Jahresbericht 2022, Nr. 8 - Einsatz von SAP-Systemen beim Landesbetrieb Liegenschafts- und Baubetreuung
- sicherheitsrelevante Aktualisierungen unterblieben, Zuordnungen von Berechtigungen und Benutzerverwaltung waren risikobehaftet -
Wesentliches Ergebnis der Prüfung
Der Landesbetrieb Liegenschafts- und Baubetreuung setzt u. a. für seine Buchhaltung SAP-Systeme ein. Damit werden Auszahlungen von jährlich insgesamt 278 Mio. € veranlasst. Der Einsatz der SAP-Systeme genügte nicht allen Anforderungen an die IT-Sicherheit:
- Das SAP-Basissystem war zuletzt 2015 aktualisiert worden. Seitdem waren sicherheitsrelevante Aktualisierungen unterblieben.
- Im Entwicklungssystem wurden unzulässigerweise Echtdaten aus dem Produktivsystem verwendet. Sie waren dadurch einem nicht berechtigten Personenkreis zugänglich.
- Ein verbindliches, den rechtlichen und fachlichen Anforderungen genügendes, aktuelles und vollständiges Berechtigungskonzept fehlte.
- Kritische Berechtigungen waren nicht vollständig identifiziert. Sie wurden zu häufig an Benutzer1 vergeben. Die Benutzerverwaltung entsprach nicht allen Standards des Bundesamts für Sicherheit in der Informationstechnik.
- Die erforderliche Trennung von Benutzer- und Berechtigungsadministration war nicht eindeutig geregelt.
- Die Verschlüsselung von Benutzerpasswörtern entsprach nicht durchgehend dem aktuellen Stand der Technik.
- Die Überwachung der Aktivitäten von Benutzern mit kritischen Berechtigungen war unzureichend. Ein entsprechendes Protokollierungskonzept fehlte.
Forderungen des Rechnungshofs · Stellungnahmen der Landesregierung · Parlamentarische Behandlung
(Teilziffer 3 des Jahresberichtsbeitrags)
3.1 Zu den nachstehenden Forderungen wurden die gebotenen Folgerungen bereits gezogen oder eingeleitet:
Der Rechnungshof hatte gefordert,
a) die SAP-Systeme des Landesbetriebs Liegenschafts- und Baubetreuung auf einen aktuellen Stand zu bringen und zukünftig sicherzustellen, dass sicherheitsrelevante Aktualisierungen regelmäßig durchgeführt werden,
b) im Entwicklungssystem keine Echtdaten aus dem Produktivsystem zu verwenden,
c) ein vollständiges, verbindliches und nachvollziehbares Berechtigungskonzept zu erstellen und aktuell zu halten,
d) kritische Berechtigungen vollständig zu identifizieren, regelmäßig zu überprüfen und zu bewerten und dies zu dokumentieren, die Zuordnung kritischer Berechtigungen zu regeln und deren Vergabe auf den für die Aufgabenerledigung erforderlichen Umfang zu begrenzen,
e) automatisch im System angelegte Standardbenutzer abzusichern, Berechtigungen bei abgelaufenen Benutzern zu entfernen, inaktive Benutzer zu sperren sowie Mehrfachanmeldungen zu unterbinden,
f) die Trennung von Benutzer- und Berechtigungsadministration im Berechtigungskonzept eindeutig zu regeln,
g) die Passwörter der Benutzer entsprechend dem aktuellen Stand der Technik zu verschlüsseln,
h) Aktivitäten der Benutzer mit kritischen Berechtigungen zu überwachen und ein Protokollierungskonzept zu erstellen.
3.2 Folgende Forderungen sind nicht erledigt:
Der Rechnungshof hat gefordert, über die Ergebnisse der eingeleiteten Maßnahmen zu Nr. 3.1 zu berichten.
Die Landesregierung hat für das Entlastungsverfahren zu dem Beitrag folgende Stellungnahme abgegeben (Drucksache 18/3200 S.11):
"Zu Ziffer 3.2 i. V. m. Ziffer 3.1 a):
Das SAP-System des Landesbetriebs Liegenschafts- und Baubetreuung (LBB) ist auf dem aktuellsten Stand und alle vorliegenden Hot-/Supportpackages sind eingespielt. Mit dem Landesbetrieb Daten und Information (LDI) wurde vereinbart, zukünftig einmal im Jahr (Zeitfenster September/Oktober) das System zu aktualisieren. Unter Berücksichtigung der beim LBB eingesetzten Module sowie der Erfahrung des LDI mit anderen SAP-Systemen wird dieser Rhythmus als praktikabel und sachgerecht beurteilt. Sicherheitsrelevante Packages werden ungeachtet dessen unverzüglich installiert.
Zu Ziffer 3.2 i. V. m. Ziffer 3.1 b):
Mit Unterstützung des LDI wurde die Marktrecherche nach einem Tool für die automatisierte Anonymisierung von Stammdaten gestartet. Aktuell laufen zwei Anfragen, bei denen der LBB und der LDI noch auf eine Rückmeldung warten.
Zu Ziffer 3.2 i. V. m. Ziffer 3.1 c):
Der LBB hat begonnen, den vorliegenden Entwurf des „LBB SAP Berechtigungs- und Sicherheitskonzeptes“ vom März 2013 intern auf Aktualität und zwischenzeitliche Weiterentwicklung zu prüfen. Wegen fehlender interner Ressourcen ist geplant, nach erfolgter Ausschreibung für SAP-Dienstleistungen durch den LDI voraussichtlich ab Mai 2022 externe Unterstützung bei der Überarbeitung des Konzeptes hinzuzuziehen. Eine Fertigstellung und Einführung des Konzeptes wird bis Ende 2022 angestrebt.
Zu Ziffer 3.2 i. V. m. Ziffer 3.1 d):
Das Berechtigungsprofil SAP_ALL wurde allen Benutzerkennungen im Produktivsystem entzogen, sodass es aktuell im Produktivsystem keinem aktiven Nutzer zugeordnet ist.
Das Berechtigungsprofil SAP_NEW wurde allen Benutzerkennungen im Produktivsystem entzogen, sodass es aktuell im Produktivsystem keinem aktiven Nutzer zugeordnet ist.
Hinsichtlich der Vergabe kritischer Berechtigungen wird der LBB dafür Sorge tragen, dass deren Notwendigkeit im LBB-Produktivsystem geprüft, hinreichend dokumentiert und auf ein Mindestmaß beschränkt wird.
Zu Ziffer 3.2 i. V. m. Ziffer 3.1 e):
In Abstimmung mit dem LDI wurde den Empfehlungen zu den Standardbenutzern SAP*, DDIC, SAPCPIC sowie TMSADM und WF-BATCH entsprochen.
Im Rahmen der Überarbeitung des Berechtigungs- und Sicherheitskonzepts wird der Umgang mit abgelaufenen und inaktiven Benutzern neu geregelt (vgl. Ausführungen zu Ziffer 3.2 i. V. m. Ziffer 3.1 c).
Mehrfachanmeldungen sind nicht mehr möglich.
Zu Ziffer 3.2 i. V. m. Ziffer 3.1 f):
Die Trennung von Benutzer- und Berechtigungsadministration wird in der Überarbeitung des Berechtigungs- und Sicherheitskonzepts behandelt und eindeutig geregelt (vgl. Ausführungen zu Ziffer 3.2 i. V. m. Ziffer 3.1 c).
Zu Ziffer 3.2 i. V. m. Ziffer 3.1 g):
Das aufgezeigte Problem hinsichtlich der Verschlüsselung der Passwörter wurde vom LDI überprüft, die betroffenen Passwörter und die SAP-Benutzer wurden lokalisiert und die Hash-Werte geändert.
Zu Ziffer 3.2 i. V. m. Ziffer 3.1 h):
Ein entsprechendes Protokollierungskonzept wird erarbeitet und im Rahmen der Überarbeitung des Berechtigungs- und Sicherheitskonzeptes neu geregelt (vgl. Ausführungen zu Ziffer 3.2 i. V. m. Ziffer 3.1 c)."
Der Haushalts- und Finanzausschuss hat auf der Grundlage des Vorschlags der Rechnungsprüfungskommission dem Landtag folgenden Beschluss empfohlen (Drucksache 18/4302 S. 7):
"Es wird zustimmend zur Kenntnis genommen, dass
a) das eingesetzte SAP-Basissystem auf den aktuellsten Stand gebracht wurde und es zukünftig regelmäßig, bei sicherheitsrelevanten Updates unverzüglich, aktualisiert wird,
b) die Vergabe kritischer Berechtigungen geprüft, dokumentiert und auf ein Mindestmaß beschränkt worden ist,
c) die Benutzerverwaltung an die Standards des Bundesamtes für Sicherheit in der Informationstechnik angepasst wurde.
Die Landesregierung wird aufgefordert, über
a) das Ergebnis der Marktrecherche nach einem Tool zur automatischen Anonymisierung von Stammdaten und dessen Einführung zu berichten,
b) das „LBB SAP Berechtigungs- und Sicherheitskonzept“ sowie das Protokollierungskonzept und deren Einführung
zu berichten."
Der Landtag hat diesen Beschluss im November 2022 gefasst.
Die Landesregierung hat dem Landtag wie folgt berichtet (Drucksache 18/5310 S. 7)
"Zu Buchstabe a):
Bei dem Thema „Anonymisierung von Stammdaten“ hat der Landesbetrieb Liegenschafts- und Baubetreuung (LBB) den Landesbetrieb Daten und Information (LDI) als IT-Dienstleister des Landes Rheinland-Pfalz zum Zwecke der Unterstützung und Lösungsfindung eingebunden. Hier wird derzeit eine Lösung zur Anonymisierung von Daten auf SAP-Systemen erarbeitet.
Zu Buchstabe b):
Der LBB hat im Jahr 2022 das Projekt „Überarbeitung des Berechtigungs- und Sicherheitskonzepts SAP im Landesbetrieb LBB“ entsprechend der Feststellungen des Rechnungshofs gestartet und plant dieses Konzept sehr zeitnah in das Produktivsystem zu überführen. Der LBB hat zwischenzeitlich über einen Rahmenvertrag des LDI einen Dienstleister für die entsprechende Expertise gefunden und über den LDI beauftragt. Aktuell wird das vorliegende Konzept insbesondere im Hinblick auf zwischenzeitlich vorgenommene Anpassungen im System sowie auf eine Nachschärfung der Positionen, die explizit vom Rechnungshof beanstandet wurden, überarbeitet. Dabei muss immer sorgfältig zwischen sicherheitsrelevanten und rechtlichen Anforderungen und einer jederzeit vorliegenden Funktionsfähigkeit der Systeme abgewogen werden."
Die Landesregierung hat dem Landtag wie folgt berichtet (Drucksache 18/6307 S. 30):
"Zu Buchstabe a):
Bei dem Thema „Anonymisierung von Stammdaten“ hat sich der Landesbetrieb Liegenschafts- und Baubetreuung (Landesbetrieb LBB) zwischenzeitlich zwei Marktlösungen vertiefend betrachtet, die grundsätzlich unter den Aspekten Praktikabilität, fachliche Anforderungen und Wirtschaftlichkeit einen sehr vielversprechenden Eindruck hinterlassen haben. Nach Präsentation eines weiteren Anbieters soll der Landesbetrieb Daten und Information als Rechenzentrumsbetreiber und SAP-Basisbetreuer des Landesbetriebs LBB den Auftrag erhalten, eine der Lösungen zu beschaffen und zu implementieren und damit zukünftig den Anforderungen zur Anonymisierung von Stammdaten gerecht zu werden.
Zu Buchstabe b):
Der Landesbetrieb LBB befindet sich aktuell in der Schlussphase des Projekts „Überarbeitung des Berechtigungs- und Sicherheitskonzepts SAP im Landesbetrieb LBB“. Insbesondere sind die Themen kritische Berechtigungen, Behandlung von inaktiven Benutzern, AuditLog, Passwörter etc. weitestgehend den Empfehlungen folgend umgesetzt. Die formale Inkraftsetzung des Konzeptes ist bislang nicht erfolgt, da noch verschiedene redaktionelle Anpassungen vorgenommen werden müssen."
Der Haushalts- und Finanzausschuss hat auf der Grundlage des Vorschlags der Rechnungsprüfungskommission dem Landtag empfohlen, die Angelegenheit im Rahmen des Entlastungsverfahrens für erledigt zu erklären (Drucksache 18/7526 S. 21).
Der Landtag hat diesen Beschluss im November 2023 gefasst.