Impressum
Mediadaten

Bei IT-Audit.de erschienen

agens Consulting GmbH

Aufgrund unserer lang-
jährigen Beratungs- und Prüfungserfahrung haben wir ein tiefgehendes Verständnis für Fach- und Anwendungsarchitekturen entwickelt. Mit den verfügbaren SAP-Land-
schaften sind wir  bestens vertraut.

Vor diesem Hintergrund haben wir eine Themen-
landschaft aufgebaut, die vom Einsatz der mySAP.com Technologie über Sicherheitsarchi-
tektur bis hin zu strate-
gischen Themen reicht.

Standardlösungen sind oftmals nicht gut genug. Daher haben wir verschiedene Lösungs-
komponenten weiterent-
wickelt oder eine Integration mit eigenen Produktansätzen forciert.

Integrative Aspekte sind unsere Stärke.

agens Consulting GmbH

  SAP-Passwort-Sicherheit (pdf 52 kb) - Frank Dittrich beschäftigt sich in seinem Artikel mit der Sicherheit der SAP-Passwörter. Dabei zeigt er nicht nur die Risiken auf, sondern macht auch konkrete Verbesserungsvorschläge; erschienen August 2003. Frank Dittrich geht im Review (pdf 126 kb) zu seinem Artikel auf Änderungen im SAP-
Standard ein und erläutert Schwächen in den Hash-Algorithmen.

  SAP R/3 Berechtigungen (pdf 48 kb) - einem der vernachlässigten Themen bei SAP Projekten geht Thomas Frey in diesem Artikel nach; erschienen April 2003.

  Veränderungen im Bestellwesen von SAP R/3 bis Rel. 4.5 (pdf 1 mb) - Problemstellung und Lösungsansatz von Christoph Wildensee; erschienen Juni 2003.

  Berechtigungsprüfungen in SAP R/3 HR – Personalwirtschaft (pdf 137 kb) - Christoph Wildensee diskutiert die Zugriffsschutzmechanismem im SAP R/3 HR; erschienen Oktober 2006.

Im Exkurs “Auswertungen im Bereich ESS /Zeitwirtschaft” (pdf 212 kb) zu obigen Artikel nimmt Christoph Wildensee die Berechtigungen der “Employee Self Services” unter die Revisionslupe; erschienen November 2006.

  Benchmark-Assessment zur SAP-Sicherheit (doc 646 kb) - in diesem Artikel stellt Dipl. Kfm. Jörg Altmeier die von wikima4 in 2007 geplante zweite Studie zur SAP-Sicherheit vor.

Bei IT-Audit.de verfügbar

  Compliance Monitoring in SAP-Systemen (pdf 0,99 mb) - Dipl. Kfm. Jörg Altmeier geht der Frage nach was ein Werkzeug zum SAP Compliance Monitoring alles leisten muss.

  Manipulationsmöglichkeit im Rahmen der SAP-Tabellenänderungsberechtigung anhand eines Beispiels - (pdf 64 kb) erschienen im ReVision III/2003, Artikel von Christoph Wildensee.

  Tabellen-Debugging in SAP R/3 (pdf 338 kb) - eine unterschätzte Gefahrenquelle in der Administration - erschienen im ZIR 4/2003, Artikel von Christoph Wildensee.

  Sicherheitskonzeption in SAP R/3 (pdf 520 kb) - Regelungsbedarf über die Berechtigungsdefinition und -vergabe hinaus - erschienen im ZIR 4/2002, Artikel von Christoph Wildensee.

 nach oben

  Das Rollenkonzept in SAP R/3 (pdf 199 kb) - Gestaltungsmöglichkeiten aus Sicht der IV-Revision - erschienen im ReVision III/2002, Artikel von Christoph Wildensee.

  Ausgesuchte Berechtigungsobjekte des SAP R/3 Systems als Prüfungsansatz für die IV-Revision - Eine Übersicht von Christoph Wildensee:

• Download Teil 1 SAP Basis (pdf 45 kb) erschienen im ReVision III/2001
• Download Teil 2 SAP FI (pdf 42 kb) erschienen im ReVision IV/2001
• Download Teil 3 SAP CO (pdf 43 kb) erschienen im ReVision I/2002

Links zu Artikeln

  Externer Zugriff auf SAP R/3-Systeme über RFC (pdf 472 kb) - Artikel von Christoph Wildensee, erschienen in PRev Revisionspraxis II/2006.

  Empfehlungen zu SAP-Sicherheitseinstellungen (Profilparameter) (pdf 76 kb) - download von der Webseite der IT AUDIT GmbH Wirtschaftsprüfungsgesellschaft.

  Neuerungen bei den Kennwortregeln in SAP (pdf 210 kb) -  download von der Webseite der IT AUDIT GmbH Wirtschaftsprüfungsgesellschaft.

  “Überblick über die SAP R/3 IS-U-Funktions- und Berechtigungsanpassungen durch IDEX-GE” (pdf 129 kb) - download von der Webseite von Christoph Wildensee.

  Kritische SAP R/3-Berechtigungsobjekte im IS-U (pdf 180 kb) - Artikel von Christoph Wildensee.

  Betriebssystemkommandos unter SAP R/3 - Backdoor oder Feature? - von Stefan Hölzner.

  Wir hacken eine SAP Datenbank - von Jochen Hein.

  AIS Das Audit Information System von SAP - Ein Werkzeug für die Revision? - Artikel von Van Acken & Partner.

  SAP NetWeaver security parameter (pdf 79 kb) - Artikel von Marie Wagener, erscheinen im März 2008

  SAP DB Privilege Escalation/Remote Code Execution - Advisory von @stake, erschienen 11/2003.

  Multiple Issues with SAP DB Web-tools - Advisory von @stake, erschienen 11/2003.

  Analyse eines SAP-Virus - von Jochen Hein, erschienen 2002.

  Advisory zu SAP R/3 mit Oracle - von Jochen Hein, erschienen 2002.

  Advisory zu SAP R/3 Web Application Server Demo für Linux - von Jochen Hein, erschienen 2001.

Präsentationen

  SAP Berechtigungskonzept - Ein Praxisbericht (pdf 856 kb)- ein Vortrag vom Euroforum 2003 von Thomas Barthel von der Forbit GmbH.

 nach oben

  mySAP.com: (zip 879 kb) - E-Business Security - gezippte Powerpoint Präsentation der SAP AG.

  Definition eines SAP-R/3-Systemschutzes für die BMW Group (pdf 152 kb) - Darstellung der Aufgabe, der Lösung und des Nutzens von der secunet Security Networks AG.

  Exploiting SAP Internals (pdf 665 kb) - Security Analyse des RFC Interface von CYBSEC, Präsentation zum Vortrag auf der Black Hat 2007.

SAP R/3-Berechtigungswesen - Design und Realisierung von Berechtigungskonzepten für SAP R/3
und SAP-Enterprise-Portal - Sie erfahren, worauf es bei Berechtigungen ankommt, welche technischen Bedingungen zu beachten sind, und werden über praxiserprobte Methoden zur Entwicklung eines effektiven Berechtigungswesens informiert. Besonders hilfreich ist dabei die Darstellung von Vorgehensmodellen für die Design- und die Realisierungsphase. Und auch bei der Prüfung von Berechtigungskonzepten werden Sie durch dieses Buch zuverlässig beraten. Sie erhalten Einblick in die erfolgskritischen Aspekte bei der Erstellung von Berechtigungen mit dem Profil-Generator. Das Buch behandelt neben SAP R/3 (Release 4.6C) auch die Besonderheiten von SAP Enterprise Portal und ermöglicht so die Entwicklung von zukunftsfähigen SAP-Sicherheitskonzepten. Erschienen 2002 - amazon.de Kundenrezension 3 bis 5 Sterne.

SAP Handbuch Sicherheit und Prüfung. Praxisorientierter Revisionsleitfaden für R/3 - erschienen 2003 - amazon.de Kundenrezension 5 Sterne.

OPSAP - Ordnungsmäßigkeit und Prüfung des SAP R/3-Systems - Die 2. Auflage wurde angepasst an die R/3-Releasestände 4.6C und Enterprise. Alle Kapitel wurden überarbeitet und teilweise sehr umfassend ergänzt. Viele neue Themen, die für eine Prüfung bzw. für ein Sicherheitskonzept unerlässlich sind, sind hinzugekommen (z.B. das Transportwesen). Wieder sind umfassende Checklisten enthalten zusammen mit den Hinweisen, wie jeder einzelne Punkt zu prüfen ist. Erschienen 2004 (zweite Auflage) - amazon.de Kundenrezension noch keine.

  Praxisleitfaden für SAP R/3 FI - Basierend auf den gesetzlichen Anforderungen befasst sich dieses Buch mit den Prüfungsanforderungen und deren Umsetzungen zur Einrichtung einer ordnungsmäßigen Finanzbuchhaltung in SAP R/3® Systemen. Resultierend aus den spezifischen Anforderungen des geprüften ERP Systems ist der Aufbau dieses Fachbuches maximal praktisch ausgerichtet. Sämtliche Prüfschritte sind ausführlich erläutert und werden durch referenzierende Checklisten ergänzt. Neben den relevanten Prüfbereichen wie Organisationseinheiten, Kreditoren-, Debitoren- und Sachkontenbuchhaltung werden genauso die Verbuchungsprinzipien, die automatischen Abläufe, das Customizing, Maßnahmen zum Forensic Accounting und Monitoring behandelt. Ein besonderer Schwerpunkt ist den speziellen Anforderungen zur Berechtigungskonzeption gewidmet. Zusammen mit erklärenden Ausführungen werden Sie durch dezidierte Handlungsanweisungen bei der direkten Verprobung am System unterstützt. Selbstverständlich ist auch die relevante Schnittstelle zur Materialwirtschaft integriert. Mit diesem Praxisleitfaden können Sie sämtliche Prüfungshandlungen selbstständig am SAP R/3® System durchführen. Erschienen 2004 - amazon.de Kundenrezension 5 Sterne.

  Praxisleitfaden für SAP R/3 MM - Das Buch ist als maximal praxisorientierter Handlungsleitfaden konzipiert. Neben dem Grundlagenwissen für praktische Prüfungshandlungen in einem SAP R/3® System werden alle relevanten Prüfbereiche - sukzessive aufbauend auf dem vollständigen Einkaufszyklus – Schritt für Schritt erläutert. Neben den thematischen Schwerpunkten wie z.B. Organisationseinheiten, Bedarfsplanung / Prognose, Bestellanforderung, Bestellung, Anfragen / Angebote, Bestellungen / Kontrakte, Bestandsführung / Bewertung, Kreditoren, Rechnungseingang und Inventur werden sämtliche Prüfbereiche ausführlich erläutert. Selbstverständlich werden auch alle relevanten Schnittstellen zur Finanzbuchhaltung analysiert. Die referenzierenden Prüfungshandlungen werden jeweils zusammenfassend vorgestellt und durch umfangreiche Checklisten ergänzt. Als gesonderter Schwerpunkt sind die berechtigungskonzeptionellen Anforderungen integriert. Zusammen mit erklärenden Ausführungen werden Sie mittels dezidierter Handlungsanweisungen bei der direkten Verprobung am System unterstützt. Mit diesem neuen Praxisleitfaden der Autorin können Sie, genauso wie bereits in ihrem Buch „Praxisleitfaden für SAP R/3® FI“, sämtliche Prüfungshandlungen selbständig am SAP R/3® System durchführen. Erschienen 2005 - amazon.de Kundenrezension 5 Sterne.

 nach oben

Sicherheit und Datenschutz mit SAP-Systemen - Maßnahmen für die betriebliche Praxis - erschienen 2002 - bei amazon.de zur Zeit nur gebraucht verfügbar (Juli 2004).

  SAP-Prüfleitfäden - vom SAP Arbeitskreis Revision/Risikomanagement zu R/2, R/3; Datenschutz R/3, BW;
mySAP CRM

  Jim Kaplan’s AuditNet hat jetzt die Checklisten zu ERP-Systemen zusammengefasst, es sind hauptsächlich Checklisten für SAP.

  SAP Security Guide, VOLUME I, Version 2.0a (Download von IT-Audit.de, 315 kb).

  SAP Security Guide, VOLUME II, Version 3.0 (Download von IT-Audit.de, 2.808 kb).

  SAP Security Guide, VOLUME III, Version 2.0a (Download von IT-Audit.de, 207 kb)

    RFC/ICF Security Guide - in der SAP Library

  Security and Control for SAP R/3 - Ein Summary des “Security and Control Handbook” - erstellt 1998 vom ANOA (Australian National Audit Office).

 nach oben

  SAP Arbeitskreis Wirtschaftsprüfung und Revision - hier sind Termine, Teilnehmer und die Prüfleitfäden zu finden.

  MarieWagener.de - auf der Webseite von Marie Wagener finden sie Artikel, Arbeitshinweise, Link- und Buchtipps, sowie eine vollständige Ausgabe des Praxisleitfaden für SAP CO.

  Revisionsportal-Austria.com - eine umfangreiche Informations- und Linksammlung zum Thema SAP Compliance, Corporate Risk Management mit SAP sowie den klassischen Fragestellungen der SAP Prüfung, Sicherheit und Ordnungsmäßigkeit.

  SAP Netweaver Security - Abschnitt zur IT-Sicherheit innerhalb der Webseite des SAP Developer Network/Business Process Expert Community, mit Informationen, Neuigkeiten und auch einem Diskussionsforum.

  SAP Service Marketplace "Security" (Service Marketplace UserID erforderlich).

  SAP Security Online - Sicherheitsinformationen zu den Modulen, Tutorials und Foren.

  ITtoolbox SAP Security Discussion - Forum der ITtoolbox zur SAP-Security.

  SAPSECURITY.NET - viele Dokumente, Checklisten und Security-Tipps zu SAP.

Auf der Webseite trinler.net sind die SAP Standard-Passwörter zu finden.