SAP-Berechtigungskonzepte in der Praxis
Das Berechtigungs- und Lizenzmanagement innerhalb des SAP-Kosmos ist ein heikles Thema für viele Unternehmen. Während manche die Notwendigkeit von SAP-Berechtigungen – und den damit verbundenen Berechtigungskonzepten – immer noch anzweifeln, scheuen sich andere aufgrund der hohen Komplexität vor deren Umsetzung. Fakt ist: Für die unternehmensweite Compliance und IT-Sicherheit sind SAP-Berechtigungskonzepte unverzichtbar.
Berechtigungen: Sollten gezielt und nur im notwendigen Umfang eingeräumt werden.
Wer glaubt, klare Berechtigungen seien ein Zeichen von Misstrauen, liegt falsch. Sie dienen dem Schutz des Unternehmens und der Mitarbeiter gleichermaßen. So lassen sich massive Schäden verhindern, die durch versehentliche Handlungen der Beschäftigten entstehen können. Typische Beispiele hierfür sind das Aufheben einer Liefersperre oder die falsche Verwendung einer Massenänderungsfunktion. Zugleich schützt ein Berechtigungskonzept vor Betrugsversuchen, etwa dass Mitarbeiter Bilanzen fälschen und auf diese Weise Stakeholdern schaden.
Obwohl SAP-Berechtigungskonzepte Unternehmen vor erheblichen finanziellen Schäden und Reputationsschäden bewahren können, beschäftigt sich der Großteil erst damit, wenn externe und interne Ereignisse sie dazu zwingen. Zu den externen Ereignissen gehören klassischerweise Audits und Wirtschaftsprüfungen. Intern führen in der Regel historisch gewachsene Berechtigungen zu Konflikten und erfordern dann eine Reduzierung bis hin zu einer grundlegenden Bereinigung. Aber auch eine in naher Zukunft unausweichliche Migration auf S/4HANA veranlasst Unternehmen dazu, sich mit dem Thema Berechtigungen befassen zu müssen.
Genauso individuell wie jedes einzelne Unternehmen sind auch ihre SAP-Berechtigungskonzepte und deren Implementierung bzw. Optimierung. SAP-Berechtigungskonzepte einzuführen oder auf einen zeitgemäßen Stand zu bringen, muss nicht zwingend einen großen Aufwand bedeuten. Bereits mit punktuellen Optimierungen lassen sich Quick-Wins erzielen. Beispielhaft werden hier drei Szenarien angeführt, die Unternehmen als Chance begreifen sollten, ein auf ihre Bedarfe abgestimmtes – und womöglich zukünftig KI-gestütztes – Vorgehen auszuloten:
1. Ein Industriebetrieb möchte die Migration nach S/4HANA zeitnah realisieren, um sich einerseits zukunftsfähig aufzustellen und andererseits die Chance für eine Berechtigungs- und Lizenz-Optimierung zu nutzen. Das Unternehmen entscheidet sich schließlich für den Greenfield-Ansatz, also die Neuimplementierung eines S/4HANA-Systems. Noch vor dem Go-Live will das Unternehmen ein neues Berechtigungskonzept aufsetzen, um den klassischen Wildwuchs zu vermeiden und die Compliance sofort sicherzustellen. Es beschließt, im Vorfeld den System-Trace von SAP als Grundlage zu nutzen, um kontinuierlich das Benutzerverhalten aufzuzeichnen. Darauf basierend leitet das Unternehmen entsprechende Anpassungen ab und überführt diese in das neue Berechtigungskonzept.
2. Im Zuge eines internen Audits stellt ein Automotive-Konzern fest, dass er diverse Herausforderungen hinsichtlich seiner SAP-Berechtigungen hat – unter anderem was die Funktionstrennung bei Benutzern in geschäftskritischen Bereichen betrifft. So können aktuell z.B. diverse Mitarbeiter ohne echte Notwendigkeit Lieferanten anlegen, einen Wareneingang buchen und zu allem Überfluss noch den Zahllauf starten. Diese Problematik entstand infolge unzureichend kontrollierter Rollenzuweisungen in der Vergangenheit.
3. Eine Umstrukturierung verbunden mit neuen unternehmensweiten Compliance-Vorgaben stellt ein großes Energieunternehmen vor die Herausforderung, sämtliche Berechtigungen und Rollen zu überprüfen. Dieses Vorhaben entpuppt sich als wahre Herkulesaufgabe. Denn die Systeme sind in den letzten zehn bis 15 Jahren stark gewachsen. Zwar wurden regelmäßig neue Rollen und Berechtigungen hinzugefügt, jedoch selten bis gar nicht auf Sinnhaftigkeit überprüft. Nur zu gerne möchte das Energieunternehmen die alten „Monsterrollen“ schrumpfen und den Usern überflüssige Berechtigungen entziehen.
Andreas Knab
Andreas Knab ist Experte für SAP-Berechtigungen und Lizenzierung. Bei der Sivis GmbH (sivis.com) verantwortet er die Themen Compliance, Access & Authorization sowie die Lizenzoptimierung.