Systemtransparenz für die...

CheckAud®

for SAP® SystemsSystemtransparenz für die

InteressenvertretungInteressenvertretung

Katrin Fitz – IBS Schreiber GmbH

i Pzu meiner Person

• Katrin Fitz• Dipl -Wirtschafts-Ing CISADipl. Wirtschafts Ing., CISA• 34 Jahre• seit 2005 bei IBS• Leiterin Vertrieb • Leiterin Vertrieb

CheckAud® for SAP® Systems

- 2/29 -

A dAgenda• Vorstellung IBS• Zielsetzung CheckAud®g• Funktionsprinzip• Exkurs: SAP® Berechtigungen• Exkurs: SAP Berechtigungen• der CheckAud® Analysebaum• Funktionen für die Interessenvertretung• Live Demo• CheckAud® Editionen

- 3/29 -

IBS S h ib G bHIBS Schreiber GmbH

unser Portfolio• PrüfungPrüfung• Beratung /

P j ktb l itProjektbegleitung• SchulungSc u u g• DatenschutzAgenda

IBS Schreiber

• PrüfsoftwareZielsetzung CheckAud®

FunktionsprinzipSAP® BerechtigungenCheckAud® Analysebaum

- 4/29 -

CheckAud AnalysebaumFunktionen f. InteressenvertretungLive DemoCheckAud® Editionen

Th h ktThemenschwerpunkte

• Berechtigungskonzepte• Systemsicherheit in SAP®Systemsicherheit in SAP• Betriebssystemprüfung• Internetsecurity• Auditing-Konzepte• Auditing-Konzepte• Umsetzung des SOA (Sarbanes Oxley Act)Agenda

IBS Schreiber

• Analyse von EigenentwicklungenZielsetzung CheckAud®


- 5/29 -


D t h tDatenschutzP üf t ll fü D t h t t d • Prüfstelle für Datenschutzmanagement und –organisation

S h tä di P üf t ll fü IT P d kt – Sachverständige Prüfstelle für IT-Produkte (technisch)

– Vom Landeszentrum für Datenschutz Schleswig-Vom Landeszentrum für Datenschutz SchleswigHolstein (ULD) anerkannt

– Gutachten für IT-Gütesiegel• IBS-Mitarbeiter als Externe

DatenschutzbeauftragteAgendaIBS Schreiber

• DatenschutzseminareZielsetzung CheckAud®


- 6/29 -


Prod ktfamilie CheckA d®Produktfamilie CheckAud®

AgendaIBS SchreiberZielsetzung CheckAud®


- 7/29 -


CheckA d® for SAP® S stemsCheckAud® for SAP® Systemsüb i t fü Siübernimmt für Sie• Prüfung sämtlicher Berechtigungen in SAP® Systemen

d d d hund dadurch• Überwachung der Funktionstrennungen

Wahr ng der Unternehmens orgaben • Wahrung der Unternehmensvorgaben • Wahrung der gesetzlichen Anforderungen zum

BerechtigungskonzeptBerechtigungskonzept• Dokumentation des Berechtigungskonzeptes• Einhaltung der Datenschutzrichtlinien

AgendaIBS Schreiber Einhaltung der Datenschutzrichtlinien

Transparenz im SAP® SystemZielsetzung CheckAud®


- 8/29 -


CheckA d® for SAP® S stemsCheckAud® for SAP® Systems

übernimmt NICHT• Verhaltens- und LeistungskontrolleVerhaltens und Leistungskontrolle

Die SAP Logs werden nicht gelesen Es Die SAP Logs werden nicht gelesen. Es kann also nicht dargestellt werden, welcher Mitarbeiter welche Transaktion aufgerufen Mitarbeiter welche Transaktion aufgerufen hat!Agenda

IBS Schreiber

keine Leistungskontrolle möglich.Zielsetzung CheckAud®


- 9/29 -


F kti Üb bli kFunktionen - Überblickö li h i t B i i lmöglich ist zum Beispiel:

• Prüfung über anpassbare Analysebäume• Auswerten kritischer Berechtigungen,

BerechtigungskombinationenÜ• Überwachung von Funktionstrennungen

• Überprüfung der aktuellen Systemeinstellungeng y g• Dokumentation und Wissensbasis für Prüfungen • Erstellung von Berichten aus den

AgendaIBS Schreiber Erstellung von Berichten aus den

ErgebnissenZielsetzung CheckAud®


- 10/29 -


F kti i iFunktionsprinzipCheckAud®

Scan RFC-VerbindungCa. 550 Tabellen

*.sda/*.six

VisualisierungIns

Visualisierung

D t t

Aud

DB Datenexport

AgendaIBS Schreiber Aud

Berichte

Zielsetzung CheckAud®


- 11/29 -


V t il l t T lVorteile als externes Tool

• SAP® System wird nicht belastet• geringe Berechtigungen notwendiggeringe Berechtigungen notwendig• flexible Handhabung• Änderungen im SAP® System durch

CheckAud® nicht möglich!C ec ud c t ög cAgendaIBS SchreiberZielsetzung CheckAud®


- 12/29 -


B hti i SAP®Berechtigungen in SAP®

V l fü B hti Obj kt• Vorlage für Berechtigung: Objekt– ca. 1.500 verschiedene im SAP®

b SAP®– vorgegeben von SAP®

– jedes bis zu 10 Felder, z B Aktivität Berechtigungslevel Buchungskreis z.B. Aktivität, Berechtigungslevel, Buchungskreis, Infotyp, Berechtigungsgruppe

Aufbau eines Objektes Beispielobjekt

Feld 1Feld 2

Objekt NameInfotypBerechtigungslevel

P_ORGINAufbau eines Objektes Beispielobjekt

AgendaIBS Schreiber

…Zielsetzung CheckAud®


- 13/29 -



• Aus Objekten werden Berechtigungen erzeugt– ca. 10.000 in IBS Beispielsystem– alle Unternehmensspezifisch– Berechtigung enthält die gleichen Felder wie das

Objekt, das als Vorlage gedient hat– Felder werden durch Werte „ausgeprägt“

Feld 1 Wert 1Name

Aufbau einer Berechtigung Beispielberechtigung

T-E255033100(P ORGIN)

AgendaIBS Schreiber

Feld 2 Wert 2… …

Infotyp 0008Ber.-Level R (Lesen)

(P_ORGIN)Zielsetzung CheckAud®


- 14/29 -



Zusammenhang gBerechtigung - Berechtigungsobjekt

P ORGINObjekt

Infotyp

Berechtigungslevel

P_ORGINBerechtigung

T-E255033100Berechtigungslevel

Infotyp 0008

Ber Level R (Lesen)

(P_ORGIN)

Ber.-Level R (Lesen)

• Objekt: Stempel• Berechtigung: ausgefüllter Stempelabdruck

AgendaIBS Schreiber Berechtigung: ausgefüllter StempelabdruckZielsetzung CheckAud®


- 15/29 -



• (fast) jede Funktion in SAP® fordert eine bestimmte Kombination von Berechtigungen

• Bsp : HR Basisbezüge lesen• Bsp.: HR-Basisbezüge lesen

Infotyp 0008

(P_ORGIN)

Transaktion PA10

(S_TCODE)+Agenda

IBS Schreiber

Ber.-Level R (Lesen)Transaktion PA10



- 16/29 -


R ll / P filRollen / ProfileBerechtigungen werden in Profilen gesammelt• Berechtigungen werden in Profilen gesammelt

• Profile werden über Rollen Benutzern zugewiesen• vereinfachte Darstellung:vereinfachte Darstellung:

Transaktion

BerechtigungPFCG

SammelprofilProfilRolleAgendaIBS Schreiber

BenutzerSammelrolle



- 17/29 -


S t t it Ch kA d®Systemtransparenz mit CheckAud®

®Was macht nun CheckAud®?• Analysebaum enthält technische y

Beschreibungen der Funktionen(benötigte Berechtigungen)( g g g )

• Prüfer muss nur Funktionen, nicht benötigte Berechtigungen kennenBerechtigungen kennen

• Analyseergebnis: Namen der Benutzer die alle Berechtigungen haben um ein spezielle

AgendaIBS Schreiber Berechtigungen haben, um ein spezielle

Funktion ausführen zu können.Zielsetzung CheckAud®


- 18/29 -


D A l bDer Analysebaum• Der Prüfplan für jedes

SAP® Modul• Prüfungsinformationen

zu jedem Prüfpunktj p• Über 2.000 vordefinierte

kritische kritische Berechtigungen

• Beliebig erweiterbar AgendaIBS Schreiber • Beliebig erweiterbar

und anpassbarZielsetzung CheckAud®


- 19/29 -


I t t tspez. InteressenvertretungEi h lt d • Einhaltung des Betriebsverfassungsgesetzes– ist Verhaltens- und ist Verhaltens und

Leistungskontrolle im SAP System möglich?

Ei h lt i t • Einhaltung von internen Regelungen (z. B. Betriebsvereinbarungen)(z. B. Betriebsvereinbarungen)

• Schutz der Mitarbeiter durch Minimums-PrinzipAgenda

IBS Schreiber p• Datenschutzanforderungen• …



- 20/29 -


A l b f B t i b ätAnalysebaum f. Betriebsräte• Erstellt in Zusammenarbeit

mit der TBS NRW• Erklärende Texte

Angepasst an Bedürfnisse g pder Interessenvertretung

• Fragestellungen Fragestellungen ausgewählt nach Bedürfnissen der

AgendaIBS Schreiber Bedürfnissen der

InteressenvertretungZielsetzung CheckAud®


- 21/29 -


Li DLive Demo

weiter:live am System!



- 22/29 -


St t iStrategieE t ll i i A l b• Erstellen eines eigenen Analysebaumsdurch Kopieren vorhandener Elemente

• Empfehlung: Diskussion mit Fachbereich / Administration

• Erste Prüfung, Diskussion der Ergebnisseggf Anpassungen am Baum• ggf. Anpassungen am Baum

• Regelprüfungen mit minimalem AgendaIBS Schreiber

AufwandZielsetzung CheckAud®


- 23/29 -


EditiEditionen

• RealtimeAudit Edition• PrimeAudit EditionPrimeAudit Edition• QuickAudit Edition• Auditor‘s Editionzusätzlich:zusätzlich:• Audit ServicesAgenda

IBS SchreiberZielsetzung CheckAud®


- 24/29 -


R lti A dit EditiRealtimeAudit Edition

Für die Sofortkontrolle im administrativenTagesgeschäftTagesgeschäft

Zusätzliche Funktion:• Echtzeitauswertung ohne vorherigen • Echtzeitauswertung, ohne vorherigen

ScanAgendaIBS SchreiberZielsetzung CheckAud®


- 25/29 -


P i A dit EditiPrimeAudit Edition

• alle CheckAud® Funktionalitäten(außer Echtzeitauswertung)( g)

ZielgruppenR i i• Revision

• Fachbereicheac be e c e• AdministrationAgenda

IBS Schreiber

• Betriebsrat / DatenschützerZielsetzung CheckAud®


- 26/29 -


Q i kA dit EditiQuickAudit EditionCh kA d® fü d CheckAud® für das

Wesentliche• Funktionen auf Standard-

Prüfung optimiertg p• fest integrierte

AnalysebäumeAnalysebäumeAgendaIBS Schreiber

• geringer Kostenaufwand!Zielsetzung CheckAud®


- 27/29 -


R fReferenzen



- 28/29 -


Haben Sie noch Fragen?Haben Sie noch Fragen?

IBS Schreiber GmbHZirkusweg 120359 Hamburg20359 Hamburg

Telefon: +49 (0) 40 / 69 69 85-42E-Mail: [email protected]

www.CheckAud.de

Systemtransparenz für die...

Documents

Transcript of Systemtransparenz für die...