Wie Sie mit dem SAST Risk and Compliance Management Ihr SAP-Systemaudit planen und ausführen

| @securityblog

SAST Blog: Wie Sie mit dem SAST Risk and Compliance Management Ihr SAP-Systemaudit planen und ausführenDie Komplexität von SAP-Systemen in allen Facetten ist für Administratoren oft schwer zu überschauen. Wie lässt sich beispielsweise ein SAP-Systemaudit konstruktiv planen? Mit unserer SAST SUITE stellen wir Ihnen hierfür ausgereifte Analysemethoden bereit, damit Sie Sicherheitslücken rechtzeitig erkennen, noch bevor diese ausgenutzt werden können. Die SAST SUITE bietet Ihnen darüber hinaus vielfältige Funktionen, um die Sicherheit Ihrer SAP-Systeme zu analysieren und auch zu erhöhen.

 

Das SAST Risk and Compliance Management

Mit dem Modul SAST Risk and Compliance Management ermöglicht Ihnen die SAST SUITE qualifizierte und schnellere Entscheidungen im Rahmen Ihres IT-Risikomanagements:

  • Anlage und Verwaltung von Risiken mit Kritikalitäten von sehr hoch bis rein informativ
  • Erstellung und Pflege von Prüfungen (Checks)
  • Erstellung und Wartung von Prüfkatalogen (Policys)
  • Einplanung von automatisierten und zyklischen Auditläufen
  • Behandlung von Auditergebnissen:
    • Arbeitslisten zur Systemabsicherung (Systemhärtung)
    • Anlage und Verwaltung von Mitigationen
    • Delta-Abgleich zwischen unterschiedlichen Auditläufen
    • Export von Ergebnislisten auch in Standard-Office-Formate
    • Archivierung von Auditergebnissen

Das in der SAST SUITE enthaltene Prüfregelwerk umfasst dabei mehr als 2.200 Risiken sowie 3.600 Prüfungen und liefert somit eine sehr gute Basis für Ihre umfassende SAP-Systemprüfung.

SAP-Systemaudit sinnvoll planen und ausführen 

Ihr erster Schritt, um einen Auditplan anlegen zu können, ist die Erzeugung von Varianten der drei Prüfungsarten mit den Modulen SAST System Security Validation und SAST Authorization Management.

SAST Blog: SAST Blog: Wie Sie mit dem SAST Risk and Compliance Management Ihr SAP-Systemaudit planen und ausführen
Abbildung 1: Beispiel Anlage Variante in SSV

Im nächsten Schritt legen Sie im Risk & Compliance Management-Modul unter der Funktion Pflege Auditplan Umfang und Frequenz der zyklischen System- und Berechtigungsprüfung fest.

SAST Blog: Wie Sie mit dem SAST Risk and Compliance Management Ihr SAP-Systemaudit planen und ausführen
Abbildung 2: AuditplanID-Pflege im SAST Risk & Compliance Management

Zur Anlage eines Auditplans benötigt es nur wenige Angaben: Einen passenden Namen im Feld „AuditplanID“, inkl. einer kurzen Beschreibung, sowie den Verantwortlichen für den aktuellen Auditplan (ob sein SAP-Username oder die E-Mail-Adresse). Durch Checkboxen können Sie steuern, welche Optionen Sie für die E-Mail-Benachrichtigungen aktiv setzen und Sie können Erinnerungsmails konfigurieren.

Der Block Umfang und Frequenz reguliert Inhalt und Terminierung des Auditplans.

Unter „OrglevelID“ gibt es zwei Auswahlmöglichkeiten: ALL (alle SAP Org-Ebenen werden in die Prüfung mit einbezogen) und NONE (alle SAP Org-Ebenen werden bei der Prüfung ignoriert). NONE ist standardmäßig die richtige Wahl.

Weiterhin ist die „PolicyID“, unter welcher die Prüfung laufen soll, anzugeben. Hier können Sie auf die SAST-Policy zugreifen oder Ihre eigene Firmen-Policy verwenden. Die Checkboxen, welche Prüfungsarten durchgeführt werden, bleiben zunächst ausgegraut. Sie werden aktiviert, wenn Sie die zu prüfenden Systeme und Varianten unter zugeordnete Systeme eingetragen haben. Zu guter Letzt sind im Bereich Umfang und Frequenz noch Startdatum, Uhrzeit und Intervall anzugeben.

Damit ein Auditplan regelmäßig zur vorgegebenen Zeit läuft, ist es nötig einen stündlichen Batchjob einzuplanen. Dieses geschieht über die Transaktion SM36 mit einem speziellen Batchuser, der mit den passenden SAST-Rollen versehen sein muss.

Alternativ können Sie einen Auditlauf auch über die Schaltfläche Start Auditzyklus starten.

Unter dem Schalter Übersicht Auditzyklen finden Sie schließlich den Status der aktuellen bzw. schon durchgeführten Auditläufe.

Optional besteht für Sie auch die Möglichkeit, Auditergebnisse per Download zu speichern bzw. per Upload in die Liste Ihrer Auditergebnisse aufzunehmen.

Mit unserem Risk and Compliance Management ist Ihr IT-Risikomanagement nicht länger ein reaktiver Prozess. Und nach der erfolgreichen Planung eines Systemaudits folgt im nächsten Schritt, das Gefährdungspotenzial Ihrer SAP-Landschaften zu beurteilen und Sicherheitsvorkehrungen vorzunehmen.

Möchten Sie einen Blick auf die Auditergebnisse und deren Behandlung mit der SAST SUITE werfen? Dann freuen Sie sich auf Teil 2 des Blogbeitrages „SAP-Systemaudit mit SAST Risk and Compliance Management“, in dem wir Ihnen zeigen, wie Sie mit diesem Modul ein vollständiges Mitigierungs-Berichtswesen erhalten.

Vorab finden Sie hilfreiche Informationen auf unserer SAST SOLUTIONS Website oder melden Sie sich gerne direkt bei uns.

Matthias Anstötz (SAST SOLUTIONS)
Matthias Anstötz (SAP Security Consultant, SAST SOLUTIONS)

 

Das könnte auch noch interessant für Sie sein:

SAP Security Audit Log – Empfehlungen für ein optimales Monitoring

Dank Security Audit und RFC-Schnittstellenprüfung Schwachstellen in SAP-Systemen erkennen und schließen