Bundesamt für Sicherheit in der Informationstechnik

M 2.348 Sicherheit beim Customizing von SAP Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Im Rahmen des Customizings wird ein SAP System so konfiguriert und angepasst, dass es die gewünschte Unterstützung für die Institution anbieten kann. Diese Aufgabe ist in der Regel zeitaufwendig. Folgendes ist daher zu bedenken:

  • Für das Customizing ist ein entsprechendes Konzept zu erstellen, das den gewünschten Soll-Zustand des SAP Systems möglichst genau beschreibt und auch die Prozesse definiert, nach denen das Customizing durchgeführt wird.
  • Für das Konzept ist eine Anforderungsanalyse notwendig. Dabei muss festgelegt werden, welche Anpassungen durch das Customizing erfolgen müssen, damit das gewünschte System-Verhalten erreicht wird (siehe auch M 2.341 Planung des SAP Einsatzes .
  • Im Rahmen des Customizing-Prozesses sind Rückmelde-Prozesse einzusetzen, die Anpassungen des Konzeptes während der Umsetzung (siehe auch M 4.258 Sichere Konfiguration des SAP ABAP-Stacks ) erlauben.
  • Das Customizing darf nur von sachkundigen und vertrauenswürdigen Personen durchgeführt werden.
  • Anpassungen der Konfigurationen sollten nicht im Produktiv-System erfolgen, sondern über das Transportsystem kontrolliert eingespielt werden.

Prüffragen:

  • Ist für das Customizing ein Konzept erstellt worden, das den gewünschten Soll-Zustand des SAP Systems beschreibt und auch die Prozesse definiert, nach denen das Customizing durchgeführt wird?

  • Wird das Customizing von SAP Systemen von sachkundigen und vertrauenswürdigen Personen durchgeführt?

  • Werden am SAP System Anpassungen der Konfiguration über das Transportsystem kontrolliert eingespielt?

Stand: 13. EL Stand 2013