CheckAud 2022.1 Auditees Guide DE

Auditee's Guide - CheckAud for SAP Systems 2022.
1
Dokumentenversion: AG.CASA.2022.1.2204.01
Ein Produkt der IBS Schreiber GmbH

Inhaltsverzeichnis 3
Inhaltsverzeichnis
Kapitel I Verwendung des Auditee's Guide zu CheckAud 2022.1 5

I-1 Echtdatenpräsentation von CheckAud 2022.1 .............................................................. 6
I-2 Berechtigungsprüfung mit CheckAud 2022.1 ................................................................ 6
Kapitel II Installationshinweise 7
II - 1 Systemvoraussetzungen .............................................................................................. 8
II - 2 Empfohlene Hardware-Ausstattung .............................................................................. 8
II - 3 Einsatz in virtuellen Umgebungen / CITRIX / Terminal Server ....................................... 8
II - 4 Einsatz von Anti-Viren-Softwareprodukten .................................................................. 9
Kapitel III Durchführung der Installation CheckScan 2022.1 11
Kapitel IV Benötigte Rechte im SAP-System 17

IV - 1 Tabellenset AUTH ....................................................................................................... 18
IV - 2 Tabellenset IBS_AUTH_ADVANCED ............................................................................ 19
IV - 3 Tabellenset IBS_BW ................................................................................................... 19
IV - 4 Tabellenset IBS_CO .................................................................................................... 19
IV - 5 Tabellenset IBS_FI ...................................................................................................... 19
IV - 6 Tabellenset IBS_GDPR ............................................................................................... 20
IV - 7 Tabellenset IBS_MM .................................................................................................... 20
IV - 8 Tabellenset IBS_HCM .................................................................................................. 20
IV - 9 Tabellenset IBS_ISU .................................................................................................... 20
IV - 10 Tabellenset IBS_SD .................................................................................................... 21
IV - 11 Tabellenset IBS_SYSTEM ............................................................................................ 21
IV - 12 Berechtigungen für die Parameterwerte ..................................................................... 21
IV - 13 Berechtigungen für das Auslesen der Org-Ebenen-Vorschlagswerte ......................... 22
IV - 14 Berechtigungen für das Auslesen der anonymisierten Benutzerstatistik .................... 22
IV - 15 Vorgefertigte SAP-Rolle für den RFC-Schnittstellenbenutzer (Scan-User) ................. 22
Kapitel V Benötigte Rechte auf der HANA Datenbank 23

V-1 Generelle Berechtigungen zum Auslesen von Tabellen / Views .................................. 24
V-2 Tabellenset AUTH ....................................................................................................... 24
V-3 Tabellenset IBS_System ............................................................................................. 25
V-4 Vorgefertigte Rolle für den technischen Benutzer (Scan-User) .................................. 25
Kapitel VI CheckScan 2022.1 27
© 2022 IBS Schreiber GmbH Auditee's Guide - Check Aud for SAP Systems 2022.1
Dok umentenversion: AG.CASA.2022.1.2204.01
4 Inhaltsverzeichnis
VI - 1 Anlegen einer neuen Systemverbindung (ABAP-Scan) ............................................... 28

1.1 Auswahl der Tabellen-Sets ............................................................................................................... 29
1.2 Parameterwerte auslesen ................................................................................................................ 30
1.3 Vorschlagswerte für Org-Ebenen auslesen ....................................................................................... 31
VI - 2 Anlegen einer neuen Systemverbindung (HANA-Scan) ............................................... 32
2.1 Auswahl der Tabellen-Sets ............................................................................................................... 34
VI - 3 Erstellung eines Snapshots (ABAP- und HANA-Scan) ................................................ 34
Kapitel VII Technischer Anhang 39

VII - 1 Eigentum und Urheberrecht ....................................................................................... 40
VII - 2 Nutzung der Software ................................................................................................ 40
VII - 3 Lizenzen von Drittherstellern ..................................................................................... 40
3.1 RADCONTROLS FOR WPF ................................................................................................................ 40
3.2 EPPLUS ............................................................................................................................................ 40
3.3 DOTNETZIP ....................................................................................................................................... 47
3.4 ANTLR 3 ............................................................................................................................................ 48
3.5 NPGSQL ........................................................................................................................................... 48
3.6 PROTOBUF-NET ................................................................................................................................ 48
3.7 MATH.NET NUMERICS LICENSE (MIT/X11) ........................................................................................ 49
3.8 IQToolkit ........................................................................................................................................... 49
3.9 Newtonsoft.Json (MIT) ....................................................................................................................... 50
Kapitel VIII Haftung 53
5
Kapitel I - Verwendung des Auditee's Guide zu CheckAud 2022.1
6 Kapitel I - Verwendung des Auditee's Guide zu CheckAud 2022.1
I Verwendung des Auditee's Guide zu CheckAud 2022.1

Dieses Dokument beschreibt die technischen Vorbereitung für eine Datenerhebung mit CheckAud
2022.1 im Rahmen einer Berechtigungsprüfung bzw. für eine Vertriebspräsentation der Software
anhand von Echtdaten.
I- 1 Echtdatenpräsentation von CheckAud 2022.1

Was wir Ihnen bieten:
· Sie erfahren live und anschaulich, welche Sicherheitslücken im Berechtigungsumfeld Ihres SAP-
Systems möglicherweise existieren
· die Überprüfung erfordert ca. 2 Stunden und wird bei Ihnen vor Ort durchgeführt
· wir prüfen, ob Ihr Berechtigungskonzept den gesetzlichen Auflagen, Ihren Anforderungen und
Ihrem IKS genügt
· die Überprüfung wird von einem qualifizierten Berater unseres Hauses durchgeführt
· Sie erfahren, welche Vorteile Ihnen die Sicherheitssoftware CheckAud® for SAP Systems bietet
· Sie gehen keinerlei Verpflichtungen ein
Und so funktioniert es:
· Sie vereinbaren einen Termin mit uns

· Sie bereiten die benötigten Daten Ihres SAP-Systems auf, dafür erhalten Sie das Scanmodul
unserer Prüfsoftware CheckAud
· die erzeugten Daten stellen Sie per Speichermedium (DVD, USB-Stick o. ä.) zur Präsentation
bereit
· zum vereinbarten Termin spielt unser Berater bei Ihnen vor Ort diese Daten auf den
mitgebrachten Präsentationsrechner und führt die Überprüfung anhand dieser Daten durch
· gemäß vorbereiteter Analyseschritte werden Ergebnisse aus Ihrem SAP-System erarbeitet und
bewertet, mögliche Maßnahmen werden besprochen
· Sie erhalten detaillierte Ergebnisdokumente in Form von Excel-Exporten und einem
Prüfungsbericht
· nach der Präsentation werden die Daten vom Präsentationsrechner sicher und rückstandslos
gelöscht
· eine Muster-Datenschutzvereinbarung wird Ihnen bereitgestellt, gern verwenden wir aber auch
Ihre Vorlagen
Für eine Live-Präsentation von CheckAud for SAP Systems oder eine Prüfung durch IBS-
Mitarbeiter ist es notwendig, dass die Daten bereits vor dem Termin aufbereitet werden!
I- 2 Berechtigungsprüfung mit CheckAud 2022.1

Für die Vorbereitung einer Berechtigungsprüfung führen Sie bitte die nachfolgenden Schritte zur
Installation des Scanmoduls sowie zur Erstellung eines Snapshots durch. Der für die Prüfung
verantwortlicher Berater wird Sie rechtzeitig gesondert kontaktieren und weitere Informationen zur
Erstellung des Snapshots bereitstellen.
7
Kapitel II - Installationshinweise
8 Kapitel II - Installationshinweise
II Installationshinweise
II - 1 Systemvoraussetzungen
Für die Installation von CheckAud 2022.1 ist eine der in der nachfolgenden Tabelle genannten
Windows-Versionen erforderlich. Die Nutzung eines 64-Bit Windows wird empfohlen, ist aber nicht
zwingend erforderlich. Des Weiteren wird mindestens das Microsoft .net Framework 4.8 zur
Ausführung von CheckAud 2022.1 benötigt.
Version Service Pack / Hinweis Anmerkungen

Windows 8.1 - nur Pro und Enterprise
Windows 10 ab 1607 nur Pro und Enterprise
inkl. 2016 LTSB & 2019 LTSC
Windows Server 2012 - nicht „Server Core“
Windows Server 2012 R2 - nicht „Server Core“
Windows Server 2016 RTM (=1607), 1709 & 1803 nicht „Server Core“
Windows Server 2019 - nicht „Server Core“
Für die Nachbearbeitung der Auswertungsergebnisse aus CheckAud ist die die Installation eines
Microsoft Office Pakets (min. Office 2010) empfehlenswert.
II - 2 Empfohlene Hardware-Ausstattung
Für die Nutzung von CheckAud 2022.1 wird ein physikalischer Arbeitsspeicher von min. 4GB
empfohlen. Zur schnellen Analyse größerer SAP-Systeme (z.B. mehrere tausend Benutzer,
mehrere hunderttausend Berechtigungen) werden min. 6GB empfohlen. Der Einsatz aktueller Intel
Core-Prozessoren wird empfohlen, ist aber keine zwingende Voraussetzung. Der Installationspfad
sollte sich auf einer lokalen Festplatte befinden. Der Einsatz einer SSD ist nicht erforderlich.
II - 3 Einsatz in virtuellen Umgebungen / CITRIX / Terminal Server

Obwohl CheckAud 2022.1 grundsätzlich auch auf Netzwerk-Storage-Systemen einsetzbar ist, stellen
Zugriffe auf NAS-/SAN-Systeme auf Grund der großen zu analysierenden Datenmengen deutliche
Performancehürden dar. Aus diesem Grund wird die Installation von CheckAud 2022.1 auf einer
direkt an das System angebundenen physikalischen Festplatte empfohlen. Bei der Installation in
einer virtuellen Umgebung muss sichergestellt sein, dass dem Betriebssystem der vorgenannte
Hauptspeicher physikalisch exklusiv zur Verfügung steht.
Eine Installation von CheckScan 2022.1 oder CheckAud 2022.1 in einer CITRIX-Umgebung / auf
einem Terminalserver ist grundsätzlich möglich. Es ist lediglich zu beachten, dass die CheckAud-
Datenbank auf jedem Server lokal installiert werden muss, da eine Verwendung von UNC-Pfaden in
der aktuellen Version nicht unterstützt wird.
Ein gleichzeitiger Zugriff von mehreren Benutzern auf eine CheckAud-Datenbank wird in der
aktuellen Version nicht empfohlen.
Kapitel II - Installationshinweise 9
II - 4 Einsatz von Anti-Viren-Softwareprodukten

Der Einsatz von „On Access“-Virenscannern stellt für CheckAud 2022.1 grundsätzlich kein Problem
dar. Aus Gründen der Performance und Stabilität ist es jedoch erforderlich, den Hostprozess der
intern genutzten Datenbank sowie dessen Datenverzeichnis vom Scan auszuschließen. In
Einzelfällen kann die komplette Deinstallation des Virenscanners (bzw. der Wechsel auf eine neuere
Version oder ein anderes Produkt) für die Nutzung von CheckAud 2022.1 erforderlich sein.
11
Kapitel III - Durchführung der Installation CheckScan 2022.1
12 Kapitel III - Durchführung der Installation CheckScan 2022.1
III Durchführung der Installation CheckScan 2022.1

Das Modul zur Datenerhebung aus dem SAP-System, das Scanmodul, wird gesondert als
Installationspaket bereitgestellt. Nachfolgende Schritte beschreiben die Installation:
Es kann die gewünschte Sprache der Installation ausgewählt werden:
Abbildung 1 - Sprachauswahl für Installation
Beginnen der Installation mit dem Setup Assistenten über den Button Weiter
Abbildung 2 - Start des Installationsassistenten
Hinweise zum aktuellen Release zur Kenntnis nehmen und mit Weiter bestätigen:
Kapitel III - Durchführung der Installation CheckScan 2022.1 13
Abbildung 3 - Hinweise zum Release
Lizenzhinweise bestätigen über den Radiobutton Ich stimme der Lizenzvereinbarung zu
Abbildung 4 - Zustimmung der Lizenzvereinbarung
Weiter klicken
Im nachfolgenden Dialog muss entscheiden werden, ob die Installation nur für das aktuell
angemeldete Benutzerkonto oder für alle Benutzer auf dem PC erfolgen soll:
14 Kapitel III - Durchführung der Installation CheckScan 2022.1
Abbildung 5 - Installationsart
Abbildung 6 - Installationspfad wählen
Der Installationspfad kann frei gewählt werden, im Standard wird das Scanmodul installiert unter:
C:\Program Files\CheckAud GRC Software\for SAP Systems\CheckScan\
Durch Klicken des Buttons Installieren, wird die Installation gestartet.
Kapitel III - Durchführung der Installation CheckScan 2022.1 15
Abbildung 7 - Abschluss der Installationsvorbereitungen
Abbildung 8 - Durchführung der Installation

Erfolgreicher Abschluss der Installation von CheckScan:
Abbildung 9 - Installation abgeschlossen
17
Kapitel IV - Benötigte Rechte im SAP-System
18 Kapitel IV - Benötigte Rechte im SAP-System
IV Benötigte Rechte im SAP-System

In den nachfolgenden Kapiteln werden die notwendigen bzw. optionalen Berechtigungen für den
technischen Kommunikationsbenutzer im SAP-System beschrieben.
Berechtigungswerte in fett, rot stehen für neue, zusätzliche Berechtigungswerte der Version
CheckAud 2022.1.
IV - 1 Tabellenset AUTH
Die Anmeldung über CheckScan 2022.1 an das SAP-System erfolgt via RFC-Schnittstelle. Es ist
dabei zu beachten, dass CheckScan 2022.1 nur Release-Stände ab 7.00 der Softwarekomponente
SAP_BASIS unterstützt. Hierfür wird ein Benutzerkonto (Systembenutzer) mit folgenden Rechten
benötigt:
Berechtigungsobjekt: S_RFC
Aktivität: 16
RFC_NAME:
AUTH_TRACE_GET_USOBHASH, DDIF_FIELDINFO_GET, EM_GET_NUMBER_OF_ENTRIES,
GET_SYS_COMP_REL, RFCPING, RFC_FUNCTION_SEARCH,
RFC_GET_FUNCTION_INTERFACE, RFC_METADATA_GET,
RFC_METADATA_GET_TIMESTAMP, RFC_PING, RFC_READ_TABLE, RFC_SYSTEM_INFO,
SNC_GET_MY_INFO, SYSTEM_RESET_RFC_SERVER
RFC_TYPE: FUNC
Berechtigungsobjekt: S_TABU_NAM
Aktivität: 03
Tabelle:
AGR_1016, AGR_AGRS, AGR_DEFINE, AGR_FLAGS, AGR_TEXTS, AGR_USERS, CVERS,
CVERS_REF, DD02L, DD02T, DD03L, DD03M, DD03T, DD04T, DEVACCESS,
GTB_ROLE_DEF, GTB_ROLE_DEF_T, GTB_ROLE_TABLE, GTB_ROLE_VALUE, PRGN_CUST,
T055, T055F, T055G, T055T, T77S0, TAPPL_LOCK, TDDAT, TOBC, TOBCT, TOBJ,
TOBJ_CHK_CTRL_R, TOBJ_CHK_CTRL_RH, TOBJ_OFF, TOBJT, TRDIR, TSTC, TSTCT,
USER_ADDRS, USGRP_USER, USGRPT, USOBAUTHINACTIVE, USORG, USR_CUST, USR02,
USR06, USR10, USR11, USR13, USR21,USREFUS, UST04, UST10C, UST10S,
UST12,WDY_COMPONENT,
WDY_COMPONENTT, /CHECKAUD/FIORI_PROPERTIES,/IWEP/I_MGW_SRT, /IWFND/I_MED
/SRT
1 Gemäß SAP Note 460089 (Minimum authorization profile for external RFC programs) ist die Berechtigung für den
Funktionsbaustein „SYSTEM_RESET_RFC_SERVER“ grundsätzlich erforderlich
https://launchpad.support.sap.com/#/notes/460089
Um neben dem Standard-Tabellen-Set AUTH weitere Tabellen-Sets auszulesen, werden für jedes
einzelne Tabellen-Set gesonderte Berechtigungen im SAP-System benötigt. Nachfolgend sind für
jedes Tabellen-Set die erforderlichen Berechtigungen aufgeführt.
Kapitel IV - Benötigte Rechte im SAP-System 19
IV - 2 Tabellenset IBS_AUTH_ADVANCED
Aktivität: 03
Tabelle:
AGR_BUFFI, AGR_1251, AGR_1252, ORGCRACT, ORGCRATT, ORGCRATT_T, ORGCRFLD,
ORGCRIT, ORGCRIT_T, USOBT_C, USOBX_C
IV - 3 Tabellenset IBS_BW
Aktivität: 03
Tabelle:
RSECBIAU, RSECTXT, RSECUSERAUTH
IV - 4 Tabellenset IBS_CO
Aktivität: 03
Tabelle:
CEPC, CSKS, TKA01, TKA02
IV - 5 Tabellenset IBS_FI
Aktivität: 03
Tabelle:
FM01, FM01T, NRIV, T001, T001B, T003, T003T, T004, T004T, T010P, T014T, T043, T880, TGSB,
TGSBT, TNROT, TNRO
IV - 6 Tabellenset IBS_GDPR
Aktivität: 03
Tabelle:
SXC_ATTR, SXC_CLASS, SXC_EXIT, SXS_ATTRT, SFW_SW_BF, SFW_SWITCH_STATE,
SFW_SWITCHT, T77PADDUR_DEF, T77PADDUR_KEY, T77PADDURATION
IV - 7 Tabellenset IBS_MM
Aktivität: 03
Tabelle:
T001L, T024E, T024W, T024Z, T025, T030,
T134
IV - 8 Tabellenset IBS_HCM
Aktivität: 03
Tabelle:
T001P, T500P, T501T, T503T, T526, T569U, T582A, T582S, T585A, T585B, T585C, T591A,
T591S, T599R, T77EO, T77UA
IV - 9 Tabellenset IBS_ISU
Aktivität: 03
Tabelle:
EDSC, EPREI, ETRF, ETTA, TE069, TE218, TE265, TE408, TE669
Kapitel IV - Benötigte Rechte im SAP-System 21
IV - 10 Tabellenset IBS_SD
Aktivität: 03
Tabelle:
TVKO, TVKOT, TVKWZ, TVTW, TVTWT
IV - 11 Tabellenset IBS_SYSTEM
Aktivität: 03
Tabelle:
ADIRACCESS, CCCFLOW, DD02L, DD09L, DLV_SYSTC, ORGCRACT, PAT03,
RFCCBWHITELIST, RFCCBWHITELIST_A, RFCDES, RFCDOC, RFCSYSACL, RFCTRUST,
RSAUPROF, SEC_POLICY_ATTR, SEC_POLICY_RT, SXPGCOSTAB, T000, TADIR, TBRG,
TBRG_AUTH, TBRG_AUTHT, TBRGT, TCDOB , TMSCSYS, TMSPCONF, TPLOG, TRNSPACE,
TRNSPACETT, USR01, USR05, USR40, USR41_MLD
IV - 12 Berechtigungen für die Parameterwerte

Das Auslesen und Auswerten der SAP-Parameter wird nur bei SAP Releases ab 7.40 unterstützt!
Berechtigungsobjekt: S_RFC
Aktivität: 16
RFC_NAME:
PFL_GET_SERVER_PARAM_VALUES
RFC_TYPE: FUNC
Aktivität: 03
Tabelle:
DOKIL, DOKTL, TPFET, TPFHT, TPFID
Berechtigungsobjekt: S_RZL_ADM
Aktivität: 03
IV - 13 Berechtigungen für das Auslesen der

Org-Ebenen-Vorschlagswerte
Aktivität: 03
Tabelle:
DD07T, FM01, FM01T, LLOCT, LLOCTT, RFCDES, RFCDOC, T001, T001W, T004, T004T, T014,
T014T, T024, T024E, T077D, T077K, T077X, T077Y, T16FG, T16FH, T300, T300T, T500P, T501,
T501T, T503K, T503T, T549A, T549T, T582A, T582S, T750E, T750F, T750K, T777P, T778P,
T880, TACT, TACTT, TBKK01, TBKK01T, TBKK80, TBKK80T, TF150, TF151, TGSB, TGSBT,
TKA01, TKEB, TKEBT, TSPA, TSPAT, TTDS, TTDST, TVAK, TVAKT, TVBUR, TVFK, TVFKT,
TVGRT, TVKBT, TVKGR, TVKO, TVKOT, TVST, TVSTT, TVTW, TVTWT
IV - 14 Berechtigungen für das Auslesen der anonymisierten

Benutzerstatistik
Berechtigungsobjekt:S_RFC
Aktivität: 16
RFC_NAME:
SWNC_COLLECTOR_GET_AGGREGATES
RFC_TYPE: FUNC
IV - 15 Vorgefertigte SAP-Rolle für den RFC-Schnittstellenbenutzer

(Scan-User)
Auf der Webseite www.checkaud.de kann im Kundenbereich eine vorgefertigte Rolle für den Scan-
User heruntergeladen werden. In dieser SAP-Rolle sind die notwendigen Berechtigungen für den
Kommunikationsbenutzer enthalten, welcher für den Scan des zu prüfenden SAP-Systems
verwendet wird. Die Berechtigungen beschränken sich auf den Zugriff remotefähiger SAP-
Funktionsbausteine sowie auf die für die Berechtigungsauswertung relevanten SAP-Tabellen.
Für die neu hinzugefügten Tabellen-Sets in CheckScan stehen im Kundenbereich auf

www.checkaud.de die einzelnen SAP-Rollen zum Herunterladen zu Verfügung.
Hinweis:
In einem älteren SAP-System ist zu beachten, dass dort keine Möglichkeit der Pflege von
Funktionsbausteinen besteht. Die Berechtigungen basieren auf Funktionsgruppen. Die
bereitgestellten Rollen im Kundenbereich auf www.checkaud.de basieren auf der Bereitstellung von
Berechtigungen über Funktionsbausteine. Sollte es zu Problemen bei dem Erstellen von Snapshots
auf älteren SAP-Systemen kommen, ist zu prüfen, ob die importierten Rollen vollständig sind. Es ist
durchaus möglich, dass die importierten Rollen unvollständig im SAP-System angelegt wurden. Wir
empfehlen in diesem Fall die Verwendung der Berechtigungen über die Funktionsgruppen.
23
Kapitel V - Benötigte Rechte auf der HANA Datenbank
24 Kapitel V - Benötigte Rechte auf der HANA Datenbank
V Benötigte Rechte auf der HANA Datenbank

In den nachfolgenden Kapiteln werden die notwendigen bzw. optionalen Berechtigungen für den
technischen Benutzer auf der HANA Datenbank beschrieben.
Berechtigungswerte in fett, rot stehen für neue, zusätzliche Berechtigungswerte der Version
CheckAud 2022.1.
V-1 Generelle Berechtigungen zum Auslesen von Tabellen / Views

Diese HANA Datenbank-Berechtigungen sind für die Anmeldung und zum generellen Auslesen von
Tabellen und Views erforderlich:
system privilege: CATALOG READ;

catalog sql object "SYS"."DUMMY": SELECT;
catalog sql object "SYS"."M_DATABASE": SELECT;
catalog sql object "SYS"."TABLE_COLUMNS": SELECT;
catalog sql object "SYS"."VIEW_COLUMNS": SELECT;
catalog sql object "SYS"."REPOSITORY_REST": EXECUTE;
V-2 Tabellenset AUTH

Nachfolgende Objekt-Berechtigungen für den Zugriff auf relevante Tabellen / Views zur Steuerung
der Berechtigungsvergabe innerhalb der HANA Datenbank müssen vergeben sein:
catalog sql object "SYS"."GRANTED_PRIVILEGES": SELECT;

catalog sql object "SYS"."GRANTED_ROLES": SELECT;
catalog sql object "SYS"."PRIVILEGES": SELECT;
catalog sql object "SYS"."REMOTE_USERS": SELECT;
catalog sql object "SYS"."ROLES": SELECT;
catalog sql object "SYS"."STRUCTURED_PRIVILEGES": SELECT;
catalog sql object "SYS"."USERGROUPS": SELECT;
catalog sql object "SYS"."USERGROUP_PARAMETERS": SELECT;
catalog sql object "SYS"."USERS": SELECT;
catalog sql object "SYS"."USER_PARAMETERS": SELECT;
catalog sql object "SYS"."OWNERSHIP": SELECT;
catalog sql object "SYS"."OBJECT_PRIVILEGES": SELECT;
catalog sql object "SYS"."OBJECTS": SELECT;
catalog sql object "SYS"."SCHEMAS": SELECT;
catalog sql object "SYS"."SYNONYMS": SELECT;
catalog sql object "_SYS_REPO"."PACKAGE_CATALOG": SELECT;
Kapitel V - Benötigte Rechte auf der HANA Datenbank 25
V-3 Tabellenset IBS_System

Nachfolgende Objekt-Berechtigungen für den Zugriff auf relevante Tabellen / Views zur Steuerung
der Berechtigungsvergabe innerhalb der HANA Datenbank können optional vergeben sein. Diese
Berechtigungen werden benötigt, sobald das Tabellenset IBS_SYSTEM im Scanmodul für das
Auslesen der HANA Datenbank-Berechtigungen aktiviert wird.
catalog sql object "SYS"."AUDIT_POLICIES": SELECT;

catalog sql object "SYS"."CREDENTIALS": SELECT;
catalog sql object "SYS"."ENCRYPTION_ROOT_KEYS": SELECT;
catalog sql object "SYS"."INVALID_CONNECT_ATTEMPTS": SELECT;
catalog sql object "SYS"."M_CONNECTIONS": SELECT;
catalog sql object "SYS"."M_CUSTOMIZABLE_FUNCTIONALITIES": SELECT;
catalog sql object "SYS"."M_ENCRYPTION_OVERVIEW": SELECT;
catalog sql object "SYS"."M_HOST_INFORMATION": SELECT;
catalog sql object "SYS"."M_INIFILES": SELECT;
catalog sql object "SYS"."M_INIFILE_CONTENTS": SELECT;
catalog sql object "SYS"."M_INIFILE_CONTENT_HISTORY": SELECT;
catalog sql object "SYS"."M_PASSWORD_POLICY": SELECT;
catalog sql object "SYS"."M_PERSISTENCE_ENCRYPTION_STATUS": SELECT;
catalog sql object "SYS"."M_REMOTE_CONNECTIONS": SELECT;
catalog sql object "SYS"."M_SYSTEM_OVERVIEW": SELECT;
catalog sql object "SYS"."REMOTE_SOURCES": SELECT;
catalog sql object "_SYS_SECURITY"."_SYS_PASSWORD_BLACKLIST": SELECT;
V-4 Vorgefertigte Rolle für den technischen Benutzer (Scan-User)

Auf der Webseite www.checkaud.de kann im Kundenbereich eine vorgefertigte Rolle für den Scan-
User heruntergeladen werden. In dieser HANA Datenbank-Rolle sind die notwendigen
Berechtigungen für den technischen Benutzer enthalten, welcher für den Scan der zu prüfenden
HANA Datenbank verwendet wird. Die Berechtigungen beschränken sich auf den Zugriff der für die
Berechtigungsauswertung notwendigen Tabellen und Views.
Für die optionalen Tabellen-Sets in CheckScan stehen im Kundenbereich auf www.checkaud.de die
einzelnen HANA Datenbank-Rollen zum Herunterladen zu Verfügung.
27
Kapitel VI - CheckScan 2022.1
28 Kapitel VI - CheckScan 2022.1
VI CheckScan 2022.1
VI - 1 Anlegen einer neuen Systemverbindung (ABAP-Scan)
Hinweis: Für die Anlage von Systemverbindungen werden detaillierte Informationen (TCP/IP-
Adresse, DNS-Adresse oder SAProuter-String, Messageserver, Servergruppe, Mandant,
Systemnummer etc.) zu den auszulesenden SAP-Quellsystemen benötigt. Diese sollten über die
SAP Basisadministration in Erfahrung gebracht werden.
Über die Schaltfläche kann eine neue Verbindung zu einem SAP-Quellsystem
angelegt werden. Bereits angelegte Quellsysteme können über die Schaltfläche
exportiert bzw. importiert werden. Somit können Informationen zu SAP-Quellsystemen zwischen
verschiedenen Installationen des Scanmoduls ausgetauscht werden.
Weiterhin kann über diese Schaltfläche die SAPLOGON.INI einer vorhandenen SAP LogOn-
Installation eingelesen werden. Dabei werden die aus der SAPLOGON.INI verfügbaren
Verbindungsinformationen übernommen und müssen nur noch mit Mandanten bzw. den
Anmeldeinformationen des SAP-Kommunikationsbenutzers ergänzt werden.
Zur Erstellung einer neuen Systemverbindung wird folgender Dialog angezeigt:
Abbildung 10 - Eingabe der Verbindungsinformationen zu einem SAP-System
Beschreibung beliebige Beschreibung zum anzulegenden Quellsystem

System Auswahl zwischen Verbindung über Anwendungsserver oder Gruppen /
Serverselektion
Server TCP/IP-Adresse oder DNS-Adresse des SAP-Host
SAProuter-String alternative Verbindung über den SAProuter-String
Kapitel VI - CheckScan 2022.1 29
Systemnummer Instanznummer des SAP-Quellsystems

System-ID Systembezeichnung des SAP-Quellsystems
Mandant auszulesender Mandant des SAP-Quellsystems
Zugangsdaten Name und Kennwort des SAP-Kommunikationsbenutzers zur Anmeldung des
Scanmoduls am Quellsystem (alternativ kann hier auch ein in den
Einstellungen hinterlegter SAP-Standardbenutzer per Flag aktiviert werden)
Passwort sofern dieses Flag nicht aktiviert ist, wird bei jeder Snapshot-Erstellung nach
speichern dem Passwort des SAP-Kommunikationsbenutzers gefragt
Über die Schaltfläche kann überprüft werden, ob mit den hinterlegten Informationen
eine Verbindung zu dem Quellsystem möglich ist.
VI - 1.1 Auswahl der Tabellen-Sets
Im Reiter können neben dem Pflicht-Tabellen-Set AUTH weitere Tabellen-Sets

ausgewählt werden, welche für diese Systemverbindung zusätzlich relevant sein sollen. Die
Tabellen-Sets:
· IBS_AUTH_ADVANCED,
· IBS_BW,
· IBS_FI,
· IBS_HCM,
· IBS_ISU,
· IBS_MM,
· IBS_SD und
· IBS_SYSTEM
stehen optional als vorgefertigte Auswahl zu Verfügung.
Für die Präsentation von CheckAud an Echtdaten werden die beiden Tabellen-Sets AUTH,
IBS_AUTH_ADVANCED und IBS_SYSTEM sowie die Parameterwerte benötigt.
Für Berechtigunsprüfungen sind ggfls. weitere Tabellensets in Abhängigkeit des

Prüfungsthemas notwendig, Sie werden hierzu gesondert informiert.
Die nachfolgende Abbildung zeigt die zusätzliche Auswahl des Tabellen-Set

IBS_AUTH_ADVANCED:
Abbildung 11 - Auswahl zusätzlicher Tabellen-Sets
VI - 1.2 Parameterwerte auslesen
Im Reiter finden sich neben Tabellen-Sets auch noch weitere Optionen zu

auszulesenden Informationen:
Abbildung 12 - Parameterwerte auslesen
Um die Parameter eines SAP-Systems in CheckAud prüfen zu können, müssen diese ausgelesen
werden. Das Auslesen der Parameterwerte ist in CheckScan standardmäßig aktiviert. Zu den bereits
bestehenden Berechtigungen für das Tabellen-Set AUTH werden zusätzliche Berechtigungen
benötigt, um die Parameterwerte auszulesen. Das Auslesen der Systemparameter ist erst ab dem
SAP Releasestand 7.40 möglich. Bei älteren Releaseständen werden trotz gesetzter Option zu
Auslesen keine Parameterauswertungen in CheckAud möglich sein.
VI - 1.3 Vorschlagswerte für Org-Ebenen auslesen
Im Reiter finden sich neben Tabellen-Sets auch noch weitere Optionen zu

auszulesenden Informationen:
Abbildung 13 - Vorschlagswerte für Org-Ebenen auslesen
Um die Vorschlagswerte für Organisations-Ebenen (z. B. für Buchungskreis BUKRS) in CheckAud

verwenden zu können, müssen diese mit ausgelesen werden. Das Auslesen der Vorschlagswerte für
Org-Ebenen ist in CheckScan standardmäßig aktiviert. Zu den bereits bestehenden Berechtigungen
für das Tabellen-Set AUTH werden zusätzliche Berechtigungen benötigt.
Hinweis: Sofern es beim Auslesen des SAP-Systems zu längeren Laufzeiten kommt, kann diese
Option des Auslesens der Org-Ebebenen deaktiviert werden, um Laufzeiten zu verbessern. Dadurch
werden dann aber keine Vorschlagswerte für Org-Ebenen bei der Auswertung zur Verfügung
gestellt und müssen manuell eingegeben werden.
VI - 2 Anlegen einer neuen Systemverbindung (HANA-Scan)

Hinweis: Für die Anlage von Systemverbindungen werden detaillierte Informationen (TCP/IP-
Adresse, DNS-Adresse, Instanznummer etc.) zu den auszulesenden HANA Datenbanken benötigt.
Diese sollten über die SAP Basisadministration in Erfahrung gebracht werden.
Über die Schaltfläche kann eine neue Verbindung zu einer HANA Datenbank
angelegt werden. Bereits angelegte Quellsysteme können über die Schaltfläche
exportiert bzw. importiert werden. Somit können Informationen zu HANA Datenbanken als
Quellsysteme zwischen verschiedenen Installationen des Scanmoduls ausgetauscht werden.
Weiterhin können über diese Schaltfläche entsprechende Verbindungsinformationen aus dem SAP
HANA Cockpit bzw. dem SAP HANA Studio übernommen werden und müssen nur noch mit den
Anmeldeinformationen des Kommunikationsbenutzers ergänzt werden.
Zur Erstellung einer neuen Systemverbindung wird folgender Dialog angezeigt:
Abbildung 14 - Eingabe der Verbindungsinformationen zu einer HANA Datenbank
Beschreibung beliebige Beschreibung zum anzulegenden Quellsystem

Server TCP/IP-Adresse oder DNS-Adresse der HANA Datenbank
Instanz-Nummer Instanz-Nummer der HANA Datenbank
Modus Auswahl des Betriebsmodus der HANA Datenbank, hier muss angegeben
werden, ob die auszulesende HANA Datenbank als Einzel- oder
Mehrfachcontainer arbeitet und ggfls. welches Tenant auszulesen ist
Zugangsdaten Name und Kennwort des Kommunikationsbenutzers zur Anmeldung des
Scanmoduls am Quellsystem (alternativ kann hier auch ein in den
Einstellungen hinterlegter HANA Datenbank Standardbenutzer per Flag
aktiviert werden)
Passwort sofern dieses Flag nicht aktiviert ist, wird bei jeder Snapshot-Erstellung nach
speichern dem Passwort des Kommunikationsbenutzers gefragt
Über die Schaltfläche kann überprüft werden, ob mit den hinterlegten Informationen
eine Verbindung zu dem Quellsystem möglich ist.
VI - 2.1 Auswahl der Tabellen-Sets
Im Reiter können neben dem Pflicht-Tabellen-Set AUTH weitere Tabellen-Sets

ausgewählt werden, welche für diese Systemverbindung zusätzlich relevant sein sollen. Die
Tabellen-Sets:
· IBS_SYSTEM
stehen optional als vorgefertigte Auswahl zu Verfügung.
Abbildung 15 - Auswahl zusätzlicher Tabellen-Sets
VI - 3 Erstellung eines Snapshots (ABAP- und HANA-Scan)

Für die Erstellung von Snapshots der gewünschten SAP-Quellsysteme bzw. von HANA Datenbanken
müssen eine oder mehrere Systemverbindungen in der Listen- oder in der Gruppenansicht per Flag
markiert werden:
Abbildung 16 - Für Snapshot-Erstellung markierte Systeme in der Listenansicht
Werden mehrere Systeme für den Snapshot markiert, so werden diese sequentiell durch das
Scanmodul ausgelesen und die jeweiligen Snapshots im angegebenen Zielverzeichnis abgelegt.
Bei Bedarf können die Snapshots zusätzlich über ein Passwort verschlüsselt werden. Dieses wird
beim Import des Snapshots in die Datenbank des Auswertungsmoduls abgefragt.
Abbildung 17 - Optionale Verschlüsselung des Snapshot
Das Erstellen der Snapshots erfolgt über die Schaltfläche Es wird ein Dialogfenster
zum Abspeichern der Snapshot-Datei geöffnet:
Abbildung 18 - Windows Standarddialogfenster zum Speichern des Snapshot
Die Namensgebung der zu speichernden Datei setzt sich wie folgt zusammen:
SystemID_Mandant_Datum_Uhrzeit.casnapshot
Abbildung 19 - Fortschritt des Scans
Nach dem Starten des Scans wird die Systemauswahl deaktiviert und in unterem Bereich werden
die zu scannende Tabellen angezeigt, sowie die voraussichtliche benötigte Zeit bis zum Abschluss
des Scans. Nach erfolgreicher Fertigstellung des Scanvorgangs wird ein Ergebnisfenster angezeigt:
Abbildung 20 - Ergebnisfenster des erfolgreichen Scans
Hinweis:
Wird im Ergebnisfenster ein -Symbol angezeigt, handelt es sich um den Hinweis, dass einige
optionale Tabellen im Snapshot nicht berücksichtigt worden sind. Das Erstellen des Snapshots
erfolgte dennoch erfolgreich. Wird der Mauszeiger nun auf das angezeigte Symbol bewegt,
erscheint ein Fenster, welches die übersprungenen Tabellen in dem dazugehörigen Tabellen-Set
anzeigt.
Halten Sie die Snapshot-Datei zur Präsentation / zur Prüfung per Speichermedium (DVD oder USB-
Stick) bereit.
Hinweis:
Das oben beschrieben Verfahren ist für ABAP-Scans und HANA-Scans jeweils einzeln
durchzuführen. Mit dem Wechsel der Reiter ABAP Systeme zu HANA DB Systeme können die
jeweiligen Systemscans gestartet werden.
39
Kapitel VII - Technischer Anhang
40 Kapitel VII - Technischer Anhang
VII Technischer Anhang

VII - 1 Eigentum und Urheberrecht
Sämtliche Urheberrechte an dieser Software liegen bei der
IBS Schreiber GmbH

Zirkusweg 1
20359 Hamburg
Deutschland
HRB Hamburg 60790
VII - 2 Nutzung der Software

Zur Nutzung dieser Software ist eine wirksame Lizenzvereinbarung mit der IBS Schreiber GmbH
erforderlich.
VII - 3 Lizenzen von Drittherstellern

Diese Software nutzt Bibliotheken von Drittherstellern unter den folgenden Lizenzen.
VII - 3.1RADCONTROLS FOR WPF

©2002-2017 by Telerik Corp.
VII - 3.2EPPLUS
GNU Library General Public License (LGPL)
Version 2.1, February 1999
Copyright (C) 1991, 1999 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA
02111-1307 USA Everyone is permitted to copy and distribute verbatim copies of this license
document, but changing it is not allowed.
[This is the first released version of the Lesser GPL. It also counts as the successor of the GNU
Library Public License, version 2, hence the version number 2.1.]
Preamble
The licenses for most software are designed to take away your freedom to share and change it. By
contrast, the GNU General Public Licenses are intended to guarantee your freedom to share and
change free software--to make sure the software is free for all its users.
This license, the Lesser General Public License, applies to some specially designated software
packages--typically libraries--of the Free Software Foundation and other authors who decide to use
it. You can use it too, but we suggest you first think carefully about whether this license or the
ordinary General Public License is the better strategy to use in any particular case, based on the
explanations below.
Kapitel VII - Technischer Anhang 41
When we speak of free software, we are referring to freedom of use, not price. Our General Public
Licenses are designed to make sure that you have the freedom to distribute copies of free software
(and charge for this service if you wish); that you receive source code or can get it if you want it;
that you can change the software and use pieces of it in new free programs; and that you are
informed that you can do these things.
To protect your rights, we need to make restrictions that forbid distributors to deny you these rights
or to ask you to surrender these rights. These restrictions translate to certain responsibilities for you
if you distribute copies of the library or if you modify it.
For example, if you distribute copies of the library, whether gratis or for a fee, you must give the
recipients all the rights that we gave you. You must make sure that they, too, receive or can get the
source code. If you link other code with the library, you must provide complete object files to the
recipients, so that they can relink them with the library after making changes to the library and
recompiling it. And you must show them these terms so they know their rights.
We protect your rights with a two-step method: (1) we copyright the library, and (2) we offer you
this license, which gives you legal permission to copy, distribute and/or modify the library.
To protect each distributor, we want to make it very clear that there is no warranty for the free
library. Also, if the library is modified by someone else and passed on, the recipients should know
that what they have is not the original version, so that the original author's reputation will not be
affected by problems that might be introduced by others.
Finally, software patents pose a constant threat to the existence of any free program. We wish to
make sure that a company cannot effectively restrict the users of a free program by obtaining a
restrictive license from a patent holder. Therefore, we insist that any patent license obtained for a
version of the library must be consistent with the full freedom of use specified in this license.
Most GNU software, including some libraries, is covered by the ordinary GNU General Public
License. This license, the GNU Lesser General Public License, applies to certain designated
libraries, and is quite different from the ordinary General Public License. We use this license for
certain libraries in order to permit linking those libraries into non-free programs.
When a program is linked with a library, whether statically or using a shared library, the
combination of the two is legally speaking a combined work, a derivative of the original library. The
ordinary General Public License therefore permits such linking only if the entire combination fits its
criteria of freedom. The Lesser General Public License permits more lax criteria for linking other
code with the library.
We call this license the "Lesser" General Public License because it does Less to protect the user's
freedom than the ordinary General Public License. It also provides other free software developers
Less of an advantage over competing non-free programs. These disadvantages are the reason we
use the ordinary General Public License for many libraries. However, the Lesser license provides
advantages in certain special circumstances.
For example, on rare occasions, there may be a special need to encourage the widest possible use
of a certain library, so that it becomes a de-facto standard. To achieve this, non-free programs must
be allowed to use the library. A more frequent case is that a free library does the same job as widely
used non-free libraries. In this case, there is little to gain by limiting the free library to free software
only, so we use the Lesser General Public License.
In other cases, permission to use a particular library in non-free programs enables a greater
number of people to use a large body of free software. For example, permission to use the GNU C
Library in non-free programs enables many more people to use the whole GNU operating system,
as well as its variant, the GNU/Linux operating system.
Although the Lesser General Public License is Less protective of the users' freedom, it does ensure
that the user of a program that is linked with the Library has the freedom and the wherewithal to run
that program using a modified version of the Library.
The precise terms and conditions for copying, distribution and modification follow. Pay close
attention to the difference between a "work based on the library" and a "work that uses the library".
The former contains code derived from the library, whereas the latter must be combined with the
library in order to run.
TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION
0. This License Agreement applies to any software library or other program which contains a notice
placed by the copyright holder or other authorized party saying it may be distributed under the
terms of this Lesser General Public License (also called "this License"). Each licensee is addressed
as "you".
A "library" means a collection of software functions and/or data prepared so as to be conveniently

linked with application programs (which use some of those functions and data) to form executables.
The "Library", below, refers to any such software library or work which has been distributed under
these terms. A "work based on the Library" means either the Library or any derivative work under
copyright law: that is to say, a work containing the Library or a portion of it, either verbatim or with
modifications and/or translated straightforwardly into another language. (Hereinafter, translation is
included without limitation in the term "modification".)
"Source code" for a work means the preferred form of the work for making modifications to it. For a
library, complete source code means all the source code for all modules it contains, plus any
associated interface definition files, plus the scripts used to control compilation and installation of the
library.
Activities other than copying, distribution and modification are not covered by this License; they are
outside its scope. The act of running a program using the Library is not restricted, and output from
such a program is covered only if its contents constitute a work based on the Library (independent
of the use of the Library in a tool for writing it). Whether that is true depends on what the Library
does and what the program that uses the Library does.
1. You may copy and distribute verbatim copies of the Library's complete source code as you
receive it, in any medium, provided that you conspicuously and appropriately publish on each copy
an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to
this License and to the absence of any warranty; and distribute a copy of this License along with the
Library.
You may charge a fee for the physical act of transferring a copy, and you may at your option offer
warranty protection in exchange for a fee.
2. You may modify your copy or copies of the Library or any portion of it, thus forming a work
based on the Library, and copy and distribute such modifications or work under the terms of
Section 1 above, provided that you also meet all of these conditions:
a) The modified work must itself be a software library.
b) You must cause the files modified to carry prominent notices stating that you changed the files
and the date of any change.
c) You must cause the whole of the work to be licensed at no charge to all third parties under the
terms of this License.
d) If a facility in the modified Library refers to a function or a table of data to be supplied by an

application program that uses the facility, other than as an argument passed when the facility is
invoked, then you must make a good faith effort to ensure that, in the event an application does not
supply such function or table, the facility still operates, and performs whatever part of its purpose
remains meaningful.
(For example, a function in a library to compute square roots has a purpose that is entirely well-
defined independent of the application. Therefore, Subsection 2d requires that any application-
supplied function or table used by this function must be optional: if the application does not supply it,
the square root function must still compute square roots.)
These requirements apply to the modified work as a whole. If identifiable sections of that work are
not derived from the Library, and can be reasonably considered independent and separate works in
themselves, then this License, and its terms, do not apply to those sections when you distribute them
as separate works. But when you distribute the same sections as part of a whole which is a work
based on the Library, the distribution of the whole must be on the terms of this License, whose
permissions for other licensees extend to the entire whole, and thus to each and every part
regardless of who wrote it.
Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely
by you; rather, the intent is to exercise the right to control the distribution of derivative or collective
works based on the Library.
In addition, mere aggregation of another work not based on the Library with the Library (or with a
work based on the Library) on a volume of a storage or distribution medium does not bring the other
work under the scope of this License.
3. You may opt to apply the terms of the ordinary GNU General Public License instead of this
License to a given copy of the Library. To do this, you must alter all the notices that refer to this
License, so that they refer to the ordinary GNU General Public License, version 2, instead of to this
License. (If a newer version than version 2 of the ordinary GNU General Public License has
appeared, then you can specify that version instead if you wish.) Do not make any other change in
these notices.
Once this change is made in a given copy, it is irreversible for that copy, so the ordinary GNU
General Public License applies to all subsequent copies and derivative works made from that copy.
This option is useful when you wish to copy part of the code of the Library into a program that is not
a library.
4. You may copy and distribute the Library (or a portion or derivative of it, under Section 2) in
object code or executable form under the terms of Sections 1 and 2 above provided that you
accompany it with the complete corresponding machine-readable source code, which must be
distributed under the terms of Sections 1 and 2 above on a medium customarily used for software
interchange.
If distribution of object code is made by offering access to copy from a designated place, then
offering equivalent access to copy the source code from the same place satisfies the requirement to
distribute the source code, even though third parties are not compelled to copy the source along
with the object code.
5. A program that contains no derivative of any portion of the Library, but is designed to work with
the Library by being compiled or linked with it, is called a "work that uses the Library". Such a work,
in isolation, is not a derivative work of the Library, and therefore falls outside the scope of this
License.
However, linking a "work that uses the Library" with the Library creates an executable that is a
derivative of the Library (because it contains portions of the Library), rather than a "work that uses
the library". The executable is therefore covered by this License. Section 6 states terms for
distribution of such executables.
When a "work that uses the Library" uses material from a header file that is part of the Library, the
object code for the work may be a derivative work of the Library even though the source code is not.
Whether this is true is especially significant if the work can be linked without the Library, or if the
work is itself a library. The threshold for this to be true is not precisely defined by law.
If such an object file uses only numerical parameters, data structure layouts and accessors, and
small macros and small inline functions (ten lines or less in length), then the use of the object file is
unrestricted, regardless of whether it is legally a derivative work. (Executables containing this object
code plus portions of the Library will still fall under Section 6.)
Otherwise, if the work is a derivative of the Library, you may distribute the object code for the work
under the terms of Section 6. Any executables containing that work also fall under Section 6,
whether or not they are linked directly with the Library itself.
6. As an exception to the Sections above, you may also combine or link a "work that uses the
Library" with the Library to produce a work containing portions of the Library, and distribute that
work under terms of your choice, provided that the terms permit modification of the work for the
customer's own use and reverse engineering for debugging such modifications.
You must give prominent notice with each copy of the work that the Library is used in it and that the
Library and its use are covered by this License. You must supply a copy of this License. If the work
during execution displays copyright notices, you must include the copyright notice for the Library
among them, as well as a reference directing the user to the copy of this License. Also, you must do
one of these things:
a) Accompany the work with the complete corresponding machine-readable source code for the
Library including whatever changes were used in the work (which must be distributed under
Sections 1 and 2 above); and, if the work is an executable linked with the Library, with the complete
machine-readable "work that uses the Library", as object code and/or source code, so that the user
can modify the Library and then relink to produce a modified executable containing the modified
Library. (It is understood that the user who changes the contents of definitions files in the Library
will not necessarily be able to recompile the application to use the modified definitions.)
b) Use a suitable shared library mechanism for linking with the Library. A suitable mechanism is one
that (1) uses at run time a copy of the library already present on the user's computer system, rather
than copying library functions into the executable, and (2) will operate properly with a modified
version of the library, if the user installs one, as long as the modified version is interface-compatible
with the version that the work was made with.
c) Accompany the work with a written offer, valid for at least three years, to give the same user the
materials specified in Subsection 6a, above, for a charge no more than the cost of performing this
distribution.
d) If distribution of the work is made by offering access to copy from a designated place, offer
equivalent access to copy the above specified materials from the same place.
e) Verify that the user has already received a copy of these materials or that you have already sent
this user a copy.
For an executable, the required form of the "work that uses the Library" must include any data and
utility programs needed for reproducing the executable from it. However, as a special exception, the
materials to be distributed need not include anything that is normally distributed (in either source or
binary form) with the major components (compiler, kernel, and so on) of the operating system on
which the executable runs, unless that component itself accompanies the executable.
It may happen that this requirement contradicts the license restrictions of other proprietary libraries
that do not normally accompany the operating system. Such a contradiction means you cannot use
both them and the Library together in an executable that you distribute.
7. You may place library facilities that are a work based on the Library side-by-side in a single
library together with other library facilities not covered by this License, and distribute such a
combined library, provided that the separate distribution of the work based on the Library and of the
other library facilities is otherwise permitted, and provided that you do these two things:
a) Accompany the combined library with a copy of the same work based on the Library,
uncombined with any other library facilities. This must be distributed under the terms of the Sections
above.
b) Give prominent notice with the combined library of the fact that part of it is a work based on the
Library, and explaining where to find the accompanying uncombined form of the same work.
8. You may not copy, modify, sublicense, link with, or distribute the Library except as expressly
provided under this License. Any attempt otherwise to copy, modify, sublicense, link with, or
distribute the Library is void, and will automatically terminate your rights under this License.
However, parties who have received copies, or rights, from you under this License will not have their
licenses terminated so long as such parties remain in full compliance.
9. You are not required to accept this License, since you have not signed it. However, nothing else
grants you permission to modify or distribute the Library or its derivative works. These actions are
prohibited by law if you do not accept this License. Therefore, by modifying or distributing the
Library (or any work based on the Library), you indicate your acceptance of this License to do so,
and all its terms and conditions for copying, distributing or modifying the Library or works based on
it.
10. Each time you redistribute the Library (or any work based on the Library), the recipient
automatically receives a license from the original licensor to copy, distribute, link with or modify the
Library subject to these terms and conditions. You may not impose any further restrictions on the
recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance
by third parties with this License.
11. If, as a consequence of a court judgment or allegation of patent infringement or for any other
reason (not limited to patent issues), conditions are imposed on you (whether by court order,
agreement or otherwise) that contradict the conditions of this License, they do not excuse you from
the conditions of this License. If you cannot distribute so as to satisfy simultaneously your
obligations under this License and any other pertinent obligations, then as a consequence you may
not distribute the Library at all. For example, if a patent license would not permit royalty-free
redistribution of the Library by all those who receive copies directly or indirectly through you, then
the only way you could satisfy both it and this License would be to refrain entirely from distribution
of the Library.
If any portion of this section is held invalid or unenforceable under any particular circumstance, the
balance of the section is intended to apply, and the section as a whole is intended to apply in other
circumstances.
It is not the purpose of this section to induce you to infringe any patents or other property right
claims or to contest validity of any such claims; this section has the sole purpose of protecting the
integrity of the free software distribution system which is implemented by public license practices.
Many people have made generous contributions to the wide range of software distributed through
that system in reliance on consistent application of that system; it is up to the author/donor to decide
if he or she is willing to distribute software through any other system and a licensee cannot impose
that choice.
This section is intended to make thoroughly clear what is believed to be a consequence of the rest
of this License.
12. If the distribution and/or use of the Library is restricted in certain countries either by patents or
by copyrighted interfaces, the original copyright holder who places the Library under this License
may add an explicit geographical distribution limitation excluding those countries, so that distribution
is permitted only in or among countries not thus excluded. In such case, this License incorporates
the limitation as if written in the body of this License.
13. The Free Software Foundation may publish revised and/or new versions of the Lesser General
Public License from time to time. Such new versions will be similar in spirit to the present version,
but may differ in detail to address new problems or concerns.
Each version is given a distinguishing version number. If the Library specifies a version number of
this License which applies to it and "any later version", you have the option of following the terms
and conditions either of that version or of any later version published by the Free Software
Foundation. If the Library does not specify a license version number, you may choose any version
ever published by the Free Software Foundation.
14. If you wish to incorporate parts of the Library into other free programs whose distribution
conditions are incompatible with these, write to the author to ask for permission. For software which
is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we
sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the
free status of all derivatives of our free software and of promoting the sharing and reuse of software
generally.
NO WARRANTY
15. BECAUSE THE LIBRARY IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR
THE LIBRARY, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN
OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES
PROVIDE THE LIBRARY "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED
OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF
MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO
THE QUALITY AND PERFORMANCE OF THE LIBRARY IS WITH YOU. SHOULD THE LIBRARY
PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR
CORRECTION.
16. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING

WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR
REDISTRIBUTE THE LIBRARY AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES,
INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING
OUT OF THE USE OR INABILITY TO USE THE LIBRARY (INCLUDING BUT NOT LIMITED TO
LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU
OR THIRD PARTIES OR A FAILURE OF THE LIBRARY TO OPERATE WITH ANY OTHER
SOFTWARE), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE
POSSIBILITY OF SUCH DAMAGES.
VII - 3.3DOTNETZIP
Microsoft Public License (Ms-PL)
This license governs use of the accompanying software. If you use the software, you accept this
license. If you do not accept the license, do not use the software.
1. Definitions
The terms "reproduce," "reproduction," "derivative works," and "distribution" have the same meaning
here as under U.S. copyright law.
A "contribution" is the original software, or any additions or changes to the software.
A "contributor" is any person that distributes its contribution under this license.
"Licensed patents" are a contributor's patent claims that read directly on its contribution.
2. Grant of Rights
(A) Copyright Grant- Subject to the terms of this license, including the license conditions and
limitations in section 3, each contributor grants you a non-exclusive, worldwide, royalty-free
copyright license to reproduce its contribution, prepare derivative works of its contribution, and
distribute its contribution or any derivative works that you create.
(B) Patent Grant- Subject to the terms of this license, including the license conditions and limitations
in section 3, each contributor grants you a non-exclusive, worldwide, royalty-free license under its
licensed patents to make, have made, use, sell, offer for sale, import, and/or otherwise dispose of its
contribution in the software or derivative works of the contribution in the software.
3. Conditions and Limitations
(A) No Trademark License- This license does not grant you rights to use any contributors' name,
logo, or trademarks.
(B) If you bring a patent claim against any contributor over patents that you claim are infringed by
the software, your patent license from such contributor to the software ends automatically.
(C) If you distribute any portion of the software, you must retain all copyright, patent, trademark,
and attribution notices that are present in the software.
(D) If you distribute any portion of the software in source code form, you may do so only under this
license by including a complete copy of this license with your distribution. If you distribute any
portion of the software in compiled or object code form, you may only do so under a license that
complies with this license.
(E) The software is licensed "as-is." You bear the risk of using it. The contributors give no express
warranties, guarantees or conditions. You may have additional consumer rights under your local
laws which this license cannot change. To the extent permitted under your local laws, the
contributors exclude the implied warranties of merchantability, fitness for a particular purpose and
non-infringement.
VII - 3.4ANTLR 3
[The BSD License]
Copyright (c) 2010 Terence Parr
All rights reserved.
Redistribution and use in source and binary forms, with or without modification, are permitted
provided that the following conditions are met:
Redistributions of source code must retain the above copyright notice, this list of conditions and the
following disclaimer.
Redistributions in binary form must reproduce the above copyright notice, this list of conditions and
the following disclaimer in the documentation and/or other materials provided with the distribution.
Neither the name of the author nor the names of its contributors may be used to endorse or promote
products derived from this software without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"
AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE
LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
POSSIBILITY OF SUCH DAMAGE.
VII - 3.5NPGSQL
Copyright (c) 2002-2010, The Npgsql Development Team
Permission to use, copy, modify, and distribute this software and its documentation for any
purpose, without fee, and without a written agreement is hereby granted, provided that the above
copyright notice and this paragraph and the following two paragraphs appear in all copies.
IN NO EVENT SHALL THE NPGSQL DEVELOPMENT TEAM BE LIABLE TO ANY PARTY FOR
DIRECT, INDIRECT, SPECIAL, INCIDENTAL, OR CONSEQUENTIAL DAMAGES, INCLUDING
LOST PROFITS, ARISING OUT OF THE USE OF THIS SOFTWARE AND ITS DOCUMENTATION,
EVEN IF THE NPGSQL DEVELOPMENT TEAM HAS BEEN ADVISED OF THE POSSIBILITY OF
SUCH DAMAGE.
THE NPGSQL DEVELOPMENT TEAM SPECIFICALLY DISCLAIMS ANY WARRANTIES,

INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND
FITNESS FOR A PARTICULAR PURPOSE. THE SOFTWARE PROVIDED HEREUNDER IS ON AN
"AS IS" BASIS, AND THE NPGSQL DEVELOPMENT TEAM HAS NO OBLIGATIONS TO PROVIDE
MAINTENANCE, SUPPORT, UPDATES, ENHANCEMENTS, OR MODIFICATIONS.
VII - 3.6PROTOBUF-NET
The core Protocol Buffers technology is provided courtesy of Google.
At the time of writing, this is released under the BSD license.
Full details can be found here:
http://code.google.com/p/protobuf/
This .NET implementation is Copyright 2008 Marc Gravell
Licensed under the Apache License, Version 2.0 (the "License");

you may not use this file except in compliance with the License.
You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software

distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
VII - 3.7MATH.NET NUMERICS LICENSE (MIT/X11)

Copyright (c) 2002-2017 Math.NET
Permission is hereby granted, free of charge, to any person obtaining a copy of this software and
associated documentation files (the "Software"), to deal in the Software without restriction, including
without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to
the following conditions:
The above copyright notice and this permission notice shall be included in all copies or substantial
portions of the Software.
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN
THE SOFTWARE.
VII - 3.8IQToolkit
IQToolkit
Microsoft Public License (Ms-PL)
This license governs use of the accompanying software. If you use the software, you accept this
license. If you do not accept the license, do not use the software.
1. Definitions
The terms "reproduce," "reproduction," "derivative works," and "distribution" have the same meaning
here as under U.S. copyright law.
A "contribution" is the original software, or any additions or changes to the software.
A "contributor" is any person that distributes its contribution under this license.
"Licensed patents" are a contributor's patent claims that read directly on its contribution.
2. Grant of Rights
(A) Copyright Grant- Subject to the terms of this license, including the license conditions and
limitations in section 3, each contributor grants you a non-exclusive, worldwide, royalty-free
copyright license to reproduce its contribution, prepare derivative works of its contribution, and
distribute its contribution or any derivative works that you create.
(B) Patent Grant- Subject to the terms of this license, including the license conditions and limitations
in section 3, each contributor grants you a non-exclusive, worldwide, royalty-free license under its
licensed patents to make, have made, use, sell, offer for sale, import, and/or otherwise dispose of its
contribution in the software or derivative works of the contribution in the software.
3. Conditions and Limitations
(A) No Trademark License- This license does not grant you rights to use any contributors' name,
logo, or trademarks.
(B) If you bring a patent claim against any contributor over patents that you claim are infringed by
the software, your patent license from such contributor to the software ends automatically.
(C) If you distribute any portion of the software, you must retain all copyright, patent, trademark,
and attribution notices that are present in the software.
(D) If you distribute any portion of the software in source code form, you may do so only under this
license by including a complete copy of this license with your distribution. If you distribute any
portion of the software in compiled or object code form, you may only do so under a license that
complies with this license.
(E) The software is licensed "as-is." You bear the risk of using it. The contributors give no express
warranties, guarantees or conditions. You may have additional consumer rights under your local
laws which this license cannot change. To the extent permitted under your local laws, the
contributors exclude the implied warranties of merchantability, fitness for a particular purpose and
non-infringement.
VII - 3.9Newtonsoft.Json (MIT)

Newtonsoft.Json (MIT)
The MIT License (MIT)
Copyright (c) 2007 James Newton-King

Permission is hereby granted, free of charge, to any person obtaining a copy of this software and
associated documentation files (the "Software"), to deal in the Software without restriction, including
without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to
the following conditions:
The above copyright notice and this permission notice shall be included in all copies or substantial
portions of the Software.
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN

THE SOFTWARE.
53
Kapitel VIII - Haftung
54 Kapitel VIII - Haftung
VIII Haftung
© 2022 IBS Schreiber GmbH. Alle Rechte vorbehalten.
In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert

werden. Die vorliegenden Angaben werden von der IBS Schreiber GmbH bereitgestellt und dienen
ausschließlich Informationszwecken. Die IBS Schreiber GmbH übernimmt keinerlei Haftung oder
Garantie für Fehler oder Unvollständigkeiten in dieser Publikation. Die IBS Schreiber GmbH steht
lediglich für Produkte und Dienstleistungen nach der Maßgabe ein, die in der Vereinbarung über die
jeweiligen Produkte und Dienstleistungen ausdrücklich geregelt ist. Aus den in dieser Publikation
enthaltenen Informationen ergibt sich keine weiterführende Haftung.
CheckAud® ist eine eingetragene Marke der IBS Schreiber GmbH. SAP ist eine Marke oder
eingetragene Marke der SAP AG in Deutschland und anderen Ländern weltweit. Microsoft,
Windows, Windows Server, Windows XP, Windows Vista, Windows 7 und Windows 8 sind Marken
oder eingetragene Marken der Microsoft Corporation oder deren Tochtergesellschaften in den USA
und anderen Ländern.

CheckAud 2022.1 Auditees Guide DE

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

CheckAud 2022.1 Auditees Guide DE

Hochgeladen von

Copyright:

Verfügbare Formate

Auditee's Guide - CheckAud for SAP Systems 2022.

Ein Produkt der IBS Schreiber GmbH

Kapitel I Verwendung des Auditee's Guide zu CheckAud 2022.1 5

Kapitel III Durchführung der Installation CheckScan 2022.1 11

Kapitel IV Benötigte Rechte im SAP-System 17

Kapitel V Benötigte Rechte auf der HANA Datenbank 23

Kapitel VI CheckScan 2022.1 27

VI - 1 Anlegen einer neuen Systemverbindung (ABAP-Scan) ............................................... 28

Kapitel VII Technischer Anhang 39

Kapitel VIII Haftung 53

Kapitel I - Verwendung des Auditee's Guide zu CheckAud 2022.1

I Verwendung des Auditee's Guide zu CheckAud 2022.1

I- 1 Echtdatenpräsentation von CheckAud 2022.1

Und so funktioniert es:

· Sie vereinbaren einen Termin mit uns

I- 2 Berechtigungsprüfung mit CheckAud 2022.1

Version Service Pack / Hinweis Anmerkungen

II - 3 Einsatz in virtuellen Umgebungen / CITRIX / Terminal Server

II - 4 Einsatz von Anti-Viren-Softwareprodukten

Kapitel III - Durchführung der Installation CheckScan 2022.1

III Durchführung der Installation CheckScan 2022.1

Es kann die gewünschte Sprache der Installation ausgewählt werden:

Abbildung 1 - Sprachauswahl für Installation

Abbildung 2 - Start des Installationsassistenten

Abbildung 3 - Hinweise zum Release

Lizenzhinweise bestätigen über den Radiobutton Ich stimme der Lizenzvereinbarung zu

Abbildung 4 - Zustimmung der Lizenzvereinbarung

Abbildung 6 - Installationspfad wählen

C:\Program Files\CheckAud GRC Software\for SAP Systems\CheckScan\

Durch Klicken des Buttons Installieren, wird die Installation gestartet.

Abbildung 7 - Abschluss der Installationsvorbereitungen

Abbildung 8 - Durchführung der Installation

Abbildung 9 - Installation abgeschlossen

Kapitel IV - Benötigte Rechte im SAP-System

IV Benötigte Rechte im SAP-System

IV - 12 Berechtigungen für die Parameterwerte

IV - 13 Berechtigungen für das Auslesen der

IV - 14 Berechtigungen für das Auslesen der anonymisierten

IV - 15 Vorgefertigte SAP-Rolle für den RFC-Schnittstellenbenutzer

Für die neu hinzugefügten Tabellen-Sets in CheckScan stehen im Kundenbereich auf

Kapitel V - Benötigte Rechte auf der HANA Datenbank

V Benötigte Rechte auf der HANA Datenbank

V-1 Generelle Berechtigungen zum Auslesen von Tabellen / Views

system privilege: CATALOG READ;

V-2 Tabellenset AUTH

catalog sql object "SYS"."GRANTED_PRIVILEGES": SELECT;

V-3 Tabellenset IBS_System

catalog sql object "SYS"."AUDIT_POLICIES": SELECT;

V-4 Vorgefertigte Rolle für den technischen Benutzer (Scan-User)

Kapitel VI - CheckScan 2022.1

Zur Erstellung einer neuen Systemverbindung wird folgender Dialog angezeigt:

Abbildung 10 - Eingabe der Verbindungsinformationen zu einem SAP-System

Beschreibung beliebige Beschreibung zum anzulegenden Quellsystem

Systemnummer Instanznummer des SAP-Quellsystems

VI - 1.1 Auswahl der Tabellen-Sets

Im Reiter können neben dem Pflicht-Tabellen-Set AUTH weitere Tabellen-Sets

stehen optional als vorgefertigte Auswahl zu Verfügung.

Für Berechtigunsprüfungen sind ggfls. weitere Tabellensets in Abhängigkeit des

Die nachfolgende Abbildung zeigt die zusätzliche Auswahl des Tabellen-Set

Abbildung 11 - Auswahl zusätzlicher Tabellen-Sets

VI - 1.2 Parameterwerte auslesen

Im Reiter finden sich neben Tabellen-Sets auch noch weitere Optionen zu

Abbildung 12 - Parameterwerte auslesen