SAP-Prüfung im Rahmen einer IT-Revision

Vorgehensweise bei der SAP-Prüfung und vergleichbarer ERP-SystemeBei einer SAP-Prüfung im Rahmen einer IT-Revision bei einem Finanzdienstleister wurden nach einer zuvor erfolgten Bestandsaufnahme der SAP-Systemlandschaft im Wesentlichen die folgenden Bereiche geprüft:

  • die Einstellungen zur Identifikation und Authentisierung (ABAP-Stack)
  • die Zugriffsberechtigungen
  • die Systemeinstellungen zur Gewährleistung der Integrität
  • das SAP Change-Management
  • die Systemintegrität des SAP Java-Stack
  • die Integrität der eingesetzten Datenbank sowie des Betriebssystems
  • die Kommunikations- und Netzsicherheit.

Die SAP-Prüfung erfolgte auf der Grundlage des Prüfleitfaden zu SAP ERP 6.0 der deutschsprachigen SAP-Anwendergruppe vom März 2009. Die Arbeitsgruppe (AG) Audit Roadmap ist ein Teil der Deutschsprachigen SAP-Anwendergruppe e.V. (DSAG) mit Sitz in Walldorf. Mit dem SAP-Prüfleitfaden sollen Revisoren Anhaltspunkte für die Prüfung von SAP-Systemen gegeben und die Prüfaspekte für den SAP Basisbereich erläutert werden.

Aufgrund der Komplexität des SAP-Systems sowie einer nahezu unüberschaubaren Anzahl von SAP Tabellen bietet sich neben dem Einsatz des DSAG-Prüfleitfadens der Einsatz von speziellen Softwaretools an. Diese Tools gewährleisten i.d.R. eine vollumfängliche und effiziente Prüfungsdurchführung.

Bei dem von uns eingesetzten Prüfungstool CheckAud for SAP der IBS-Schreiber GmbH, Hamburg, müssen keine ABAP-Programme oder sonstige Softwarekomponenten auf dem SAP-System installiert werden. Mit Hilfe dieses Tools bleibt der für eine SAP-Prüfung notwendige Zeitaufwand überschaubar und das SAP Audit kann sehr detailliert und umfassend durchgeführt werden.

Aufgrund unseres ganzheitlichen Ansatzes berücksichtigen wir bei einem SAP Audit auch die Anforderungen des BSI. In dem BSI Baustein 5.13 SAP System hat das BSI die Gefährdungen und Maßnahmen im Bereich von SAP Systemen zusammengestellt. Die vom BSI in diesem Baustein beschriebenen Maßnahmen werden von unseren ISO 27001 Auditoren geprüft und müssen im Rahmen einer ISO 27001 Zertifizierung umgesetzt werden.

SAP-Prüfung im Rahmen eines Quickchecks

Grundsätzlich ist es mit unserer Prüfsoftware CheckAud for SAP auch möglich, eine SAP-Prüfung durchzuführen, ohne dass wir uns an dem zu prüfenden SAP-System anmelden. Sämtliche Informationen, die wir für die SAP-Revision benötigt, werden hierbei mit Hilfe eines Softwaretools aus dem SAP-System ausgelesen und auf einen lokalen Arbeitsplatzrechner in einem Flatfile bereitgestellt. Hierzu stellen wir Ihnen gerne die entsprechende Software bereit. Diese Software muss lediglich auf einem Arbeitsplatzrechner installiert werden. Das hierbei entstehende Flat-File, welches ausschließlich technische Informationen des SAP-Systems beinhaltet, wird von uns in die Prüfsoftware übertragen und steht anschließend für diverse Auswertungen zur Verfügung.

Diesen sog. SAP-Quickcheck bieten wir Ihnen gerne an, wenn es darum geht, die grundsätzlichen SAP Systemeinstellungen und Berechtigungen kurzfristig und kostengünstig einem SAP Audit zu unterziehen.

SAP-Revision mit dem Prüfungstool CheckAud

Prüfungstool für die SAP-RevisionBei einer SAP-Revision mit Hilfe des Tools CheckAud for SAP Systems wird die Prüfung nahezu automatisiert durchgeführt. CheckAud deckt hierbei Schwachstellen im Bereich der SAP-Konfiguration sowie der in SAP vergebenen Zugriffsberechtigungen auf.

CheckAud ist eine Softwarelösung von der IBS-Schreiber GmbH, Hamburg, und dient der Prüfung der Ordnungsmäßigkeit und Sicherheit von SAP-Systemen. Mit Hilfe von CheckAud können die Systemeinstellungen bzw. Systemparameter und das SAP Berechtigungskonzept sehr effizient und effektiv geprüft werden. Hierzu bedarf es keiner Softwareinstallation auf dem eigentlichen SAP-System. Nur auf einem Client, also einem Arbeitsplatzrechner, muss die CheckAud-Software installiert werden. Alternativ kann auch unser Prüfer-Notebook an das interne LAN angebunden werden.

Vorgehensweise bei der SAP-Revision mit CheckAud for SAP Systems

Grundsätzlich gestaltet sich eine SAP Prüfung mit CheckAud wie folgt:

  1. Mit Hilfe des CheckAud Scanners werden alle relevanten Informationen über Systemeinstellungen, Berechtigungsobjekte, etc. auf eine Workstation geladen. Bei dem CheckAud Scanner handelt es sich um eine Software, die auf einem beliebigen Rechner unter einem aktuellen Windows-Betriebssystem installiert werden kann. Hierbei greift der CheckAud Scanner über eine RFC-Verbindung auf das zu prüfende SAP-System zu und speichert die Daten in einem Flatfile.
  2. Anschließend wird das Flatfile auf der Workstation mit der CheckAud Software in eine interne Datenbank importiert.
  3. Die Datenbank kann anschließend mit Hilfe des CheckAud Analyzers komfortabel ausgewertet werden. Der Prüfer benötigt für seine Analysen hierbei keinen direkten Zugriff mehr auf das zu prüfende SAP-System, da alle relevanten Informationen in der CheckAud Datenbank enthalten sind.

Unterstützt wird der Auditor bei der SAP Prüfung durch bereits vorhandene sog. Analysebäume, mit deren Hilfe Standard-Prüfungen durchgeführt werden können. Beispielsweise wird mit Hilfe der Analysebäume geprüft, ob in der SAP Finanzbuchhaltung gegen das Radierverbot verstoßen werden kann oder ob die Aspekte der Funktionstrennung beachtet wurden. Für die Prüfung der Funktionstrennung stellt CheckAud for SAP eine sog. SoD-Matrix – Segregation of duties – bereit, die in Form einer Excel-Pivot-Tabelle die tatsächlich vergebenen Berechtigungen an einzelne Benutzer übersichtlich anzeigt.

Für die SAP Prüfung mit Hilfe von CheckAud steht dem Auditor ein sehr leistungsfähiges und mächtiges Werkzeug zur Verfügung.

SITACS setzt bei Prüfungen von SAP-Systemen regelmäßig CheckAud ein. Hierdurch können wir sehr schnell eine Aussage zur Ordnungsmäßigkeit und Sicherheit des SAP-Systems in Ihrem Unternehmen bzw. Behörde treffen und Maßnahmen zur Beseitigung möglicher Schwachstellen aufzeigen.

Gerne unterbreiten wir Ihnen an individuelles Angebot für die SAP Prüfung mit CheckAud in Ihrem Haus.

Prüfung der Leistungsverrechnung bei z/OS

Beurteilung der Prozesse im Bereich der Leistungsverrechnung von IT-KostenBei der Prüfung der Leistungsverrechnung von IT-Services im Bereich des IBM Betriebssystem z/OS bei einem IT-Dienstleister im Bankenumfeld galt es, die Ordnungsmäßigkeit und Sicherheit der Verfahren festzustellen. In diesem Zusammenhang mussten die folgenden Fragestellungen zunächst beantwortet werden:

    • Welche Ressourcen und wie viele Einheiten wurden verbraucht?
    • Welchen Wert haben die Ressourcen und wurde deren Wert den Kunden des IT-Dienstleisters korrekt in Rechnung gestellt?
  • Welche IT-Services und wie viele Einheiten wurden erstellt?
  • Welchen Wert haben die erstellten IT-Services und wurde deren Wert korrekt ermittelt?

Hierbei wurden zunächst die Prozesse im Bereich der Leistungsverrechnung erhoben und analysiert. Anschließend wurden die verbrauchten Einheiten aus den relevanten SMF-Sätzen sowie IDCAMS-Daten des IBM Großrechnerbetriebssystems z/OS ermittelt und mit den in den Kundenrechnungen ausgewiesenen Daten hinsichtlich Vollständigkeit und Richtigkeit abgestimmt. Hierbei wurden die wesentlichen Tätigkeiten mit Hilfe unserer Tools automatisiert durchgeführt.

Neben unseren Spezialisten für das IBM Mainframe-Betriebssystem z/OS setzten wir eigene Analysetools zur Erhebung der relevanten Daten ein. Die Daten wurden anschließend automatisiert analysiert und plausibilisiert sowie auf mögliche Fehler bzw. Unstimmigkeiten in den Prozessen untersucht. Abweichungen bzw. Differenzen wurden hierbei automatisch ermittelt.

Schwachstellen in den Prozessen der Leistungsermittlung und Leistungsverrechnung, die ggf. Auswirkungen auf die Vollständigkeit und Richtigkeit der Daten und somit auf die Leistungsverrechnung gegenüber den Kunden haben konnten, wurden somit aufgedeckt und mögliche Lösungsvorschläge erarbeitet.

Darüber hinaus wurde die Zugriffssicherheit auf die Daten und SAS-Programme der Leistungsverrechnung anhand der Informationen aus dem z/OS Securitysystem RACF bzw. dem DB2-Datenbanksystem beurteilt und Lösungsvorschläge für mögliche Verbesserungen der Zugriffssicherheit unterbreitet.

Ferner galt es, die IT-Prozesse in den Bereichen Changemanagement, Konfigurationsmanagement sowie Test- und Entwicklung zu beurteilen. Da die Daten der Leistungsverrechnung sowohl beim IT-Dienstleister als auch dessen Kunden in die Finanzbuchhaltung einfließen wurden die Verfahren der Leistungsverrechnung dahingehend überprüft, ob sie den allgemeinen gesetzlichen Anforderungen, wie z.B. HGB, AO, GoBS, FAIT, etc. entsprechen.

Die Ergebnisse der Prüfung wurden anschließend in einem Bericht ausführlich dargestellt.

Weitere Informationen zur Leistungsverrechnung können dem f

Prüfung von Rechenzentren und Serverräumen

Gegenstand der Prüfung von Rechenzentren und ServerräumenDie Prüfung von Rechenzentren und Serverräumen durch die interne Revision umfasst neben der Prüfung der physischen Sicherheit im Wesentlichen auch die Beurteilung der folgenden Sachverhalte:

  • Aufbauorganisation, insbesondere unter dem Aspekt der Funktionstrennung,
  • Beurteilung der IT-Standorte, z.B. hinsichtlich Verfügbarkeit und Backup-Organisation,
  • Netzinfrastruktur,
  • IT-Strategie,
  • IT-Sicherheitspolitik,
  • Risikoklassifizierung der IT-Systeme,
  • Qualitätsmanagement,
  • Service-Level-Agreements,
  • Management- und Überwachungskontrollen im IT-Bereich bzw. Rechenzentrum,
  • physische Sicherheit der Rechenzentren,
  • Zutrittskontrollen,
  • Zugangskontrollen zu IT-Systemen,
  • logische Sicherheit der Betriebssysteme und Anwendungssysteme auf Großrechnersystemen mit dem Betriebssystem z/OS, Windows-Server oder Unix-/Linux-Derivaten
  • IT-Betrieb, beispielsweise Changemanagement, Konfigurationsmanagement, Netz- und Systemmanagement,
  • Maßnahmen zur Sicherung der Betriebsbereitschaft, insbesondere Verfügbarkeitsmanagement und
    Kapazitätsmanagement,
  • Datensicherungs- und Auslagerungsverfahren,
  • Not- und Katastrophenfallvorkehrungen sowie
  • Notstromversorgung und Klimatisierung.

Die Sicherheitsanforderungen an ein Rechenzentrum sind jedoch von Branche zu Branche sehr unterschiedlich und die notwendigen Maßnahmen müssen sich an dem individuellen Schutzbedarf der Daten des jeweiligen Unternehmens bzw. Behörde orientieren. Rechenzentren von Banken müssen aufgrund von Hochverfügbarkeitsanforderungen sowie dem Schutzbedarf von personenbezogenen Daten wesntlich höheren Ansprüchen genügen. Zudem sind bei Banken die aufsichtsrechtlichen Anforderungen des Bundesamtes für Finanzdienstleistungen – kurz BaFin genannt – zu beachten.

Bei unseren Prüfungshandlungen decken wir auch die spezifischen Anforderungen aus dem Bereich des Datenschutzes ab.

Weiterführende Informationen zu diesem umfangreichen Themengebiet ergeben sich aus den nachfolgenden BSI Grundschutzkatalogen:

Die genannten Bausteine sind inhaltlich fast identisch. In dem Baustein 2.9 Rechenzentrum bekommen jedoch die Themengebiete zur alternativen Stromversorgung und Gefahrenmeldeanlage sowie Brandfrüherkennungssysteme, einschließlich einer automatischen Löschanlage, eine höhere Bedeutung.

SITACS verfügt über eine langjährige Erfahrung in der Prüfung von Rechenzentren und Serverräume von Unternehmen und Behörden. Neben den BSI Anforderungen werden von uns auch die internationalen Anforderungen an die Informationssicherheit gemäß ISO 27001 berücksichtigt. Hierbei beachten wir auch die branchenspezifischen Besonderheiten, wie beispielsweise die besonderen Hochverfügbarkeitsanforderungen bei den Rechenzentren von Banken.

Gerne unterstützen wir Sie bei der Prüfung von Rechenzentren und Serverräumen und zeigen Ihnen branchenspezifische Best-Practice Lösungen bei möglichen Schwachstellen auf.

Unterstützung im Bereich IT-Revision

IT-RevisionDie Anforderungen an die Revision von komplexen IT-Systemen sind aufgrund der zunehmenden Komplexität und Technologisierung in den Unternehmen und Behörden die letzen Jahre kontinuierlich gestiegen. Dies bedingt u.a. eine konsequente Fortbildung der IT-Revisoren. Neben allgemeinen Kenntnissen über die Compliance-Anforderungen im IT-Bereich müssen ebenfalls fundierte Kenntnisse über die in den jeweiligen Institutionen zu prüfenden IT-Systeme und Anwendungssysteme vorhanden sein. Um dies zu gewährleisten, sind regelmäßige und kostenintensive Fortbildungsveranstaltungen der als IT-Revisor tätigen Mitarbeiter notwendig oder Sie übertragen die anstehenden IT-Revisionen auf die SITACS. Egal ob Sie ein komplexes Rechenzentrum mit IBM-Großrechnern, Unix-Derivaten und Windows Server Systemen oder einen einzelnen Serverraum im eigenen Haus oder bei einem externen Dienstleister betreiben. Wir unterstützen Sie bei einer IT-Revision durch

  • ein fundiertes Fachwissen und Branchenerfahrung,
  • Best Practice-Ansätze und effiziente Auftragsabwicklung,
  • einer detaillierten Darstellung des vorgefundenen Ist-Zustandes sowie eventueller Schwachstellen und der sich daraus ergebenden Risiken sowie
  • mit einem konkreten Maßnahmenkatalog und praxisbewährten Lösungsansätzen zur Verringerung möglicher Risiken.

Insbesondere unterstützen wir auch Wirtschaftsprüfungsgesellschaften, die aktuell nicht über entsprechende Mitarbeiterkapazitäten oder Mitarbeiter mit entsprechendem Know-How verfügen. Hierbei stellen wir auch unsere vollständigen Tools für die Durchführung einer effizienten Prüfung kostenlos zur Verfügung. Beispiele für entsprechende Dienstleistungen finden Sie unter Projekte! Für weitere Informationen bzw. Fragen hinsichtlich zusätzlicher Dienstleistungen benutzen Sie bitte unsere Kontaktseite.