„S-KPI“ (Security – Key Performance Indicators) ist das neue DETACK SAP Benchmarking-Tool das eine schnelle und umfassende Bestandsaufnahme der IT-Sicherheit von SAP Landschaften realisiert. Aufgedeckt werden Sicherheitsrisiken des SAP Systems, Einsparungspotentiale und nicht eingehaltene Compliance Anforderungen. Die für „S-KPI“ erforderliche SAP-Datenextraktion wird anhand einer einfachen Checkliste durchgeführt, die nachfolgende Auswertung kann durch die Detack Experten entweder vor Ort oder im Detack Testzentrum geschehen.

Die Geschäftsführung oder IT-Sicherheitsverantwortliche haften im Falle unsicherer IT-Systeme durch weitreichende IT Sicherheits- und Compliance-Anforderungen. Diese Anforderungen sowie Einsparungspotentiale adressiert das neue SAP Benchmarking-Produkt der Detack: „S-KPI“ (Security – Key Performance Indicators). Die „S-KPI“ Analysen (vor Ort oder Remote) berücksichtigen die von DETACK auf Kundenseite häufig als kritisch identifizierten Sicherheitsrisiken. Erfahrung aus mehr als einem Jahrzehnt Detack SAP IT-Sicherheitsaudits ist in „S-KPI“ konzentriert – dieses Expertenwissen sichert eine budgetfreundliche und zeitnahe Analyse mit geringem Aufwand auf Kundenseite.

„S-KPI“ vergleicht das spezifische Kunden SAP-Umfeld mit anderen Unternehmen und Wettbewerbern mit ähnlicher SAP Infrastruktur. Turnusmäßig durchgeführt spornt es an aktiv die Behebungs- und Analyseprozesse zu forcieren, denn die Verbesserungen gegenüber z.B. Wettbewerbern werden in einer erneuten Prüfung deutlich abgebildet. Die „S-KPI“ Analysen ermöglichen durch einen fortlaufenden Prozess eine nachhaltige Erhöhung des SAP IT-Sicherheitsstandards und erhebliche Kosteneinsparungen – die Verantwortlichen können sich rechtlich absichern, denn ihre IT-Sicherheitsmaßnahmen und deren Wirksamkeit werden dokumentiert.

Das „S-KPI“ Benchmarking arbeitet mit Daten aus dem SAP Kundensystem die durch eine einfache Checkliste aus SAP Transaktionen, Berichten, Funktionsmodulen und Datenbanken extrahiert werden. Alle ausgewählten Indikatoren basieren auf Standard SAP-Systeminformation und können dadurch einfach ausgelesen werden. Die Übertragung dieser Extrakte erfolgt mittels einer sicheren Methode - eine vor Ort Präsenz der Auditoren ist nicht zwingend erforderlich. Auf Wunsch kann der „S-KPI“ Benchmark selbstverständlich auch vor Ort durchgeführt werden.

Im Nachfolgenden werden ausgewählte Testmethoden des „S-KPI“ SAP Benchmarkings dargestellt:

SAP Security Notes
Prüfungen auf fehlende Updates wodurch das SAP System Gefahren ausgesetzt werden kann

Abweichungen von den SAP Sicherheitsrichtlinien
Untersuchung ob die SAP Sicherheitsrichtlinien befolgt und wichtige Compliance Anforderungen erreicht werden

RFC Verbindungen:
Test auf sicherheitskritische Verbindungen wie z.B. RFC Verbindungen zu Test- und/oder Entwicklungssystemen die normalerweise weniger geschützt sind als Produktivsysteme

Passwort-Sicherheit:
Prüfung der neuen Code Versionen (F, G) / Stärken- und Qualitätsaudit
Vorhandene Initial-Passworte – in der Regel Angreifern geläufig
Prüfung des Passwort-Wechselintervalls – Passworte sollten regelmäßig gewechselt werden

Anwenderprivilegien:
Vorhandene privilegierte Konten mit umfassendem Zugriff

Sicherheits-Kosten:
Durch Support-Personal geänderte Passworte
Lizenznutzung der User - Nie angemeldet / Logon-Intervall

Der „S-KPI“ Report enthält alle Ergebnisse der beschriebenen Testziele mit den zugehörigen Behebungsempfehlungen grafisch und einfach verständlich aufbereitet. Eine vor Ort Präsentation mit Ergebnisbesprechung bietet sich an, um das Bewusstsein über die Resultate zu steigern. Die Auswertung der Benchmark-Analyse befähigt den Kunden konkrete Ziele zu definieren und Maßnahmen für die SAP-Landschaft abzuleiten.