Alle Jahre wieder, das ist jedem SAP- und Security-Verantwortlichen klar, steht das Wirtschaftsprüfer-Audit an. Und trotzdem herrscht dann oft Unsicherheit über die aktuelle Risikosituation der SAP-Systeme. Konnten alle Schwachstellen der letzten Prüfung tatsächlich bereinigt werden? Sind in der Zwischenzeit erneut Risiken hinzugekommen? Wer hier nicht aktiv gegensteuert, findet sich alljährlich wieder in der gleichen Situation.
Nach der Prüfung ist vor der Prüfung
SAP-Berechtigungskonzepte sind ständigen Veränderungen unterworfen. Gerade deshalb werden Berechtigungen wie SAP_ALL oder die Absicherung der SAP-Standard-User, aber auch SoD-Risiken von den Wirtschaftsprüfern jedes Jahr aufs Neue geprüft. Die Liste der notwendigen Maßnahmen ist lang, vom Einspielen der Sicherheits-Patches bis hin zur Kontrolle und Reduzierung kritischer Berechtigungen. Häufig bekommen dann Security-Spezialisten kurzfristig den Auftrag sicherzustellen, dass die Finding-Liste des letztjährigen Wirtschaftsprüfer-Audits gründlich abgearbeitet wurde und dass seit der Bereinigung keine gravierenden Risiken hinzukamen, ob Debug und Replace, Löschen von Änderungsbelegen oder Start aller Reports bei einzeln kritischen Berechtigungen. Ein Grund für diese Ad-hoc-Beauftragungen ist, dass aufgrund Ressourcenmangels zwischenzeitlich keine Nachprüfung der Bereinigungen nach dem letzten Audit erfolgte.
Beschränken Sie sich auf dieses reaktive Vorgehen, ist der alljährliche Kreislauf vorprogrammiert.
Sind alle alten Findings gerade noch vor der nächsten Wirtschaftsprüfung eliminiert oder mitigiert, testet der Wirtschaftsprüfer diese nicht nur, sondern er führt natürlich auch weitere Prüfungen durch, erstellt erneut eine Finding-Liste und das Spiel beginnt von vorne. Um kurzfristig Schaden abzuwenden, ist eine zeitpunktbezogene Aktion daher zwar notwendig, aber nicht zukunftsträchtig. Der Compliance-Status des Systems verschlechtert sich sofort wieder durch Zuweisung neuer Berechtigungen, ein Wiedereinschleichen ist nicht proaktiv zu verhindern. Neue Risiken bleiben im Jahresverlauf oft unerkannt, so lange bis das nächste Audit ansteht. Es wird also weder kontinuierlich an der Verbesserung der Situation gearbeitet, noch findet eine permanente Risikokontrolle statt.
Jedes Wirtschaftsprüfer-Audit stellt lediglich eine Momentaufnahme dar
Eine Finding-Liste zeigt immer nur einen kleinen Ausschnitt der Risiken in einem SAP-System. Doch was ist mit Vorgangs-, Änderungs- und Verhaltensanalysen? Wann und wo sind Mitarbeiter von vorgegebenen Arbeitsweisen abgewichen? Wurden differierende Einstellungen mutwillig wieder auf den „Soll“-Zustand zurückgeändert? Die Lösung für dieses Problem ist dabei relativ einfach: Warten Sie nicht bis zum nächsten Audit, sondern machen Sie sich jetzt eigene Schwachstellen bewusst. Nur so bleibt die Sicherheit Ihrer SAP-Systeme ganzjährig gewährleistet und eine schnelle Reaktionsfähigkeit bei Anomalien erhalten.
Aktives statt reaktives Risikomanagement
Der einfachste und gründlichste Weg dazu ist der Einsatz einer toolgestützten, ganzheitlichen Lösung für SAP Threat Detection und Access Governance wie der SAST SUITE. Diese übernimmt nicht nur eine umfassende Echtzeitüberwachung, sondern auch die Integration von zyklischen Prüfungen bis hin zum Erstellen eines Auditplans mit eigener Policy für die Finding-Liste des Wirtschaftsprüfers. So kommen neben seiner jährlichen Begutachtung regelmäßige interne Audits zum Einsatz, um die Konfiguration von SAP-Landschaften und die User-Berechtigungen zu prüfen. Ihr Vorteil: Sie analysieren einzelne Aspekte in kürzeren Zeitintervallen, bereiten jährliche Audits vor sowie nach und unterstützen interne Kontrollsysteme.
Verfolgen Sie einen ganzheitlichen Ansatz
Eine Ad-hoc-Bereinigung der Wirtschaftsprüfer-Findings ist mit der SAST SUITE schnell und effektiv möglich. Eine solche initiale Aktion sollte aber nur Ausnahme und Anfang sein, da stets eine große zeitliche Überwachungslücke entsteht. Entscheidend für ein verlässliches IT-Sicherheitskonzept ist vielmehr ein durch Lösungen wie die SAST SUITE ermöglichtes aktives Risikomanagement und das Erreichen eines Stadiums des kontinuierlichen „Stay Clean“ durch regelmäßige Analysen und zyklische Prüfungen mit einem klaren Auditplan, Definition des Audit-Umfangs, der Planung wiederkehrender Prüfungen und einer automatisierten Audit-Durchführung. Damit bleiben bereinigte Systeme auch clean und Sie können dem Wirtschaftsprüfer beim nächsten Besuch ganz entspannt die Tür öffnen.
Weitere Informationen erhalten Sie auf unserer SAST SOLUTIONS Website oder melden Sie sich bei uns.
Vertiefende Einblicke in dieses Thema bietet Ihnen unser gleichnamiges Webinar „Bereinigen Sie Ihre Top-Findings, bevor der Wirtschaftsprüfer kommt!“. Die Aufzeichnung stellen wir Ihnen gerne zur Verfügung.
Weitere Beiträge zum Thema:
Wenn der Wirtschaftsprüfer zum IT-Audit klingelt, war der Hacker vielleicht schon da
Wie Sie mit dem SAST Risk and Compliance Management Ihr SAP-Systemaudit planen und ausführen