Jahresbericht 2022 - Nr. 8 Einsatz von SAP-Systemen beim Landesbetrieb Liegenschafts- und Baubetreuung
- sicherheitsrelevante Aktualisierungen unterblieben, Zuordnungen von Berechtigungen und Benutzerverwaltung waren risikobehaftet -
Der Landesbetrieb Liegenschafts- und Baubetreuung setzt u. a. für seine Buchhaltung SAP-Systeme ein. Damit werden Auszahlungen von jährlich insgesamt 278 Mio. € veranlasst. Der Einsatz der SAP-Systeme genügte nicht allen Anforderungen an die IT-Sicherheit:
- Das SAP-Basissystem war zuletzt 2015 aktualisiert worden. Seitdem waren sicherheitsrelevante Aktualisierungen unterblieben.
- Im Entwicklungssystem wurden unzulässigerweise Echtdaten aus dem Produktivsystem verwendet. Sie waren dadurch einem nicht berechtigten Personenkreis zugänglich.
- Ein verbindliches, den rechtlichen und fachlichen Anforderungen genügendes, aktuelles und vollständiges Berechtigungskonzept fehlte.
- Kritische Berechtigungen waren nicht vollständig identifiziert. Sie wurden zu häufig an Benutzer1 vergeben. Die Benutzerverwaltung entsprach nicht allen Standards des Bundesamts für Sicherheit in der Informationstechnik.
- Die erforderliche Trennung von Benutzer- und Berechtigungsadministration war nicht eindeutig geregelt.
- Die Verschlüsselung von Benutzerpasswörtern entsprach nicht durchgehend dem aktuellen Stand der Technik.
- Die Überwachung der Aktivitäten von Benutzern mit kritischen Berechtigungen war unzureichend. Ein entsprechendes Protokollierungskonzept fehlte.