bestens Bescheid

www.ibs-schreiber.de

Forensische Methoden im SAP-Systemzur Aufdeckung von Fraud-Delikten

Fraud im SAP-Umfeld kann u.a. folgende Bedeutungen haben:

-Unautorisierte Datenzugriffe über kritische Programmiertechniken in Eigenentwicklungen (z.B. Backdoors)-Unautorisierte Buchungen (z.B. Falsche Berechtigungen, kein 4-Augen Prinzip)-Unautorisiertes Ändern von Daten (z.B. Ändern von Bankverbindungen)-Unautorisiertes Anzeigen von Daten (Datendiebstahl)

Um kritische Programmiertechniken zu vermeiden, müssen entsprechende Sourcecode-Analysen in den Antrags-, Test- und Freigabeprozess implementiert werden. Dies ist nicht Thema dieses Vortrags

Für unautorisierte Buchungen können beispielsweise statistische Methoden für gebuchte Belege eingesetzt werden, um „Ausreißer“ oder sonstige Auffälligkeiten zu ermitteln, dies ist nicht Thema dieses Vortrags.

Für die anderen Punkte der Fraud-Analyse ist es wichtig, ein möglichst umfassendes Bewegungsprofil einer verdächtigen Person im SAP-System erstellen zu können, dafür können die folgenden Aufzeichnungsverfahren genutzt werden.



• Klassische Änderungsaufzeichnungen– Tabellenänderungsprotokolle (Customizing)– Änderungsbelege (Stamm-, Bewegungsdaten)– Versionshistorie (Entwicklungsumgebung)

• Weitere Verfahren in der Basis– Änderungen in der Benutzer- und Berechtigungsverwaltung– Systemprotokollierung (Sys Log) – Das Security Audit Log– Auswertungen über das CCMS– Protokolle für die Systemänderbarkeit– Versionierung der Profildateien– Änderungsaufzeichnungen in der Transaktion SE16N– Änderungen an Betriebssystemkommandos



• Weitere Verfahren im Modulübergreifend– Anwendungs Log

• Weitere Verfahren im HCM– Protokollierung von Infotypenänderungen– Protokollierung von Reportstarts

• Fallbeispiele für Benutzer MR_FRAUD– Hat er sich Berechtigungen zugeordnet/entzogen?– Hat er einen anderen Benutzer „aktiviert“?– Hat er Debugging mit Replace durchgeführt?– Hat er über die TA SE16 sensible Tabellen angezeigt?– Hat er Bank-Kontodaten von Lieferanten geändert?


TabellenänderungsprotokolleThema: Änderungen im Customizing

-Funktion:- Muss aktiviert werden (Parameter rec/client)- Aktivierung pro Tabelle (Tabelle DD09L)

-Anzeige:- Überblick über Tabelle DBTABLOG- Detailanzeige über Report RSTBHIST

-Löschen- Über den Report RSTBPDEL können Tabellenänderungsprotokolle

nicht nachvollziehbar gelöscht werden


Tabellenänderungsprotokolle- Tabelle DBTABLOG, Selektion:


Tabellenänderungsprotokolle- Tabelle DBTABLOG, Ergebnis:


Tabellenänderungsprotokolle- Report RSTBHIST, Selektion:


Tabellenänderungsprotokolle- Report RSTBHIST, Ergebnis:


ÄnderungsbelegeThema: Änderungen in Stamm- und Bewegungsdaten

-Funktion:- Für den SAP-Standard automatisch- Aktivierung für eigene Tabellen nötig (Tabelle TCDOB)

-Anzeige:- Über Tabellen CDHDR und CDPOS oder Report RSSCD100

-Löschen- Über den Report RSCDOK99 können Tabellenänderungsprotokolle

nicht nachvollziehbar gelöscht werden


Änderungsbelege- Tabelle CDHDR, Selektion:


Änderungsbelege- Tabelle CDHDR, Ergebnis:


Änderungsbelege- Tabelle CDPOS, Selektion:


Änderungsbelege- Tabelle CDPOS, Ergebnis:


VersionenThema: Änderungen in der Entwicklungsumgebung

-Funktion:- Automatisch, z.B. bei Transporten

-Anzeige:- In der jeweiligen Entwicklertransaktion (z.B. SE38 für Reports)- Übergeordnet mit dem Report RSVCDI00- Aktuelle Versionen (letzter Änderer in Tabelle SMODILOG)

-Löschen- Über die Reports RSVCAD00 (03, 04) können Versionen nicht nachvollziehbar

gelöscht werden


Versionen- Anzeige in Änderungstransaktion, Versionsvergleich:


Versionen- Anzeige in Änderungstransaktion, Ergebnis:


Änderungen in der Benutzer- und Berechtigungsverwaltung

Thema: Benutzer- und Berechtigungsverwaltung

-Funktion:- Änderungen werden über verschiedene Verfahren aufgezeichnet (eigene

Tabellen im Benutzerumfeld und Änderungsbelege- Aufzeichnung erfolgt automatisch

-Anzeige:- Zentrale Auswertung über das Benutzerinformationssystem (TA SUIM),

Kategorie Änderungsbelege



- Anzeige in Transaktion SUIM:



- Anzeige in Transaktion SUIM, Änderung Rollen-, Profilzuordnung:



- Anzeige in Transaktion SUIM, Änderung Rollen-, Profilzuordnung, Ergebnis:



- Anzeige in Transaktion SUIM, Änderung Benutzereigenschaften:



- Anzeige in Transaktion SUIM, Änderung Benutzereigenschaften, Ergebnis:


System LogThema: Diverse Systemereignisse

-Funktion:- Aufzeichnung automatisch- Konfiguration über Parameter rslg/*- Abspeichern auf Betriebssystemebene in Textdateien- Aufzeichnung einzeln pro Instanz

-Anzeige:- Über die Transaktion SM21- Mögliche Ereignisse für Filterungen in der Tabelle TSL1T

-Löschen- Dateien werden im SAP-Standard nach wenigen Tagen automatisch

überschrieben- Dateien können auf Betriebssystemebene geändert/gelöscht werden


System Log- Anzeige in Transaktion SM21, Selektion:


System Log- Anzeige in Transaktion SM21, Ergebnis:


Audit LogThema: Bewegungsprofil ausgewählter Benutzer

-Funktion:- Muss vom Kunden aktiviert und konfiguriert werden- Konfiguration über Parameter rsau/*- Abspeichern auf Betriebssystemebene in Textdateien- Aufzeichnung einzeln pro Instanz

-Anzeige:- Anzeige der Konfiguration über die Transaktion SM19- Anzeige der Protokolle über Transaktion SM20

-Löschen- Über die Transaktion SM18 können Audit Log Protokolle nicht nachvollziehbar

gelöscht werden- Dateien können auf Betriebssystemebene geändert/gelöscht werden


Audit Log- Anzeige in Transaktion SM20, Selektion:


Audit Log- Anzeige in Transaktion SM20, Ergebnis:


Auswertungen über das CCMSThema: Statistische Aufzeichnungen aller Benutzer

-Funktion:- Automatische Aufzeichnung für alle Benutzer:

Transaktionsstarts, Reportstarts, RFC-Aufrufe- Konfiguration über Parameter stat/*- Im SAP Standard: Speicherung der Daten für 2 Monate- Abspeichern auf Betriebssystemebene in Textdateien

-Anzeige:- Anzeige über Transaktion STAD, ST03N- Übergeordnete Auswertung über Funktionsbaustein

swnc_collector_get_aggregates

-Löschen- Dateien können auf Betriebssystemebene geändert/gelöscht werden


Auswertungen über das CCMS- Anzeige in Transaktion ST03N:


Protokolle SystemänderbarkeitThema: Systemöffnung für System-Customizing und Entwicklungsumgebung

-Funktion:- System muss vom Kunden geschlossen werden (Report RSWBO004)- Schutz gegen Änderungen von Systemtabellen und Entwicklungsumgebung- Automatische Protokollierung

-Anzeige:- Anzeige innerhalb des Reports RSWBO004


Protokolle Systemänderbarkeit- Anzeige in Report RSWBO004, Aufruf Historie:


Protokolle Systemänderbarkeit- Anzeige in Report RSWBO004, Ergebnis:


Versionierung der ProfildateienThema: Systemkonfiguration über Systemparameter

-Funktion:- Systemverhalten wird stark von der Einstellung sicherheitsrelevanter

Systemparameter beeinflusst- Für die meisten Parameteränderungen muss das System neu gestartet werden,

einige sind auch dynamisch änderbar- Automatische Protokollierung- Ablage auf Betriebssystemebene in Textdateien

-Anzeige:- Versionierung innerhalb der Pflegetransaktion RZ10


Versionierung der Profildateien- Anzeige in Transaktion RZ10, Selektion:


Versionierung der Profildateien- Anzeige in Transaktion RZ10, Ergebnis (2x SPRINGEN – AUSFÜHRLICHERE

LISTE):


Änderungsaufzeichnungen in der Transaktion SE16N

Thema: Änderungsaufzeichnung speziell für TA SE16N

-Funktion:- Alle Tabellen können mit dieser Transaktion im Debugging-Modus geändert

werden (auch bei geschlossenem System)- Automatisch Protokollierung auch bei ausgeschalteter

Tabellenänderungsprotokollierung

-Anzeige:- Änderungen stehen in Tabelle SE16N_CD_KEY (Headerdaten),

SE16N_CD_DATA (Positionsdaten)



- Anzeige in Tabelle SE16N_CD_KEY, Selektion:



- Anzeige in Tabelle SE16N_CD_KEY, Ergebnis:



- Anzeige in Tabelle SE16N_CD_DATA, Selektion:



- Anzeige in Tabelle SE16N_CD_DATA, Ergebnis:


Änderungen an BetriebssystemkommandosThema: Anonyme Datenzugriffe auf die Betriebssystemebene

-Funktion:- Über Logische Betriebssystemkommandos können über den SAP-

Betriebssystembenutzer Dateien ausgelesen/gepflegt werden- Kommandos werden im System vordefiniert- Über Report RSBDCOS0 können Kommandos ohne vorherige Definition

abgesetzt werden

-Anzeige:- Änderungen vordefinierter Kommandos in Tabelle SXPGHISTOR- Aufruf des Rep. RSBDCOS0 über Sys Log


Änderungen an Betriebssystemkommandos- Anzeige in Tabelle SXPGHISTOR:


Weitere Verfahren modulübergreifendThema: Anwendungslog für wichtige Aktivitäten in den Modul

-Funktion:- Das Anwendungslog wird automatisch gefüllt- Verschiedene, von den Entwicklern festgelegte Meldungen werden

geschrieben, z.B. Zahlllauf in FI oder Extraktorchecker im BI-Umfeld

-Anzeige:- Anzeige über TA SLG1 oder Tabelle SMMAIN


Weitere Verfahren modulübergreifend- Anzeige in Tabelle SMMAIN, Selektion:


Weitere Verfahren modulübergreifend- Anzeige in Tabelle SMMAIN, Ergebnis:


Weitere Verfahren im HCMThema: Protokollierung von Infotypenänderungen

-Funktion:- Änderungen an Infotypen werden nur aufgezeichnet, wenn dies explizit im

Customizing über die Tabellen T585A und T585B aktiviert wurde

-Anzeige:- Anzeige der Änderungsprotokolle über den Report RPUAUD00

-Löschen:- Über den Report RPUAUDDL können die Protokolle zur Infotypen-Änderung

gelöscht werden


Weitere Verfahren im HCM- Anzeige in Report RPUAUD00, Selektion:


Weitere Verfahren im HCM- Anzeige in Report RPUAUD00, Ergebnis:


Weitere Verfahren im HCM- Anzeige in Report RPUAUD00, Ergebnis Details (Doppelklick):


Weitere Verfahren im HCMThema: Protokollierung von Reportstarts

-Funktion:- Protokolle von Reportstarts werden nur aufgezeichnet, wenn dies explizit im

Customizing über die Tabelle T599R aktiviert wurde

-Anzeige:- Anzeige der Protokolle über den Report RPUPROTD

-Löschen:- Über den Report RPUPROTU können die Protokolle gelöscht werden


Weitere Verfahren im HCM- Anzeige in Report RPUPROTD, Selektion:


Weitere Verfahren im HCM- Anzeige in Report RPUPROTD, Ergebnis:


Weitere Verfahren im HCM- Anzeige in Report RPUPROTD, Ergebnis Details (Doppelklick):


Fallbeispiele für MR_FRAUDFrage: Hat er sich Berechtigungen zugeordnet/entzogen?Frage: Hat er einen anderen Benutzer „aktiviert“?Frage: Hat er Debugging mit Replace durchgeführt?Frage: Hat er über die TA SE16 sensible Tabellen angezeigt?Frage: Hat er Daten in eine Datei heruntergeladen?Frage: Hat er Bank-Kontodaten von Lieferanten geändert ?


Fallbeispiele für MR_FRAUDFrage: Hat er sich Berechtigungen zugeordnet/entzogen?- Funktion: TA SUIM – ÄnderungsbelegeFrage: Hat er einen anderen Benutzer „aktiviert“?- Funktion: TA SUIM – ÄnderungsbelegeFrage: Hat er Debugging mit Replace durchgeführt?- Funktion: TA SM21 – Meldungskennung A19Frage: Hat er über die TA SE16 sensible Tabellen angezeigt?- Funktion: TA STADFrage: Hat er Daten in eine Datei heruntergeladen?- Funktion: TA SM20Frage: Hat er Bank-Kontodaten von Lieferanten geändert ?- Funktion: Report RSSCD100 – Objektklasse KRED


Vielen Dank,

…jetzt nur noch kurz die Workshop-Vorstellung, und dann Hamburg entdecken…

Documents

bestens Bescheid