Laut einer Umfrage aus dem Jahr 2023 waren rund 58 % der Unternehmen in Deutschland bereits Opfer einer Cyber-Attacke. Daher ist es unerlässlich, kritische Aktivitäten zu protokollieren, um die Datenintegrität und -konsistenz zu wahren. Ein effektives SAP Security Audit Log (SAL) hilft dabei, auffälliges Verhalten zu überwachen, Unregelmäßigkeiten frühzeitig zu erkennen und rasch darauf zu reagieren. Auf diese Weise schützen Sie die Business Continuity sowie den Ruf Ihres Unternehmens.
SAP Security Audit Log ist ein Werkzeug für Auditoren im SAP Standard, das sicherheitskritische Ereignisse aufdeckt. Es teilt auffälliges Nutzer- und Systemverhalten in 3 Risikostufen ein, die im System aufgezeichnet und protokolliert werden:
Ziel ist die Steigerung der Systemsicherheit, indem die Erkennung sicherheitsbezogener Änderungen wie Missbrauch und Fehlern in der SAP-Landschaft vereinfacht wird. Auf diese Weise wird die Einhaltung von Unternehmensstandards sowie gesetzliche Vorgaben ermöglicht.
Darüber hinaus sorgt SAP Security Audit Log durch detaillierte Dokumentation für mehr Transparenz und erhöht die Nachvollziehbarkeit von Ereignissen wie erfolglosen Transaktionsstarts.
Beim SAP HANA Audit Logging wird zwischen dem Audit Log und den Audit Policies unterschieden. Während das Audit Log alle Ereignisse erfasst, legen Audit Policies fest, welche Aktivitäten protokolliert werden. Dazu zählen Änderungen an Objekten, Datenmanipulationen oder betriebliche Anpassungen.
Audit Policies können gezielt aktiviert oder deaktiviert werden und erfassen auch fehlgeschlagene Aktionen, etwa bei der Authentifizierung. Sie ermöglichen eine kontextspezifische Protokollierung und Klassifizierung der Ereignisse für Security Information und Event Management (SIEM)-Tools. Einige systembedingte Vorgänge, wie Upgrades oder OS-Level-Änderungen, können jedoch nicht protokolliert werden.
Das Audit Logging wird über die Transaktion RZ10 aktiviert, indem der SAP Security Audit Log Parameter rsau/enable auf den Wert 1 gesetzt wird. Auf diese Weise wird die Protokollierung nach einem Neustart aktiv.
Gut zu wissen: Ab NetWeaver 7.4 sind Profilparameter wie dieser nicht mehr erforderlich. Stattdessen erfolgt die Aktivierung des SAP Security Audits über die Transaktion SM19, in der alle relevanten Parameter verwaltet werden.
Die Transaktion SM19 dient der Einrichtung der Filterkriterien und der Aktivierung der Filter.
Die Konfiguration von Audit Policies kann über verschiedene Methoden erfolgen:
Übernommene SAP-Standard-Policies sollten stets auf die individuellen Anforderungen geprüft werden. Es empfiehlt sich, mindestens folgende Audit Policies in der Produktion zu aktivieren.
Das Security Audit Log wird in SAP über die Transaktion SM20 ausgewertet. Mithilfe von Filtern können Logeinträge nach Zeitraum, Mandaten, Benutzern oder Audit-Klassen eingeschränkt werden. Die angezeigten Protokolle enthalten Informationen zu Datum und Uhrzeit, ausführender Benutzer, Ereignis und Risikostufe. Nach der Analyse lassen sich Maßnahmen wie das Sperren von Usern oder der Entzug von Berechtigungen umsetzen.
Mit dem Identity and Access Management von Xiting erhalten Sie umfassende Unterstützung im Hinblick auf die Berechtigungsverwaltung und schützen Ihr SAP-System vor unbefugtem Zugriff.
Durch Single Sign-On (SSO), Multi-Factor Authentication (MFA) und regelmäßige Audit & Security Checks wird die Sicherheit nachhaltig erhöht und die Einhaltung der Compliance garantiert.
Zudem verfügt Xiting über umfangreiche Erfahrung in der Implementierung von SAP HANA-Berechtigungskonzepten – einschließlich der Definition und Aktivierung von SAP HANA Audit Policies.
Haben wir Ihr Interesse geweckt? Zögern Sie nicht, uns zu kontaktieren und wir erzählen Ihnen gern mehr.
Das SAP SOX Security Audit prüft, dass SAP-Systeme den Anforderungen des Sarbanes-Oxley Acts (SOX) entsprechen. Es ist in erster Linie für US-amerikanische Unternehmen relevant, aber betrifft auch Unternehmen, die mit US-Unternehmen zusammenarbeiten oder an US-Börsen notiert sind. Ziel des SOX Security Audits ist es, die Zuverlässigkeit der Finanzdaten zu überprüfen.
Alte Log-Dateien (mind. 3 Tage alt) können über die Transaktion SM18 gelöscht werden. Einzelne Einträge lassen sich jedoch nicht entfernen.
In S/4HANA steht die Transaktion SM18 nicht mehr zur Verfügung. Stattdessen wird die Folgetransaktion RSAU_ADMIN verwendet.
Ein Berechtigungskonzept regelt die Zugriffsverwaltung und stellt sicher, dass Rollen und Privilegien angemessen vergeben werden. Unsachgemäße Berechtigungen können dazu führen, dass Anwender ihre Verantwortungsbereiche überschreiten und damit die Compliance gefährden.
Das SAP Security Audit überwacht die Einhaltung des Berechtigungskonzepts und identifiziert Sicherheitsrisiken. Mithilfe von Protokollierungsmechanismen wie dem Audit Log lassen sich unautorisierte oder ungewöhnliche Zugriffe erkennen und analysieren.