Forensische Methoden im SAP-System zur Aufdeckung von Fraud-Delikten

Slides:



Advertisements
Ähnliche Präsentationen
ONTABLES ONTABLES Einführung.
Advertisements

Einleitung Mit dieser PowerPoint-Präsentation möchten wir Ihnen einen kurzen Überblick über die Funktionen und Möglichkeiten von MagnoTime32 geben. Mit.
g²HANDEL Auftragsverwaltung für Handelsvertretungen
g²FAHRZEUG Auftragsverwaltung für den Fahrzeughandel
Einer der Dienste im Internet
„Ansicht Arbeitsbereich“ ist die nutzerspezifische Ansicht, in der alle Dokumente aufgelistet sind, die dem angemeldeten Benutzer zugeordnet sind. D.h.
Technischer Systemüberblick
MS Office-Paket: Access
SAP R/3 - Speichermanagement
Dateihandles Um in Perl eine bestimmte Datei zum Lesen, Schreiben oder Anhängen zu öffnen, benötigt man so genannte Dateihandles. Ein Dateihandle ist der.
Kapitel 14: Recovery Oliver Vornberger
Der VFP Debugger - Coverage und Profiling. © 1999 TMN-Systemberatung GmbH Der VFP Debugger n Neues Aussehen, eigene Task n Erweiterte Möglichkeiten n.
... und alles was dazugehört
Welche Funktion hat die php.ini? -Beinhaltet wichtige Einstellungen für PHP. Genannt seien hier u.a. der Speicherort von Cookies, Parameter der Kompilierung,
Arbeiten mit dem BSCW Nils van den Boom.
Titel Beispiel Elektronischer Kontoauszug
Erste Schritte zur Konfiguration
Ein Produkt der blueend web:applications AG Customer Relationship Management - Funktionsumfang -
BASE Bauverwaltung eGovernment Bauverwaltung - ONLINE Copyright © Boll und Partner Software GmbH klick für weiter.
Vorstellung.
Installation und Aktivierung.
Windows Presentation Foundation WS 2013/14 Prof. Dr. Herrad Schmidt
SharePoint Sicherheitsmanagement, Berechtigungen und Datenschutz
P060 - IFI-Pflegedialogsystem - Termine und Nachrichten Ingenieurbüro für Informationssysteme Konzepte und Marketing Gerade Straße Buchholz i.d.N.
Auftrag Benutzer-Felder Meldung Rückmeldung Material-Buchung integrierter unsichtbarer Workflow Komplette PM-Abwicklung Saager Management Consultants Tel.:
Test-Checker: Lehrer Version Manual Programm von Martin Schügerl.
Fracht Management System
EasyM Ein Werkzeug zur Dokumentation Ihrer Leistung Ablaufschemata BERGER Analysen und Informationstechnik GmbH A-4048 Puchenau Klingberg 3
PULSION Medical Systems SE
Entwicklung verteilter Anwendungen II, SS 13 Prof. Dr. Herrad Schmidt SS 13 Kapitel 2 Folie 2 ASP.NET HTTP-Handler (1)
MediTOOLs 4.x. Neuerungen in der Version 4 Netzwerkfähigkeit für Mehrfachnutzung Automatische Berichterstellung Neue Grafikauswertung TREND-Analyse Schwellwertanzeigen.
TWS/Audit HORIZONT Produkt-Präsentation Software für Rechenzentren
Von Patrik, Yannik, Marc und Luca
die Auftragsbearbeitung für den Kleinbetrieb
Kläranlagenzustandsbericht ÖWAV-Arbeitsbehelf Nr. 22
Aufgaben Version 1: Es soll eine Wetterstation mit folgenden zwei Anzeigen implementiert werden: Aktuelle Wetterbedingungen mit Temperatur und.
PRO:CONTROL Ziel des Moduls Arbeitspakete
Hilfe Dokumente.
ICT – Modul Textverarbeitung
Systemvermessung SAP Basis Release 7.00
Systemvermessung SAP Basis Release 4.6C
Systemvermessung SAP Basis Release 4.0B
Anmeldung via Mit Mausklick Sprache wechseln Verfügbare Funktionen Maskenbeschrieb aufrufen - geschloss. Menü (640x480) + geöffnetes Menü (800x600)
MIC Report-Manager Übergreifende Funktionalität für das Informations- system, die Konsolidierung und Szenarien Basismodule Controlling & Reporting Ausgewähltes.
Die Management-Tools von Z&H COACH beinhalten zentrale Hilfsmittel für ein Management-System. Sorgfältig angewendet führen diese Tools Ihr Unternehmen.
Systementwurf Dipl.-Inform. Med. Anton Brass Helmholtz Zentrum München IBMI München,
VLAN als Thema der IHK-Prüfung
prof. dr. dieter steinmann Seite: 1 SAP Seminar 2006 Toleranzgrenzen, Tabellenpflege Foliensatz.
Registrar-Seminar Willkommen im Registrar-Web Hartmuth Schmidinger Registrar Support.
Datenbanken im Web 1.
prof. dr. dieter steinmann Seite: 1 SAP Seminar 2007 Transportauftrag anlegen Foliensatz.
prof. dr. dieter steinmann Seite: 1 SAP Seminar 2007 Transportauftrag anlegen Foliensatz.
Releasworkshop 1.85 Installation & Administration Dipl. Phys. Ralf Wagner Siegen Dezember 2009.
Verkauf – Debitoren Customer Relationship Management
Customizing Tools: Alarme
Journalbuchungen vornehmen SAP Business One Version 9.0
Preisfindung Verwalten von Preislisten
Preisfindung Rabattgruppen
Verkauf – Debitoren Vollständiger Verkaufsprozess
INTERN Preisfindung Sonderpreise für Geschäftspartner SAP Business One, Version 9.0.
Es gibt verschiedene Arten von Viren. Hier haben wir einige angeführt.
Einkauf - Kreditoren Artikel einkaufen
INTERN Interne Abstimmung SAP Business One Version 9.0.
Mandantenkopie / SAP* reaktivieren
AGU IT 2006, Seite 1 Produktionsauftragsverwaltung Produkte für WinCC Herstellvorschrift und Produktionsaufträge Lizenzpreis pro Anwendung 3850,-€Einrichtung.
Umstellung von Team4-Komponenten auf den Standard- Protokoll-Mechanismus von Microsoft SQL Server 2012 Johann Jansen y Alegret Team4 GmbH Seminarvortrag.
Use this title slide only with an image Klassifizierungsprüfung Gilt für folgende Support Packages: 7.00 SP14, 6.40 SP21, 6.20 SP63 Customer.
Universaltexte Christian Briehn
 Präsentation transkript:

Forensische Methoden im SAP-System zur Aufdeckung von Fraud-Delikten Fraud im SAP-Umfeld kann u.a. folgende Bedeutungen haben: Unautorisierte Datenzugriffe über kritische Programmiertechniken in Eigenentwicklungen (z.B. Backdoors) Unautorisierte Buchungen (z.B. Falsche Berechtigungen, kein 4-Augen Prinzip) Unautorisiertes Ändern von Daten (z.B. Ändern von Bankverbindungen) Unautorisiertes Anzeigen von Daten (Datendiebstahl) Um kritische Programmiertechniken zu vermeiden, müssen entsprechende Sourcecode-Analysen in den Antrags-, Test- und Freigabeprozess implementiert werden. Dies ist nicht Thema dieses Vortrags Für unautorisierte Buchungen können beispielsweise statistische Methoden für gebuchte Belege eingesetzt werden, um „Ausreißer“ oder sonstige Auffälligkeiten zu ermitteln, dies ist nicht Thema dieses Vortrags. Für die anderen Punkte der Fraud-Analyse ist es wichtig, ein möglichst umfassendes Bewegungsprofil einer verdächtigen Person im SAP-System erstellen zu können, dafür können die folgenden Aufzeichnungsverfahren genutzt werden.

Forensische Methoden im SAP-System zur Aufdeckung von Fraud-Delikten Klassische Änderungsaufzeichnungen Tabellenänderungsprotokolle (Customizing) Änderungsbelege (Stamm-, Bewegungsdaten) Versionshistorie (Entwicklungsumgebung) Weitere Verfahren in der Basis Änderungen in der Benutzer- und Berechtigungsverwaltung Systemprotokollierung (Sys Log) Das Security Audit Log Auswertungen über das CCMS Protokolle für die Systemänderbarkeit Versionierung der Profildateien Änderungsaufzeichnungen in der Transaktion SE16N Änderungen an Betriebssystemkommandos

Forensische Methoden im SAP-System zur Aufdeckung von Fraud-Delikten Weitere Verfahren im Modulübergreifend Anwendungs Log Weitere Verfahren im HCM Protokollierung von Infotypenänderungen Protokollierung von Reportstarts Fallbeispiele für Benutzer MR_FRAUD Hat er sich Berechtigungen zugeordnet/entzogen? Hat er einen anderen Benutzer „aktiviert“? Hat er Debugging mit Replace durchgeführt? Hat er über die TA SE16 sensible Tabellen angezeigt? Hat er Bank-Kontodaten von Lieferanten geändert?

Tabellenänderungsprotokolle Thema: Änderungen im Customizing Funktion: Muss aktiviert werden (Parameter rec/client) Aktivierung pro Tabelle (Tabelle DD09L) Anzeige: Überblick über Tabelle DBTABLOG Detailanzeige über Report RSTBHIST Löschen Über den Report RSTBPDEL können Tabellenänderungsprotokolle nicht nachvollziehbar gelöscht werden

Tabellenänderungsprotokolle Tabelle DBTABLOG, Selektion:

Tabellenänderungsprotokolle Tabelle DBTABLOG, Ergebnis:

Tabellenänderungsprotokolle Report RSTBHIST, Selektion:

Tabellenänderungsprotokolle Report RSTBHIST, Ergebnis:

Änderungsbelege Thema: Änderungen in Stamm- und Bewegungsdaten Funktion: Für den SAP-Standard automatisch Aktivierung für eigene Tabellen nötig (Tabelle TCDOB) Anzeige: Über Tabellen CDHDR und CDPOS oder Report RSSCD100 Löschen Über den Report RSCDOK99 können Tabellenänderungsprotokolle nicht nachvollziehbar gelöscht werden

Änderungsbelege Tabelle CDHDR, Selektion:

Änderungsbelege Tabelle CDHDR, Ergebnis:

Änderungsbelege Tabelle CDPOS, Selektion:

Änderungsbelege Tabelle CDPOS, Ergebnis:

Versionen Thema: Änderungen in der Entwicklungsumgebung Funktion: Automatisch, z.B. bei Transporten Anzeige: In der jeweiligen Entwicklertransaktion (z.B. SE38 für Reports) Übergeordnet mit dem Report RSVCDI00 Aktuelle Versionen (letzter Änderer in Tabelle SMODILOG) Löschen Über die Reports RSVCAD00 (03, 04) können Versionen nicht nachvollziehbar gelöscht werden

Versionen Anzeige in Änderungstransaktion, Versionsvergleich:

Versionen Anzeige in Änderungstransaktion, Ergebnis:

Änderungen in der Benutzer- und Berechtigungsverwaltung Thema: Benutzer- und Berechtigungsverwaltung Funktion: Änderungen werden über verschiedene Verfahren aufgezeichnet (eigene Tabellen im Benutzerumfeld und Änderungsbelege Aufzeichnung erfolgt automatisch Anzeige: Zentrale Auswertung über das Benutzerinformationssystem (TA SUIM), Kategorie Änderungsbelege

Änderungen in der Benutzer- und Berechtigungsverwaltung Anzeige in Transaktion SUIM:

Änderungen in der Benutzer- und Berechtigungsverwaltung Anzeige in Transaktion SUIM, Änderung Rollen-, Profilzuordnung:

Änderungen in der Benutzer- und Berechtigungsverwaltung Anzeige in Transaktion SUIM, Änderung Rollen-, Profilzuordnung, Ergebnis:

Änderungen in der Benutzer- und Berechtigungsverwaltung Anzeige in Transaktion SUIM, Änderung Benutzereigenschaften:

Änderungen in der Benutzer- und Berechtigungsverwaltung Anzeige in Transaktion SUIM, Änderung Benutzereigenschaften, Ergebnis:

System Log Thema: Diverse Systemereignisse Funktion: Aufzeichnung automatisch Konfiguration über Parameter rslg/* Abspeichern auf Betriebssystemebene in Textdateien Aufzeichnung einzeln pro Instanz Anzeige: Über die Transaktion SM21 Mögliche Ereignisse für Filterungen in der Tabelle TSL1T Löschen Dateien werden im SAP-Standard nach wenigen Tagen automatisch überschrieben Dateien können auf Betriebssystemebene geändert/gelöscht werden

System Log Anzeige in Transaktion SM21, Selektion:

System Log Anzeige in Transaktion SM21, Ergebnis:

Audit Log Thema: Bewegungsprofil ausgewählter Benutzer Funktion: Muss vom Kunden aktiviert und konfiguriert werden Konfiguration über Parameter rsau/* Abspeichern auf Betriebssystemebene in Textdateien Aufzeichnung einzeln pro Instanz Anzeige: Anzeige der Konfiguration über die Transaktion SM19 Anzeige der Protokolle über Transaktion SM20 Löschen Über die Transaktion SM18 können Audit Log Protokolle nicht nachvollziehbar gelöscht werden Dateien können auf Betriebssystemebene geändert/gelöscht werden

Audit Log Anzeige in Transaktion SM20, Selektion:

Audit Log Anzeige in Transaktion SM20, Ergebnis:

Auswertungen über das CCMS Thema: Statistische Aufzeichnungen aller Benutzer Funktion: Automatische Aufzeichnung für alle Benutzer: Transaktionsstarts, Reportstarts, RFC-Aufrufe Konfiguration über Parameter stat/* Im SAP Standard: Speicherung der Daten für 2 Monate Abspeichern auf Betriebssystemebene in Textdateien Anzeige: Anzeige über Transaktion STAD, ST03N Übergeordnete Auswertung über Funktionsbaustein swnc_collector_get_aggregates Löschen Dateien können auf Betriebssystemebene geändert/gelöscht werden

Auswertungen über das CCMS Anzeige in Transaktion ST03N:

Protokolle Systemänderbarkeit Thema: Systemöffnung für System-Customizing und Entwicklungsumgebung Funktion: System muss vom Kunden geschlossen werden (Report RSWBO004) Schutz gegen Änderungen von Systemtabellen und Entwicklungsumgebung Automatische Protokollierung Anzeige: Anzeige innerhalb des Reports RSWBO004

Protokolle Systemänderbarkeit Anzeige in Report RSWBO004, Aufruf Historie:

Protokolle Systemänderbarkeit Anzeige in Report RSWBO004, Ergebnis:

Versionierung der Profildateien Thema: Systemkonfiguration über Systemparameter Funktion: Systemverhalten wird stark von der Einstellung sicherheitsrelevanter Systemparameter beeinflusst Für die meisten Parameteränderungen muss das System neu gestartet werden, einige sind auch dynamisch änderbar Automatische Protokollierung Ablage auf Betriebssystemebene in Textdateien Anzeige: Versionierung innerhalb der Pflegetransaktion RZ10

Versionierung der Profildateien Anzeige in Transaktion RZ10, Selektion:

Versionierung der Profildateien Anzeige in Transaktion RZ10, Ergebnis (2x SPRINGEN – AUSFÜHRLICHERE LISTE):

Änderungsaufzeichnungen in der Transaktion SE16N Thema: Änderungsaufzeichnung speziell für TA SE16N Funktion: Alle Tabellen können mit dieser Transaktion im Debugging-Modus geändert werden (auch bei geschlossenem System) Automatisch Protokollierung auch bei ausgeschalteter Tabellenänderungsprotokollierung Anzeige: Änderungen stehen in Tabelle SE16N_CD_KEY (Headerdaten), SE16N_CD_DATA (Positionsdaten)

Änderungsaufzeichnungen in der Transaktion SE16N Anzeige in Tabelle SE16N_CD_KEY, Selektion:

Änderungsaufzeichnungen in der Transaktion SE16N Anzeige in Tabelle SE16N_CD_KEY, Ergebnis:

Änderungsaufzeichnungen in der Transaktion SE16N Anzeige in Tabelle SE16N_CD_DATA, Selektion:

Änderungsaufzeichnungen in der Transaktion SE16N Anzeige in Tabelle SE16N_CD_DATA, Ergebnis:

Änderungen an Betriebssystemkommandos Thema: Anonyme Datenzugriffe auf die Betriebssystemebene Funktion: Über Logische Betriebssystemkommandos können über den SAP-Betriebssystembenutzer Dateien ausgelesen/gepflegt werden Kommandos werden im System vordefiniert Über Report RSBDCOS0 können Kommandos ohne vorherige Definition abgesetzt werden Anzeige: Änderungen vordefinierter Kommandos in Tabelle SXPGHISTOR Aufruf des Rep. RSBDCOS0 über Sys Log

Änderungen an Betriebssystemkommandos Anzeige in Tabelle SXPGHISTOR:

Weitere Verfahren modulübergreifend Thema: Anwendungslog für wichtige Aktivitäten in den Modul Funktion: Das Anwendungslog wird automatisch gefüllt Verschiedene, von den Entwicklern festgelegte Meldungen werden geschrieben, z.B. Zahlllauf in FI oder Extraktorchecker im BI-Umfeld Anzeige: Anzeige über TA SLG1 oder Tabelle SMMAIN

Weitere Verfahren modulübergreifend Anzeige in Tabelle SMMAIN, Selektion:

Weitere Verfahren modulübergreifend Anzeige in Tabelle SMMAIN, Ergebnis:

Weitere Verfahren im HCM Thema: Protokollierung von Infotypenänderungen Funktion: Änderungen an Infotypen werden nur aufgezeichnet, wenn dies explizit im Customizing über die Tabellen T585A und T585B aktiviert wurde Anzeige: Anzeige der Änderungsprotokolle über den Report RPUAUD00 Löschen: Über den Report RPUAUDDL können die Protokolle zur Infotypen-Änderung gelöscht werden

Weitere Verfahren im HCM Anzeige in Report RPUAUD00, Selektion:

Weitere Verfahren im HCM Anzeige in Report RPUAUD00, Ergebnis:

Weitere Verfahren im HCM Anzeige in Report RPUAUD00, Ergebnis Details (Doppelklick):

Weitere Verfahren im HCM Thema: Protokollierung von Reportstarts Funktion: Protokolle von Reportstarts werden nur aufgezeichnet, wenn dies explizit im Customizing über die Tabelle T599R aktiviert wurde Anzeige: Anzeige der Protokolle über den Report RPUPROTD Löschen: Über den Report RPUPROTU können die Protokolle gelöscht werden

Weitere Verfahren im HCM Anzeige in Report RPUPROTD, Selektion:

Weitere Verfahren im HCM Anzeige in Report RPUPROTD, Ergebnis:

Weitere Verfahren im HCM Anzeige in Report RPUPROTD, Ergebnis Details (Doppelklick):

Fallbeispiele für MR_FRAUD Frage: Hat er sich Berechtigungen zugeordnet/entzogen? Frage: Hat er einen anderen Benutzer „aktiviert“? Frage: Hat er Debugging mit Replace durchgeführt? Frage: Hat er über die TA SE16 sensible Tabellen angezeigt? Frage: Hat er Daten in eine Datei heruntergeladen? Frage: Hat er Bank-Kontodaten von Lieferanten geändert ?

Fallbeispiele für MR_FRAUD Frage: Hat er sich Berechtigungen zugeordnet/entzogen? Funktion: TA SUIM – Änderungsbelege Frage: Hat er einen anderen Benutzer „aktiviert“? Frage: Hat er Debugging mit Replace durchgeführt? Funktion: TA SM21 – Meldungskennung A19 Frage: Hat er über die TA SE16 sensible Tabellen angezeigt? Funktion: TA STAD Frage: Hat er Daten in eine Datei heruntergeladen? Funktion: TA SM20 Frage: Hat er Bank-Kontodaten von Lieferanten geändert ? Funktion: Report RSSCD100 – Objektklasse KRED

Vielen Dank, …jetzt nur noch kurz die Workshop-Vorstellung, und dann Hamburg entdecken…

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2025 SlidePlayer.org Inc. All rights reserved.