verbindlichkeiten Rastermethode definieren und Korrekturkonten Ford./Verb. Umgliederung
(Transaktion OBBU)

9 Periodenabschlu im externen Rechnungswesen


risiko

Kontrolle

Test/Bericht

9.2.6 Abgrenzungsbuchungen
Einstellungen zu manuellen
Abgrenzungen prfen:
SAP Easy Access Werkzeuge
Customizing IMG
Projektbearbeitung SAP
Referenz-IMG Finanzwesen
Hauptbuchhaltung
Geschftsvorflle Manuelle
Abgrenzungen

Abgrenzungen, die im
Programmumfeld des Accrual
Engine vorgenommen wurden,
werden nicht mit den Ergebnissen in der Hauptbuchhaltung
abgestimmt und fehlen in der
Bilanz und Gewinn und Verlust
Rechnung.
Es wurde versumt, das
Programm fr die Periodische
Abgrenzung in den dafr
vorgesehenen Abstnden
durchzufhren.

Accrual Engine Einstellungen


kontrollieren.
berblick der Abgrenzungsobjekte.
Prfung des periodischen
Abgrenzungslaufs.
Gebuchte Abgrenzungen mit
dem Infosystem kontrollieren.
Mgliche Korrekturen (Stornolauf, berleitung ins Rechnungswesen) nachprfen.
Abstimmung Accrual Engine mit
dem Hauptbuch.
Ergebnisse der Abgrenzungen in
der Bilanz und GuV kontrollieren.

Grundeinstellungen
Buchungskreise zuordnen
Rechnungslegungsvorschriften
Abgrenzungsarten definieren
Geschftsjahr fr Abgrenzungsbuchungen ffnen
Technische Einstellungen
(Abgrenzungsobjekte,
Abgrenzungsobjekttypen)
Abgrenzungsberechnung
Abgrenzungsmethoden
Abgrenzungsbuchung
Buchungssteueurung definieren
Nummernkreise
Kontenfindung
Abgrenzungsobjekte:
SAP Easy Access Rechnungswesen Finanzwesen
Hauptbuch Periodische
Arbeiten Manuelle Abgrenzungen, Abgrenzungsobjekte
bearbeiten (Transaktion
ACACTREE02)

Seite 164

Fortsetzung folgende Seite >

Test/Bericht
Fortsetzung >
Prfung des periodischen
Abgrenzungslaufes (Transaktion:
ACACACT:Programm ACAC_PERIODIC_POSTING)
Kontrolle der gebuchten
Abgrenzungen:
Infosystem Gebuchte
Abgrenzungen anzeigen
Summenwerte anzeigen
(Transaktion ACACPSITEMS)
Einzelposten anzeigen
(Transaktion ACACPSDOCITEMS)

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

Kontrolle

Korrekturen anzeigen: Stornolauf


(Transaktion ACACREVERS)
berleitung ins Rechnungswesen
(Transaktion ACACTRANSFER)
Abstimmung Accrual Engine mit
dem Hauptbuch:
SAP Easy Access Rechnungswesen Finanzwesen
Hauptbuch Periodische
Arbeiten Abschluss Prfen/
Zhlen Manuelle Abgrenzungen: Abstimmung Accrual
Engine mit Hauptbuch
(Transaktion: ACACFIRECON;
Programm ACAC_FI_RECONCILIATION)

Seite 165

risiko

9 Periodenabschlu im externen Rechnungswesen


risiko

Kontrolle

Test/Bericht

9.2.7 Saldovortrag
Die Findung des Ergebnis-Vortragskontos muss definiert sein :
SAP Easy Access Werkzeuge
Customizing IMG Projektbearbeitung SAP ReferenzIMG Finanzwesen Hauptbuchhaltung Geschftsvorflle
Abschluss Vortragen
Ergebnisvortragskonto festlegen
(Transaktion OB53)

Der Erfolgskontentyp legt fr


GuV-Konten fest, auf welches
Gewinnvortragskonto das
Ergebnis im Rahmen des
Jahresabschlusses bertragen
wird: Die Zuordnung fr einige
Erfolgskonten fehlt oder ist
fehlerhaft.
Nach dem Saldovortrag werden
die vorgetragen Salden nicht
geprft.

Erfolgskontentyp und Erfolgsvortragskonto nachprfen


Stammdaten der Erfolgskonten
und ihre Zuordnung zum
Erfolgskontentyp kontrollieren.
Erffnungsbilanz ausfhren und
Sachkontensalden auflisten, um
die vorgetragenen Salden zu
prfen.

Fr jeden verwendeten Kontenplan muss festgelegt werden,


dass die Kontenfindung fr das
Vortragskonto nach Erfolgskontentyp differenziert geschehen
soll. Zu jedem Erfolgskontentyp
muss das zugehrige ErgebnisVortragskonto hinterlegt sein.
(Stammdaten des Erfolgskontos
im Kontenplan (Transaktion FSP0)
Bericht RFSKPL00 (Auswahl
Sachkonten mit Erfolgskontentyp)
Bericht RFSABL00 (nderungsanzeige Sachkonten)
Data Browser (Transaktion SE16):
Tabelle T882 (Ledgertabelle),
Bukrs und Ledger 00 (Hauptbuch).
Im Feld VTRHJ sehen Sie das
hchste Geschftsjahr, in das
vorgetragen wurde.

Seite 166

Saldovortragsprogramm:
SAP Easy Access Rechnungswesen Finanzwesen Hauptbuch Periodische Arbeiten
Abschluss Vortragen
(SAPFGVTR)
RFBILA00 Report mit Berichtsart 4
(Erffnungsbilanz):
SAP Easy Access Rechnungswesen Finanzwesen Hauptbuch Infosystem Bilanz/
GuV/Cash Flow Allgemein
Ist-/Ist Vergleiche Bilanz/GuV

Test/Bericht

9.2.8 Technische Abstimmung zwischen Verkehrszahlen und Belegen

Buchungsperioden sind nicht


ordnungsgem gepflegt und
gefhrden die zeitgerechte
Buchung.
Technische Differenzen
gefhrden die Konsistenz und
Integritt der Buchfhrungsdaten.
Abgebrochene Verbuchungen
und nicht sachgem verarbeitete Schnittstellendaten gefhrden
die Vollstndigkeit der
Verarbeitung.

Die Buchungsperioden sind


zeitnah gepflegt. Nur der aktuelle
und der Folgemonat, ggf Sonderperioden sind zum Buchen
geffnet; Buchungsperioden des
alten Geschftsjahres sind
geschlossen
Abstimmungsreport durchfhren
Abgebrochene Verbuchungen
kontrollieren
Fehlerhafte Batch-Input-Mappen
kontrollieren.

Buchungsperioden: Bebuchbare
Zeitrume: Transaktion OB52,
alternativ Data Browser (SE16)
T001B
Technische Abstimmung:
SAP Easy Access Rechnungswesen Finanzwesen
Hauptbuch Periodische
Arbeiten Abschluss
Abstimmung
(SAPF190 enthlt Abstimmung
Belege/Verkehrszahlen Stamm
Report SAPF070):

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

Kontrolle

Report RFVBER00
(Liste abgebrochener Verbuchungen)
Transaktion SM35 (Batch-InputMappe) kontrollieren auf nicht
fertig abgespielte Mappen

Seite 167

risiko

10 Bewertungsstrategien fr Lagerbestand
10.1 Prfungsziele
ziele

risiko

10.1.1 Bestandsdaten
Wareneingnge werden nur zu
gltigen Bestellungen mit den
richtigen Bewegungsarten erfasst

Wareneingnge werden flschlicherweise mit den Bewegungsarten Warenzugang ohne Bestellung oder mit Bewegungsarten
zu Umlagerungen erfasst.

Die Warenbestnde weisen einen


konsistenten Pflegestand auf

Inkonsistenzen bei den Bestnden (Beispiel wertmiger


Bestand bei Nullmengen Bestand)

Die ausgewiesen Bestnde sind zum


Bilanzstichtag vorhanden

Es werden nicht existente Bestnde ausgewiesen

Korrekter wertmiger Ausweis des


Vorratsvermgens

Falsche Vorratsbewertung durch einen falsch ermittelten


gleitenden Durchschnittspreis bei Verwendung von Schtzpreisen

Vollstndiger Ausweis der Bestnde


im Hauptbuch

Fehlerhafte Einstellungen bei den systemseitig hinterlegten


Einstellungen zur Inventur

Korrekter wertmiger Ausweis des


Vorratsvermgens

Kritische Tatbestnde im Rahmen der Inventur werden nicht


erkannt

Der Ausweis der Bestnde im


Hauptbuch erfolgt vollstndig

Die Bestnde der Vorrte werden nicht vollstndig/richtig im


Hauptbuch ausgewiesen

Der Ausweis der Bestnde erfolgt


durch eine korrekte Kontenfindung
richtig im Hauptbuch

Fehlerhafte Kontenfindung fhrt zu einem Falschausweis der


Warenbewegungen

Der Ausweis der Bestnde erfolgt


durch eine korrekte Kontenfindung
richtig im Hauptbuch

Unautorisierte nderungen an den Einstellungen zur Fixkontenfindung

Der Ausweis der Vorrte entspricht


den geltenden Bilanzierungsvorschriften

Zum Jahresabschluss erfolgt fr erfasste Eingangsrechnungen,


bei denen noch kein Wareneingang erfolgt ist, keine aktivische
Abgrenzungsbuchung

Der Ausweis der Vorrte entspricht


den geltenden Bilanzierungsvorschriften

Zum Jahresabschluss erfolgt fr erfasste Wareneingnge, bei


denen noch kein Rechnungseingang erfolgt ist, keine Buchung
der Rckstellung fr ausstehende Lieferantenrechnungen

Zulssige Bewertung des Lagerbestands (Umlaufvermgen)

Unzulssige Bewertungen im Zuge der Anwendung des


Niederstwertprinzips

Anforderungsgerechter Zugriff auf die


relevanten Daten der Bestandsfhrung

Zu weitgehende Berechtigungen im Bereich des Vorratsvermgens, welche gegen die Funktionstrennung oder Einhaltung des
4-Augenprinzips verstoen.

Seite 168

Korrekte Verbuchung auf dem WE/


RE-Konto
Das WE/RE-Konto gleicht Wareneingang und zugehrige Rechnungen
gegeneinander ab.

Differenzen auf dem WE/RE-Konto knnen ihre Ursache in


fehlerhaft ermittelten Preisen, in fehlenden (Teil-) Rechnungen
bzw. (Teil-) Wareneingngen oder in fehlerhaft zugewiesenen
Sachkonten haben.

Kontrolle

Test/Bericht

10.2.1 Bestandsdaten

Wareneingnge werden
flschlicherweise mit den
Bewegungsarten Warenzugang
ohne Bestellung oder mit
Bewegungsarten zu Umlagerungen erfasst.

Transaktion MB51 auf Bewegungsarten 501 oder 561


Durchsicht der erfassten
Wareneingnge auf kritische
Bewegungsarten

Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva - AIS


- Vorratsvermgen Material
- Warenbewegungen und Belege
- MB51 Materialbelegliste
Report RM07KO01

Inkonsistenzen bei den Bestnden


(Beispiel wertmiger Bestand
bei Nullmengen Bestand)

Es werden nicht existente


Bestnde ausgewiesen

Automatisierter Konsistenzcheck
ber die Bestnde

Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva AIS Vorratsvermgen - Konsistenzprfungen - MB5K Konsistenzprfung der Bestnde
Selektion in der Tabelle MBEW
auf die wertmig hchsten
Bestnde, (alternativ Bestandsverzeichnis mit Datenanalysesoftware)

ABC Analyse ber die Bestnde


Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva AIS Vorratsvermgen - Konsistenzprfungen - MB5K Konsistenzprfung der Bestnde

Falsche Vorratsbewertung durch


einen falsch ermittelten
gleitenden Durchschnittspreis
bei Verwendung von Schtzpreisen

Die Abweichungen bei den


gleitenden Durchschnittspreisen
werden analysiert

AIS Report, Kaufmnnisches


Audit - Einzelabschluss - Bilanz
- Aktiva - AIS Vorratsvermgen
-Hitlisten/Kennzahlen - CKMTOPPRICEDIF - Mat. mit hchster
V-Preis-Differenz

Fehlerhafte Einstellungen bei


den systemseitig hinterlegten
Einstellungen zur Inventur

Die Einstellungen zur Inventur


sind angemessen

Customizing: Transaktion,
Customizing Verbrauchsfolgeverfahren, Transaktion SPRO,
Referenz-IMG, Materialwirtschaft

Seite 169

Risiko

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

10.2 Prfungsdurchfhrung

10 Bewertungsstrategien fr Lagerbestand
risiko

Kontrolle

Test/Bericht
Transaktion MI20

Kritische Tatbestnde im
Rahmen der Inventur werden
nicht erkannt

Die erfassten Inventurdifferenzen


werden berprft

Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva - AIS


Vorratsvermgen - Inventur Inventur ohne platzgenaue
Bestandsfhrung - MI20 Inventurdifferenzen
Report RM07MBST

Die Bestnde der Vorrte werden


nicht vollstndig/richtig im
Hauptbuch ausgewiesen

Automatischer Abstimmreport
fr die Bestnde der Materialwirtschaft zum Hauptbuch

Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva - AIS


Vorratsvermgen - Konsistenzprfungen - MB5L - Bestandswertliste: Saldendarstellung

Fehlerhafte Kontenfindung fhrt


zu einem Falschausweis der
Warenbewegungen

Es wird ein Konsistenzcheck


ber die Kontenfindung
durchgefhrt

Report RM07C030

Unautorisierte nderungen an
den Einstellungen zur Fixkontenfindung

nderungen an den Einstellungen zur Kontenfindung


werden geprft

nderungshistorie der Tabellen


zur Fixkontenfindung RSTBHIST
fr T030*
(Voraussetzung Tabellenprotokollierung ber rec/client ist aktiviert)
Transaktionen F.10 und FS10N

Zum Jahresabschluss erfolgt fr


erfasste Eingangsrechnungen,
bei denen noch kein Wareneingang erfolgt ist, keine aktivische
Abgrenzungsbuchung

Seite 170

Zum Jahresabschluss erfolgt fr


erfasste Wareneingnge, bei
denen noch kein Rechnungseingang erfolgt ist, keine Buchung
der Rckstellung fr ausstehende
Lieferantenrechnungen

Kontrolle der korrekten


Behandlung des WE/RE Kontos

Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva AIS Vorratsvermgen - Konsistenzprfungen - MB5L Bestandswertliste: Saldendarstellung
F.10 und FS10N

Kontrolle der korrekten


Behandlung des WE/RE Kontos

Kaufmnnisches Audit - Einzelabschluss - Bilanz - Aktiva AIS Vorratsvermgen - Konsistenzprfungen - S_P6B_12000135


- WE/RE-Saldenliste

Test/Bericht

Unzulssige Bewertungen im
Zuge der Anwendung des
Niederstwertprinzips

Nur sinnvolle/zulssige Preise


werden bei der Niederstwertermittlung bercksichtigt

Report RMNIWE00 (Transaktion


MRN0), zustzlich RMNIWE80
und RMNIWE90

Anforderungsgerechte Vergabe
der relevanten Berechtigungen

Transaktion SUIM

Zu weitgehende Berechtigungen
im Bereich des Vorratsvermgens,
welche gegen die Funktionstrennung oder Einhaltung des
4-Augenprinzips verstoen

Differenzen auf dem WE /


RE-Konto knnen ihre Ursache
in fehlerhaft ermittelten Preisen,
in fehlenden (Teil-) Rechnungen
bzw. (Teil-) Wareneingngen oder
in fehlerhaft zugewiesenen
Sachkonten haben.

> Anlegen und Pflege Materialstammstze


> Buchen von Inventurdifferenzen
> Buchen von Warenbewegungen

Systemaudit - Infosystem
Benutzer & Berechtigungen

Prfung der Buchungen auf dem


WE/RE-Verrechnungskonten,
insbe-sondere manuelle
Ausbuchungen

Reports RFWERE00 Analyse der


WE/RE-Verrechnungskonten
ROOLMB14 Manuelle Kontierung
auf Warenbewegungen

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

Kontrolle

Seite 171

risiko

11 Bewertung mit Istkalkulation und


Transferpreisen
11.1 Prfungsziele
ziele

risiko

11.1.1 Ist-Kalkulation und Transferpreise


Vergleichbarer Wertansatz bei der
Lagerbestandsbewertung in allen
Werken

Nicht alle Werke bewerten den Bestand gem Istkalkulation.


Dies fhrt zu unterschiedlichen Verfahren zur Wertansatzermittlung in den verschiedenen Werken

Die Istherstellkosten mssen richtig


ermittelt sein, damit die Lagerbestandsbewertung den Buchhaltungsvorschriften bestimmter Lnder entspricht

Die tatschlichen Istherstellkosten werden unrichtig ermittelt

Das Materialledger ist richtig und


zielgerecht eingestellt, damit die
umfangreichen Berechnungen zur
Istherstellkostenermittlung richtig,
komfortabel und nachvollziehbar ablaufen und die Abweichungen folgerichtig
ermittelt und verbucht werden

Prinzipielle Einstellungen im Materialledger sind falsch

Die verrechneten Preisdifferenzen


werden auf separaten Konten
getrennt ausgewiesen

Die Kontenfindung fr die Preisdifferenzen ist falsch eingestellt

Realistische Standardpreise und


Standardkosten sollen im System
verwendet werden

Die Istherstellkosten weichen sehr stark vom Standardpreis ab

Die Ermittlung von Standardkosten,


Istherstellkosten erfolgt einheitlich im
Konzern. Die Kostenstrukturen und
Kostenkomponenten werden
einheitlich ermittelt

Eine einheitliche Vorgabe im Konzern zur Ermittlung der IstHerstellkosten fehlt, die Definition erfolgt in den Werken/
Tochtergesellschaften unterschiedlich

11.2 Prfungsdurchfhrung
Risiko

Kontrolle

Test/Bericht

11.2.1 Ist-Kalkulation und Transferpreise

Seite 172

Nicht alle Werke bewerten den


Bestand gem Istkalkulation.
Dies fhrt zu unterschiedlichen
Verfahren zur Wertansatzermittlung in den verschiedenen Werken.

Fr alle Werke ist das Materialledger und die Istkalkulation


aktiviert

IMG Controlling Produktkostencontrolling Istkalkulation/


Materialledger Istkalkulation
Istkalkulation aktivieren
Istkalkulation aktivieren

Prinzipielle Einstellungen im
Materialledger sind falsch

Die Kontenfindung fr die


Preisdifferenzen ist falsch
eingestellt

Die Istherstellkosten weichen


sehr stark vom Standardpreis ab

Eine einheitliche Vorgabe im


Konzern zur Ermittlung der IstHerstellkosten fehlt, die
Definition erfolgt in den Werken/
Tochtergesellschaften unterschiedlich

Test/Bericht

Die Isttarife fr die Leistungsarten werden nicht bercksichtigt

Controlling Kostenstellenrechnung Infosystem


Berichte zur Kostenstellenrechnung Tarife: Prfen, ob
Isttarife ermittelt wurden
IMG Controlling Produktkostencontrolling Istkalkulation/
Materialledger Istkalkulation
Istkalkulation aktivieren
Istkalkulation aktivieren:
Leistungsfortschreibung prfen

Einstellungen des Materialledgers und der Istkalkulation


prfen

Rechnungswesen Controlling
Produktkostencontrolling
Kostentrgerrechnung Istkalkulation/Material-Ledger
Umfeld Customizing-Einstellungen prfen

Kontenfindung fr die Vorgnge


der Istkalkulation prfen

IMG Materialwirtschaft
Bewertung und Kontierung
Kontenfindung Kontenfindung
ohne Assistent Automatische
Buchungen einstellen. Pop-up
abbrechen und Icon Kontierung
drcken

Vergleich der periodischen


Verrechnungspreise mit dem
Standardpreis

Rechnungswesen Controlling
Produktkostencontrolling
Kostentrgerrechnung Istkalkulation/Material-Ledger Infosystem Objektliste Preise
und Bestandswerte

Das Customizing fr die


Herstellkostenermittlung wird
zentral im Konzern eingestellt. In
allen Werken ist die Istkalkulation aktiv und alle Werke benutzen
die gleichen Einstellungen

IMG Controlling Controlling


Allgemein Parallele Wertanstze/Transferpreise fhren
Grundeinstellungen Einstellungen fr das MaterialLedger prfen
Bewertungskreise fr das
Material-Ledger aktivieren
Material-Ledger-Typen einem
Bewertungskreis zuordnen

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

Die tatschlichen Istherstellkosten werden unrichtig ermittelt

Kontrolle

Seite 173

risiko

12 Verkauf einer Kundenauftragsfertigung


12.1 Prfungsziele
ziele

risiko

12.1.1 Stammdaten und Customizing


Fr Kundenauftrge, die Leistungserstellungsprozesse zur Folge haben,
erfolgt ein befriedigendes Controlling

Die Kundenauftragsposition ist kein Kostentrger

Der bewertete Kundenauftragsbestand


wird verwendet, um Verbruche
zeit- und sachgerecht zu buchen und
Bestnde richtig auszuweisen

Die Kundenauftragsposition nutzt keinen bewerteten Kundenauftragsbestand

Der Kundenauftragsbestand ist zulssig


bewertet und entspricht des Anforderungen des betreffenden Landes bzw.
Rechnungslegungsvorschriften

Die Bewertung des Kundenauftragsbestands ist falsch

Seite 174

12.1.2 Durchfhrung/Belege
Kundenauftrge werden nur von
autorisierten Mitarbeitern angelegt

Der Kundenauftrag wird von nicht berechtigten Mitarbeitern


angelegt

Kundenauftrge erhalten richtige


Verkaufspreise. Der Auftragseingang
wird richtig bewertet und ausgewiesen

Der Kundenauftrag hat die falsche Preisfindung

Fr die Leistungserstellungsprozesse
zu Kundenauftrgen werden die Herstellkosten ermittelt. Diese werden in
der Regel als Preisuntergrenze
betrachtet

Der Kundenauftrag wurde nicht vorkalkuliert

Kosten werden verursachungsgerecht


gebucht

Kosten der Fertigung werden auf den Kundenauftrag gebucht

Kosten werden verursachungsgerecht


gebucht

Sondereinzelkosten des Vertriebs werden auf den Fertigungsauftrag gebucht

Kosten des Umsatzes werden zeitnah


und verursachungsgerecht verbucht

Die Lieferung an den Kunden fhrt nicht zu einer Belastung des


Kundenauftrags

risiko

12.1.3 Ergebnisse/Auswertungen
Die Kundenauftrge werden in
angemessener Zeit bearbeitet,
beliefert und abgeschlossen

Auftrge werden nicht nach angemessener Zeit beliefert und


abgeschlossen.

Wert- und mengenmige Bestnde


sind zwischen Logistik und
Rechnungswesen abgestimmt

Der Ausweis der Bestnde im Kundenauftragsbestand ist


zwischen Logistik und Controlling nicht abgestimmt und zeigt
unterschiedliche Mengen oder Werte

Kundenauftragsbestnde werden im
FI unter separaten Konten ausgewiesen

Die Kontenfindung fr Kundenauftragsbestnde ist nicht


anforderungsgem ausgesteuert

12.2 Prfungsdurchfhrung
Risiko

Kontrolle

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

ziele

Test/Bericht

12.2.1 Stammdaten und Customizing

Die Kundenauftragsposition nutzt


keinen bewerteten Kundenauftragsbestand

Die Bewertung des Kundenauftragsbestands ist falsch

IMG Kundenauftragsfertigung
Steuerung der Bedarfsartenfindung . Bedarfsklasse
prfen

Die Kundenauftragsposition hin


berprfen, ob im Bild
Kontierung eine Abrechnungsvorschrift eingetragen ist

VA03 Kundenauftragsposition
Kontierung: eingetragene
Abrechnungsvorschrift prfen

Im IMG prfen, ob fr den


Positionstyp des Kundenauftrags
der Kontierungstyp E oder ein
anderer gefunden wird, der
einen Kundenauftragsbestand
ermglicht

IMG Kundenauftragsfertigung
Steuerung der Bedarfsartenfindung Bedarfsklasse
prfen

Im IMG prfen, ob fr den


Positionstyp des Kundenauftrags
eine Bedarfsklasse gefunden
wird, die eine richtige Bewertungssteuerung des Kundenauftragsbestandes vorsieht

Kontierungstyp prfen
IMG Kundenauftragsfertigung
Steuerung der Bedarfsartenfindung Bedarfsklasse
prfen: eingestellte Bewertung
prfen

Seite 175

Die Kundenauftragsposition ist


kein Kostentrger

Im IMG prfen, ob fr den


Positionstyp des Kundenauftrags
der Kontierungstyp E gefunden
wird

12 Verkauf einer Kundenauftragsfertigung


Risiko

Kontrolle

Test/Bericht

12.2.2 Durchfhrung/Belege
VA03, Erfasser nachschauen
Der Kundenauftrag wird von
nicht berechtigten Mitarbeitern
angelegt

Im Kundenauftrag den Erfasser


nachschauen und seine
Berechtigung prfen

SU01 Berechtigung des


Erfassers prfen
SE16, USOBT
RSUSR002

In der Kundenauftragsposition
die Preisfindung nachvollziehen
Der Kundenauftrag hat die
falsche Preisfindung

Der Kundenauftrag wurde nicht


vorkalkuliert

Kosten der Fertigung werden auf


den Kundenauftrag gebucht

Sondereinzelkosten des
Vertriebs werden auf den
Fertigungsauftrag gebucht

Alle Kundenauftragspositionen
mit dem gleichen Material
auflisten und nach signifikanten
Preisabweichungen hin prfen

Infosystem Controlling Objektliste

Im Kundenauftrag die Vorkalkulation prfen

VA03 Kundenauftragsposition
Kalkulation anzeigen

Im Bericht zum Fertigungsauftrag die gebuchten Kosten


analysieren

Kostentrgerrechnung
Kundenauftragsfertigung
Detailberichte Kundenauftrag
mit zugeordneten Fertigungsauftrgen: Bericht zum Fertigungsauftrag aufrufen

Im Bericht zum Kundenauftrag


die gebuchten Kosten analysieren

Kostentrgerrechnung
Kundenauftragsfertigung
Detailberichte Kundenauftrag
mit zugeordneten Fertigungsauftrgen: Bericht zur Kundenauftragsposition aufrufen

Im Bericht zum Kundenauftrag


die gebuchten Kosten analysieren

Seite 176

Die Lieferung an den Kunden


fhrt nicht zu einer Belastung
des Kundenauftrags

VA03 Kundenauftragsposition
Konditionen

Alle Kundenauftragspositionen
mit dem gleichen Material
auflisten und nach signifikanten
Preisabweichungen hin prfen

Kostentrgerrechnung
Kundenauftragsfertigung
Detailberichte Kundenauftrag
mit zugeordneten Fertigungsauftrgen: Bericht zur Kundenauftragsposition aufrufen: die
Kosten des Umsatzes mssen
ausgewiesen werden

Test/Bericht

12.2.3 Ergebnisse/Auswertungen
Auftrge werden nicht nach
angemessener Zeit beliefert und
abgeschlossen.

Der Ausweis der Bestnde im


Kundenauftragsbestand ist
zwischen Logistik und Controlling
nicht abgestimmt und zeigen
unterschiedliche Mengen oder
Werte

Der Ausweis der Bestnde im


Kundenauftragsbestand ist
zwischen Logistik und Controlling
nicht abgestimmt und zeigen
unterschiedliche Mengen oder
Werte

Die Kontenfindung fr
Kundenauftragsbestnde ist
nicht anforderungsgem
ausgesteuert

Liste der rckstndigen


Kundenauftrge

In der Logistik und im Controlling


die Berichte fr den bewerteten
Sonderbestand vergleichen

Logistik Vertrieb Verkauf


Infosystem Auftrge
Anzeigen rckstndige Auftrge
Kostentrgerrechnung
Kundenauftragsfertigung
Detailberichte Kundenauftrag
mit zugeordneten Fertigungsauftrgen: Bericht zur Kundenauftragsposition aufrufen und die
Mengen und Werte der
Mittelbindung zeigen

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

Kontrolle

Logistik Materialwirtschaft
Auswertungen bewerteter
Sonderbestand: Bericht ausfhren und Kundenauftragsbestand E mitselektieren

In der Logistik und im Controlling


die Berichte fr den bewerteten
Sonderbestand vergleichen

Kostentrgerrechnung
Kundenauftragsfertigung
Detailberichte Kundenauftrag
mit zugeordneten Fertigungsauftrgen: Bericht zur Kundenauftragsposition aufrufen und die
Mengen und Werte der
Mittelbindung zeigen
Logistik Materialwirtschaft
Auswertungen bewerteter
Sonderbestand: Bericht
ausfhren und Kundenauftragsbestand E mitselektieren
MM03: Materialstamm anzeigen:
Sicht Buchhaltung: Eintrag im
Feld Bewertungsklasse
Kundenauftragsbestand prfen

Die Kontenfindung fr
Kundenauftragsbestnde prfen

IMG Materialwirtschaft
Bewertung und Kontierung
Kontenfindung Kontenfindung
ohne Assistent automatische
Buchungen einstellen (Vorgnge
GBB und BSX) (TCode: OBYC)
Seite 177

Risiko

13 Periodenabschlu im internen Rechnungswesen


bei Kundenauftragsfertigung oder Dienstleistung
13.1 Prfungsziele
ziele

risiko

13.1.1 Stammdaten und Customizing


Gemeinkosten werden verursachungsgerecht auf Kostentrger
weiterverrechnet

Durch die Verwendung ungewhnlich hoher Gemeinkostenzuschlge werden die Herstellkosten bzw. die Abweichungen auf
den Kostentrgern verflscht. Die kann Auswirkungen auf die
Wertanstze von Bilanz und GuV haben

Die Abweichungen der Kostentrger


werden richtig und verursachungsgerecht ausgewiesen

Die Verwendung von periodengenauen Tarifen bei den


Istbuchungen verrechnet die Abweichung der Kostenstellen auf
die Kostentrger weiter. Die Abweichungen der Fertigung
knnen dadurch erhht oder konterkariert werden. Eine Liste
der Kostentrger nach Gre der Abweichungen bringt nicht
mehr die kritischen Auftrge nach vorn

Kundenauftrge sind am Ende der


Periode richtig abgegrenzt, das heit,
Erlse, Kosten des Umsatzes,
Bestnde und Rckstellungen werden
periodengenau ermittelt

Erlse, Kosten des Umsatzes, Bestnde und Rckstellungen


werden falsch ermittelt bzw. sind nicht konform zu den
Bestimmungen des betreffenden Landes oder der Rechnungslegungsvorschriften

Kundenauftrge sind am Ende der


Periode richtig abgegrenzt, das heit,
Erlse, Kosten des Umsatzes,
Bestnde und Rckstellungen werden
periodengenau ermittelt

Bei den Bestnden werden Teile der Kosten als nicht


aktivierungsfhig behandelt

Die Erlse, Kosten des Umsatzes,


Bestnde und Rckstellungen werden
auf die richtigen Konten gebucht

Die Bestnde und Rckstellungen werden auf falsche Konten


der Finanzbuchhaltung abgerechnet

Seite 178

13.1.2 Durchfhrung/Belege
Die Erlse, Kosten des Umsatzes,
Bestnde und Rckstellungen werden
periodengenau errechnet und
gespeichert.

Die Werte fr die Bestnde und Rckstellungen wurden nicht


korrekt gespeichert und fehlen deshalb in bergreifenden
Berichten und Analysen

Die Erlse, Kosten des Umsatzes,


Bestnde und Rckstellungen werden
periodengenau in die Finanzbuchhaltung, Ergebnisrechnung und Profit
Center Rechnung abgerechnet

Die Erlse, Kosten des Umsatzes, Bestnde und Rckstellungen


wurden nicht oder falsch abgerechnet

risiko

13.1.3 Ergebnisse/Auswertungen
Kundenauftrge sind am Ende der
Periode richtig abgegrenzt, das
heit, Erlse, Kosten des Umsatzes,
Bestnde und Rckstellungen werden
periodengenau ermittelt

Kundenauftrge, die logistisch bereits abgewickelt sind und fr


die weder weitere Erlse noch Nachlaufkosten erwartet werden,
bilden trotzdem noch Bestnde oder Rckstellungen

Kundenauftrge werden in einem


angemessen Zeitraum bearbeitet und
abgeschlossen

Auftrge sind in Verzug

13.2 Prfungsdurchfhrung
Risiko

Kontrolle

Test/Bericht

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

ziele

13.2.1 Stammdaten und Customizing

Durch die Verwendung


ungewhnlich hoher Gemeinkostenzuschlge werden die
Herstellkosten bzw. die Abweichungen auf den Kostentrgern
verflscht. Die kann Auswirkungen auf die Wertanstze von
Bilanz und GuV haben

Die Gemeinkostenzuschlagsstze
mssen adquat und in ihrer
Hhe begrndbar sein.
Idealerweise sind sie verursachungsgerecht.
Welches Zuschlagsschema?
Von was hngen die Prozentstze ab?
Wie hoch sind die Prozentstze?

IMG Controlling Produktkosten-Controlling Kostentrgerrechnung Kundenauftrags-Controlling Grundeinstellungen fr das


Kundenauftrags-Controlling
Gemeinkostenzuschlge
Kalkulationsschemata definieren

Was wird bezuschlagt?

Die Bewertungsvariante ist auf


die verwendeten Tarife der
Leistungsarten hin zu berprfen
- Kalkulationsvariante
analysieren, besonders die
Bewertungsvariante
- Auftragsbericht aufrufen,
Leistungstarif prfen

Controlling Kostentrgerrechnung Kundenauftragsfertigung


Infosystem Berichte zum
Kundenauftrags-Controlling
Detailberichte Kundenauftrag
mit zugeordneten Fertigungsauftrgen: Bericht zum Fertigungsauftrag aufrufen

Seite 179

Die Verwendung von periodengenauen Tarifen bei den


Istbuchungen verrechnet die
Abweichung der Kostenstellen
auf die Kostentrger weiter. Die
Abweichungen der Fertigung
knnen dadurch erhht oder
konterkariert werden. Eine Liste
der Kostentrger nach Gre
der Abweichungen bringt nicht
mehr die kritischen Auftrge
nach vorn

IMG Controlling Produktkosten-Controlling Kostentrgerrechnung KundenauftragsControlling Vorkalkulation und


Auftragsstcklistenkalkulation
Erzeugniskalkulation zu
Kundenauftragsposition/
Auftragsstckliste Kalkulationsvarianten fr die Erzeugniskalkulation berprfen (OKY9)

13 Periodenabschlu im internen Rechnungswesen


bei Kundenauftragsfertigung oder Dienstleistung
Risiko
Erlse, Kosten des Umsatzes,
Bestnde und Rckstellungen
werden falsch ermittelt bzw. sind
nicht konform zu den Bestimmungen des betreffenden
Landes oder der Rechnungslegungsvorschriften

Bei den Bestnden werden Teile


der Kosten als nicht aktivierungsfhig behandelt

Die Bestnde und Rckstellungen werden auf falsche


Konten der Finanzbuchhaltung
abgerechnet

Kontrolle
Die Einstellungen zur automatischen Berechnung der Erlse,
der Kosten des Umsatzes, der
Bestnde und der Rckstellungen
ist zu prfen und stichprobenweise nachzurechnen
Bewertungsmethode
Die Einstellungen zur automatischen Berechnung der Erlse,
der Kosten des Umsatzes, der
Bestnde und der Rckstellungen
ist zu prfen und stichprobenweise nachzurechnen
Ergebnisermittlung in der
Zuordnungstabelle prfen: Wie
werden die Bestnde kategorisiert und dementsprechend
behandelt?

Die Kontenfindung zur Buchung


der Abgrenzungswerte ist richtig
eingestellt
Buchungsregeltabelle prfen

Test/Bericht
IMG Controlling Produktkosten-Controlling Kostentrgerrechnung KundenauftragsControlling Periodenabschlu
Ergebnisermittlung Bewertungsmethoden fr Ergebnisermittlung festlegen (OKG3)

IMG Controlling Produktkosten-Controlling Kostentrgerrechnung KundenauftragsControlling Periodenabschlu


Ergebnisermittlung Zuordnung fr Ergebnisermittlung
festlegen (OKG5)

IMG Controlling Produktkosten-Controlling Kostentrgerrechnung KundenauftragsControlling Periodenabschlu


Ergebnisermittlung
Buchungsregeln fr Abrechnung
an FI festlegen

13.2.2 Durchfhrung/Belege
Die Ergebnisse der Ergebnisermittlung sind im Berichtswesen
zu prfen

Seite 180

Die Werte fr die Bestnde und


Rckstellungen wurden nicht
korrekt gespeichert und fehlen
deshalb in bergreifenden
Berichten und Analysen

> Berichte fr die Kostentrger


aufrufen
> Verdichtungen fr die Kostentrger erstellen und die Summen
prfen

Controlling Kostentrgerrechnung Kundenauftragsfertigung Infosystem Berichte


zum Kundenauftrags-Controlling
Detailberichte Kundenauftrag mit zugeordneten
Fertigungsauftrgen: Bericht
zum Kundenauftrag aufrufen
Auf Layout Abgrenzung
schalten

Die Erlse, Kosten des Umsatzes,


Bestnde und Rckstellungen
mssen ordnungsgem in die
Finanzbuchhaltung, die Ergebnisrechnung und die Profit Center
Rechnung weiterverrechnet
worden sein

Test/Bericht

Controlling Kostentrgerrechnung Kundenauftragsfertigung Periodenabschlu


Einzelfunktionen Abrechnung
bisherige Abrechnungen
Umfeld Rechnungswesenbelege

Abrechnungsbelege prfen. Von


dort die Rechnungswesenbelege
prfen
13.2.3 Ergebnisse/Auswertungen

Kundenauftrge, die logistisch


bereits abgewickelt sind und fr
die weder weitere Erlse noch
Nachlaufkosten erwartet werden,
bilden trotzdem noch Bestnde
oder Rckstellungen

Auftrge sind in Verzug

Die Kundenauftrge nach Status


selektieren und prfen, ob alte
Auftrge noch nicht den Status
technisch abgeschlossen und
endfakturiert haben
> Auftragsselektion nach Status
> Altersstruktur der selektierten
Auftrge analysieren und Ursachen erforschen, warum
alte Auftrge noch nicht
abgeschlossen sind

Die Kundenauftrge im Verzug


auflisten und die Grnde prfen

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

Die Erlse, Kosten des


Umsatzes, Bestnde und
Rckstellungen wurden nicht
oder falsch abgerechnet

Kontrolle

Controlling Kostentrgerrechnung Kundenauftragsfertigung Infosystem Berichte


zum Kundenauftrags-Controlling
Objektliste Kundenauftragsselektion
Auf Layout /Abgrenzung
umschalten
Datum einblenden und nach
Datum sortieren
AIS Kaufmnnisches Audit
Einzelabschlu G.u.V. > AIS
Umsatzerlse Verkaufsbelege Anzeige rckstndige
Auftrge

Seite 181

Risiko

14 Funktionstrennung
14.1 Zielsetzung
Zur Erreichung einer ausreichenden Sicherheit, auch im Sinne eines internen Kontrollsystems zur Erfllung
der Erfordernisse der GoB, sind bestimmte Funktionstrennungen erforderlich.
Bei kleinen Unternehmen ist dies jedoch organisatorisch oft nicht realisierbar. Deshalb sind hier zur
Erreichung eines ausreichenden Sicherheitsstandards besondere - individuell konzipierte - berprfungen
der Stammdatennderungen erforderlich. Bei greren Unternehmen knnen diese Prfungen jedoch nicht
die durchgehende Funktionstrennung ersetzen.

14.1.1 Anforderungen
Eindeutig festgelegte Zustndigkeiten/Berechtigungen hinsichtlich der Stammdatenverwaltung.
Funktionstrennung in angemessener Form zwischen EDV und Fachabteilung einerseits sowie zwischen
Stammdatenpflege und Buchungsttigkeit jeder Art andererseits.

14.1.2 Risiken
Durch ein unzureichendes Internes Kontrollsystem fr die berwachung von Stammdatennderungen
knnen sowohl die Ordnungsmigkeit als auch die Datensicherheit beeintrchtigt werden. So knnen z.B.
bei mangelnder Sicherheit des Zahlungsverkehrs (Stammdatenpflege) auch Vermgensschden auftreten.

14.2 Prfungen von kritischen Berechtigungskombinationen



im Bereich Finanzbuchhaltung
a)



Kreditoren Stammdaten (anlegen)


1) F_LFA1_APP ( 01 / F )
2) F_LFA1_BUK ( BUKR / 01 )
3) F_LFA1_GEN ( 01 )
4) S_TCODE ( FK01 OR XK01 )

b) Kreditoren Stammdaten inkl. Bankdaten (ndern)


1) F_LFA1_AEN ( 01 )
2) F_LFA1_APP ( 02 / F )
3) F_LFA1_BUK ( BUKR / 02 )
4) F_LFA1_GEN ( 02 )
5) S_TCODE ( FK02 OR XK02 )
c)


Kreditoren Buchungen (z.B. Rechnungen)


1) F_BKPF_BUK ( BUKR / 01 )
2) F_BKPF_KOA ( K / 01 )
3) S_TCODE ( FB60 OR FB65 )

Seite 182

d) Kreditoren Zahlungen
1) F_REGU_BUK ( BUKR / 21 )
2) F_REGU_KOA ( K / 21 )
3) S_TCODE ( F110 )
e) Debitoren Stammdaten (anlegen)
1) F_KNA1_APP ( 01 / F )
2) F_KNA1_BUK ( BUKR / 01 )
3) F_KNA1_GEN ( 01 )
4) S_TCODE ( FD01 OR XD01 )

g) Debitoren Buchungen (z.B. Gutschriften)


1) F_BKPF_BUK ( BUKR / 01 )
2) F_BKPF_KOA ( D / 01 )
3) S_TCODE ( FB70 OR FB75 )
h) Debitoren Zahlungen
1) F_REGU_BUK ( BUKR / 21 )
2) F_REGU_KOA ( D / 21 )
3) S_TCODE ( F110 )

Prfleitfaden SAP ERP 6.0, Teil 2, Stand mrz 2009, DSAG e.V.

f) Debitoren Stammdaten inkl. Bankdaten (ndern)


1) F_KNA1_AEN ( 03 )
2) F_KNA1_APP ( 02 / F )
3) F_KNA1_BUK ( BUKR / 02 )
4) F_KNA1_GEN ( 02 )
5) S_TCODE ( FD02 OR XD02 )

14.3 Prfungen von kritischen Berechtigungskombinationen


im Bereich Materialwirtschaft
a) Wareneingang zur Bestellung (anlegen/ndern)
1) M_MSEG_BWE ( 01 OR 02 / 101 )
2) M_MSEG_WWE ( 01 OR 02 / WRK )
3) S_TCODE ( MIGO OR MIGO_GR )
b) Rechnungsprfung (anlegen/ndern)
1) M_RECH_BUK ( BUKR / 01 OR 02 )
2) M_RECH_WRK ( WRK / 01 OR 02 )
3) S_TCODE ( MIRO )
c) Einkaufsinfostze anlegen/bearbeiten
1) M_EINF_EKO ( 01 OR 02 / EKO )
2) M_EINF_WRK ( 01 OR 02 / WRK )
3) S_TCODE ( ME11 OR ME12 )

Seite 183

d) Materialstamm anlegen
1) M_MATE_NEU ( * )
2) M_MATE_STA ( 01 )
3) M_MATE_WRK ( 01 / WRK )
4) S_TCODE ( MM01 )

Copyright 2009 DSAG e.V.


Alle Rechte vorbehalten.
Namen von Produkten und Dienstleistungen sind Marken der jeweiligen Firmen.

Deutschsprachige SAP Anwendergruppe e.V.


Altrottstrae 34 a
69190 Walldorf
Deutschland

Fon: +49 (0) 62 27 358 09 58


Fax: +49 (0) 62 27 358 09 59
E-Mail: info@dsag.de
Internet: www.dsag.de