{"id":390,"date":"2023-07-07T16:05:05","date_gmt":"2023-07-07T13:05:05","guid":{"rendered":"https:\/\/techltx.com\/de\/?p=390"},"modified":"2023-07-09T23:35:11","modified_gmt":"2023-07-09T20:35:11","slug":"sap-security-dsag-pruefleitfaden-s4hana","status":"publish","type":"post","link":"https:\/\/techltx.com\/de\/sap\/sap-security-dsag-pruefleitfaden-s4hana\/2023\/07\/","title":{"rendered":"SAP S\/4HANA Pr\u00fcfleitfaden DSAG 2023"},"content":{"rendered":"\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:66.66%\">\n<p>Sehr geehrte Leserinnen und Leser,<\/p>\n<p>willkommen zur neuesten Ausgabe des DSAG Pr\u00fcfleitfadens 2023. Wenn Sie als Auditor t\u00e4tig sind, ist dies ein absolutes Must-Have-Dokument f\u00fcr Sie. In einer sich st\u00e4ndig ver\u00e4ndernden digitalen Welt ist es unerl\u00e4sslich, auf dem neuesten Stand der Technologie und der damit verbundenen Pr\u00fcfungsstandards zu bleiben. Der DSAG Pr\u00fcfleitfaden 2023 ist genau das Werkzeug, das Sie f\u00fcr die IT-Auditierung ben\u00f6tigen. Mit diesem Leitfaden, auf 335 Seiten, erhalten Sie einen wertvollen Einblick in die neuesten Entwicklungen und Best Practices im Bereich der IT-Auditierung. Ob Sie sich in die Tiefe der SAP S\/4HANA Compliance navigieren oder neue Ans\u00e4tze zur effektiven Pr\u00fcfung von Cloud-Anwendungen kennenlernen m\u00f6chten, dieser Leitfaden ist Ihr verl\u00e4sslicher Begleiter.&nbsp; Jedes Kapitel ist prall gef\u00fcllt mit hilfreichen Informationen und praktischen Anleitungen, die Ihnen helfen, die anspruchsvollsten Auditaufgaben mit Leichtigkeit und Zuversicht zu meistern. Doch das ist nicht alles. Der DSAG Pr\u00fcfleitfaden 2023 ist nicht nur ein Leitfaden; er ist ein Forum f\u00fcr den Austausch von Wissen, in dem f\u00fchrende Auditoren und Experten aus der Branche ihr Wissen und ihre Erfahrungen teilen.<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:33.33%\">\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png\"><img loading=\"lazy\" decoding=\"async\" width=\"491\" height=\"155\" src=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png\" alt=\"SAP Security Patchday 2023-06 Juni\" class=\"wp-image-248\" srcset=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png 491w, https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday-300x95.png 300w\" sizes=\"auto, (max-width: 491px) 100vw, 491px\" \/><\/a><\/figure>\n<\/div>\n<\/div>\n\n\n<p>SAP S\/4HANA ist das Nachfolgeprodukt von SAP R\/3 und SAP ERP und repr\u00e4sentiert die neue Generation von SAPs Enterprise-Resource-Planning (ERP)-Systemen. Seit der Einf\u00fchrung 2015 wird es st\u00e4ndig mit neuen Features und Technologien wie Analytics und k\u00fcnstlicher Intelligenz erweitert. Die Komplexit\u00e4t des Systems kann nur dann voll ausgenutzt werden, wenn man sich umfangreich mit den Pr\u00fcfstrategien und Sicherheitsaspekten auseinandersetzt.<\/p>\n<p>Das S\/4HANA ERP-System setzt auf die zugrundeliegende HANA Datenbanktechnologie. Sie erm\u00f6glicht die \u00c4nderung und Vereinfachung des Datenmodells und der Tabellenstrukturen des ERP-Systems. Dies f\u00fchrt zu einer schnellen Datenzugriffszeit und umfassenden Analysen in Echtzeit. Eine wichtige Komponente hierbei ist die Nutzung der In-Memory-Datenbank (IMDB) von SAP HANA, welche Daten im Arbeitsspeicher speichert anstatt auf Festplatten, was die Reaktionszeiten verk\u00fcrzt.<\/p>\n<p>Die Pr\u00fcfung des SAP-Systems muss neben den gesetzlichen Vorgaben auch interne Compliance-Vorgaben ber\u00fccksichtigen. In diesem Kontext empfiehlt sich die Einrichtung von Pr\u00fcfer-Rollen, die nur die Bereiche anzeigen d\u00fcrfen, die zum Pr\u00fcfungsumfang geh\u00f6ren. Bei besonderen Anforderungen sollte entsprechend dem Notfall-Benutzer-Konzept verfahren werden.<\/p>\n<p>SAP S\/4HANA kann in verschiedenen OnPremise- und Cloud-Optionen sowie Hybrid-Ans\u00e4tzen betrieben werden. Die Entscheidung f\u00fcr ein Betriebsmodell kann abh\u00e4ngig sein von der IT-Strategie des Unternehmens, funktionalen und gesetzlichen Anforderungen, Innovationsbed\u00fcrfnissen und \u00dcberlegungen zur Harmonisierung und Standardisierung von Prozessen.<\/p>\n<p>F\u00fcr SAP S\/4HANA bietet SAP im Wesentlichen drei Betriebsmodelle an:<\/p>\n<ul>\n<li>SAP S\/4HANA (OnPremise)<\/li>\n<li>SAP S\/4HANA Cloud, Private Edition<\/li>\n<li>SAP S\/4HANA Cloud (SaaS)<\/li>\n<\/ul>\n<p>Alle S\/4HANA-Deployment-Formen basieren auf dem gleichen Datenmodell und der SAP-HANA-Datenbank. Sie unterscheiden sich in den Standardisierungs- und Flexibilisierungsm\u00f6glichkeiten, Implementierungsstrategie, Release-Zyklen und der Benutzeroberfl\u00e4che.<\/p>\n<p>Der DSAG-Pr\u00fcfleitfaden, der eine Vielzahl von Aspekten behandelt &#8211; von der Authentifizierung und Autorisierung \u00fcber das Change-Management bis hin zur \u00dcberpr\u00fcfung der Risiken aus dem Einsatz von SAP GRC, ist ein wichtiger Begleiter f\u00fcr die Einf\u00fchrung und den Betrieb von SAP S\/4HANA.<\/p>\n<p>Im Rahmen des Wechsels zu S\/4HANA ist die Beachtung von SAP Security Notes, die nur f\u00fcr SAP Support Package Stacks der letzten 24 Monate bereitgestellt werden, von besonderer Bedeutung. Ein regelm\u00e4\u00dfiges Einspielen dieser Pakete sichert den Erhalt entsprechender Sicherheitskorrekturen von SAP.<\/p>\n<p><\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\"><a href=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-S4HANA-Pruefleitfaden-DSAG-deployment-types.png\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-S4HANA-Pruefleitfaden-DSAG-deployment-types.png\" alt=\"S4\/HANA deployment types 2023\" class=\"wp-image-394\" width=\"740\" height=\"336\" srcset=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-S4HANA-Pruefleitfaden-DSAG-deployment-types.png 986w, https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-S4HANA-Pruefleitfaden-DSAG-deployment-types-300x136.png 300w, https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-S4HANA-Pruefleitfaden-DSAG-deployment-types-768x349.png 768w\" sizes=\"auto, (max-width: 740px) 100vw, 740px\" \/><\/a><\/figure>\n\n\n<p>Der Pr\u00fcfleitfaden der DSAG orientiert sich anhand folgender Gliederung:<\/p>\n<p>A) Authentifizierung<\/p>\n<ul>\n<li>Einleitung<\/li>\n<li>Risken<\/li>\n<li>Kontrollziele<\/li>\n<\/ul>\n<p>B) Autorisierung<\/p>\n<ul>\n<li>Einleitung<\/li>\n<li>Risiken<\/li>\n<li>Kontrollziele<\/li>\n<li>Pr\u00fcfprogramme: Dokumentation und Standards<\/li>\n<li>Pr\u00fcfprogramme: Rollen und Berechtigungen<\/li>\n<li>Pr\u00fcfprogramme: Benutzer und Rechte<\/li>\n<li>Pr\u00fcfprogramme: Sensitive Funktionen<\/li>\n<li>Pr\u00fcfprogramme: Funktionstrennung<\/li>\n<li>Pr\u00fcfprogramme: Prozesse und Organisation<\/li>\n<li>Pr\u00fcfprogramme: Protokolle und Parameter<\/li>\n<\/ul>\n<p>C) Change-Management mit SAP Application Lifecylce Management und Solution Manager<\/p>\n<ul>\n<li>Einleitung<\/li>\n<li>Risken<\/li>\n<li>Kontrollziele<\/li>\n<li>Pr\u00fcfprogramme: Authentifizierung und Autorisierung im Change-Management<\/li>\n<li>Change-Management bei Einsatz von S\/4HANA Cloud<\/li>\n<\/ul>\n<p>D) SAP S\/4HANA OnPremise<\/p>\n<ul>\n<li>Einleitung<\/li>\n<li>Risiken<\/li>\n<li>Kontrollziele<\/li>\n<li>Pr\u00fcfprogramme: Authentifizierung<\/li>\n<li>Systemparameter-Einstellungen und Sicherheitsrichtlinien<\/li>\n<li>Pr\u00fcfprogramme: Autorisierung<\/li>\n<li>Change-Management bei Verwendung von SolMan<\/li>\n<\/ul>\n<p>E) SAP S\/4HANA Cloud<\/p>\n<ul>\n<li>Einleitung<\/li>\n<li>Risiken<\/li>\n<li>Kontrollziele<\/li>\n<li>Pr\u00fcfprogramme: Autorisierung<\/li>\n<li>Pr\u00fcfprogramme: Change-Management<\/li>\n<li>Pr\u00fcfprogramme: IT Operation<\/li>\n<li>Pr\u00fcfprogramme: Protokolle und Parameter<\/li>\n<li>Pr\u00fcfprogramme: Analyse des SOC1-Typ-2-Reports<\/li>\n<\/ul>\n<p>F) SAP HANA Datenbank<\/p>\n<ul>\n<li>Einleitung<\/li>\n<li>Risiken<\/li>\n<li>Kontrollziele<\/li>\n<li>Pr\u00fcfprogramme: Authentifizierung<\/li>\n<li>Pr\u00fcfprogramme: Autorisierung<\/li>\n<li>Pr\u00fcfprogramme: Change-Management<\/li>\n<li>Pr\u00fcfprogramme: Logs und Protokolle<\/li>\n<\/ul>\n<p>G) Betriebssysteme Linux \/ Unix und Windows<\/p>\n<ul>\n<li>Einleitung<\/li>\n<li>Risiken<\/li>\n<li>Kontrollziele<\/li>\n<li>Pr\u00fcfprogramme: Systemintegrit\u00e4t von Unix \/ Linux<\/li>\n<li>Pr\u00fcfprogramme: Systemintegrit\u00e4t von Windows<\/li>\n<li>Protokollierung und Sicherheits\u00fcberwachung<\/li>\n<li>Datensicherung, Wiederherstellung und L\u00f6schung<\/li>\n<\/ul>\n<p>H) Risiken aus dem Einsatz von SAP GRC<\/p>\n<ul>\n<li>Access Management-Prozesse<\/li>\n<li>Anpassung von Pr\u00fcfungshandlungen beim Einsatz von SAP GRC Access Control 12<\/li>\n<li>Neue Anforderungen an die IT-Pr\u00fcfung<\/li>\n<li>Pr\u00fcfprogramme: SAP GRC Access Control<\/li>\n<li>SoD Risiken<\/li>\n<\/ul>\n\n\n<h2 class=\"wp-block-heading\">Welche Kontrollziele gibt es im SAP Pr\u00fcfleitfaden der DSAG?<\/h2>\n\n\n\n<p>Zusammenfassung der Kontrollziele:<\/p>\n\n\n\n<p><\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Sicherstellung eines angemessenen Zugriffsschutzes durch geeignete Systemparameter und Anmeldekontrollen.<\/li>\n\n\n\n<li>\u00dcberwachung und Erkennung von Systemmanipulationen durch geeignete Security Policies und Audit Logs.<\/li>\n\n\n\n<li>Verschl\u00fcsselung der Kommunikation zwischen Client und Server nach aktuellen Verfahren.<\/li>\n\n\n\n<li>Schutz der Gateway-Kommunikation mittels Access Control Listen (ACL).<\/li>\n\n\n\n<li>Verhinderung von Mehrfachanmeldungen und Definition von G\u00fcltigkeitszeitr\u00e4umen f\u00fcr Benutzerkennungen.<\/li>\n\n\n\n<li>Sicherheitskonfigurationen f\u00fcr Sonderbenutzer und Mechanismen f\u00fcr die Verwaltung von Benutzergruppen.<\/li>\n\n\n\n<li>\u00dcberwachung der Wirksamkeit der Anmeldekontrollen und Installation g\u00fcltiger Serverzertifikate.<\/li>\n\n\n\n<li>Etablierung von Prozessen f\u00fcr Notfallzugriffe und Auditierung von Systemvorg\u00e4ngen.<\/li>\n\n\n\n<li>Nutzung aktueller Clients und Dokumentation der eingesetzten Schnittstellen.<\/li>\n\n\n\n<li>Verwendung von Single-Sign-On (SSO).<\/li>\n\n\n\n<li>Klare Definition von Kontrollzielen f\u00fcr Autorisierungen und die Einrichtung eines effektiven internen Kontrollsystems und eines Informationssicherheitsmanagementsystems (ISMS).<\/li>\n\n\n\n<li>Effektives Management von Benutzern, Rollen und Berechtigungen, inklusive klarer Vorgaben f\u00fcr Standardrollen und -berechtigungen sowie Regeln f\u00fcr sensitive Funktionen.<\/li>\n\n\n\n<li>Regelm\u00e4\u00dfige Kontrollen und Ma\u00dfnahmen f\u00fcr sicherheitsrelevante \u00c4nderungen, inklusive restriktiver Vergabe von Berechtigungen und Trennung von Entwicklungs- und Produktivdaten.<\/li>\n\n\n\n<li>Eindeutige Definition von ausgelagerten Diensten und Verantwortlichkeiten, regelm\u00e4\u00dfige \u00dcberpr\u00fcfung der Eignung und Funktionalit\u00e4t des IKS und Sicherstellung der Verf\u00fcgbarkeit von rechnungslegungsrelevanten Daten.<\/li>\n\n\n\n<li>Kontrollen zur Verhinderung unautorisierten Zugriffs und Manipulationen durch den Service-Provider.<\/li>\n\n\n\n<li>Geeignete Authentifizierungs- und Autorisierungsma\u00dfnahmen auf Datenbankebene zur Gew\u00e4hrleistung des Datenzugriffs nur f\u00fcr autorisierte Administratoren und technische Benutzer.<\/li>\n\n\n\n<li>Absicherung der SAP HANA-Datenbank und Integration von Standard-IT-Prozessen in die S\/4-HANA-Anwendungsschicht.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">Wie kann ich den S4\/HANA Pr\u00fcfleitfaden der DSAG erhalten?<\/h2>\n\n\n\n<p>Die DSAG (Deutschsprachige SAP-Anwendergruppe) stellt eine Vielzahl von Leitf\u00e4den und Ressourcen f\u00fcr ihre Mitglieder zur Verf\u00fcgung. Dazu geh\u00f6rt auch der S\/4HANA Pr\u00fcfleitfaden. In der Regel k\u00f6nnen Sie diese Materialien \u00fcber die DSAG-Website oder das DSAG-Netzwerk beziehen.<\/p>\n\n\n\n<p>Sofern Sie bereits Mitglied der DSAG sind, k\u00f6nnen Sie sich auf deren Website einloggen und den gew\u00fcnschten Leitfaden herunterladen. Sollten Sie kein Mitglied sein, ist es in der Regel erforderlich, dass Sie sich f\u00fcr eine Mitgliedschaft anmelden, um Zugriff auf die vollst\u00e4ndigen Materialien und Ressourcen zu erhalten.<\/p>\n\n\n\n<p>Der Leitfaden ist hier als <a href=\"https:\/\/dsag.de\/wp-content\/uploads\/2023\/06\/20230605_S4HANA-Pruefleitfaden.pdf\">PDF <\/a>erh\u00e4ltlich.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der 2023 aktualisierte SAP Pr\u00fcfleitfaden der DSAG unterst\u00fctzt IT-Auditoren bei der Auswahl und Bewertung von Kontrollzielen. Der Pr\u00fcftleitfaden umfasst 335 Seiten und fokusiert sich auf S4\/HANA OnPremise sowie S4\/HANA Cloud. Der Artikel geht auf die Kontrollziele des Pr\u00fcfleitfadens ein und fasst die Themen des Arbeitskreises Revision und Risikomanagement zusammen.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_uag_custom_page_level_css":"","site-sidebar-layout":"right-sidebar","site-content-layout":"boxed-container","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[5],"tags":[44,41,42,43,7],"class_list":["post-390","post","type-post","status-publish","format-standard","hentry","category-sap","tag-audit","tag-dsag","tag-pruefleitfaden","tag-s4-hana","tag-sap"],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false},"uagb_author_info":{"display_name":"BALTX","author_link":"https:\/\/techltx.com\/de\/author\/baltx-com\/"},"uagb_comment_info":0,"uagb_excerpt":"Der 2023 aktualisierte SAP Pr\u00fcfleitfaden der DSAG unterst\u00fctzt IT-Auditoren bei der Auswahl und Bewertung von Kontrollzielen. Der Pr\u00fcftleitfaden umfasst 335 Seiten und fokusiert sich auf S4\/HANA OnPremise sowie S4\/HANA Cloud. Der Artikel geht auf die Kontrollziele des Pr\u00fcfleitfadens ein und fasst die Themen des Arbeitskreises Revision und Risikomanagement zusammen.","_links":{"self":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/390","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/comments?post=390"}],"version-history":[{"count":19,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/390\/revisions"}],"predecessor-version":[{"id":458,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/390\/revisions\/458"}],"wp:attachment":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/media?parent=390"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/categories?post=390"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/tags?post=390"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}