{"id":2920,"date":"2021-05-28T09:34:56","date_gmt":"2021-05-28T07:34:56","guid":{"rendered":"https:\/\/sast-solutions.de\/blog-de\/?p=2920"},"modified":"2021-10-14T14:04:45","modified_gmt":"2021-10-14T12:04:45","slug":"wirtschaftspruefer-it-audit-hacker-vielleicht-schon-da","status":"publish","type":"post","link":"https:\/\/sast-solutions.de\/blog-de\/2021\/05\/28\/wirtschaftspruefer-it-audit-hacker-vielleicht-schon-da\/","title":{"rendered":"Wenn der Wirtschaftspr\u00fcfer zum IT-Audit klingelt, war der Hacker vielleicht schon da"},"content":{"rendered":"

\"SASTDas Prozedere ist in mittelst\u00e4ndischen und gro\u00dfen Unternehmen hinl\u00e4nglich bekannt: Alle Jahre wieder klingelt der Wirtschaftspr\u00fcfer zum IT-Audit, das im Zuge der Jahresabschlusspr\u00fcfung durchgef\u00fchrt wird. Die grunds\u00e4tzliche Zielsetzung besteht darin, die Sicherheit und Integrit\u00e4t des gepr\u00fcften Systems (in der Regel das buchhaltungsf\u00fchrende SAP-System) sicherzustellen und m\u00f6gliche Risiken aufzuzeigen. Dargestellt in einem Management Letter sollen daraus resultierend Folgeschritte definiert werden, um diese Risiken zuk\u00fcnftig zu kompensieren. Aber ist dieser Ansatz noch zeitgem\u00e4\u00df?<\/p>\n

<\/p>\n

 <\/p>\n

Ein IT-Audit ist eine Momentaufnahme und sollte in eine Echtzeit\u00fcberwachung \u00fcberf\u00fchrt werden<\/strong><\/h2>\n

Fragen wir uns, ob durch die Audit-Pr\u00fcfungen die Risiken an der Wurzel gepackt und zeitnah identifiziert und behandelt werden, stellen wir fest, dass dies lediglich eine erg\u00e4nzende Komponente sein kann. Aus Risikosicht ist das keine l\u00f6sungsorientierte Vorgehensweise, insbesondere aufgrund der schnelllebigen IT-Landschaften.<\/p>\n

\"SAST<\/p>\n

Ein zeitgem\u00e4\u00dfer, ad\u00e4quater Ansatz lautet: \u201e360 Grad Echtzeit\u00fcberwachung\u201c \u2013 Risiken erkennen und transparent darstellen, wenn sie tats\u00e4chlich eintreten. Diesem Anspruch wird die SAST SUITE<\/a> mit ihrem Security Radar<\/a> gerecht. Statt einer stichprobenbasierten, einmaligen Pr\u00fcfung, deren Ergebnis statistisch f\u00fcr die Grundgesamtheit repr\u00e4sentativ ist, findet eine ereignisorientierte Echtzeit\u00fcberwachung des SAP-Systems statt, um auftretende Events unmittelbar zu erkennen und notwendige Folgeschritte einzuleiten.\u00a0<\/strong><\/p>\n

Mit der SAST SUITE finden Sie die Nadel im Heuhaufen!<\/strong><\/h2>\n

\"SAST<\/p>\n

Der SAST Security Radar verf\u00fcgt vorkonfiguriert (out of the box) \u00fcber Datenquellen bzw. Events, die laufend \u00fcberwacht werden. Tritt ein Event auf, wird unverz\u00fcglich ein Folgetask initiiert. Dies kann z.B. das Notifizieren des Sicherheitsverantwortlichen aber auch das Sperren eines laufenden Downloads bedeuten.<\/p>\n

Die nachfolgend dargestellten beispielhaften Events verdeutlichen die M\u00f6glichkeit, daraus entstehende Risiken augenblicklich zu entkr\u00e4ften:<\/p>\n

    \n
  • Das SAP-System wurde ge\u00f6ffnet > unmittelbare Notifikation<\/li>\n
  • Kritische Daten \/ Preise werden aus Tabellen heruntergeladen > Blockierung des Downloadvorgangs > Notifikation \/ Freigabe<\/li>\n
  • Einem Benutzer wird ein kritisches Profil zugewiesen (SAP_ALL etc.) > unmittelbare Notifikation<\/li>\n
  • Die kritische Transaktion XYZ wurde mit dem User ABC aufgerufen > unmittelbare Notifikation<\/li>\n
  • Ein Benutzer weist seinem eigenen SAP-User Rollen zu > unmittelbare Notifikation<\/li>\n<\/ul>\n

    AKQUINET business Robots als Erweiterung zum SAST Security Radar<\/strong><\/h2>\n

    Wir erweitern den SAST Security Radar basierten Ansatz noch aus der Perspektive \u201eCompliance\u201c und erm\u00f6glichen mit den AKQUINET business Robots (bRobots<\/strong>) regelbasiert auf konkrete Gesch\u00e4ftsvorf\u00e4lle einzugehen und diese entscheidungsbasiert, intelligent voranzutreiben:<\/p>\n

    \"SAST<\/p>\n

    Erfolgen beispielsweise \u00c4nderung von explizit als \u201ekritisch definierten\u201c Feldern (z.B. Bankdaten von Lieferanten, Preise, Lagerst\u00e4nde etc.), erkennt \u201eDecision+\u201c von bRobots dies und triggert einen Workflow (Workflow+). Dynamisch binden wir somit ein 4-Augen-Prinzip ein und holen die Freigabe der \u00c4nderung via \u201eApp+\u201c ein:<\/p>\n

    \"SAST<\/p>\n

    Das Ergebnis ist eine intelligente und regelbasierte Steuerung ohne starre, kosten- und ressourcenintensive Workflows mit fixen 4-Augen-Prinzipien.<\/p>\n

    In einem 2. Anwendungsfall fokussieren wir die kritische \u00c4nderung von Preisen:<\/p>\n

    \"\"<\/p>\n

    Wenn Benutzer, die theoretisch \u00fcber einen Funktionstrennungskonflikt verf\u00fcgen, Preise \u00fcber einen gewissen Prozentsatz, in Abh\u00e4ngigkeit mit weiteren Entscheidungsparametern (z.B. Materialart) reduzieren, triggert der bRobot dynamisch einen Workflow und wartet mit der Umsetzung der Preis\u00e4nderung im System, bis diese gepr\u00fcft und freigegeben ist.<\/p>\n

    Durch die Kombination von SAST Security Radar<\/a> und business Robots (bRobots<\/a>) erm\u00f6glichen wir, kritische Ereignisse im Kontext Security & Compliance dynamisch und intelligent zu erkennen, transparent zu machen und relevante Folgeschritte zu initiieren.<\/p>\n

    Tipp: Vertiefende Einblicke in dieses Thema erhalten Sie im gleichnamigen Webinar \u201eWenn der Wirtschaftspr\u00fcfer zum IT-Audit klingelt, war der Hacker vielleicht schon da\u201c. Fordern Sie einfach den Link zur Aufzeichnung<\/a> an und informieren Sie sich \u2013 am besten noch vor der n\u00e4chsten Audit-Pr\u00fcfung!<\/p>\n

    \"\"
    \nMichael M\u00fcllner (Head of Security & Compliance Services, AKQUINET \u00d6sterreich)<\/strong><\/p>\n

     <\/p>\n

    Das k\u00f6nnte Sie auch interessieren:<\/h2>\n

    Warum es wichtig ist, Transaktionen in SAP-Systemen zuverl\u00e4ssig zu \u00fcberwachen<\/a><\/p><\/blockquote>\n