Das Berechtigungs- und Lizenzmanagement innerhalb des SAP-Kosmos ist ein heikles Thema für viele Unternehmen. Denn SAP bietet nur ein rudimentäres Regelwerk. Fakt ist: Für die Compliance und IT-Sicherheit ist ein Berechtigungskonzept unverzichtbar. Doch wie erhalten Unternehmen ein zuverlässiges SAP-Berechtigungskonzept?
Ein SAP-Berechtigungskonzept hilft Unternehmen nicht nur die Compliance, also nachvollziehbare Strukturen samt lückenloser Dokumentation, sicherzustellen, sondern stattet auch jeden Benutzer mit den benötigten Berechtigungen aus. Klare Berechtigungen sind kein Zeichen von Misstrauen. Sie dienen dem Schutz des Unternehmens und der Mitarbeitenden gleichermaßen. So lassen sich Schäden verhindern, die durch versehentliche Handlungen der Beschäftigten entstehen können. Zugleich schützt ein Berechtigungskonzept vor Betrugsversuchen, etwa dass Mitarbeiter Bilanzen fälschen und Stakeholdern schaden. Dennoch beschäftigen sich viele erst mit Berechtigungskonzepten, wenn Auditprüfungen, Konflikte durch historisch gewachsene Berechtigungen oder die Migration auf S/4HANA sie dazu zwingen.
Besser ist es, nicht erst einen zeitkritischen Trigger abzuwarten, sondern genügend Vorlauf einzuplanen. Eine weitere Möglichkeit ist es, reaktiv nur punktuelle Anpassungen vorzunehmen, um den akuten „Schmerz“ zu lindern. Hier ist eine Wiederholung dessen aber vorprogrammiert. Ratsam ist es daher, das Berechtigungskonzept in eine ganzheitliche Strategie einzubetten und mittels eines integrierten Systems modular einzuführen. Das erspart die Schnittstellen-Entwicklung und ermöglicht individuelle Flexibilität. Berechtigungskonzepte sind genauso individuell wie jedes einzelne Unternehmen. Der eine Königsweg ist demnach ein Mythos. Die drei Szenarien zeigen beispielhaft die vielfältigen Wege auf:
1. Mit S/4 HANA Utilities zukunftsfähig sein
Ein Unternehmen möchte auf S/4HANA migrieren, um sich zukunftsfähig aufzustellen und seine Berechtigungen und Lizenzen zu optimieren. Auf Grundlage der spezifischen Anforderungen hat es sich für den Greenfield-Ansatz (Neuimplementierung) entschieden. Das Unternehmen weiß, dass es sinnvoll ist, noch vor dem Go-Live ein neues Berechtigungskonzept aufzusetzen, um Berechtigungs- und Rollen-Wildwuchs zu vermeiden sowie die Compliance sicherzustellen. Daher beschließt es, den System-Trace von SAP zu nutzen, um das Benutzerverhalten kontinuierlich aufzuzeichnen. Darauf basierend leitet das Unternehmen Anpassungen ab und überführt sie in das neue Berechtigungskonzept. Nach einer Optimierungsphase sind jegliche Sicherheitsprobleme ausgeräumt und die Migration erfolgreich abgeschlossen.
2. Check-up für Auditprüfung
Bei einem internen Audit stellt ein Konzern fest, dass er Herausforderungen hinsichtlich seiner SAP-Berechtigungen hat. So können Mitarbeiter ohne echte Notwendigkeit Lieferanten anlegen, Wareneingänge buchen und den Zahllauf starten – eine Problematik, die infolge unzureichend kontrollierter Rollenzuweisungen entstanden ist. Um den punktuellen Schmerz rechtzeitig zu beheben, sucht der Konzern nach einer intelligenten Lösung, in der sich die Prüfung, Freigabe und Mitigation von Konflikten benutzerfreundlich und sicher umsetzen lassen. Zudem soll sie eine automatische Prüfung vor und nach Änderungen von Berechtigungen und Rollen gestatten. Damit kann sichergestellt werden, dass relevante Audit-Konflikte erkannt, revisionssicher dokumentiert und versioniert sind. Zugleich garantiert dies, dass bei zukünftigen Änderungen Verstöße bereits vor dem Antragsworkflow angezeigt werden und sich vermeiden lassen.
3. Rollen schrumpfen
Neue unternehmensweite Compliance-Vorgaben stellt ein Betrieb vor die Herausforderung, alle Berechtigungen und Rollen zu überprüfen. Denn die Systeme sind in den letzten Jahren stark gewachsen, sodass sogenannte „Monsterrollen“ entstanden sind. Diese möchte der Betrieb schrumpfen. Um sich von den historisch gewachsenen Altlasten zu befreien, setzt er auf eine intelligente Lösung, mit der sich ungenutzte Berechtigungen und überfrachtete Rollen automatisiert identifizieren und bereinigen lassen. So profitiert das Unternehmen von verschlankten administrativen Arbeiten, verringerten Lizenzkosten und einem deutlich reduzierten Prüfungsaufwand bei Audits.
Fazit: Keine Scheu vor SAP-Berechtigungskonzepten
Berechtigungskonzepte auf einen zeitgemäßen Stand zu bringen, muss nicht zwingend einen großen Aufwand bedeuten. Algorithmen in Verbindung mit künstlicher Intelligenz werden zukünftig die Analyse, Erstellung und Überarbeitung von Berechtigungskonzepten automatisieren und damit wesentlich effizienter gestalten. Dies sollten Unternehmen als Chance begreifen, ein auf ihre Bedarfe abgestimmtes Vorgehen auszuloten. So sind sie auf dem besten Weg, die Compliance und IT-Sicherheit auf ein belastbares Niveau zu heben.
SIVIS Group
