Prüfleitfaden SAP ERP 6.0 - DSAG

Deutschsprachige SAP ® Anwendergruppe 

Prüfleitfaden SAP ERP 6.0 

DSAG ARbEitSGRuPPE AuDit RoADmAP 

StAnD mäRz 2009

Seite 2 

DSAG Arbeitsgruppe Audit Roadmap 

S.2–113 

Prüfleitfaden SaP erP 6.0, 

teil 1, Stand 1.0 märz 2009 

S.114–183 


teil 2, BetrieBSwirtSchaftlicher teil , Stand 1.0 

dSaG e. V. 

deutschsprachige SaP-anwendergruppe

Einleitung 

der vorliegende Prüfleitfaden der arbeitsgruppe (aG) audit roadmap bezieht sich auf den release-Stand 

SaP erP 6.0. die aG ist teil der deutschsprachigen SaP-anwendergruppe e. V. (dSaG) mit Sitz in walldorf. 

zielsetzung ist, revisoren anhaltspunkte für die Prüfungen von SaP-anwendungen zu geben. in diesem 

leitfaden werden Prüfaspekte für den Basisbereich im teil 1 und auf der applikationsebene für die module 

fi, mm, cO und Sd im teil 2 aufgezeigt. 

die Prüflisten in diesem leitfaden sind als hinweise für einen mit SaP vertrauten Prüfer gedacht. Sie sind 

keine verbindliche richtlinie oder norm. Jegliche Verantwortung für art, Umfang und ergebnis externer und 

interner Prüfungen verbleibt beim Prüfer selbst. in seiner Verantwortung liegt auch die zuordnung der 

ausgewählten Prüfungsschwerpunkte zu einschlägigen iSO normen, z. B. für it-Sicherheit iSO / iec 27001, 

zu rahmenwerken für die Prüfung, z. B. cOSO, cOBit oder zu berufsständischen Prüfungsstandards. 

Voraussetzung ist die erfahrung mit dem SaP-System, insbesondere mit SaP erP 6.0 sowie Kenntnisse der 

gesetzlichen Vorschriften für die rechnungslegung. zur detaillierten auseinandersetzung mit der neuen 

SaP-architektur verweist das autorenteam auf die SaP-Online-dokumentation, auf entsprechende 

literatur und Schulungskurse. 

die Kapitel des Prüfleitfadens sind alle einheitlich aufgebaut: zunächst werden für das unter der Kapitelüber- 

schrift genannte Prüfungsfeld summarisch risiken und Kontrollziele aufgeführt, anschließend folgen in den 

gekennzeichneten Prüfprogrammen detaillierte Prüfungshandlungen zu den genannten risiken und 

Kontrollzielen. die Kapitel sind thematisch in sich abgeschlossen, um redundanzen weitestgehend zu 

vermeiden. 

die ausgewählten Prüfprogramme vermitteln handlungen, die dem Prüfer die wahrnehmung der kritischen 

kundenspezifischen ausprägungen, der technischen SaP-Konzepte und -funktionen erleichtern sollen. die 

notwendigen kundenspezifischen organisatorischen Prozesse müssen jeweils individuell dem Prüfungsumfang 

angepasst werden. 

der Prüfleitfaden wird in Versionen fortgeschrieben. 

hinweise zum teil 1 (Basisbereich): 

> eine Prüfungshandlung auf fehlerhafte Konfiguration der SaP Software ist in der linken Spalte mit einem 

„h“ gekennzeichnet, wenn diese ein hohes risiko bedeutet. dies ist als ein hinweis für den Prüfer gedacht. 

der Prüfleitfaden bietet allerdings keine systematische risikobewertung. 

> Bei Prüfungshandlungen, die durch das SaP audit informationssystem (aiS) unterstützt werden, ist der 

betreffende aiS menüpfad angegeben. 

> Prüfungshandlungen, die der SaP Security Optimization Self-Service unterstützt (http://service.sap.com/ 

SOS), sind mit „SOS“ gekennzeichnet. text und nummer der automatisierten Prüfung sind angegeben. 

Seite 3 Prüfleitfaden SaP erP 6.0, teil 1, Stand märz 2009, © dSaG e. V.

Seite 4 

Einleitung 

die autoren des ersten teils sind mitglieder der aG audit roadmap des dSaG arbeitskreises „revision und 

risikomanagement“, der zweite teil ist analog des Schulungskurses fin 900 aufgesetzt worden. die 

Verantwortung für den inhalt tragen die autoren. 

© cOPyriGht 2009 dSaG e.V. 

die aUtOren: 

herr thorsten Bretzler Bhi informatik 

herr Önder Güngör SaP aG 

herr Oliver herbert Bhi informatik 

herr martin le maire heidelberger druckmaschinen aG 

herr carsten Schultz Pricewaterhousecoopers aG 

frau Beate Spickenheier ernst Klett aG 

hinweiS: 

die vorliegende Publikation ist urheberrechtlich geschützt (copyright). alle rechte liegen, soweit nicht 

ausdrücklich anders gekennzeichnet, bei: 

deUtSchSPrachiGe SaP ® anwenderGrUPPe e.V. 

altrottstraße 34 a 

69190 walldorf 

deutschland 

Jedwede unerlaubte Verwendung ist nicht gestattet. dies gilt insbesondere für die Vervielfältigung, 

Verbreitung, übersetzung oder die Verwendung in elektronischen Systemen / digitalen medien. 

die autoren des Prüfleitfadens sind für Kritik, änderungs- und ergänzungswünsche dankbar. zuschriften 

an die autoren können formlos an die folgende e-mail-adresse: 

PrUefleitfaden@Bh-infOrmatiK.de 

gerichtet werden, die Betreffzeile muss dabei mit dem wort „Prüfleitfaden“ beginnen. auch das formular 

auf der folgenden Seite kann verwendet werden.

an die 

arbeitsgruppe „SaP audit roadmap“ 

z. hd. herrn Oliver herbert 

c/o. Bhi informatik Bretzler und herbert Partnerschaft 

mainzer landstraße 27–31 

d-60329 frankfurt am main 

aBSender 

name 

funktion 

abteilung 

firma 

anschrift 

telefon telefax 

erGänzende infOrmatiOn(en) zUm Prüfleitfaden SaP erP 06 

ich beziehe mich auf den Prüfleitfaden erP 6.0 Version: 

.V0 ................. Seite: ................. textnummer: ................. 

meine infOrmatiOn laUtet: 

fax: +49 (0) 069 – 27 40 15-111 

............................................................................................................................................................................................ 

............................................................................................................................................................................................ 

............................................................................................................................................................................................ 

............................................................................................................................................................................................ 

............................................................................................................................................................................................ 

............................................................................................................................................................................................ 

............................................................................................................................................................................................ 

............................................................................................................................................................................................ 

............................................................................................................................................................................................ 

zUr weiteren erläUterUnG Sind anlaGen BeiGefüGt (Bitte anKreUzen): 

( ) Ja 

( ) nein 

Bitte pro information ein formblatt verwenden! 


Seite 6 

Gliederung 

1 SaP erP 6.0 8 

2 PrüferrOlle, BeStandSaUfnahme der SaP-SyStemlandSchaft Und 

der richtlinien deS UnternehmenS 9 

2.1 Grundlagen zur erstellung einer Prüferrolle 9 

2.2 Bestandsaufnahme der SaP-Systemlandschaft 9 

2.3 Bestandsaufnahme der richtlinien des Unternehmens 10 

3 identifiKatiOn Und aUthentiSierUnG (aBaP StacK) 12 

3.1 anmeldekontrollen 12 

3.2 risiken 12 

3.3 Kontrollziele 12 

3.4 Prüfprogramm: Systemparameter für die anmeldekontrolle 13 

3.5 tabelle: Vorschlagswerte für die Systemparameter der anmeldekontrolle 16 

3.6 Prüfprogramm: Gültigkeitszeitraum von Benutzerkennungen 18 

3.7 Prüfprogramm: Sichere Konfiguration besonderer Benutzertypen 20 

3.8 Prüfprogramm: überwachung der wirksamkeit des zugriffsschutzes 24 

4 aUtOriSierUnG (aBaP-StacK) 26 

4.1 Berechtigungsvergabe 26 



4.4 Prüfprogramm: dokumentiertes Berechtigungs- und Benutzerkonzept 27 

4.5 Prüfprogramm: notfallbenutzerkonzept (aBaP Stack) 29 

4.6 Prüfprogramm: nutzung kritischer SaP Standardprofile / -rollen 30 

4.7 Prüfprogramm: ersetzen kritischer Vorschlagswerte im Profilgenerator 32 

4.8 Prüfprogramm: Ordnungsmäßige Berechtigungs- und Benutzerorganisation 36 

4.9 tabellen: Beispielszenarien der Organisation einer Benutzer- und Berechtigungsverwaltung 38 

4.9.1 Szenario 1: 4-augen Prinzip 38 



4.10 Prüfprogramm: Berechtigungen für die Benutzer- und Berechtigungsverwaltung 46 

4.11 Prüfprogramm: Sicherheitsmechanismen zur aktivierung der Prüfung von Berechtigungen 49 

5 SySteminteGrität aUf der anwendUnGSeBene 50 

5.1 Gewährleisten der integrität von System und daten 50 



5.4 Prüfprogramm: Systemeinstellungen zum Schutz des Produktivsystems gegen änderungen 51 

5.5 Prüfprogramm: Systemeinstellungen zum Schutz der mandanten 53 

5.6 Prüfprogramm: nachvollziehbarkeit von änderungen an tabellen im Produktivsystem 55 

5.7 Prüfprogramm: Ordnungsmäßige Verbuchung 58 

5.8 Prüfprogramm: Schutz sicherheitskritischer Systemeinstellungen und Basisberechtigungen 59 

5.9 Prüfprogramm: Schutz der rfc-aufrufe 64 

5.10 Prüfprogramm: Schutz der Batch-input-Prozesse 68 

5.11 Prüfprogramm: Schutz sicherheitskritischer anwendungsberechtigungen 70 

5.12 Prüfprogramm: Schutz der Job-abläufe 72 

5.13 Prüfprogramm: Schutz der druckaufträge 74

6 SOftware-chanGe-manaGement 78 

6.1 Kontrolliertes Software-änderungs- und einsatzverfahren 78 



6.4 Prüfprogramm: 

Ordnungsmäßige und sichere implementierung des transport management Systems 79 

6.5 Prüfprogramm: 

einhaltung der regeln des Software-change-managements für das Produktivsystem 82 

7 SySteminteGrität mit dem SaP JaVa-StacK 86 

7.1 neue und parallele Software-entwicklungs- und anwendungsumgebung 86 



7.4 Prüfprogramm: Sichere Konfiguration des SaP Java Stack 87 

7.5 Prüfprogramm: authentisierung und autorisierung (Java Stack) 88 

7.6 Prüfprogramm: SaP Java Stack Softwareverteilung 92 

8 SySteminteGrität aUf der datenBanKeBene 94 

8.1 interne und externe anforderungen 94 



8.4 Prüfprogramm: authentisierung und autorisierung mit Oracle unter UniX 95 

8.5 Prüfprogramm: autorisierung mit Oracle unter UniX und datenbankmanagement 96 

8.6 Prüfprogramm: authentisierung und autorisierung mit Oracle unter windows 97 

9 SySteminteGrität aUf der BetrieBSSyStemeBene 100 

9.1 interne und externe anforderungen 100 



9.4 Prüfprogramm: authentisierung und autorisierung mit UniX 101 

9.5 Prüfprogramm: authentisierung und autorisierung mit windows 104 

10 KOmmUniKatiOnS- Und netzSicherheit 108 

10.1 Prüfprogramm: Sicherheit des SaP internet transaction Servers 108 

10.2 Prüfprogramm: Sicherheit SaPrOUter 109 

10.3 Prüfprogramm: Sichere Konfiguration des SaP Single Sign-On 110 

11 literatUrVerzeichniS 112 

teil 2 114 

inhaltSVerzeichniS 

BetrieBSwirtSchaftlicher teil 118 


Seite 8 

1 SAP ERP 6.0 

nach den Produkten SaP r / 1 und SaP r / 2 führte SaP im Jahr 1992 SaP r / 3 ein. Bis zum SaP r / 3 

release 4.6 setzte SaP eine zweistufige architektur (SaP Basis und SaP application) ein. mit SaP r / 3 

enterprise wurde auf dreistufig erweitert. 

mit SaP erP, das seit märz 2003 verfügbar ist, bietet SaP ein Bündel von Komponenten, um die erP-relevanten 

Geschäftsprozesse zu unterstützen. an diesem Punkt war SaP r / 3 enterprise eine dieser 

Komponenten. wie aus der abbildung ersichtlich, ist SaP erP selbst dann mehr als nur SaP r / 3 enterprise 

plus SaP netweaver, da die lösung viele funktionale erweiterungen wie Self Services, SaP Sem und mehr 

bereitstellt. 

die nächsten Schritte sind eine engere integration mit SaP erP (insbesondere mit den SaP net-weaverfunktionen), 

erweiterungen im Bereich der Bedienbarkeit und mitarbeitereffizienz und die Senkung der 

total cost of Ownership. darüber hinaus möchte SaP weitere funktionalität bereitstellen. die SaP erP 

central component stellt den nächsten Schritt in dieser entwicklung dar. 

die nachfolgende abbildung vermittelt einen überblick über die entwicklung der erP-lösungen von SaP. 

Architektur von 4.x bis ERP 6.0 

Anwendung 

Technologie 

application 

application 

SaP enterprise 

extension Set 

SaP r / 3 

enterprise core (4.70) 

SaP enterprise 

extension Set 

SAP ERP 2004 

Zusätzliche Komponenten 

Self-Service Procurement 

internet Sales 

... und mehr 

Composite Applications 

SAP ERP Central Component 

Self-Services 

Strategic enterprise management 

Branchenfähig 

SAP ECC Extension Set 

SAP ECC Core 5.00 

SAP NetWeaver ´04 

integration von Personen 

multi channel access 

Portal collaboration 

integration von informationen 

Bus. intelligence Knowledge mgmt 

master data mgmt 

integration von Prozessen 

integration 

Broker 

Business 

Process mgmt 

SAP Web AS 6.40 

J2ee 

aBaP 

Unabhängig von dB und Betriebssystem 

life cycle mgmt 

SAP ERP 6.0 (vormals ERP 2005) 

Zusätzliche Komponenten 

Self-Service Procurement 

internet Sales 

SAP ERP Central Component 

Self-Services 

Branchenfähig 

... und mehr 

Composite Applications 

Strategic enterprise management 

SAP ECC Extension Set 

SAP ECC Core 6.00 

SAP NetWeaver ´04s 

integration von Personen 

multi channel access 

Portal collaboration 

integration von informationen 

Bus. intelligence Knowledge mgmt 

master data mgmt 

integration von Prozessen 

integration 

Broker 

Business 

Process mgmt 

SAP Web AS 6.40 

J2ee 

aBaP 

Unabhängig von dB und Betriebssystem 

life cycle mgmt

2 Prüferrolle, Bestandsaufnahme der SAP-Systemlandschaft 

und der Richtlinien des Unternehmens 

2.1 GrUndlaGen zUr erStellUnG einer PrüferrOlle 

im rahmen einer Prüfung müssen neben den für das Unternehmen geltenden gesetzlichen Vorgaben auch 

die „internen“ compliance-Vorgaben berücksichtigt werden, wobei den gesetzlichen Vorgaben Vorrang zu 

gewähren ist. 

die Prüferrollen sind in der form aufzubauen, dass nur die inhalte der zum Prüfungsumfang gehörenden 

Bereiche angezeigt werden dürfen. dies gilt insbesondere dann, wenn gesetzliche Vorgaben im Kontext des 

datenschutzes oder einer Steuerprüfung (dart-zugriffe) zu erfüllen sind. 

ist aus technischer Sicht in den Prüferrollen eine änderungsfunktion / änderungstransaktion unumgänglich 

(z. B. zugriff auf bestimmte customizing-tabellen), ist diese separat nur für die dauer des spezifischen 

Prüfungsschrittes zu berechtigen. 

Benötigt ein Prüfer Berechtigungen (z. B. zugriff auf eigenentwicklungen), die denen eines notfallusers 

entsprechen, ist gemäß dem vorliegenden notfalluserkonzept zu verfahren. 

es ist wichtig, dass die prüfende instanz keine Sonderrechte erhält, die gegen interne oder gesetzliche 

compliance-Vorschriften verstößt. 

2.2 BeStandSaUfnahme der SaP-SyStemlandSchaft 

nr. 

1. Gibt es ein diagramm der SaP-Systemlandschaft? 

2. 

Gibt es eine übersicht über alle eingesetzten SaP-Systeme, SaP-anwendungen und deren 

releasestand? 

3. auf welchen Betriebssystemen laufen die SaP-Systeme? 

4. welche datenbanken unterstützen die SaP-anwendungen? 

5. 

Gibt es ein netzdiagramm, das die Verbindungen der SaP-Systeme untereinander, zu den 

SaP clients und die netzverbindung in das internet darstellt? 

6. Gibt es eine übersicht über verschlüsselte netzverbindungen? 


Seite 10 

2 Prüferrolle, Bestandsaufnahme der SAP-Systemlandschaft 

und der Richtlinien des Unternehmens 

2.3 BeStandSaUfnahme der richtlinien deS UnternehmenS 

die Unternehmen sind in der Vorgabe und der Gestaltung von internen richtlinien frei. allerdings üben 

gesetzliche Vorgaben und externe it Standards einen normierungsdruck auf inhalte und ausprägung von it 

bezogenen richtlinien aus. 

hier sind lediglich diejenigen Vorgaben aufgeführt, die für die Prüfung von SaP-Systemen relevant sind. 

Sind sie vorhanden, unterstützt das die Prüfung. 

nr. UnternehmenSinterne richtlinien Und it SPezifiSche PrOzeSSdOKUmentatiOn 

1. Gibt es ein Diagramm der SAP-Systemlandschaft? 

1.1 Gibt es Vorgaben für die identifikation von Benutzern? 

1.2 Gibt es Vorgaben zum Passwortschutz? 

1.3 Gibt es Vorgaben für die zuständigkeiten und rollen bei der Berechtigungsvergabe? 

1.4 

Gibt es Vorgaben für die zuständigkeiten und aufgaben der dateneigentümer sowie der 

Systembetreiber? 

2. Ist die IT-Sicherheit von spezifischen Systemplattformen geregelt und dokumentiert, z. B. für: 

2.1 SaP client am arbeitsplatz (Pc, notebook)? 

2.2 netzverbindungen? 

2.3 mS windows Server? 

2.4 UniX Server? 

2.5 datenbank? 

3. Gibt es eine Projektrichtlinie? 

4. Gibt es Vorgaben für das Software Development Life Cycle (SDLC) Management?

NR. UnternehmenSinterne richtlinien Und it SPezifiSche PrOzeSSdOKUmentatiOn 

5. Gibt es für die SAP-Anwendungs- und Systemlandschaft eine Prozessdokumentation für: 

5.1 das customizing? 

5.2 den Betrieb und die überwachung? 

5.3 das change- und Konfigurationsmanagement? 

5.4 das release-management? 

5.5 die Benutzer- und Berechtigungsverwaltung? 

5.6 das it Sicherheits-management? 

5.7 das Business continuity management? 

6. 

Gibt es Service Level Agreements zwischen den Betreibern der SAP-Systemlandschaft 

und den Geschäftseinheiten, die die SAP-Anwendungen für Ihre Geschäftsprozesse 

nutzen? 

7. Ist ein User Help Desk eingerichtet? 


Seite 12 

3 Identifikation und Authentisierung (ABAP Stack) 

3.1 anmeldeKOntrOllen 

die identifikation und authentisierung mittels Benutzerkennung und Kennwort ist ein übliches und 

einfaches Verfahren. das Verhalten des Benutzers bestimmt wesentlich die wirksamkeit des Verfahrens. 

mögliche Schwachstellen sind z. B. einfache, leicht erratbare oder auch anderen Benutzern bekannte 

Kennworte. 

mit zusätzlichen automatisierten regeln kann einfluss auf die wahl des Kennworts und auf den Umgang 

mit dem Kennwort genommen werden. SaP bietet eine reihe solcher möglichen regeln über konfigurierbare 

Systemparameter an. das Unternehmen muss diese gemäß den eigenen Sicherheitsvorgaben 

anpassen. 

3.2 riSiKen 

risiken ergeben sich vor allem aus der fehlerhaften Konfiguration der Systemeinstellungen für die 

anmeldekontrollen des SaP-Systems: 

> die Systemparameter für die anmeldekontrollen sind nicht entsprechend dem it Sicherheitskonzept des 

Unternehmens ausgeprägt. Sie sind unzureichend oder widersprüchlich gesetzt, so dass die beabsichtigte 

wirkung verfehlt wird. 

> Sicherheitsmechanismen sind nicht angemessen umgesetzt, die SaP zur Unterstützung der Benutzer- 

verwaltung bereitstellt, z. B. Vorgabe des Gültigkeitszeitraums, nutzung von Sperrkennzeichen oder von 

besonderen Benutzertypen und die zuordnung zu Benutzergruppen. 

> die Sonderbenutzer, für die SaP im auslieferungsstand der Software bekannte Standardkennworte vor- 

gesehen hat, sind bei der implementierung nicht sicher konfiguriert worden. 

> Sicherheitsereignisse werden nicht erkannt und verfolgt, die ein Unterlaufen der gesetzten anmelde- 

kontrollen bedeuten. 

3.3 KOntrOllziele 

> die Systemparameter für die anmeldekontrollen sind so gesetzt, dass sie in der Verbundwirkung einen 

angemessenen zugriffsschutz gewährleisten. die gewünschte Kennwortqualität wird durch automatisierte 

Vorgaben sichergestellt. ein Schutz vor angriffen auf Kennworte wird konfiguriert. mehrfachanmeldungen 

werden verhindert. 

> Gültigkeitszeiträume für Benutzerkennungen sind definiert. 

> die Sonderbenutzer sind sicher konfiguriert. 

> Sicherheitsmechanismen für die Verwaltung von Benutzergruppen und für besondere Benutzertypen 

sind aktiviert. 

> die wirksamkeit der anmeldekontrollen wird überwacht.

3.4 PrüfPrOGramm: SyStemParameter für die anmeldeKOntrOlle 

nr. SyStemParameter für die anmeldeKOntrOlle 

die Systemparameter, die für die Kennwortbildung und anmeldung relevant sind, werden wie folgt 

angezeigt: 

aiS: System audit – top ten Security reports – Profilparameter anzeigen (generisch über log-in / *) 

aiS: System audit – System Konfiguration – Parameter – Systemparameter, übersicht mit historie 

aiS: System audit – System Konfiguration – Parameter – Systemparameter mit doku. 

hinweis: die im folgenden aufgeführten Vorschlagswerte für die anmeldekontrollen sind noch einmal in 

der tabelle zusammengefasst, die diesem Prüfprogramm folgt. 

1. 

1.1 

H 

1.2 

H 

1.3 

H 

1.4 

H 

1.5 

Kontrollziel: Die Bildung des Kennworts unterliegt Komplexitätsregeln. 

Risiko: das Kennwort ist einfach und kann mit wenigen anmeldeversuchen erraten werden. der 

Benutzer verwendet wiederholt dasselbe Kennwort. er überlistet den systemseitig erzwungenen 

wechsel des Kennworts, wenn keine oder eine zu kurze Passworthistorie gewählt ist. 

die Kennwortmindestlänge login / min_password_lng ist festgelegt. 

Vorschlagswert: 6 zeichen 

hinweis: das SaP-System lässt eine Kennwortlänge von bis zu 40 zeichen zu. 

SOS: minimum Password length is too Short (0126) 

das Kennwort unterliegt Bildungsregeln. 

die relevanten Systemparameter sind login / password_charset, login / min_password_letters, 

login / min_password_digits und login / min_password_specials, login / min_password_lowercase 

und login / min_password_uppercase. 

Vorschlagswerte: Kennwort muss mindestens einen Buchstaben, eine zahl und ein Sonderzeichen 

enthalten. 

SOS: required number of digits / letters / Special characters in Passwords is too low (0129, 0130, 

0131) 

die anzahl zeichen ist geregelt, in denen sich ein neues Kennwort vom alten unterscheiden muss, 

login / min_password_diff. 

Vorschlagswert: 3, d. h. mindestens die hälfte der vorgeschriebenen Passwortlänge. 

SOS: number of characters in which Passwords have to differ is too low (0128) 

die Größe der Passworthistorie ist vorbesetzt, login / password_history_size. 

Vorschlagswert: 15 Kennworte bei einem wechsel, der alle 90 tage erzwungen wird. 

in der tabelle USr40 sind unzulässige Kennwörter eingetragen. 

hinweis: wenn bereits über eine Passwortbildungsregel gefordert ist, dass mindestens ein 

Sonderzeichen zu wählen ist, brauchen in dieser tabelle keine wörter aus dem duden, auch keine 

Buchstaben- oder zahlenkombinationen eingetragen zu werden. 

SOS: trivial Passwords are not Sufficiently Prohibited (0125) 


Seite 14 



2. 

2.1 

H 

2.2 

H 

2.3 

2.4 

3 

3.1 

3.2 

Kontrollziel: Die Gültigkeitsdauer eines Kennworts ist beschränkt. 

Risiko: Benutzerkennungen verbleiben lange mit initialkennwort. der Benutzer kann dasselbe 

Kennwort monatelang verwenden. es besteht das risiko, dass das initialkennwort bekannt ist 

oder dass das Kennwort ausgespäht worden ist. 

die Gültigkeitsdauer eines initialen Kennworts ist geregelt, login / password_max_ idle_initial. 

dieser Parameter zieht nicht für die Benutzer vom typ Service oder System. 

Vorschlagswert: die Gültigkeitsdauer überschreitet nicht drei arbeitstage. 

hinweis: dieser Systemparameter ersetzt die Profilparameter login / password_max_new_valid 

und login / password_max_reset_valid aus dem SaP web anwendungsserver 6.20 und 6.40. 

SOS: Users with initial Passwords who have never logged On (0009) 

der zeitpunkt für den Kennwortänderungszwang ist vorbestimmt, login / password_ expiration_ time. 

Vorschlagswert: erzwungener wechsel des Kennworts nach höchstens 90 tagen. 

SOS: interval for Password change is too long (0127) 

die Gültigkeitsdauer eines nicht benutzten Kennworts ist geregelt, login / password_max_idle_ 

productive. dieser Parameter zieht nicht für die Benutzer vom typ Service oder System. 

hinweis: dieser Parameter gibt die maximale frist an, in der ein produktives vom Benutzer gewähltes 

Kennwort gültig bleibt, wenn es nicht benutzt wird. nachdem diese frist abgelaufen ist, 

kann das Kennwort nicht mehr zur authentifizierung verwendet werden. der Benutzeradministrator 

kann die Kennwortanmeldung durch zuweisen eines neuen initialkennworts wieder 

aktivieren. 

Vorschlagswert: Gültigkeitsdauer eines nicht benutzten Kennworts höher setzen als die dauer für 

den erzwungenen wechsel des Kennworts (max. 180 tage). 

SOS: Users with reset Passwords who have never logged On (0140) 

SOS: Users who have not logged On for an extended Period of time (0010) 

der Benutzer muss sein Kennwort jederzeit ändern können. 

Gemäß der SaP mindesteinstellung ist dies einmal am tag (Standardwert: 1) möglich, login / 

password_change_waittime. 

Vorschlagswert: 1, d. h. der Benutzer muss einen tag warten, bis er sein Kennwort wieder ändern 

darf. 

Kontrollziel: Erschweren des Ausprobierens von Kennworten 

Risiko: Kennworte fremder Benutzerkennungen können über wiederholte anmeldeversuche 

ausprobiert werden. 

die maximale anzahl der falschanmeldungen bis zum abbrechen des anmeldevorgangs ist 

definiert, login / fails_to_session_end. 

Vorschlagswert: 3 als maximale anzahl Passwortfehlversuche bis zum abbruch des Vorgangs. 

die maximale anzahl der falschanmeldungen bis zur Sperre der Benutzerkennung ist bestimmt, 

login / fails_to_user_lock. 

Vorschlagswert: 5 als maximale anzahl Passwortfehlversuche bis Sperre des Benutzers. 

SOS: too many incorrect logon attempts allowed Before a User is locked (0133)


3.3 

4. 

4.1 

5. 

die automatische freischaltung der Benutzerkennungen, die wegen falschanmeldung gesperrt 

wurden, ist auf mitternacht eingeschaltet, login / failed_user_auto_unlock (Standardwert „0“). 

Vorschlagswert: 1,d. h. automatisches entsperren des Benutzers über nacht. 

hinweis: wenn es bei dieser Standardeinstellung bleibt, müssen zusätzlich die gesperrten Benutzerkennungen 

mit den mitteln des SaP audit logs auf auffälliges Vorkommen im zeitverlauf 

überwacht werden. 

SOS: User locks due to failed logon attempts are automatically released at midnight (0134) 

Kontrollziel: Verhindern von Mehrfachanmeldungen 

Risiko: mehrere Benutzer teilen sich eine Benutzerkennung und melden sich getrennt am SaP- 

System an. das ist ein Verstoß gegen die lizenzbestimmungen von SaP. 

mehrfachanmeldungen sind ausgeschlossen, login / disable_multi_gui_login (Standardwert: 1). 

Vorschlagswert: 1, d. h. mehrfache anmeldung ist nicht möglich. 

hinweis 1: ausnahmebenutzer wie administratoren oder notfallbenutzer, denen eine mehrfachanmeldung 

ermöglicht werden muss, sind unter dem Systemparameter login / multi_login_users 

gelistet. 

hinweis 2: das SaP-System protokolliert mehrfachanmeldungen in der tabelle USr41_mld. 

SOS: multiple logons Using the Same User id is not Prevented (0138) 

Kontrollziel: Die unbefugte Nutzung einer offenen SAP-Sitzung durch einen anderen als 

den angemeldeten Benutzer wird erschwert. 

Risiko: ein Kollege nutzt die abwesenheit des Benutzers, um an dessen frontend eine geöffnete 

SaP-Sitzung nicht autorisierte transaktionen durchzuführen. 

5.1 ist ein passwortgeschütztes abschalten der Bedienoberfläche des frontend aktiviert? 

5.2 

wird die möglichkeit der automatischen abmeldung der SaP-Sitzung genutzt? 

der Parameter rdisp / gui_auto_logout ist zweckentsprechend (ungleich „0“) gesetzt. er definiert 

die maximale zeit in Sekunden bei ausbleibender tätigkeit des angemeldeten Benutzers bis zum 

automatischen abmeldung. dies gilt nur für SaP GUi Verbindungen. 

wenn der Parameter auf den Standardwert 0 gesetzt ist, erfolgt keine automatische abschaltung. 

SOS: interval after which inactive Users are logged Off is too long (0137). 


Seite 16 


3.5 VOrSchlaGSwerte für die SyStemParameter der anmeldeKOntrOlle 

nr. Parameter SaP 

mÖGliche 

werte 

1. 

H 

SaP 

VOrein- 

StellUnG 

login / min_password_lng 6–40 6 

(statt 3) 

VOrSchlaGSwert 

6 (Kennwortmindestlänge) 

2. login / password_charset 0,1,2 1 1 (abwärtskompatibel) 

3. 

H 

4. 

5. 

H 

login / min_password_letters 0–40 0 1 (Kennwort muss mindestens 

einen Buchstabe enthalten) 

login / min_password_digits 0–40 0 1 (Kennwort muss mindestens 

eine zahl enthalten) 

login / min_password_specials 0–40 0 1 (Kennwort muss mindestens 

ein Sonderzeichen enthalten) 

6. login / min_password_lowercase 0–40 0 optional 

7. login / min_password_uppercase 0–40 0 optional 

8. 

H 

9. 

H 

10. 

H 

11. 

H 

login / min_password_diff 1–40 1 3 (mindestens die hälfte der 

minimalen Kennwortlänge) 

login / password_history_size 1–100 5 15 Kennworte (bei einem 

wechsel, der alle 90 tage 

erzwungen wird) 

login / password_max_idle_initial 0–24.000 

(tage) 

login / password_expiration_time 0–999 

(tage) 

12. login / password_max_idle_productive 0–24.000 

(tage) 

13. login / password_change_waittime 1–1000 

(tage) 

0 Gültigkeitsdauer für ein initiales 

Kennwort überschreitet nicht 3 

arbeitstage 

0 erzwungener wechsel des 

Kennworts nach höchstens 90 

tagen 

0 Gültigkeitsdauer eines nicht benutzten 

Kennworts höher 

setzen als die dauer für den 

erzwungenen wechsel des 

Kennwort 

1 1 (Benutzer muss einen tag 

warten, bis er sein Kennwort 

wieder ändern darf) 

14. login / fails_to_session_end 1–99 3 3 (maximale anzahl Passwortfehlversuche 

bis abbruch des 

Vorgangs)

nr. Parameter SaP 

mÖGliche 

werte 

15. 

H 

SaP 

VOrein- 

StellUnG 

login / fails_to_user_lock 1–99 5 

(statt 12) 

16. login / failed_user_auto_unlock 0 oder 1 0 

(statt 1) 

VOrSchlaGSwert 

5 (maximale anzahl Passwortfehlversuche 

bis Sperre des 

Benutzers) 

1 (automatisches entsperren 

des Benutzers über nacht) 

17. login / disable_multi_gui_login 0 1 1 (mehrfache anmeldung nicht 

möglich) 

18. login / multi_login_users liste der Benutzer, für die eine 

mehrfachanmeldung möglich ist 

19. login / password_compliance_ to_ 

current_policy 

Zweck: wenn ein bereits vergebenes 

Kennwort nicht mehr den inzwischen 

geänderten Kennwortbildungsregeln 

entspricht, erzwingt das System eine 

änderung des Kennworts bei der anmeldung. 

20. login / password_downwards_ 

compatibility 

Zweck: dieser Parameter spezifiziert 

den Grad der abwärtskompatibilität 

z. B. der unterstützten Passwortlängen 

zu früheren SaP releases. details 

sind der technischen dokumentation 

zu entnehmen. 

21. tabelle USr40 

Beispieleintragungen: 

123456, qwertz, (oder andere zeichenfolge 

auf der tastatur) oder generisch 

*montag*, *Januar*, *Sommer*, 

*Passwort*, ** 

22. rdisp / gui_auto_logout 

definiert die maximale zeit in Sekunden 

bei ausbleibender tätigkeit des 

angemeldeten Benutzers bis zum automatischen 

abmeldung. dies gilt nur 

für SaP GUi Verbindungen. 

wenn der Parameter auf den Standardwert 

0 gesetzt ist, erfolgt keine 

automatische abschaltung. 

0 oder 1 0 optional 

Siehe 

SaP dokumentation 

Jeder 

numerische 

wert 

optional 

abfragen auf triviale Kennworte 

erübrigen sich, wenn bereits 

komplexe Passwortbildungsregeln 

eingestellt sind 

0 Optional, aber verpflichtend, 

wenn keine automatische 

frontend-Sperre eingerichtet 

ist (Bildschirmschoner mit Pc- 

Sperre) 


Seite 18 


3.6 PrüfPrOGramm: GültiGKeitSzeitraUm VOn BenUtzerKennUnGen 

nr. PrüfPrOGramm: GültiGKeitSzeitraUm VOn BenUtzerKennUnGen 

wie viele Benutzer sind im mandant registriert? 

aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – anzahl Benutzerstammsätze 

oder tabelle USr02, keine auswahl vornehmen, die anzahl treffer wird oberhalb der ergebnisliste 

zwischen den Kopfzeilen des SaP menüs angezeigt. 

1. 

1.1 

1.2 

2. 

2.1 

Kontrollziel: Kurze Gültigkeitsdauer von Benutzerkennungen mit Initialkennwort 

Risiko: ein Benutzer meldet sich unter einer fremden Benutzerkennung mit bekanntem 

initial-kennwort an. 

welche Benutzer haben sich noch nie angemeldet? wie lange ist der Benutzer mit initialkennwort 

schon angelegt? 

aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – auswertung 

nach „unbenutzt“ im feld „letzte anmeldung“ 

oder tabelle USr02, feld „letztes login-datum“ mit „=“ auswählen. das entspricht dem feld 

trdat in der angezeigten liste. 

Benutzer mit initialkennwort müssen nach ablauf einer frist von wenigen arbeitstagen automatisch 

gesperrt werden. dies muss über den login-Parameter login / password_max_ idle_initial erzwungen 

sein. 

SOS: Users with initial Passwords who have never logged On (0009) 

SOS: Users with reset Passwords who have never logged On (0140) 

welche Benutzer haben seit längerer zeit ihr Passwort nicht geändert? 

aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – Seit 180 tagen 

Kennwort nicht geändert, ggf. Voreinstellung im feld „tage seit Kennwortänderung“ überschreiben. 

Benutzer müssen regelmäßig ihr Kennwort ändern. dies muss über den login-Parameter login / 

password_expiration_time erzwungen sein. 


Kontrollziel: Alle Benutzer sind mit einem Gültigkeitszeitraum versehen, der dem 

Zeitraum des notwendigen Zugriffs auf das SAP-System entspricht. 

Risiko: nicht mehr benötigte Benutzerkennungen werden nicht rechtzeitig erkannt und gesperrt. 

Sie sind anderen Benutzern bekannt, die unter dieser fremden Benutzerkennung auf das SaP- 

System zugreifen können, wenn ihnen das Kennwort auf welche weise auch immer bekannt 

geworden ist. 

für welche Benutzer ist kein Gültigkeitszeitraum oder ein zu weit gefasster Gültigkeitszeitraum 

eingetragen? 

aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – Benutzer 

nach anmeldedatum, auswertung nach feld „Gültig-Bis“ 

oder über die tabelle USr02 ermitteln, dabei keine auswahl vornehmen, das ergebnis nach dem 

feld GltB, „Gültig Bis“, auswerten. 

abgleich mit informationen zu den mitarbeitern, die die Personalabteilung bereitstellt. 

ist z. B. für mitarbeiter, die auszubildende, temporäre oder externe mitarbeiter sind, ein solches 

Gültig-Bis-datum eingetragen, das dem befristeten arbeitsverhältnis entspricht?


3. 

3.1 

4. 

4.1 

4.2 

4.3 

Kontrollziel: Besondere Zeiträume von Aktivität oder Inaktivität werden durch flexible 

Handhabung und unternehmensindividuelle Kennzeichnung der Sperrung einer Benutzerkennung 

kontrolliert. 

Risiko: nicht aktive Benutzerkennungen sind anderen Benutzern bekannt. diese greifen unter 

dieser fremden Benutzerkennung auf das SaP-System zu, wenn sie das Kennwort ausprobiert 

oder auskundschaftet haben. 

Sind unternehmensindividuelle Varianten der Sperrargumente aktiviert? 

tabelle USr02, feld UflaG, „User Sperre“, mit „=“ auswählen, das ergebnis nach dem 

inhalt von feld UflaG auswerten. 

Sind temporäre Sperren aufgrund bekannter befristeter abwesenheit eines mitarbeiters oder 

besondere Sperrkennzeichnungen für solche mitarbeiter gesetzt, die selten die Benutzerkennung 

benötigen. diese Benutzer haben i. d .r. gleich bleibende Berechtigungen für einen definierten, 

aber temporären auftrag, z. B. für aktivitäten im rahmen von messeveranstaltungen. 

Kontrollziel: Identifikation nicht mehr benötigter Benutzerkennungen 

Risiko: Benutzerkennungen ausgeschiedener Benutzer werden nicht gelöscht. 

welche Benutzer haben sich über einen längeren zeitraum nicht mehr angemeldet? 

aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht – „Benutzer 

nach anmeldedatum“ oder „Seit 30 tagen nicht angemeldet“, 

auswertung nach dem feld „letzte anmeldung“ 

oder über die tabelle USr02 ermitteln, dabei keine auswahl vornehmen, das ergebnis nach dem 

feld trdat, „letztes login-datum“, auswerten. 

abgleich mit informationen zu den mitarbeitern, die die Personalabteilung bereitstellt. 

Benutzerkennungen ausgeschiedener mitarbeiter sind zu löschen. 


welche Benutzer sind gesperrt? 


nach anmeldedatum, 

auswertung nach dem feld „Benutzer gesperrt“. 

Oder über tabelle USr02 ermitteln, feld UflaG, „User Sperre“, mit „=“ auswählen, das 

ergebnis nach dem inhalt von feld UflaG auswerten. 

Benutzerkennungen, die seit längerer zeit gesperrt sind, können Benutzerkennungen ausgeschiedener 

mitarbeiter sein, die zu löschen sind. 

SOS: Profiles on long time locked Users (0089) 

für welche Benutzer ist der angegebene Gültigkeitszeitraum abgelaufen? 


nach anmeldedatum, 

auswertung nach dem feld „Gültig Bis“. 

Oder über die tabelle USr02 ermitteln, dabei keine auswahl vornehmen, das ergebnis nach dem 

feld GltB, „Gültig Bis“, auswerten. 

Benutzerkennungen, deren Gültigkeitszeitraum abgelaufen ist, können Benutzerkennungen 

ausgeschiedener mitarbeiter sein, die zu löschen sind. 


Seite 20 



5. 

5.1 

Kontrollziel: Benutzerkennungen sind bis auf definierte Ausnahmen personenbezogen. 

Risiko: Benutzerkennungen werden als Sammelbenutzer verwendet. es gibt keine organisatorische 

regelung, die in bestimmten fällen Sammelbenutzer zulässt, oder es gibt eine organisatorische 

regelung für Benutzerkennungen, der aber in der ausprägung der Benutzerkennungen 

nicht gefolgt wird. 

welche Benutzerkennungen sind nicht aufgrund des namens eines Benutzers gebildet oder folgen 

nicht der festgelegten namenskonvention für Benutzerkennungen? 

aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht –Benutzer nach 

anmeldedatum, auswertung nach dem feld „Benutzer“ 

oder über die tabelle USr02 ermitteln, dabei keine auswahl vornehmen, das ergebnis nach dem feld 

Bname, Benutzername“, auswerten. 

manuelles durchsuchen der liste auf Bezeichnungen wie azUBi, werK-StUdent, laGer, teSt, 

teStUSer. 

Benutzerkennungen, die nicht der namenskonvention folgen, können z. B. nicht autorisierte 

Sammelbenutzerkennungen sein. 

3.7 PrüfPrOGramm: Sichere KOnfiGUratiOn BeSOnderer BenUtzertyPen 

üBerSicht üBer initiale anmeldUnG für SOnderBenUtzer in SaP-mandanten: 

Mandant 000 / 001 000 / 001 066 Neuer Mandant 

Benutzer SaP* ddic earlywatch SaP* 

Initiales Kennwort nicht mehr nicht mehr support pass 

Kennwort im 

früheren Release 

06071992 19920706 

nr. Sichere KOnfiGUratiOn BeSOnderer BenUtzertyPen 

1. 

H 

1.1 

Kontrollziel: Schutz der Sonderbenutzer vor nicht autorisiertem Zugriff 

Risiko: Jeder kann anonym die SaP-Standardbenutzer SaP* und early watch über die bekannten 

Standardkennwörter aufrufen und darunter nicht autorisierte aktionen durchführen. mit SaP* 

können z. B. SaP interne Kontrollen unterlaufen und SaP interne zwangsprotokolle manipuliert 

werden. 

hinweis: in den mandanten 000 und 001 wird bei der installation automatisch ein Benutzerstammsatz 

erzeugt. es wird gefordert, ein individuelles Kennwort für SaP* und ddic zu vergeben. das 

Kennwort beider Standardbenutzer ist nicht mehr automatisch auf das Standardkennwort aus 

dem Jahr 1992 gesetzt. 

Sind in jedem mandant die Standardkennwörter aller SaP Standardbenutzer geändert? 

aiS: System audit – top ten Security reports – Kennworte der Standardbenutzer prüfen 

report rSUSr003. 

wenn die Prüferrolle diesen report nicht zulässt, muss der Prüfer einen der zugelassenen 

Systemadministratoren in seinem Beisein den report ausführen lassen und das ergebnis sofort 

prüfen. 

SOS: User earlywatch has default Password (0056)


1.2 

1.3 

1.4 

1.5 

1.6 

ist der Benutzer SaP* gegen unbefugte nutzung geschützt (SaP-hinweise 2 383 und 68 048)? 

Sämtliche Berechtigungen im Benutzerstammsatz SaP* werden gelöscht. 

> der Benutzerstammsatz SaP* wird gesperrt. 

> der Benutzerstammsatz SaP* wird der Gruppe SUPer zugeordnet. 

> es wird über die Setzung des Systemparameters login / no_automatic_user_sapstar auf den 

wert 1 verhindert, dass nach löschung des Benutzers SaP* (mit Benutzerstammsatz) der 

systeminterne Benutzer SaP* mit dem unveränderbaren Standardkennwort PaSS aufgerufen 

werden kann. 

> für die Systemadministration wird ein notfallbenutzer mit umfassenden Berechtigungen angelegt. 

SOS: User SaP* is neither locked nor expired (0043) 

SOS: User SaP* is not assigned to the Group SUPer (0044) 

SOS: Usage of the hard coded User SaP* is nOt disabled (0046) 

ist der Benutzer SaP* in allen mandanten ohne Berechtigungen angelegt und gesperrt? 

aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzer – Benutzer nach 

komplexen Selektionskriterien, Selektion nach Benutzer SaP*, nach anzeige des ergebnisses im 

auswahlmenü „rollen“ oder „Profile“ anklicken. 

SOS: not all Profiles are removed from User SaP* (0042) 

SOS: User SaP* is neither locked nor expired (0043) 

Sind die Benutzer SaP* und ddic in allen mandanten der Benutzergruppe SUPer zugeordnet? 

aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzer –Benutzer nach 

komplexen Selektionskriterien, Selektion nach Benutzern SaP*, ddic. 

SOS: User SaP* is not assigned to the Group SUPer (0044) 

welche Benutzer- und Berechtigungsadministratoren dürfen die Benutzergruppe SUPer pflegen? 

report rSUSr002 mit den eingaben: 

S_tcOde = SU01 

S_USer_GrP (Benutzerverwaltung) mit aktivität 01 (anlegen), 02 (ändern) oder „*“ und Gruppe = 

„*“ oder = „SUPer“. 

SOS: Unexpected Users are authorized to change a Super User account (0026) 

ist der Parameter login / no_automatic_user_sapstar auf den wert 1 gesetzt? 

hinweis 1: mit hilfe diese Parameters kann verhindert werden, dass sich jemand nach dem 

löschen des Benutzerstammsatzes für SaP* dann unter dem systeminternen automatischen 

Benutzer SaP* mit dem unveränderbaren Kennwort PaSS anmelden kann (wert 1). wenn es bei 

der Standardeinstellung (wert 0) bleibt, ist immer ein erneutes anmeldung unter diesem 

systeminternen Benutzer SaP* möglich. 

hinweis 2: Soll der systeminterne automatische Benutzer SaP* wieder aktiviert werden, muss 

erst dieser Parameter zurückgesetzt und das System wieder gestartet werden. 

SOS: Usage of the hard coded User SaP* is not disabled (0046) 

SOS: User SaP* has Been deleted at least in One client (0045). 


Seite 22 



2. 

2.1 

2.2 

2.3 

2.4 

3. 

3.1 

3.2 

Kontrollziel: Sichere Nutzung des Konzeptes der Referenzbenutzer 

Risiko: Benutzerkennungen vom typ referenz haben Berechtigungen, die die Prinzipien der 

Berechtigungsvergabe verletzen (forderung nach geringstem Berechtigungsumfang; einhaltung 

der funktionstrennung). 

welche Benutzerkennungen sind referenzbenutzer (Benutzertyp „l“)? 

aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht –Benutzer 

nach anmeldedatum, Selektion nach Benutzertyp „referenzbenutzer“. 

welche rollen und Profile sind den referenzbenutzern zugeordnet? 


komplexen Selektionskriterien, Selektion nach Benutzertyp „referenzbenutzer“, nach anzeige des 

ergebnisses im auswahlmenü „rollen“ oder „Profile“ anklicken. 

auch referenzbenutzer dürfen nur Berechtigungen haben, die für den arbeitsplatz notwendig 

sind. es darf keine referenzbenutzer mit weit gefassten Berechtigungen, z. B. eines Superusers, 

geben. 

welchen Benutzern sind referenzbenutzer zugeordnet? 


komplexen Selektionskriterien, liste der referenzbenutzer im feld „referenzbenutzer“ eingeben. 

welchen Benutzern sind nicht-referenzbenutzer als referenz zugeordnet? 


komplexen Selektionskriterien, Selektion auf „nicht gleich“ im feld „referenzbenutzer“, 

in der ergebnisliste die nicht-referenzbenutzer ermitteln. 

hinweis: die zuordnung eines „normalen“ Benutzers als referenzbenutzer kann über einen 

eintrag im customizing grundsätzlich verhindert werden (SaP-hinweis 513 694). 

SOS: Usage of ‚normal‘ Users as reference Users is not Prohibited (0012) 

wird die zuordnung von referenzbenutzern protokolliert? 

aiS: System audit – repository / tabellen – tabellenaufzeichnungen – technische tabelleneinstellungen, 

letzte zeile in der anzeige zur tabelle USrefUS. 

Kontrollziel: Sichere Nutzung des Konzeptes der Benutzer vom Typ Service 

Risiko: Benutzerkennungen vom typ referenz haben Berechtigungen, die die Prinzipien der Berechtigungsvergabe 

verletzen (forderung nach geringstem Berechtigungsumfang; einhaltung der 

funktionstrennung). 

welche Benutzerkennungen sind Servicebenutzer (Benutzertyp „S“)? 

aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzerübersicht –Benutzer 

nach anmeldedatum, Selektion nach Benutzertyp „Servicebenutzer“. 

welche rollen und Profile sind den referenzbenutzern zugeordnet? 

aiS: System audit – Benutzer und Berechtigungen – infosystem – Benutzer –Benutzer nach 

komplexen Selektionskriterien, Selektion nach Benutzertyp „referenzbenutzer“, nach anzeige des 

ergebnisses im auswahlmenü „rollen“ oder „Profile“ anklicken. 

auch Servicebenutzer dürfen nur Berechtigungen haben, die für die funktion notwendig sind. es 

darf keine Servicebenutzer mit weit gefassten Berechtigungen, z. B. eines Superusers, geben.


4. 

4.1 

4.2 

4.3 

4.4 

Kontrollziel: Sichere Nutzung des Konzeptes der Benutzergruppe 

Risiko: alle Benutzeradministratoren können einzelne Benutzer pflegen. es kann zu nicht autorisierten 

Berechtigungsvergaben kommen. 

hinweis: über die zuordnung eines Benutzers zu einer Benutzergruppe kann gesteuert werden, 

welche Benutzeradministratoren diesen Benutzer pflegen können. wenn dieser Sicherheitsmechanismus 

genutzt wird, muss darauf geachtet werden, dass alle Benutzer auch einer Benutzergruppe 

zugeordnet werden. 

hinweis: eine übersicht über die existierenden Benutzergruppen geben die tabellen USGrP(t). 

welche Benutzerkennungen sind keiner Benutzergruppe zugeordnet? 


nach anmeldedatum, Selektion auf „Gleich“ im feld „Benutzertyp (allgemein)“. 

wenn der Sicherheitsmechanismus der Benutzergruppe konsequent angewendet ist, darf es 

keine Benutzer ohne eine Benutzergruppe geben. 

SOS: Users are nOt assigned to User Groups (0005) 

wer kann Benutzergruppen anlegen? 


S_tcOde = SUGr 

S_USer_GrP (Benutzerverwaltung) mit aktivität „*“ oder 01 (anlegen) und Gruppe = „*“ oder = 

Gruppennamen. 

wer kann Benutzergruppen ändern? 



S_USer_GrP (Benutzerverwaltung) mit aktivität „*“ oder 02 (ändern) und Gruppe = „*“ oder = 

Gruppennamen. 

wie sind Benutzergruppen für administratoren eingerichtet? 



S_USer_GrP (Benutzergruppen) mit aktivität „*“ oder 02 (ändern) und Gruppe = „*“ oder = 

„dieselbe Gruppe, die der Benutzeradministrator angehört“ 

über die zuordnung der Benutzergruppe muss verhindert werden, dass ein administrator dem 

eigenen Benutzerstammsatz rollen / Profile zuweisen kann. auch die änderung der Benutzergruppen 

zuweisung darf im eigenen Benutzerstammsatz nicht möglich sein. 

SOS: User administrators are authorized to change their Own User master record (0003) 


Seite 24 


3.8 PrüfPrOGramm: üBerwachUnG der wirKSamKeit deS zUGriffSSchUtzeS 

nr. üBerwachUnG der wirKSamKeit deS zUGriffSSchUtzeS 

1. 

1.1 

1.2 

Kontrollziel: Die Zugriffe auf das SAP-System werden regelmäßig überwacht. Es ist definiert, 

was auffällige Ereignissen sind. Sicherheitsverstöße werden bei Verdacht auf Missbrauch 

untersucht. 

Risiko: Sicherheitsereignisse, die aufgrund fehlender oder falsch eingestellter sicherheitsrelevanter 

Parameter auftreten, werden nicht erkannt. ein Sicherheitsverstoß oder missbrauch eines 

Benutzers wird nicht zeitnah erkannt. Bei dem Verdacht auf missbrauch kann im nachhinein nicht 

mehr auf automatisch erfolgte Systemaufzeichnungen zurückgegriffen werden, die zur 

aufklärung des Vorgangs oder Verfolgung der täter dienen können. 

Kontrollfragen zum Prozess: 

> ist dokumentiert, dass das SaP Security audit log aktiviert werden muss und welche mindesteinstellungen 

dabei vorgenommen werden müssen? 

> ist definiert, wer für die einrichtung und änderung der einstellungen des SaP Security audit 

logs und das löschen der Protokolldateien zuständig ist? 

> Gibt es einen definierten Prozess für die auswertung und überwachung der ereignisse, 

die über das SaP Security audit log aufgezeichnet werden? 

> Gibt es eine Vorgabe, wie lange die Protokolldateien im System vorgehalten werden müssen, 

z. B. um nachträglich noch recherchen zu Sicherheitsereignissen durchführen zu können, die 

erst später und auf anderem wege bekannt geworden sind 

ist das SaP Security audit log aktiviert? welche Benutzer, welche audit-Klassen, welche ereignisse 

werden protokolliert? 

aiS: System audit – Systemprotokolle und Statusanzeigen – Security-audit-log 

oder 

transaktion Sm19 

SOS: Security critical events for end Users are not logged in the Security audit log (0136) 

empfehlung 1: 

Kritische ereignisse bei den folgenden audit-Klassen 

• Dialog-Anmeldung 

• RFC- /CPIC-Anmeldung 

• RFC-Funktionsaufruf 

werden für alle Benutzer in allen mandanten protokolliert. 

empfehlung 2: 

alle ereignisse aller audit-Klassen werden für alle notfallbenutzer protokolliert. 

empfehlung 3: 

alle ereignisse aller audit-Klassen werden für alle dialogbenutzer in der Benutzergruppe SUPer 

protokolliert 

wer darf das SaP Security audit log aktivieren und die einstellungen dazu ändern? 


S_tcOde = Sm19 

S_admi_fcd (Systemberechtigung) mit funktion aUda (audit administration) 

S_c_fUnct (direkter aufruf von c-Kernel funktionen aus aBaP) mit aktivität „16“ (ausführen“ 

und Programmname „SaPlSecU“ und c-routine „aUdit_Set_infO“. 

diese Berechtigung ist im Produktivsystem nur für Systemadministratoren zulässig.

nr. üBerwachUnG der wirKSamKeit deS zUGriffSSchUtzeS 

1.3 

1.4 

2. 

2.1 

2.2 

2.3 

2.4 

wer darf die Protokolldateien des SaP Security audit log auswerten? 


S_admi_fcd (Systemberechtigung) mit funktion aUdd (audit anzeige. 

diese Berechtigung ist im Produktivsystem nur Systemadministratoren und für die mitarbeitern 

zulässig, die für die aufgabe der überwachung und auswertung der ereignisse zuständig sind. 

wer darf die Protokolldateien des SaP Security audit log löschen? 


S_tcOde = Sm18 oder Sa38 oder Se38 (report rSaUPUrG) 

S_admi_fcd (Systemberechtigung) mit funktion aUda (audit administration) und St0r (auswerten 

von traces) 

S_dataSet (Berechtigung zum dateizugriff) mit aktivität „34“ und Programmname „SaPl-StUw“ und 

dateiname (Pfad gemäß der angabe zu dem Profilparameter dir_aUdit, in dem die Protokolldateien 

gespeichert sind.). 

diese Berechtigung ist im Produktivsystem nur für Systemadministratoren zulässig. 

Kontrollziel: Aufdecken von Versuchen, das Kennwort einer Benutzerkennung auszuprobieren. 

Risiko: ein Benutzer versucht das Kennwort eines anderen Benutzers systematisch auszuprobieren. 

zu welchen Benutzerkennungen ist eine hohe anzahl von falschanmeldungen registriert? 


nach anmeldedatum, Selektion auf „Benutzer mit falschanmeldungen“. 

welche Benutzerkennungen, die seit langem inaktiv sind, haben eine Sperre wegen falschanmeldung? 


nach anmeldedatum, Selektion auf „Benutzer mit falschanmeldungen“. 

Prüfung auf anmeldefehler mit dem SaP Security audit log: 

transaktion Sm20, auswahl „alle entf. auditlogs“, „von datum“ und „bis datum“ eingeben, 

wechsel in den expertenmodus über den menüpunkt „Bearbeiten – expertenmodus“, einschränkung 

zum Beispiel auf folgende meldungen: 

> aU0, aU2, fehlgeschlagenes login 

> aUm, Benutzer wurde nach falschanmeldungen gesperrt 

> aUn, Benutzersperre wegen falschanmeldungen wurde wieder aufgehoben. 

die angezeigten Protokollsätze sind auf auffällige zeitliche häufungen bei einer Benutzerkennung zu 

untersuchen. detailinformationen können durch doppelklick auf die einzelmeldungen angezeigt werden. 

hinweis: die texte zu allen meldekennungen sind in der tabelle tSl1t hinterlegt. die für die 

Protokolldateien des SaP Security audit log relevanten meldekennungen beginnen mit aU. 

Prüfung auf anmeldefehler mit dem Systemlog: 

transaktion Sm21, auswahl „alle entf. Syslogs“, „von datum“ und „bis datum“ eingeben, wechsel in 

den expertenmodus über den menüpunkt „Bearbeiten – expertenmodus“, über die Schaltfläche 

„meld.kennungen“ z. B. auf folgende meldungen einschränken: 

> US1 „ein Benutzer wurde auf Grund von falschanmeldungen gesperrt.“ 

> US3 „es wurde versucht, sich mit einem gesperrten Benutzer anzumelden.“ 

hinweis: die texte zu allen meldekennungen sind in der tabelle tSl1t hinterlegt. 


Seite 26 

4 Autorisierung (ABAP-Stack) 

4.1 BerechtiGUnGSVerGaBe 

der zugriff eines Benutzers auf die funktionen und daten des SaP-Systems wird über Berechtigungen frei 

geschaltet. dabei gelten zwei Vergabegrundsätze: 

> nach dem ersten Grundsatz der Berechtigungsvergabe dürfen die Berechtigungen eines Benutzers nur 

diejenigen Sichten und funktionen für die daten freigeben, die er zur erfüllung der tätigkeiten an 

seinem arbeitsplatz benötigt. dies wird als das Prinzip des geringsten Berechtigungsumfangs, im 

englischen Sprachgebrauch als „least privilege“ bezeichnet. 

> der zweite Grundsatz der Berechtigungsvergabe fordert, dass funktionen, die zu einer unerwünschten 

Kummulierung der rechte führen würden, nicht an die gleiche Person vergeben werden dürfen. dieses 

Prinzip der funktionstrennung hilft, missbrauch und betrügerische handlungen zu verhindern. 

im englischen Sprachgebrauch wird es „principle of segregation of duties“, kurz Sod, genannt. 

für das Unternehmen leiten sich beide Vergabegrundsätze aus den forderungen des internen Kontrollsystem 

ab. Unternehmen müssen aus eigenem interesse ein internes Kontrollsystem einrichten, warten, 

überwachen und kontinuierlich optimieren. 

4.2 riSiKen 

die risiken liegen in der mangelhaften Umsetzung des geforderten internen Kontrollsystems, das 

unternehmensindividuell über die Vergabe von Berechtigungen zu realisieren ist: 

> die Prüfbarkeit des Benutzers- und Berechtigungskonzeptes ist nicht gewährleistet. das Berechtigungs 

konzept genügt nicht den gesetzlichen und unternehmensinternen anforderungen. es ist nicht dokumentiert. 

> wesentliche interne Kontrollen fehlen in der Benutzer- und Berechtigungsverwaltung. Organisatorische 

oder technische Schwachstellen ermöglichen ein Unterlaufen der beabsichtigten internen Kontrollen. 

> Universelle Berechtigungen und sicherheitskritische Systemeinstellungen werden nach dem Produktiv- 

einsatz im SaP-System belassen, obwohl sie SaP ausschließlich nur für die Phase der implementierung 

oder des release-wechsels vorgesehen hat. im Produktivsystem gefährden sie aber Systemintegrität 

und den ordnungsmäßigen Betrieb. 

> Kritische Berechtigungen, die gegen gesetzliche und unternehmensinterne regelungen verstoßen 

(internes Kontrollsystem), werden ohne restriktionen vergeben. es ist nicht untersucht worden, welche 

Berechtigungen als kritisch einzuordnen sind. die besonderen Bedingungen sind nicht festgelegt, unter 

denen sie zu vergeben sind. 

> technische Konzepte, die das SaP-System zur ausprägung und Prüfung von Berechtigungen bereitstellt, 

werden nicht konsequent genutzt. Beispiele sind Berechtigungsgruppen von tabellen und Programmen 

oder Berechtigungsprüfungen in selbst entwickelten Programmen. Somit werden Sicherheitslücken in 

Kauf genommen, die die manipulation an kritischen Systemeinstellungen oder an Geschäftsdaten 

zulassen. 

> die eingerichteten Benutzerkennungen und die vergebenen Berechtigungen werden nicht regelmäßig 

geprüft und bestätigt. möglicher missbrauch einzelner Benutzerkennungen durch fremde Benutzer oder 

durch einen Benutzer, der im zeitlauf mit umfangreichen Berechtigungen ausgestattet wurde, wird nicht 

verhindert.


die Kontrollziele beziehen sich in der regel auf die effektive und effiziente Gestaltung der Prozesse der 

Benutzer- und Berechtigungsverwaltung: 

> ein dokumentiertes Berechtigungskonzept liegt vor, das die gesetzlichen und unternehmensinternen 

anforderungen erfüllt. 

> die Organisation der Benutzer- und Berechtigungsverwaltung ist auch im SaP-System durch angemes- 

sene autorisierung der dafür vorgesehenen mitarbeiter gewährleistet. insbesondere ist die funktions- 

trennung abgebildet. 

> Universelle SaP-Standardprofile, die nur für die implementierung und den release-wechsel bereitge- 

stellt sind, sind gelöscht oder durch unternehmensspezifische Berechtigungen abgelöst. 

> Kritische Berechtigung sind identifiziert und die restriktionen dokumentiert, unter denen sie zu ver- 

geben sind. 

> das in einzelfällen notwendige aufheben der von SaP vorgesehenen Sicherheitseinstellungen ist 

autorisiert und dokumentiert (Konzept des notfallbenutzers). 

> Sicherheitskritische funktionen werden nur restriktiv und kontrolliert vergeben. 

> Prozesse zur ausprägung von Berechtigungsgruppen und zur Prüfung von Berechtigungen in 

Programmen sind definiert und wirksam. 

> die Benutzer- und Berechtigungsverwaltung wird regelmäßig überwacht und die Prozesse dazu geprüft 

und optimiert. 

4.4 PrüfPrOGramm: dOKUmentierteS BerechtiGUnGS- Und BenUtzerKOnzePt 

nr. inhalte eineS dOKUmentierten BerechtiGUnGS- Und BenUtzerKOnzePteS 

H 

Kontrollziel: Die Dokumentation des Berechtigungs- und Benutzerkonzeptes erfüllt die 

Mindestanforderungen. 

Risiko: Gesetzliche anforderungen an die dokumentation und Prüfbarkeit sind nicht erfüllt. die 

wirksamkeit eines Berechtigungs- und Benutzerkonzeptes kann nur geprüft werden, wenn das 

Sollkonzept dokumentiert ist 

1. Vorgaben für die Konfiguration von authentisierung und autorisierung 

1.1 Gibt es Vorgaben, wie die Profilparameter für die anmeldekontrollen gesetzt sein müssen? 

1.2 Gibt es Vorgaben, welche angaben in Benutzerstammsätze obligatorisch und welche optional sind? 

1.3 Gibt es Vorgaben, wie die Profilparameter für die autorisierung gesetzt sein müssen? 

1.4 

Gibt es Vorgaben, wie die obligatorischen und optionalen Berechtigungsprüfungen genutzt werden 

müssen? (inaktivsetzen von Prüfkennzeichen, Berechtigungsprüfung bei eigenentwickelten Programmen) 

1.5 Gibt es Vorgaben, wie der SaP Profilgenerator und seine optionalen rollenkonzepte zu nutzen sind? 

1.6 Gibt es Vorgaben zur Konfiguration und nutzung der zentralen Benutzerverwaltung? 

1.7 Gibt es Vorgaben, wie das „Security audit log“ zu konfigurieren und zu überwachen ist? 


Seite 28 



2. Dokumentation der Vorgehensweise für die Erstellung des Berechtigungskonzeptes 

2.1 Gibt es eine übersicht über Geschäftsprozess-Verantwortliche / dateneigentümer? 

2.2 

2.3 

2.4 

Gibt es Vorgaben für die ausprägung des Berechtigungskonzeptes? 

> zugriffselemente: rollen, Profile, Berechtigungen 

> namenskonventionen 

> top-down- oder Bottom-Up-ansatz 

> mehrfachverwendung und einzelverwendung von zugriffselementen (rollen, Profile) 

Sind folgende dokumente aus dem implementierungsprojekt verfügbar: 

> definition der arbeitsplätze 

> definition der zugriffselemente (rollen, Profile) und 

> die zuordnung von arbeitsplätzen zu zugriffselementen nach einer autorisierungs- oder 

arbeitsplatzmatrix? 

wurden im implementierungsprojekt die für die arbeitsplätze vergebenen Berechtigungen in der 

3-Systeme landschaft getestet und freigegeben? Gibt es zum testergebnis und der freigabe ein 

abnahmeprotokoll? 

3. Dokumentation des Antrags- und Vergabeverfahrens für Benutzer und Berechtigungen 

3.1 

3.2 

Berücksichtigt das antrags- und Vergabeverfahren die folgenden vier Phasen: antrag, freigabe, 

durchführung und Bestätigung? 

Sind für jede Phase die zuständigkeiten, aufgaben, Kontroll- und freigabeschritte definiert? 

Gibt es insbesondere Vorgaben für Kontrollen bei änderungen eines existierenden Benutzerstammsatzes: 

werden die Benutzerstammsätze hinsichtlich ihrer autorisierung und Systemzugriffe 

überprüft, insbesondere wenn ein Benutzer die abteilung wechselt oder das Unternehmen 

verlassen hat? 

4. Dokumentation der Benutzer- und Berechtigungsverwaltung 

4.1 

5. 

5.1 

ist die Organisation der Benutzer- und Berechtigungsverwaltung dokumentiert? Sind dabei die 

folgenden dimensionen der möglichen ausprägung festgelegt: 

> dezentrale oder zentrale administration 

> administration nach abteilungen, modulen, transaktionen 

> zuständigkeit für entwicklung, test, freigabe und Produktivsetzung in der 3-Systeme landschaft. 

Dokumentation der Prüfung auf Verletzungen der Anforderungen des internen Kontrollsystems 

ist dokumentiert, auf welche weise die anforderungen des internen Kontrollsystems bei der 

ausprägung von zugriffselementen (rollen, Profile) zu berücksichtigen sind, insbesondere das 

Prinzip der funktionstrennung?


5.2 

5.3 

ist das Verfahren dokumentiert, wie die regeln auf einhaltung von funktionstrennung vorgegeben, 

freigegeben und im SaP-System als automatische Prüfregeln eingesetzt werden? 

ist das Verfahren dokumentiert, wie die vom SaP-System erkannten Verstöße gegen die 

funktionstrennung behandelt und die betreffenden Konflikte gelöst werden? 

6. Dokumentation der Unterstützung durch zusätzliche Produkte 

6.1 

6.2 

ist der einsatz von SaP workflows zur Unterstützung des antrags- und Vergabeverfahrens sowie 

der Benutzer- und Berechtigungsverwaltung dokumentiert? 

ist der einsatz von Produkten von drittanbietern zur Unterstützung des antrags- und Vergabeverfahrens 

sowie der Benutzer- und Berechtigungsverwaltung dokumentiert? 

4.5 PrüfPrOGramm: nOtfallBenUtzerKOnzePt (aBaP StacK) 

nr. nOtfallBenUtzerKOnzePt 

1. 

1.1 

1.2 

1.3 

Kontrollziel: Absicherung des Notfallbenutzers 

Risiko: 

> es gibt keinen notfallbenutzer: Systemadministratoren arbeiten im normalbetrieb unter dem 

Standardbenutzer SaP* oder zwar unter einem eigens eingerichteten Benutzer, aber mit der 

universalen Superuser-Berechtigung SaP_all. 

> es gibt einen eigenen notfallbenutzer mit der universalen Superuser-Berechtigung SaP_all, den 

sich die Systemadministratoren teilen und der jederzeit unkontrolliert eingesetzt werden kann. 

ist für den notfall mindestens eine Benutzerkennung eingerichtet, 

> die nicht der Standardbenutzer SaP* ist, 

> die die notwendigen weitreichenden Berechtigungen hat, 

> die mit einem komplexen Kennwort ausgestattet ist, 

> deren Kennwort an einem sicheren Ort zugriffsgeschützt aufbewahrt wird, 

> wobei der zugriff auf das Kennwort im Vier-augen-Prinzip erfolgen muss? 

werden aktionen unter dem notfallbenutzer dokumentiert mindestens unter angabe 

> des Grundes 

> des zeitraums 

> der darunter tätigen Personen 

> der tätigkeiten, die damit durchgeführt wurden. 

werden für einen notfallbenutzer über das SaP Security audit log alle ereignisse aller audit- 

Klassen zwangsprotokolliert? 

1.4 wird nach der notfallaktion das Kennwort des notfallbenutzers geändert? 


Seite 30 


4.6 PrüfPrOGramm: nUtzUnG KritiScher SaP StandardPrOfile / -rOllen 

nr. nUtzUnG KritiScher SaP StandardPrOfile / -rOllen 

1. 

1.1 

Kontrollziel: Einschränkung der Nutzung der kritischen universellen SAP Standardprofile / -rollen 

Risiko: Verlust der Vertraulichkeit, Verlust der integrität der daten und des SaP-Systems, Verlust 

der Verfügbarkeit. 

auf dem Produktivsystem werden – entgegen den eindeutigen Sicherheitsempfehlungen des 

herstellers SaP – nach inbetriebnahme weiterhin die sicherheitskritischen SaP Standardprofile 

vergeben – nach dem motto „Simplicity over Security“: 

> an externe dienstleister, z. B. für Beratung, technische Unterstützung, wartung, 

> an interne Systemadministratoren, 

> an Benutzer aus der fachabteilung. 

damit werden das gesetzlich geforderte unternehmensinterne interne Kontrollsystem und das 

SaP interne Sicherheitskontrollsystem unterlaufen. Ordnungsmäßigkeitsanforderungen werden 

verfehlt. 

an welche Benutzer ist SaP_all vergeben? 


komplexen Selektionskriterien, Selektion nach Profil SaP_all. 

wie ist die Vergabe und nutzung des Standardprofils SaP_all organisatorisch geregelt? 

das Profil SaP_all ist im Produktivsystem nicht zulässig. SaP empfiehlt, dieses Profil nur dem 

notfallbenutzer zuzuweisen. 

hinweis 1: dieses Sammelprofil enthält alle SaP-Berechtigungen. ein Benutzer mit diesem Profil 

kann im SaP-System alle aufgaben durchführen. 

risiko: Benutzer manipulieren unter dem höchst privilegierten SaP Standardprofil SaP_ all 

beliebige Geschäftsdaten, deaktivieren installierte SaP interne Kontrollen oder sicherheitsrelevante 

Systemeinstellungen oder löschen die Systemaufzeichnungen der aktivitäten, um die Spuren erfolgter 

manipulationen zu beseitigen. 

hinweis 2: anstatt das Profil SaP_all zu benutzen, können die darin enthaltenen Berechtigungen 

auf die entsprechenden funktionen verteilt werden. es sollte z. B. dem Systemadministrator nicht 

die Berechtigung SaP_all zugewiesen werden, sondern nur die für die Systemverwaltung 

erforderlichen Berechtigungen, also die S_*-Berechtigungen. dies berechtigt ihn zur Verwaltung 

des gesamten SaP-Systems, er kann damit jedoch keine aufgaben in anderen Bereichen, z. B. in 

anwendungen, durchführen. 

hinweis 3: es ist zu prüfen, ob rollen oder Profile mit Berechtigungsumfängen analog SaP_all 

existieren. 

SOS: Users with the most full access authorizations (* field Values) (0027) 

SOS: Users with the most roles (0028) 

SOS: 20 % or max 30 % of all Users that have for the most Profiles (0029)

nr. nUtzUnG KritiScher SaP StandardPrOfile / -rOllen 

1.2 

1.3 

an welche Benutzer ist SaP_new vergeben? 


komplexen Selektionskriterien, Selektion nach Profilen der form SaP_new*. 

aiS: System audit – Benutzer und Berechtigungen – infosystem – Profile – Profile nach Profilnamen, 

Selektion nach Profilen der form SaP_new*. 

eine lange liste von SaP_new-Profilen, z. B. nach mehreren Upgrades, ist ein zeichen 

dafür, dass das Berechtigungskonzept zu überarbeiten und neu festzusetzen ist. 

wie ist die Vergabe und nutzung des SaP Standardprofils SaP_new organisatorisch geregelt? 

das Profil SaP_new ist im Produktivsystem nicht zulässig. 

SaP empfiehlt, die SaP_new_* Profile nach einem Upgrade aufzulösen und die benötigten 

teilberechtigungen zu verteilen sowie SaP_new zu löschen. 

hinweis 1: dieses Sammelprofil enthält alle Profile, die mit einem release neu hinzukommen. 

nach jedem release-wechsel benötigt man dieses Profil, damit bestimmte aufgaben problemlos 

ablaufen können. 

risiko: Benutzer missbrauchen die privilegierten Berechtigungen des SaP Standardprofils SaP_ 

new und führen nicht autorisierte aktivitäten durch. 

SaP empfiehlt im einzelnen: 

> nach dem Upgrade die SaP_new_*-Profile für releases vor der einführung des Berechtigungskonzepts 

zu löschen, 

> die SaP_new_*-Profile für releases zu löschen, in denen bereits die darin enthaltenen Profile 

verteilt worden sind, 

> den rest der in den SaP_new_*-rollen enthaltenen Profile an die entsprechenden funktionen 

zu verteilen und ihre Berechtigungswerte zu pflegen, 

> SaP_new zu löschen. 

SOS: Users with Profile SaP_new (0031) 

an welche Benutzer sind weitere kritische SaP Standardprofile vergeben, ggf. noch aus alten 

releaseständen? Beispiele sind: 

> S_a.SyStem (Systemverwalter, Superuser), S_a.admin (Operator), S_a.cUStOmiz (customizer), 

S_a.deVelOP (alle Berechtigungen für einen entwickler) 

> S_ctS_all, u. a. kann damit die Systemänderbarkeit gesetzt werden 

> S_ctS_PrOJect, u. a. kann damit ein änderungsauftrag eines anderen Benutzers übernommen 

werden, indem der name im änderungsauftrag geändert wird 

> S_dataSet_al, S_c_fUnct_al, S_tcd_all, S_tSKh_all 

> f_BUch_all, z_anwend 


komplexen Selektionskriterien, Selektion nach Profil. 

Sind die Vorgaben von SaP zur Vergabe und nutzung der kritischen SaP Standardprofile bekannt 

und in eine organisatorische regelung umgesetzt? 

risiko: Benutzer können nach dem Produktivstart oder einem release-wechsel diese weitreichenden 

SaP Standardprofile missbrauchen, die SaP nur zur Unterstützung der implementierungsphase 

bereitstellt. 

SOS: SaP Standard roles are assigned to Users (0082) 

SOS: SaP Standard Profiles are assigned to Users (0083) 

empfehlung: über die transaktion SUim oder die tabellen USt10S / USt12 kann zusätzlich geprüft 

werden, ob Profile mit analogen inhalten zu den oben aufgeführten Profilen existieren. 


Seite 32 


4.7 PrüfPrOGramm: erSetzen KritiScher VOrSchlaGSwerte im 

PrOfilGeneratOr 

nr. erSetzen KritiScher VOrSchlaGSwerte im PrOfilGeneratOr 

1. 

1.1 

1.2 

1.3 

1.4 

1.5 

Kontrollziel: Die von SAP standardmäßig gesetzten und vordefinierten Ausprägungen von 

Berechtigungen im Profilgenerator sind auf kritische Setzungen bewertet worden. Bei der 

Vergabe von Profilen werden die als kritisch erkannten Vorgaben berücksichtigt und gemäß den 

unternehmensspezifischen Sicherheits- und Kontrollanforderungen geändert. 

Risiko: die von SaP gesetzten Vorschlagswerte im Profilgenerator für die Berechtigungsprüfung 

werden unverändert übernommen, obwohl einige davon nicht den geforderten it internen Kontrollen 

im Produktivsystem genügen. 

Soll jeder Benutzer auf dem Produktivsystem uneingeschränkte entwicklungsberechtigungen 

erhalten? 

S_deVelOP (aBaP workbench) mit aktivität „*“ und Paket „*“ und Objektname „*“ und Objekttyp „*“ 

und Berechtigungsgruppe „*“ ist sehr kritisch. 

dieses Berechtigungsobjekt darf im Produktivsystem nur mit dem Objekttyp SUSO (Berechtigungsobjekte) 

und der aktivität 03, „anzeigen“, ausgeprägt sein. 

risiko: ausprägungen, die die aktivitäten 01, „anlegen“, oder 02, „ändern“, zusammen mit den 

einem der beiden Objekttypen deBUG oder PrOG beinhalten, verstoßen im Produktivsystem 

gegen Grundsätze der ordnungsmäßigen Buchführung (radierverbot). 

Soll jeder Benutzer die kritische Systemberechtigung zum auswerten des Syslogs erhalten? 

S_admi_fcd (Systemberechtigungen) mit aktivität Sm21 berechtigt, den Systemlog auszuwerten. 

dieses Berechtigungsobjekt darf mit der aktivität Sm21 im Produktivsystem nicht für alle Benutzer 

frei geschaltet werden. 

Soll jeder Benutzer neue Projekte generieren können? 

S_PrO_aUth (neue Berechtigungen für Projekte) mit aktivität 03 (anzeigen). 

dieses Berechtigungsobjekt darf im Produktivsystem nur mit der aktivität 03, „anzeigen“, 

ausgeprägt werden. 

welche adressgruppen können für alle Benutzer frei geschaltet werden können? 

S_adreSS1 (adresstyp1: Organisationsadressen) 

mit aktivität „*“ und adressgruppe Bc01 (SaP Benutzeradressen) ist sinnvoll. 

im Produktivsystem ist auf die spezifische eingabe der adressgruppe zu achten, insbesondere 

nur Bc01 (SaP Benutzeradressen) zulassen. adressgruppen wie Geschäftspartner, BP, oder ehS 

Berichtsempfänger, ehS1, dürfen wegen des Prinzips der geringsten Berechtigungsvergabe und 

der Gewährleistung der Vertraulichkeit nicht grundsätzlich an alle Benutzer freigegeben werden. 

risiko: die Vertraulichkeit von daten ist unter Umständen nicht gewährleistet. 

welche transaktionscodes können für alle Benutzer von hr frei geschaltet werden? 

P_tcOde (hr transaktionscode) mit transaktionscode: PfcG, SUid oder SU01d ist sinnvoll. 

dieses Berechtigungsobjekt darf im Produktivsystem nur für die transaktionscodes PfcG, SUid 

oder SU01d frei geschaltet sein. 

die im Kontext zu den transaktionen PfcG stehenden Berechtigungsobjekte müssen gemäß der 

zugeordneten aufgabe ausgeprägt sein (administrations- oder anzeigefunktion).


2. Zugriff auf Tabellen 

2.1 

2.2 

welche tabellengruppen dürfen von Benutzern nicht geändert werden können? 

S_taBU_diS (tabellenpflege) mit aktivität 03 (anzeigen) und Berechtigungsgruppen ale0 oder SS. 

dieses Berechtigungsobjekt darf im Produktivsystem für die beiden Berechtigungsgruppen ale0 

und SS nur mit aktivität 03, „anzeigen“, ausgeprägt werden. 

welche tabellengruppen dürfen von Benutzern geändert werden können? 

S_taBU_diS (tabellenpflege) mit aktivität 02 oder 03 und Berechtigungsgruppe SUSr. 

dieses Berechtigungsobjekt darf im Produktivsystem für die Berechtigungsgruppe SUSr nur mit 

den aktivitäten 02, „ändern“, und 03, „anzeigen“, ausgeprägt werden. 

3. Zugriff auf IDOCS 

3.1 

3.2 

welcher zugriff auf idOcS kann allen Benutzern eingeräumt werden? 

S_idOcctrl (allgemeiner zugriff auf idOc funktionen) 

mit aktivität 03 und transaktionscode „*“ ist applikationsabhängig möglich. 

dieses Berechtigungsobjekt darf im Produktivsystem nur die aktivität 03, „anzeigen“, haben. 

empfehlenswert ist auch einschränkung auf nicht fi-spezifische transaktionscodes. 

risiko: ansonsten können fi spezifische idOcs, die z. B. vertrauliche daten beinhalten, von allen 

Benutzern eingesehen werden. 

hinweis: Unter allen idOc-Berechtigungsobjekten sollte nur das Berechtigungsobjekt S_idOcctrl 

an alle Benutzer mit den oben beschriebenen einschränkungen berechtigt werden, falls überhaupt 

erforderlich. 

welcher zugriff auf idOcS kann allen Benutzern eingeräumt werden, die eine Kontrollfunktion über 

idOc‘s benötigen? 

S_idOcmOni (zugriff auf idOc monitoring) mit aktivität 03 und richtung der idOc übertragung 1 

und 2 und 

nachrichtentyp cclOne und USerclOne und PartnernUmmer „*“ und Partnerart „lS“ und 

tranSaKtiOnScOde: „*“ ist applikationsabhängig möglich. 

risiko: die aktivität muss 03, „anzeigen“, sein. Sonst können idOcS, die auch änderungsbelege 

sind, geändert oder gelöscht werden. 

hinweis: die angabe des transaktionscodes ist dann unkritisch, wenn die anderen felder des 

Berechtigungsobjektes wie oben gepflegt sind. 

4. Benutzer- und Berechtigungsadministration 

4.1 

welche administratoren sollen Benutzer und ihre Berechtigungen auf welche weise verwalten dürfen? 

S_USer_aGr (Berechtigungswesen: Prüfer für rollen) 

mit aktivität „*“ und name der rolle „*“ ist kritisch. 

dieses Berechtigungsobjekt zur Benutzer- und Berechtigungsverwaltung darf im Produktivsystem 

nur restriktiv gemäß dem organisatorischen Konzept der Benutzer- und Berechtigungsadministration 

belegt werden. 

risiko: wenn diese von SaP vordefinierten uneingeschränkten freigaben („*“) bestehen bleiben, 

kann jeder alle aktivitäten durchführen. insbesondere kann jeder jede rolle anlegen. das kann 

nicht gewünscht sein. 

hinweis: zur einhaltung des Vieraugenprinzips müssen bei den feldern „aktivität“ und „name der 

rolle“ die 4 funktionen „anlegen“, „ändern“, „aktivieren“ und „zuordnen“ entsprechend berücksichtigt 

werden. 


Seite 34 



4.2 

4.3 

4.4 

4.5 


S_USer_aUt (Benutzerstammpflege: Berechtigungen) mit aktivität „*“ und Berechtigungsname in 

Benutzerstamm „*“ und Berechtigungsobjekt „*“ ist kritisch. 




risiko: wenn diese von SaP vordefinierten uneingeschränkten freigaben („*“) bestehen bleiben, 

kann jeder alle aktivitäten durchführen. insbesondere kann jeder jede rolle anlegen. das kann 

nicht gewünscht sein. 

hinweis: zur einhaltung des Vieraugenprinzips müssen bei den feldern „aktivität“ und „name der 

rolle“ die 4 funktionen „anlegen“, „ändern“, „aktivieren“ und „zuordnen“ entsprechend 

berücksichtigt werden. 

dabei sind auch die modulverantwortlichen – sofern vorgesehen – unter den Benutzer- und 

Berechtigungsadministratoren zu berücksichtigen. 


S_hierarch (Berechtigungsprüfungen der hierarchiepflege) mit aktivität „*“ und Paket „*“ und 

Strukturtyp „*“ ist kritisch. 




die möglichkeit der einschränkung auf die verwendete Struktur zur Berechtigungsverwaltung 

muss genutzt werden. 

dieses Berechtigungsobjekt ermöglicht das arbeiten mit dem allgemeinen hierarchiepflegetool 

oder den darauf basierenden transaktionen. die Berechtigung muss eingeschränkt werden über 

den typ der zu bearbeitenden Struktur und über deren Paket. 


S_USr_GrP (Benutzerstammpflege: Benutzergruppen) 

mit aktivität „*“ und Benutzergruppe in Benutzerstamm „*“ ist kritisch. 




risiko: wenn diese uneingeschränkten freigaben („*“) bestehen bleiben, kann jeder alle aktivitäten 

durchführen. dann kann jeder jede Benutzergruppe pflegen, auch sich selbst. das kann nicht 

gewünscht sein. 

hinweis: zur einhaltung des Vieraugenprinzips müssen bei der aktivität und name der Benutzergruppe 

die 4 funktionen „anlegen“, „ändern“, „aktivieren“ und „zuordnen“ entsprechend berücksichtigt 

werden. 


S_USr_PrO (Benutzerstammpflege: Berechtigungsprofil) 

mit aktivität „*“ und Berechtigungsprofil im Benutzerstamm „*“ ist kritisch. 




risiko: wenn diese uneingeschränkten freigaben („*“) bestehen bleiben, kann jeder alle aktivitäten 

durchführen. dann kann jeder jedes Benutzerprofil pflegen. das kann nicht gewünscht sein. 

hinweis: zur einhaltung des Vieraugenprinzips müssen bei der aktivität und name des Berechtigungsprofils 

die 4 funktionen „anlegen“, „ändern“, „aktivieren“ und „zuordnen“ entsprechend 

berücksichtigt werden.


4.6 

4.7 

4.8 

4.9 


S_USer_SaS (Benutzerstammpflege: Systemspezifische zuordnungen) mit aktivität „*“, name 

der rolle „*“, Benutzergruppe „ “, Berechtigungsprofil im Benutzerstamm und empfängersystem 

zBV ist kritisch. 




risiko: Bei Vollausprägung kann jeder jede Benutzerausprägung und jede rolle in jedem System 

zuweisen. 

hinweis: das neue Berechtigungsobjekt S_USer_SaS wird über den eintrag mit der id ‚checK_ 

S_USer_SaS‘ und dem wert ‚yeS‘ in der tabelle PrGn_cUSt aktiviert(OSS-hinweis 536101) und 

ersetzt die Berechtigungsobjekte S_USer_GrP, S_USer_aGr, S_USer_PrO und S_USer_SyS 

bezüglich der zuordnung von rollen oder Profilen zu Benutzern. 

die Verwendung der erweiterten Berechtigungsprüfung ist unabhängig vom einsatz der zentralen 

Benutzerverwaltung. 


S_USr_SyS (Benutzerstammpflege: System für zentrale Benutzerpflege) spezifisches Objekt) mit 

aktivität „*“ und empfängersystem zBV ist kritisch. 




risiko: Bei Vollausprägung kann jeder in allen Systemen rollen zuweisen. 


S_USer_tcd (Berechtigungswesen: transaktionen in rollen) mit transaktionscode „*“ ist kritisch. 




risiko: Bei Vollausprägung können modul- und basisübergreifend alle Berechtigungsobjekte in 

rollen aufgenommen werden. 


S_USer_Val (Berechtigungswesen: feldwerte in rollen) 

mit feldname „*“ und Berechtigungswert „*“ und Berechtigungsobjekt „*“ ist kritisch. 




risiko: Bei Vollausprägung können modul- und basisübergreifend alle Berechtigungsobjekte in 

rollen aufgenommen werden. 


Seite 36 


4.8 PrüfPrOGramm: OrdnUnGSmäSSiGe BerechtiGUnGS- Und BenUtzer- 

OrGaniSatiOn 

nr. OrdnUnGSmäSSiGe BerechtiGUnGS- Und BenUtzerOrGaniSatiOn 

1. 

1.1 

Kontrollziel: Einhaltung der Funktionstrennung, kein Administrator darf die folgenden drei zu 

trennenden Aufgaben durchführen: 

1. Benutzer verwalten 

2. Berechtigungen pflegen 

3. Berechtigungsprofile generieren. 

Risiko: die aufgaben des Benutzers- und Berechtigungsverwalters werden in vollem Umfang an 

einen oder mehrere mitarbeiter vergeben. eine überwachung der tätigkeiten eines Benutzers- und 

Berechtigungsverwalters gibt es nicht. die folgen sind: 

> nicht autorisierte änderungen sind möglich, 

> betrügerische handlungen können durchgeführt und die Spuren dazu zumindest verschleiert 

werden. 

Sind die möglichkeiten der funktionstrennung bezogen auf die ressourcen und den Sicherheitsanforderungen 

des Unternehmens umgesetzt? 

Beispiele für die realisierung eines 4-augen Prinzips und eines 6-augen Prinzips sind in den folgenden 

übersichten aufgeführt. 

Scenario 1: 4-Augen Prinzip 

zentrale Benutzerverwaltung 

> ein Benutzerverwalter für alle Benutzer. 

> Unbegrenzte Berechtigungen für alle Benutzerverwaltungsaufgaben des Benutzeradministrators 

zentrale Pflege von rollen und Profilen 

ein administrator übernimmt beide rollen: 

> Berechtigungsdatenverwalter 

> Berechtigungsprofilverwalter. 

Scenario 2: 6-Augen Prinzip 

dezentrale Benutzerverwaltung (Produktivsystem) 

ein Benutzerverwalter für pro anwendungsbereich (fi, mm), 

> berechtigt, um eine bestimmte Benutzergruppe zu pflegen, 

> berechtigt, um eine bestimmte menge von rollen / Profilen zuzuordnen, 

> keine weiteren einschränkungen auf spezifische Benutzerverwaltungsaufgaben. 


trennung der zuständigkeiten: 



Keine weiteren einschränkungen auf spezifische rollen oder Profile.

nr. OrdnUnGSmäSSiGe BerechtiGUnGS- Und BenUtzerOrGaniSatiOn 

Scenario 3: 6-Augen Prinzip, dezentrale Benutzerverwaltung im Produktivsystem 

zentrales anlegen und löschen für alle Benutzer 

dezentrale Benutzerverwaltung (Produktivsystem) 




> berechtigt für nur einige Benutzerverwaltungsaufgaben: ändern, sperren / entsperren, 

Kennwort zurücksetzen. 




> Berechtigungsprofilverwalter 

Keine weiteren einschränkungen auf spezifische rollen oder Profile. 


Seite 38 


4.9 taBellen: BeiSPielSzenarien der OrGaniSatiOn einer BenUtzer- Und 

BerechtiGUnGSVerwaltUnG 

4.9.1 SzenariO 1: 4-aUGen PrinziP 

Zentrale Benutzerverwaltung 

> ein Benutzerverwalter für alle Benutzer. 

> Unbegrenzte Berechtigungen für alle Benutzerverwaltungsaufgaben des Benutzeradministrators 

Zentrale Pflege von Rollen und Profilen 

ein administrator übernimmt beide rollen: 



a. Ohne BerechtiGUnGSOBJeKt S_USer_SaS 

entwicKlUnG PrOdUKtiV 

SzenariO 1 BenUtzeradminiStratOr 

S_USER_GRP 

BerechtiGUnGSdaten- 

Und BerechtiGUnGS- 

PrOfilVerwalter 

actVt * 03, 08 * 

claSS * * * 

S_USER_AGR 

actVt 03, 22 * 03, 22 

act_GrOUP * * * 

S_USER_TCD 

tcd * 

S_USER_VAL 

OBJect * 

aUth_field * 

aUth_ValUe * 

S_USER_PRO 

actVt 03, 08, 22 * 03, 08, 22 

PrOfile * * * 

BenUtzerVerwalter



S_USER_AUT 




actVt 03, 08 * 03, 08 

OBJect * * * 

aUth * * * 

Bei aktiver zBV 

S_USER_SYS 

actVt 03, 78 03, 78 

SUBSyStem * * 

BenUtzerVerwalter 

B. mit aKtiViertem BerechtiGUnGSOBJeKt S_USer_SaS 



S_USER_GRP 

actVt 03, 08 

claSS * 

S_USER_AGR 

actVt * 

act_GrOUP * 

S_USER_TCD 

tcd * 

S_USER_VAL 

OBJect * 

aUth_field * 

aUth_ValUe * 




BenUtzerVerwalter 


Seite 40 




S_USER_PRO 

actVt * 

PrOfile * 

S_USER_AUT 




actVt 03, 08 * 03, 08 

OBJect * * * 

aUth * * * 

Bei aktiver zBV wird zusätzlich das Berechtigungsfeld SUBSyStem gepflegt 

S_USER_SAS 

actVt 22 22 

claSS * * 

SUBSyStem * * 

act_GrOUP * * 

PrOfile * * 

4.9.2 SzenariO 2: 6-aUGen PrinziP 

Dezentrale Benutzerverwaltung (Produktivsystem) 




> keine weiteren einschränkungen auf spezifische Benutzerverwaltungsaufgaben. 






BenUtzerVerwalter


SzenariO 2 

S_USER_GRP 


BenUtzeradminiStratOr 

Berechti- 

GUnGSdaten- 

Verwalter 

Berechti- 

GUnGSPrOfil- 

Verwalter 

fi-BenUtzer- 

Verwalter 

actVt * 03, 08 03, 08 * * 

mm-BenUtzer- 

Verwalter 

claSS * * * fi_USer fi_USer 

S_USER_AGR 

actVt 03, 22 01, 02, 03, 06 03, 64 03, 22 03, 22 

act_GrOUP * * * * * 

S_USER_TCD 

tcd * 

S_USER_VAL 

OBJect * 

aUth_field * 

aUth_ValUe * 

S_USER_PRO 

actVt 03, 08, 22 01, 02, 03, 06, 08 03, 07, 08 03, 08, 22 03, 08, 22 

PrOfile * * * fi* mm* 

S_USER_AUT 

actVt 03, 08 01, 02, 03, 06, 08, 22 03, 07, 08 03, 08 03, 08 

OBJect * * * * * 

aUth * * * * * 


S_USER_SYS 

actVt 03, 78 03, 78 03, 78 

SUBSyStem * * * 


Seite 42 


B. mit aKtiViertem BerechtiGUnGSOBJeKt S_USer_SaS 

SzenariO 2 

S_USER_GRP 



Berechti- 

GUnGSdaten- 

Verwalter 

actVt 03, 08 03, 08 

claSS * * 

S_USER_AGR 

actVt 01, 02, 03, 06 03, 64 

act_GrOUP * * 

S_USER_TCD 

tcd * 

S_USER_VAL 

OBJect * 

aUth_field * 

aUth_ValUe * 

S_USER_PRO 

Berechti- 

GUnGSPrOfil- 

Verwalter 

actVt 01, 02, 03, 06, 08 03, 07, 08 

PrOfile * * 

S_USER_AUT 

fi-BenUtzer- 

Verwalter 

actVt 03, 08 01, 02, 03, 06, 08, 22 03, 07, 08 03, 08 03, 08 

OBJect * * * * * 

aUth * * * * * 


S_USER_SAS 

actVt 22 22 22 

mm-BenUtzer- 

Verwalter 

claSS * fi_USer fi_USer 

SUBSyStem * * * 

act_GrOUP * fi* mm* 

PrOfile * fi* mm*

4.9.3 SzenariO 3: 6-aUGen PrinziP, 

dezentrale BenUtzerVerwaltUnG im PrOdUKtiVSyStem 

Zentrales Anlegen und Löschen für alle Benutzer 

Dezentrale Benutzerverwaltung (Produktivsystem) 




> berechtigt für nur einige Benutzerverwaltungsaufgaben: ändern, sperren / entsperren, 

Kennwort zurücksetzen. 








SzenariO 3 

S_USER_GRP 


Berechti- 

GUnGSdaten- 

Verwalter 

Berechti- 

GUnGS- 

PrOfil- 

Verwalter 

fi- 

BenUtzer- 

Verwalter 

mm- 

BenUtzer- 

Verwalter 

zentral- 

BenUtzer- 

Verwalter 

actVt * 03, 08 03, 08 02, 03, 05, 22 02, 03, 05, 22 01, 03, 06, 08 

claSS * * * fi_USer mm_USer * 

S_USER_AGR 

actVt 03, 22 01, 02, 03, 06 03, 64 03, 22 03, 22 3 

act_GrOUP * * * * * * 

S_USER_TCD 

tcd * 

S_USER_VAL 

OBJect * 

aUth_field * 

aUth_ValUe * 


Seite 44 


SzenariO 3 

S_USER_PRO 



actVt 03, 08, 22 

Berechti- 

GUnGSdaten- 

Verwalter 

01, 02, 03, 

06, 08 

Berechti- 

GUnGS- 

PrOfil- 

Verwalter 

fi- 

BenUtzer- 

Verwalter 

mm- 

BenUtzer- 

Verwalter 

03, 07, 08 03, 08, 22 03, 08, 22 03, 08 

PrOfile * * * fi* mm* 

S_USER_AUT 

actVt 03, 08 

01, 02, 03, 06, 

08, 22 

03, 07, 08 03, 08 03, 08 03, 08 

OBJect * * * * * * 

aUth * * * * * * 


S_USER_SYS 

actVt 03, 78 03, 78 03, 78 03, 78 

SUBSyStem * * * * 

B. Ohne BerechtiGUnGSOBJeKt S_USer_SaS 


SzenariO 3 

S_USER_GRP 


Berechti- 

GUnGSdaten- 

Verwalter 

actVt 03, 08 03, 08 

claSS * * 

S_USER_AGR 

actVt 01, 02, 03, 06 03, 64 

act_GrOUP * * 

S_USER_TCD 

tcd * 

Berechti- 

GUnGS- 

PrOfil- 

Verwalter 

fi- 

BenUtzer- 

Verwalter 

mm- 

BenUtzer- 

Verwalter 

zentral- 

BenUtzer- 

Verwalter 

zentral- 

BenUtzer- 

Verwalter

SzenariO 3 

S_USER_VAL 



OBJect * 

aUth_field * 

aUth_ValUe * 

S_USER_PRO 

actVt 

Berechti- 

GUnGSdaten- 

Verwalter 

01, 02, 03, 

06, 08 

PrOfile * * 

S_USER_AUT 

actVt 03, 08 

01, 02, 03, 06, 

08, 22 

Berechti- 

GUnGS- 

PrOfil- 

Verwalter 

03, 07, 08 

fi- 

BenUtzer- 

Verwalter 

mm- 

BenUtzer- 

Verwalter 

03, 07, 08 03, 08 03, 08 03, 08 

OBJect * * * * * * 

aUth * * * * * * 


S_USER_SAS 

actVt 22 22 22 22 

claSS * fi_USer mm_USer * 

SUBSyStem * * * * 

act_GrOUP * fi* mm* * 

PrOfile * fi* mm* * 

zentral- 

BenUtzer- 

Verwalter 


Seite 46 


4.10 PrüfPrOGramm: BerechtiGUnGen für die BenUtzer- Und 

BerechtiGUnGSVerwaltUnG 

nr. BerechtiGUnGSVerwaltUnG: BenUtzer 

1. 

1.1 

1.2 

1.3 

2. 

2.1 

Das Objekt Benutzerstammpflege, Benutzergruppen S_USER_GRP 

legt die Benutzergruppen und die zulässigen aktivitäten fest, für die ein Benutzerverwalter 

berechtigt ist. damit können Benutzer angelegt, gepflegt, ge- und entsperrt werden, insbesondere 

auch das Kennwort eines Benutzers geändert werden. 

es kann benutzt werden, um bei einer dezentralisierten Verwaltung einem Benutzeradministrator 

nur die Verwaltung einer bestimmten Benutzergruppe zu ermöglichen. 

wer kann Benutzer anlegen? 



S_USer_GrP (Benutzergruppen) mit aktivität „*“ oder 01 (anlegen) und Gruppe = „*“ oder = Gruppennamen. 

wer kann Benutzereigenschaften ändern (außer den zugriffsrechten)? 



S_USer_GrP (Benutzergruppen) mit aktivität „*“ oder 02 (ändern) und Gruppe = „*“ oder = 

Gruppennamen. 

wer kann Benutzer sperren oder löschen? 



S_USer_GrP (Benutzerverwaltung) mit aktivität „*“ oder 05 (Sperren) oder 06 (löschen) und Gruppe = 

„*“ oder = Gruppennamen. 

Das Objekt Benutzerstammpflege, System für die zentrale Benutzerpflege S_USER_SYS 

legt fest, auf welches System ein Benutzerverwalter aus der zentralen Benutzerverwaltung mit 

welchen zulässigen aktivitäten zugreifen kann. 

wer kann aus der zentralen Benutzerverwaltung Benutzer ändern? 


S_tcOde = SU01 oder PfcG 

S_USer_SyS (Benutzerpflege) mit aktivität „*“ oder 02 (ändern) und SUBSyStem = „*“ oder = 

„logisches System“.

nr. BerechtiGUnGSVerwaltUnG: rOllen 

3. 

3.1 

3.2 

4. 

4.1 

5. 

5.1 

Das Objekt Berechtigungswesen, Prüfung für Rollen S_USR_AGR 

legt die rollennamen und die zulässigen aktivitäten fest, für die ein Berechtigungsverwalter 

berechtigt ist. damit können rollen angelegt und gepflegt werden. 

es kann benutzt werden, um bei einer dezentralisierten administration einem Berechtigungsverwalter 

nur zugriff auf bestimmte rollen zugeben, z. B. für ein modul oder eine Organisationseinheit. 

wer kann rollen anlegen (ohne Berechtigungswerte)? 


S_tcOde = PfcG 

S_USer_aGr (rollen verwalten) mit aktivität „*“, 01 (anlegen) und rolle = „*“ oder = rollennamen 

wer kann rollen ändern (ohne Berechtigungswerte)? 



S_USer_aGr (rollen verwalten) mit aktivität „*“ oder 02 (ändern) und rolle = „*“ oder = rollennamen 

Das Objekt Berechtigungswesen, Transaktionen in Rollen S_USR_TCD 

legt fest, welche transaktionen ein Berechtigungsverwalter in eine rolle aufnehmen darf. 

es kann benutzt werden, um einem Berechtigungsverwalter nur die aufnahme bestimmter 

transaktionen in rollen zu erlauben und damit die Vergabe kritischer transaktionen zu 

verhindern. 

wer ist für S_USer_aGr berechtigt und kann transaktionen anlegen (ohne Berechtigungswerte)? 



S_USer_aGr (rollen verwalten) mit aktivität „*“ oder 01 (anlegen) oder 02 (ändern) und rolle = 

„*“ oder = rollennamen. 

S_USer_tcd (transaktionen in rollen) mit transaktionscode „*“ oder = transaktionsname 

Das Objekt Berechtigungswesen, Feldwerte für Rollen S_USR_VAL 

legt fest, für welche Berechtigungsobjekte und für welche felder ein Berechtigungsverwalter 

welche feldwerte in eine rolle eintragen darf. 

es kann benutzt werden, um einem Berechtigungsverwalter nur die Vergabe bestimmter 

Berechtigungen in rollen zu erlauben und damit die Vergabe kritischer Berechtigungen in rollen 

zu verhindern. 

wer kann rollen mit allen Berechtigungswerten ändern? 



S_USer_aGr (rollen verwalten) mit aktivität „*“ oder 01 (anlegen), 02 (ändern) und rolle = „*“ 

oder = rollennamen 

S_USer_Val (Objektverwendung in rollen) mit „*“ in allen feldern 


Seite 48 


nr. BerechtiGUnGSVerwaltUnG: PrOfile Und BerechtiGUnGen 

6. 

6.1 

6.2 

7. 

Das Objekt Benutzerstammpflege, Berechtigungsprofil S_USR_PRO legt die Profilnamen 

sowie die zulässigen aktivitäten fest, für die ein Berechtigungsverwalter berechtigt ist. 

es kann benutzt werden, um bei einer dezentralisierten Benutzerverwaltung einem Benutzerverwalter 

nur die zuordnung bestimmter Profile zu ermöglichen, z. B. für ein modul oder eine Organisationseinheit. 

wer kann Profile anlegen? 



S_USer_PrO (Profile verwalten) mit aktivität „*“ oder 01 (anlegen) und Profil = „*“ oder = 

Profilnamen. 

wer kann Profile ändern? 



S_USer_PrO (Profile verwalten) mit aktivität „*“ oder 02 (ändern) und Profil = „*“ oder = 

Profilnamen 

Das Objekt Benutzerstammpflege, Berechtigungen S_USR_AUT legt die Berechtigungsobjektnamen 

und die Berechtigungsnamen sowie die zulässigen aktivitäten fest, für die ein 

Berechtigungsverwalter berechtigt ist. 

es kann benutzt werden, um bei einer dezentralisierten Benutzerverwaltung einem Berechtigungsverwalter 

nur die erstellung bestimmter Berechtigungen in Profilen zu erlauben und damit 

die erstellung kritischer Berechtigungen in Profilen zu verhindern. 

nr. BerechtiGUnGSVerwaltUnG: rOllen den BenUtzern zUOrdnen 

8.1 

8.2 

8.3 

wer kann rollen Benutzern zuordnen? 



S_USer_aGr (rollen verwalten) mit aktivität „*“ oder 02 (ändern) und 22 (zuordnen) und rolle = 

„*“ oder = rollennamen 

S_USer_GrP (Benutzerverwaltung) mit aktivität „*“ oder 22 (zuordnen) und Gruppe = „*“ oder = 

Gruppennamen. 

wer kann Benutzern Profile zuordnen und entziehen? 


S_tcOde = SU01 oder PfcG 

S_USer_GrP (Benutzerverwaltung) mit aktivität „*“ oder 02 (ändern) und Gruppe = „*“ oder = 

Gruppennamen 

S_USer_PrO (Profile verwalten) mit aktivität“*“ oder 22 (zuordnen) und Profil = „*“ oder = 

Profilnamen. 

wer kann Benutzern rollen oder Profile zuordnen und entziehen? 



S_USer_GrP (Benutzerverwaltung) mit aktivität „*“ oder 02 (ändern) und aktivität 22 (zuordnen) 

und Gruppe = „*“ oder = Gruppennamen 

S_USer_PrO (Profile verwalten) mit aktivität „*“ oder 22 (zuordnen) und Profil = „*“ oder = 

Profilnamen 

S_USer_aGr (rollen verwalten) mit aktivität „*“ oder 22 (zuordnen) und rolle = „*“ oder = 

rollennamen.

4.11 PrüfPrOGramm: SicherheitSmechaniSmen zUr aKtiVierUnG der 

PrüfUnG VOn BerechtiGUnGen 

nr. BerechtiGUnGSVerwaltUnG: BenUtzer 

1.1 

1.2 

1.3 

1.4 

Berechtigungsverwaltung: wer kann Berechtigungsobjekte deaktivieren? 


S_tcOde = aUth_Switch_OBJectS 

S_USer_OBJ (Objekte verwalten) mit aktivität 02 (ändern) und 07 (aktivieren) und Objekt = „*“ 

oder = „Objektnamen“. 

diese Berechtigung ist restriktiv an Systemadministratoren zu vergeben. das deaktivieren von 

Berechtigungsobjekten muss freigegeben und dokumentiert werden. 

hinweis: mit der transaktion aUth_ Switch_ OBJectS können Berechtigungsobjekte global 

ausgeschaltet werden. 

> für ausgeschaltete Berechtigungsobjekte fügt der Profilgenerator keine Berechtigungen in die 

generierten Profile ein. 

> Beim wiedereinschalten eines Objektes müssen daher eventuell eine große anzahl von rollen 

bzw. Profilen bearbeitet werden. das abschalten von Objekten wird auch aus diesem Grund 

nicht empfohlen. 

> Berechtigungsobjekte, die mit S_ und P_ beginnen (Bereiche Basis und hr), lassen sich 

grundsätzlich nicht global ausschalten. 

> ein überblick über global ausgeschaltete Objekte kann mit der transaktion aUth_diSPlay_ 

OBJectS angezeigt werden. 

> im anwendungsprotokoll (transaktion SlG1) wird unter dem Objektnamen PrGn_lOG_OBJ 

das globale ein- und ausschalten von Objekten protokolliert. 

ist der Profilgenerator aktiviert? 

aiS: System audit – top ten Security reports – Profilparameter anzeigen (auth / *) 


Seit Version 4.6c ist der Profilparameter auth / no_check_in_some_cases auf den wert y (defaultwert) 

gesetzt. 

wer kann die Prüfkennzeichen und Vorschlagswerte des Profilgenerators pflegen? 



S_deVelOP (anwendungsentwicklung) mit aktivität 02 (ändern) und Objekttypen 

> SUSK (zuordnung transaktion zu Berechtigungsobjekt im Kundenstamm, USOBX_c und U-SOBt_c) 

> SUSt (zuordnung transaktion zu Berechtigungsobjekt in SaP-Systemen, USOBX und USOBt 

und Objektname = „*“ (alle transaktionen) oder = „name einer transaktion, die zu bearbeiten ist“. 

diese Berechtigung ist restriktiv an Systemadministratoren zu vergeben. die Pflege der Prüfkennzeichen 

und Vorschlagswerte des Profilgenerators muss freigegeben und dokumentiert werden. 

werden indirekte transaktionsaufrufe einer Berechtigungsprüfung unterzogen? 

ist in der tabelle tcdcOUPleS im feld OKflaG bei den aufgeführten transaktionspaaren ein „X“ 

gesetzt? 

hinweis: wird eine transaktion indirekt, d. h. von einer anderen transaktion aufgerufen, so wird keine 

Berechtigungsprüfung vorgenommen. So werden z. B. Berechtigungen nicht geprüft, wenn eine 

transaktion eine andere mit der anweisung call tranSactiOn aufruft (SaP-hinweis 358 122). 


Seite 50 

5 Systemintegrität auf der Anwendungsebene 

5.1 GewährleiSten der inteGrität VOn SyStem Und daten 

die vom hersteller SaP vorgesehenen Kontrollen müssen zweckentsprechend aktiviert werden, um die 

System- und datenintegrität im Produktivsystem zu gewährleisten und um die gesetzliche anforderungen 

an die nachvollziehbarkeit zu erfüllen. technische möglichkeiten zur Umgehung des aktivierten Kontrollsystems 

sind durch zusätzliche Schutzmaßnahmen auszuschließen. 

5.2 riSiKen 

die risiken entstehen dadurch, dass die Standardinstallation eines SaP-Systems unverändert als 

Produktivsystem genutzt wird. in der Standardinstallation sind aber kritische funktionen nicht angemessen 

konfiguriert, die den unternehmensindividuellen und gesetzlichen anforderungen an Sicherheit und 

Ordnungsmäßigkeit genügen müssen. 

> im Produktivsystem können nicht autorisierte und nicht nachvollziehbare änderungen an Programmen, 

tabellen und daten vorgenommen werden. 

> im Produktivsystem werden bei der Konfiguration eines neuen Unternehmens (mandant) Sicherheits- 

lücken geöffnet. 

> Softwareentwickler können auf dem Produktivsystem die Vorgaben eines geordneten entwicklungs-, 

test- und freigabeverfahrens unterlaufen. 

> änderungen an tabellen mit Parametern für die Steuerung der Geschäftsabläufe und an den system- 

intern geführten Belegen sind nicht nachvollziehbar. 

> erfasste Buchungen werden vom SaP-System zwar bestätigt, werden aber aufgrund eines technischen 

Problems nur zwischengespeichert, ohne im Buchungswerk registriert zu werden. 

> nicht autorisierte zugriffe auf Systemeinstellungen sind möglich, die interne Kontrollen für Geschäfts- 

abläufe oder sicherheitskritische systemtechnische abläufe steuern. 

> die eingerichtete systemübergreifende Kommunikation lässt nicht autorisierte zugriffe von unsicheren 

Systemen zu. 

> Vorhandene Berechtigungsprüfungen werden deaktiviert und damit das zugriffskontrollsystem 

unterlaufen. 

> nicht autorisierte eingriffe in automatisierte Buchungsabläufe sind möglich. 

> Sicherheitsrelevante Systemereignisse werden nicht protokolliert und überwacht. angriffe oder Sicher- 

heitsverletzungen werden nicht erkannt und verfolgt. 


> die Software des Produktivsystems kann nur über den dazu vorgesehenen Software-change-management- 

Prozess geändert werden. die mögliche Umgehung der dazu vorgesehenen abläufe und Kontrollen ist 

mit der von SaP vorgesehenen spezifischen Konfiguration des Produktivsystems zum Schutz gegen 

änderungen verhindert. 

> Bei der anlage eines neuen produktiven mandanten wird diejenige Konfiguration gewählt, die die mit der 

neuanlage verbundenen risiken für informationssicherheit und Ordnungsmäßigkeit ausschließt. 

> der vorgesehene Prozess für das Software-change-management ist mittels der von SaP vorgesehenen 

Systemeinstellungen – auch auf dem Produktivsystem – konsequent und sicher konfiguriert. 

> die gesetzlichen und unternehmensinternen anforderungen an die nachvollziehbarkeit von änderungen 

an der ablauflogik von Geschäftsprozessen und an systemintern geführten Geschäftsbelegen werden 

durch die zweckentsprechende Konfiguration systeminterner Verfahren zur automatischen Protokollierung 

und archivierung umgesetzt.

die von SaP vorgesehenen Kontroll- und abstimmverfahren sind als Prozesse definiert und implementiert, 

um die vollständige und sichere Verarbeitung des Buchungsstoffs und der geschäftlichen Belege zu 

gewährleisten. 

> die sicherheitskritischen Systemeinstellungen und Basisberechtigungen sind identifiziert und zum 

Schutz der Systemintegrität des Produktivsystems restriktiv gesetzt und kontrolliert vergeben. 

> weitere und besondere Systemeinstellungen und Basisberechtigungen sind identifiziert und korrekt 

gesetzt, die den gesetzlichen anforderungen (corporate Governance, compliance) genügen müssen, 

insbesondere die Ordnungsmäßigkeit der rechnungslegung gewährleisten. 

> der zugriff von anderen Systemen auf das Produktivsystem ist so konfiguriert, dass die anforderungen 

an die it-Sicherheit erfüllt sind. 

> die Systemeinstellungen und Berechtigungen zur Steuerung und Verwaltung der produktiven Jobs sind 

so konfiguriert, dass die ordnungsmäßige Verbuchung des Buchungsstoffes, die daten- und System- 

integrität gewährleistet sind und die funktionstrennung zwischen Systemadministration und Benutzern 

eingehalten ist. 

> Sicherheitsrelevante ereignisse werden überwacht und verfolgt. 

5.4 PrüfPrOGramm: SyStemeinStellUnGen zUm SchUtz deS 

PrOdUKtiVSyStemS GeGen änderUnGen 

nr. SyStemeinStellUnGen zUm SchUtz deS PrOdUKtiVSyStemS GeGen änderUnGen 

1. 

1.1 

H 

1.2 

H 

1.3 

Kontrollziel: Im Produktivsystem sind grundsätzlich keine Änderungen an Entwicklungsobjekten 

zugelassen. Das SAP-System ist so konfiguriert, dass Änderungen an Entwicklungsobjekten 

im Produktivsystem nur für Notfallbenutzer möglich sind. 

Risiko: im Produktivsystem ist es möglich, die Software zu warten, ohne dass die änderungen 

protokolliert werden. interne Kontrollen des Prozesses Software-change-management können 

umgangen werden. änderungen sind im SaP-System nicht mehr nachvollziehbar. 

SYSTEMÄNDERBARKEIT 

ist das Produktivsystem gegen Softwareentwicklung gesperrt? 

report rSwBO004: die globale einstellung muss auf „nicht änderbar“ stehen. 

hinweis: auch für integrations-, test- und Qualitätssicherungssysteme muss die globale 

einstellung auf „nicht änderbar“ gesetzt sein. 

SOS: System change Option not appropriately configured in the Production System (0301) 

wer darf die Systemänderbarkeit ändern? 


S_tcOde = Se06 oder Sa38 oder Se38 

S_ctS_admi (administrationsfunktion im ctO) mit funktion SySc (Systemänderbarkeit). 

diese Berechtigung ist nur an notfalluser oder restriktiv an die Systemadministration zu vergeben. 

SOS: Users – Other than the System administrators – are authorized to change the System 

change Option (0303) 

wann wurde die Systemänderbarkeit im Produktivsystem aufgehoben? 

report rSwBO095, auswahl „Systemänderbarkeit“, Schaltfläche „ausführen“, dann Schaltfläche 

„alles expandieren“. 

die Systemänderbarkeit darf nur für kurze zeit aufgelassen werden. die anlässe sind zu dokumentieren. 


Seite 52 



2.1 

H 

2.2 

2.3 

H 

2.4 

H 

MANDANTENÄNDERBARKEIT 

ist der Produktivmandant gegen customizing gesperrt? 

aiS: Organisatorische übersicht – Org. Struktur – mandant, anzeigen, doppelklick auf den 

Produktivmandant 

für den Produktivmandanten prüfen, ob unter „änderungen und transporte für mandantenabhängige 

Objekte“ der Punkt „Keine änderungen erlaubt“ aktiviert ist. 

customizing ist im Produktivmandanten nicht zulässig. 

SOS: client change Option not appropriately configured (0302) 

ist der Produktivmandant durch weitere generelle einstellungen gegen änderungen, Kopieren 

oder testen geschützt? 

aiS: Organisatorische übersicht – Org. Struktur – mandant, anzeigen, doppelklick auf den 

Produktivmandant 

für den Produktivmandanten die folgenden eintragungen prüfen, 

> ob unter „änderungen an mandantenübergreifenden Objekten“ der Punkt „Keine änderungen 

von repository- und mandantenunabhängige cust.-Obj“ aktiviert ist, 

> ob unter „Schutz bzgl. mandantenkopierer und Vergleichstool der Punkt „Schutzstufe 1: kein 

überschreiben“ oder „Schutzstufe 2: kein überschreiben, keine ext. Verfügbarkeit“ aktiviert ist, 

> ob unter „einschränkungen beim Starten von catt und ecatt“ der Punkt „ecatt und catt 

nicht erlaubt“ aktiviert ist. 

diese einstellungen sind empfehlungen. 

wer darf die mandantenänderbarkeit (tabelle t000) ändern? 


S_tcOde = Scc4 oder Sm30 oder Sm31 

S_admi_fcd (Systemberechtigung) mit funktion t000 (anlegen neuer mandanten) 

S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe SS (System- 

tabellen) 

S_taBU_cli (tabellenpflege mandantenunabhängiger tabellen) mit Kennzeichen X (ändern 

mandantenunabhängiger tabellen) 

diese Prüfung muss in allen mandanten des Produktivsystems erfolgen. diese Berechtigung ist 

nur an notfalluser oder restriktiv an die Systemadministration zu vergeben. 

SOS: Users – Other than the System administrators – are authorized to change the client change 

Option (0304) 

werden tabellenänderungen im Produktivmandanten protokolliert? 

aiS: System audit – top ten Security reports – Profilparameter anzeigen 


Selektion auf rec / client: ist der eintrag auf „all“ gesetzt oder sind alle mandanten des 

Produktivsystems gelistet? 

alle manuellen änderungen an tabellen sind im Produktivmandanten zu protokollieren.


2.5 

H 

2.6 

2.7 

2.8 

werden änderungen an der tabelle t000 protokolliert? 

aiS: System audit – repository / tabellen - tabellenaufzeichnungen – technische tabelleneinstellungen, 

letzte zeile in der anzeige zur tabelle t000. 

diese Voraussetzung für die zwangsprotokollierung muss erfüllt sein. 

wann wurde die mandanten-änderbarkeit im Produktivsystem aktiviert? 

aiS: System audit – repository / tabellen - tabellenaufzeichnungen – auswertung tabellenhistorie 

(rStBPrOt / rSVtPrOt) mit Selektion auf tabelle t000 und Selektion des zeitraums. 

wurden die änderungen an der mandanten-änderbarkeit dokumentiert? 

wer hat welche mandanten zuletzt geändert? 

aiS: System audit – repository / tabellen - tabellenaufzeichnungen – auswertung tabellenhistorie 

(rStBPrOt / rSVtPrOt) mit Selektion auf tabelle t000 und Selektion des zeitraums. 

auswertung nach mandant, Benutzer, datum und Uhrzeit. 

wurden die änderungen dokumentiert? 

wer besitzt uneingeschränkte zugriffsrechte zum customizing im Produktivmandanten? 



S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe „*“ (alle tabellen). 

customizing ist im Produktivmandanten nicht zulässig. 

5.5 PrüfPrOGramm: SyStemeinStellUnGen zUm SchUtz der mandanten 

nr. SyStemeinStellUnGen zUm SchUtz der mandanten 

1. 

1.1 

1.2 

Kontrollziel: Anlegen und Ändern eines Mandanten im Produktivsystem erfolgt autorisiert 

und dokumentiert. Die Systemintegrität des Produktivsystems und der Informationsschutz 

der kopierten Daten bleibt dabei gewahrt 

Risiko: Verlust der integrität von System und daten, Verlust der Vertraulichkeit: mit jedem neu 

angelegten mandanten lebt der Superuser SaP* mit seinen umfassenden, auch mandantenübergreifenden 

rechten und dem vergebenen Standardpasswort auf. mandantenübergreifende 

tabellen können geändert werden. das Kontrollsystem eines anderen, produktiven mandanten 

kann damit ausgehebelt und unterlaufen werden. 

welche mandanten existieren im Produktivsystem? 

aiS: System audit – Systemkonfiguration – mandanten – mandantenübersicht 

aiS: Organisatorische übersicht – Org. Struktur – mandant, anzeigen, jeweils doppelklick auf die 

mandanten 

nur aktive und benötigte mandanten dürfen im Produktivsystem existieren. 

welche Benutzer existieren in den mandanten 000 und 066? 

tabelle USr02 in den beiden mandanten 

report rSUVm005, mandanten angeben 

die SaP Sonderbenutzer müssen geänderte Standardkennworte haben (test mit report 

rSUSr003). der Parameter login / no_automatic_user _sapstar muss auf 1 gesetzt sein (test mit 

report rSPfPar). im mandant 000 dürfen zusätzliche administratorkennungen vergeben sein. 


Seite 54 



1.3 

2 

wer darf mandanten anlegen oder ändern? wer hat die Pflegeberechtigung für die tabelle t000? 


S_tcOde = Scc4 oder Sm30 oder Sm31 


S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe SS (Systemtabellen) 



diese Berechtigung ist im Produktivsystem nur für notfallbenutzer zulässig. 

SOS: Users – Other than the System administrators – are authorized to create new clients (0305) 

SOS: Users – Other than the System administrators – are authorized to change the client change 

Option (0304) 

Kontrollziel: Kopieren eines Mandanten im Produktivsystem erfolgt autorisiert und dokumentiert. 

Risiko: Verlust der integrität von System und daten, Verlust der Vertraulichkeit: über die 

technische möglichkeit, eine mandantenkopie zu erstellen, können sensitive Produktivdaten 

kopiert und ohne den Schutz des Kontrollsystems des ursprünglichen mandanten eingesehen 

werden. 

2.1 welche daten wurden zu welchem zeitpunkt aus dem Produktivmandanten herauskopiert? 

aiS: System audit – Systemkonfiguration – mandanten – mandantenkopie Protokoll 

2.2 

2.3 

wer darf mandanten kopieren? (lokale Kopien ohne Benutzerstämme und Profile) 


S_tcOde = Sccl oder Scc9 


S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe „*“ (alle tabellen) 



S_dataSet (Berechtigung zum dateizugriff) mit „*“ in allen feldern (Programmname, aktivität 

und dateiname) 

S_clnt_imP (dateiimport bei mandantenkopie) mit aktivität 60 (importieren) 

diese Berechtigung ist restriktiv nur an Systemadministratoren zu vergeben. 

wer darf mandanten kopieren? (Remote-Kopien ohne Benutzerstämme und Profile) 

zu den obigen Berechtigungen kommen noch die folgenden dazu: 


S_ctS_admi (administrationsfunktion im workbench Organizer) mit funktion imPS (importieren 

einzelner transportaufträge) 

S_tranSPrt (change and transport Organizer) mit aktivität 01 (anlegen) und 43 (freigeben) und 

60 (importieren) und auftragstyp clcP (mandantentransporte) 

diese Berechtigung ist restriktiv nur an Systemadministratoren zu vergeben.


2.4 

wer darf mandanten kopieren? (Kopien mit Benutzerstammsätzen und Profilen) 

zu den obigen Berechtigungen kommen noch die folgenden dazu: 


S_USer_GrP (Benutzerverwaltung) 

mit aktivität 01 (anlegen) oder 02 (ändern) oder 06 (löschen) und Gruppe = „*“ (alle Gruppen) 

S_USer_PrO (Profilverwaltung) 

mit aktivität 01 (anlegen) oder 02 (ändern) oder 06 (löschen) und Profile = „*“ (alle Profile) 

S_USer_aUt (Berechtigungsverwaltung) 

mit aktivität 01 (anlegen) oder 02 (ändern) oder 06 (löschen) und Objekte = „*“ (alle Objekte) und 

Berechtigungen = „*“ (alle Berechtigungen) 

diese Berechtigung ist restriktiv nur an Systemadministratoren zu vergeben. 

5.6 PrüfPrOGramm: nachVOllziehBarKeit VOn änderUnGen an 

taBellen im PrOdUKtiVSyStem 

nr. nachVOllziehBarKeit VOn änderUnGen an taBellen im PrOdUKtiVSyStem 

1. 

1.1 

H 

1.2 

H 

Kontrollziel: Das Verwalten der Tabellen muss Anforderungen an die IT-Sicherheit 

genügen. Änderungen an Tabelleninhalten mit steuernden Funktionen unterliegen den 

Nachweis- und Aufbewahrungspflichten der ordnungsmäßigen Buchführung gemäß den 

deutschen Rechnungslegungsvorschriften (AGB, AO). 

Risiko: 

> anwendungsübergreifende oder anwendungsspezifische Parameter in tabellen werden unbefugt 

oder aus Unkenntnis falsch eingestellt. fehleinstellungen gefährden die daten- und Systemintegrität. 

> nachweispflichtige änderungen werden nicht automatisch protokolliert. 

> Protokollierte änderungen werden nicht gemäß den gesetzlich geforderten aufbewahrungspflichten 

archiviert. automatisch generierte änderungsbelege können unbefugt ohne archivierung 

gelöscht werden. 

ist die tabellenprotokollierung im Produktivsystem für alle mandanten aktiviert? 

aiS: System audit – repository / tabellen – tabellenaufzeichnungen – Systemparameter 

der Parameter rec / client muss auf „all“ gesetzt sein, d. h. die Protokollierung für alle 

mandanten des Systems aktiviert sein. 

SOS: table logging is not enabled Sufficiently (0316) 

werden tabellenänderungen protokolliert, die durch transporte ins Produktivsystem eingespielt 

wurden? 

report rStmStPP, im feld „System“ den namen des Produktivsystems eintragen. 

für das Produktivsystem ist der Parameter des transport management Systems 

recclient auf „all“ gesetzt. 


Seite 56 



1.3 

H 

1.4 

1.5 

2. 

2.1 

wer darf den eintrag für die Protokollierung bei tabellen setzen oder zurücknehmen? 


S_tcOde = Se11 oder Se13 

S_deVelOP mit aktivität 02 (ändern) und Objekttyp taBt. 

dieses zugriffsrecht ist im Produktivsystem nur für notfallbenutzer zulässig. 

SOS: Users are authorized to modify the table logging flag for tables 

werden unternehmenseigene tabellen protokolliert, die z. B. das Buchungswerk oder die 

Steuerung des Buchungswerkes betreffen? 

tabelle dd09l mit den einträgen y* und z* im feld tabellenname und Selektion „=“ im 

feld Protokoll (alle tabellen mit keinem eintrag im feld Protokoll). 

Unternehmenseigene tabellen mit relevanz für die externe rechnungslegung müssen ebenfalls 

zwangsprotokolliert werden. 

wer darf tabellenänderungsprotokolle löschen? 

Risiko: das SaP-System stellt eine funktion bereit, die tabellenänderungsprotokolle löscht. dieses 

löschen ist mandantenübergreifend wirksam. wenn die tabellenänderungsprotokolle nicht zusätzlich 

über das archivierungsobjekt Bc_dBlOGS archiviert worden sind, ist die nachvollziehbarkeit nicht 

mehr gewährleistet. 

Hinweis: das löschen erfolgt mit dem report rStBPdel. er kann manuell über die transaktion Sa38 

aufgerufen werden. abrufbar ist er auch über den report rStBhiSt. ausgeführt wird er auch mittels 

der transaktion ScU3 über den Pfad Bearbeiten – Protokolle – löschen. 

es ist zu prüfen, welche Benutzer die tabelle dBtaBlOG ändern dürfen. Sie ist standardmäßig der 

Berechtigungsgruppe Sa zugeordnet. 


S_tcOde = Sa38 oder Se38 

S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe Sa 

(rS: anwendungstabelle) 

S_taBU_cli (tabellenpflege mandantenunabhängiger tabellen) mit Kennzeichen X 

(ändern mandantenunabhängiger tabellen). 

dieses zugriffsrecht ist im Produktivsystem nur für notfallbenutzer zulässig. 

Kontrollziel: Änderungen an Belegobjekten werden autorisiert durchgeführt. Änderungsbelege, 

die als Nachweise für die ordnungsmäßige Buchführung dienen, werden gemäß 

den gesetzlich erforderlichen Aufbewahrungsfristen archiviert. 

Risiko: für einzelne Belegobjekte wird die automatische zwangsprotokollierung ausgesetzt. 

dadurch werden die gesetzlich erforderlichen änderungsnachweise nicht mehr erzeugt. 

änderungsbelege werden vor der vorgesehenen frist für die archivierung gelöscht. 

wer darf Objekte von änderungsbelegen verwalten? 

Risiko: das Protokollieren von änderungen kann vorsätzlich ausgesetzt werden, indem einträge 

zu definierten änderungsbelegobjekte geändert werden. 


S_tcOde = ScdO 

S_Scd0 (änderungsbelege) mit aktivität 12 (Pflegen) 

änderungsbelegobjekte des SaP-Systems (auslieferungsstand) dürfen nicht geändert werden.


2.2 

H 

2.3 

H 

2.4 

H 

3. 

3.1 

H 

3.2 

H 

wurden Standard SaP änderungsbelegobjekte geändert? 

report rSScd100, Selektion im feld „Objektklasse“ auf das änderungsbelegobjekt aendBeleG. 

änderungsbelegobjekte des SaP-Systems (auslieferungsstand) dürfen nicht geändert werden. 

wer darf änderungsbelege löschen? 

Risiko: das SaP-System stellt den report rScdOK99 bereit, mit der änderungsbelege gelöscht 

werden können. wenn diese änderungsbelege nicht zusätzlich archiviert worden sind, ist die 

nachvollziehbarkeit nicht mehr gewährleistet. 


S_tcOde = Sa38 oder Se38 

S_Scd0 (änderungsbelege) mit aktivität 06 (löschen) 

dieses zugriffsrecht ist im Produktivsystem nur für notfallbenutzer zu vergeben. 

wer darf daten ohne archivierung löschen? 

Risiko: zur archivierung vorgesehene daten können gelöscht werden, bevor sie archiviert 

worden sind. 


S_admi_fcd (Systemberechtigungen) mit wert rSet 

dieses zugriffsrecht darf im Produktivsystem nicht vergeben oder nur für notfallbenutzer 

zugelassen sein. 

Kontrollziel: Generelle Berechtigungen für Tabellen sind nicht oder sehr restriktiv 

vergeben. 

Risiko: Benutzer erhalten entgegen den beiden Vergabeprinzipien „Geringster Berechtigungsumfang“ 

und „funktionstrennung“ universelle Berechtigungen, tabellen zu ändern. manipulation an 

dem regelwerk der Buchhaltung und an buchhaltungsrelevanten daten wird dadurch ermöglicht. 

wer darf alle mandantenabhängigen tabellen ändern? 

Risiko: nicht autorisierte Benutzer können tabellen ändern, deren inhalte rechnungslegungsrelevant 

sind. 


S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe „*“ (alle tabellen). 

dieses universelle tabellenänderungsrecht ist im Produktivsystem nur an notfallbenutzer zu 

vergeben. 

SOS: Users are authorized to maintain all tables (0514) 

wer darf alle mandantenunabhängigen tabellen ändern? 

Risiko: Benutzer können Systemeinstellungen ändern, die das SaP interne Kontrollsystem 

betreffen, z. B. mandanten für tabellenänderungen freischalten. 


S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe „*“ (alle tabellen) 

S_taBU_cli (tabellenpflege mandantenunabhängiger tabellen) mit Kennzeichen X 

(ändern mandantenunabhängiger tabellen) 

diese Berechtigung darf im Produktivsystem nur an die Systemadministration vergeben werden. 

SOS: Users are authorized to Perform customizing in the Production System (0309) 


Seite 58 



3.3 

3.4 

welche Benutzer haben ändernden zugriff auf die tabellenberechtigungsgruppe &nc&. 

Risiko: hiermit wird der änderungszugriff auf eine große anzahl tabellen ermöglicht, bei SaP 

enterprise, ca. 15.000, darunter 3.000 tabellen, die manuell änderbar sind. 


S_taBU_diS (tabellenpflege) mit aktivität 02 (ändern) und Berechtigungsgruppe &nc& (default 

tabellenberechtigungsgruppe) 

dieses zugriffsrecht ist restriktiv zu vergeben. 

welche Benutzer dürfen alle tabellen über rfc zugriff einsehen? 


S_rfc (Berechtigungsprüfung beim rfc-zugriff) mit aktivität 16 (ausführen) und rfc-typ fUGr 

(funktionsgruppe) und rfc-name SdtX 

S_taBU_diS (tabellenpflege) mit aktivität 03 (lesen) und Berechtigungsgruppe „*“ (alle tabellen). 


SOS: Users – Other than the Key Users – are authorized to Visualize all tables via rfc (0245) 

5.7 PrüfPrOGramm: OrdnUnGSmäSSiGe VerBUchUnG 

nr. OrdnUnGSmäSSiGe VerBUchUnG 

1. 

1.1 

H 

1.2 

Kontrollziel: Buchungssätze, die in SAP eingegeben sind, sind auch systemtechnisch 

vollständig, richtig und zeitnah in der SAP-Datenbank verbucht worden. 

Risiko: anforderungen an die Ordnungsmäßigkeit der Buchhaltung sind nicht eingehalten. es 

existieren systemintern nicht verarbeitete Verbuchungssätze, die keiner überwachung und 

weiterverarbeitung unterliegen. aufgetretene nicht verarbeitete Verbuchungssätze sind nicht 

erkannt und bearbeitet, sondern vom System automatisch gelöscht worden. 

wer untersucht die tabelle VBlOG regelmäßig auf abgebrochene Verbuchungen? 

> report rfVBer00 mit der Selektion auf den mandanten 

> transaktion Sm21, auswahl „alle entf. Syslogs“, „von datum“ und „bis datum“ eingeben, 

wechsel in den expertenmodus über den menüpunkt „Bearbeiten – expertenmodus“, über die 

Schaltfläche „meld.kennungen“ auf folgende meldung einschränken: r65 „ein Verbuchungsauftrag 

ist abgebrochen.“ 

wie sind die Parameter für Verbuchungsabbrüche gesetzt (rdisp / vb*)? 




> rdisp / vb_delete: dauer der aufbewahrung der abgebrochenen Verbuchungssätze im System bis 

zum automatischen löschen in tagen (Standardwert: 50 tage) 

> rdisp / vb-mail: aktivierung des Versands eines emails (Standardwert: 1 - es wird eine email 

verschickt.) 

> rdisp / vb_mail_user_list: liste aller email-adressaten, die über den Verbuchungsabbruch zu 

informieren sind – neben dem Verursacher (Standardwert: $actUSer).

nr. OrdnUnGSmäSSiGe VerBUchUnG 

1.3 

1.4 

wer ist berechtigt, Verbuchungsparameter zu ändern? 


S_tcOde = rz10 

S_rzl_adm (rechenzentrumsleitstand) mit aktivität 01 (anlegen und ändern). 

wer ist berechtigt, Verbuchungen zu verwalten? 


S_tcOde = Sm13 oder Sm14 

S_admi_fcd (Systemadministration) mit funktion Uadm (Verbuchungsadministration). 

5.8 PrüfPrOGramm: SchUtz SicherheitSKritiScher SyStemeinStellUnGen 

Und BaSiSBerechtiGUnGen 

nr. SchUtz SicherheitSKritiScher SyStemeinStellUnGen Und BaSiSBerechtiGUnGen 

1. 

1.1 

H 

Kontrollziel: Das Ändern von Profilparametern erfolgt auftragsbezogen nur durch die 

Systemadministration. 

Risiko: Profilparameter werden nicht autorisiert geändert. es wird z. B. ein sicherheitsrelevanter 

Parameter außer Kraft gesetzt. aufgrund einer fehlerhafter Setzung wird eine Betriebsstörung 

beim nächsten restart verursacht. 

wer darf Profilparameter ändern? 


S_tcOde = rz10 

S_rzl_adm (rechenzentrumsleitstand) mit aktivität 01 (anlegen und ändern) 

dieses zugriffsrecht ist nur für Systemadministratoren zuzulassen. 

SOS: Users – Other than the System administrators – are authorized to maintain System Profiles 

(0152) 


Seite 60 



2. 

2.1 

2.2 

2.3 

2.4 

2.5 

2.6 

Kontrollziel: Das Ändern der SAP Standardtransaktionen oder Anlegen und Ändern eigenentwickelter 

Transaktionen erfolgt auftragsbezogen und ist dokumentiert. 

Die Funktionstrennung zwischen Benutzer, Anwendungsentwicklung und Systemadministration 

ist eingehalten. 

Risiko: SaP Standardtransaktionen oder eigenentwickelte transaktionen werden unbefugt 

geändert, gesperrt oder entsperrt. 

wer darf transaktionen anlegen? 


S_tcOde = Se93 

S_deVelOP (anwendungsentwicklung) mit aktivität 01 (anlegen) und Objekttyp tran (transaktionen). 

diese Berechtigung darf nur an die Systemadministration vergeben werden. 

wer darf transaktionen ändern? 


S_tcOde = Se93 

S_deVelOP (anwendungsentwicklung) mit aktivität 02 (ändern) und Objekttyp tran (transaktionen) 

und Objektname = „*“ (alle transaktionen) oder = „name einer transaktion, die geändert 

werden darf“. 


wurden neue transaktionen angelegt? 

tabelle tStc, Selektion im feld tcOde auf y* bis z*. 

Sind die neuen transaktionen durch Berechtigungsobjekte geschützt? 

tabelle tStca, Selektion im feld tcOde auf y* bis z*. 

alle in der tabelle tStc eingetragenen neuen transaktionen müssen auch in der tabelle tStca 

enthalten sein. 

wer darf transaktionen sperren? 



S_admi_fcd (Systemberechtigung) mit funktion tlcK (transaktionen sperren) 


SOS: User – Other than the System administrators – are authorized to lock / Unlock transactions 

(0157) 

welche transaktionen sind gesperrt? 

aiS System audit – entwicklung / customizing – transaktionen – Gesperrte transaktionen. 

zu den gesperrten transaktionen muss es eine dokumentierte Vorgabe geben.


3. 

H 

3.1 

3.2 

H 

3.3 

H 

3.4 

H 

Kontrollziel: Anlegen, Ändern und Löschen von Einträgen zu Betriebssystemkommandos 

erfolgt auftragsbezogen und ist dokumentiert. Möglicher Missbrauch wird überwacht. Die 

Funktionstrennung zwischen Benutzer, Anwendungsentwicklung und Systemadministration 

ist eingehalten. 

Risiko: Bei nicht autorisierter oder unsachgemäßer nutzung der Betriebssystembefehle ist die 

integrität und Verfügbarkeit des SaP-Systems sowie die datenintegrität gefährdet. 

die Betriebssystembefehle laufen unter den höchst privilegierten Berechtigungen desjenigen 

Systembenutzers auf der Betriebssystemebene, der das SaP-System gestartet hat. dieser hat 

i.d.r. uneingeschränkten zugriff auf das SaP-System. 

welche logischen Betriebssystemkommandos sind vorhanden? 

aiS: System audit – Systemkonfiguration – Betriebssystem – zugriffsrechte für SaP directories 

-Betriebssystemaufrufe erlaubt (tatsächlich?) 

aiS: System audit – Systemkonfiguration – Betriebssystem – zugriffsrechte für SaP directories 

-externer OS-Kommandos (tatsächlich?) 

Oder tabellen SXPGcOStaB (Betriebssystemkommandos, die das Unternehmen angelegt hat) und 

SXPGcOtaBe (Betriebssystembefehle, die von SaP angelegt wurden). 

es dürfen nur die von SaP ausgelieferten und die zusätzlich autorisierten Betriebssystemkommandos 

eingetragen sein. 

wurden logische Betriebssystemkommandos angelegt und wieder gelöscht? 

tabelle SXPGhiStOr (historie über die logischen Betriebssystemkommandos), einträge c (create) 

und d (delete) im feld mOdifier. 

das anlegen und löschen von Betriebssystemkommandos muss freigegeben und dokumentiert 

sein 

wer darf neue Betriebssystemkommandos anlegen? 




dieses zugriffsrecht ist im Produktivsystem nur für notfallbenutzer zuzulassen. 

SOS: Users – Other than the System administrators – are authorized to define external OS 

commands (0171) 

wer darf alle Betriebssystemkommandos ausführen? 



S_lOG_cOm (ausführen logischer Betriebssystemkommandos) mit „*“ (alle möglichen werte) in 

allen feldern (Kommando, Betriebssystem, Servername). 

dieses zugriffsrecht ist im Produktivsystem nur für notfallbenutzer zuzulassen. 

SOS: Users – Other than the System administrators – are authorized to execute external OS 

commands (0171) 


Seite 62 



3.5 

H 

3.6 

H 

4. 

4.1 

H 

4.2 

H 

wer darf mit dem report rSBdcOS0 beliebige Betriebssystemkommandos ausführen? 


S_tcOde = Sm49, Sm69 


S_lOG_cOm (ausführen logischer Betriebssystemkommandos) mit Kommando = rSBdcOS0 und 

„*“ (alle möglichen werte) in den beiden restlichen feldern „Betriebssystem“ und „Servername“. 

dieses zugriffsrecht ist im Produktivsystem nur den notfallbenutzer zuzulassen. 

wurde der report rSBdcOS0 eingesetzt? 

Risiko: der report rSBdcOS0 ermöglicht das unmittelbare und uneingeschränkte absetzen von 

Betriebssystemkommandos aus der SaP Bedienoberfläche heraus. 

Hinweis: im Systemlog, Syslog, werden Start des reports und inhalt des Betriebssystemkommandos 

protokolliert. 

transaktion Sm21, Umschalten auf expertenmodus und auswertung der meldungsnummer lc0 

über die Schaltfläche „meld.kennungen“. 

die unmittelbare einmalige eingabe von Betriebssystemkommandos über das Programm 

rSBdcOS0 ist im Produktivsystem nicht zulässig, seine ausführung ist zu überwachen und 

Verstöße sind zu verfolgen. 

Kontrollziel: Gewährleistung der Integrität von System und Daten durch restriktive 

Vergabe der systemübergreifenden Funktionsaufrufen. 

einhaltung der funktionstrennung zwischen Benutzern, entwicklern und Systemadministration. 

Hinweis: SaP stellt Berechtigungen für die kontrollierte nutzung systemübergreifender 

funktionsaufrufen bereit. „Systemübergreifend“ ist zum einen vertikal zu verstehen, z. B. 

zwischen SaP anwendung und Betriebssystem, und zum anderen horizontal, z. B. zwischen 

verschiedenen SaP-Systemen oder zwischen SaP-Systemen und fremdsystemen. 

Risiko: nicht autorisierte nutzung systemübergreifender funktionsaufrufe durch entwickler und 

Systemadministration. Schwachstelle in der systemübergreifenden Kommunikation, die von 

einem hacker ausgenutzt werden kann, um von einem bereits übernommenen System auf das 

nächste zu gelangen („island-hopping“). 

wer hat uneingeschränkte Berechtigung für den zugriff auf Betriebssystemdateien aus 

aBaP-Programmen? 

report rSUSr002 mit den eingaben: S_dataSet mit „*“ in allen feldern oder mit aktivität 34 

(Schreiben oder löschen einer datei) und „*“ in den restlichen feldern. 

diese Berechtigung ist im Produktivsystem nur notfallbenutzern vorbehalten, im ausnahmefall 

auch Systemadministratoren. 

für Standardabläufe müssen mindestens der dateiname und die aktivität spezifiziert sein. 

wer hat uneingeschränkte Berechtigung für cPic aufrufe aus aBaP-Programmen? 


S_cPic (cPic-aufruf aus aBaP) mit „*“ in allen feldern. 



für Standardabläufe müssen mindestens der Programmname und die aktivität spezifiziert sein. 

der Benutzer im zielsystem darf kein Pseudo-Benutzer sein.


4.3 

H 

4.4 

H 

4.5 

H 

wer hat uneingeschränkte Berechtigung zum aufruf von c-Kernel funktionen aus aBaP-Programmen? 


S_c_fUnct (direkter aufruf von c-Kernel funktionen aus aBaP) mit „*“ in allen feldern. 



für Standardabläufe müssen mindestens der Programmname und die call-bare c-routine 

spezifiziert sein. 

wer hat uneingeschränkte Berechtigung zum aufruf von Ole-funktionen aus aBaP-Programmen? 


S_Ole_call (Ole-aufruf aus aBaP) mit „*“ in allen feldern. 

im Produktivsystem: nur notfallbenutzern vorbehalten, im ausnahmefall auch Systemadministratoren. 

für Standardabläufe müssen mindestens der Programmname und die Ole-anwendung 

spezifiziert sein. 

wer hat uneingeschränkte Berechtigung für rfc-zugriffe? 


S_rfc (rfc-zugriffsberechtigung) mit „*“ in allen feldern. 


für Standardabläufe muss mindestens die funktionsgruppe unter dem namen des zu schützenden 

rfc-Objektes spezifiziert sein. der Benutzer im zielsystem darf kein Pseudo-Benutzer 

sein. 


Seite 64 


5.9 PrüfPrOGramm: SchUtz der rfc-aUfrUfe 

nr. SchUtz der rfc-aUfrUfe 

1. 

1.1 

1.2 

H 

1.3 

1.4 

Kontrollziel: Die Integrität von Systemen und Daten ist sicherzustellen. Nicht autorisierte 

Nutzung ist zu verhindern. Die Funktionstrennung zwischen Benutzer, Anwendungsentwicklung 

und Systemadministration ist einzuhalten. 

Risiko: wenn zu rfc-Verbindungen dialog-Benutzer und Kennwörter hinterlegt sind, kann ohne 

anmeldung eine Verbindung aufgebaut und zu nicht autorisierten zwecken verwendet werden. 

rfc-anmeldungen werden nicht automatisch protokolliert, sodass sie nicht nachweisbar sind. es 

fehlt dann die Basis für recherchen bei missbrauchsverdacht. 

welche rfc-Verbindungen zu verschiedenen Systemen existieren auf dem untersuchten 

SaP-System? 

tabelle rfcdeS oder report rSrSdeSt. 

dabei ist keine Selektion vorzunehmen. 

oder 

aiS: System audit – top ten Security reports – rfc-destinations mit anmeldedaten 

aiS: System audit – System Konfiguration – Kommunikationsarten von SaP – rfc / SaP remote 

function call. 

existieren rfc-Verbindungen, in denen für dialogbenutzer Kennwörter hinterlegt sind? 

Selektionsmaske der tabelle rfcdeS oder des reports rSrSdeSt mit wert „v= % _Pwd“.über 

transaktion SU01d oder report rSUSr002 prüfen, ob die ausgewiesenen Benutzer in einem der 

mandanten des Systems existieren und ob es dialog- oder Servicebenutzer sind. 

Oder über den report rSrfcchK anzeigen lassen, zu welchen rfc-Verbindungen anmeldedaten 

hinterlegt sind. 

es dürfen keine dialog- oder Servicebenutzer im zielsystem eingetragen sein – bis auf die von 

SaP vergebenen rfc-Standardbenutzer, z. B. den des transport management Systems (tmS), und 

die Kommunikations- und Systembenutzer. 

Können rfc Verbindungen zu Benutzern mit abgelaufenen Passwörtern benutzt werden? 

aiS: System audit – top ten Security reports – Profilparameter anzeigen (generisch über rfc / *) 

der Systemparameter rfc / reject_expired_passwd muss auf „1“ gesetzt sein, um rfc Verbindungen 

über einen Benutzer mit abgelaufenem Kennwort auszuschließen. 

SOS: incoming rfc with expired Password is allowed (0234) 

wer kann rfc logon informationen einsehen? 


S_tcOde mit Se16 oder Se16n oder Se17, Sm30 oder Sm31 

S_taBU_diS (tabellenpflege) mit aktivität 03 (lesen) und Berechtigungsgruppe „Sc“. 


SOS: Users – Other than the System administrators – are authorized to access rfc logon 

information (0256)


1.5 

1.6 

H 

2. 

2.1 

2.2 

H 

2.3 

H 

wer kann rfc-Verbindungen verwalten? 



S_admi_fcd (Systemberechtigung) mit funktion nadm (netzwerkadministration). 


SOS: Users – Other than the System administrators – are authorized to administer rfc 

connections (0255) 

werden anmeldungen und funktionsbausteinaufrufe über rfc über das SaP Security audit log 

protokolliert und überwacht? 

transaktion Sm19 und auf folgende einträge prüfen: 

> Klassen: rfc- / cPic-anmeldungen und rfc funktionsbausteinaufrufe 

> ereignisse: „nur kritische“. 

diese angegebene mindestanforderung an die Protokollierung muss gegeben sein. 

SOS: Security critical events for end Users are not logged in the Security audit log (0136) 

Kontrollziel: RFC-Berechtigungen sind restriktiv zu vergeben. Nicht autorisierte Nutzung 

ist zu verhindern. 

Risiko: Verlust der Vertraulichkeit, integrität von Systemen und daten. die rfc-Berechtigung 

(S_rfc) ist nicht eingeschränkt und ermöglicht zugriff auf kritische funktionsbausteine, die 

missbräuchlich genutzt werden können. 

Hinweis: das Berechtigungsobjekt S_rfc ist nur für den aBaP Stack wirksam, nicht aber für den 

JaVa Stack. 

ist der Parameter auth / rfc_authority_check auf einen wert größer oder gleich 1 gesetzt sein, 

damit die Berechtigung S_rfc greift? 

aiS: System audit – top ten Security reports – Profilparameter anzeigen (generisch über auth / *) 

ist er mit dem wert 0 belegt, nimmt das System keine Prüfung auf die Berechtigung S_rfc vor. 

wer hat uneingeschränkte Berechtigung für rfc-zugriffe? 


S_rfc (rfc-zugriffsberechtigung) mit „*“ in allen feldern. 


für Standardabläufe muss mindestens die funktionsgruppe unter dem namen des zu schützenden 

rfc-Objektes spezifiziert sein. der Benutzer im zielsystem darf kein Pseudo-Benutzer 

sein. 

wer kann alle oder bestimmte funktionsbausteine aufrufen, auch aus anderen Programmen? 



(funktionsgruppe) und rfc-name mit dem wert „*“ oder den namen der funktionsgruppen. 

Hinweis: Kritische funktionsgruppen aufgrund kritischer funktionsbausteine sind z.B. 

> SySt, system interface, mit dem funktionsbaustein SyStem_remOte_lOGin 

> Srfc, rfc Verwaltung, mit dem funktionsbaustein rfc_lOGin 

> SUtl, Utilities, mit dem funktionsbaustein rfc_aBaP_inStall_and_rUn. 

S_rfc darf nur an die Benutzer restriktiv vergeben werden, die für die Verwaltung von Schnittstellen 

zuständig sind, oder an die Systemadministration. 

SOS: Users – Other than the communication Users – are authorized to run any rfc function 

(0241) 


Seite 66 



2.4 

H 

3. 

3.1 

H 

4. 

welche Benutzer dürfen alle tabellen über rfc zugriff einsehen? 



(funktionsgruppe) und rfc-name SdtX (desktop access) 

S_taBU_diS (tabellenpflege) mit aktivität 03 (lesen) und Berechtigungsgruppe „*“ (alle tabellen). 

Hinweis: die funktionsgruppe SdtX (desktop access) beinhaltet den funktionsbaustein 

rfc_read_taBle, external access to r / 3 tables via rfc. 

hinweis: weitere kritische funktionsgruppen von funktionsbausteinen mit umfassender 

leseberechtigung sind z.B. 

> Srtt, funktionen zum remote-tabellentransport, mit funktionsbausteinen, die das holen von 

tabellen aus anderen Systemen und das anzeigen von tabelleninhalten ermöglichen. 

> Bdch, ale-Konsistenzprüfungen, u.a. mit einem funktionsbaustein, der das holen von 

tabellen aus einem anderen Systemen ermöglicht. 


SOS: Users – Other than the Key Users – are authorized to Visualize all tables via rfc (0245) 

Kontrollziel: Keine nicht autorisierten Softwareänderungen auf dem Produktivsystem 

über den universell einsetzbaren Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN. 

Risiko: die vorgesehenen Kontrollen des Software-change-management für das Produktivsystem 

können damit unterlaufen werden. manipulationen an Programmen und daten sowie 

löschung von änderungsbelegen können damit durchgeführt werden. 

wer kann den höchst kritischen funktionsbaustein rfc_aBaP_inStall_and_rUn aufrufen? 

damit können aBaP-Quelltexte an das SaP-System zur ausführung übergeben werden. 



(funktionsgruppe) und rfc-name SUtl (Utilities) 

S_admi_fcd (Systemberechtigung) mit funktion memO (Speicherverwaltung) 

S_deVelOP (anwendungsentwicklung) mit aktivität 03 (anzeigen) und Objekttyp PrOG 

(aBaP-Programme). 

das zugriffsrecht zum ausführen dieses funktionsbausteins darf insbesondere im Produktivsystem 

keinem Benutzer vergeben werden. 

Kontrollziel: Sicherer Einsatz von „Trusted System“ Beziehungen. 

Hinweis 1: dabei handelt es sich um eine definierte Vertrauensbeziehung zwischen einem 

vertrauenden System (trusting System), sozusagen als ziel-System oder lieferndes System, und 

einem System, dem vertraut wird (trusted System), sozusagen als Satelliten-System oder 

anfragendem System. 

Hinweis 2:über das Berechtigungsobjekt S_rfcacl wird im ziel-System festgelegt, welche 

Benutzer aufrufe ohne Kennwortprüfung durchführen dürfen. 

Risiko: Verlust der Vertraulichkeit, integrität von Systemen und daten. 

> Von einem beliebigen System aus können Benutzer aufrufe ohne Kennwortanmeldung in 

einem vertrauenden System durchführen. 

> Von einem System aus, dem vertraut wird, können beliebige Benutzer anonym einen Benutzer 

mit umfassenden Berechtigungen im vertrauenden System nutzen.


4.1 

4.2 

H 

4.3 

H 

wer kann die einstellungen für ein trusted (1) und ein trusting Systems (2) verwalten? 

(1) report rSUSr002 mit den eingaben: 

S_tcOde mit Smt1 

S_admi_fcd (Systemberechtigungen) mit aktivität nadm (netzadministration). 


SOS: Users – Other than the System administrators – are authorized to maintain trusted Systems 

(0240) 

(2) report rSUSr002 mit den eingaben: 

S_tcOde mit Smt2 

S_admi_fcd (Systemberechtigungen) mit aktivität nadm (netzadministration). 


SOS: Users – Other than the System administrators – are authorized to maintain trusting 

Systems (0268) 

welche uneingeschränkten Vertrauensbeziehungen für rfc-zugriffe aus Satellitensystemen 

bestehen in einem vertrauenden System? 

im vertrauenden System report rSUSr002 mit den eingaben: 

S_rfcacl (Berechtigungsprüfung für rfc-Benutzer) mit „*“ in allen feldern. 

mindestens die felder „rfc_SySid“ (Kennung des rufenden Systems bzw. domäne des 

Satellitensystems) und „rfc_client“ (mandant des rufenden Systems) müssen spezifiziert sein. 

SOS: Users authorized for trusted rfc (Object S_rfcacl) (0239) 

welche Benutzer mit welchem Berechtigungsumfang sind auf dem vertrauenden System (tristing 

System) der jeweiligen Vertrauensbeziehung zugeordnet? 

1. nach bestehenden Vertrauensbeziehungen auf dem trusting System suchen: 

transaktion Stm1 

Oder 

transaktion Se16(n) (tabellenanzeige) für tabelle rfcSySacl 

2. ausführenden Benutzer und seinen Berechtigungsumfang auf dem vertrauenden System 

feststellen 

über das Programm rSUSr002 oder über transaktion SUim prüfen, welche Benutzer mit dem 

Objekt S_rfcacl berechtigt sind. 

im feld rfc_USer prüfen, ob im System, dem vertraut wird, mit derselben Benutzerkennung 

oder mit einem anderen Benutzer die rfc Verbindung aufgebaut wird. 

3. auf dem System, dem vertraut wird, prüfen, unter welchem Benutzer der zugriff auf das 

vertrauende System erfolgt: 

> über die transaktion Sm59 die rfc Verbindung feststellen 

> im register „anmeldung / Sicherheit“ prüfen, ob es sich um eine Vertrauensbeziehung handelt. 

das feld „trusted System“ ist dann auf „ja“ gesetzt. 

> im register „anmeldung / Sicherheit“ prüfen, ob mit dem aktuellen Benutzer oder mit einem 

anderen Benutzer im vertrauenden System die rfc Verbindung aufgebaut wird. 

Unzulässig sind Vertrauensbeziehungen, in denen beliebige Benutzer eines Systems, dem 

vertraut wird, einen Benutzer des vertrauenden Systems aufrufen können. im vertrauenden 

System muss nachvollziehbar sein, welcher aufrufende Benutzer aktiv war. 

SOS: Users authorized for trusted rfc (Object S_rfcacl) (0239) 


Seite 68 


5.10 PrüfPrOGramm: SchUtz der Batch-inPUt-PrOzeSSe 

nr. SchUtz der Batch-inPUt-PrOzeSSe 

1. 

1.1 

1.2 

1.3 

Kontrollziel: Die ordnungsmäßige Verarbeitung der Geschäftsdaten und des Buchungsstoffs 

ist sichergestellt. 

1. die Vollständigkeit, richtigkeit und zeitgerechtigkeit der Verarbeitung ist sicherzustellen, 

insbesondere bei daten der Buchhaltung. 

2. über arbeitsanweisungen ist sichergestellt, dass die Vollständigkeit der Verarbeitung überwacht 

wird und die notwendigen maßnahmen zur nachbearbeitung von Belegen durchgeführt 

werden. 

3. das interne Kontrollsystem verlangt eine funktionstrennung zwischen planender, ausführender 

und überwachender Stelle. 

Risiko: Belege werden nicht verarbeitet. fehlerhafte oder nicht vollständige Belege werden nicht 

korrigiert. die gleichen Belege werden mehrfach eingelesen. Belege werden in falscher 

reihenfolge bearbeitet, z. B. Stammdatenänderungen nach Buchungen, die diese Stammdatenänderungen 

zur Voraussetzung hatten. fehler- und Verarbeitungsprotokolle werden gelöscht, bevor 

sie als hinweise für notwendige Korrekturen oder als nachweise der ordnungsmäßigen 

Verarbeitung verwendet worden sind. 


> Gibt es eine übersicht über alle Batch-input-Schnittstellen, z. B. mit den folgenden angaben: 

abgebendes arbeitsgebiet, dateninhalt, dateiname, Periode, mappen-name, Verarbeitungsjob, 

relevante tabellen, abstimmkreis, Verantwortlichkeit? 

> welche anwender dürfen welche mappen erstellen, starten, korrigieren oder löschen? 

> Gibt es eine übersicht, welche mappen-namen für welche abteilung reserviert sind? 

> wer stimmt den Buchungsstoff der verarbeiteten mappen ab? 

> wer kontrolliert, dass die daten aus den Vorsystemen vollständig, richtig und zeitgerecht 

übernommen werden? wird insbesondere ein mehrfaches einlesen der gleichen Belege 

verhindert? werden insbesondere die dateien nach dem einlesen gesichert und gelöscht? 

> Sind die internen Kontrollen zwischen Vorsystemen und dem zielsystem gewahrt, in dem die 

mappen abgespielt werden? 

analyse der Batch-input-mappen 

aiS: System audit – hintergrundverarbeitung – Batch input monitoring 

wer darf alle Batch-input-mappen uneingeschränkt verwalten? 



S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität „*“ und mappennamen = „*“ 

oder speziell auf alle kritischen Verwaltungsaktionen bezogen: 

S_Bdc_mOni (Batch-input-Berechtigung) mit aktivitäten aBtc (hintergrundverarbeitung) , free 

(freigeben), lOcK (Sperren), dele (löschen) und reOG (reorganisieren) und mappennamen 

= „*“. 

diese Berechtigung ist nur an Systemadministratoren zu vergeben.


1.4 

1.5 

1.6 

1.7 

1.8 

1.9 

wer kann Batch-input-mappen freigeben? 



S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität free (mappen freigeben) und mappennamen 

= *. 

hierbei ist die funktionstrennung (Vieraugenprinzip) einzuhalten. 

wer kann Batch-input-mappen und Protokolle analysieren? 



S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität anal (mappen und Protokolle analysieren) 

und mappennamen = *. 


wer kann Batch-input-mappen im dialogbetrieb oder im hintergrund verarbeiten? 



S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität aBtc (mappen für die hintergrundverarbeitung 

übergeben) oder aOnl (mappen im dialogbetrieb abspielen) und mappennamen = *. 

wer kann Batch-input-mappen (ent-)sperren? 



S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität lOcK (mappen sperren oder entsperren) 



wer kann Batch-input-mappen und Protokolle reorganisieren? 



S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität reOG (mappen und Protokolle reorganisieren) 


Risiko: Verarbeitungsnachweise können über einen reorganisationslauf gelöscht werden. 


wer kann Batch-input-mappen löschen? 



S_Bdc_mOni (Batch-input-Berechtigung) mit aktivität dele (mappen löschen) und mappennamen 

= *. 

Risiko: mappen z. B. mit relevantem Buchungsstoff können vor der weiterverarbeitung gelöscht 

werden. 



Seite 70 



2 

2.1 

2.2 

Kontrollziel: Gewährleistung des ordnungsmäßigen Programmeinsatzes und der 

Datenintegrität, wenn beim Direct-Input-Verfahren die Daten mit reduzierten Plausibilitätsprüfungen 

direkt in die Datenbank geschrieben werden. 

Risiko: es ist möglich, vorhandene datenbestände unprotokolliert zu verändern. Bei einer 

fehlerhaften anwendung ist die datenintegrität des Systems gefährdet. 

wird das Verfahren des direct-input genutzt? 

Prüfen über die transaktion BmV0 (Verwaltung von datenübernahmen). 


> ist der einsatz des direct-input-Verfahrens dokumentiert? 

> wird der einsatz eines direct-input-ablaufs vor dem produktiven einsatz im testsystem 

getestet und nach dem Vier-augen-Prinzip freigegeben? 

> Gibt es eine Verfahrensanweisung, wie der Prozess des direct-input überwacht und wie 

fehlerhafte abläufe behandelt werden? 

5.11PrüfPrOGramm: SchUtz SicherheitSKritiScher anwendUnGS- 

BerechtiGUnGen 

nr. SchUtz SicherheitSKritiScher anwendUnGSBerechtiGUnGen 

1. 

1.1 

1.2 

Kontrollziel: Datenintegrität und Konsistenz der Datenbank sind zu gewährleisten. 

Risiko: Gefährdung der Konsistenz der datenbank bei nicht autorisiertem löschen von 

Sperrobjekten. 

wer darf Sperreinträge löschen? 



S_enQUe (anzeigen und löschen von Sperreinträgen) mit wert „*“ oder all (alle aktionen) oder 

mit wert dlfU (löschen Sperrobjekte fremder Benutzer im gleichen mandanten) 

die funktionen dlfU und all („*“) in S_enQUe sind restriktiv nur an Systemadministratoren zu 

vergeben. eine freischaltung von Sperreinträgen erfordert die schriftliche freigabe der 

fachabteilung. 

SOS: Users – Other than the System administrators – are authorized to maintain Other User‘s 

lock entries (0159) 

wer darf eigene Sperreinträge löschen? 



S_enQUe (anzeigen und löschen von Sperreinträgen) mit wert dlOU (löschen der Sperrobjekte 

des eigenen Benutzers) 

die funktion dlOU ist restriktiv nur an autorisierte Benutzer zu vergeben. 

SOS: Users – Other than the System administrators – are authorized to maintain Own lock 

entries (0166)

nr. SchUtz SicherheitSKritiScher anwendUnGSBerechtiGUnGen 

2 

2.1 

2.2 

2.3 

2.4 

2.5 

2.6 

Kontrollziel: Nachweisbare lückenlose Vergabe von Belegnummern 

Risiko: Belegnummern werden nicht lückenlos aus dem Vorsystem in das SaP-System übertragen. 


> werden externe Belegnummern vergeben und in das SaP-System übernommen? 

> wie wird für die externe Vergabe von Belegnummern deren lückenlosigkeit gewährleistet? 

> wird das auftreten von lücken in den Belegnummern regelmäßig kontrolliert? 

> werden entstandene lücken in den Belegnummern dokumentiert? 

> liegt dazu die erforderliche Verfahrensdokumentation vor? 

Hinweis: es gibt drei Ursachen für lücken in Belegnummern: lücken können entweder bei der 

externen nummernvergabe oder aufgrund der SaP internen Belegnummernpufferung – falls aktiviert 

– oder dem SaP internen abbruch der datentechnischen Verbuchung in das datenbanksystem 

entstanden sein. 

welche nummernkreisobjekte gibt es im SaP-System? 

tabelle tnrO, eingabe von Selektionsparametern, z. B. X im feld „Pufferung“. 

welche nummernkreisobjekte sind gepuffert? 

tabelle tnrO, eingabe von Selektionsparameter X im feld „Pufferung“ . 

Hinweis: es dürfen keine nummernkreise gepuffert sein, für die eine lückenlose nummernvergabe 

erforderlich ist. 

ist speziell das nummernkreisobjekt rf-BeleG gepuffert? 

transaktion SnrO, eingabe des nummernkreisobjektes rf-BeleG. 

Hinweis: das nummernkreisobjekt rf_BeleG sollte nicht gepuffert sein. 

wenn es doch gepuffert ist, sind dann entstandene lücken in den Belegnummern durch die 

administration dokumentiert? 

Hinweis: lücken, die durch das herunterfahren einer instanz entstehen, sind zu dokumentieren. 

das Protokoll ist der finanzabteilung zu übermitteln. 

existieren lücken in den Belegnummern? 

report rfBnUm00n oder rfBnUm00 unter angabe eines Prüfungszeitraums in der Selektionsauswahl. 

Risiko: zum Jahresabschluss können die Ursachen für die lücken nicht mehr nachvollzogen werden. 

es sollten keine lücken in denjenigen Belegnummernkreisen existieren, die einer lückenlosen 

nummernvergabe unterliegen. 

Risiko: aufgetretene lücken werden nicht zeitnah erkannt, dokumentiert und geklärt. 

wird das auftreten von lücken in den Belegnummern regelmäßig kontrolliert? 

wer darf alle nummernkreisobjekte verwalten? 


S_tcOde = SnrO 

S_nUmBer (nummerkreisobjekt pflegen mit aktivität „*“ (alle aktionen) oder 01 (hinzufügen) 

oder 02 (anlegen, ändern oder löschen eines nummernkreisintervalls) oder 17 (nummernkreisobjekte 

pflegen) und name des nummernkreisobjektes = „*“. 

wer darf den nummernstand aller nummernkreise ändern? 


S_tcOde = SnUm 

S_nUmBer (nummerkreisobjekt pflegen mit aktivität 11 (nummernstand ändern) oder 13 

(nummernstand initialisieren) und name des nummernkreisobjektes = „*“. 


Seite 72 


5.12 PrüfPrOGramm: SchUtz der JOB-aBläUfe 

nr. SchUtz der JOB-aBläUfe 

1. 

1.1 

1.2 

1.3 

1.4 

Kontrollziel: Bei der Berechtigungsvergabe von Verwaltungsfunktionen für Jobs ist 

sichergestellt, dass die Funktionstrennung zwischen Systemadministration und Benutzern 

eingehalten wird. 

Risiko: an Benutzer werden zu weit reichende Berechtigungen für die Verwaltung von Jobs 

vergeben. in Verbindung mit ihren aufgabenbezogenen Berechtigungen können sie nicht 

autorisierte änderungen an der Batch-Verarbeitung vornehmen, damit manipulationen an daten 

durchführen, sogar die Spuren erfolgter manipulation beseitigen. 

wer hat Vollzugriff auf die Batch-Verwaltung und darf hintergrundjobs in allen mandanten 

verwalten? 


S_tcOde = Sm36, Sm37 

S_Btch_adm (Batch-administrator / Job-Superuser) mit wert y. 

diese Berechtigung ist nur an Systemadministratoren zu vergeben. 

Risiko: nicht autorisierte nutzung dieser “Job-Superuser” Verwaltungsfunktion, z. B. können alte 

hintergrundjobs gelöscht werden, die unbefugt gelaufen sind. 

SOS: Users – Other than the Background administrators – are authorized to Schedule Jobs in 

Sm36 (0212) 

wer hat die Berechtigung für uneingeschränkte Batch-Job-Steuerung? 



S_Btch_JOB (Batch-Job-Steuerung) mit aktion „*“ und Jobgruppe „*“. 

diese Berechtigung ist nur an Systemadministratoren zu vergeben. die SaP-hinweise 28 162 und 

1 001 146 sind zu beachten. 


Sm36 (0212) 

wer darf seine eigenen Jobs freigeben? 



S_Btch_JOB (Batch-Job-Steuerung) mit aktion rele und Jobgruppe „*“. 

die Berechtigung zur freigabe von Batch-Jobs ist bei einem geregelten freigabeprozess an eine 

andere funktion zu vergeben als an die funktion, die den Batch-Job selbst gestartet hat. 


Sm36 (0212) 

wer darf Jobs in externen Kommandos freigeben? 


S_Btch_adm (Batch-administrator / Job-Superuser) mit wert „y“ 

S_Btch_JOB (Batch-Job-Steuerung) mit aktion „rele“ 

S_rzl_adm (rechenzentrumsleitstand) mit aktivität 01 (anlegen und ändern). 

diese Berechtigung ist nur an Systemadministratoren zu vergeben. 

Risiko: nicht autorisierte ausführung externer Programme oder Kommandos.

nr. SchUtz der JOB-aBläUfe 

1.5 

1.6 

1.7 

H 

wer darf hintergrundjobs anderer Benutzer löschen? 



S_Btch_JOB (Batch-Job-Steuerung) mit aktion dele und Jobgruppe „*“. 

diese Berechtigung ist an Systemadministratoren zu vergeben. Jobs anderer Benutzer können 

durch eine Berechtigungsgruppe in den attributen vor dem zugriff nicht zugelassener Benutzer 

geschützt werden (Prinzip der geschlossenen Benutzergruppe). 

Risiko: nicht autorisierte nutzung, wenn Jobs anderer Benutzer gelöscht werden können. 

wer darf hintergrundjobs anderer Benutzer anzeigen? 



S_Btch_JOB (Batch-Job-Steuerung) mit aktion liSt und Jobgruppe „*“. 

diese Berechtigung ist an Systemadministratoren zu vergeben. Jobs anderer Benutzer können 

durch eine Berechtigungsgruppe in den attributen vor dem zugriff nicht zugelassener Benutzer 

geschützt werden (Prinzip der geschlossenen Benutzergruppe). 

Risiko: nicht autorisierte nutzung und Verlust der Vertraulichkeit, wenn Jobs anderer Benutzer 

eingesehen werden können. 

wer darf für hintergrundjobs beliebige Benutzer eintragen und starten? 


S_tcOde = Sm36 (in Step 1) 

S_Btch_nam (angabe des Batchbenutzernamens für Berechtigungsprüfung) mit einem wert 

ungleich leer 

S_Btch_adm (Batch-administrator / Job-Superuser) mit wert „y“ 

oder S_Btch_JOB (Batch-Job-Steuerung) mit aktion „rele“ 

diese Berechtigung darf nur an Systemadministratoren vergeben sein. Bitte den SaP-hinweis 101 

146 beachten! 

Risiko der nicht autorisierten nutzung: ein Benutzer könnte einen Job unter einem privilegierten 

Benutzer fahren, z. B. SaP*, um eine manipulation zu ermöglichen. es ist dann systemseitig nicht 

mehr nachzuvollziehen, wer diesen Job gestartet hat. 

SOS: Users – Other than the Background administrators – are authorized to Schedule Jobs 

Under another User id (0214) 


Seite 74 


5.13 PrüfPrOGramm: SchUtz der drUcKaUfträGe 

nr. SchUtz der drUcKaUfträGe 

1. 

1.1 

1.2 

1.3 

Kontrollziel: Sicheres Verwalten von Druckaufträgen 

Gemäß der Sicherheitsrichtlinie des Unternehmens sind die folgenden beiden SaP zugriffsberechtigungen 

zum Schutz von druckaufträgen angemessen zu aktivieren: 

> S_SPO_deV, Spooler Geräteberechtigungen und 

> S_SPO_act, Spooler aktionen. 

Betroffene fachabteilungen sind z. B. Personalabteilung, finanzbuchhaltung und controlling. die 

namenskonvention kann sich entweder nach dem modulnamen oder nach dem abteilungsnamen 

richten. 

Risiko: Vertrauliche informationen in druckaufträgen sind nicht gegen unbefugte Kenntnisnahme 

geschützt. (Streng) vertrauliche druckaufträge werden unbefugt gelesen oder auf fremde drucker 

umgeleitet und ausgedruckt. druckaufträge sind ungeschützt, sofern keine zusätzlichen 

SaP-zugriffsberechtigungen für den Schutz der druckausgaben aktiviert sind. 

tückisch ist, dass der Benutzer den unbefugten informationsabfluss aufgrund zu weitreichender 

zugriffsberechtigungen auf zwischengespeicherte daten oder druckaufträge nicht als risiko 

kennt. recherchen, ob oder wie ein unbefugter informationsabfluss erfolgt ist, sind wegen der 

fehlenden Protokollierung erschwert oder bleiben ohne ergebnis. hinweis: druckaufträge sind 

mandantenübergreifend. 


> Sind für jeden Benutzer die zulässigen drucker definiert? 

> werden druckaufträge mit (streng) vertraulichen daten mit einem Berechtigungswert geschützt? 

> Sind die Berechtigungen für druckaufträge mit (streng) vertraulichen daten restriktiv vergeben? 

transaktion SU03, Objektklasse Basis-administration, 

Objekt S_SPO_deV, - Verwendungsnachweis. 

wird bei druckaufträgen mit (streng) vertraulichen daten die einstellung „löschen nach angabe“ 

eingesetzt? 

transaktion SU01, Stammdaten ausgewählter Benutzer anzeigen: prüfen, für welche Benutzer der 

eintrag „löschen nach angabe“ standardmäßig vorgegeben ist. 

Risiko: Standardmäßig verbleibt ein druckauftrag 8 tage im System (Spool-Verweildauer) und 

könnte in dieser zeit unbefugt eingesehen werden, wenn keine zusätzlichen zugriffskontrollen 

dies verhindern. 

wer darf inhalte von druckaufträgen einsehen? 


S_tcOde = SP01 oder SP01O 

S_SPO_act (Spooler aktionen) mit aktionen SPOactiOn BaSe (Spool-aufträge auflisten) und 

diSP (inhalt eines Spool-auftrags anzeigen).


1.4 

1.5 

wer darf inhalte der druckaufträge anderer Benutzer im gleichen mandanten einsehen? 

hinweis (druckaufträge sind geschützt): es ist möglich auf geschützte Spool-aufträge anderer 

Benutzer im aktuellen mandanten zuzugreifen, falls folgende Berechtigung vergeben ist: 



S_admi_fcd (Systemberechtigungen) mit wert SP0r (zugriff auf die Spool-aufträge anderer 

Benutzer im aktuellen mandanten) 


diSP (inhalt eines Spool-auftrags anzeigen) sowie mit dem wert für die autorisierungsprüfung 

SPOaUth = „*“ oder __USer__. 

Hinweis: die zugriffsberechtigungen für die zugriffe auf den Spool sind in allen mandanten des 

Produktivsystems zu prüfen. 

diese Berechtigung ist nur an einen eingeschränkten Personenkreis zu vergeben, wenn dies 

aufgrund der unternehmensinternen risikoanalyse oder den unternehmensinternen Sicherheitsvorgaben 

gefordert ist. 

Risiko: Unberechtigter zugriff auf druckaufträge mit (streng) vertraulichen daten. 

SOS: Users – Other than the Spool admins – are authorized to display Other Users Spool 

requests (0192) 

SOS: Users – Other than the Spool admins – are authorized to display Protected Spool requests 

of Other Users (0198) 

wer darf inhalte der druckaufträge anderer Benutzer in allen mandanten einsehen? 

hinweis (druckaufträge sind geschützt): es ist möglich, aus einem mandanten auf Spool-aufträge 

anderer Benutzer in allen mandanten zuzugreifen, falls folgende Berechtigung vergeben ist: 



S_admi_fcd (Systemberechtigungen) mit wert SP01 (zugriff auf die Spool-aufträge anderer 

Benutzer in allen mandanten) 


diSP (inhalt eines Spool-auftrags anzeigen) sowie mit dem wert für die autorisierungsprüfung 

SPOaUth = „*“ oder __USer__. 

diese Berechtigung ist nur an einen eingeschränkten Personenkreis zu vergeben, wenn dies 

aufgrund der unternehmensinternen risikoanalyse oder den unternehmensinternen Sicherheitsvorgaben 

gefordert ist. 


SOS: Users – Other than the Spool admins – are authorized to display Other Users Spool 

requests (0192) 

SOS: Users – Other than the Spool admins – are authorized to display Protected Spool requests 

of Other Users (0198) 


Seite 76 



1.6 

1.7 

wer darf die druckausgabe auf einen anderen drucker umleiten? 


S_tcOde = SP01S_admi_fcd (Systemberechtigungen) mit wert SP01 (zugriff auf die Spoolaufträge 

anderer Benutzer in allen mandanten) oder SP0r (zugriff auf die Spool-aufträge anderer 

Benutzer im aktuellen mandanten) 

S_SPO_act (Spooler aktionen) mit aktion redi (Umlenken auf drucker gleichen typs). 

diese Berechtigung ist nur an einen eingeschränkten Personenkreis zu vergeben. 

Risiko: druckaufträge mit (streng) vertraulichen daten, die nur für besondere drucker in 

kontrollierten Bereichen bestimmt sind, können unbefugt auf einen beliebigen drucker umgeleitet 

werden. 



SOS: Users – Other than the Spool admins – are authorized to redirect a Print request to 

another Printer (0195) 

SOS: Users – Other than the Spool admins – are authorized to export a Print request (0196) 

Hinweis: aktion „dOwn“ (herunterladen über SaPOffice) statt „redi“. 

wer darf die Berechtigungswerte für druckaufträge, z. B. den eigentümer, ändern? 


S_tcOde = SP01 

S_admi_fcd (Systemberechtigungen) mit wert SP01 (zugriff auf die Spool-aufträge anderer 

Benutzer in allen mandanten) oder SP0r (zugriff auf die Spool-aufträge anderer Benutzer im 

aktuellen mandanten)S_SPO_act (Spooler aktionen) mit aktion aUth (Berechtigungswert eines 

auftrags ändern). 

diese Berechtigung ist nur an den eigentümer des druckauftrages zu vergeben. 




SOS: Users – Other than the Spool admins – are authorized to change the Owner of Spool 

requests (0194)


1.8 

2. 

2.1 

wer hat einsicht in temSe-Objekte? 

Hinweis: die temSe ist eine ablage für temporäre sequentielle daten, d. h. in der temSe werden 

Objekte gespeichert, die normalerweise nicht dauerhaft im System gehalten werden. das 

Spool-System verwendet die temSe zum temporären Speichern von ausgabedaten. 

Jedes temSe-Objekt besteht aus einem Kopfeintrag in der tabelle tSt01 und dem eigentlichen 

Objekt. dieses kann im dateisystem abgelegt sein (z. B. bei Job-Protokollen) oder in der tabelle 

tSt03 (z. B. bei hr-daten). 

es gibt unter anderem folgende temSe-Objekte: 

> Spool-aufträge (temSe-name: Spool....) 

> Job-Protokolle (temSe-name: JOBlG...) 

> Objekte aus anderen anwendungen wie z. B. aus der Personalwirtschaft (temSe-name: hr) 

> ein Objekt, dessen name mit KOnS beginnt; dieses Objekt wird ständig vom report rSPO1043 

verwendet. 


S_tcOde mit SP11 oder SP12 

S_tmS_act mit 

> StmSactiOn = rea und 

> (StmSOwner = GrP 

> oder Ocl ) und 

> StmSOBJect = SPOOl* . 

diese Berechtigung ist nur an einen eingeschränkten Personenkreis zu vergeben. 

Risiko: zwischengespeicherte (streng) vertrauliche daten, die nur für einen Benutzer bestimmt 

sind (eigentümer), können unbefugt von einem anderen Benutzer eingesehen werden. 

SOS: Users – Other than the Spool administrators – are authorized to display the temSe content (0193) 

Kontrollziel: Angemessene Vergabe der Berechtigung zum Download. 

Gemäß der Sicherheitsrichtlinie des Unternehmens darf die Berechtigung S_GUi zum exportieren 

von tabellen und listen nur an den zulässigen Personenkreis vergeben werden. 

Risiko: Verlust der Vertraulichkeit durch unberechtigte weitergabe (streng) vertraulicher daten. 

Verstoß gegen das datenschutzgesetz durch zweckentfremdung, nicht zulässige weitergabe von 

daten oder missbrauch bei der weiterverarbeitung von daten. Vertrauliche informationen z. B. der 

Personal- oder finanzabteilung können auf den Pc eines Benutzers heruntergeladen, dort 

geändert, mit anderen daten verknüpft, weiterverarbeitet oder an unbefugte dritte übermittelt 

werden. 

wer darf daten exportieren (Pc-download)? 


S_GUi mit aktivität 61 (exportieren). 

Hinweis: eine weitere spezifische einschränkung auf die art der information ist über dieses 

Objekt nicht möglich. 


Seite 78 

6 Software-Change-Management 

6.1 KOntrOllierte SOftwareänderUnGS- Und einSatzVerfahren 

die gesetzlichen anforderungen an ein dokumentiertes phasenorientiertes Softwareänderungs- und 

-einsatzverfahren mit den erforderlichen freigabekontrollen sind zu erfüllen. 

die SaP-Software bietet verschiedene softwaretechnische Konzepte und funktionen an, die die Steuerung 

und Kontrolle eines Software-change – managements unterstützen, z. B. das transport-management- 

System. diese Konzepte und funktionen sind entsprechend dem unternehmensindividuellen Konzept eines 

Software-change-managements auszuprägen und adäquat zu aktivieren. 

6.2 riSiKen 

> Konzept, aufgaben und zuständigkeiten für das Software-change-management einer SaP-Systemland- 

schaft sind nicht definiert. 

> die erforderlichen funktionstrennungen eines geordneten entwicklungs-, tests- und freigabeverfahrens 

sind nicht im SaP-System abgebildet. 

> Schwachstellen bei der implementierung des SaP eigenen Software-transport-Systems ermöglichen 

ein Umgehen der internen Kontrollen und gefährden System- und datenintegrität. 

> System- und datenintegrität ist nicht gewährleistet, weil Softwareentwicklung im Produktivsystem 

möglich ist. 

> entwickler können über eine autorisierte Softwareänderung einen funktionsbaustein in das Produktiv- 

system einführen, der als hintertür für das einbringen weiterer ausführbarer codes zur manipulation 

am System und an daten dient. 

> im Produktivsystem sind eigenentwickelte Programme im einsatz, die aufgrund fehlender programmierter 

Berechtigungsprüfungen von jedem Benutzer ausgeführt und zu nicht auftragsbezogenen manipulationen 

verwendet werden können. 

> Gesetzliche anforderungen an die nachvollziehbarkeit von Programm- / tabellen-änderungen und 

gesetzliche aufbewahrungspflichten sind nicht umgesetzt: änderungen an Programmen / tabellen 

werden nicht protokolliert und archiviert. 


> ein Konzept für das Software-change-management der SaP-landschaft liegt vor. 

> Vorgaben für ein geordnetes entwicklungs-, test- und freigabeverfahren sind definiert und dokumentiert. 

> das SaP transportmanagementsystem (tmS) unterstützt das geordnete entwicklungs-, test- und 

freigabeverfahren und ist sicher implementiert. 

> Softwareentwicklung im Produktivsystem ist ausgeschlossen, die dazu von SaP bereitgestellten 

softwaretechnischen Kontrollen sind aktiviert. 

> eigenentwicklungen unterliegen definierten und dokumentierten Programmierstandards und einer 

Qualitätskontrolle. 

> die von SaP bereitgestellten funktionen zur Unterstützung der gesetzlichen anforderung an nachvoll- 

ziehbarkeit und aufbewahrung von änderungen an Programmen / tabellen sind ordnungsgemäß und 

sicher implementiert.

6.4 PrüfPrOGramm: OrdnUnGSmäSSiGe Und Sichere imPlementierUnG 

deS tranSPOrt manaGement SyStemS 

nr. tranSPOrtmanaGementSyStem (tmS) 

1. 

1.1 

1.2 

1.3 

1.4 

über das transportmanagementsystem (tmS) werden die transportwege und -strategien 

festgelegt, um neue oder geänderte Objekte in das Produktivsystem einzuspielen. über das tmS 

werden auch das Qualitätssicherungsverfahren und der workflow für die Sondertransporte 

konfiguriert. 

Kontrollziel: 

1. Das interne Kontrollsystem verlangt eine Funktionstrennung zwischen planenden, 

ausführenden und überwachenden Stellen. 

a. die funktionstrennung zwischen fachabteilung, anwendungsentwicklung und Systemadministration 

wird eingehalten. 

b. wenn das Qualitätssicherungsverfahren in der mehrstufigen SaP-Systemlandschaft aktiviert 

ist, kann ein auftrag nur dann in das Produktivsystem importiert werden, wenn alle Genehmigungsschritte 

abgearbeitet sind. 

2. Der Zugriff auf das Transportmanagementsystem, das Transportverzeichnis und die 

Transportdaten ist nur für berechtigte Mitarbeiter möglich. 

Risiko: entwickler importieren ohne auftrag geänderte Software selbst in das Produktivsystem. 

test- und freigabeschritte sind nicht vorgegeben oder werden umgangen. nicht autorisierte 

änderungen an den einstellungen des transportsystems und an den transportdaten selbst sind 

möglich. 

wie sind die transportwege definiert? 

transaktion StmS, übersicht – transportwege 

Oder aiS: System audit – transportverbund – transport management System – werkzeuge – Konfiguration 

anzeigen (?) 

Gibt es ein Qualitätssicherungsverfahren mit Genehmigungsstufen für den Software change 

management Prozess? 

transaktion StmS, „übersicht – Systeme“, menüpfad „Springen – transportdomäne“, register 

„Qa-Genehmigungsverfahren“ 

Oder aiS: System audit – transportverbund – transport management System – werkzeuge – Konfiguration 

anzeigen (?). 

welche zugriffsrechte sind auf das transportverzeichnis vergeben? (auf Betriebssystemebene 

gemäß SaP-Sicherheitsleitfaden eingestellt?) 

wer darf die einstellungen des transport management Systems initialisieren? 


S_tcOde = StmS 

S_ctS_admi (change and transport Organizer) mit funktion init (inititialisieren nach Systemkopie). 

diese Berechtigung ist restriktiv an die Systemadministration zu vergeben. 

SOS: Users – Other than the System and transport admins – are authorized to change the tmS 

configuration (0341) 

Seite 79 Prüfleitfaden SaP erP 6.0, teil 1, Stand märz 2009 © dSaG e. V.

Seite 80 



1.5 

wer darf transportwege pflegen? 

report rSUSr002 mit den eingaben: S_tcOde = StmS 

S_ctS_admi (change and transport Organizer) mit funktion taBl (Pflege der Steuertabellen). 

diese Berechtigung ist restriktiv an die Systemadministration zu vergeben. 

2 Entwicklungsklassen, Aufgaben und Änderungstransporte 

2.1 

2.2 

2.3 

2.4 

2.5 

welche selbst definierten entwicklungsklassen werden genutzt? 

tabelle tdeVc, Selektion auf „entw.klasse“ mit y* und z* 

wer darf entwicklungsklassen anlegen, die tabelle tadir, ändern? 

report rSUSr002 mit den eingaben: S_tcOde = Sm30 oder Sm31 



mandantenunabhängiger tabellen). 

das anlegen von entwicklungsklassen sollte durch die Systemadministration oder Projektleitung 

geschehen, nicht durch die entwickler selbst. 

wer darf transportierbare änderungsaufträge im entwicklungssystem anlegen? 


S_tcOde = Se01 oder Se09 oder Se10 

S_tranSPrt (change and transport Organizer) mit aktivität 01 (anlegen) und auftragstyp dtra 

(transportierbare änderungsaufträge) oder auftragstyp cUSt (customizing aufträge). 

das anlegen neuer änderungsaufträge sollte durch die Systemadministration oder Projektleitung 

geschehen. 

wer darf aufgaben im entwicklungssystem anlegen? 



S_tranSPrt (change and transport Organizer) mit aktivität 01 (anlegen) und auftragstyp taSK. 

das anlegen neuer aufgaben innerhalb eines auftrages sollte gemäß funktionstrennung durch 

Systemadministration oder Projektleitung erfolgen. 

SOS: Users – Other than the System and transport admins – are authorized to create and 

release transports (0343) 

wer darf änderungsaufträge im entwicklungssystem freigeben? 



S_tranSPrt (change and transport Organizer) mit aktivität 43 (freigeben) und auftragstyp dtra 

(transportierbare änderungsaufträge) 

aufträge sollten ausschließlich durch Systemadministration oder Projektleitung freigegeben 

werden. 

SOS: Users – Other than the System and transport admins – are authorized to create and 

release transports (0343)


2.6 

2.7 

2.8 

2.9 

wer darf einzelne transportaufträge importieren? 


S_ctS_admi (change and transport Organizer) mit funktion imPS (importieren einzelner aufträge). 

der import der transporte ins zielsystem ist ausschließlich der Systemadministration vorbehalten. 

SOS: Users – Other than the System and transport admins – are authorized to Start imports to 

Production (0342) 

wer darf alle transportaufträge der importqueue importieren? 


S_ctS_admi (change and transport Organizer) mit funktion imPa (importieren aller aufträge). 

der import der transporte ins zielsystem ist ausschließlich der Systemadministration vorbehalten. 

SOS: Users – Other than the System and transport admins – are authorized to Start imports to 

Production (0342) 

wer darf transportaufträge aus der importqueue löschen? 


S_tcOde = StmS 

S_ctS_admi (change and transport Organizer) mit funktion tdel (transportaufträge löschen). 

das löschen von transporten ist ausschließlich der Systemadministration vorbehalten. 

wer darf transporte in das Produktivsystem genehmigen? 


S_ctS_admi (change and transport Organizer) mit funktion Qtea (Genehmigen von transporten). 

die Genehmigung der transporte ins zielsystem ist ausschließlich der Systemadministrator der 

einer eigens dazu bestimmten funktion vorbehalten. 

Risiko: durch eine fehlende funktionstrennung können entwicklungen ohne freigabeverfahren 

ins Produktivsystem importiert werden. 

SOS: Users are authorized to approve transports (0346) 


Seite 82 


6.5 PrüfPrOGramm: einhaltUnG der reGeln deS SOftware-chanGe- 

manaGementS für daS PrOdUKtiVSyStem 

nr. einhaltUnG der reGeln deS SOftware-chanGe-manaGementS für daS PrOdUKtiVSyStem 

1. 

1.1 

1.2 

H 

1.3 

H 

1.4 

das Software-change-management sieht eine dreistufige entwicklung über ein entwicklungs-, 

ein test- und Qualitäts- und ein Produktivsystem vor. 

Kontrollziel: 

1. über ein gestuftes auftrags-, test,- und freigabeverfahren wird sichergestellt, dass nur 

autorisierte Programme und Programmänderungen zum einsatz kommen. Im Produktivsystem 

dürfen keine Entwicklerberechtigungen vergeben sein. 

2. Für eigenentwickelte Programme gibt es Programmiervorgaben (Style Guide) insbesondere 

für Berechtigungsprüfungen, die den ordnungsmäßigen und sicheren einsatz der Programme 

im Produktivsystem sicherstellen. Die Einhaltung dieser Vorgaben wird überwacht. 

Risiko: Verlust der Verfügbarkeit, der integrität von daten und Systemen, Verlust der Vertraulichkeit 

1. im Produktivsystem sind entwicklerberechtigungen vergeben, die ein Unterlaufen der 

vorgegebenen Kontrollen des Software change management Prozesses ermöglichen. 

2. im Produktivsystem sind eigenentwickelte Programme im einsatz, die aufgrund fehlender 

programmierter Berechtigungsprüfungen von jedem Benutzer ausgeführt und zu nicht auftragsbezogenen 

manipulationen verwendet werden können. 

wer darf im Produktivsystem Patches einspielen? 


S_tcOde = SPam 

S_tranSPrt mit auftragstyp „Patc“ 

diese Berechtigung darf im Produktivsystem nur an Systemadministratoren vergeben sein. 

SOS: Users – Other than the System administrators – are authorized to apply Patches (0363) 

wer darf im Produktivsystem aBaP-Programme anlegen? 


S_tcOde = Se* 

S_deVelOP mit aktivität 01 (anlegen) und Objekttyp PrOG. 

diese Berechtigung darf im Produktivsystem nur an notfallbenutzer vergeben sein. 

Risiko: Unberechtigte Benutzer oder entwickler legen ohne auftrag Programme im Produktivsystem 

an. 

SOS: Users are authorized to development in the Production System (0307) 

wer darf aBaP-Programme im Produktivsystem ändern? 


S_tcOde = Se*S_deVelOP mit aktivität 02 (ändern) und Objekttyp PrOG. 

diese Berechtigung darf im Produktivsystem nur an notfallbenutzer vergeben sein. 

Risiko: Unberechtigte Benutzer oder entwickler ändern ohne auftrag Programme im Produktivsystem. 

SOS: Users are authorized to development in the Production System (0307) 

wer darf debuggen mit hauptspeicheränderungen? 


S_tcOde = Se* 

S_deVelOP mit aktivität 02 (ändern) und Objekttyp deBUG. die anderen felder des Objektes 

S_deVelOP sind für diese Prüfungshandlung nicht relevant. 

diese Berechtigung ist im Produktivsystem nicht zulässig. 

risiko: Verstoß gegen § 239, abs. iii hGB (radierverbot). 

SOS: Users are authorized to debug and replace field Values in the Production System (0308)


1.5 

1.6 

1.7 

1.8 

H 

1.9 

2. 

2.1 

wurden in letzter zeit im Produktivsystem im debug-modus hauptspeicherinhalte geändert? 

aiS: System audit – Systemprotokolle und Statusanzeigen – Systemprotokoll – Systemprotokoll 

datei, keine Selektion, wechsel in den expertenmodus über den menüpunkt „Bearbeiten – expertenmodus“, 

aktivieren der Schaltfläche „meld.kennungen“, dann Selektion „nur diese meldungen“ 

und eingabe der meldungsnummer a19. 

die änderungen müssen unter einhaltung des Vier-augen-Prinzips durchgeführt worden und 

dokumentiert sein. 

welche elemente der tabelle tadir wurden im Produktivsystem angelegt? 

tabelle tadir, Selektion im feld „OBJ_name“ mit werten y* und z* und im feld „SrcSyStem“ 

den namen des Produktivsystems. 

wer darf änderungsanträge anlegen (im Produktivsystem für reparaturen)? 



S_tranSPrt (change and transport Organizer) mit aktivität 01 (anlegen) und auftragstyp dtra. 

dieses zugriffsrecht ist nur an den notfallbenutzer zu vergeben. 

wurden im Produktivsystem reparaturen durchgeführt? 

1. tabelle e070, Selektion auf „typ“ (trfUnctiOn) mit r (alle reparaturen) 

2. inhalt der aufträge mit transaktion Se01 oder report rSwBO050 prüfen. 

nur notfallbenutzer dürfen unter einhaltung des Vier-augen-Prinzips reparaturen im Produktivsystem 

durchführen. die reparaturen sind manuell zu dokumentieren, weil SaP keine automatische 

Protokollierung der reparaturen im Produktivsystem vorsieht. 

wer ist berechtigt, reparaturkennzeichen im Produktivsystem zu ändern? 


S_tcOde = Sm30 oder Se03 



mandantenunabhängiger tabellen). 

dieses zugriffsrecht ist nur an die Systemadministration vergeben. 

Kontrollziel: Die gesetzlich erforderliche Versionsführung von Programmen ist gewährleistet. 

Risiko: Versionen werden auf mehreren SaP-Systemen der gleichen mehrstufigen SaP-landschaft 

(entwicklung-, test-, integrations-, Produktiv-System) geführt. Versionen werden nicht 

autorisiert gelöscht, bevor sie archiviert worden sind. 

wurde durch den import neuer Programmversionen eine Versionshistorie im Produktivsystem erzeugt? 

report rStmStPP, der für ein System die transportparameter anzeigt. 

Selektionsmaske: name des Produktivsystems. 

der Parameter VerS_at_imP gibt an: 

neVer – es werden keine Versionen erzeugt. 

alwayS – es werden Versionen erzeugt. 

Hinweis: falls die Versionshistorie grundsätzlich im Produktivsystem vorgehalten wird, sind auch 

im Produktivsystem die beiden reports rSVcad03 / 04 gegen ausführung zu schützen. 

Risiko: aufbewahrungspflichtige Programmversionen werden nicht archiviert. Sie sind laut hGB 

10 Jahre aufbewahrungspflichtig. 

SOS: Program Versioning during import is not enabled (0349) 


Seite 84 



2.2 

3. 

H 

3.1 

3.2 

Können die reports rSVcad03 und rSVcad04 zum löschen von Versionen (im entwicklungssystem) 

benutzt werden? 

die beiden reports rSVcad03 und -04 sind gegen unbefugte ausführung zu schützen, z. B. durch 

deren zuordnung zu einer Berechtigungsgruppe, die nicht vergeben wird. 

Risiko: das löschen der Versionshistorie ist damit möglich. 

in der SaP-Standardauslieferung sind die reports rSVcad03 (löschen aller Versionen eines 

Objektes) und rSVcad04 (löschen aller Versionen eines Objektes bis zu einem bestimmten 

datum) nicht durch Berechtigungsprüfungen oder Berechtigungsgruppen geschützt. es besteht 

damit für Benutzer uneingeschränkt die möglichkeit, Versionen zu löschen, die i. d. r. standardmäßig 

auf dem entwicklungssystem geführt und von dort aus archiviert werden. dann ist keine 

nachvollziehbarkeit mehr über die Programmänderungen gegeben. es wird gegen die gesetzliche 

dokumentations- und aufbewahrungspflicht von Programmänderungen verstoßen. 

Kontrollziel: Für die Programm-Entwicklung sind Vorgaben für die Codierung von 

Standardbausteinen gesetzt, die die Sicherheitsmechanismen des SAP internen Sicherheitskontrollsystems 

unterstützen und damit die System- und Datenintegrität sicherstellen. 

Risiko: anwendungsentwickler können die ausprägung der sicherheitsrelevanten Parameter von 

Standardprogrammierbausteinen unterlassen und somit Programme fertig stellen, die das SaP 

interne Sicherheitskontrollsystem unterlaufen. 

Oder sie können nicht auftragsbezogen und damit nicht autorisiert funktionsaufrufe verwenden, 

die zur manipulation von daten vorgesehen sind. Beispiele für solche funktionsaufrufe sind: 

> inSert rePOrt (aBaP Kommando) 

> editOr-call fOr rePOrt (aBaP Kommando) 

> delete_USer_On_dB (funktionsmodul) 

> BaPi_USer_* (funktionsmodul). 

wird die funktion des code inspectors regelmäßig genutzt (verfügbar ab weB aS 6.10)? 

Hinweis: der Kunde muss den code inspector im detail einstellen, z. B. welche Programme er 

auf welche funktionsaufrufe untersuchen soll. es gibt keine abschließende liste kritischer 

funktionsaufrufe. 

SOS: development Sources are not Scanned for critical Statements (0335) 

Sind in eigenentwickelten aBaP-Programmen Berechtigungsprüfungen eingebaut? 

report rPr_aBaP_SOUrce_Scan mit folgender Selektion auf gesuchten String: aUthOritychecK 

Unternehmensspezifische Programmierrichtlinien (Style Guide) enthalten Vorgaben, für welche 

Programme welche Berechtigungsprüfungen zwingend zu implementieren sind. die einhaltung 

der Vorgaben wird überwacht. 

Risiko: wenn keine Berechtigungsprüfungen in eigenentwickelten Programmen implementiert 

sind, können alle Benutzer dieses Programm ausführen. das führt bei unbefugter nutzung, z. B. 

bei reports mit (streng) vertraulichen daten zum Verlust der Vertraulichkeit, bei buchungsrelevanten 

Programmen zum Verlust der integrität der Buchungsdaten.


3.3 

3.4 

3.5 

wird in neu angelegten aBaP-Programmen der Befehl eXec SQl verwendet? 

report rPr_aBaP_SOUrce_Scan mit folgenden Selektionen: 

Programmname: y*, z* 

Programmtyp: 1 (ausführbares Programm) 

includes auflösen: aktivieren 

Kommentarzeile ignorieren: aktivieren. 

Unternehmensspezifische Programmierrichtlinien (Style Guide) enthalten die Vorgabe, dass in 

eigenentwickelten Programmen der Befehl eXec SQl nur bei systemnahen zugriffen auf die 

datenbank, z. B. für ein monitoring, verwendet wird. die einhaltung dieser Vorgabe wird 

überwacht. 

Risiko: über diese Programme können tabellen in der datenbank direkt geändert werden. die 

Sicherheitskontrollstruktur von SaP kann damit unterlaufen werden. 

wird in neu angelegten aBaP-Programmen der Select zusatz client SPecified verwendet? 

report rPr_aBaP_ SOUrce_Scan mit folgender Selektion auf den gesuchten String: client 

SPecified 


eigenentwickelten im Select-Befehl die Klausel client SPecified verwendet werden muss, 

wenn daten nicht mandantenübergreifend gelesen werden müssen. die einhaltung dieser 

Vorgabe wird überwacht. 

Risiko: ein Programm ohne diesen zusatz bei der Select routine ermöglicht den Benutzern den 

zugriff auf tabellen aus anderen mandanten, z. B. aus einem nicht-Produktivmandanten auf den 

Produktivmandanten des gleichen SaP-Systems. 

werden in neu angelegten dialoganwendungen enQUeUe-Bausteine zur Sperrung von daten 

genutzt? 

report rPr_aBaP_ SOUrce_Scan mit folgender Selektion auf gesuchten String: enQUeUe 


eigenentwickelten dialogprogrammen bei der Programmierung eines tabellenzugriffes, der 

daten verändert, ein enqueue-Baustein aufgerufen werden muss, um konkurrierende tabellenänderungszugriffe 

abzufangen. die einhaltung dieser Vorgabe wird überwacht. 

Risiko: Konkurrierender tabellenzugriff, d. h. dass mehrere Benutzer den gleichen tabellensatz 

gleichzeitig ändern möchten, führt zu nicht vorhersehbarem ergebnis, zur dateninkonsistenz, 

wenn dies technisch nicht durch eine entsprechende Sperrroutine beim ersten aufruf des 

betreffenden datensatzes abgefangen wird. 


Seite 86 

7 Systemintegrität mit dem SAP Java-Stack 

7.1 neUe Und Parallele SOftware-entwicKlUnGS- Und 

anwendUnGSUmGeBUnG 

SaP stellt den Java Stack auf einem anwendungsserver gemäß der Spezifikation J2ee (Java 2 enterprise 

edition) bereit. die Java-basierte technologie wird hauptsächlich für web-basierte anwendungsszenarien 

eingesetzt. 

7.2 riSiKen 

> die Sicherheitsanforderungen der Java architektur sind nicht ermittelt, bekannt und umgesetzt. 

> die anforderungen an ein geregeltes Softwareänderungs- und einsatzverfahren sind nicht umgesetzt. 


> die Sicherheitsempfehlungen von SaP zur sicheren Konfiguration der Java architektur sind umgesetzt. 

> die anforderungen an ein geregeltes Softwareänderungs- und einsatzverfahren sind mit den mitteln von 

SaP unterstützt (Software deploy manager, Sdm, und change management Service, cmS). 

Internet Demilitarized Zone 

(DMZ) 

web client 

Application 

Visual 

Gateway 

administrator (reverse proxy / 

webfilter) 

deploy tool 

communication Protocols: 

P4 

ldaP 

telnet 

httP 

rfc 

JdBc 

Sdm client / server 

tcP / iP based 

Session 

Shell admin 

dispatcher 

Sdm Server 

Sdm GUi 

web application 

(SaP, non SaP) 

Visual 

administrator 

admin tools 

Server 

aS-Java 

Sdm Java aPi 

Intranet 

Sdm clients 

AS Java Cluster 

User Persistence Store 

aS-aBaP 

ldaP 

directory 

database 

database SaP System 

Backend Systems

7.4 PrüfPrOGramm: Sichere KOnfiGUratiOn deS SaP JaVa StacK 

nr. Sichere KOnfiGUratiOn deS SaP JaVa StacK 

1. 

1.1 

1.2 

1.3 

1.4 

1.5 

Kontrollziel: Sichere Konfiguration des SAP Java Stack 

Risiko: Sicherheitsrisiken im Betrieb eines SaP Java Stacks sind nicht beurteilt und abgestellt. 

der SaP Java Stack bleibt in dem ungesicherten zustand nach erfolgter Standardinstallation. 

werden überhaupt Java basierte Produkte oder anwendungen eingesetzt? 

falls dies nicht zutrifft, können alle dienste des Java Stack deaktiviert werden. 

Sind nicht benötigte dienste abgeschaltet? ist der folgende SaP-hinweis bekannt und umgesetzt 

worden? 

SAP-Hinweis: 871 394, „dispensable functions with impact on security“. 

ist der http-dienst gesichert? 

> ist die Verzeichnisanzeige unterbunden? 

> Sind nicht benötigte aliase deaktiviert? 

> ist das hochladen von daten ausgeschlossen (http PUt)? 

SAP-Hinweis: 604 285, „Security vulnerability by unprotected http PUt method“. 

SOS: httP Based Browsing ieX (0780) 

SOS: restriction of httP PUt method ieX (0779) 

ist die kryptografische funktionsbibliothek konfiguriert? 

die datei iaiK_Jce.Jar muss manuell in das Verzeichnis / admin 

/ lib gebracht werden. 

Hinweis: Per default wird die SaP J2ee engine nur mit der exportversion des Sicherheitswerkzeugkastens 

ausgeliefert. diese enthält nur die funktionen für die digitale Verschlüsselung, nicht 

aber die Verschlüsselungsfunktion, um SSl zu unterstützen. 

SOS: installation of the SaPcryptolib ieX (0871) 

Sind die Betriebssystemdateien mit den streng vertraulichen anmeldeinformationen stark 

verschlüsselt? 

Hinweis 1: die J2ee engine speichert standardmäßig sichere daten in der datei \usr\sap\\ 

SyS\global\security\data\SecStore.properties im dateisystem. diese datei wird während der 

installation geschaffen und die J2ee engine benutzt sie, um informationen über die datenbankverbindungen 

zu speichern, z. B. über den datenbankbenutzer SaPdB, sein Passwort, über 

die datenbankbasis sowie informationen über den Benutzeradministrator und sein Passwort. 

Hinweis 2: zur Verschlüsselung der Passworte des datenbankbenutzers SaPdB und des 

administrator-Benutzers sollte die SaP Java cryptographic library aktiviert sein. wenn die SaP 

Java cryptographic library genutzt wird, werden die Passworte mit dem triple deS Verfahren 

verschlüsselt anstatt mit dem base64 Verfahren. 

SOS: Strong encryption for the Secured Storage in the file System ieX (0882) 


Seite 88 


nr. Sichere KOnfiGUratiOn deS SaP JaVa StacK 

1.6 

1.7 

1.8 

welche Benutzer sind in der Standardbenutzergruppe „administrators“? 

Hinweis: Benutzer der Gruppe „administrators“ haben uneingeschränkte administrator 

Privilegien auf den Java-anwendungsserver. Sie haben die Berechtigung alle anderen Benutzer 

zu verwalten, einschließlich anderer Benutzer mit administrator-Privilegien. Sie können alle 

Sicherheitseinstellungen verändern. es gibt außerhalb dieser Gruppe keine anderen Benutzer, die 

für die Benutzer- und Sicherheitsadministration zuständig sind. 

nur Systemadministratoren dürfen in der Standardbenutzergruppe „administrators“ sein. 

SOS: Users of Standard User Group „administrators“ ieX (0893) 

an welche Benutzer ist die Sicherheitsrolle „telnet_login“ vergeben? 

Sie darf nur an die administratoren der J2ee engine vergeben sein. 

SOS: J2ee Server remote administration with telnet ieX (0775) 

ist das Java-Stack Single Sign-On sicher konfiguriert? 

Sind der SSl Service Provider und das SSl Server zertifikat angegeben? 

ist der startup modus auf „always“ gesetzt, sodass der SSl dienstleister aktiviert ist? 

SOS: Start of the SSl Service Provider ieX (0872) 

ist für cn=localhost das default Server certificat ersetzt? 

SOS: default SSl Server certificate ieX (0873) 

7.5 PrüfPrOGramm: aUthentiSierUnG Und aUtOriSierUnG (JaVa StacK) 

nr. aUthentiSierUnG Und aUtOriSierUnG Bei nUtzUnG deS SaP-JaVa-StacK 

1. 

Kontrollziel: Sichere Authentisierung und Autorisierung des SAP-Java-Stacks-Risiko: 

Sicherheitsparameter sind nicht oder fehlerhaft konfiguriert. die Passwortbildungsregeln und 

anmeldekontrollen sind nicht, widersprüchlich oder unzureichend gesetzt, um eine wirksame 

Kontrolle auf die zugriffe auszuüben. die protokollierten Sicherheitsereignisse aus der anmeldung 

oder aus der Benutzer- und Berechtigungsverwaltung werden nicht regelmäßig überwacht. 

1.1 Gibt es ein Benutzer- und Berechtigungskonzept speziell für den SaP-Java-Stack? 

1.2 

1.3 

wie ist der Benutzerpersistenzspeicher konfiguriert? 

Hinweis: es gibt zwei technische möglichkeiten, um Benutzer und ihre zugriffsrechte zu 

verwalten, entweder über die nutzung des J2ee Java authentication and authorization Service 

(JaaS) oder über die darauf aufbauende SaP spezifische User management engine (Ume). die 

Ume lässt wiederum drei Optionen zu, wie die Stamm- und anmeldedaten gespeichert werden: 

> in der eigenen J2ee-datenbank 

> in anbindung an ein ldaP-Verzeichnis 

> im SaP weB anwendungsserver SaP (aBaP Stack). 

wie sind die authentisierungsmodule konfiguriert? 

Hinweis: es gibt drei technische möglichkeiten, um die anmeldung beim zugriff auf den Java-Stack 

zu regeln (authentisierungsverfahren): 

> Benutzernamen und Passwort-Verfahren 

> zertifikate 

> Single-Sign-On-tickets. 

weitere Verfahren können aktiviert werden, indem z. B. Bibliotheken von drittherstellern installiert 

werden, die dem Java-Standard der JaaS-Schnittstelle genügen.


1.4 

2. 

2.1 

2.2 

werden sowohl der J2ee Java authentication and authorization Service (JaaS) als auch die SaP 

spezifische User management engine (Ume) zur administration von Benutzern und Berechtigungen 

eingesetzt? 

risiko: Benutzer- und Berechtigungsadministration erfolgt über zwei unterschiedliche anwendungen, 

auch wenn Ume softwaretechnisch auf JaaS aufgesetzt ist. nicht autorisierte oder konkurrierende 

einrichtung von Benutzern und deren Berechtigungen werden dadurch begünstigt. 

User Management Engine (UME) Anmeldekontrollen 

Kontrollziel: Die Bildung der Benutzerkennung und des Kennworts unterliegt Komplexitätsregeln. 

Risiko: 

> Systemtechnische Benutzerkennungen oder die der administratoren sind aufgrund der 

funktion, für die sie eingerichtet werden, leicht zu erraten, sodass Kennwortattacken gezielt 

auf die erratenen Benutzerkennungen vorgenommen werden können. 

> das Kennwort ist einfach und kann mit wenigen anmeldeversuchen erraten werden. 

> der Benutzer verwendet wiederholt dasselbe Kennwort. er überlistet den systemseitig erzwungenen 

wechsel des Kennworts, wenn keine oder eine zu kurze Passworthistorie gewählt ist. 

Sind Bildungsregeln für Benutzerkennungen konfiguriert? 

in der „ume.logon.security_policy“in der datei „sapum.properties“ stehen folgende Parameter zur 

Verfügung: 

userid_digits 

userid_special_character_required 

useridmaxlength 

useridminlenght. 

die Bildungsregeln müssen gemäß den dokumentierten unternehmensindividuellen Vorgaben 

gesetzt sein. 

Sind Bildungsregeln für Kennwörter konfiguriert? 

in der „ume.logon.security_policy“in der datei „sapum.properties“ stehen folgende Parameter zur 

Verfügung: 

password_max_length 

password_min_length 

password_alpha_numeric_required 

password_mix_case_required 

password_special_char_required 

oldpass_in_newpass_allowed 

userid_in_password_allowed 

password_history 

password_impermissible. 

die Bildungsregeln müssen gemäß den dokumentierten unternehmensindividuellen Vorgaben 

gesetzt sein. 

SOS: Password contains Upper and lower case letters ieX (0807) 


Seite 90 



3 

3.1 

4 

4.1 

5. 

5.1 

Kontrollziel: Die Gültigkeitsdauer eines Kennworts ist beschränkt. 

Risiko: Benutzerkennungen verbleiben lange mit initialkennwort. der Benutzer kann dasselbe 

Kennwort monatelang verwenden. es besteht das risiko, dass das initialkennwort bekannt ist 

oder dass das Kennwort ausgespäht worden ist. 

wird regelmäßig ein wechsel des Kennworts erzwungen? 

in der „ume.logon.security_policy“ in der datei „sapum.properties können dazu folgende Parameter 

genutzt werden: 

password_change_allowed 

password_expire_days 

password_last_change_date_default 

password_successful_check_date_default 

password_max_idle_time. 

die anmelderegeln müssen gemäß den dokumentierten unternehmensindividuellen Vorgaben 

gesetzt sein. 

SOS: regular Password change ieX (0805) 

Kontrollziel: Erschweren des Ausprobierens von Kennworten 

Risiko: Kennworte fremder Benutzerkennungen können über wiederholte anmeldeversuche 

ausprobiert werden. 

werden Kennwortfehlversuche registriert und erfolgt eine automatische Sperre? 

in der „ume.logon.security_policy“ in der datei „sapum.properties können dazu folgende Parameter 

genutzt werden: 

lock_after_invalid_attempts 

auto_unlock_time. 

die anmelderegeln müssen gemäß den dokumentierten unternehmensindividuellen Vorgaben 

gesetzt sein. SOS: number of allowed failed logon attempts ieX (0802) 

SOS: lock time after failed logon attempts ieX (0801) 

User Management Engine (UME) Benutzer- und Berechtigungsverwaltung 

Kontrollziel: Rollen- und aufgabenspefische Vergabe von Administrationsberechtigungen 

Risiko: der Grundsatz der funktionstrennung ist nicht eingehalten. administrationsberechtigungen 

sind auch an Benutzer vergeben. derselben administratorkennung sind unterschiedliche rollen 

der Benutzer- und Berechtigungsverwaltung. 

welche Benutzer sind der rolle „administrators“ zugeordnet (Benutzergruppe im Ume Benutzerspeicher)? 

Hinweis: der Ume web admin und der Visual admin, haben die „administrators“ rolle zugeordnet. 

Sie können alle Benutzerdaten uneingeschränkt pflegen. 

nur Benutzer- und Berechtigungsadministratoren dürfen in der Ume Benutzergruppe „administrators“ 

sein.SOS: Users of Ume User Group „administrators“ ieX (0793)


5.2 

5.3 

5.4 

5.5 

welche der folgenden administrationsberechtigungen sind an welche Benutzer vergeben? 

Ume.manage_User_Passwords 

Ume.manage_all 

Ume.manage_Users 

Ume.manage_all_companies 

Ume.manage_Groups 

Ume.manage_roles 

Ume.Batch_admin. 

diese administrationsberechtigungen sind restriktiv nur an die zuständigen administratoren zu 

vergeben. 

wird das Protokoll über Sicherheitsereignisse (Security logging) regelmäßig überwacht? 

Protokolldatei über den log Viewer: . / log / system / security.log 

Protokolldatei im dateisystem: / usr / sap / / / j2ee / cluster / server / 

log / system / security.log 

diese Protokolldatei enthält die aufzeichnung relevanter Sicherheitsereignisse wie erfolglose 

anmeldungen oder das anlegen oder ändern von Benutzern, Gruppen oder rollen. 

Im Einzelnen: 

user.create und useraccount.create Benutzer neu angelegt 

role.create anlegen von rollen 

role.modify ändern von rollen 

islocked Benutzer gesperrt / entsperrt 

login.error fehlgeschlagene anmeldeversuche (iP-adresse 

wird mitgeloggt.) 

werden die Konfigurationseinstellungen des Kommunikationsbenutzers zwischen der Ume und 

den angebundenen SaP-Systemen geprüft? 

Standardmäßig wird der Benutzer SaPJSf verwendet. SaP liefert die rollen SaP_Bc_JSf_cOmmUnicatiOn 

(Schreibrechte auf Benutzerkonten) und SaP_Bc_JSf_cOmmUnicatiOn_rO 

(lesezugriff auf Benutzerkonten) aus. 

der Kommunikationsbenutzer muss vom typ System und darf nicht vom typ Service oder dialog 

sein, da keine Online-anmeldung erlaubt ist. 

wird der Java-Benutzer SaP* als notfallbenutzer eingesetzt? 

der Benutzer SaP* in Java-Systemen ist nicht zu verwechseln mit dem in ‚klassischen‘ 

SaP-Systemen. er verfügt über volle administrationsberechtigungen und wird in der Ume als 

notfallbenutzer eingesetzt. er verfügt über kein Standard-Kennwort. dieses wird über eine 

Ume-eigenschaft gesetzt. 

durch aktivierung des Benutzers SaP* als notfallbenutzer werden nach dem neustart des 

Java-anwendungsservers alle anderen Benutzer deaktiviert. 

ume.superadmin.activated aktiviert bzw. deaktiviert den Benutzer als notfallbenutzer 

(trUe / falSe) 

ume.superadmin.password enthält das Kennwort des notfallbenutzers 

diese einstellung darf nur in einem tatsächlichen notfall gesetzt werden. 


Seite 92 


7.6 PrüfPrOGramm: SaP JaVa StacK SOftwareVerteilUnG 


1. 

Kontrollziel: Sichere Konfiguration der SAP-Java-Stack-Softwareverteilung 

Risiko: entwickler importieren ohne auftrag geänderte Software selbst in das Produktivsystem. 

test- und freigabeschritte sind nicht vorgegeben oder werden umgangen. nicht autorisierte 

änderungen an den einstellungen des change management Service (cmS) und an den transportdaten 

selbst sind möglich. 

1.1 Gibt es ein Konzept für die SaP Softwareverteilung, das auf die SaP Java Stack Umgebung 

zugeschnitten ist? 

1.2 Sind die getrennten zuständigkeiten in den Phasen der entwicklung, des testens und der 

abnahme geregelt? 

1.3 

1.4 

1.5 

wer darf Softwareverteilungen direkt aus einer entwicklungsumgebung in ein Produktivsystem 

vornehmen? 

Risiko: Software kann aus der entwicklungsumgebung unmittelbar in den Java Stack geladen 

werden. 

wie ist der Software deployment manager (Sdm) dienst konfiguriert? 

> ist das Standardkennwort des Sdm administrators bei der installation geändert worden? 

> ist das neue Kennwort nach restriktiven Kennwortbildungsregeln vergeben worden? 

> wie vielen Benutzern ist das neue Kennwort zur erfüllung ihrer aufgaben mitgeteilt worden? 

Risiko: es gibt nur einen Benutzer für die Sdm administration. ein zurückverfolgen, wer diesen 

Benutzer für welche aktivität genutzt hat, ist erschwert, wenn nicht unmöglich. nach einem 

Patch-Upgrade wird systemseitig keine änderung des Kennworts des Sdm administrators 

erzwungen. 

ist die netzwerkverbindung zwischen Sdm client und Sdm Server für Produktivsysteme 

gesichert? 

SaP empfiehlt, für die Softwareverteilung auf produktive zielsysteme eine gesicherte VPn- 

Verbindung einzurichten und zu nutzen.


Seite 94 

8 Systemintegrität auf der Datenbankebene 

8.1 Interne und externe Anforderungen 

die daten eines SAP-Systems werden in einer proprietären datenbank gehalten, z. B. oracle. Auf alle daten 

eines SAP-Systems kann über das datenbanksystem zugegriffen werden. dabei können auch daten 

geändert werden – unabhängig vom Zugriffsschutz, der über die SAP-Anwendungen realisiert ist. 

die datenbank ist ein eigenes System, das implementiert, konfiguriert, betrieben, verwaltet und überwacht 

werden muss. 

dabei sind die allgemeinen Sicherheitsanforderungen zur gewährleistung von Verfügbarkeit, Zugriffsschutz, 

Integrität und Vertraulichkeit umzusetzen. 

Spezielle Sicherheitsanforderungen ergeben sich zum einen aus dem SAP-spezifischen einsatz der 

datenbank, zum anderen aus der proprietären Ausprägung der funktionen der datenbank. 

deshalb sind sowohl die Hinweise von SAP zu den datenbank Plattformen im SAP netweaver Security 

guide zu berücksichtigen als auch die Security White Paper des Herstellers der datenbank. 

Prüfungsstandards zum einsatz von Informationstechnologie fordern insbesondere die Prüfung der 

datenbank eines erP-Systems. 

8.2 rISIken 

risiken können sich zum einen daraus ergeben, dass die Sicherheitsempfehlungen von SAP nicht 

umgesetzt sind, zum anderen, dass die datenbank konkurrierend zu der nutzung durch SAP genutzt wird: 

> die SAP-Systembenutzer, der datenbank-Systembenutzer oder zusätzlich eingerichtete Administratoren 

nutzen noch das Initialkennwort des Auslieferungsstandes der Software. dies ermöglicht auch nicht 

autorisierten dritten das unbefugte Anmelden an die datenbank. 

> Benutzer aus der fachabteilung können sich an die datenbank anmelden und sind berechtigt, mit den 

funktionen der datenbank Änderungen in den datenbanktabellen durchzuführen, die konkurrierend 

auch von SAP-Benutzern geändert werden. 

> Angreifer können über nicht benötigte datenbankbenutzer eine Sicherheitsschwachstelle im datenbank 

system nutzen, um privilegierten Zugriff auf die datenbank zu erlangen. 

> die datenbank lässt beliebige Anmeldeversuche über das netz zu. 

> Anmeldungen an die datenbank werden nicht protokolliert und überwacht. 

> die daten in der datenbank sind nicht verschlüsselt. 

> Sicherheitsempfehlungen des Herstellers der datenbank sind nicht umgesetzt. 

8.3 kontrollZIele 

> die Sicherheitsempfehlungen von SAP zur sicheren konfiguration und zum ordnungsmäßigen Betrieb 

der datenbank sind umgesetzt. 

> eine zur SAP-Anwendung konkurrierende nutzung der datenbank ist nicht implementiert, die 

Änderungen an den gleichen datenbanktabellen zulässt, die schon SAP verwaltet. 

> Anmeldungen von beliebigen Clients aus nicht vertrauenswürdigen netzwerksegmenten an die 

datenbank sind verhindert.

die technischen Möglichkeiten, dass ein Benutzer sich von seinem Client aus direkt an die datenbank 

anmelden kann, sind entweder ausgeschlossen oder auf den notwendigen umfang eingeschränkt und 

gegen unbefugte nutzung abgesichert (oBdC-Zugriff). 

> nicht benötigte datenbankbenutzer sind gesperrt oder gelöscht. 

> die funktionen zur Anmeldekontrolle werden genutzt, die das proprietäre datenbanksystem bereitstellt. 

Insbesondere werden fehlversuche bei der Anmeldung protokolliert und überwacht. 

> die daten in der datenbank werden entsprechend ihrem Schutzbedarf verschlüsselt gespeichert. 

> Zusätzliche Sicherheitsempfehlungen des Herstellers der datenbank sind umgesetzt. 

8.4 PrüfProgrAMM: AutHentISIerung und AutorISIerung MIt orACle 

unter unIx 

nr. AutHentISIerung MIt orACle unter unIx 

1. 

1.1 

1.2 

1.3 

1.4 

H 

Kontrollziel: Angemessene Zugriffskontrolle für Oracle unter UNIX 

Risiko: Beliebige Benutzer können sich remote an der datenbank unter einem der Standard-datenbankbenutzer 

mit dem Standardkennwort anmelden, können alle tabelleninhalte einsehen und nicht 

autorisierte Änderungen durchführen. 

Welche Benutzer sind in der datenbank eingerichtet? 

SQl> select * from all_users 

klären, welche Benutzer zu welchem Zweck eingerichtet sind. 

es dürfen nur Standardsystembenutzer und Systemadministratoren eingerichtet sein. nicht 

benötigte datenbankbenutzer, z. B. gast- oder demo-Benutzer, sind zu sperren oder zu entfernen. 

Wird der oPS Mechanismus korrekt genutzt? 

SQl> select * from oPS$AdM.SAPuSer 

Ist der SAP datenbankbenutzer SAPr3 / SAP gegen unbefugten Zugriff geschützt? 

1. durch regulären Wechsel des kennworts für AdM? 

2. durch deaktivieren des dienstes rlogin? 

3. durch angemessene nutzung des Mechanismus der sqlnet.ora datei, der IP-Adressen zulässt 

oder aussperrt (tcp.invited-nodes, tcp.excluded-nodes)? 

Sind die Standardkennwörter der Standard-datenbankbenutzer geändert? 

> SAP oder SAPr3 (kennwort: SAP) 

> SYS (kennwort: CHAnge_on_InStAll) 

> SYSteM (kennwort: MAnAger). 

Austesten, ob eine Anmeldung mit den Standardkennworten möglich ist. 

die kennwörter sind während der Installation zu ändern. komplexe kennwörter sind zu wählen. 

Seite 95 PrüfleItfAden SAP erP 6.0, teIl 1, StAnd MÄrZ 2009, © dSAg e. V.

Seite 96 


nr. AutHentISIerung MIt orACle unter unIx 

1.5 

H 

1.6 

1.7 

H 

Werden Systemereignisse wie An- und Abmeldungen an die datenbank protokolliert? 

SQl>select * from dBA_AudIt_SeSSIon 

Wird die Protokolldatei regelmäßig archiviert und gelöscht, um zu verhindern, dass es zu einem 

überlauf der SYS.Aud$ tabelle kommt? 

Haben nur Systemadministratoren Zugriffsrechte, sowohl die einstellungen für die Protokolldatei 

als auch die Protokolldatei selbst zu warten? 

können sich Benutzer über eine Client-Software an der datenbank anmelden? 

Ist der remote-datenbankzugriff eingeschränkt und kontrolliert? 

> Sind in der sqlnet.ora datei die IP-Adressen der zugelassenen Clients (Management-konsolen) 

eingetragen (tcp.invited.nodes)? 

> Ist der Zugriff auf die datenbank über eine firewall geregelt (oracle listener auf dem Port tCP / 

IP 1529)? 

Ist der oracle listener sicher konfiguriert? 

Ist ein kennwort für den oracle listener vergeben? 

1.8 Sind die datenbankdateien verschlüsselt abgelegt? 

8.5 PrüfProgrAMM: AutorISIerung MIt orACle unter unIx und 

dAtenBAnkMAnAgeMent 

nr. AutorISIerung MIt orACle unter unIx und dAtenBAnkMAnAgeMent 

1. 

1.1 

1.2 

Kontrollziel: Zugriff auf die Datenbank ist exklusiv für SAP-Anwendungen und gemäß den 

Vorgaben von SAP installiert. 

Risiko: konkurrierende datenbankänderungen durch weitere datenbankanwendungen auf den SAP 

tabellen führen zur dateninkonsistenz. 

Sind die Zugriffsrechte für oracle-Verzeichnisse und – dateien unter unIx so gesetzt, wie es von 

SAP vorgesehen ist und bei der Standard-Installation durchgeführt wird? 

nutzt exklusiv das SAP-System die datenbank oder laufen auch andere Anwendungen auf der 

datenbank? 

Auf der datenbank für das SAP-System dürfen keine anderen Anwendungen ablaufen, insbesondere 

dürfen keine Verknüpfungen zwischen den tabellen des SAP-Systems und anderen 

datenbanken eingerichtet sein. 

2. Datenbankmanagement 

2.1 existiert ein datenbanksicherungskonzept? 

2.2 existiert ein upgrade-konzept für Sicherheits-Patches?

8.6 PrüfProgrAMM: AutHentISIerung und AutorISIerung MIt orACle 

unter WIndoWS 

nr. AutHentISIerung MIt orACle unter WIndoWS 

1. 

1.1 

1.2 

1.3 

1.4 

H 

1.5 

H 

Kontrollziel: Angemessene Zugriffskontrolle für Oracle unter Windows 

Risiko: Beliebige Benutzer können sich remote an der datenbank unter einem der Standard-datenbankbenutzer 

mit dem Standardkennwort anmelden, können alle tabelleninhalte einsehen und nicht 

autorisierte Änderungen durchführen. 

Welche Benutzer sind in der datenbank eingerichtet? 

SQl> select * from all_users 

klären, welche Benutzer zu welchem Zweck eingerichtet sind. 

es dürfen nur Standardsystembenutzer und Systemadministratoren eingerichtet sein. nicht 

benötigte datenbankbenutzer, z. B. gast- oder demo-Benutzer, sind zu sperren oder zu entfernen. 

Wird der oPS Mechanismus korrekt genutzt? 

SQl> select * from oPS$AdM.SAPuSer 

SAP empfiehlt, nur oPS$-Benutzer für die Windows Benutzer zu definieren, die für den Betrieb 

des SAP-Systems erforderlich sind. normalerweise sind das die Benutzer SAPService und 

AdM. Weitere Informationen über das Anlegen von oPS$-Benutzern unter Windows finden 

sich im SAP-Hinweis 50 088. 

Sind die SAP-datenbankbenutzer SAPr3 / SAP und AdM gegen unbefugten 

Zugriff geschützt? 

1. durch regulären Wechsel des kennworts für AdM? 

2. durch angemessene nutzung des Mechanismus der sqlnet.ora datei, der IP-Adressen zulässt 

oder aussperrt (tcp.invited-nodes, tcp.excluded-nodes)? 

Sind die Standardkennwörter der Standard-datenbankbenutzer geändert? 

> SAP oder SAPr3 (kennwort: SAP) 

> SYS (kennwort: CHAnge_on_InStAll) 

> SYSteM (kennwort: MAnAger). 

Austesten, ob eine Anmeldung mit den Standardkennworten möglich ist. 

die kennwörter sind während der Installation zu ändern. komplexe kennwörter sind zu wählen. 

Werden Systemereignisse wie An- und Abmeldungen an die datenbank protokolliert? 

SQl>select * from dBA_AudIt_SeSSIon 

Wird die Protokolldatei regelmäßig archiviert und gelöscht, um zu verhindern, dass es zu einem 

überlauf der SYS.Aud$ tabelle kommt? 

Haben nur Systemadministratoren Zugriffsrechte, sowohl die einstellungen für die Protokolldatei 

als auch die Protokolldatei selbst zu warten? 


Seite 98 


nr. AutHentISIerung MIt orACle unter WIndoWS 

1.6 

1.7 

H 

können sich Benutzer über eine Client-Software an der datenbank anmelden? 

Ist der remote-datenbankzugriff eingeschränkt und kontrolliert? 

> Sind in der sqlnet.ora datei die IP-Adressen der zugelassenen Clients (Management-konsolen) 

eingetragen (tcp.invited.nodes)? 

> Ist der Zugriff auf die datenbank über eine firewall geregelt (oracle listener auf dem Port 

tCP / IP 1529)? 

Ist der orACle listener sicher konfiguriert? 

Ist ein kennwort für den orACle listener vergeben? 

1.8 Sind die datenbankdateien verschlüsselt abgelegt? 

2. 

2.1 

2.2 

Kontrollziel: Zugriff auf die Datenbank ist exklusiv für SAP-Anwendungen und gemäß den 

Vorgaben von SAP installiert. 

Risiko: konkurrierende datenbankänderungen durch weitere datenbankanwendungen auf den 

SAP-tabellen führen zur dateninkonsistenz. 

Sind die Zugriffsrechte für orACle-Verzeichnisse und -dateien unter Windows so gesetzt, wie es 

von SAP vorgesehen ist und bei der Standard-Installation durchgeführt wird? 

um die orACle-dateien zu schützen, müssen folgende Zugriffsrechte vergeben sein: 

> der lokalen gruppe SAP__localAdmin und dem lokalen Benutzer SYSteM müssen die 

Zugriffsrechte full control für alle orACle-dateien zugewiesen sein. 

> anderen gruppen oder Benutzern dürfen keine Zugriffsrechte für die orACle vergeben sein. 

die folgende tabelle gibt die dateien und die zugehörenden Zugriffsrechte an: 

orACle VerZeICHnISSe ZugrIffSreCHt BenutZer oder gruPPe 

SYSteM, Administrators, 

SAP__globalAdmin 

% orACle_HoMe % full Control 

(domain installation), 

SAP__localAdmin 

(local installation) 

:\oracle\ full Control 

SYSteM, Administrators, 

SAP__globalAdmin 

(do-main installation), 

SAP__localAdmin 

(local installation) 

nutzt exklusiv das SAP-System die datenbank oder laufen auch andere Anwendungen auf der 

datenbank? 

Auf der datenbank für das SAP-System dürfen keine anderen Anwendungen ablaufen, insbesondere 

dürfen keine Verknüpfungen zwischen den tabellen des SAP-Systems und anderen 

datenbanken eingerichtet sein. 

2.3 existiert ein datenbanksicherungskonzept?

nr. AutorISIerung MIt orACle unter WIndoWS und dAtenBAnkMAnAgeMent 

3. Datenbankmanagement 

3.1 existiert ein datenbanksicherungskonzept? 

3.2 existiert ein upgrade-konzept für Sicherheits-Patches? 


Seite 100 

9 Systemintegrität auf der Betriebssystemebene 

9.1 Interne und externe Anforderungen 

das Betriebssystem ermöglicht die Installation eines SAP-Systems, z. B. Windows. über das Betriebssystem 

wird das SAP-System konfiguriert. über das Betriebssystem können auf alle Programme und daten 

eines SAP-Systems zugegriffen werden. dabei können Programme und daten geändert werden – unabhängig 

von dem Zugriffsschutz, der über die SAP-Anwendungen eingerichtet ist. 

das Betriebssystem ermöglicht insbesondere den Zugriff auf das SAP-System über das netz. Angriffe aus 

dem netzwerk zielen auf Sicherheitsschwachstellen in der konfiguration der netzdienste des Betriebssystems. 

Spezielle Sicherheitsanforderungen ergeben sich aus 

> der SAP-spezifischen nutzung von Betriebssystemfunktionen, 

> der proprietären Ausprägung der funktionen der Betriebssystems und 

> den proprietären technischen Schnittstellen zu anderen trägersystemen, z. B. datenbank oder netz, 

insbesondere den Services, die über das netz aufrufbar sind. 

es sind sowohl die Hinweise von SAP zu den Betriebssystem Plattformen im SAP netweaver Security guide 

zu berücksichtigen als auch die Security White Paper der Herstellers des Betriebssystems. 

9.2 rISIken 

risiken können sich daraus ergeben, dass die Sicherheitsempfehlungen von SAP oder dass andere 

sicherheitsrelevante einstellungen des Betriebssystems gemäß den Hinweisen des Herstellers des 

Betriebssystems nicht umgesetzt sind: 

> die kennworte der SAP-Systembenutzer, der Standard-Betriebssystembenutzer oder zusätzlich 

eingerichteter Administratoren sind noch auf dem Standard bei Auslieferung und ermöglichen das 

unbefugte Anmelden an das Betriebssystem. 

> der Zugriff auf der ebene des Betriebssystems durch Benutzer oder über für sie eigens eingerichtete 

Benutzerfunktionen, z. B. file transfer, ist schlecht konfiguriert und unzureichend abgesichert. 

> Jeder aus dem netz kann – wegen eines konfigurationsfehlers – auf ein Verzeichnis mit streng 

vertraulichen Informationen oder ausführbaren SAP-Programmen zugreifen, das über das netz nur für 

eine bestimmte Benutzergruppe bereitgestellt sein soll (network share). 

> Anmeldungen an das Betriebssystem werden nicht protokolliert und überwacht. 

> das Betriebssystem hat ein bekanntes Sicherheitsloch, das ein Hacker über das netz erkennen und 

ausnutzen kann, um einen trojaner zu installieren, Programme und daten zu manipulieren, die Spuren 

der Manipulation zu löschen oder den Superuser zu übernehmen. 

> die Manipulation eines SAP Programms wird nicht erkannt. 

9.3 kontrollZIele 

> die Sicherheitsempfehlungen von SAP zur sicheren konfiguration des Betriebssystems sind umgesetzt. 

> Zusätzliche Sicherheitsempfehlungen des Herstellers des Betriebssystems sind umgesetzt. 

> der Zugriff über das netz auf das Betriebssystem ist restriktiv gesetzt und sicher konfiguriert. 

> network Shares sind mit restriktiven Zugriffsrechten nur für die zugelassene Benutzergruppe gesetzt. Sie 

werden auf fehlerhafte Zugriffsvergaben (Windows: eVerYone, unIx: weltweites lese- oder Schreibrecht) 

überwacht. 

> die funktionen zur Anmeldekontrolle werden genutzt, die das Betriebssystem bereitstellt. Insbesondere 

werden fehlversuche bei der Anmeldung protokolliert und überwacht. 

> die SAP-Programme unterliegen einem Integritätscheck.

9.4 PrüfProgrAMM: AutHentISIerung und AutorISIerung MIt unIx 

nr. AutHentISIerung IM BetrIeBSSYSteM unIx 

1. 

1.1 

1.2 

1.3 

H 

1.4 

H 

1.5 

1.6 

Kontrollziel: Angemessene Zugriffskontrollen auf UNIX-Ebene 

> der Zugriff personenbezogener Benutzer auf das Betriebssystem ist auf wenige Systemadministratoren 

beschränkt. 

> Benutzer aus fachabteilungen haben keinen Zugriff auf das Betriebssystem. 

> Automatisierte Anmeldekontrollen und Passwortbildungsregeln auf der ebene des Betriebs- 

systems sind für die personenbezogenen Benutzer aktiviert. 

> die Anmeldungen werden protokolliert und überwacht. 

Risiko: 

> Personenbezogene Benutzer haben leicht erratbare kennworte gewählt, die keinem Änderungszwang 

unterliegen. 

> Versuche, die kennworte von Benutzern auszuprobieren, werden nicht protokolliert und 

überwacht. 

> nicht autorisierte Benutzer können Zugriff auf das Betriebssystem erlangen. 

Welche gruppen sind in der unIx-gruppendatei eingerichtet? Sind neben den Standardgruppen 

auch unternehmensspezifische gruppennamen vergeben? Welche Benutzer sind den unternehmensspezifischen 

gruppen zugeordnet? 

Hinweis: die Standardgruppen sind in der Systemdokumentation des Herstellers aufgeführt. 

Welche Benutzer sind in der unIx-Passwortdatei eingerichtet? Sind neben den Standardsystembenutzern 

auch personenbezogene Benutzer vergeben? Welche Aufgaben haben diese eingerichteten 

personenbezogenen Benutzer? 

die Benutzer root, adm und

Seite 102 


nr. AutHentISIerung IM BetrIeBSSYSteM unIx 

1.7 

1.8 

1.9 

1.10 

H 

2 

2.1 

2.2 

Sind die BSd remote Services rlogin und remsh / rsh deaktiviert oder restriktiv und kontrolliert 

eingesetzt? 

SAP empfiehlt, nach Möglichkeit diese Services zu deaktivieren 

Welche Systemnamen, IP nummern oder generischen einträge sind in den dazugehörenden 

dateien / etc / host.equiv und $HoMe / .rhosts eingetragen? 

für kritische Benutzer müssen die .rhosts-dateien geleert und dafür als Zugriffsrecht die 

oktalzahl „000“ zugewiesen sein. 

die datei / etc / hosts.equiv muss entweder gelöscht oder geleert sein. 

Alternative: diese Services werden nur innerhalb eines abgesicherten lokalen netzwerkes 

eingesetzt. 

Ist das network Information System (nIS) restriktiv und kontrolliert eingesetzt? 

Risiko: nIS erlaubt es jedem unIx-System in einem lokalen netzwerk mit dem Befehl „ypcat 

passwd“ die mittels nIS zentral gehaltene Passwortdatei zu lesen und zu verwenden. 

Alternative: dieser Service wird nur innerhalb eines abgesicherten lokalen netzwerkes 

eingesetzt. 

Ist der Service x-Windows im einsatz? Wird er tatsächlich benötigt? Ist er gemäß den Sicherheitsempfehlungen 

des unIx-Herstellers installiert? 

Ist der administrative fernzugriff auf das Betriebssystem über eine Web-Schnittstelle abgesichert, 

d. h. sind die Standardkennwörter durch komplexe kennwörter ersetzt und sind auch Härtungsmaßnahmen 

für diese Web-Schnittstelle getroffen worden? 

Risiko: Bei der Installation eines unIx-Betriebssysteme kann standardmäßig auch eine 

Web-Schnittstelle für den remote-Zugriff der Systemadministratoren implementiert werden, 

ohne dass dies bei der Installation bekannt oder wahrgenommen wird. Angreifer aus dem 

netzwerk können die dabei vergebenen Standardkennworte oder Sicherheitsschwachstellen in 

der Version des betreffenden Web Servers ausnutzen, um unbefugte Aktionen auf der ebene des 

Betriebssystems auszuführen. 

Kontrollziel: die Zugriffsrechte sind nach dem Prinzip der minimalen Berechtigung vergeben. 

die für unIx-Systeme spezifischen und verschiedenen technischen Möglichkeiten, eigentümerrechte 

auf Verzeichnisse und dateien zu vergeben, sind kontrolliert eingesetzt. 

Risiko: Personenbezogenen Benutzern sind Standardumgebungen, z. B. login shell, eingerichtet, 

die zu weit reichende automatische rechtevergaben beinhalten. unbefugte Aktionen auf der 

Betriebssystemebene sind möglich. die Integrität der System- und datendateien des SAP-Sys- 

tems ist gefährdet. 

Sind die Zugriffsprivilegien auf die SAP datei- und Systemverzeichnisse so gesetzt, wie es von SAP 

vorgesehen ist und bei der Installation standardmäßig durchgeführt wird? 

Welche uMASk-definitionen sind in den relevanten dateien vorgegeben, z. B. in .login, .cshrc, 

.profile, / etc / profile, und beschränken diese automatisch die Berechtigungen für neu erstellte 

dateien, z. B. dass alle neu erstellten dateien nur Zugriffsrechte mit dem oktalwert 750 haben? 

diese Vorgaben müssen insbesondere für alle login-umgebungen personenbezogener Benutzer 

gelten.

nr. AutorISIerung IM SICHerHeItSMAnAgeMent 

2.3 

2.4 

2.5 

2.6 

2.7 

Ist das network filesystem (nfS) restriktiv und kontrolliert eingesetzt? 

über nfS dürfen keine Verzeichnisse mit vertraulichen daten exportiert werden. über nfS dürfen 

keine Home-Verzeichnisse – von welchen Benutzern auch immer – mit Schreibberechtigung 

exportiert werden. Verzeichnisse dürfen nur an vertrauenswürdige Systeme exportiert werden. 

Risiko: die über nfS exportierten Verzeichnisse für alle Benutzer im netz können vertrauliche daten 

enthalten. Wird ein für alle beschreibbares Home-Verzeichnis eines unIx-Benutzers exportiert, ist 

darüber ein Angriff auf das unIx-System möglich, der dem Angreifer die übernahme der Privilegien 

des Superusers „root“ ermöglicht. 

Werden SuId / SgId-dateien überwacht, insbesondere bei der Installation neuer zusätzlicher 

Software auf dem Betriebssystem? 

Hinweis: dateien bei denen das SuId oder SgId Bit gesetzt ist, werden mit den rechten des 

Benutzers bzw. der gruppe ausgeführt, der diese datei gehört. normalerweise werden diese Bits bei 

dateien verwendet, die als Superuser „root“ ausgeführt werden müssen, um ihren Zweck zu erfüllen. 

Risiko: diese dateien sind Ziel externer Angreifer, um die Privilegien des Superusers zu erhalten. 

Sind die Sicherheitshinweise des unIx-Herstellers zum Härten des Systems bekannt und umgesetzt, 

z. B. Hinweise zum deaktivieren nicht benötigter dienste? 

unterstützt das unIx-Betriebssystem Integritätsprüfungen für Systemdateien? Wird diese 

Möglichkeit genutzt? 

Wird das Betriebssystem mit den vom Betriebssystemlieferanten freigegebenen Sicherheits-Patches 

auf dem neusten Stand gehalten? 


Seite 104 


9.5 PrüfProgrAMM: AutHentISIerung und AutorISIerung MIt WIndoWS 

nr. AutHentISIerung und AutorISIerung IM BetrIeBSSYSteM WIndoWS 

1. 

1.1 

1.2 

1.3 

Kontrollziel: die Zugriffsrechte sind nach dem Prinzip der minimalen Berechtigung zu vergeben. 

die für Windows-Systeme spezifischen technischen Möglichkeiten, eigentümerrechte auf 

Verzeichnisse und dateien zu vergeben sind kontrolliert eingesetzt. 

Risiko: Personenbezogenen usern sind zu weitreichende rechte vergeben. unbefugte Aktionen 

auf Betriebssystemebene sind möglich. die Integrität der System- und dateien des SAP-Systems 

ist gefährdet. 

Ist das SAP-System auf einem Windows-domänencontroller installiert? 

Hinweis: ein auf einem domänen-Controller definiertes lokales Benutzerrecht ist auf allen 

domänen-Controllern gültig. 

SAP empfiehlt nicht, SAP-Systeme auf einem domänen-Controller zu installieren. 

Ist bei mehreren SAP-landschaften eine getrennte Windows-domäne für die SAP-Systeme 

eingerichtet? 

SAP empfiehlt, zwei getrennte domänen für das SAP-System anzulegen. 

> In einer domäne sind die domänenbenutzer, einschließlich der SAP-Systembenutzer, und der 

domänenadministrator eingerichtet. 

> In der davon getrennten SAP-domäne sind die SAP-System-Server, -Services und -Administratoren 

eingerichtet. dazu zählen: 

> SAP-System-Anwendungsserver und -datenbankserver 

> SAP-System- oder datenbank-Services 

> SAP-Systemadministratoren 

> Windows-Administratoren 

> Administratoren der domäne SAP. 

Welche Vertrauensbeziehungen sind zwischen anderen Windows-domänen und der Windowsdomäne 

für die SAP-Systeme definiert? 

Hinweis 1: In den Standard-Installationsvorgehensweisen empfiehlt SAP, getrennte domänen 

einzurichten. Zu beachten ist jedoch, dass bestimmte SAP-spezifische funktionen und Windows- 

spezifische Services eine Vertrauensbeziehung zwischen domänen erfordern. 

> es gibt bestimmte Services, die nur eine einseitige Vertrauensbeziehung erfordern, z. B. das 

drucken im netzwerk mit dem Print Manager oder die dateienübertragung mit Betriebssystembefehlen 

wie z. B. xcopy oder move. 

> einige Services erfordern eine beiderseitige Vertrauensbeziehung, z. B. Single Sign-on über 

das Microsoft lAn Manager Security Service Provider Interface (ntlMSSPI). 

Hinweis 2: Wenn das SAP-System standardmäßig installiert wird, implementiert das Installations- 

Werkzeug, SAPinst genannt, automatisch alle notwendigen Maßnahmen, die relevant sind, um 

das SAP-System gegen nicht autorisierten Zugriff zu schützen.


1.4 

1.5 

1.6 

Welche gruppen sind auf den SAP-Servern registriert (Windows-domäne)? 

es sollten keine anderen gruppen als die Windows Standardgruppen und den SAP-System- und 

datenbankgruppen definiert sein. 

Hinweis 1: globale Benutzergruppen sind innerhalb einer Windows-domäne gültig, nicht nur auf 

einem Server. 

SAP empfiehlt, die domänenbenutzer nach Aufgaben in verschiedenen Aktivitätsgruppen zu 

bündeln. der domänenadministrator kann die Aktivitätsgruppen in andere domänen exportieren, 

so dass der entsprechende Benutzer auf alle zur Verwaltung des SAP-Systems erforderlichen 

ressourcen zugreifen kann. 

Hinweis 2: Standardmäßig ist die globale gruppe für SAP-Administratoren als SAP __global- 

Admin definiert. 

Welche gruppen sind auf den SAP-Servern registriert (lokaler SAP-Server)? 

Hinweis 1: lokale Benutzergruppen (und lokale Benutzer) liegen lokal auf einem Server vor. Bei 

der Installation werden Benutzerrechte lokalen Benutzern anstelle von gruppen zugeordnet. z. B. 

erhält der Benutzer AdM das Benutzerecht logon on as a service. 

SAP empfiehlt, um die Benutzerverwaltung zu vereinfachen, Serverressourcen lokalen gruppen 

anstelle von einzelnen Benutzern zuzuordnen. entsprechende globale Benutzer und globale 

gruppen können dann der lokalen gruppe zugeordnet werden. dadurch kann besser kontrolliert 

werden, wer zu welcher gruppe gehört und welche Aufgaben er hat. 

Hinweis 2: Standardmäßig ist die lokale gruppe für SAP-Administratoren als SAP_ _local- 

Admin definiert. 

Ist der Benutzeradministrator gesichert? 

Hinweis: der in Windows eingebaute Superuser-Administrator hat unbeschränkten Zugriff auf 

alle Windows-ressourcen. Administrator kann z. B. 

> alle datendateien, festplatten und Shares anlegen, verwalten und deren Besitzer werden 

> lokale Benutzer und ihre rechte anlegen und verwalten 

> Peripheriegeräte, kernel- und Benutzer-Services anlegen und verwalten 

SAP empfiehlt, diesen Benutzer zu deaktivieren, um ihn vor unberechtigtem Zugriff zu schützen. 

der Benutzername muss geändert und das kennwort geheim gehalten werden. für Verwaltungsaufgaben 

werden andere Benutzer angelegt und deren rechte auf die Aufgaben beschränkt, für 

die sie verwendet werden, z. B. Benutzeradministrator, Sicherungs- und Serveroperatoren. 


Seite 106 



1.7 

1.8 

Ist der Benutzer AdM gesichert? 

Hinweis 1: AdM ist der Windows-Superuser für die SAP-Systemverwaltung. der Benutzer 

wird während des SAP-Systeminstallationsverfahrens angelegt, normalerweise als domänenbenutzer 

für das SAP-System. der Benutzer kann sich daher an allen Windows-rechnern in der 

domäne anmelden. AdM benötigt auch vollen Zugriff auf alle instanzenspezifischen 

ressourcen des SAP-Systems wie dateien, Shares, Peripheriegeräte (z. B. Bandlaufwerke oder 

drucker) und netzwerkressourcen (z. B. den SAProuter-Service). 

Bei der Installation oder einem upgrade muss Sie AdM der gruppe domain Administrators 

zugewiesen werden. In diesem Status hat AdM dieselben rechte wie der Administrator in 

einer normalen Windows-umgebung. 

SAP empfiehlt, die folgenden Maßnahmen zu ergreifen, um diesen Benutzer vor unberechtigtem 

Zugriff zu schützen: 

> nach einer Installation oder einem upgrade die gruppenmitgliedschaft in den gruppen 

Administrators und domain Administrators zu beenden, 

> sein kennwort regelmäßig zu ändern. 

> seine Zugriffsrechte auf instanzenspezifische ressourcen für das SAP-System zu beschränken. 

Hinweis 2: Wenngleich AdM auf SAP-System-dateien zugreifen kann, wird das SAP- 

System von einem anderen Benutzer gestartet, nämlich SAPservice. 

Ist der Benutzer SAPService gesichert? 

Hinweis 1: SAPService wird bei der Installation des SAP-Systems angelegt. der Benutzer 

wird normalerweise als ein domänenbenutzer angelegt, der das SAP-System ausführt und 

datenbankressourcen verwaltet. der Benutzer kann sich lokal auf allen Windows-rechnern in der 

domäne anmelden. 

da das SAP-System selbst dann laufen muss, wenn kein Benutzer an dem lokalen Windowsrechner 

angemeldet ist, läuft das SAP-System als Windows-Service. Aus diesem grund erhält 

der Benutzer SAPService während der Installation das recht logon as a service auf dem 

lokalen rechner. 

Hinweis 2: SAPService verwaltet auch das SAP-System und datenbankressourcen 

innerhalb des Computing Center Management System (CCMS). der Benutzer braucht daher vollen 

Zugriff auf alle instanzen- und datenbankspezifischen ressourcen wie dateien, Shares, 

Peripheriegeräte und netzwerkressourcen. 

Hinweis 3: das kennwort dieses Benutzers zu ändern, ist relativ schwierig. um das kennwort 

eines Windows-nt-Service-Benutzers zu ändern, muss man den Service stoppen, seine 

Starteigenschaften bearbeiten und ihn erneut starten. um das Benutzerkennwort zu ändern, 

muss also das SAP-System gestoppt werden. 

SAP empfiehlt, folgende Vorkehrungen treffen, um SAPService zu schützen: 

> das Benutzerrecht log on locally aufzuheben, 

> seinen Zugriff auf instanzen- und datenbankspezifische ressourcen zu beschränken, 

> zu verhindern, dass sich dieser spezielle Service-Benutzer interaktiv am System anmeldet. 

die letzte Maßnahme verhindert einen Missbrauch durch Benutzer, die versuchen, von 

Präsentationsservern aus auf das System zuzugreifen. In diesem fall brauchen man kein 

Verfallsdatum für das kennwort anzugeben und kann die einstellung „change password at 

logon“ deaktivieren.


1.9 

Sind die datenbankbenutzer gesichert? 

Hinweis 1: Analog zum SAP-System muss auch die datenbank laufen, selbst wenn kein Benutzer 

am Windows-rechner angemeldet ist. d. h. die datenbank muss als Service laufen. Während der 

datenbankinstallation erhält der Benutzer das recht logon as as a service auf dem 

lokalen rechner. 

1.10 Ist der Benutzer gast gesperrt oder gelöscht? 

1.11 Wer darf das SAP-System starten oder stoppen? 

1.12 

1.13 

1.14 

1.15 

Wer hat Zugriff auf das Shared Memory? 

Hinweis: der gemeinsame Speicher wird vom SAP-System-dispatcher und den Workprozessen 

für bestimmte Aktivitäten verwendet, z. B. für den Austausch von Verwaltungsinformationen. da 

das SAP-System den gesamten gemeinsamen Speicher erstellt, werden dem Benutzer, der das 

SAP-System startet, die ausschließlichen Zugriffsrechte für den gemeinsamen Speicher 

zugewiesen. 

SAP empfiehlt, um während des Betriebs von SAP-Systemen Zugriffskonflikte mit bestimmten 

internen Werkzeugen (dpmon.exe, gwmon.exe) zu vermeiden, sicherzustellen, dass derselbe 

Benutzer, der das SAP-System startet, auch diese Werkzeuge startet. 

Sind die Schutzmaßnahmen für dynamisch erzeugte dateien wirksam? 

Hinweis: da SAP-Systeme die ein- und Ausgabe der AnSI-datenstromdatei verwenden, erhält 

eine von ABAP erstellte datei die Zugriffsrechte des ordners, in dem sie erstellt wurde. nur der 

Besitzer der dateien oder der Administrator kann diese Zugriffsrechte ändern. Wenn ABAP- 

Anweisungen die dateien anlegen, gehören sie dem SAP-System (AdM oder 

SAPService). 

Sind die Berechtigungen für Verwaltungsaufgaben bei mehreren SAP-Systemen auf Servern 

entsprechend der Zuständigkeit verschiedener Administratoren zugewiesen? 

Hinweis: Befinden sich auf dem oder den Servern mehrere SAP-Systeme, können die Verwaltungsaufgaben 

separat über verschiedene lokale und globale gruppe durchgeführt werden. 

SAP empfiehlt: 

> die Zugriffsrechte sind entsprechend für die dateien im Verzeichnis (und in den unterverzeichnissen) 

\usr\sap zuzuweisen. dabei kann zwischen den Administratoren und gruppen 

unterscheiden werden, indem die namen der SAP-Systeme zur kennzeichnung verwendet 

werden (z. B. und ). 

> Alle Administratoren sollten Zugriff auf die beiden Verzeichnisse auf der obersten ebene von 

\usr\sap haben. 

Sind die Schutzmaßnahmen für einen gemeinsamen Speicher umgesetzt? 

Hinweis: Wenn mehrere SAP-Systeme auf einem Server installiert sind, gibt es einen zusätzlichen 

Bereich des gemeinsamen Speichers. dieser Speicher wird von saposcol.exe erstellt und 

gemeinsam vom oS Collector und allen SAP-Systemen verwendet. 

SAP empfiehlt, den gruppen SAP__localAdmin für die ausführbare datei saposcol.exe die 

Zugriffsrechte full control zu vergeben. um Zugriffskonflikte zu vermeiden, muss erst saposcol. 

exe und anschließend das SAP-System gestartet werden. 

1.16 Sind die Sicherheitshinweise von Microsoft zum Härten des Systems bekannt und umgesetzt? 

1.17 

Wird das Betriebssystem mit den von Microsoft freigegebenen Sicherheits-Patches auf dem 

neusten Stand gehalten? 


Seite 108 

10 Kommunikations- und Netzsicherheit 

10.1 PrüfPrOGramm: Sicherheit deS SaP internet tranSactiOn SerVerS 

der SaP internet transaction Server (itS) dient zur darstellung von SaP-eigenen graphischen anwendungsoberflächen 

als html-Oberflächen. die html-Seiten werden dazu vom itS an einen Browser eines 

nutzers ausgeliefert. der itS kommuniziert seinerseits mit einem SaP-System unter anderem über das 

SaP eigene diaG Protokoll. 

der SaP internet transaction Server (itS) fügt der entwicklungsplattform des SaP web anwendung 

Servers eine html-basierende entwicklungsumgebung für front-end-anwendungen hinzu und arbeitet als 

Gateway zwischen dem SaP web anwendung Server und httP. als spezieller html-editor steht SaP@web 

Studio zur Verfügung. 

nr. SicherheitSreleVante einStellUnGen deS SaP internet tranSactiOn SerVerS 

1. 

H 

1.1 

2. 

H 

2.1 

2.2 

2.3 

Kontrollziel: Die Service-Dateien und die Dateien zur Steuerung der Anwendungen sind 

gegen unbefugten Zugriff geschützt. 

Risiko: auf dem aGate-Server sind die zugriffsrechte auf die Service-dateien nicht restriktiv 

gesetzt. angreifer aus dem internet können die lücken erkennen, ausnutzen und unbefugt 

zugreifen. 

ist der SaP-hinweis 693 220 „empfehlungen zur Sicherheit von itS-Services“ bekannt und 

umge-setzt? 

welche werte sind für die Berechtigungsobjekte S_tcOde und S_rfc gesetzt? 

zu den Berechtigungsobjekten S_tcOde und S_rfc sollte kein Benutzer die Gesamtberechtigung 

(Berechtigungswert ‚*‘) besitzen. dies gilt im besonderen maße für Benutzer, die über das 

internet zugriff auf das System bekommen. die freigegebenen transaktionen oder rfc-funktionsgruppen, 

auf die der zugriff benötigt wird, sollten auf den erforderlichen Umfang zuge-schnitten 

und minimal sein. 

Hinweis: wenn es möglich ist, sollte nicht der Benutzertyp ‚dialog‘ oder ‚Service‘, sondern der 

Benutzertyp ‚Kommunikation‘ verwendet werden. Bei webrfc-internetanwendungen, die 

aus-schließlich per rfc auf das System zugreifen, genügt der Benutzertyp ‚Kommunikation‘. 

Sind alle webGui Services deaktiviert, die nicht benötigt werden? 

aus Sicherheitsgründen ist es immer besser, alle nicht benötigten Services abzuschalten. 

Kontrollziel: Die Administration und der Zugriff verschiedener Administrationsfunktionen 

auf das ITS sind geregelt und restriktiv gesetzt. 

Risiko: der Superadministrator „itsadmin“ hat das Standardkennwort und ist über das internet 

aufrufbar. weitere administratorkonten sind mit uneingeschränktem zugriff auf alle dateien des 

itS angelegt, insbesondere auf die Konfigurationsverzeichnisse. 

ist der Port 1080 für den administrationsdienst auf der externen firewall gesperrt? 

http: / / www.muster.com:1080 / scripts / wgate / admin 

ist das Kennwort des Superadministrators „itsadmin“ geändert? Unterliegt die nutzung von 

„itsadmin“ dem Vieraugenprinzip? wie viele mitarbeiter kennen das Kennwort von „itsadmin“? 

Sind weitere administratorkonten angelegt? ist der Berechtigungsumfang entsprechend der 

funktion restriktiv vergeben, z. B. nur lesezugriff für help-desk-mitarbeiter?

nr. SicherheitSreleVante einStellUnGen deS SaP internet tranSactiOn SerVerS 

3. 

Kontrollziel: Die ITS-Komponenten Webserver, WGate und AGate sind entsprechend einem 

Konzept der Netzsegmentierung implementiert, um nicht vertrauenswürdige Netzsegmente 

von vertrauenswürdigen Netzsegmente über eine DMZ (Demilitarized Zone) zu trennen. 

Risiko: der itS-Server ist als Single-host konfiguriert. Bei fehlerhafter Konfiguration kann ein 

externer angreifer zugriff auf die Service-dateien erlangen (wGate=aGate) oder sogar den hinter 

dem itS-Server liegenden SaP web applikation Server übernehmen. 

3.1 es ist mindestens die physische trennung zwischen wGate und aGate implementiert. 

4. 

5. 

Kontrollziel: Die Kommunikationsverbindungen zwischen 

> Webbrowser und WGate, 

> WGate und AGate, 

> AGate und SAP WEB Applikation Server 

sind verschlüsselt. 

Risiko: Benutzerkennung und Kennwort werden abgehört und für eine unbefugte anmeldung 

genutzt. 

Kontrollziel: Die Benutzeranmeldungen über den ITS am Web Applikation Server beruhen 

auf einer starken Authentisierung. 

Risiko: ein angreifer errät durch ausprobieren einfach gewählte Kennworte und meldet sich 

unbefugt an. 

10.2 PrüfPrOGramm: Sicherheit SaPrOUter 

SaProuter ist ein SaP-Programm, das eine zwischenstation (Proxy) in einer netzwerkverbindung zwischen 

SaP-Systemen oder zwischen einem SaP-System und der außenwelt darstellt. SaProuter dient dazu, den 

zugang zum netzwerk zu regeln (anwendungs level Gateway) und stellt daher eine sinnvolle ergänzung zu 

einem bestehenden firewall-System (Port-, Packetfilter) dar. 

Bildlich gesprochen: die firewall bildet eine undurchdringliche „mauer“ um das netzwerk. da aber gewisse 

Verbindungen durch diese wand hindurch kommen sollen, muss ein „loch“ in die firewall gemacht 

werden. die Kontrolle dieses loches übernimmt SaProuter. dies ist oft nützlich, wenn etwa eine Support- 

Verbindung von SaP zu dem SaP-System eines Kunden existiert, über die sich SaP-mitarbeiter bei 

Problemen an dem System anmelden können. diese Verbindungen werden mit SaProuter kontrolliert. 

nr. SicherheitSreleVante einStellUnGen deS SaPrOUterS 

1. 

1.1 

H 

1.2 

Kontrollziel: Der SAPRouter ist als Proxy für die SAP-Protokolle DIAG (SAP GUI) und RFC 

sicher konfiguriert. 

Risiko: Ohne SaProuter ist ein direkter zugriff aus einem nicht vertrauenswürdigen netzsegment 

auf einen SaP web anwendungsserver möglich. das risiko für einen unbefugten zugriff ist hoch. 

erfolgt die fernwartung des SaP-Systems durch SaP über eine firewall des Unternehmensnetzes 

und ist dazu auch ein SaProuter konfiguriert? 

welche routing-regeln sind in der Konfigurationsdatei SaProuttab hinterlegt? 

werden in den zeilen für Permit oder SecUre Verbindungen wildcards (*) für den zielrechner 

oder die zielports verwendet? 


Seite 110 

10 Kommunikations- und Netzsicherheit 

10.3 PrüfPrOGramm: Sichere KOnfiGUratiOn deS SaP SinGle SiGn-On 

nr. Sichere KOnfiGUratiOn deS SaP SinGle SiGn-On 

1. 

1.1 

1.2 

2. 

2.1 

2.2 

2.3 

2.4 

Kontrollziel: Single Sign-On ist nur zwischen vertrauenswürdigen Systemen konfiguriert. 

Risiko: nicht vertrauenswürdige Systemen sind zugelassen. 

Hinweis 1: es gibt ein System, das SaP logon tickets ausstellt, und die anderen Systeme 

nehmen dieses als vertrauenswürdig an. SaP logon tickets werden entweder durch das SaP 

enterprise Portal oder durch einen SaP weB anwendungsserver ausgestellt. im folgenden wird 

ein SaP weB anwendungsserver aBaP unterstellt. 

Hinweis 2: es darf allerdings nur ein führendes System definiert werden. damit wird vermieden, 

dass mit der Verwaltung komplexer Vertrauensbeziehungen das Sicherheitsniveau herabgesetzt wird. 

wie ist das SaP-System konfiguriert, das die SaP logon tickets annehmen soll? 

welche zertifikate anderer SaP-Systeme akzeptiert das lokale SaP-System bei Single Sign-On 

zugriffen? 

transaktionen StrUSt, SSO2 oder SSO2_admin. 

wie ist der SaP web aS aBaP für die erteilung von SaP logon tickets konfiguriert? 

hat eine PKi (öffentliches trust-center, z. B. SaP ca) für den Server ein digitales zertifikat nach 

dem X.509-Standard ausgestellt und signiert? 

wurde das zertifikat in das Personal Security environment des SaP web aS übernommen? 

Hinweis: Selbst signierte zertifikate sind nur für ein testszenario zu empfehlen. 

Kontrollziel: Beschränkungen für Single Sign-On sind über Profilparameter konfiguriert. 

Risiko: Schwachstellen in der Konfiguration ermöglichen ein Unterlaufen der beabsichtigten 

Sicherheit. 

wie ist der Systemparameter login / accept_sso2_ticket des SaP web aS aBaP für die erteilung 

von SaP logon tickets konfiguriert? 

Hinweis: login / accept_sso2_ticket lässt die anmeldung per SSO-ticket zu oder sperrt sie. 

dieser Parameter muss auf „1“ gesetzt sein, um zuzulassen, dass der SaP web aS auch SaP 

logon tickets selbst akzeptiert. 

wie ist der Systemparameter login / create_sso2_ticket des SaP web aS aBaP für die erteilung 

von SaP logon tickets konfiguriert? 

Hinweis: login / create_sso2_ticket lässt die erzeugung von SSO-tickets zu. 

dieser Parameter muss auf „1“ gesetzt sein, um zuzulassen, dass der SaP web aS die SaP logon 

tickets selbst erzeugt und sein eigenes digitales zertifikat dabei verwendet. 

Hinweis: die Option „2“ wird nur für selbst signierte Serverzertifikate empfohlen. 

wie ist der Systemparameter login / ticket_expiration_time des SaP web aS aBaP für die 

erteilung von SaP logon tickets konfiguriert? 

Hinweis: login / ticket_expiration_time legt die Gültigkeitsdauer eines SSO-tickets fest. 

ein maximaler wert von acht Stunden, der einem arbeitstag entspricht, sollte nicht überschritten 

werden (neuer Standardwert: 8 statt 60 Stunden). 

wie ist der Systemparameter login / accept_sso2_ticket des SaP-Systems konfiguriert, das die 

SaP logon tickets annehmen soll? 

Hinweis: login / accept_sso2_ticket lässt die anmeldung per SSO-ticket zu oder sperrt sie. 

dieser Parameter muss auf „1“ gesetzt sein, um SaP logon tickets zuzulassen.

nr. aUthentiSierUnG Und aUtOriSierUnG im BetrieBSSyStem windOwS 

3. 

3.1 

3.2 

4. 

4.1 

Kontrollziel: Die Kommunikation zwischen dem Browser des Benutzers und dem 

ausstellenden SAP-System ist verschlüsselt. 

Risiko: eine man-in-the-middle-attacke ist möglich, ein angreifer kann das SSO ticket abhören 

und somit ohne anmeldung auf das SaP-System zugreifen. 

ist die Kommunikation zwischen Benutzer und austellendem SaP-System verschlüsselt? 

der Profilparameter login / ticket_only_by_https ist auf „1“ (Verschlüsselung) gesetzt. 

SOS: SSO ticket can Be Sent via an Unsecured connection (0608) 

Hinweis: weitere Parameter für anmeldekontrollen für das Single Sign-On sind wie folgt 

generisch zu suchen: 

login / * 




Kontrollziel: Restriktive Administration der Konfiguration des SAP Single Sign-On 

Risiko: Gefahr einer nicht autorisierten nutzung, wenn andere Benutzer als die Systemadministratoren 

für die Konfiguration zugelassen sind. 

wer darf die Konfiguration des SaP Single Sign-On verändern? 


S_tcOde mit Sm30 oder Sm31 oder Se16 oder Se16n 

S_taBU_diS (tabellenpflege) mit actVt=02 dicBerclS=SS 

S_rzl_adm (rechenzentrumsleitstand) mit actVt=01 

S_admi_fcd (Systemberechtigungen) mit aktivität nadm 

SOS: Users – Other than the System administrators – are authorized to maintain the SSO 

configuration (0604) 

SOS: Users – Other than the System admins – are authorized to maintain trusted SSO ticket 

issuing Systems (0605) 


Seite 112 

11 Literaturverzeichnis 

BSi, Bundesamt für Sicherheit in der informationstechnik, it-Grundschutz-Kataloge: 9. ergänzungslieferung 

Stand 2007, Kapitel B 5.13 „SaP-System“ 

linkies, m. / Off, f. (2006), Sicherheit und Berechtigungen in SaP-Systemen, Bonn 2006 

SaP, SaP library SaP netweaver Security Guide 

SaP, Service report, SaP Security Optimization Self-Service 

SaP, Schulungskurs „SaP Berechtigungskonzept“, adm940 

tiede, t. (2004); SaP r / 3 Ordnungsmäßigkeit und Prüfung des SaP-Systems (OPSaP), hamburg 2004 

wildensee, c.: (2006); externer zugriff auf SaP r / 3 Systeme über rfc, in „Prev revisionspraxis“, Ottokar 

Schreiber Verlag 2006


Seite 114 

Prüfleitfaden SAP Teil 2 


teil 2, BetrieBSwirtSchaftlicher teil 

dSaG e. V. 

deutschsprachige SaP-anwendergruppe 

Inhaltsverzeichnis 

1 OrGaniSatiOnSeinheiten im eXternen rechnUnGSweSen 117 

1.1 Prüfungsziele 117 

1.1.1 Organisationsstruktur 117 

1.1.2 Stammdaten 117 

1.1.3 Belege 118 

1.2 Prüfungsdurchführung 119 



1.2.3 Belege 121 

2 OrGaniSatiOnSeinheiten im internen rechnUnGSweSen 122 




2.1.3 Belege 123 




2.2.3 Belege 125 

3 BeSchaffUnGSPrOzeSS (PUrchaSe tO Pay) 126 



3.1.2 Bestellvorgang 126 

3.1.3 rechnungsprüfung 127 



3.2.2 Bestellvorgang 130 

3.2.3 rechnungsprüfung 130 

4 KalKUlatiOnSPrOzeSS 133 


4.1.1 Stammdaten und customizing 133 

4.1.2 durchführung 133 

4.1.3 ergebnisse / auswertungen 133 




4.2.3 ergebnisse / auswertungen 135

5 PeriOdiScheS cOntrOllinG Bei einem laGerfertiGUnGSPrOzeSS 136 



5.1.2 durchführung / Belege 136 






6 VertrieBSPrOzeSS: VerKaUf VOm laGer (Order tO caSh) 139 









7 PeriOdenaBSchlUSS im internen rechnUnGSweSen 

Bei laGerfertiGUnG 148 









8 PeriOdenaBSchlUSS in der anlaGenBUchhaltUnG 153 







9 PeriOdenaBSchlUSS im eXternen rechnUnGSweSen 158 



9.1.2 Saldenbestätigung 158 

9.1.3 Bewertung der Offenen Posten in fremdwährung 158 

9.1.4 Pauschalierte einzelwertberichtigung 159 

9.1.5 Umbuchen und rastern der forderungen und Verbindlichkeiten 159 

9.1.6 abgrenzungsbuchungen 159 

9.1.7 Saldovortrag 159 

9.1.8 technische abstimmung zwischen Verkehrszahlen und Belegen 159 


Seite 116 

Inhaltsverzeichnis 



9.2.2 Saldenbestätigung 161 

9.2.3 Bewertung der Offenen Posten in fremdwährung 162 

9.2.4 Pauschalierte einzelwertberichtigung 163 

9.2.5 Umbuchen und rastern der forderungen und Verbindlichkeiten 163 

9.2.6 abgrenzungsbuchungen 164 

9.2.7 Saldovortrag 166 

9.2.8 technische abstimmung zwischen Verkehrszahlen und Belegen 167 

10 BewertUnGSStrateGien für laGerBeStand 168 





11 BewertUnG mit iStKalKUlatiOn Und tranSferPreiSen 172 


11.1.1 istkalkulation und transferpreise 172 


11.2.1 istkalkulation und transferpreise 172 

12 VerKaUf einer KUndenaUftraGSfertiGUnG 174 









13 PeriOdenaBSchlUSS im internen rechnUnGSweSen 

Bei KUndenaUftraGSfertiGUnG Oder dienStleiStUnG 178 









14 fUnKtiOnStrennUnG 182 

14.1 zielsetzung 182 

14.1.1 anforderungen 182 

14.1.2 risiken 182 

14.2 Prüfungen von kritischen Berechtigungskombinationen im Bereich finanzbuchhaltung 182 

14.3 Prüfungen von kritischen Berechtigungskombinationen im Bereich materialwirtschaft 183

1 Organisationseinheiten im externen 

Rechnungswesen 

1.1 PrüfUnGSziele 

ziele riSiKO 

1.1.1 Organisationsstruktur 

Vollständiger und richtiger ausweis 

aller Vermögensgegenstände und 

Schulden im Berichtszeitraum 







die nachvollziehbarkeit der 

Verarbeitung wird durch eine auf- 

zeichnung der änderungen an 

zentralen rechnungslegungs- 

relevanten Steuerungstabellen 

sichergestellt 

Stetige Verwendung von sicheren und 

geprüften Organisationseinheiten 

Sicherheit vor unberechtigten 

änderungen an Organisationseinheiten 

1.1.2 Stammdaten 

der ausweis entspricht den 

mindestgliederungsvorschriften der 

anzuwendenden rechnungslegungsvorschrift 

der in Verwendung stehende 

Kontenplan ist genehmigt und steht in 

einklang mit den ausweisanforderungen 

der anzuwendenden 

rechnungslegungsvorschrift 

änderungen am Kontenplan sind 

autorisiert und im einklang mit den 

anzuwendenden rechnungslegungsvorschriften 

eine unzureichende abbildung der Unternehmensstruktur führt 

in der finanzberichterstattung zu einem falschausweis des 

Buchungsstoffes 

Unautorisierte änderungen an den rechnungslegungsrelevanten 

Steuerungsparametern / customizingeinstellungen direkt im 

Produktivsystem und / oder direkte entwicklungsarbeiten am 

Produktivsystem gefährden die integrität der Verarbeitung 

falsche Grundeinstellungen des Buchungskreises (löschkennzeichen, 

Geschäftsjahresvariante, max. Kursabweichungen…) 

gefährden die integrität der Verarbeitung 

änderungen an zentralen rechnungslegungsrelevanten 

Steuerungstabellen werden nicht aufgezeichnet und sind nicht 

mehr nachvollziehbar 

Unbekannte Organisationseinheiten können nicht beurteilt 

werden 

änderungen am Kontenplan wird von nicht autorisierten 

Personen vorgenommen 

falsche zuordnung der Konten zu den Bilanzposten (ausweis) 

Kontenplan ist nicht autorisiert und unzureichend ausgestaltet 

änderungen am Kontenplan sind nicht autorisiert und gefährden 

den richtigen ausweis der Geschäftsvorfälle 


Seite 118 



ziele riSiKO 

die Konten sind in ihren Grund- und 

Steuerungseinstellungen korrekt 

gepflegt und ermöglichen eine 

ordnungsgemäße finanzberichterstattung 

änderungen an Konteneinstellungen 

sind genehmigt, überwacht und in 

einklang mit den erfordernissen der 

rechnungslegungsvorschriften 

1.1.3 Belege 


Buchungen durch unautorisierte 

Personen 

Keine Gefährdung durch unzulässige 

funktionshäufungen bei einzelnen 

Personen 



Personen 


änderungen an gebuchten Belegen. 

änderungen dürfen nur an unkritischen 

informationen erfolgen 

abweichungen bei Beträgen dürfen 

nur akzeptiert werden, wenn eine 

definierte höchstgrenze nicht 

überschritten ist 

Periodengerechte abgrenzung und 

zeitnahe Buchung (Buchungsperioden) 

Korrekte Bebuchung der cpd-Konten 

(Konto pro diverse) 

Konten sind unzureichend gepflegt (hinsichtlich der Bebuchbarkeit 

automatisch / manuell, abstimmkonto, Offene Posten / 

einzelpostenführung) 

Unautorisierte änderungen an den zentralen Steuerungseinstellungen 

der Konten 

Buchungen werden durch Unberechtigte vorgenommen 

Buchungen können von Personen vorgenommen werden, die 

zusammen mit ihren anderen Berechtigungen eine funktionshäufung 

besitzen 

Unberechtigte Personen führen Stornos durch 

änderungen werden an Belegen durchgeführt 

Bei Buchungen werden zu hohe abweichungen akzeptiert 

Verstoß gegen den Grundsatz der zeitnahen Buchung 

> manipulation von zahlungsdaten, da die daten für die 

debitoren / Kreditoren bei der jeweiligen Buchung direkt 

eingegeben werden 

> Unterlaufen von limits inkl. Buchungsbetragslimits durch 

mehrfache Bebuchung desselben debitors / Kreditors

1.2 PrüfUnGSdUrchführUnG 

riSiKO KOntrOlle teSt / Bericht 


eine unzureichende abbildung 

der Unternehmensstruktur führt 

in der finanzberichterstattung zu 

einem falschausweis des 

Buchungsstoffes 

Unautorisierte änderungen an 

den rechnungslegungsrelevanten 

Steuerungsparametern / 

customizingeinstellungen direkt 

im Produktivsystem und / oder 

direkte entwicklungsarbeiten im 

Produktivsystem gefährden die 

integrität der Verarbeitung 

falsche Grundeinstellungen des 

Buchungskreises (löschkennzeichen, 

Geschäftsjahresvariante, 

max. Kursabweichungen…) 

gefährden die integrität der 

Verarbeitung 

änderungen an zentralen 

rechnungslegungsrelevanten 

Steuerungstabellen werden nicht 

aufgezeichnet und sind nicht 


die Unternehmensstruktur ist 

korrekt im System abgebildet 

und ermöglicht eine korrekte 

erfassung aller Geschäftsvorfälle 

und deren ausweis in der 

finanzberichterstattung. 

die bestehenden einstellungen 

an rechnungslegungsrelevanten 

Parametern, Steuerungseinstellungen 

sowie die Verarbeitungsprogramme 

können nur über das 

tmS geändert werden, 

anwendungsentwicklung im 

Produktivsystem ist ausgeschlossen. 

die generelle 

mandantenänderbarkeit lautet 

auf nicht änderbar. 

die einstellungen sind konform 

den empfehlungen der SaP 

gesetzt. der BuKr ist vor 

versehentlichem löschen 

geschützt, es ist die richtige 

Geschäftsjahresvariante 

eingepflegt, die Kursabweichung 

beträgt max. 10 %... 

die tabellenprotokollierung ist 

grundsätzlich im System 

aktiviert. definierte tabellen 

werden regelmäßig auf 

auffälligkeiten kontrolliert. 

aufnahme der Unternehmensstruktur 

im customizing 

(mandant) Buchungskreise – 

werke – einkaufsorganisationen 

– Verkaufsorganisationen 

Vertriebsbereiche – Sparten 

Kaufmännisches audit – 

einzelabschluss → aiS - 

Organisatorische übersicht 

transaktionen Scc4, Se06 

Kaufmännisches audit – 

einzelabschluss → Kaufmännisches 

audit – einzelabschluss 

→ aiS - Organisatorische 

übersicht → Org.Struktur → 

mandant 

transaktion OBy6 

Kaufmännisches audit - einzelabschluss 


übersicht → Org.Struktur 

→ Buchungskreis 

rSParam Parameter rec / client, 

auswertung der Protokolle über 

rStBhiSt 

System – audit → aiS - System 

audit – repository / tabellen -> 

tabellenaufzeichnungen → 

Systemparameter 

(S_alr_87101223) 


Seite 120 




Unbekannte Organisationseinheiten 

können nicht beurteilt 

werden 

änderungen am Kontenplan wird 

von nicht autorisierten Personen 

vorgenommen 


falsche zuordnung der Konten 

zu den Bilanzposten (ausweis) 

Kontenplan ist nicht autorisiert 

und unzureichend ausgestaltet 

änderungen am Kontenplan sind 

nicht autorisiert und gefährden 

den richtigen ausweis der 

Geschäftsvorfälle 

Konten sind unzureichend 

gepflegt (hinsichtlich der 

Bebuchbarkeit automatisch / 

manuell, abstimmkonto, Offene 

Posten / einzelpostenführung) 

es werden nur im Unternehmen 

zulässige und geprüfte Organisationselemente 

verwendet 

änderungen am Kontenplan 

werden nur von autorisierten 

Personen durchgeführt 

die eingepflegten zuordnungen 

der in Verwendung stehenden 

Bilanzversionen entsprechen den 

Vorschriften der anzuwendenden 


(bspw. hGB) 

der in Verwendung stehende 

Kontenplan ist autorisiert und in 

einklang mit den anzuwendenden 


änderungen an den Konten und 

am Kontenplan werden nur in 

einem formalisierten änderungsverfahren 

durchgeführt. 

änderungen werden regelmäßig 

analysiert 

die einstellungen der Konten 

sind korrekt und in übereinstimmung 

mit den anforderungen an 


Verarbeitung (abstimmkonto, 

we / re Konto…) gepflegt. 



übersicht → Kontierungselemente 

→ … 

Belegart, Belegnummer, 

Buchungsschlüssel, Buchungsperiode, 

Umsatzsteuerkennzeichen 

System – audit → aiS – System 

audit – Benutzer und Berechtigungen 

→ welcher Benutzer darf 

… (rSUSr002) 

transaktion OB58 

Kaufmännisches audit – einzelabschluss 


übersicht → Org.Struktur 

→ Kontenplan / Bilanzstruktur 

(OB58 - Bilanz / GuV-Strukturen) 

f.10 

rSKVz00 


→ abschluss - allgemein 

→ aiS - hauptbuch (Glt0) 

→ Sachkonten → Stammdaten 

neue / gelöschte Konten im 

Geschäftsjahr rSKVz00 




→ Sachkonten - Stammdaten 

→ controls 

transaktion fS00 




→ Sachkonten – Stammdaten 

→ übersicht

iSiKO KOntrOlle teSt / Bericht 


den zentralen Steuerungseinstellungen 

der Konten 

1.2.3 Belege 

Buchungen werden durch 

Unberechtigte vorgenommen 

änderungen werden an Belegen 

durchgeführt 

Bei Buchungen werden zu hohe 

abweichungen akzeptiert 

Verstoß gegen den Grundsatz der 

zeitnahen Buchung 

> manipulation von zahlungs 

daten, da die daten für die 

debitoren / Kreditoren bei der 

jeweiligen Buchung direkt 

eingegeben werden 

> Unterlaufen von limits inkl. 

Buchungsbetragslimits durch 

mehrfache Bebuchung 

desselben debitors / Kreditors 

änderungen an den Steuerungseinstellungen 

der Konten sind 

autorisiert und in einklang mit 

den erfordernissen der anzu- 

wendenden rechnungslegungsvorschriften 

nur berechtigte Personen führen 

Stornobuchungen durch 

eingestellte änderungsregeln 

prüfen 

eingestellte abweichungsgrenzen 

prüfen 

welche Buchungsperioden sind 

geöffnet; Untersuchung der 

änderungsprotokolle 

wer darf die tabelle t001B 

ändern bzw. hat zugriff auf die 

laufenden einstellungen in der 

hauptbuchhaltung, um Buch- 

ungsperioden zu öffnen / schließen 

> existiert ein Buchungsbetrags- 

limit für cpd Konten? 

> mehrfachbebuchung desselben 

debitors / Kreditors? 

> einstellung des mahnlaufs für 

cpd-Konten? 

> manipulation von zahlungsdaten 

(Vergleich Buchung mit Beleg)? 

rfSaBl00, fS04 




→ Sachkonten - Stammdaten 

→ controls → Stammdatenänderungen 




→ tOP 10 → Belegjournal (mit 

Beleganalyse): nach Buchungsschlüssel 

für Storno selektieren 



übersicht → Belegsteuerungen 

→ Belegänderungsregeln 

→ übersicht – detail 



übersicht → Belegsteuerungen 

→ toleranzen → 

toleranzgruppe → übersicht - 

detail nach Buchungsschlüssel 

für Storno selektieren 

aiS - audit information System 

→ Kaufmännisches audit - einzelabschluss 

→ Kontierungselemente 

→ Buchungsperiode 

tabellenpflege z. B. Sm31 und 

Berechtigungsobjekt 

S_taBU_diS 

reports: überblick über 

cpd-Konten rfKKVz00 / 

rfdKVz00, auswertung über 

Kontensaldenanzeige 

fK10n / fd11, detailansicht 

doppelklick 


Seite 122 

2 Organisationseinheiten im internen 



ziele riSiKO 


richtige und zweckdienliche 

abbildung der controllingstrukturen 






Verarbeitung wird durch eine 

aufzeichnung der änderungen an 

zentralen rechnungslegungsrelevanten 

Steuerungstabellen 

sichergestellt 






änderungen an Organisationseinheiten 


Verantwortungsgerechte zuordnung 

der controllingobjekte zu Profit centern 

die kostengleichen aufwendungen im 

fi werden richtig und zeitnah in das 

controlling übernommen 

änderungen an den Kostenarten sind 

autorisiert und im einklang mit der 

beschlossenen controllingstruktur 

die informationen der controllingobjekte 

sind richtig und aktuell 

der Kostenrechnungskreis im controlling ist nicht richtig 

definiert 

die Standardhierarchie in der Kostenstellenrechnung ist falsch 

aufgebaut 

die Standardhierarchie in der Profit center-rechnung ist falsch 

aufgebaut und gefährdet die richtige Segmentberichtserstattung 

änderungen an zentralen rechnungslegungsrelevanten 

Steuerungstabellen werden nicht aufgezeichnet und sind nicht 


Unbekannte Organisationseinheiten in der Kostenstellerechnung 

können nicht beurteilt werden 

Unbekannte Organisationseinheiten in der auftragsrechnung 


änderungen an Standardhierarchien und Organisationselementen 

werden von nicht autorisierten Personen vorgenommen 

falsche zuordnung der Stammdaten zu den Profit centern 

Kostenarten sind nicht richtig gepflegt 

Kostenarten werden unautorisiert angelegt und gefährden den 

richtigen ausweis der Geschäftsvorfälle 

Kostenstellen werden unautorisiert geändert und führen 

besonders bei änderungen der zuordnung zur Standard- 

hierarchie zu falschen ergebnissen

ziele riSiKO 

2.1.3 Belege 



Personen 

Keine Gefährdung durch unzulässige 

funktionshäufungen bei einzelnen 

Personen 



Personen 

die verursachungsgerechte Buchung 

von Kosten zu den richtigen 

controllingobjekten ist gewährleistet 


Buchungen werden durch Unberechtigte vorgenommen 

Buchungen können von Personen vorgenommen werden, die 

zusammen mit ihren anderen Berechtigungen eine funktionshäufung 

besitzen 

Unberechtigte Personen buchen Kosten auf Kostenstellen 

Kosten werden Kostenstellen nicht verursachungsgerecht 

belastet 



der Kostenrechnungskreis im 

controlling ist nicht richtig 

definiert 

die Standardhierarchie in der 

Kostenstellenrechnung ist falsch 

aufgebaut 

die Standardhierarchie in der 

Profit center-rechnung ist falsch 

aufgebaut und gefährdet die 

richtige Segmentberichtserstattung 

der Kostenrechnungskreis ist 

entsprechend den Unternehmensvorgaben 

richtig definiert, 

die richtigen Buchungskreise 

und der richtige ergebnisbereich 

sind zugeordnet 

die Kostenstellenhierarchie 

entspricht den Unternehmensvorgaben 

und die Kostenstellen 

sind richtig eingeordnet 

die Profit center-Standardhierarchie 

entspricht den Unternehmensvorgaben 

und die Profit 

center sind richtig eingeordnet 

imG → Unternehmensstruktur → 

zuordnung → controlling (OX19) 

imG → controlling → controlling 

allgemein → Organisation (OKKP) 

SaP menu → rechnungswesen 

→ controlling → Kostenstellenrechnung 

→ Stammdaten → 

Standardhierarchie → anzeigen 

(OKenn) 

SaP menu → rechnungswesen 

→ controlling → Profit center- 

rechnung → Stammdaten → 

Standardhierarchie → anzeigen 

(Och6n) 


Seite 124 

2 Organisationseinheiten im internen 



änderungen an zentralen 

rechnungslegungsrelevanten 

Steuerungstabellen werden nicht 

aufgezeichnet und sind nicht 



in der Kostenstellenrechnung 

können nicht beurteilt 

werden 


in der auftragsrechnung 


änderungen an Standardhierarchien 

und Organisationselementen 

werden von nicht autorisierten 



falsche zuordnung der 

Stammdaten zu den Profit centern 

Kostenarten sind nicht richtig 

gepflegt 

die tabellenprotokollierung ist 

grundsätzlich im System 

aktiviert. definierte tabellen 

werden regelmäßig auf 

auffälligkeiten kontrolliert. 



verwendet 



verwendet 

änderungen an Standardhierarchie 

und Organisationselementen 


Personen durchgeführt 

die eingepflegten zuordnungen 

der Stammdaten müssen der 

Verantwortlichkeit im Unternehmen 

sowie den intern oder 

extern berichtspflichtigen 

einheiten entsprechen 

alle aufwandskonten, die Kosten 

aufnehmen, sind im controlling 

als primäre Kostenarten gepflegt: 

Vergleich der aufwandskontenliste 

mit der Kostenartenliste 

rSParam Parameter rec / client, 

auswertung der Protokolle über 

rStBhiSt 

System – audit → aiS - System 

audit – repository / tabellen → 

tabellenaufzeichnungen → 

Systemparameter 

(S_alr_87101223) 

imG → controlling → Kostenstellenrechnung 


Kostenstellen → Kostenstellenarten 

imG → controlling → innenaufträge 

→ auftragsstammdaten → 

auftragsarten definieren 

Se16, tabelle USOBt 

System – audit → aiS – System 

audit – Benutzer und Berechtigungen 

→ welcher Benutzer darf 

… (rSUSr002) 

imG → controlling → Profit 

center- rechnung → zuordnungen 

von Kontierungsobjekten 

zu Profit centern → zuordnungen 

überprüfen 

aiS → Kaufmännisches audit – 

einzelabschluß → aiS – interne 

leistungsverrechnung → 

Stellenrechnung / innenaufträge 

→ Stammdaten → Kostenarten: 

Stammdatenbericht


Kostenarten werden unautorisiert 

angelegt und gefährden den 

richtigen ausweis der Geschäftsvorfälle 

Kostenstellen werden unautorisiert 

geändert und führen 

besonders bei änderungen der 

zuordnung zur Standardhierarchie 

zu falschen ergebnissen 

2.2.3 Belege 

Buchungen werden durch 

Unberechtigte vorgenommen 

Buchungen können von 


werden, die zusammen mit ihren 

anderen Berechtigungen eine 

funktionshäufung besitzen 

Unberechtigte Personen buchen 

Kosten auf Kostenstellen 

Kosten werden Kostenstellen 

nicht verursachungsgerecht 

belastet 

anlegen und ändern von 

Kostenarten werden nur in 

einem formalisierten änderungs- 

verfahren durchgeführt. 

änderungen werden regelmäßig 

analysiert 

die einstellungen der Kostenstellen 


Personen geändert. 


Sachkontenbuchungen durch 

die gleiche Person darf nicht 

Kreditoren-, debitoren- und 

Sachkonten bebuchen dürfen 


Stornobuchungen durch 

Kosten werden in controlling 

verursachungsgerecht gebucht 





→ Stammdaten → Kostenarten: 

Stammdatenbericht 

feld „angelegt von“ einblenden 

SaP menue → rechnungswesen 

→ controlling → Kostenstellenrechnung 


Kostenstellen → einzelbearbeitung 

→ änderungen anzeigen 




→ Sachkonten, Konto – Belege 

→ übersicht → einzelposten 

(alV- Bericht: feld „name des 

Benutzers“ aufnehmen) 

Se16, USOBt: Berechtigungsobjekte 

für bspw. fB01: f_BKPf_ 

BeS, f_BKPf_Bed, f_BKPf_ 

BeK 

rSUSr002: welche User haben 

diese Berechtigungsobjekte? 





→ einzelposten / Belege → 

Kostenrechnungsbelege ist 





→ einzelposten / Belege → 

Kostenstelle einzelposten ist 


Seite 126 

3 Beschaffungsprozeß (purchase to pay) 


ziele riSiKO 


Kreditorenstammdaten sind 

vollständig, richtig und zeitnah gepflegt. 

Kreditorenstammdaten werden in 

einem geregelten Verfahren angelegt, 

geändert oder gelöscht. 

die auf den Kreditoren erfassten 

Vorgänge werden korrekt im 

hauptbuch ausgewiesen (richtige 

definition des abstimmkontos) 

eine wirksame trennung von Pflege 

der Stammdaten und erfassung der 

Bewegungsdaten verhindert dolose 

handlungen. 

änderungen an Kreditoren sind 

autorisiert 

der ausweis der Verbindlichkeiten 

entspricht den Bilanzierungsvorschriften. 

die erfassten Verbindlichkeiten 

enthalten nur die vom Unternehmen 

tatsächlich bezogenen leistungen 

richtiger ausweis der Verbindlichkeiten 

3.1.2 Bestellvorgang 

der zugriff auf die einkaufsdaten und 

funktionen ist restriktiv ausgestaltet 

unter einhaltung von funktionstrennungsgesichtspunkten 

und dem 

4-augenprinzip 

es werden nur autorisierte Beschaffungsvorgänge 

initiiert. die Beschaffungsrichtlinien 

und zeichnungsrichtlinien 

werden eingehalten 

die unterschiedlichen Sichten der Kreditorenstammdaten sind 

nicht konsistent gepflegt (einkausssicht / Buchhaltungssicht) 

Unautorisierte Pflege von Kreditorenstammdaten 

falscher ausweis im hauptbuch 

einmallieferanten werden mißbräuchlich verwendet. 

Unautorisierte änderungen an Kreditoren gefährden die 

integrität der Stammdaten. 

ein erforderlicher ausweis nach den Bilanzierungsvorschriften 

erfolgt nicht (abstimmkonten sind falsch definiert) 

lieferantenrechnungen werden doppelt erfasst 

falsche Bildung von Unternehmensstrukturen im customizing 

(zuordnung von einkaufsorganisationen zu Buchungskreisen) 

Betrügerische handlung aufgrund einer unzureichenden 

funktionstrennung von Stammdatenpflege Kreditoren und 

durchführung von Beschaffungsvorgängen 

Bestellungen werden ohne Bestellanforderungen angelegt

ziele riSiKO 

es werden nur autorisierte 

Bestellungen initiiert. die Beschaffungsrichtlinien 

und zeichnungsrichtlinien 

werden eingehalten 

es werden nur autorisierte Bestellungen 

initiiert. die Beschaffungsrichtlinien 

und zeichnungsrichtlinien werden 

eingehalten 

3.1.3 Rechnungsprüfung 



tatsächlich bezogenen und genehmigten 

leistungen 




leistungen 




leistungen 




leistungen 

die Verbindlichkeiten beruhen auf 

genehmigten Beschaffungsvorgängen 

und wurden genehmigt bezogen. 

die Verbindlichkeiten beruhen auf 

genehmigten Beschaffungsvorgängen 

und wurden genehmigt bezogen. 

es werden keine auszahlungen bei 

Kreditoren getätigt, bei denen 

gleichzeitig ein ausfallrisiko bei 

Offenen forderungen besteht 

die freigabestrategie von Bestellanforderungen ist nicht 

Unternehmenskonform ausgeprägt 

zu nicht freigegebenen Bestellanforderungen werden 

Bestellungen angelegt 

es werden Verbindlichkeiten für nicht erbrachte leistungen 

direkt auf den Kreditoren erfasst. 

eingangsrechnungen werden mit einem zu hohen Betrag erfasst 

(und ausbezahlt). 

eingangsrechnungen werden mit einem zu hohen Betrag erfasst 


Unzureichende ausgestaltung des 3-wege matches durch 

mangelhafte einstellungen des we / re Kontos 

ausgewiesene Verbindlichkeiten zum Bilanzstichtag haben 

keinen Bestand. 

ausgewiesene Verbindlichkeiten zum Bilanzstichtag haben 

keinen Bestand oder sind zu niedrig ausgewiesen. 

es werden auszahlungen für Verbindlichkeiten getätigt, bei 

Kreditoren mit uneinbringlichen forderungen (z. B. durch 

mögliche insolvenzgefährdung des Kreditors) 


Seite 128 


ziele riSiKO 

alle ausgewiesenen Verbindlichkeiten 

bestehen zum Bilanzstichtag 

alle ausgewiesenen Verbindlichkeiten 


die Bewertung der Verbindlichkeiten 

entspricht den Bewertungsvorschriften 

der GaaP / hGB. 

es werden keine auszahlungen bei 

Kreditoren getätigt, bei denen 

gleichzeitig ein ausfallrisiko bei 

Offenen forderungen besteht 


haupt- und nebenbücher stimmen nicht überein 


es werden Verbindlichkeiten ausgewiesen, die keinen Bestand 

haben 

es werden auszahlungen für Verbindlichkeiten getätigt, bei 

Kreditoren mit uneinbringlichen forderungen (z. B. durch 

mögliche insolvenzgefährdung des Kreditors) 



die unterschiedlichen Sichten 

der Kreditorenstammdaten sind 

nicht konsistent gepflegt 

(einkaufssicht / Buchhaltungssicht) 

Unautorisierte Pflege von 

Kreditorenstammdaten 


überprüfung der vollständigen 

und konsistenten Pflege der 

Stammdatensichten 

überprüfung wer wann welche 

Kreditoren angelegt hat (in 

Stichproben) 

überprüfung, ob alle Kreditoren 

ein abstimmkonto zugewiesen 

haben, überprüfung der 

inhaltlichen richtigkeit in 

Stichproben 

rfKKaG00 

rfKKVz00 


- Bilanz - Passiva - Verbindlichkeiten 

- aiS - Kreditoren - 

Stammdaten - Stammdaten - 

übersicht - S_alr_87101118 

– Kontenverzeichnis 

databrowser Se16, tabelle lfB1, 

Selektion auf dem feld 

abstimmkonto 



- aiS - Kreditoren – 

Stammdaten → Stammdaten 

- data Browser - Se16_lfB1 - 

lfB1 = lieferantenstamm 

(Buchungskreis)


einmallieferanten werden 

missbräuchlich verwendet. 


Kreditoren gefährden die 


ein erforderlicher ausweis nach 

den Bilanzierungsvorschriften 

erfolgt nicht (abstimmkonten 

sind falsch definiert) 

lieferantenrechnungen werden 

doppelt erfasst 

falsche Bildung von Unternehmensstrukturen 


(zuordnung von einkaufsorganisationen 

zu Buchungskreisen) 

überprüfung der angelegten cpd 

Konten, dass nur Vorgänge mit 

geringen Beträgen erfasst 

werden 

überprüfung der änderungen an 

Kreditorenstammdaten. 

änderungen an Stammdaten 

werden korrekt aufgezeichnet. 

überprüfung der abstimmkonten 

auf korrekte definition. 

automatische Prüfung auf 

doppelte lieferantenrechnungen 

bei erfassung der eingangsrechnungen 

durch Pflege des feldes 

„doppelte lieferantenrechnungen“ 

im Stammsatz 

die Unternehmensstrukturen 

sind korrekt gebildet und bilden 

die rechtlichen Gegebenheiten 

korrekt im System wieder. 

report rfKKVz00, Selektion cpd 

Konten, anzeige der Konten 

fK10n 



- aiS - Kreditoren - 

Stammdaten aiS - Verbindlichkeiten 

- Kreditoren, Konto → 

Salden - übersicht - Saldenliste 

cPd 

änderungsreport rfKaBl00, 

einstellungen zum änderungsreport 

in der tabelle t077K 

Bilanz - aktiva - forderungen 

- aiS – forderungen- debitoren, 

Konto → Salden - übersicht - 

Saldenliste cPd 

rfKSld00 (Selektion auf 

abstimmkonten Kreditoren) 


- aiS - Organisatorische 

übersicht abstimmkonten 

S_alr_87101046 – abstimmkonten 

Pflege des feldes „doppelte 

lieferantenrechnungen“ in der 

tabelle lfB1 


- aiS - debitoren - Stammdaten 

- Stammdatencontrols - 

Stammdatenänderungen 

- S_alr_87101066 - liste (Batch !) 

einsicht im customizing über die 

zuordnungen 

transaktion SPrO – referenzimG 

– Unternehmensstruktur – 

zuordnung – materialwirtschaft 

– einkaufsorganisation – 

Buchungskreis zuordnen 


Seite 130 



3.2.2 Bestellvorgang 

Betrügerische handlungen 

aufgrund einer unzureichenden 

funktionstrennung von 

Stammdatenpflege Kreditoren 

und durchführung von 

Beschaffungsvorgängen 

Bestellungen werden ohne 

Bestellanforderungen angelegt 

die freigabestrategie von 

Bestellanforderungen ist nicht 

Unternehmenskonform 

ausgeprägt 

zu nicht freigegebenen 

Bestellanforderungen werden 

Bestellungen angelegt 

3.2.3 Rechnungsprüfung 

es werden Verbindlichkeiten für 

nicht erbrachte leistungen direkt 

auf den Kreditoren erfasst. 

eingangsrechnungen werden mit 

einem zu hohen Betrag erfasst 


funktionstrennung zwischen 

Bestellanforderung, Bestellung 

und wareneingang sollte 

systemseitig sichergestellt und 

wirksam sein 

Prüfung, ob Bestellungen ohne 

Bezug zu Bestellanforderungen 

existieren 

die freigabestrategie für 

Bestellanforderungen entsprechend 

der durch das Unternehmen 

definierten Beschaffungsrichtlinie 

die Bestellung kann nur mit 

Bezug zu einer freigegeben 

Bestellanforderung angelegt 

werden 

lieferantenrechnungen können 

nur mit einer Bestellnummer 

erfasst werden. erfasste 

rechnungen, bei denen noch 

kein wareneingang erfolgt ist 

sind zur Bezahlung gesperrt. 

rechnungspositionsbetragsprüfung. 

lediglich innerhalb eng 

definierter toleranzgrenzen 

können eingangsrechnungen mit 

abweichungen zum Bestellpreis 

im System erfasst werden. 

Keine Vergabe der transaktionen 

fK01 zzgl. Ber.obj. f_lfa1_BUK 

akt 01 und den transaktionen 

me21n, miGO, mirO zzgl. Ber.obj. 

(siehe oben) 

analyse über rSUSr002 

Systemaudit - infosystem 

Benutzer & Berechtigungen 

liste der Bestellungen: SaP 

Quick Viewer, join der tabellen 

eKKO und eKPO mit anzeige der 

entsprechenden felder 

imG → materialwirtschaft → 

einkauf → Bestellanforderungen 

→ freigabestrategie 

report rSUSr002: Prüfung auf 

Berechtigungsobjekt m_einK_frG 

liste der Bestellungen: SaP 

Quick Viewer, join der tabellen 

eKKO und eKPO mit anzeige der 

entsprechenden felder 

analyse der tabelle BKPf auf 

Belege ungleich transaktionscode 

mirO (hierzu ist es 

erforderlich die tabellen 

BSiK / BSaK mit der tabelle 

BKPf zu joinen – datenanalysesoftware) 

customizing transaktion Omrh, 

Omri, Omr6 

Omrh = aktivierung Sperren wg. 

Positionsbetrages muss für den 

Buchungskreis gesetzt sein 

Omri = rechnungsprüfung: 

Prüfung auf Betragshöhe muss 

gesetzt sein 

Omr6 = toleranzgrenzen müssen 

angemessen gepflegt sein


eingangsrechnungen werden mit 

einem zu hohen Betrag erfasst 


Unzureichende ausgestaltung 

des 3-wege matches durch 

mangelhafte einstellungen des 

we / re Kontos 

ausgewiesene Verbindlichkeiten 

zum Bilanzstichtag haben keinen 

Bestand. 

ausgewiesene Verbindlichkeiten 

zum Bilanzstichtag haben keinen 

Bestand oder sind zu niedrig 

ausgewiesen. 

es werden auszahlungen für 

Verbindlichkeiten getätigt, bei 

Kreditoren mit uneinbringlichen 

forderungen (bspw. durch 

mögliche insolvenzgefährdung 

des Kreditors) 

3-wege abstimmung über das 

wareneingangs- rechnungseingangskonto. 

zeitnahe Pflege und 

Klärung aller differenzfälle. 

die einstellungen des we / re 

Kontos sind angemessen (nur 

maschinell bebuchbar) 

die Kreditorenumsätze werden 

plausibilisiert. 

es werden Saldenbestätigungen 

von lieferanten eingeholt 

automatische Verrechnung von 

Offenen Posten bei debitorischen 

Kreditoren (mit insolvenzgefährdung 

/ drohender zahlungsunfähigkeit) 

identifikation des we / re Kontos 

über den in Verwendung 

stehenden Kontenplan 

transaktion f.10 und analyse des 

Pflegestandes des we / re 

Kontos über transaktion fS10n 


- Bilanz - aktiva - aiS 

– Vorratsvermögen - Konsistenzprüfungen 

- S_P6B_12000135 

- we / re-Saldenliste 

identifikation des we / re Kontos 

über den in Verwendung 

stehenden Kontenplan 

transaktion f.10 und analyse der 

einstellungen des we / re 

Kontos über transaktion fS00 

zzgl. änderungshistorie über fS04 

managementreview des reports 

rfKUml00 


- Bilanz - Passiva - 

Verbindlichkeiten - aiS - Verbindlichkeiten 

- Kreditoren, 

Konto → Salden - übersicht 

- Umsatzauswahl nach Betrag 

transaktion f.18 

Stammdatenpflege / customizing 

feld im debitorenstammsatz 

gesetzt Verrechung mit Kreditor 

(KnB1 – feld XVerr) und feld 

im Kreditorenstammsatz gesetzt 

Verrechnung mit debitor XVerr 


Seite 132 



haupt- und nebenbücher 

stimmen nicht überein 



es werden Verbindlichkeiten 

ausgewiesen die keinen Bestand 

haben 

abstimmung von haupt- und 

nebenbücher zum Jahresabschluss 

regelmäßige automatisierte 

abstimmung von haupt- und 

nebenbücher 

analyse der altersstruktur der 

Offenen Posten 

abstimmung der reports 

rfKSSldO mit rfhaBU00 




- abstimmung / 

Große Umsatzprobe 

report SaPf190 




- abstimmung / 

Große Umsatzprobe 

report rfKOPr10 




fiaP - infosystem 

- S_alr_87010027 - Kreditoren 

info-System

4 Kalkulationsprozess 


ziele riSiKO 

4.1.1 Stammdaten und Customizing 

richtige Pflege der materialstammsätze der materialstammsatz ist unzutreffend gepflegt 

richtiger ansatz der internen 

Verrechnungspreise 

richtiger ansatz der internen 

Verrechnungspreise 

zweckentsprechende Bewertung der 

ressourcen, um richtige herstellkosten 

zu ermitteln 

Verursachungsgerechte weiterverrechnung 

von Gemeinkosten auf die 

Kostenträger 

4.1.2 Durchführung 

Sicherheit vor Kalkulationen durch 

unautorisierte Personen 

Sicherheit vor materialbewertungs 

änderungen durch unautorisierte 

Personen 

4.1.3 Ergebnisse / Auswertungen 

richtiger Standardpreis im 

materialstammsatz 

Stetige Bewertung des materials im 

lager 

richtige Bewertung des materials im 

lager 

richtiger ausweis der herstellkosten 

richtiger ausweis der herstellkosten 

und Sicherheit für die Bewertung von 

materialbeständen 

die tarife der leistungsarten sind falsch gepflegt 

die Kostenstellentarife sind zwar im durchschnitt gut, haben 

aber hohe periodenbezogene Schwankungen 

die Kalkulationsvariante verwendet unzweckmäßige Bewertungen 

die Kalkulationsvariante verwendet unzweckmäßige Gemeinkostenverrechnungen 

Kalkulationen werden von unautorisierten Personen durchgeführt 

Kalkulationen werden von unautorisierten Personen vorgemerkt 

und freigegeben 

der Standardpreis im materialstammsatz stammt nicht aus 

einer freigegebenen erzeugniskalkulation 

die Standardpreise im materialstamm werden unangemessen 

häufig verändert 

die änderung der Standardpreise im materialstamm ist 

auffallend / unangemessen hoch 

die materialpreise in den Preisfeldern sind stark unterschiedlich 

Seite 133

Seite 134 

4 Kalkulationsprozess 




der materialstammsatz ist 

unzutreffend gepflegt 

die tarife der leistungsarten 

sind falsch gepflegt 

die Kostenstellentarife sind zwar 

im durchschnitt gut, haben aber 

hohe periodenbezogene Schwankungen 

die Kalkulationsvariante 

verwendet unzweckmäßige 

Bewertungen 

die Kalkulationsvariante 

verwendet unzweckmäßige 

Gemeinkostenverrechnungen 

die materialstammsätze 

stichprobenartig oder in 

listenform prüfen 

die Kostenstellentarife auflisten 

und auf unsinnige werte oder auf 

hohe abweichungen gegenüber 

den vergangenen Jahren prüfen 

die Kostenstellentarife auflisten 

und auf unsinnige werte oder auf 

hohe abweichungen gegenüber 

den vergangenen Jahren prüfen 

Bewertungsvariante in der 

Kalkulationsvarianten prüfen 

Bewertungsvariante in der 

Kalkulationsvarianten prüfen 

logistik → materialwirtschaft → 

materialstamm → material 

anzeigen 


materialstamm → Sonstige → 

materialverzeichnis 

controlling → Kostenstellenrechnung 

→ infosystem → tarife 

→ Kostenstellen: leistungsartentarife 


→ infosystem → 

weitere Berichte → leistungsarten: 

Periodenaufriss 

imG → controlling → Produktkosten-controlling 

→ Produktkostenplanung 

→ materialkalkulation 

mit mengengerüst → 

Kalkulationsvarianten definieren: 

Preisfindungsstrategien prüfen 



→ materialkalkulation 

mit mengengerüst → 

Kalkulationsvarianten definieren: 

Kalkulationsschema prüfen


4.2.2 Durchführung 

Kalkulationen werden von 

unautorisierten Personen 

durchgeführt 

Kalkulationen werden von 

unautorisierten Personen 

vorgemerkt und freigegeben 


der Standardpreis im materialstammsatz 

stammt nicht aus 

einer freigegebenen erzeugniskalkulation 

die Standardpreise im material- 

stamm werden unangemessen 

häufig verändert 

die änderung der Standardpreise 

im materialstamm ist 

auffallend / unangemessen hoch 

die materialpreise in den Preis- 

feldern sind stark unterschiedlich 

Kalkulationen auflisten und 

deren erfasser anzeigen 

Berechtigungen der mitarbeiter 

prüfen 

materialstammsätze auflisten und 

deren änderungen durch freigabe 

von Kalkulationen anzeigen 

Berechtigungen der mitarbeiter 

prüfen 

Kalkulationen zu den materialien 

auflisten und auf Status 

„freigegeben“ prüfen. mit liste 

der materialstammsätze 

vergleichen 


mit Status „freigegeben“ auflisten: 

datum prüfen 


mit Status „freigegeben“ auflisten: 

abweichungen vom Standardpreis 

prüfen 

materialpreise im Vergleich auflisten 

und auf abweichungen untersuchen 

rechnungswesen → controlling 

→ Produktkosten-controlling → 

Produktkostenplanung → 

infosystem → Objektliste → zum 

material → analyse / Vergleich 

von materialkalkulationen 

Se16, USOBt, Berechtigungsobjekt 

K_KeKO, report rSUSr002 


materialstamm → material → 

Stammdaten → anzeigen → 

anzeigen aktueller Stand, dann 

änderungsbeleg anschauen 

Se16, cdhdr, Objektklasse material 

Se16, USOBt, Berechtigungsobjekt 

K_fVmK, report rSUSr002 

controlling → Produktkostenrechnung 



Objektliste zum material → 

analyse / Vergleich von materialkalkulationen 





analyse / Vergleich von materialkalkulationen: 

layout 1SaP03, 

datum einblenden, nach datum 

sortieren 





analyse / Vergleich von materialkalkulationen: 

layout 1SaP03, 

datum einblenden, nach datum 

sortieren 

Se16, mBew, Preisfelder 

anzeigen lassen 


Seite 136 

5 Periodisches Controlling bei einem 

Lagerfertigungsprozess 


ziele riSiKO 


ein zum logistischen Prozess 

passendes und adäquates controlling 

soll gewährleistet werden. die richtige 

Steuerung der fertigungsaufträge 

ermöglicht die richtige ermittlung der 

ware in arbeit beim Periodenabschluss 

die Bewertung der logistischen 

ressourcenverbräuche geschieht mit 

angemessenen Preisen bzw. tarifen. 

dies ermöglicht eine gute mitlaufende 

Kalkulation auf den Kostenträgern. 

5.1.2 Durchführung / Belege 

die disposition soll richtige Bedarfe 

ausweisen und diese sollen in einem 

angemessenem zeitraum gedeckt 

werden 

die logistischen ressourcenverbräuche 

werden zeitnah und mengengerecht 

gebucht, um eine gute mitlaufende 

Kalkulation zu ermöglichen. 

die fertigungsprozesse werden in 

angemessenem zeitraum durchgeführt 

und die Kostenträger entsprechend 

mitgeführt 


abweichungen der Produktion 

werden schnell erkannt, damit ein 

korrigierendes eingreifen noch 

möglich ist 

falsche auftragsarten steuern das controlling anders als im 

Unternehmen erwartet. dies kann zu falschen auftragswerten 

führen, die auch auswirkungen auf Bilanz und GuV haben 

können 

die Verwendung schlecht gepflegter Kalkulationsvarianten 

kann zu ungewöhnlich hohen abweichungen oder unerwarteten 

abweichungskategorien führen, die die erfolgsrechnung verfälschen 

Planaufträge werden lange zeit nicht in fertigungsaufträge 

umgesetzt. dies deutet auf Störungen in der disposition oder 

fertigung hin 

die Verbrauchsbuchungen auf den Kostenträgern werden 

zeitlich unkorrekt gebucht. dies kann durch verspätete 

rückmeldungen oder warenbewegungsbuchungen 

verursacht werden 

fertigungsaufträge werden lange zeit nicht endgeliefert. dies 

deutet auf eine Störung bei der Beschaffung von ressourcen 

oder bei der fertigung hin. ebenfalls könnten verspätete oder 

unterlassene rückmeldungen / Buchungen aufgetreten sein 

die fertigung erzielt hohe abweichungen, deren auftreten nicht 

bemerkt wird




falsche auftragsarten steuern 

das controlling anders als im 

Unternehmen erwartet. dies 

kann zu falschen auftragswerten 

führen, die auch auswirkungen 

auf Bilanz und GuV haben können 

die Verwendung schlecht 

gepflegter Kalkulationsvarianten 

kann zu ungewöhnlich hohen 

abweichungen oder unerwarteten 

abweichungskategorien 

führen, die die erfolgsrechnung 

verfälschen 


Planaufträge werden lange zeit 

nicht in fertigungsaufträge 

umgesetzt. dies deutet auf 

Störungen in der disposition 

oder fertigung hin 

die auftragsart ist auf periodisches 

controlling eingestellt 

und wird auch für den fertigungs 

auftrag so verwendet 

im customizing tabelle 

Vorschlagswerte nachschauen 

im fertigungsauftrag bei der 

abrechnungsregel „per“ 

(periodische abrechnung) 

verifizieren 

die Kalkulationsvariante ist 

entsprechend den beschlossenen 

Vorgaben im Unternehmen 

eingestellt 

Kalkulationsvariante analysieren, 

besonders Bewertungsvariante 

auftragsbericht aufrufen, 

leistungstarif prüfen 

alter der Planaufträge analysieren 

und auf abweichungen zum 

Standarddurchlauf des Produkt- 

ionsprozesses hin untersuchen 

in der Bedarfs- / Bestandsliste die 

Situation der materialien überprüfen 

Planaufträge auflisten und nach 

alter sortieren 


→ Kostenträgerrechnung 

→ auftragsbezogenes 

Produktcontrolling → 

Produktionsaufträge → 

auftragsarten überprüfen (KOt2 ) 




Produktcontrolling → Produktionsaufträge 

→ Kostenrechnungsrelevante 

Vorschlagswerte 

je auftragsart / werk pflegen 




Produktcontrolling → 


Kalkulationsvariante für 

Produktionsaufträge überprüfen 

(OPl1) 

logistik → Produktion → 

Bedarfsplanung → Planauftrag 

→ anzeigen → Sammelanzeige 

(md16) 


Seite 138 

5 Periodisches Controlling bei einem 

Lagerfertigungsprozess 


die Verbrauchsbuchungen auf 

den Kostenträgern werden 

zeitlich unkorrekt gebucht. dies 

kann durch verspätete 

rückmeldungen oder warenbewegungsbuchungen 

verursacht werden 

fertigungsaufträge werden lange 

zeit nicht endgeliefert. dies 

deutet auf eine Störung bei der 

Beschaffung von ressourcen 

oder bei der fertigung hin. 

ebenfalls könnten verspätete 

oder unterlassene rückmeldungen 

/ Buchungen aufgetreten 

sein 


die fertigung erzielt hohe 

abweichungen, deren auftreten 

nicht bemerkt wird 

die Verbrauchsbuchung erfolgt 

zeitgleich zum logistischen 

Verbrauch der ressource 

we Belege selektieren: gibt es 

unbewertete wareneingänge? 

rückmeldebelege selektieren 

alter der fertigungsaufträge 

analysieren und auf abweichungen 

zum Standarddurchlauf des 

Produktionsprozesses hin 

untersuchen 

im informationssystem die 

aufträge auflisten lassen, die 

älter als eine bestimmte 

zeitspanne sind. 

auftragsberichte: 

Soll- istkosten- Vergleich 


Bestandsführung → Umfeld → 

listanzeigen → materialbelege 


infosystem → auftragsinfosystem 


infosystem → auftragsinfosystem 


→ Produktkosten-controlling → 

Kostenträgerrechnung → 

auftragsbezogenes Produktcontrolling 

→ infosystem → Berichte 

zum auftragsbezogenen Produkt- 

controlling → Objektliste → 

auftragsselektion

6 Vertriebsprozeß: Verkauf vom Lager (order to cash) 


ziele riSiKO 


Unternehmensstrukturen und 

Organisationseinheiten werden im 

System korrekt abgebildet 

aufträge werden vollständig, zeitnah, 

mit der richtigen Belegart, zu 

autorisierten Konditionen im System 

erfasst und vollständig bis zum 

richtigen ausweis im hauptbuch 

verarbeitet. 

aufträge werden zu autorisierten 

Preisen verarbeitet und vollständig im 

hauptbuch ausgewiesen. manuelle 

Preisänderungen im auftrag sind 

nicht möglich. 

änderungen in aufträgen sind 

autorisiert und beruhen auf 

genehmigten Kundenzusagen 

aufträge werden zeitnah bearbeitet. 

aufträge im rückstand werden 

zeitnah überwacht und nachverfolgt. 


lieferungen im rückstand werden 

zeitnah bearbeitet. 

alle erbrachten leistungen werden 

vollständig, mit genehmigten 

Belegarten und zeitnah fakturiert. 

alle erbrachten leistungen werden 

vollständig, mit genehmigten 

Belegtypen und zeitnah fakturiert. 

alle fakturierten leistungen beruhen 

auf genehmigten Kundenaufträgen 

und auf korrekt erbrachten leistungen. 

ein funktionierendes mahnwesen 

sichert die werthaltigkeit der offenen 

Posten 


(zuordnung von Vertriebsbereichen zu Buchungskreisen) 

Kundenaufträge werden fehlerhaft im System erfasst und können 

nicht zeitnah bearbeitet werden. dies führt zu Umsatzverlusten. 

fehler im Belegfluss führen zu unvollständigen Geschäftsprozessen. 

(fehlender ausweis von forderungen und Umsatzerlösen) 

Unautorisierte, manuelle änderungen von Preisen bei der 

auftragsanlage (z. B. Standardpreis Pr00) 

Unautorisierte nachträgliche änderungen an Verkaufsaufträgen 

aufträge im rückstand werden nicht angemessen überwacht 

und im System gepflegt. 

lieferungen im rückstand führen zu Kundenverlusten und 

verlorenen Umsätzen 

leistungen werden systemseitig nicht vollständig fakturiert 

(fakturavorrat). es werden hierbei trotz leistung keine offenen 

Posten in der Buchhaltung erzeugt. 

aufgrund technischer Verarbeitungsfehler wird aus der faktura 

der Buchhaltungsbeleg nicht erzeugt (fehlerhafte Buchungsstatus) 

es werden forderungen für nicht erbrachte leistungen direkt 

auf den debitoren erfasst. 

Offene Posten werden nicht vollständig in das mahnwesen 

einbezogen. 


Seite 140 





Posten 



Posten 

die debitorenumsätze beruhen auf 

genehmigten Kundenaufträgen und 

es wurde korrekt geleistet 

die debitorenumsätze beruhen auf 

gültigen Kundenaufträgen und es 

wurde korrekt geleistet 

die forderungen sind werthaltig und 

entsprechen den anzuwendenden 

Bewertungsvorschriften 

wirksamer Vermögensschutz durch 

zielführenden einsatz von Kreditlimits 

wirksamer Vermögensschutz durch 

zielführenden einsatz von Kreditlimits 

alle ausgewiesenen forderungen 


die Bewertung der forderungen 

entspricht den Bewertungsvorschriften 

der GaaP / hGB. 

der ausweis der forderungen ent- 

spricht den Bilanzierungsvorschriften. 

debitorenstammdaten sind 

vollständig, richtig und zeitnah 

gepflegt. 

debitorenstammdaten werden in 

einem geregelten Verfahren angelegt, 

geändert oder gelöscht. 

die auf den debitoren erfassten 

Vorgänge werden korrekt im 

hauptbuch ausgewiesen (richtige 

definition des abstimmkontos) 

mahnverfahren sind unzureichend ausgestaltet, mahnstufen im 

System stimmen nicht mit Konzernvorgaben überein. 

mahnläufe werden in unregelmäßigen abständen durchgeführt 

ausgewiesene forderungen zum Bilanzstichtag haben keinen 

Bestand. 

ausgewiesene forderungen zum Bilanzstichtag haben keinen 

Bestand. 

mängel im Kreditlimitprozess führen dazu, dass Geschäfte 

getätigt werden, bei denen forderungen uneinbringlich werden 

können 

eingepflegte Kreditlimite werden nicht eingehalten (Offene Posten 

übersteigen das eingepflegte Kreditlimit ohne Genehmigung) 

Kreditlimite sind nicht vollständig gepflegt 


erforderliche wertberechtigungen werden nicht durchgeführt 

ein erforderlicher ausweis nach forderungen inland / ausland / 

Verbundene erfolgt nicht (abstimmkonten sind falsch definiert) 

die unterschiedlichen Sichten der debitorenstammdaten sind 

nicht konsistent gepflegt (Vertriebssicht / Buchhaltungssicht) 

Unautorisierte Pflege von debitorenstammdaten 

falscher ausweis im hauptbuch

ziele riSiKO 

eine wirksame trennung von Pflege 

der Stammdaten und erfassung der 

Bewegungsdaten verhindert 

betrügerische handlungen. 

änderungen an debitoren sind 

autorisiert 

richtiger ausweis der Umsätze und 

forderungen 

der zugriff auf die Vertriebsdaten und 



und dem 


der zugriff auf die Vertriebsdaten und 



und dem 



einmalkunden werden missbräuchlich verwendet. 

Unautorisierte änderungen an debitoren gefährden die 



(zuordnung von Vertriebsbereichen zu Buchungskreisen) 


funktionstrennung von Stammdatenpflege debitoren und 

erfassung und fakturierung von aufträgen 


funktionstrennung von der Buchung des zahlungseingangs und 

der fakturierung von aufträgen 





(zuordnung von Vertriebsbereichen 


Kundenaufträge werden 

fehlerhaft im System erfasst und 

können nicht zeitnah bearbeitet 

werden. dies führt zu Umsatzverlusten. 

fehler im Belegfluss 

führen zu unvollständigen 

Geschäftsprozessen. 

(fehlender ausweis von 

forderungen und Umsatzerlösen) 





die zeitnähe der Bearbeitung von 

Kundenaufträgen wird 

regelmäßig anhand definierter 

Kontrollreports überwacht. 

fehlerhafte Vorgänge werden 

umgehend korrigiert. 

imG - Unternehmensstruktur – 

zuordnung – Vertrieb 

imG - Unternehmensstruktur – zuordnung 

– Konsistenzprüfung - Unternehmensstruktur 

Vertrieb prüfen 

report rVaUferr (transaktion 

v.05: liste unvollständiger aufträge) 

korrekte definition des Unvollständigkeitsschemas 


(insbesondere zu achten auf 

Status beliefert – nicht fakturiert) 

imG → Vertrieb → Grundfunktionen 

→ Unvollständigkeit → 

Unvollständigkeitsschemata definieren 

/ zuordnen / Statusgruppen 

definieren 

aiS Kaufmännisches audit - einzelabschluss 

- G.u.V. - aiS - Umsatzerlöse 

- Verkaufsbelege- V.02 

- liste unvollständige aufträge 


Seite 142 



Unautorisierte, manuelle 

änderungen von Preisen bei der 

auftragsanlage (bspw. 

Standardpreis Pr00) 

Unautorisierte nachträgliche 

änderungen an Verkaufsaufträgen 


nicht angemessen überwacht 

und im System gepflegt. 

Systemeinstellungen lauten auf 

nicht änderbar für Standardpreise 

die änderungshistorie in 

aufträgen werden in Stichproben 

kontrolliert und geprüft, ob 

änderungen autorisiert und 

inhaltlich richtig durchgeführt 

wurden 


wöchentlich analysiert und 

gepflegt (nachlieferungen,…) 

transaktion V / 06 (Konditionsarten: 

Preisfindung Vertrieb) 

definition der Preisfindung auf 

nicht änderbar (änderungsmöglichkeit 

- einstellung d) 


→ G.u.V. → aiS 

- Umsatzerlöse → Preise 

transaktion Va03 (anzeige 

auftrag) – eingabe eines 

wesentlichen auftrages (bspw. 

identifiziert aus VBaK) menü 

Umfeld → änderungen 

aiS → Kaufmännisches audit 

- einzelabschluss → G.u.V. → 

aiS - Umsatzerlöse - Verkaufsbelege 

→ S_P6B_12000143 - 

änderungsbelege anzeigen 

transaktion v.15 

aufträge im rückstand, 

Vorgänge älter 6 monate sollten 

nicht vorliegen (abhängig vom 

Unternehmen) 



- Verkaufsbelege - 

V.15 - anzeigen rückständige 

aufträge



lieferungen im rückstand 

führen zu Kundenverlusten und 

verlorenen Umsätzen 

leistungen werden systemseitig 

nicht vollständig fakturiert 

(fakturavorrat). es werden 

hierbei trotz leistung keine 

offenen Posten in der Buchhaltung 

erzeugt. 

aufgrund technischer Verarbeitungsfehler 

wird aus der faktura 

der Buchhaltungsbeleg nicht 

erzeugt (fehlerhafte Buchungsstatus) 

es werden forderungen für nicht 

erbrachte leistungen direkt auf 

den debitoren erfasst. 

Offene Posten werden nicht 

vollständig in das mahnwesen 

einbezogen. 

lieferungen im rückstand 

werden täglich kontrolliert und 

bearbeitet 

der fakturavorrat wird zu jedem 

monatsabschluss bearbeitet und 

kontrolliert. zum Jahresabschluss 

ist sichergestellt, dass sich keine 

Geschäftsvorfälle aus vorangegangenen 

Geschäftsjahren im 

System befinden. 

das System wird wenigstens 

monatlich auf fehlerhafte 

Buchungsstatus in den fakturen 

kontrolliert. fehlerhafte fakturen 

werden zeitnah nachgebucht 

debitoren werden nur aus Sd mit 

existenten Kundenaufträgen 

bebucht bei denen korrekt 

geleistet wurde. Offene Posten 

werden auf direkte Buchungen 

analysiert. 

alle offenen Posten sind in das 

mahnverfahren einbezogen. 

transaktion Vl04 oder Vl10 

(Selektion auf Versandstelle) 



- Verkaufsbelege - 

V.02 - liste unvollständige 

aufträge 

transaktion vf04, Schalter 

fakturavorrat (es dürfen sich 

keine Geschäftsvorfälle aus 

vorangegangenen Geschäftsjahren 

im System befinden) 



- faktura - Vf04_aiS 

- fakturavorrat anzeigen 

transaktion VfX3, alle 

aufgezeigten Vorgänge müssen 

nachbearbeitet worden sein. 



- faktura - Vf04 - 

VfX3 - liste gesperrte fakturen 

analyse der tabelle BKPf auf 

Belege ungleich transaktionscode 

vf01 

(es ist hierzu erforderlich die 

tabellen BSid / BSad mit der 

tabelle BKPf zu joinen) 


- abschluss - allgemein 

- export Belegdaten 

analyse auf mahngesperrte 

offene Posten, databrowser se16 

tabelle KnB5, auswertung auf 

feld mahnsperre 


Seite 144 




mahnverfahren sind unzureichend 

ausgestaltet, mahnstufen 

im System stimmen nicht mit 

Konzernvorgaben überein. 

mahnläufe werden in unregelmäßigen 

abständen durchgeführt 

ausgewiesene forderungen zum 

Bilanzstichtag haben keinen 

Bestand. 

ausgewiesene forderungen zum 

Bilanzstichtag haben keinen 

Bestand. 

mängel im Kreditlimitprozess 

führen dazu, dass Geschäfte 

getätigt werden, bei denen 

forderungen uneinbringlich 

werden können 

eingepflegte Kreditlimite werden 

nicht eingehalten (Offene Posten 

übersteigen das eingepflegte 

Kreditlimit ohne Genehmigung) 

die im System hinterlegten 

mahnverfahren stimmen mit den 

Konzernvorgaben überein und 

sind wirksam ausgestaltet. die 

zuordnung der mahnverfahren ist 

korrekt. 

es wird laufend überprüft, ob 

regelmäßige, zeitnahe mahnläufe 

durchgeführt werden. 

die debitorenumsätze werden auf 

ihre werthaltigkeit und Plausibi- 

lität durch das management 

kontrolliert 

es werden Saldenbestätigungen 

von wesentlichen Kundenumsätzen 

eingeholt 

funktionierendes Kreditmanagement, 

alle debitoren haben ein 

genehmigtes, angemessenes 

Kreditlimit zugeordnet 

eingepflegte Kreditlimite sind 

genehmigt und werden eingehalten 

analyse der im System 

hinterlegten mahnverfahren im 

customizing transaktion OBl6, 

zuordnung der mahnverfahren 

über tabelle KnB5 

mahnhistorie transaktion f150 

managementreview des reports 

rfdUml00 


- Bilanz - aktiva 

- forderungen - aiS forderungen 

- debitoren, Konto → Salden - 

übersicht - Umsatzauswahl nach 

Betrag - S_alr_87101084 – inland 

transaktion f.17 

Bilanz - aktiva - forderungen- 

aiS - debitoren - Stammdaten 

- Kreditmanagement 

analyse der tabelle KnKK, 

transaktion fdK43 

rfdKli40 (ausschöpfungsgrad), 

analyse bei welchen debitoren 

die Offenen Posten das einge- 

pflegte Kreditlimit übersteigt 




übersicht - S_alr_87101107 – 

Kreditübersicht


Kreditlimite sind nicht vollständig 

gepflegt 



erforderliche wertberechtigungen 

werden nicht durchgeführt 

ein erforderlicher ausweis nach 

forderungen inland / ausland / 

Verbundene erfolgt nicht 

(abstimmkonten sind falsch 

definiert) 

die unterschiedlichen Sichten der 

debitorenstammdaten sind nicht 

konsistent gepflegt (Vertriebssicht 

/ Buchhaltungssicht) 

Unautorisierte Pflege von 

debitorenstammdaten 

Kreditlimitdaten sind vollständig 

gepflegt und genehmigt 

regelmäßige abstimmung von 


analyse der altersstruktur und 

wertberechtigungen der Offenen 

Posten 

überprüfung der abstimmkonten 

auf korrekte definition. 

überprüfung der vollständigen 

und konsistenten Pflege der 

Stammdatensichten 

überprüfung wer wann welche 

debitoren angelegt hat 

(in Stichproben) 

rfdKli10 




übersicht - controls - 

S_alr_87101108 - fehlende 

Kreditdaten 

SaPf190 


- Bilanz - aktiva - 

forderungen - aiS forderungen 

abstimmung / Große Umsatzprobe 

rfdOPr10 und f.10 / fs10n zur 

anzeige der wertberichtigungen 


- Bilanz - aktiva - 

forderungen - aiS forderungen 

- forderungsrisiken 

rfdSld00 (Selektion auf 

abstimmkonten debitoren über 

freie abgrenzungen) 


- aiS - Organisatorische 

übersicht abstimmkonten 

S_alr_87101046 – abstimmkonten 

report rfdKaG00 (Selektionsparameter: 

nicht angelegt in Buch- 

haltung, nicht angelegt im Vertrieb) 

rfdKVz00 (freie abgrenzung 

angelegt von anlegt am) 

Bilanz - aktiva - forderungen - 

aiS - debitoren - Stammdaten - 

übersicht - S_alr_87101061 – 

Kontenverzeichnis 


Seite 146 




einmalkunden werden 

missbräuchlich verwendet. 


debitoren gefährden die integrität 

der Stammdaten. 



(zuordnung von Vertriebsbereichen 


überprüfung, ob alle debitoren 

ein richtiges abstimmkonto 

zugewiesen haben, überprüfung 

der inhaltlichen richtigkeit in 

Stichproben 

überprüfung der angelegten cpd 

Konten, dass nur Vorgänge mit 

geringen Beträgen erfasst werden 

überprüfung der änderungen an 

debitorenstammdaten. 

änderungen an Stanmdaten 

werden korrekt aufgezeichnet. 





databrowser se16, tabelle KnB1, 

Selektion auf dem feld 

abstimmkonto 


aiS - debitoren - Stammdaten 

übersicht - data Browser - 

Se16_KnB1 - KnB1 = Kundenstamm 

(Buchungskreis) 

report rfdKVz00, Selektion cpd 

Konten, Saldenanzeige der 

Konten fd10n (weiterverzeigung 

in die einzelposten) 


- aiS – forderungen- debitoren, 

Konto → Salden - übersicht - 

Saldenliste cPd 

änderungsreport rfdaBl00, 

einstellungen zum änderungs 

report in der tabelle t077d 


aiS - debitoren - Stammdaten - 

Stammdaten controls - Stammdatenänderungen 

- S_alr_87101066 - liste (Batch!) 

einsicht im customizing über die 

zuordnungen 

transaktion SPrO – SaP-referenz-imG 

– Unternehmensstruktur 

– zuordnung – Vertrieb – Verkaufsorganisation 

– Buchungs- 

kreis zuordnen 

zusätzlich Konsistenzprüfung im 

customizing transaktion SPrO 

– SaP-referenz-imG – Unternehmensstruktur 

– Konsistenzprüfung


Betrügerische handlung aufgrund 

einer unzureichenden funktionstrennung 

von Stammdatenpflege 

debitoren und erfassung und 

fakturierung von aufträgen 

Betrügerische handlung 

aufgrund einer unzureichenden 

funktionstrennung von der 

Buchung des zahlungseingangs 

und der fakturierung von 

aufträgen 

es besteht eine funktionstrennung 

zwischen der Pflege von 

debitorenstammdaten und der 

erfassung und fakturierung von 

aufträgen 

es besteht eine funktionstrennung 

zwischen der Buchung des 

zahlungseingangs und der 

fakturierung von aufträgen 


Va01 (zzgl u .a. Berobj V_VKaK_ 

VKO akt. 01), Vf01 (zzgl. Ber.obj. 

u. a. V_VBrK_fKa akt01, V_ 

VBrK_VK0 akt01) und 

transaktion fd01 (zzgl. u .a. Ber. 

obj. f_Kna1_BUK akt 01) an den 

selben Benutzerstammsatz 


System audit - infosystem 



Vf01 (zzgl. Ber.obj. u .a. V_VBrK_ 

fKa akt01, V_VBrK_VK0 akt01) 

und transaktion f-28 (zzgl. Ber. 

obj. f_BKPf_BUK akt. 01) den 

selben Benutzerstammsatz 


System audit - infosystem 



Seite 148 

7 Periodenabschluß im internen Rechnungs 

wesen bei Lagerfertigung 


ziele riSiKO 


Gemeinkosten werden verursachungs- 

gerecht auf Kostenträger weiterverrechnet 

die abweichungen der Kostenträger 

werden richtig und verursachungsgerecht 

ausgewiesen 

richtige Bewertung und richtiger 

ausweis der ware in arbeit 

dito 

dito 

richtige Bewertung des ausschusses 



ausgewiesen 


dito 

richtige abrechnung / weiterverrechnung 

von ware in arbeit 

richtige abrechnung / weiterverrechnung 

von ausschuss und abweichungen 

durch die Verwendung ungewöhnlich hoher Gemeinkostenzuschläge 

werden die herstellkosten bzw. die abweichungen auf 

den kostenträgern verfälscht. die kann auswirkungen auf die 

wertansätze von Bilanz und GuV haben 

die Verwendung von periodengenauen tarifen bei den 

istbuchungen verrechnet die abweichung der Kostenstellen auf 

die Kostenträger weiter. die abweichungen der fertigung 

können dadurch erhöht oder konterkariert werden. eine liste 

der Kostenträger „nach Größe der abweichungen“ bringt nicht 

mehr die kritischen aufträge nach vorn 

die ware in arbeit wird falsch berechnet 

Bei der ware in arbeit werden teile der Kosten als „nicht 

aktivierungsfähig“ behandelt 

die ware in arbeit wird auf falsche Konten der finanzbuch- 

haltung abgerechnet 

der ausschuss wird in falscher höhe ausgewiesen 

der ausschuss wird falsch berechnet 

die abweichungen werden falschen abweichungskategorien 

zugeordnet und täuschen über die wahren Gründe der 

abweichungen hinweg 

die werte für wiP, ausschuss und abweichungen wurden nicht 

korrekt gespeichert und fehlen deshalb in übergreifenden 

Berichten und analysen 

die ware in arbeit wurde nicht oder falsch abgerechnet 

der Saldo des auftrags (auch abweichungen, ausschuss) wurde 

nicht oder falsch abgerechnet

ziele riSiKO 

7.1.3 Ergebnisse / Auswertung 

richtiger ausweis von wiP 

aufträge, die logistisch bereits fertig sind und für die keine 

nachlaufkosten mehr erwartet werden, bilden trotzdem noch 

ware in arbeit 

richtiger ausweis von wiP die ware in arbeit wird falsch berechnet 




durch die Verwendung 

ungewöhnlich hoher Gemeinkostenzuschläge 

werden die 

herstellkosten bzw. die 

abweichungen auf den 

kostenträgern verfälscht. die 

kann auswirkungen auf die 

wertansätze von Bilanz und GuV 

haben 

die Verwendung von periodengenauen 

tarifen bei den 

istbuchungen verrechnet die 

abweichung der Kostenstellen 

auf die Kostenträger weiter. die 

abweichungen der fertigung 

können dadurch erhöht oder 

konterkariert werden. eine liste 

der Kostenträger „nach Größe 

der abweichungen“ bringt nicht 

mehr die kritischen aufträge 

nach vorn 

die Gemeinkostenzuschlagssätze 

müssen adäquat und in ihrer 

höhe begründbar sein. 

idealerweise sind sie verursachungsgerecht. 

welches zuschlagsschema? 

Von was hängen die Prozentsätze 

ab? 

wie hoch sind die Prozentsätze? 

was wird bezuschlagt? 

die Bewertungsvariante ist auf 

die verwendeten tarife der 

leistungsarten hin zu überprüfen 

> Kalkulationsvariante 

analysieren, besonders die 

Bewertungsvariante 

> auftragsbericht aufrufen, 





Produkt-controlling → 

Grundeinstellungen für das 

auftragsbezogene Produktcontrolling 

→ Gemeinkostenzuschläge 

→ Kalkulationsschemata 

definieren 






Kalkulationsvarianten für die 

erzeugniskalkulation überprüfen 

(OPl1) 

controlling → Produktkostencontrolling 




infosystem → Berichte zum 


→ detailberichte → 

zu aufträgen 


Seite 150 




die ware in arbeit wird falsch 

berechnet 

Bei der ware in arbeit werden 

teile der Kosten als „nicht 


die ware in arbeit wird auf 

falsche Konten der finanzbuchhaltung 

abgerechnet 

der ausschuss wird in falscher 

höhe ausgewiesen 

die einstellungen zur automatischen 

Berechnung der ware in 

arbeit ist zu prüfen und stich- 

probenweise nachzurechnen 

welche Kalkulation wird für die 

ermittlung des wiP zu Sollkosten 

herangezogen? 



arbeit ist zu prüfen 

wie werden die Bestandteile der 

ware in arbeit kategorisiert und 

dementsprechend behandelt? 

die Kontenfindung zur Buchung 

der abgrenzungswerte ist richtig 

eingestellt 

einstellungen in der Buchungsregeltabelle 

prüfen 



arbeit ist zu prüfen und stich- 

probenweise nachzurechnen 

welche Kalkulation wird für die 

ermittlung des wertes des 

ausschusses herangezogen? 



→ Periodisches 


Periodenabschluss → ware in 

arbeit → Bewertungsvariante 

wiP und ausschuss (Sollkosten) 

definieren 






arbeit → zuordnung definieren 






arbeit → Buchungsregeln für 

abrechnung der ware in arbeit 

definieren 






arbeit → Bewertungsvariante 

wiP und ausschuss (Sollkosten) 

definieren


der ausschuss wird falsch 

berechnet 

die abweichungen werden 

falschen abweichungskategorien 

zugeordnet und täuschen über 

die wahren Gründe der 

abweichungen hinweg 


die werte für wiP, ausschuss 

und abweichungen wurden nicht 

korrekt gespeichert und fehlen 

deshalb in übergreifenden 


die vorgangsbezogene Bewert- 

ung des ausschusses ist zu prüfen 

welche ausschussmengen sind 

an welchem Vorgang angefallen 

und mit welchen Kosten werden 

sie bewertet? 

die einstellungen für die 

abweichungsermittlung ist zu 

überprüfen 

> Sind abweichungskategorien 

abgeschaltet? 

> wurden sinnvolle mindest- 

werte für die abweichungs- 

kategorien festgelegt? 

die werte für wiP, ausschuss 

und abweichungen sind im 

Berichtswesen zu prüfen 




Produkt-controlling → Periodenabschluss 

→ ware in arbeit → 

Bewertungsvariante wiP und 

ausschuss (Sollkosten) definieren 




Produkt-controlling → auftrag 

→ fertigungsauftrag PP → 

anzeigen, von dort Springen → 

Kosten → einzelnachweis, 

layout 1SaP06 





Periodenabschluss → 

abweichungsermittlung → 

abweichungsvarianten 

überprüfen 








zu aufträgen, layout 1SaP06 


Seite 152 




die ware in arbeit wurde nicht 

oder falsch abgerechnet 

der Saldo des auftrags (auch 

abweichungen, ausschuss) 

wurde nicht oder falsch 

abgerechnet 

7.2.3 Ergebnisse / Auswertung 

aufträge, die logistisch bereits 

fertig sind und für die keine 

nachlaufkosten mehr erwartet 

werden, bilden trotzdem noch 

ware in arbeit 

die ware in arbeit wird falsch 

berechnet 

der wiP muss ordnungsgemäß 

in die finanzbuchhaltung und die 

Profit center rechnung weiter- 

verrechnet worden sein 

abrechnungsbelege prüfen. Von 

dort die rechnungswesenbelege 

prüfen 

der Saldo des auftrags (und 

damit ausschuss und abweichungen) 

müssen ordnungsgemäß 

in die finanzbuchhaltung 

und die Profit center rechnung 

weiterverrechnet worden sein. 

zusätzlich kann es gewünscht 

sein, die abweichungen in die 

kalkulatorische ergebnisrechnung 

zu übertragen 

die aufträge nach Status 

selektieren und prüfen, ob alte 

aufträge noch nicht den Status 

„technisch abgeschlossen“ haben 

altersstruktur der selektierten 

aufträge analysieren und 

Ursachen erforschen, warum 

„alte“ aufträge noch nicht 

abgeschlossen sind 

die vorgangsbezogene Bewer- 

tung der ware in arbeit ist zu 

prüfen 

welche mengen liegen 

rechnerisch an welchem 

Vorgang und mit welchen Kosten 

werden sie bewertet? 






einzelfunktionen → abrechnung 

→ einzelverarbeitung 

bisherige abrechnungen → 

Umfeld → rechnungswesenbelege 







→ einzelverarbeitung 







infosystem → Objektliste → 

auftragsselektion 

nach aufträgen suchen, die noch 

nicht taBG sind 






auftragsbezogenen Produktcontrolling 


zu aufträgen, layout 1SaP06

8 Periodenabschluß in der Anlagenbuchhaltung 


ziele riSiKO 


der ausweis des anlagenvermögens 

steht in übereinstimmung mit den 

geltenden Bilanzierungsrichtlinien 




das anlagevermögen wird richtig in 

der finanzberichterstattung erfasst 

und ausgewiesen 




das ausgewiesene Sachanlagevermögen 

und das ausgewiesene 

immaterielle Vermögen beinhaltet 

alle bestehenden anlagen 

abschreibungsmethode und 

nutzungsdauer sind in übereinstimmung 

mit den geltenden Bilanzierungsrichtlinien 

der zugriff auf das anlagevermögen 

ist restriktiv ausgestaltet lediglich die 

hierzu autorisierten Personen haben 

zugriff auf die daten und funktionalitäten 

des anlagevermögens. 

die Pflege des anlagevermögens 

erfolgt unter einhaltung des 

4-augen-Prinzips. tätigkeiten der 

Stammdatenpflege sind von den 

laufenden Buchungen / Starten von 

abschreibungsläufen u. ä. getrennt 

eine unzureichende Bildung und Verwendung von Bewertungsbereichen 

führt zu einer falschen abbildung des anlagenvermögens 

eine unzureichende Verwendung und zuordnung von Bewertungsplänen 

führt zu einer falschen abbildung des anlagenvermögens 

fehlerhafte Bildung von anlagenklassen, die nicht in übereinstimmung 

mit den geltenden Bilanzierungsrichtlinien stehen. 

Unautorisierte änderungen an anlagenklassen können zu 

einem fehlerhaften ausweis des anlagevermögens führen. 

fehler im customizing können zu einem fehlerhaften ausweis 

des anlagevermögens führen. 

fehlerhafte abschreibungsmethoden und nutzungsdauern 

führen zu einem falschausweis in der Bilanz 

zu weitgehende Vergabe der Berechtigungen für das anlagevermögen 

die nichtabbildung eines 4-augen-Prinzips begünstigt dolose 

handlungen im Bereich des anlagevermögens. 


Seite 154 


ziele riSiKO 







und immaterielles Vermögen 


alle abgänge der Periode werden 

richtig erfasst und ausgewiesen 

Sachanlagevermögen und immaterielles 

Vermögen bestehen zum 

Bilanzstichtag und sind in Verwendung 









falsche zuordnung der Stammdaten zu den Profit centern 

es werden zugänge von Vermögensgegenständen im 

Geschäftsjahr erfasst, die nicht dem anlagevermögen 

zuzurechnen sind 

der abgang von Vermögensgegenständen im Geschäftsjahr 

wird nicht vollständig im System erfasst. 

nicht existente Vermögensgegenstände werden ausgewiesen. 

das im nebenbuch erfasste anlagevermögen wird nicht 

vollständig im nebenbuch ausgewiesen. 

das im nebenbuch erfasste anlagevermögen wird nicht 

vollständig im nebenbuch ausgewiesen.


es wird auf das anlageninformationssystem, der zusammenstellung aller wesentlicher reports hingewiesen: 

aiS - Kaufmännisches audit - aktiva - aiS - Sachanlagen - SaP anlageninformationssystem. 



eine unzureichende Bildung und 

Verwendung von Bewertungsbereichen 

führt zu einer falschen 

abbildung des anlagenvermögens 

eine unzureichende Verwendung 

und zuordnung von Bewertungsplänen 

führt zu einer falschen 

abbildung des anlagenvermögens 

fehlerhafte Bildung von 

anlagenklassen, die nicht in 

übereinstimmung mit den 


stehen. 


anlagenklassen können zu 

einem fehlerhaften ausweis des 

anlagevermögens führen. 

fehler im customizing können 

zu einem fehlerhaften ausweis 

des anlagevermögens führen. 

die im customizing gebildeten 

Bewertungsbereiche bilden die 

in Verwendung stehenden 

Bilanzierungsrichtlinien 

betreffend des anlagevermögens- 

korrekt ab und sind dazu 

geeignet den richtigen ausweis 

des anlagevermögens zu 

gewährleisten. 

die den betreffenden Buchungskreisen 

zugeordneten Bewertungspläne 

bilden die in Ver- 

wendung stehenden Bilanz- 

ierungsrichtlinien betreffend des 

anlagevermögens korrekt ab 

und sind dazu geeignet den 

richtigen ausweis des anlage- 

vermögens zu gewährleisten. 

die anlagenklassen sind korrekt 

gebildet und stehen in über- 

einstimmung mit den geltenden 

Bilanzierungsrichtlinien 

änderungen an anlagenklassen 

erfolgen in einem formalisierten 

Verfahren, alle änderungen 

werden nachträglich kontrolliert 

durch ein korrektes und 

konsistentes customizing des 

Verfahrens wird sichergestellt, 

dass die Bedingungen zum 

richtigen ausweis des anlage- 

vermögens sichergestellt ist. 

über einen Konsistenzcheck im 

customizing wird das System 

hierbei auf fehler überprüft. 

transaktion OadB (Bewertungsbereiche 

prüfen) 

transaktion OaOB (Buchungskreis 

in der anlagenbuchhaltung 

pflegen) 

customizing OaOa 

report raaend02 

report rachecK0 


Seite 156 



fehlerhafte abschreibungsmethoden 

und nutzungsdauern 

führen zu einem falschausweis 

in der Bilanz 

zu weitgehende Vergabe der 

Berechtigungen für das 

anlagevermögen 

die nichtabbildung eines 

4-augen-Prinzips begünstigt 

betrügerische handlungen im 

Bereich des anlagevermögens. 


Unbebuchte anlagenstammsätze 

können darauf hinweisen, dass 

nicht alle zur anschaffung 

geplanten / vorgesehenen 

wirtschaftsgüter bei denen ein 

zugang stattgefunden hat im 

System erfasst wurden. 

es werden zugänge von 

Vermögensgegenständen im 

Geschäftsjahr erfasst, die nicht 

dem anlagevermögen 

zuzurechnen sind 

die nutzungsdauern sind korrekt 

gepflegt und stehen in über- 

einstimmung mit den geltenden 

Bilanzierungsrichtlinien. in Stichproben 

werden die nutzungsdauern 

einzelner anlagengegenstände 

auf ihre richtigkeit 

kontrolliert. 

die Berechtigungen zur Pflege 

des anlagevermögens 

(Stammdaten, Bewegungsdaten) 

sind restriktiv vergeben. 

lediglich mitarbeiter der anlagen- 

buchhaltung verfügen über die 

entsprechenden zugriffs- und 

änderungsrechte. 

die Berechtigungen im Bereich 

des anlagevermögens sind für 

die Stammdatenpflege und die 

laufenden transaktionen nach 

dem 4-augen Prinzip vergeben. 

das System wird regelmäßig auf 

unbebuchte / unvollständige 

anlagenstammsätze analysiert. 

festgestellte unbebuchte 

anlagen werden umgehend 

geklärt. 

neuzugänge des anlagenvermögens 

werden in Stichproben auf 

die korrekte erfassung und ihren 

ausweis geprüft. 

databrowser analyse nutzungsdauern 

und abschreibungsbeträge 

über tabellen anlB und anlP 



- Sachanlagen - abschreibungen 

- S_P6B_12000066 - Gebuchte 

abschreibungen 

transaktion suim 



transaktion suim 



report raanla01 



- Sachanlagen - anlagenstammdaten 

- controls - Stammdatenänderungen 

- S_P6B_12000054 

- Verzeichnis unvollständiger 

anlagen und S_P6B_12000058 

- Verzeichnis unbebuchter 

anlagen 

report razUGa01 



- Sachanlagen - anlagenbewegungen 

- S_P6B_12000060 – anlagenzugänge


der abgang von Vermögensgegenständen 

im Geschäftsjahr 

wird nicht vollständig im System 

erfasst. 

nicht existente Vermögensgegenstände 

werden ausgewiesen. 

das im nebenbuch erfasste 

anlagevermögen wird nicht 

vollständig im nebenbuch 

ausgewiesen. 

das im nebenbuch erfasste 

anlagevermögen wird nicht 

vollständig im nebenbuch 

ausgewiesen. 

abgänge des anlagenvermögens 

werden auf die vollständige 

erfassung im System kontrolliert. 

aBc analyse über den anlagenbestand. 

die wertmäßig höchsten 

anlagengüter werden auf ihren 

tatsächlichen Bestand hin über- 

prüft. 

das hauptbuch wird regelmäßig 

mit dem nebenbuch fi-aa ab- 

gestimmt. differenzen werden 

umgehend geklärt und korrigiert. 

das anlagengitter wird 

regelmäßig mit dem hauptbuch 

abgeglichen. differenzen werden 

umgehend geklärt und korrigiert. 

report raaBGa01 



- Sachanlagen - anlagenbewegungen 

- anlagenabgänge 

databrowser tabellen aneK und 

aneP 



- Sachanlagen - anlagenbestand 

raaBSt02 (und raaBSt01) 



- Sachanlagen - abstimmung / 

Große Umsatzprobe - S_P6B_ 

12000053 - abstimmungsanalyse 

fi-aa (Batch!) 

raGitt01 



- Sachanlagen - abstimmung / 

Große Umsatzprobe S_P6B_ 

12000051 - abstimmungsanalyse 

anlagengitter (Batch!) 


Seite 158 

9 Periodenabschluß im externen Rechnungswesen 


ziele riSiKO 




Schulden im Berichtszeitraum. 

der ausweis entspricht den 

mindestgliederungsvorschriften der 

anzuwendenden rechnungslegungsvorschrift. 

die auflistung der Konten und der 

Positionsreihenfolge in der Bilanz und 

Gewinn- und Verlust-rechnung 

erfolgt in der vorgeschriebenen form. 

die Kontensummen entsprechen der 

gebuchten einzelposten. 

die Kontensummen entsprechen der 

gebuchten einzelposten. 

9.1.2 Saldenbestätigung 

alle Geschäftsvorfälle der Geschäftspartner 

sind vollständig geordnet, 

richtig und zeitgerecht im System 

erfasst. mit hilfe der Saldenbestätigungen 

können die forderungen und 

Verbindlichkeiten gegenüber ihren 

Geschäftspartnern auf richtigkeit 

geprüft werden. 

9.1.3 Bewertung der Offenen Posten in Fremdwährung 

Vor der erstellung der Bilanz und GuV 

werden die in fremdwährung 

gebuchten offenen forderungen und 

Verbindlichkeiten gemäß den Bewer- 

tungsprinzipien der rechnungslegungsvorschriften 

(bspw. hGB) 

bewertet und die ergebnisse in der 

Bilanz und Gewinn und Verlust 

rechnung entsprechend ausgewiesen. 

falsche zuordnung der Konten zu den Bilanzpositionen (ausweis). 

Konten sind entweder einseitig oder gar nicht zugeordnet. 

fehlende bzw. unvollständige Selektionskriterien und 

ausgabeart bei der ausführung der Berichte. 

die Verkehrszahlen für die Konten innerhalb der Bilanz- und 

GuV-Positionen sind zwar vollständig aufgelistet, jedoch besteht 

keine möglichkeit, diese Salden durch die ursprünglichen 

Buchungen vom Bericht aus, auf richtigkeit und aktualität zu 

prüfen. 

rechnungen und Gutschriften von Geschäftspartnern sind nicht 

erfasst oder übersehen worden. es wurde versäumt, für 

gewisse Geschäftspartner (insbesondere debitoren), wertberichtigung 

vorzunehmen, da vorhersehbare forderungsausfälle 

nicht rechtzeitig bekannt gegeben wurden. 

zum zeitpunkt der Bewertung der offenen Posten wurden die 

Bilanzstichtagskurse nicht richtig gepflegt, die falsche 

Bewertungsmethode ausgewählt und / oder die falschen Konten 

für den ausweis der Korrektur verwendet.

ziele riSiKO 

9.1.4 Pauschalierte Einzelwertberichtigung 

im rahmen der Bilanzvorbereitung 

werden die offenen Posten der 

debitoren bewertet werden. mit einer 

wertberichtigung werden zweifelhafte 

forderungen korrigiert. 

der ausweis entspricht den mindest- 

gliederungsvorschriften der anzuwen- 

denden rechnungslegungsvorschrift. 

die regeln zur abwertung sind nicht eingestellt oder es fehlt dafür 

eine Verbindung zu den Stammdaten der in Betracht zu ziehenden 

debitoren. 

die Kontenfindung für die forderungskorrektur in der Bilanz bzw. 

für den GuV-aufwand ist nicht oder fehlerhaft eingestellt und dieser 

ausweis fehlt in der auflistung der Bilanz und Gewinn und Verlust 

rechnung. 

9.1.5 Umbuchen und Rastern der Forderungen und Verbindlichkeiten 

forderungen und Verbindlichkeiten 

sind nach restlaufzeiten gegliedert 

9.1.6 Abgrenzungsbuchungen 

aufwand und ertrag sind dem 

Geschäftjahr zugeordnet, dem sie 

erfolgsmäßig zugehören. abgrenzungsbuchungen 

erfolgen, wenn die 

zeitpunkte der leistung und der 

zahlung differieren. dabei sind 

sowohl antizipative wie auch 

transitorische Posten berücksichtigt. 

9.1.7 Saldovortrag 

der Saldovortrag wurde ordnungsgemäß 

vorgenommen und stellt die 

Kontinuität der Bilanzzahlen sicher. 

sind nach restlaufzeiten gegliedert 

eine methode für die rasterung fehlt und / oder die Kontenfindung 

dafür ist fehlerhaft. 

abgrenzungen, die im Programmumfeld des accrual engine 

vorgenommen wurden, werden nicht mit den ergebnissen in der 

hauptbuchhaltung abgestimmt und fehlen in der Bilanz und 

Gewinn und Verlust rechnung. es wurde versäumt, das Programm 

für die Periodische abgrenzung in den dafür vorgesehenen 

abständen durchzuführen. 

die Kontenfindung für die forderungskorrektur in der Bilanz bzw. 

für den GuV-aufwand ist nicht oder fehlerhaft eingestellt und dieser 

ausweis fehlt in der auflistung der Bilanz und Gewinn und Verlust 

rechnung. 

der erfolgskontentyp legt für GuV-Konten fest, auf welches 

Gewinnvortragskonto das ergebnis im rahmen des Jahresabschlusses 

übertragen wird. 

die zuordnung für einige erfolgskonten fehlt oder ist fehlerhaft 

nach dem Saldovortrag werden die vorgetragen Salden nicht 

geprüft. 

9.1.8 Technische Abstimmung zwischen Verkehrszahlen und Belegen 

alle Geschäftsvorfälle sind ordnungsgemäß 

und periodengerecht gebucht 

Buchungsperioden sind nicht ordnungsgemäß gepflegt und 

gefährden die zeitgerechte Buchung. 

technische differenzen gefährden die Konsistenz und integrität der 

Buchführungsdaten. 

abgebrochene Verbuchungen und nicht sachgemäß verarbeitete 

Schnittstellendaten gefährden die Vollständigkeit der Verarbeitung. 


Seite 160 





falsche zuordnung der Konten 

zu den Bilanzpositionen (ausweis). 

Konten sind entweder einseitig 

oder gar nicht zugeordnet. 

fehlende bzw. unvollständige 

Selektionskriterien und 

ausgabeart bei der ausführung 

der Berichte. 

die Verkehrszahlen für die 

Konten innerhalb der Bilanz- und 

GuV-Positionen sind zwar 

vollständig aufgelistet, jedoch 

besteht keine möglichkeit, diese 

Salden durch die ursprünglichen 

Buchungen vom Bericht aus, auf 

richtigkeit und aktualität zu 

prüfen. 

Vollständigkeit der Bilanz- / 

GuV-Struktur prüfen. 

Selektionskriterien für den (die) 

Buchungskreis(e) und die 

entsprechende ausgabenart 

wählen. 

für eine selektive Kontrolle der 

zu den Summen entsprechenden 

einzelposten und Belegen 

wählen Sie die recherche. 

führen Sie die transaktion OB58 

aus, oder wählen Sie 

werkzeuge → customizing → 

imG → Projektbearbeitung → 

SaP referenz-imG → finanzwesen 

→ hauptbuchhaltung → 

Geschäftsvorfälle → hauptbuch 

→ abschluss → dokumentieren 

→ Bilanz-GuV-Strukturen 

definieren. 

in der Strukturpflege die Prüfung 

auf 

> einseitig zugeordnete Konten, 

> nicht zugeordnete Konten und 

> falsch zugeordnete Konten 

durchführen. 

Bericht rfSKVz00 Sachkontenverzeichnis 

(feld ergebniszuordnung) 

Programm rfBila00 (Se38). 

alternativ: wählen Sie 

SaP easy access → rechnungswesen 

→ finanzwesen → 

hauptbuch → infosystem → 

Berichte zum hauptbuch → 

Bilanz / GuV / cash flow → 

allgemein → ist- / ist Vergleiche 

→ Bilanz / GuV (S_alr_87012284) 

recherche-Bericht: wählen Sie 



hauptbuch → infosystem 




→ ist / ist- Vergleich Jahr 

(S_alr_87012249)


9.2.2 Saldenbestätigung 

rechnungen und Gutschriften 

von Geschäftspartnern sind nicht 

erfasst oder übersehen worden. 

es wurde versäumt, für gewisse 

Geschäftspartner (insbesondere 

debitoren), wertberichtigung 

vorzunehmen, da vorhersehbare 

forderungsausfälle nicht 

rechtzeitig bekannt gegeben 

wurden. 

die Sprache im Stammsatz der 

debitoren / Kreditoren, die 

entsprechenden formulare der 

Saldenbestätigung, deren 

textelemente und die adresse 

für das rückantwortschreiben 

prüfen. 

Stammsätze prüfen: 



debitoren (Kreditoren) → 

Stammdaten anzeigen (fd03). 

Unter allgemeine daten – Kommunikation 

– Sprache. 

customizing Saldenbestätigung: 




→ debitoren- und 

Kreditorenbuchhaltung → 

Geschäftsvorfälle → abschluss 

→ zählen → Korrespondenz 

Saldenbestätigung → einstellungen 

zur durchführen und 

prüfen 

1. formulare für Korrespondenz 

definieren… → werthilfe: 

finanzwesen → Korrespondenz 

→ formularsatz Saldenbestätigung. 

formular f130_cOnfirm_01 

wird angeboten → 

fenster → main hauptfenster 

-textelemente (textbausteine). 

2. Prüfen der adresse für die 

rückantwortschreiben (pro 

Buchungskreis werden die 

adressen über eine identifikation 

[adrid] ermittelt. 

3. Saldenbestätigung durchführen. 



debitoren → Periodische 

arbeiten → abschluss → 

Prüfen / zählen → Saldenb 

drucken. -Saldenbestätigung 

– rückantwort – abstimmliste 

- deckblatt 


Seite 162 



9.2.3 Bewertung der Offenen Posten in Fremdwährung 

zum zeitpunkt der Bewertung 

der offenen Posten wurden die 

Bilanzstichtagskurse nicht richtig 

gepflegt, die falsche Bewertungs- 

methode ausgewählt und / oder 

die falschen Konten für den 

ausweis der Korrektur 

verwendet. 

Kurse, Bewertungsmethode und 

Kontenfindung für die fremdwährungsbewertung 

prüfen. 

die ergebnisse der Bewertung in 

der Bilanz und GuV und 

gegebenenfalls in den offenen 

Posten kontrollieren. 

Kurse: 

SaP easy access→ werkzeuge 

→ customizing → imG → SaP 

netweaver → allgemeine 

einstellungen → währungen 

Umrechnungskurse eingeben – 

S_Bce_68000174 (Berechtigungsobjekt: 

S_eXchrate) 

Bewertungsmethode: 

SaP easy access → werkzeuge 

→ customizing → imG → 

Projektbearbeitung → SaP 

referenz-imG → finanzwesen → 

hauptbuchhaltung → Geschäftsvorfälle 

→ abschluss → 

Bewerten → fremdwährungsbewertung 

→ Bewertungsmethoden 

definieren (transaktion OB59) 

Kontenfindung: 




referenz-imG → finanzwesen 



→ Bewerten → fremdwährungsbewertung 

→ automatische 

Buchungen für fremdwährungsbewertung 

vorber. 

(transaktion OBa1) 

recherche-Bericht: 



hauptbuch → infosystem 




→ ist / ist- Vergleich Jahr 

(S_alr_87012249) 

Bewertung in Kontokorrentzeile 

prüfen: über Umfeld → 

Bewertung → Bewertung 

anzeigen bzw. im layout der 

offenen Posten das feld 

BSeG-Bdiff einblenden.


9.2.4 Pauschalierte Einzelwertberichtigung 

die regeln zur abwertung sind 

nicht eingestellt oder es fehlt 

dafür eine Verbindung zu den 

Stammdaten der in Betracht zu 

ziehenden debitoren. 

die Kontenfindung für die 

forderungskorrektur in der 

Bilanz bzw. für den GuV-aufwand 

ist nicht oder fehlerhaft 

eingestellt und dieser ausweis 

fehlt in der auflistung der Bilanz 

und Gewinn und Verlust 

rechnung 

zuordnung debitoren zu 

wertberichtigungsschlüssel. 

einstellungen zu wertberichtigungsschlüssel 

und Kontenfindung 

zu PwB-Bewertung. 

die ergebnisse der Bewertung in 

der Bilanz und GuV und in den 

offenen Posten kontrollieren. 

9.2.5 Umbuchen und Rastern der Forderungen und Verbindlichkeiten 

eine methode für die rasterung 

fehlt und / oder die Kontenfindung 

dafür ist fehlerhaft. 

einstellungen zur rastermethode 

und Kontenfindung kontrollieren 

und die ergebnisse der rasterung 

in der Bilanz und GuV kontrollieren. 

Bewertungslauf (Bewertungsläufe) 

überprüfen: 



debitoren → Periodische arbeiten 

→ abschluss → Bewerten → 

weitere Bewertungen (Programm 

SaPf107V) 

übersicht Bewertungsein- 

stellungen: 

Umfeld → Konfiguration 

(wertberichtigungsschlüssel 

[transaktion OB_7], Basiswertbestimmung 

[transaktion OB_8], 

Kontenfindung [transaktion 

OBB0], zinssätze [transaktion 

OB42] Kontrolle des Bewertungslaufes: 

Bearbeiten (Parameter, 

Bewertungslauf (-Protokoll,- 

Bewertungsliste), überleitungsprotokoll 

Pauschalwert und 

Bewertung in den offenen Posten 

(über Umfeld) nachprüfen. 

rastermethode: 






→ Umgliedern → Umbuchen und 

rastern der forderungen und 

Verbindlichkeiten → rastermethode 

definieren und Korrekturkonten 

ford. / Verb. Umgliederung 

(transaktion OBBU) 

Kontenfindung: Korrekturkonten 

(transaktion OBBV) 


Seite 164 



9.2.6 Abgrenzungsbuchungen 

abgrenzungen, die im 

Programmumfeld des accrual 

engine vorgenommen wurden, 

werden nicht mit den ergebnissen 

in der hauptbuchhaltung 

abgestimmt und fehlen in der 

Bilanz und Gewinn und Verlust 

rechnung. 

es wurde versäumt, das 

Programm für die Periodische 

abgrenzung in den dafür 

vorgesehenen abständen 

durchzuführen. 

accrual engine einstellungen 

kontrollieren. 

überblick der abgrenzungsobjekte. 

Prüfung des periodischen 

abgrenzungslaufs. 

Gebuchte abgrenzungen mit 

dem infosystem kontrollieren. 

mögliche Korrekturen (Stornolauf, 

überleitung ins rechnungswesen) 

nachprüfen. 

abstimmung accrual engine mit 

dem hauptbuch. 

ergebnisse der abgrenzungen in 

der Bilanz und GuV kontrollieren. 

einstellungen zu manuellen 

abgrenzungen prüfen: 




referenz-imG → finanzwesen 


Geschäftsvorfälle → manuelle 

abgrenzungen → 

Grundeinstellungen… 

Buchungskreise zuordnen 


abgrenzungsarten definieren 

Geschäftsjahr für abgrenzungsbuchungen 

öffnen 

technische einstellungen 

(abgrenzungsobjekte, 

abgrenzungsobjekttypen) 

Abgrenzungsberechnung… 

abgrenzungsmethoden 

Abgrenzungsbuchung … 

Buchungssteueurung definieren 

nummernkreise 

Kontenfindung 

abgrenzungsobjekte: 



hauptbuch → Periodische 

arbeiten → manuelle abgrenzungen, 

abgrenzungsobjekte 

bearbeiten (transaktion 

acactree02) 

fortsetzung folgende Seite >


fortsetzung > 

Prüfung des periodischen 

abgrenzungslaufes (transaktion: 

acacact:Programm acac_PeriOdic_POStinG) 

Kontrolle der gebuchten 

abgrenzungen: 

infosystem → Gebuchte 

abgrenzungen anzeigen… 

Summenwerte anzeigen 

(transaktion acacPSitemS) 

einzelposten anzeigen 

(transaktion acacPSdOcitemS) 

Korrekturen anzeigen: Stornolauf 

(transaktion acacreVerS) 

überleitung ins rechnungswesen 

(transaktion acactranSfer) 

abstimmung accrual engine mit 

dem hauptbuch: 




arbeiten → abschluss → Prüfen / 

zählen → manuelle abgrenzungen: 

abstimmung accrual 

engine mit hauptbuch 

(transaktion: acacfirecOn; 

Programm acac_fi_recOnciliatiOn) 


Seite 166 



9.2.7 Saldovortrag 

der erfolgskontentyp legt für 

GuV-Konten fest, auf welches 

Gewinnvortragskonto das 

ergebnis im rahmen des 

Jahresabschlusses übertragen 

wird: die zuordnung für einige 

erfolgskonten fehlt oder ist 

fehlerhaft. 

nach dem Saldovortrag werden 

die vorgetragen Salden nicht 

geprüft. 

erfolgskontentyp und erfolgsvortragskonto 

nachprüfen 

Stammdaten der erfolgskonten 

und ihre zuordnung zum 

erfolgskontentyp kontrollieren. 

eröffnungsbilanz ausführen und 

Sachkontensalden auflisten, um 

die vorgetragenen Salden zu 

prüfen. 

die findung des ergebnis-Vortragskontos 

muss definiert sein : 


→ customizing → imG → Projektbearbeitung 

→ SaP referenzimG 

→ finanzwesen → hauptbuchhaltung 

→ Geschäftsvorfälle 

→ abschluss → Vortragen → 

ergebnisvortragskonto festlegen 

(transaktion OB53) 

für jeden verwendeten Konten- 

plan muss festgelegt werden, 

dass die Kontenfindung für das 

Vortragskonto nach erfolgskontentyp 

differenziert geschehen 

soll. zu jedem erfolgskontentyp 

muss das zugehörige ergebnis- 

Vortragskonto hinterlegt sein. 

(Stammdaten des erfolgskontos 

im Kontenplan (transaktion fSP0) 

Bericht rfSKPl00 (auswahl 

Sachkonten mit erfolgskontentyp) 

Bericht rfSaBl00 (änderungsanzeige 

Sachkonten) 

data Browser (transaktion Se16): 

tabelle t882 (ledgertabelle), 

Bukrs und ledger 00 (hauptbuch). 

im feld VtrhJ sehen Sie das 

höchste Geschäftsjahr, in das 

vorgetragen wurde. 

Saldovortragsprogramm: 


→ finanzwesen → hauptbuch 

→ Periodische arbeiten → 

abschluss → Vortragen 

(SaPfGVtr) 

rfBila00 report mit Berichtsart 4 

(eröffnungsbilanz): 


→ finanzwesen → hauptbuch 

→ infosystem → Bilanz / 

GuV / cash flow → allgemein → 

ist- / ist Vergleiche → Bilanz / GuV


9.2.8 Technische Abstimmung zwischen Verkehrszahlen und Belegen 

Buchungsperioden sind nicht 

ordnungsgemäß gepflegt und 

gefährden die zeitgerechte 

Buchung. 

technische differenzen 

gefährden die Konsistenz und 

integrität der Buchführungsdaten. 

abgebrochene Verbuchungen 

und nicht sachgemäß verarbeitete 

Schnittstellendaten gefährden 

die Vollständigkeit der 

Verarbeitung. 

die Buchungsperioden sind 

zeitnah gepflegt. nur der aktuelle 

und der folgemonat, ggf Sonder- 

perioden sind zum Buchen 

geöffnet; Buchungsperioden des 

alten Geschäftsjahres sind 

geschlossen 

abstimmungsreport durchführen 

abgebrochene Verbuchungen 

kontrollieren 

fehlerhafte Batch-input-mappen 

kontrollieren. 

Buchungsperioden: Bebuchbare 

zeiträume: transaktion OB52, 

alternativ data Browser (Se16) 

t001B 

technische abstimmung: 




arbeiten → abschluss → 

abstimmung 

(SaPf190 – enthält abstimmung 

Belege / Verkehrszahlen Stamm 

report SaPf070): 

report rfVBer00 

(liste abgebrochener Verbuchungen) 

transaktion Sm35 (Batch-inputmappe) 

kontrollieren auf nicht 

fertig abgespielte mappen 


Seite 168 

10 Bewertungsstrategien für Lagerbestand 


ziele riSiKO 

10.1.1 Bestandsdaten 

wareneingänge werden nur zu 

gültigen Bestellungen mit den 

richtigen Bewegungsarten erfasst 

die warenbestände weisen einen 

konsistenten Pflegestand auf 

die ausgewiesen Bestände sind zum 

Bilanzstichtag vorhanden 

Korrekter wertmäßiger ausweis des 

Vorratsvermögens 

Vollständiger ausweis der Bestände 

im hauptbuch 

Korrekter wertmäßiger ausweis des 

Vorratsvermögens 

der ausweis der Bestände im 

hauptbuch erfolgt vollständig 

der ausweis der Bestände erfolgt 

durch eine korrekte Kontenfindung 

richtig im hauptbuch 

der ausweis der Bestände erfolgt 

durch eine korrekte Kontenfindung 

richtig im hauptbuch 

der ausweis der Vorräte entspricht 

den geltenden Bilanzierungsvorschriften 

der ausweis der Vorräte entspricht 

den geltenden Bilanzierungsvorschriften 

zulässige Bewertung des lagerbestands 

(Umlaufvermögen) 

anforderungsgerechter zugriff auf die 

relevanten daten der Bestandsführung 

Korrekte Verbuchung auf dem 

we / re-Konto 

das we / re-Konto gleicht wareneingang 

und zugehörige rechnungen 

gegeneinander ab. 

wareneingänge werden fälschlicherweise mit den Bewegungsarten 

„warenzugang ohne Bestellung“ oder mit Bewegungsarten 

zu Umlagerungen erfasst. 

inkonsistenzen bei den Beständen (Beispiel wertmäßiger 

Bestand bei nullmengen Bestand) 

es werden nicht existente Bestände ausgewiesen 

falsche Vorratsbewertung durch einen falsch ermittelten 

gleitenden durchschnittspreis bei Verwendung von Schätzpreisen 

fehlerhafte einstellungen bei den systemseitig hinterlegten 

einstellungen zur inventur 

Kritische tatbestände im rahmen der inventur werden nicht 

erkannt 

die Bestände der Vorräte werden nicht vollständig / richtig im 

hauptbuch ausgewiesen 

fehlerhafte Kontenfindung führt zu einem falschausweis der 

warenbewegungen 

Unautorisierte änderungen an den einstellungen zur fixkontenfindung 

zum Jahresabschluss erfolgt für erfasste eingangsrechnungen, 

bei denen noch kein wareneingang erfolgt ist, keine aktivische 

abgrenzungsbuchung 

zum Jahresabschluss erfolgt für erfasste wareneingänge, bei 

denen noch kein rechnungseingang erfolgt ist, keine Buchung 

der rückstellung für ausstehende lieferantenrechnungen 

Unzulässige Bewertungen im zuge der anwendung des 

niederstwertprinzips 

zu weitgehende Berechtigungen im Bereich des Vorratsvermögens, 

welche gegen die funktionstrennung oder einhaltung des 

4-augenprinzips verstoßen. 

differenzen auf dem we / re-Konto können ihre Ursache in 

fehlerhaft ermittelten Preisen, in fehlenden (teil-) rechnungen 

bzw. (teil-) wareneingängen oder in fehlerhaft zugewiesenen 

Sachkonten haben.



10.2.1 Bestandsdaten 

wareneingänge werden 

fälschlicherweise mit den 

Bewegungsarten „warenzugang 

ohne Bestellung“ oder mit 

Bewegungsarten zu Umlagerungen 

erfasst. 

inkonsistenzen bei den Beständen 

(Beispiel wertmäßiger Bestand 

bei nullmengen Bestand) 

es werden nicht existente 

Bestände ausgewiesen 

falsche Vorratsbewertung durch 

einen falsch ermittelten 

gleitenden durchschnittspreis 

bei Verwendung von Schätzpreisen 

fehlerhafte einstellungen bei 

den systemseitig hinterlegten 

einstellungen zur inventur 

durchsicht der erfassten 

wareneingänge auf kritische 

Bewegungsarten 

automatisierter Konsistenzcheck 

über die Bestände 

aBc analyse über die Bestände 

die abweichungen bei den 

gleitenden durchschnittspreisen 

werden analysiert 

die einstellungen zur inventur 

sind angemessen 

transaktion mB51 auf Bewegungsarten 

501 oder 561 



- Vorratsvermögen material 

- warenbewegungen und Belege 

- mB51 – materialbelegliste 

report rm07KO01 




- mB5K - Konsistenzprüfung 

der Bestände 

Selektion in der tabelle mBew 

auf die wertmäßig höchsten 

Bestände, (alternativ Bestandsverzeichnis 

mit datenanalysesoftware) 




- mB5K - Konsistenzprüfung 

der Bestände 

aiS report, Kaufmännisches 

audit - einzelabschluss - Bilanz 

- aktiva - aiS – Vorratsvermögen 

- hitlisten / Kennzahlen - cKmtOPPricedif 

- mat. mit höchster 

V-Preis-differenz 

customizing: transaktion, 

customizing Verbrauchsfolgeverfahren, 

transaktion SPrO, 

referenz-imG, materialwirtschaft 


Seite 170 

10 Bewertungsstrategien für Lagerbestand 


Kritische tatbestände im 

rahmen der inventur werden 

nicht erkannt 

die Bestände der Vorräte werden 

nicht vollständig / richtig im 

hauptbuch ausgewiesen 

fehlerhafte Kontenfindung führt 

zu einem falschausweis der 

warenbewegungen 


den einstellungen zur fixkontenfindung 

zum Jahresabschluss erfolgt für 

erfasste eingangsrechnungen, 

bei denen noch kein wareneingang 

erfolgt ist, keine aktivische 

abgrenzungsbuchung 

zum Jahresabschluss erfolgt für 

erfasste wareneingänge, bei 

denen noch kein rechnungseingang 

erfolgt ist, keine Buchung 

der rückstellung für ausstehende 

lieferantenrechnungen 

die erfassten inventurdifferenzen 

werden überprüft 

automatischer abstimmreport 

für die Bestände der materialwirtschaft 

zum hauptbuch 

es wird ein Konsistenzcheck 

über die Kontenfindung 

durchgeführt 

änderungen an den einstellungen 

zur Kontenfindung 

werden geprüft 

Kontrolle der korrekten 

Behandlung des we / re Kontos 

Kontrolle der korrekten 

Behandlung des we / re Kontos 

transaktion mi20 



– Vorratsvermögen - inventur - 

inventur ohne platzgenaue 

Bestandsführung - mi20 - 

inventurdifferenzen 

report rm07mBSt 




- mB5l - Bestandswertliste: 

Saldendarstellung 

report rm07c030 

änderungshistorie der tabellen 

zur fixkontenfindung rStBhiSt 

für t030* 

(Voraussetzung tabellenprotokol- 

lierung über rec / client ist aktiviert) 

transaktionen f.10 und fS10n 




- mB5l - Bestandswertliste: 

Saldendarstellung 

f.10 und fS10n 




- S_P6B_12000135 - 

we / re-Saldenliste


Unzulässige Bewertungen im 

zuge der anwendung des 

niederstwertprinzips 

zu weitgehende Berechtigungen 

im Bereich des Vorratsvermögens, 

welche gegen die funktionstrennung 

oder einhaltung des 

4-augenprinzips verstoßen 

differenzen auf dem we / re- 

Konto können ihre Ursache in 

fehlerhaft ermittelten Preisen, in 

fehlenden (teil-) rechnungen 

bzw. (teil-) wareneingängen oder 

in fehlerhaft zugewiesenen 

Sachkonten haben. 

nur sinnvolle / zulässige Preise 

werden bei der niederstwertermittlung 

berücksichtigt 

anforderungsgerechte Vergabe 

der relevanten Berechtigungen 

> anlegen und Pflege material- 

stammsätze 

> Buchen von inventurdifferenzen 

> Buchen von warenbewegungen 

… 

Prüfung der Buchungen auf dem 

we / re-Verrechnungskonten, 

insbe-sondere manuelle 

ausbuchungen 

report rmniwe00 (transaktion 

mrn0), zusätzlich rmniwe80 

und rmniwe90 

transaktion SUim 



reports rfwere00 analyse der 

we / re-Verrechnungskonten 

rOOlmB14 manuelle Kontierung 

auf warenbewegungen 


Seite 172 

11 Bewertung mit Istkalkulation und 

Transferpreisen 


ziele riSiKO 

11.1.1 Ist-Kalkulation und Transferpreise 

Vergleichbarer wertansatz bei der 

lagerbestandsbewertung in allen 

werken 

die istherstellkosten müssen richtig 

ermittelt sein, damit die lagerbestandsbewertung 

den Buchhaltungsvorschriften 

bestimmter länder entspricht 

das materialledger ist richtig und 

zielgerecht eingestellt, damit die 

umfangreichen Berechnungen zur 

istherstellkostenermittlung richtig, 

komfortabel und nachvollziehbar ablaufen 

und die abweichungen folgerichtig 

ermittelt und verbucht werden 

die verrechneten Preisdifferenzen 

werden auf separaten Konten 

getrennt ausgewiesen 

realistische Standardpreise und 

Standardkosten sollen im System 

verwendet werden 

die ermittlung von Standardkosten, 

istherstellkosten erfolgt einheitlich im 

Konzern. die Kostenstrukturen und 

Kostenkomponenten werden 

einheitlich ermittelt 


nicht alle werke bewerten den Bestand gemäß istkalkulation. 

dies führt zu unterschiedlichen Verfahren zur wertansatzermittlung 

in den verschiedenen werken 

die tatsächlichen istherstellkosten werden unrichtig ermittelt 

Prinzipielle einstellungen im materialledger sind falsch 

die Kontenfindung für die Preisdifferenzen ist falsch eingestellt 

die istherstellkosten weichen sehr stark vom Standardpreis ab 

eine einheitliche Vorgabe im Konzern zur ermittlung der ist- 

herstellkosten fehlt, die definition erfolgt in den werken / 

tochtergesellschaften unterschiedlich 


11.2.1 Ist-Kalkulation und Transferpreise 

nicht alle werke bewerten den 

Bestand gemäß istkalkulation. 

dies führt zu unterschiedlichen 

Verfahren zur wertansatzermittlung 

in den verschiedenen werken. 

für alle werke ist das materialledger 

und die istkalkulation 

aktiviert 

imG → controlling → Produktkostencontrolling 

→ istkalkulation / 

materialledger → istkalkulation 

→ istkalkulation aktivieren → 

istkalkulation aktivieren


die tatsächlichen istherstellkosten 

werden unrichtig ermittelt 

Prinzipielle einstellungen im 

materialledger sind falsch 

die Kontenfindung für die 

Preisdifferenzen ist falsch 

eingestellt 

die istherstellkosten weichen 

sehr stark vom Standardpreis ab 

eine einheitliche Vorgabe im 

Konzern zur ermittlung der ist- 

herstellkosten fehlt, die 

definition erfolgt in den werken / 

tochtergesellschaften unterschiedlich 

die isttarife für die leistungsarten 

werden nicht berücksichtigt 

einstellungen des materialledgers 

und der istkalkulation 

prüfen 

Kontenfindung für die Vorgänge 

der istkalkulation prüfen 

Vergleich der periodischen 

Verrechnungspreise mit dem 

Standardpreis 

das customizing für die 

herstellkostenermittlung wird 

zentral im Konzern eingestellt. in 

allen werken ist die istkalkulation 

aktiv und alle werke benutzen 

die gleichen einstellungen 



Berichte zur Kostenstellenrechnung 

→ tarife: Prüfen, ob 

isttarife ermittelt wurden 

imG → controlling → Produktkostencontrolling 

→ istkalkulation / 

materialledger → istkalkulation 

→ istkalkulation aktivieren → 

istkalkulation aktivieren: 

leistungsfortschreibung prüfen 

rechnungswesen→ controlling 

→ Produktkostencontrolling → 

Kostenträgerrechnung → istkalkulation 

/ material-ledger → 

Umfeld → customizing-einstellungen 

→ prüfen 


Bewertung und Kontierung → 

Kontenfindung → Kontenfindung 

ohne assistent → automatische 

Buchungen einstellen. Pop-up 

abbrechen und icon „Kontierung“ 

drücken 


→ Produktkostencontrolling → 

Kostenträgerrechnung → istkalkulation 

/ material-ledger → 

infosystem → Objektliste → 

Preise und Bestandswerte 

imG → controlling → controlling 

allgemein → Parallele wertansätze 

/ transferpreise führen 

→ Grundeinstellungen → einstellungen 

für das material- 

ledger prüfen 

→ Bewertungskreise für das 

material-ledger aktivieren 

→ material-ledger-typen einem 

Bewertungskreis zuordnen 


Seite 174 

12 Verkauf einer Kundenauftragsfertigung 


ziele riSiKO 


für Kundenaufträge, die leistungserstellungsprozesse 

zur folge haben, 

erfolgt ein befriedigendes controlling 

der bewertete Kundenauftragsbestand 

wird verwendet, um Verbräuche 

zeit- und sachgerecht zu buchen und 

Bestände richtig auszuweisen 

der Kundenauftragsbestand ist zulässig 

bewertet und entspricht des anforde- 

rungen des betreffenden landes bzw. 



Kundenaufträge werden nur von 

autorisierten mitarbeitern angelegt 

Kundenaufträge erhalten richtige 

Verkaufspreise. der auftragseingang 

wird richtig bewertet und ausgewiesen 

für die leistungserstellungsprozesse 

zu Kundenaufträgen werden die her- 

stellkosten ermittelt. diese werden in 

der regel als Preisuntergrenze 

betrachtet 

Kosten werden verursachungsgerecht 

gebucht 

Kosten werden verursachungsgerecht 

gebucht 

Kosten des Umsatzes werden zeitnah 

und verursachungsgerecht verbucht 

die Kundenauftragsposition ist kein Kostenträger 

die Kundenauftragsposition nutzt keinen bewerteten Kundenauftragsbestand 

die Bewertung des Kundenauftragsbestands ist falsch 

der Kundenauftrag wird von nicht berechtigten mitarbeitern 

angelegt 

der Kundenauftrag hat die falsche Preisfindung 

der Kundenauftrag wurde nicht vorkalkuliert 

Kosten der fertigung werden auf den Kundenauftrag gebucht 

Sondereinzelkosten des Vertriebs werden auf den fertigungsauftrag 

gebucht 

die lieferung an den Kunden führt nicht zu einer Belastung des 

Kundenauftrags

ziele riSiKO 


die Kundenaufträge werden in 

angemessener zeit bearbeitet, 

beliefert und abgeschlossen 

wert- und mengenmäßige Bestände 

sind zwischen logistik und 

rechnungswesen abgestimmt 

Kundenauftragsbestände werden im 

fi unter separaten Konten ausgewiesen 


aufträge werden nicht nach angemessener zeit beliefert und 

abgeschlossen. 

der ausweis der Bestände im Kundenauftragsbestand ist 

zwischen logistik und controlling nicht abgestimmt und zeigt 

unterschiedliche mengen oder werte 

die Kontenfindung für Kundenauftragsbestände ist nicht 

anforderungsgemäß ausgesteuert 



die Kundenauftragsposition ist 

kein Kostenträger 

die Kundenauftragsposition nutzt 

keinen bewerteten Kundenauftragsbestand 

die Bewertung des Kundenauftragsbestands 

ist falsch 

im imG prüfen, ob für den 

Positionstyp des Kundenauftrags 

der Kontierungstyp „e“ gefunden 

wird 

die Kundenauftragsposition hin 

überprüfen, ob im Bild 

„Kontierung“ eine abrechnungsvorschrift 

eingetragen ist 



der Kontierungstyp „e“ oder ein 

anderer gefunden wird, der 

einen Kundenauftragsbestand 

ermöglicht 



eine Bedarfsklasse gefunden 

wird, die eine richtige Bewertungssteuerung 

des Kundenauftragsbestandes 

vorsieht 

imG → Kundenauftragsfertigung 

→ Steuerung der Bedarfsartenfindung 

…. → Bedarfsklasse 

prüfen 

Va03 → Kundenauftragsposition 

→ Kontierung: eingetragene 

abrechnungsvorschrift prüfen 



… → Bedarfsklasse 

prüfen 

Kontierungstyp prüfen 



… → Bedarfsklasse 

prüfen: eingestellte Bewertung 

prüfen 


Seite 176 

12 Verkauf einer Kundenauftragsfertigung 



der Kundenauftrag wird von 

nicht berechtigten mitarbeitern 

angelegt 

der Kundenauftrag hat die 

falsche Preisfindung 

der Kundenauftrag wurde nicht 

vorkalkuliert 

Kosten der fertigung werden auf 

den Kundenauftrag gebucht 

Sondereinzelkosten des 

Vertriebs werden auf den 

fertigungsauftrag gebucht 

die lieferung an den Kunden 

führt nicht zu einer Belastung 

des Kundenauftrags 

im Kundenauftrag den erfasser 

nachschauen und seine 

Berechtigung prüfen 

in der Kundenauftragsposition 

die Preisfindung nachvollziehen 

alle Kundenauftragspositionen 

mit dem gleichen material 

auflisten und nach signifikanten 

Preisabweichungen hin prüfen 

im Kundenauftrag die Vorkalkulation 

prüfen 

im Bericht zum fertigungsauftrag 

die gebuchten Kosten 

analysieren 

im Bericht zum Kundenauftrag 

die gebuchten Kosten analysieren 

im Bericht zum Kundenauftrag 

die gebuchten Kosten analysieren 

alle Kundenauftragspositionen 

mit dem gleichen material 

auflisten und nach signifikanten 

Preisabweichungen hin prüfen 

Va03, erfasser nachschauen 

SU01 Berechtigung des 

erfassers prüfen 

Se16, USOBt 

rSUSr002 


→ Konditionen 

infosystem controlling → Objektliste 


→ Kalkulation anzeigen 


Kundenauftragsfertigung → 

detailberichte → Kundenauftrag 

mit zugeordneten fertigungsaufträgen: 

Bericht zum fertigungsauftrag 

aufrufen 





Bericht zur Kundenauftragsposition 

aufrufen 






aufrufen: die 

Kosten des Umsatzes müssen 

ausgewiesen werden


12.2.3 Ergebnisse/Auswertungen 

aufträge werden nicht nach 

angemessener zeit beliefert und 

abgeschlossen. 


Kundenauftragsbestand ist 

zwischen logistik und controlling 

nicht abgestimmt und zeigen 

unterschiedliche mengen oder 

werte 


Kundenauftragsbestand ist 

zwischen logistik und controlling 

nicht abgestimmt und zeigen 

unterschiedliche mengen oder 

werte 

die Kontenfindung für 

Kundenauftragsbestände ist 

nicht anforderungsgemäß 

ausgesteuert 

liste der rückständigen 

Kundenaufträge 

in der logistik und im controlling 

die Berichte für den bewerteten 

Sonderbestand vergleichen 

in der logistik und im controlling 

die Berichte für den bewerteten 

Sonderbestand vergleichen 

die Kontenfindung für 

Kundenauftragsbestände prüfen 

logistik → Vertrieb → Verkauf 

→ infosystem → aufträge → 

anzeigen rückständige aufträge 






aufrufen und die 

mengen und werte der 

mittelbindung zeigen 


auswertungen → bewerteter 

Sonderbestand: Bericht aus- 

führen und Kundenauftragsbestand 

„e“ mitselektieren 






aufrufen und die 

mengen und werte der 

mittelbindung zeigen 


auswertungen → bewerteter 

Sonderbestand: Bericht 

ausführen und Kundenauftragsbestand 

„e“ mitselektieren 

mm03: materialstamm anzeigen: 

Sicht Buchhaltung: eintrag im 

feld „Bewertungsklasse 

Kundenauftragsbestand“ prüfen 


Bewertung und Kontierung → 

Kontenfindung → Kontenfindung 

ohne assistent → automatische 

Buchungen einstellen (Vorgänge 

GBB und BSX) (tcode: OByc) 


Seite 178 

13 Periodenabschluß im internen Rechnungswesen 

bei Kundenauftragsfertigung oder Dienstleistung 


ziele riSiKO 


Gemeinkosten werden verursachungsgerecht 

auf Kostenträger 

weiterverrechnet 



ausgewiesen 

Kundenaufträge sind am ende der 

Periode richtig „abgegrenzt“, das heißt, 

erlöse, Kosten des Umsatzes, 

Bestände und rückstellungen werden 

periodengenau ermittelt 


Periode richtig „abgegrenzt“, das heißt, 




die erlöse, Kosten des Umsatzes, 


auf die richtigen Konten gebucht 




periodengenau errechnet und 

gespeichert. 



periodengenau in die finanzbuchhaltung, 

ergebnisrechnung und Profit 

center rechnung abgerechnet 

durch die Verwendung ungewöhnlich hoher Gemeinkostenzuschläge 

werden die herstellkosten bzw. die abweichungen auf 

den Kostenträgern verfälscht. die kann auswirkungen auf die 

wertansätze von Bilanz und GuV haben 

die Verwendung von periodengenauen tarifen bei den 

istbuchungen verrechnet die abweichung der Kostenstellen auf 

die Kostenträger weiter. die abweichungen der fertigung 

können dadurch erhöht oder konterkariert werden. eine liste 

der Kostenträger „nach Größe der abweichungen“ bringt nicht 

mehr die kritischen aufträge nach vorn 

erlöse, Kosten des Umsatzes, Bestände und rückstellungen 

werden falsch ermittelt bzw. sind nicht konform zu den 

Bestimmungen des betreffenden landes oder der rechnungslegungsvorschriften 

Bei den Beständen werden teile der Kosten als „nicht 


die Bestände und rückstellungen werden auf falsche Konten 

der finanzbuchhaltung abgerechnet 

die werte für die Bestände und rückstellungen wurden nicht 

korrekt gespeichert und fehlen deshalb in übergreifenden 


die erlöse, Kosten des Umsatzes, Bestände und rückstellungen 

wurden nicht oder falsch abgerechnet

ziele riSiKO 



Periode richtig „abgegrenzt“, das 

heißt, erlöse, Kosten des Umsatzes, 



Kundenaufträge werden in einem 

angemessen zeitraum bearbeitet und 

abgeschlossen 


Kundenaufträge, die logistisch bereits abgewickelt sind und für 

die weder weitere erlöse noch nachlaufkosten erwartet werden, 

bilden trotzdem noch Bestände oder rückstellungen 

aufträge sind in Verzug 



durch die Verwendung 

ungewöhnlich hoher Gemeinkostenzuschläge 

werden die 

herstellkosten bzw. die abweich- 

ungen auf den Kostenträgern 

verfälscht. die kann auswirkungen 

auf die wertansätze von 

Bilanz und GuV haben 

die Verwendung von periodengenauen 

tarifen bei den 

istbuchungen verrechnet die 

abweichung der Kostenstellen 

auf die Kostenträger weiter. die 

abweichungen der fertigung 

können dadurch erhöht oder 

konterkariert werden. eine liste 

der Kostenträger „nach Größe 

der abweichungen“ bringt nicht 

mehr die kritischen aufträge 

nach vorn 

die Gemeinkostenzuschlagssätze 

müssen adäquat und in ihrer 

höhe begründbar sein. 

idealerweise sind sie verursachungsgerecht. 

welches zuschlagsschema? 

Von was hängen die Prozentsätze 

ab? 

wie hoch sind die Prozentsätze? 

was wird bezuschlagt? 

die Bewertungsvariante ist auf 

die verwendeten tarife der 

leistungsarten hin zu überprüfen 

- Kalkulationsvariante 

analysieren, besonders die 

Bewertungsvariante 

- auftragsbericht aufrufen, 




→ Kundenauftrags-controlling 

→ Grundeinstellungen 

für das 

Kundenauftrags-controlling → 

Gemeinkostenzuschläge → 

Kalkulationsschemata definieren 



→ Kundenauftragscontrolling 

→ Vorkalkulation und 

auftragsstücklistenkalkulation 

→ erzeugniskalkulation zu 

Kundenauftragsposition / 

auftragsstückliste → Kalkulationsvarianten 

für die erzeugniskalkulation 

überprüfen (OKy9) 

controlling → Kostenträgerrechnung 

→ Kundenauftragsfertigung 

→ infosystem→ Berichte zum 

Kundenauftrags-controlling → 



Bericht zum fertigungsauftrag 

aufrufen 


Seite 180 

13 Periodenabschluß im internen Rechnungswesen 

bei Kundenauftragsfertigung oder Dienstleistung 



Bestände und rückstellungen 

werden falsch ermittelt bzw. sind 

nicht konform zu den Bestimmungen 

des betreffenden 

landes oder der rechnungslegungsvorschriften 

Bei den Beständen werden teile 

der Kosten als „nicht aktivierungsfähig“ 

behandelt 

die Bestände und rückstellungen 

werden auf falsche 

Konten der finanzbuchhaltung 

abgerechnet 


die werte für die Bestände und 

rückstellungen wurden nicht 

korrekt gespeichert und fehlen 

deshalb in übergreifenden 



Berechnung der erlöse, 

der Kosten des Umsatzes, der 

Bestände und der rückstellungen 

ist zu prüfen und stichprobenweise 

nachzurechnen 

Bewertungsmethode 


Berechnung der erlöse, 

der Kosten des Umsatzes, der 

Bestände und der rückstellungen 

ist zu prüfen und stichprobenweise 

nachzurechnen 

ergebnisermittlung in der 

zuordnungstabelle prüfen: wie 

werden die Bestände kategorisiert 

und dementsprechend 

behandelt? 

die Kontenfindung zur Buchung 

der abgrenzungswerte ist richtig 

eingestellt 

Buchungsregeltabelle prüfen 

die ergebnisse der ergebnisermittlung 

sind im Berichtswesen 

zu prüfen 

> Berichte für die Kostenträger 

aufrufen 

> Verdichtungen für die Kosten- 

träger erstellen und die Summen 

prüfen 




→ Periodenabschluß 

→ ergebnisermittlung → Bewertungsmethoden 

für ergebnisermittlung 

festlegen (OKG3) 





→ ergebnisermittlung → zuordnung 

für ergebnisermittlung 

festlegen (OKG5) 





→ ergebnisermittlung → 

Buchungsregeln für abrechnung 

an fi festlegen 




zum Kundenauftrags-controlling 

→ detailberichte → Kundenauftrag 

mit zugeordneten 

fertigungsaufträgen: Bericht 

zum Kundenauftrag aufrufen 

auf layout „abgrenzung“ 

schalten


die erlöse, Kosten des 

Umsatzes, Bestände und 

rückstellungen wurden nicht 

oder falsch abgerechnet 


Kundenaufträge, die logistisch 

bereits abgewickelt sind und für 

die weder weitere erlöse noch 

nachlaufkosten erwartet werden, 

bilden trotzdem noch Bestände 

oder rückstellungen 

aufträge sind in Verzug 


Bestände und rückstellungen 

müssen ordnungsgemäß in die 

finanzbuchhaltung, die ergebnisrechnung 

und die Profit center 

rechnung weiterverrechnet 

worden sein 

abrechnungsbelege prüfen. Von 

dort die rechnungswesenbelege 

prüfen 

die Kundenaufträge nach Status 

selektieren und prüfen, ob alte 

aufträge noch nicht den Status 

„technisch abgeschlossen“ und 

„endfakturiert“ haben 

> auftragsselektion nach Status 

> altersstruktur der selektierten 

aufträge analysieren und Ur- 

sachen erforschen, warum 

„alte“ aufträge noch nicht 

abgeschlossen sind 

die Kundenaufträge im Verzug 

auflisten und die Gründe prüfen 



→ Periodenabschluß → 







zum Kundenauftrags-controlling 

→ Objektliste → Kundenauftragsselektion 

auf layout „ / abgrenzung“ 

umschalten 

datum einblenden und nach 

datum sortieren 


einzelabschluß → G.u.V. –> aiS 

– Umsatzerlöse → Verkaufsbelege 

→ anzeige rückständige 

aufträge 


Seite 182 

14 Funktionstrennung 

14.1 zielSetzUnG 

zur erreichung einer ausreichenden Sicherheit, auch im Sinne eines internen Kontrollsystems zur erfüllung 

der erfordernisse der GoB, sind bestimmte funktionstrennungen erforderlich. 

Bei kleinen Unternehmen ist dies jedoch organisatorisch oft nicht realisierbar. deshalb sind hier zur 

erreichung eines ausreichenden Sicherheitsstandards besondere - individuell konzipierte - überprüfungen 

der Stammdatenänderungen erforderlich. Bei größeren Unternehmen können diese Prüfungen jedoch nicht 

die durchgehende funktionstrennung ersetzen. 

14.1.1 anfOrderUnGen 

eindeutig festgelegte zuständigkeiten/Berechtigungen hinsichtlich der Stammdatenverwaltung. 

funktionstrennung in angemessener form zwischen edV und fachabteilung einerseits sowie zwischen 

Stammdatenpflege und Buchungstätigkeit jeder art andererseits. 

14.1.2 riSiKen 

durch ein unzureichendes internes Kontrollsystem für die überwachung von Stammdatenänderungen 

können sowohl die Ordnungsmäßigkeit als auch die datensicherheit beeinträchtigt werden. So können z. B. 

bei mangelnder Sicherheit des zahlungsverkehrs (Stammdatenpflege) auch Vermögensschäden auftreten. 

14.2 PrüfUnGen VOn KritiSchen BerechtiGUnGSKOmBinatiOnen 

im Bereich finanzBUchhaltUnG 

a) Kreditoren Stammdaten (anlegen) 

1) f_lfa1_aPP ( 01 / f ) 

2) f_lfa1_BUK ( BUKr / 01 ) 

3) f_lfa1_Gen ( 01 ) 

4) S_tcOde ( fK01 Or XK01 ) 

b) Kreditoren Stammdaten inkl. Bankdaten (ändern) 

1) f_lfa1_aen ( 01 ) 

2) f_lfa1_aPP ( 02 / f ) 

3) f_lfa1_BUK ( BUKr / 02 ) 

4) f_lfa1_Gen ( 02 ) 

5) S_tcOde ( fK02 Or XK02 ) 

c) Kreditoren Buchungen (z. B. rechnungen) 

1) f_BKPf_BUK ( BUKr / 01 ) 

2) f_BKPf_KOa ( K / 01 ) 

3) S_tcOde ( fB60 Or fB65 ) 

d) Kreditoren zahlungen 

1) f_reGU_BUK ( BUKr / 21 ) 

2) f_reGU_KOa ( K / 21 ) 

3) S_tcOde ( f110 ) 

e) debitoren Stammdaten (anlegen) 

1) f_Kna1_aPP ( 01 / f ) 

2) f_Kna1_BUK ( BUKr / 01 ) 

3) f_Kna1_Gen ( 01 ) 

4) S_tcOde ( fd01 Or Xd01 )

f) debitoren Stammdaten inkl. Bankdaten (ändern) 

1) f_Kna1_aen ( 03 ) 

2) f_Kna1_aPP ( 02 / f ) 

3) f_Kna1_BUK ( BUKr / 02 ) 

4) f_Kna1_Gen ( 02 ) 

5) S_tcOde ( fd02 Or Xd02 ) 

g) debitoren Buchungen (z. B. Gutschriften) 

1) f_BKPf_BUK ( BUKr / 01 ) 

2) f_BKPf_KOa ( d / 01 ) 

3) S_tcOde ( fB70 Or fB75 ) 

h) debitoren zahlungen 

1) f_reGU_BUK ( BUKr / 21 ) 

2) f_reGU_KOa ( d / 21 ) 

3) S_tcOde ( f110 ) 

14.3 PrüfUnGen VOn KritiSchen BerechtiGUnGSKOmBinatiOnen 

im Bereich materialwirtSchaft 

a) wareneingang zur Bestellung (anlegen/ändern) 

1) m_mSeG_Bwe ( 01 Or 02 / 101 ) 

2) m_mSeG_wwe ( 01 Or 02 / wrK ) 

3) S_tcOde ( miGO Or miGO_Gr ) 

b) rechnungsprüfung (anlegen/ändern) 

1) m_rech_BUK ( BUKr / 01 Or 02 ) 

2) m_rech_wrK ( wrK / 01 Or 02 ) 

3) S_tcOde ( mirO ) 

c) einkaufsinfosätze anlegen/bearbeiten 

1) m_einf_eKO ( 01 Or 02 / eKO ) 

2) m_einf_wrK ( 01 Or 02 / wrK ) 

3) S_tcOde ( me11 Or me12 ) 

d) materialstamm anlegen 

1) m_mate_neU ( * ) 

2) m_mate_Sta ( 01 ) 

3) m_mate_wrK ( 01 / wrK ) 

4) S_tcOde ( mm01 ) 


Copyright © 2009 DSAG e.V. 

Alle Rechte vorbehalten. 

namen von Produkten und Dienstleistungen sind marken der jeweiligen Firmen. 

Deutschsprachige SAP ® Anwendergruppe e.V. 

Altrottstraße 34 a 

69190 Walldorf 

Deutschland 

Fon: +49 (0) 62 27 – 358 09 58 

Fax: +49 (0) 62 27 – 358 09 59 

E-mail: info@dsag.de 

internet: www.dsag.de

Prüfleitfaden SAP ERP 6.0 - DSAG

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?