SAP S/4HANA Prüfleitfaden DSAG 2023

Kommentar verfassen / Von /

Sehr geehrte Leserinnen und Leser,

willkommen zur neuesten Ausgabe des DSAG Prüfleitfadens 2023. Wenn Sie als Auditor tätig sind, ist dies ein absolutes Must-Have-Dokument für Sie. In einer sich ständig verändernden digitalen Welt ist es unerlässlich, auf dem neuesten Stand der Technologie und der damit verbundenen Prüfungsstandards zu bleiben. Der DSAG Prüfleitfaden 2023 ist genau das Werkzeug, das Sie für die IT-Auditierung benötigen. Mit diesem Leitfaden, auf 335 Seiten, erhalten Sie einen wertvollen Einblick in die neuesten Entwicklungen und Best Practices im Bereich der IT-Auditierung. Ob Sie sich in die Tiefe der SAP S/4HANA Compliance navigieren oder neue Ansätze zur effektiven Prüfung von Cloud-Anwendungen kennenlernen möchten, dieser Leitfaden ist Ihr verlässlicher Begleiter.  Jedes Kapitel ist prall gefüllt mit hilfreichen Informationen und praktischen Anleitungen, die Ihnen helfen, die anspruchsvollsten Auditaufgaben mit Leichtigkeit und Zuversicht zu meistern. Doch das ist nicht alles. Der DSAG Prüfleitfaden 2023 ist nicht nur ein Leitfaden; er ist ein Forum für den Austausch von Wissen, in dem führende Auditoren und Experten aus der Branche ihr Wissen und ihre Erfahrungen teilen.

SAP Security Patchday 2023-06 Juni

SAP S/4HANA ist das Nachfolgeprodukt von SAP R/3 und SAP ERP und repräsentiert die neue Generation von SAPs Enterprise-Resource-Planning (ERP)-Systemen. Seit der Einführung 2015 wird es ständig mit neuen Features und Technologien wie Analytics und künstlicher Intelligenz erweitert. Die Komplexität des Systems kann nur dann voll ausgenutzt werden, wenn man sich umfangreich mit den Prüfstrategien und Sicherheitsaspekten auseinandersetzt.

Das S/4HANA ERP-System setzt auf die zugrundeliegende HANA Datenbanktechnologie. Sie ermöglicht die Änderung und Vereinfachung des Datenmodells und der Tabellenstrukturen des ERP-Systems. Dies führt zu einer schnellen Datenzugriffszeit und umfassenden Analysen in Echtzeit. Eine wichtige Komponente hierbei ist die Nutzung der In-Memory-Datenbank (IMDB) von SAP HANA, welche Daten im Arbeitsspeicher speichert anstatt auf Festplatten, was die Reaktionszeiten verkürzt.

Die Prüfung des SAP-Systems muss neben den gesetzlichen Vorgaben auch interne Compliance-Vorgaben berücksichtigen. In diesem Kontext empfiehlt sich die Einrichtung von Prüfer-Rollen, die nur die Bereiche anzeigen dürfen, die zum Prüfungsumfang gehören. Bei besonderen Anforderungen sollte entsprechend dem Notfall-Benutzer-Konzept verfahren werden.

SAP S/4HANA kann in verschiedenen OnPremise- und Cloud-Optionen sowie Hybrid-Ansätzen betrieben werden. Die Entscheidung für ein Betriebsmodell kann abhängig sein von der IT-Strategie des Unternehmens, funktionalen und gesetzlichen Anforderungen, Innovationsbedürfnissen und Überlegungen zur Harmonisierung und Standardisierung von Prozessen.

Für SAP S/4HANA bietet SAP im Wesentlichen drei Betriebsmodelle an:

  • SAP S/4HANA (OnPremise)
  • SAP S/4HANA Cloud, Private Edition
  • SAP S/4HANA Cloud (SaaS)

Alle S/4HANA-Deployment-Formen basieren auf dem gleichen Datenmodell und der SAP-HANA-Datenbank. Sie unterscheiden sich in den Standardisierungs- und Flexibilisierungsmöglichkeiten, Implementierungsstrategie, Release-Zyklen und der Benutzeroberfläche.

Der DSAG-Prüfleitfaden, der eine Vielzahl von Aspekten behandelt – von der Authentifizierung und Autorisierung über das Change-Management bis hin zur Überprüfung der Risiken aus dem Einsatz von SAP GRC, ist ein wichtiger Begleiter für die Einführung und den Betrieb von SAP S/4HANA.

Im Rahmen des Wechsels zu S/4HANA ist die Beachtung von SAP Security Notes, die nur für SAP Support Package Stacks der letzten 24 Monate bereitgestellt werden, von besonderer Bedeutung. Ein regelmäßiges Einspielen dieser Pakete sichert den Erhalt entsprechender Sicherheitskorrekturen von SAP.

S4/HANA deployment types 2023

Der Prüfleitfaden der DSAG orientiert sich anhand folgender Gliederung:

A) Authentifizierung

  • Einleitung
  • Risken
  • Kontrollziele

B) Autorisierung

  • Einleitung
  • Risiken
  • Kontrollziele
  • Prüfprogramme: Dokumentation und Standards
  • Prüfprogramme: Rollen und Berechtigungen
  • Prüfprogramme: Benutzer und Rechte
  • Prüfprogramme: Sensitive Funktionen
  • Prüfprogramme: Funktionstrennung
  • Prüfprogramme: Prozesse und Organisation
  • Prüfprogramme: Protokolle und Parameter

C) Change-Management mit SAP Application Lifecylce Management und Solution Manager

  • Einleitung
  • Risken
  • Kontrollziele
  • Prüfprogramme: Authentifizierung und Autorisierung im Change-Management
  • Change-Management bei Einsatz von S/4HANA Cloud

D) SAP S/4HANA OnPremise

  • Einleitung
  • Risiken
  • Kontrollziele
  • Prüfprogramme: Authentifizierung
  • Systemparameter-Einstellungen und Sicherheitsrichtlinien
  • Prüfprogramme: Autorisierung
  • Change-Management bei Verwendung von SolMan

E) SAP S/4HANA Cloud

  • Einleitung
  • Risiken
  • Kontrollziele
  • Prüfprogramme: Autorisierung
  • Prüfprogramme: Change-Management
  • Prüfprogramme: IT Operation
  • Prüfprogramme: Protokolle und Parameter
  • Prüfprogramme: Analyse des SOC1-Typ-2-Reports

F) SAP HANA Datenbank

  • Einleitung
  • Risiken
  • Kontrollziele
  • Prüfprogramme: Authentifizierung
  • Prüfprogramme: Autorisierung
  • Prüfprogramme: Change-Management
  • Prüfprogramme: Logs und Protokolle

G) Betriebssysteme Linux / Unix und Windows

  • Einleitung
  • Risiken
  • Kontrollziele
  • Prüfprogramme: Systemintegrität von Unix / Linux
  • Prüfprogramme: Systemintegrität von Windows
  • Protokollierung und Sicherheitsüberwachung
  • Datensicherung, Wiederherstellung und Löschung

H) Risiken aus dem Einsatz von SAP GRC

  • Access Management-Prozesse
  • Anpassung von Prüfungshandlungen beim Einsatz von SAP GRC Access Control 12
  • Neue Anforderungen an die IT-Prüfung
  • Prüfprogramme: SAP GRC Access Control
  • SoD Risiken

Welche Kontrollziele gibt es im SAP Prüfleitfaden der DSAG?

Zusammenfassung der Kontrollziele:

  1. Sicherstellung eines angemessenen Zugriffsschutzes durch geeignete Systemparameter und Anmeldekontrollen.
  2. Überwachung und Erkennung von Systemmanipulationen durch geeignete Security Policies und Audit Logs.
  3. Verschlüsselung der Kommunikation zwischen Client und Server nach aktuellen Verfahren.
  4. Schutz der Gateway-Kommunikation mittels Access Control Listen (ACL).
  5. Verhinderung von Mehrfachanmeldungen und Definition von Gültigkeitszeiträumen für Benutzerkennungen.
  6. Sicherheitskonfigurationen für Sonderbenutzer und Mechanismen für die Verwaltung von Benutzergruppen.
  7. Überwachung der Wirksamkeit der Anmeldekontrollen und Installation gültiger Serverzertifikate.
  8. Etablierung von Prozessen für Notfallzugriffe und Auditierung von Systemvorgängen.
  9. Nutzung aktueller Clients und Dokumentation der eingesetzten Schnittstellen.
  10. Verwendung von Single-Sign-On (SSO).
  11. Klare Definition von Kontrollzielen für Autorisierungen und die Einrichtung eines effektiven internen Kontrollsystems und eines Informationssicherheitsmanagementsystems (ISMS).
  12. Effektives Management von Benutzern, Rollen und Berechtigungen, inklusive klarer Vorgaben für Standardrollen und -berechtigungen sowie Regeln für sensitive Funktionen.
  13. Regelmäßige Kontrollen und Maßnahmen für sicherheitsrelevante Änderungen, inklusive restriktiver Vergabe von Berechtigungen und Trennung von Entwicklungs- und Produktivdaten.
  14. Eindeutige Definition von ausgelagerten Diensten und Verantwortlichkeiten, regelmäßige Überprüfung der Eignung und Funktionalität des IKS und Sicherstellung der Verfügbarkeit von rechnungslegungsrelevanten Daten.
  15. Kontrollen zur Verhinderung unautorisierten Zugriffs und Manipulationen durch den Service-Provider.
  16. Geeignete Authentifizierungs- und Autorisierungsmaßnahmen auf Datenbankebene zur Gewährleistung des Datenzugriffs nur für autorisierte Administratoren und technische Benutzer.
  17. Absicherung der SAP HANA-Datenbank und Integration von Standard-IT-Prozessen in die S/4-HANA-Anwendungsschicht.

Wie kann ich den S4/HANA Prüfleitfaden der DSAG erhalten?

Die DSAG (Deutschsprachige SAP-Anwendergruppe) stellt eine Vielzahl von Leitfäden und Ressourcen für ihre Mitglieder zur Verfügung. Dazu gehört auch der S/4HANA Prüfleitfaden. In der Regel können Sie diese Materialien über die DSAG-Website oder das DSAG-Netzwerk beziehen.

Sofern Sie bereits Mitglied der DSAG sind, können Sie sich auf deren Website einloggen und den gewünschten Leitfaden herunterladen. Sollten Sie kein Mitglied sein, ist es in der Regel erforderlich, dass Sie sich für eine Mitgliedschaft anmelden, um Zugriff auf die vollständigen Materialien und Ressourcen zu erhalten.

Der Leitfaden ist hier als PDF erhältlich.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen