Kontakt & Service
Haben Sie Fragen?
040 - 6965850 - 0
info@cpro-ips.com
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Schulungen

Unser Schulungsangebot. Jetzt informieren!

Webinare

Unser Webinarangebot. Jetzt informieren!

SAP-WIKI SAP-Berechtigungen

Inhaltsverzeichnis
Bewerten Sie uns
Bewertungen laden ...
Beitrag teilen

Was sind SAP-Berechtigungen?

Über SAP-Berechtigungen erhalten Benutzer in einem SAP-System Zugriffsmöglichkeiten, etwa auf personenbezogene Daten. Dieser Zugriff muss besonders sicher verwaltet werden, weshalb Berechtigungstools, Berechtigungskonzepte und die automatisierte Absicherung des SAP-Systems von höchster Bedeutung für Unternehmen sind. Dadurch eröffnet sich ihnen die Möglichkeit, die hohen rechtlichen Auflagen mit geringem administrativen Aufwand zu erfüllen.

Herausforderungen im Bereich SAP-Berechtigungen

  • Sicherstellung der SAP-Governance

Die IT / SAP-Berechtigungsadministration erwartet klar formulierte Anforderungs- / Änderungsbeschreibungen, um diese i.S.e. maximalen Governance zielorientiert und strukturiert lösen zu können. Diese sollen i.d.R. über die reine Nennung von SAP-Transaktionen hinausgehen, im Idealfall auf Ebene von Berechtigungsobjekten bzw. deren Feldwertausprägungen („Hat der Anwender dieser SAP-Rolle Ansichts- oder Änderungsrechte?“).

  • Ausschluss von Risiken

Schon mal etwas von kritischen SAP-Transaktionen / Objekten oder Funktionstrennung / Segregation of Duties (SoD) gehört? Wir schon. Viele Kunden jedoch bis dato noch nicht. Im Rahmen interner / externer SAP Audits / Revisionen kann dies zu höchst unangenehmen Prüfsituationen zwischen der beauftragten Wirtschaftsprüfungsgesellschaft und dem jeweiligen SAP-Anwendungsunternehmen kommen. Denn: Heute wird mehr und mehr auf potenzielle bzw. aktuell vorhandene SoD-Konflikte geprüft, und dies auf den Ebenen (SAP PFCG) Rolle und User.

  • Sicherstellung der SAP-Compliance

In selben Atemzug wie das Thema „Ausschluss von Risiken“ ist das Thema „Compliance“ zu nennen. D.h., alleine ein Abzug der vorhandenen Rollen(-änderungen) auf Basis der Transaktion SUIM ist nicht ausreichend. Es muss mehr und mehr durchgängig belegt und digital nachgewiesen werden können, wer wann welche SAP-Rollenänderung in welchem SAP-System angefordert, freigegeben, realisiert, getestet und produktiv gesetzt hat. Und dies mit zum Teil sehr geringen Vorlaufzeiten bzw. Vorbereitungsmöglichkeiten im Rahmen interner / externer SAP-Audits / -Revisionen. Die Tendenz geht bei aller Arbeitsbelastung hin zur Anfrage hochselektiver, qualitativ anspruchsvoller Ad-Hoc-Berichte.

  • Wissen über & Verantwortlichkeiten für das SAP-Berechtigungswesen

Das Wissen über bzw. die Verantwortlichkeiten für das SAP-Berechtigungswesen bzw. dessen SAP-Rollen muss neben der IT / SAP-Berechtigungsadministration auch im Fachbereich vorhanden sein bzw. dort aufgebaut werden, im besten Falle durch (eine zu implementierende) Key-User-Organisation bzw. SAP-Prozessexperten.

  • Zusammenschau von Fachbereichsrolle und technischer Rolle

Vielen SAP-Berechtigungskonzepten fehlt es an einer gesamthaften Übersicht bzw. Verschmelzung der organisatorisch geprägten Unternehmensrollen (d.h. der konkret ausgeführten Funktion innerhalb einer Abteilung) mit den technisch geprägten SAP- (PFCG Einzel- / Sammel-) Rollen. Wenn überhaupt, sind diese Informationen in statischen Dokumenten abgelegt zum Zwecke der Benutzerverwaltung. D.h., eine Dokumentation sowie Analyse von technischen SAP-Rollen mit Blick auf unternehmensspezifische Fachbereichsrollen ist mit Standardmitteln nahezu unmöglich. Aufwändige manuelle Arbeiten sind in der Regel zur Erstellung dieser Übersichten / Analysen notwendig. Ein immenser Zeit- und Ressourcenfresser! Insbesondere im Rahmen von Urlaubsvertretungen verzweifelt da mancher SAP-Berechtigungsadministrator in puncto SAP-Rollenvergabe („Welche SAP-Rollen benötigt Frau Müller im Rahmen ihrer Urlaubsvertretung für Herrn Schulze, Leitung FI/CO?“).

  • User-getriebene statt funktionsorientierte SAP-Rollen / -Berechtigungen

Wie sagte zuletzt ein Kunde: „Haben wir überhaupt ein Rollenkonzept? Nein, ich glaube, wir haben gar nichts dergleichen, wir haben maximal Aktivitätsrollen!“. So geht es vielen Unternehmen. Auf Anfragen aus dem Fachbereich hin werden durch die IT / SAP-Berechtigungsadministration reflexartig Berechtigungen auf User-Ebene vergeben / erstellt. Anstelle dies auf Basis klar definierter organisatorischer Funktionen vorzunehmen (Mapping von Fachbereichsrolle zu technischer Rolle). Es geht zuweilen zu wie an einer gut besuchten Wursttheke („Ich hätte gerne 100g Berechtigungen für die Transaktion SE16N, bitte!“). Redundante Wartungsarbeiten treiben die Betriebskosten eines solchen Vorgehens in unbeherrschbare Größen. Und die geforderte Einhaltung der Governance, Risk und Compliance (GRC) Vorgaben / Richtlinien – wenn überhaupt vorhanden – rückt in weite Ferne.

  • Wartbarkeit der SAP-Berechtigungsrollen

Viele SAP-Berechtigungskonzepte entwickeln sich über lange Zeiträume, und dies daher meist inkrementell. D.h. aus sehr vielen kleinen, eigenentwickelten Konzepten je Fachbereich (z. B. zu den Themen BANF, Freigabestrategie). Im besten Fall nehmen sich diesem Sammelsurium an Einzelkonzepten klar definierte Verantwortlichkeiten aus IT und Fachbereich an. In den meisten Fällen jedoch findet sich ein Wildwuchs an SAP-Berechtigungen, und dies i.d.R. für die Dimensionen SAP-Berechtigungskonzept (das „Schriftstück“), technisches SAP-Rollendesign (die „Transaktion PFCG“) sowie Rollenvergabe / Benutzerverwaltung (die „Transaktion SU01“). Aufwandstreiber Nummer eins im Betrieb eines solchen SAP-Berechtigungskonzepts ist dann die redundante Verwaltung von Transaktionen sowie deren Berechtigungswerte.

  • Permanente Aktualisierung der technischen SAP-Rollendokumentation

In Ergänzung zu der zuvor genannten hohen Wartungsintensität eines historisch wild gewachsenen SAP-Berechtigungskonzepts fehlt es vielen technischen SAP-Rollendokumentationen insbesondere an einem: Aktualität. Getrieben durch Faktoren wie z. B. die

o   Reorganisation von Abteilungen bzw. ganzen Unternehmen

o   permanente Meldung neuer Fachbereichsanforderungen

o   Erweiterung der IT-Landschaft um neue SAP-Lösungen

ist ein SAP-Berechtigungskonzept bzw. dessen Rollenpflege einer äußerst hohen Dynamik unterworfen. Dies wird zuweilen sehr halbherzig bis gar nicht vorgenommen. Und wenn, dann in meist statischen Dokumenten durch aufwändige manuelle, und damit fehleranfällige Arbeiten. Und mit dem Erstellen einer solchen Dokumentation ist diese zumeist bereits veraltet.

  • Neue (Oberflächen-)Technologien als Komplexitätstreiber

Mit dem Wechsel zu SAP S/4HANA kommt eine neue, auch für das SAP-Berechtigungswesen zentrale Oberflächentechnologie ins Spiel: SAP Fiori.

Wussten Sie, dass SAP Fiori Apps auf Basis von Kachelkatalogen, -gruppen sowie den eigentlichen Kacheln im SAP Fiori Launchpad ausgeliefert werden? Und dies im Idealfall ausgeprägt auf Ihre unternehmensspezifische Organisationsstruktur, d.h. gesplittet nach Abteilungen und deren Funktionen? Hier kann es schnell unübersichtlich werden, insbesondere auch in puncto Dokumentation all dieser für das SAP-Berechtigungswesen relevanten SAP Fiori-Komponenten.

  • Transparenz über das SAP-Berechtigungswesen

Hier lauten die zentralen Fragestellungen:

  • Was ist an SAP-Berechtigungen aktuell vergeben, und hier mit Blick auf:
    • das aktuelle SAP-System („Wie sehen die Berechtigungen aus?“)
    • eine anstehende Migration nach SAP S/4HANA („Wie sieht das Delta aus mit Blick auf die neuen SAP S/4HANA-Berechtigungen?“)
  • Wie sieht die Rollenzuweisung aus, angefangen von der Fachbereichsrolle über die technische(n) SAP-Rolle(n) bzw. deren Berechtigungsobjekte inkl. Feldwertausprägungen bis hin zur Benutzerzuordnung bzw. vice versa?

Ziele sind die Schaffung eines besseren Verständnisses der Zusammenhänge zwischen Benutzer – Berechtigung – Rolle. Zudem unterstützt eine transparente Darstellung ein Konsolidierungsvorhaben bestehender SAP-Berechtigungsrollen (alternativ auf SAP ECC und / oder in Richtung SAP S/4HANA).

Weiterführende Informationen zu den möglichen Einsatzpotentialen durch smartRoleDoc, der SAP-Rollendokumentation auf Knopfdruck, finden Sie hier.

 

Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.

Das könnte Sie auch interessieren

SAP-Berechtigungen

Die SAP Integration Suite: Nahtlose Verbindung in der SAP Business Technology Platform (BTP)   Die SAP...

SAP-Berechtigungen

Die Zukunft der Unternehmensintegration: Side-by-side Extensibility mit der SAP Business Technology Platform   Die digitale Transformation...

SAP-Berechtigungen

Eine manuelle Benutzeranlage in SAP-Lösungen ist längst nicht mehr zeitgemäß. Single Sign-on für Web-Applikationen ist...

SAP-Berechtigungen

Solide im Standard: SAP S/4HANA Public Cloud Früher auch als „SAP S/4HANA Cloud Essentials Edition (ES)“ bezeichnet, eignet sich...