Forensische Methoden im SAPSystem zur Aufdeckung von FraudDelikten
- Slides: 57
Forensische Methoden im SAP-System zur Aufdeckung von Fraud-Delikten Fraud im SAP-Umfeld kann u. a. folgende Bedeutungen haben: - Unautorisierte Datenzugriffe über kritische Programmiertechniken in Eigenentwicklungen (z. B. Backdoors) Unautorisierte Buchungen (z. B. Falsche Berechtigungen, kein 4 -Augen Prinzip) Unautorisiertes Ändern von Daten (z. B. Ändern von Bankverbindungen) Unautorisiertes Anzeigen von Daten (Datendiebstahl) Um kritische Programmiertechniken zu vermeiden, müssen entsprechende Sourcecode. Analysen in den Antrags-, Test- und Freigabeprozess implementiert werden. Dies ist nicht Thema dieses Vortrags Für unautorisierte Buchungen können beispielsweise statistische Methoden für gebuchte Belege eingesetzt werden, um „Ausreißer“ oder sonstige Auffälligkeiten zu ermitteln, dies ist nicht Thema dieses Vortrags. Für die anderen Punkte der Fraud-Analyse ist es wichtig, ein möglichst umfassendes Bewegungsprofil einer verdächtigen Person im SAP-System erstellen zu können, dafür können die folgenden Aufzeichnungsverfahren genutzt werden. www. ibs-schreiber. de
Forensische Methoden im SAP-System zur Aufdeckung von Fraud-Delikten • Klassische Änderungsaufzeichnungen – Tabellenänderungsprotokolle (Customizing) – Änderungsbelege (Stamm-, Bewegungsdaten) – Versionshistorie (Entwicklungsumgebung) • Weitere Verfahren in der Basis – Änderungen in der Benutzer- und Berechtigungsverwaltung – Systemprotokollierung (Sys Log) – Das Security Audit Log – Auswertungen über das CCMS – Protokolle für die Systemänderbarkeit – Versionierung der Profildateien – Änderungsaufzeichnungen in der Transaktion SE 16 N – Änderungen an Betriebssystemkommandos www. ibs-schreiber. de
Forensische Methoden im SAP-System zur Aufdeckung von Fraud-Delikten • Weitere Verfahren im Modulübergreifend – Anwendungs Log • Weitere Verfahren im HCM – Protokollierung von Infotypenänderungen – Protokollierung von Reportstarts • Fallbeispiele für Benutzer MR_FRAUD – Hat er sich Berechtigungen zugeordnet/entzogen? – Hat er einen anderen Benutzer „aktiviert“? – Hat er Debugging mit Replace durchgeführt? – Hat er über die TA SE 16 sensible Tabellen angezeigt? – Hat er Bank-Kontodaten von Lieferanten geändert? www. ibs-schreiber. de
Tabellenänderungsprotokolle Thema: Änderungen im Customizing - Funktion: - Muss aktiviert werden (Parameter rec/client) - Aktivierung pro Tabelle (Tabelle DD 09 L) - Anzeige: - Überblick über Tabelle DBTABLOG - Detailanzeige über Report RSTBHIST - Löschen - Über den Report RSTBPDEL können Tabellenänderungsprotokolle nicht nachvollziehbar gelöscht werden www. ibs-schreiber. de
Tabellenänderungsprotokolle - Tabelle DBTABLOG, Selektion: www. ibs-schreiber. de
Tabellenänderungsprotokolle - Tabelle DBTABLOG, Ergebnis: www. ibs-schreiber. de
Tabellenänderungsprotokolle - Report RSTBHIST, Selektion: www. ibs-schreiber. de
Tabellenänderungsprotokolle - Report RSTBHIST, Ergebnis: www. ibs-schreiber. de
Änderungsbelege Thema: Änderungen in Stamm- und Bewegungsdaten - Funktion: - Für den SAP-Standard automatisch - Aktivierung für eigene Tabellen nötig (Tabelle TCDOB) - Anzeige: - Über Tabellen CDHDR und CDPOS oder Report RSSCD 100 - Löschen - Über den Report RSCDOK 99 können Tabellenänderungsprotokolle nicht nachvollziehbar gelöscht werden www. ibs-schreiber. de
Änderungsbelege - Tabelle CDHDR, Selektion: www. ibs-schreiber. de
Änderungsbelege - Tabelle CDHDR, Ergebnis: www. ibs-schreiber. de
Änderungsbelege - Tabelle CDPOS, Selektion: www. ibs-schreiber. de
Änderungsbelege - Tabelle CDPOS, Ergebnis: www. ibs-schreiber. de
Versionen Thema: Änderungen in der Entwicklungsumgebung - Funktion: - Automatisch, z. B. bei Transporten - Anzeige: - In der jeweiligen Entwicklertransaktion (z. B. SE 38 für Reports) - Übergeordnet mit dem Report RSVCDI 00 - Aktuelle Versionen (letzter Änderer in Tabelle SMODILOG) - Löschen - Über die Reports RSVCAD 00 (03, 04) können Versionen nicht nachvollziehbar gelöscht werden www. ibs-schreiber. de
Versionen - Anzeige in Änderungstransaktion, Versionsvergleich: www. ibs-schreiber. de
Versionen - Anzeige in Änderungstransaktion, Ergebnis: www. ibs-schreiber. de
Änderungen in der Benutzer- und Berechtigungsverwaltung Thema: Benutzer- und Berechtigungsverwaltung - Funktion: - Änderungen werden über verschiedene Verfahren aufgezeichnet (eigene Tabellen im Benutzerumfeld und Änderungsbelege - Aufzeichnung erfolgt automatisch - Anzeige: - Zentrale Auswertung über das Benutzerinformationssystem (TA SUIM), Kategorie Änderungsbelege www. ibs-schreiber. de
Änderungen in der Benutzer- und Berechtigungsverwaltung - Anzeige in Transaktion SUIM: www. ibs-schreiber. de
Änderungen in der Benutzer- und Berechtigungsverwaltung - Anzeige in Transaktion SUIM, Änderung Rollen-, Profilzuordnung: www. ibs-schreiber. de
Änderungen in der Benutzer- und Berechtigungsverwaltung - Anzeige in Transaktion SUIM, Änderung Rollen-, Profilzuordnung, Ergebnis: www. ibs-schreiber. de
Änderungen in der Benutzer- und Berechtigungsverwaltung - Anzeige in Transaktion SUIM, Änderung Benutzereigenschaften: www. ibs-schreiber. de
Änderungen in der Benutzer- und Berechtigungsverwaltung - Anzeige in Transaktion SUIM, Änderung Benutzereigenschaften, Ergebnis: www. ibs-schreiber. de
System Log Thema: Diverse Systemereignisse - Funktion: - Aufzeichnung automatisch - Konfiguration über Parameter rslg/* - Abspeichern auf Betriebssystemebene in Textdateien - Aufzeichnung einzeln pro Instanz - Anzeige: - Über die Transaktion SM 21 - Mögliche Ereignisse für Filterungen in der Tabelle TSL 1 T - Löschen - Dateien werden im SAP-Standard nach wenigen Tagen automatisch überschrieben - Dateien können auf Betriebssystemebene geändert/gelöscht werden www. ibs-schreiber. de
System Log - Anzeige in Transaktion SM 21, Selektion: www. ibs-schreiber. de
System Log - Anzeige in Transaktion SM 21, Ergebnis: www. ibs-schreiber. de
Audit Log Thema: Bewegungsprofil ausgewählter Benutzer - Funktion: - Muss vom Kunden aktiviert und konfiguriert werden - Konfiguration über Parameter rsau/* - Abspeichern auf Betriebssystemebene in Textdateien - Aufzeichnung einzeln pro Instanz - Anzeige: - Anzeige der Konfiguration über die Transaktion SM 19 - Anzeige der Protokolle über Transaktion SM 20 - Löschen - Über die Transaktion SM 18 können Audit Log Protokolle nicht nachvollziehbar gelöscht werden - Dateien können auf Betriebssystemebene geändert/gelöscht werden www. ibs-schreiber. de
Audit Log - Anzeige in Transaktion SM 20, Selektion: www. ibs-schreiber. de
Audit Log - Anzeige in Transaktion SM 20, Ergebnis: www. ibs-schreiber. de
Auswertungen über das CCMS Thema: Statistische Aufzeichnungen aller Benutzer - Funktion: - Automatische Aufzeichnung für alle Benutzer: Transaktionsstarts, Reportstarts, RFC-Aufrufe - Konfiguration über Parameter stat/* - Im SAP Standard: Speicherung der Daten für 2 Monate - Abspeichern auf Betriebssystemebene in Textdateien - Anzeige: - Anzeige über Transaktion STAD, ST 03 N - Übergeordnete Auswertung über Funktionsbaustein swnc_collector_get_aggregates - Löschen - Dateien können auf Betriebssystemebene geändert/gelöscht werden www. ibs-schreiber. de
Auswertungen über das CCMS - Anzeige in Transaktion ST 03 N: www. ibs-schreiber. de
Protokolle Systemänderbarkeit Thema: Systemöffnung für System-Customizing und Entwicklungsumgebung - Funktion: - System muss vom Kunden geschlossen werden (Report RSWBO 004) - Schutz gegen Änderungen von Systemtabellen und Entwicklungsumgebung - Automatische Protokollierung - Anzeige: - Anzeige innerhalb des Reports RSWBO 004 www. ibs-schreiber. de
Protokolle Systemänderbarkeit - Anzeige in Report RSWBO 004, Aufruf Historie: www. ibs-schreiber. de
Protokolle Systemänderbarkeit - Anzeige in Report RSWBO 004, Ergebnis: www. ibs-schreiber. de
Versionierung der Profildateien Thema: Systemkonfiguration über Systemparameter - Funktion: - Systemverhalten wird stark von der Einstellung sicherheitsrelevanter Systemparameter beeinflusst - Für die meisten Parameteränderungen muss das System neu gestartet werden, einige sind auch dynamisch änderbar - Automatische Protokollierung - Ablage auf Betriebssystemebene in Textdateien - Anzeige: - Versionierung innerhalb der Pflegetransaktion RZ 10 www. ibs-schreiber. de
Versionierung der Profildateien - Anzeige in Transaktion RZ 10, Selektion: www. ibs-schreiber. de
Versionierung der Profildateien - Anzeige in Transaktion RZ 10, Ergebnis (2 x SPRINGEN – AUSFÜHRLICHERE LISTE): www. ibs-schreiber. de
Änderungsaufzeichnungen in der Transaktion SE 16 N Thema: Änderungsaufzeichnung speziell für TA SE 16 N - Funktion: - Alle Tabellen können mit dieser Transaktion im Debugging-Modus geändert werden (auch bei geschlossenem System) - Automatisch Protokollierung auch bei ausgeschalteter Tabellenänderungsprotokollierung - Anzeige: - Änderungen stehen in Tabelle SE 16 N_CD_KEY (Headerdaten), SE 16 N_CD_DATA (Positionsdaten) www. ibs-schreiber. de
Änderungsaufzeichnungen in der Transaktion SE 16 N - Anzeige in Tabelle SE 16 N_CD_KEY, Selektion: www. ibs-schreiber. de
Änderungsaufzeichnungen in der Transaktion SE 16 N - Anzeige in Tabelle SE 16 N_CD_KEY, Ergebnis: www. ibs-schreiber. de
Änderungsaufzeichnungen in der Transaktion SE 16 N - Anzeige in Tabelle SE 16 N_CD_DATA, Selektion: www. ibs-schreiber. de
Änderungsaufzeichnungen in der Transaktion SE 16 N - Anzeige in Tabelle SE 16 N_CD_DATA, Ergebnis: www. ibs-schreiber. de
Änderungen an Betriebssystemkommandos Thema: Anonyme Datenzugriffe auf die Betriebssystemebene - Funktion: - Über Logische Betriebssystemkommandos können über den SAPBetriebssystembenutzer Dateien ausgelesen/gepflegt werden - Kommandos werden im System vordefiniert - Über Report RSBDCOS 0 können Kommandos ohne vorherige Definition abgesetzt werden - Anzeige: - Änderungen vordefinierter Kommandos in Tabelle SXPGHISTOR - Aufruf des Rep. RSBDCOS 0 über Sys Log www. ibs-schreiber. de
Änderungen an Betriebssystemkommandos - Anzeige in Tabelle SXPGHISTOR: www. ibs-schreiber. de
Weitere Verfahren modulübergreifend Thema: Anwendungslog für wichtige Aktivitäten in den Modul - Funktion: - Das Anwendungslog wird automatisch gefüllt - Verschiedene, von den Entwicklern festgelegte Meldungen werden geschrieben, z. B. Zahlllauf in FI oder Extraktorchecker im BI-Umfeld - Anzeige: - Anzeige über TA SLG 1 oder Tabelle SMMAIN www. ibs-schreiber. de
Weitere Verfahren modulübergreifend - Anzeige in Tabelle SMMAIN, Selektion: www. ibs-schreiber. de
Weitere Verfahren modulübergreifend - Anzeige in Tabelle SMMAIN, Ergebnis: www. ibs-schreiber. de
Weitere Verfahren im HCM Thema: Protokollierung von Infotypenänderungen - Funktion: - Änderungen an Infotypen werden nur aufgezeichnet, wenn dies explizit im Customizing über die Tabellen T 585 A und T 585 B aktiviert wurde - Anzeige: - Anzeige der Änderungsprotokolle über den Report RPUAUD 00 - Löschen: - Über den Report RPUAUDDL können die Protokolle zur Infotypen-Änderung gelöscht werden www. ibs-schreiber. de
Weitere Verfahren im HCM - Anzeige in Report RPUAUD 00, Selektion: www. ibs-schreiber. de
Weitere Verfahren im HCM - Anzeige in Report RPUAUD 00, Ergebnis: www. ibs-schreiber. de
Weitere Verfahren im HCM - Anzeige in Report RPUAUD 00, Ergebnis Details (Doppelklick): www. ibs-schreiber. de
Weitere Verfahren im HCM Thema: Protokollierung von Reportstarts - Funktion: - Protokolle von Reportstarts werden nur aufgezeichnet, wenn dies explizit im Customizing über die Tabelle T 599 R aktiviert wurde - Anzeige: - Anzeige der Protokolle über den Report RPUPROTD - Löschen: - Über den Report RPUPROTU können die Protokolle gelöscht werden www. ibs-schreiber. de
Weitere Verfahren im HCM - Anzeige in Report RPUPROTD, Selektion: www. ibs-schreiber. de
Weitere Verfahren im HCM - Anzeige in Report RPUPROTD, Ergebnis: www. ibs-schreiber. de
Weitere Verfahren im HCM - Anzeige in Report RPUPROTD, Ergebnis Details (Doppelklick): www. ibs-schreiber. de
Fallbeispiele für MR_FRAUD Frage: Hat er sich Berechtigungen zugeordnet/entzogen? Frage: Hat er einen anderen Benutzer „aktiviert“? Frage: Hat er Debugging mit Replace durchgeführt? Frage: Hat er über die TA SE 16 sensible Tabellen angezeigt? Frage: Hat er Daten in eine Datei heruntergeladen? Frage: Hat er Bank-Kontodaten von Lieferanten geändert ? www. ibs-schreiber. de
Fallbeispiele für MR_FRAUD Frage: Hat er sich Berechtigungen zugeordnet/entzogen? - Funktion: TA SUIM – Änderungsbelege Frage: Hat er einen anderen Benutzer „aktiviert“? - Funktion: TA SUIM – Änderungsbelege Frage: Hat er Debugging mit Replace durchgeführt? - Funktion: TA SM 21 – Meldungskennung A 19 Frage: Hat er über die TA SE 16 sensible Tabellen angezeigt? - Funktion: TA STAD Frage: Hat er Daten in eine Datei heruntergeladen? - Funktion: TA SM 20 Frage: Hat er Bank-Kontodaten von Lieferanten geändert ? - Funktion: Report RSSCD 100 – Objektklasse KRED www. ibs-schreiber. de
Vielen Dank, …jetzt nur noch kurz die Workshop-Vorstellung, und dann Hamburg entdecken… www. ibs-schreiber. de
Risikoerkennung
Stressreduktion methoden
Multimoment methode
Forensische psychologie definition
Forensische entomologie
Selbstbemessungsabgaben beispiele
Erasmus von rotterdam beeinflusst von
Wind von backbord weicht wind von steuerbord
Preisnennung im verkaufsgespräch
Methoden en technieken van onderzoek saunders
Freier rückwärtspuffer berechnen
Prozessmodellierung methoden
Thierry marchant
Unified modeling language ppt
Observatie technieken
Earned value analyse vorteile nachteile
Gez. bildergeschichte rätsel
Methoden kunstunterricht
Kammrätsel erstellen
Kommunikative methoden
Längenmessung methoden
Deduktive methode sport beispiel
Fragebogen schwachstellenanalyse
Didaktische netze kahlert
Visgraat analyse
Kennisoverdracht methoden
Zeitmanagement-methoden hausarbeit
Schneeflöckchen schweben zur erde ganz leise
Bdsl
Herzlich willkommen zur schulung
Größte beckenlandschaft alpen
Nachweis zur begründung des ortswunsches
Zadnji mega žur
Dient zur vorlage
Bemerkungen zur lernentwicklung beispiele
Zur theorie der gesellschaftsspiele
Einladung weihnachtsfeier kollegen
Gedicht grün
1 denar zur zeit jesu
Rente gedicht
Slidetodoc.com
Herzlich willkommen zur taufe
Jemanden zur schnecke machen bedeutung
Standardkurve fliegen
Gesetz zur eindämmung illegaler betätigung im baugewerbe
Sv dischingen
Johannes gutenberg találmányai
Geduld ist der schlüssel zum glück
Spruch isar iller lech und inn
Mebis medienkonzept
Leitfaden zur delegation ärztlicher tätigkeiten
Slidetodoc.com
Fragen zur dna
Chinesische hochzeit kleidung gäste
Erde steckbrief
Nachkalkulation rückwärtskalkulation
Branchenzuschlagstarif
Beurteilungsfehler tendenz zur mitte
