SAP Dienstvereinbarung Anlage 4

Anlage 4 der Dienstvereinbarung über die Einführung und den Betrieb von SAP R/3 an der TUD

Dokumentation in der Fassung vom 18. Mai 2001

Die Dienststelle hat alle für die Überprüfung der Einhaltung dieser Regelungen erforderlichen Unterlagen in verständlicher und überprüfbarer Form fortlaufend zu führen.

1. Dokumentation

Die Dienststelle führt ein Verzeichnis aller Arbeitsplätze und Server , an denen mit dem SAP R/3-client gearbeitet wird. In dieser Dokumentation sind enthalten:

  • Standort (Gebäude, Raum) und Benutzer
  • Hardware (Typ des Geräts und enthaltene Komponenten)
  • Installierte Software

Die Dokumentation ist Bestandteil der hochschuleigenen Dokumentation zur Hard- und Software in der Verwaltung.

Die Hochschule führt außerdem eine Datenschutz- und Sicherheitskonzept, welches sich an die Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik orientiert.

2. Berechtigungen

Die Zugangsberechtigungen und Zugangsregeln zu dem SAP R/3 System sind wie unter §5 Abs.3 der Dienstvereinbarung vereinbart, im Berechtigungskonzept der Dienststelle hinterlegt.

3. Systemprotokollierung

Da das R/3-System als revisionsfähiges System ausgelegt ist, existieren Protokolle für die Systemverwaltung und die Systemüberwachung, die für die Überwachung der Sicherheit und der Revisionsfähigkeit der Systeme notwendig sind.

Die Dienststelle führt und aktualisiert die von SAP empfohlene Checkliste (als Kapitel 4 im Konzept „Datenschutz und Datensicherheit unter SAP“ vorhanden) als externes Dokument. In dieser Checkliste werden Festlegungen für das lokale R/3 System zu folgenden sicherheitsrelevante Themen getroffen:

  • Art und Weise der Benutzerauthentifizierung (z.B. Kennwortkonzept, Schutzmassnahmen gegen unberechtigte Anmeldungen).
  • Berechtigungskonzept (z.B. Vorgehensweise für Anlegen und Pflegen von Profilen und Benutzerstammsätzen, Definition kritischer Berechtigungen).
  • Netzwerk-Infrastruktur (z.B. welche SAP-Netzwerkdienste werden verwendet, existieren SAP-Router und Firewall).
  • Schutz des Betriebssystems (z.B. Benutzer und Gruppen in der R/3 Umgebung, NT-Domänenkonzept, Schutz der R/3 Ressourcen).
  • Schutz der Zugriffe auf die Datenbank (z.B. Vergabe von Berechtigungen , Zugriff mit Datenbank-Werkzeugen).
  • Schutz des Produktivsystems (z.B. Transportlandschaft, Vorgaben zur Notänderung im Produktivsystem).
  • Remote Communication (z.B. Definition und Schutz von RFC-Verbindungen ).
  • Secure-Store-&Forward-Mechanismen (SSF) und digitale Signaturen (z.B. Einsatz von Smartcards, Art der Sicherheitsprodukte).
  • Protokollierung und Prüfung (z.B. Überprüfung vom Systemprotokollen und security Audit Log).
  • spezielle Themen (z.B. Schutz von Internet-Anwendungskomponenten, Schutz von ALE-Anwendungen, Schutz spezifischer Tabellen). *

Informationen zu diesen Checklisten lassen sich auch über das SAP-System AIS (Audit Informations System) unter dem Punkt: „Checkliste gemäß Datenschutzleitfaden“ abrufen. Neben diesen Checklisten liefert das AIS noch nähere Informationen zu

  • Systemkonfiguration
  • Transportverbund
  • Repository und Tabellen
  • Entwicklung und Customizing
  • Hintergrundverarbeitung
  • Systemprotokolle und Statusanzeige
  • Benutzerverwaltung

Somit lässt sich jederzeit eine vollständige und umfassende Information über den aktuellen und historisierten Zustand des Systems gewinnen.

Das AIS ist sowohl für das kaufmännische Audit als auch für die Systemrevision konzipiert. Über vordefinierte Views können zu Prüfzwecken entsprechende Sichten für entsprechende Prüfer auf das System freigeschaltet werden.

Wie in der Stellungnahme des hessischen Datenschutzbeauftragten zur Einführung von SAP R/3 unter Punkt 3.9 ausgeführt, wird die Art und Weise, wie und vom wem die Auswertungen erfolgen sollen, ebenso wie die Parameter, die für die Protokollierung gesetzt werden , in einem Revisionskonzept der Hochschule festgelegt (zur Erarbeitung und Überarbeitung des Revisionskonzepts vg. § 9 Abs. 2 der Dienstvereinbarung).

4. Sicherungskonzept

Das Sicherungskonzept des SAP-Systems ist als Bestandteil in der HS-eigenen Datenschutz- und Datensicherheitskonzeption enthalten.

Der örtliche Personalrat, der Hauptpersonalrat und der Datenschutzbeauftragte und die beauftragten Revisoren erhalten auf Wunsch Zugang zu allen oben erwähnten Dokumentationen. Die Dienststelle hat auf Wunsch die getroffenen Maßnahmen zu erläutern. Die genannten Personen dürfen Zustandsprüfungen des Systems und Protokollausgaben, wie sie im Revisionskonzept festgelegt werden, veranlassen und bei deren Durchführung anwesend sein. Der Zugriff auf personenbezogene Daten ist zulässig, soweit dies für die Prüfung erforderlich ist. In diesem Fall sind die genannten Personen zur Verschwiegenheit zu verpflichten. Durchgeführte Prüfungen sind ebenfalls zu dokumentieren. Getroffene Sicherungsmaßnahmen werden nicht bekannt gegeben, soweit das deren Erfolg gefährden kann. Deshalb ist die Vervielfältigung und Herausgabe dieser Unterlagen nicht zulässig, sondern es wird dem Revisionsbeauftragten ein jederzeitiges Einsichtsrecht gewährt, soweit dies für die Prüfung erforderlich ist.