Wer darf was im Unternehmens-ERP? Diese Frage ist nicht trivial, schließlich ist eine gewaltige Anzahl von Rollen mit den jeweiligen Berechtigungen – also erlaubte Zugriffe auf die Prozesse und auf die IT-seitig gespeicherten Informationen – sauber zu definieren, um Sicherheit und Compliance zu gewährleisten. So sollte zum Beispiel ein Mitarbeiter, der in der Buchhaltung arbeitet, nicht sowohl Lieferanten im System anlegen als auch Rechnungen bearbeiten und freigeben können. Sonst besteht bei krimineller Energie das Risiko von finanziellem Betrug zulasten des Unternehmens.
Berechtigungsmanagement obligatorisch für einen sauberen S/4HANA-Start
Das Thema SAP-Berechtigungen ist daher auch bei der Migration des ERP auf S/4HANA wichtig. Es sollte ab dem Projektstart berücksichtigt werden – andernfalls stellt man oft spätestens in der Testphase fest, dass die aktuell in ECC definierten Berechtigungen nicht zu den Testfällen passen und Berechtigungsprobleme verursachen. Denn technologiebedingte Änderungen, Anpassungen von Geschäftsprozessen und die neue Oberflächentechnologie SAP Fiori erfordern die Überarbeitung oder sogar das vollständige Redesign der Berechtigungskonzeption.
Auch wenn dies komplex ist und oft viel Zeit und Aufwand erfordert, empfiehlt es sich, parallel zum S/4HANA-Systemaufbau die Berechtigungen für die S/4HANA-Systemlandschaft anzupassen. Dann lässt sich bereits im Projekt ab dem ersten Tag ein sauberes Rollenkonzept nutzen und alle SAP-Security- und Compliance-Anforderungen können von Anfang an umgesetzt werden.
Berechtigungskonzept kontinuierlich monitoren und anpassen
Eine einmalige Erstellung oder Bereinigung reicht allerdings nicht aus. Auch nach dem Go-Live von S/4HANA ändern sich SAP-Prozesse, interne und externe Anforderungen (auch Compliance- und Security-Anforderungen) sowie Aufgabengebiete der Mitarbeitenden im Unternehmen ständig. So können die Qualität und Effektivität eines heute optimalen Berechtigungskonzepts schnell verloren gehen.
Die Folge: Es drohen ungewollte Berechtigungen von User:innen und Regelverletzungen. Das Risiko für unberechtigte Zugriffe steigt und damit die Gefahr von Betrug, Datenmanipulation und -diebstahl. Viele Unternehmen machen den Fehler und reagieren erst, wenn die Interne Revision Mängel feststellt und meldet. Das ist oft so spät, dass ein hoher Bereinigungsaufwand notwendig ist.
Deshalb sind Unternehmen gefordert, auch nach der S/4HANA-Transformation das Berechtigungskonzept inklusive Vergabe der Berechtigungen und Funktionstrennung laufend zu überwachen, zu pflegen und an Veränderungen anzupassen. Nur dann bleibt die Systemintegrität dauerhaft gewahrt (Start Clean, Stay Clean).
Berechtigungsmanagement ist keine reine IT-Aufgabe
In vielen Unternehmen liegt die aktive kontinuierliche Pflege des Berechtigungskonzepts bei dem SAP-Basisteam. Dieses kann zwar technisch die fachlichen Anforderungen umsetzen, doch Anpassungen im Berechtigungsmanagement sind keine reine IT-Arbeit. Hierfür ist ein interdisziplinäres Team notwendig, in dem Akteure aus den Fachabteilungen beteiligt sind. Denn für ein passgenaues Berechtigungskonzept ist ein möglichst genaues Bild von den User:innen und ihren Prozessen im System notwendig – dieses Wissen liegt weniger in der IT-Abteilung, sondern in den Fachbereichen.
Entscheidend ist unter anderem, die Einhaltung der Grundprinzipien im Berechtigungsmanagement zu überwachen. Dazu zählt beispielsweise das Minimalprinzip: Die Mitarbeitenden erhalten nur die Rechte, die sie für ihre Rolle bzw. Tätigkeiten tatsächlich brauchen. Sowie die Designregeln der Rollen.
Laufende Auswertung der Nutzungsdaten erfordert intelligente Tools
Für einen effektiven kontinuierlichen Verbesserungsprozess sind ein ständiger Soll-Ist-Abgleich und die Analyse der SAP-Systemnutzung grundlegend. Dabei wird eine Vielzahl von SAP-Logs und Nutzungsdaten kontinuierlich ausgewertet.
Dazu braucht es moderne und intelligente Analyseverfahren und -tools. Sie reduzieren den Aufwand und erhöhen die Effektivität: Analysen generieren aus der Datenflut aussagekräftige Erkenntnisse, die das zuständige Team für die Steuerung des Berechtigungsmanagements nutzen kann. Dadurch erlangt man kontinuierlich Transparenz über die eigenen Systeme. Handlungsbedarf wird datengetrieben erkannt und automatisch vorgeschlagen. So lässt sich ein Berechtigungskonzept sicherstellen, das an die Anforderungen und Bedürfnisse angepasst ist.
Datengetriebener Prozess verbindet Analytics-Monitoring und Expertenwissen
Die datenbasierte Lösung kombiniert standardisierte und automatisierte Prozesse mit einem hohen Grad an Expertise. Dadurch kann das Berechtigungskonzept in einem iterativen Prozess von Entwicklung, Analyse und Optimierung kontinuierlich gesteuert und frei von Abweichungen und Risiken bewahrt werden.
Zum Beispiel können ungenutzte Berechtigungen automatisch identifiziert werden, um das Minimalprinzip durchgehend zu erfüllen. Dies unterstützt auch eine kosteneffiziente Vergabe der SAP-Lizenzen. Die Pflege der Regelwerke wiederum ist aufwändig und benötigt spezifisches Expertenwissen.
Fazit: SAP-Berechtigungen nachhaltig steuern
Für ein dauerhaft effizientes Berechtigungsmanagement reicht eine langjährige Administrationserfahrung nicht mehr. Wer seine Expertise mit standardisierten, automatisierten Prozessen und intelligenter Analyse der SAP-Nutzungsdaten verbindet, überwacht und steuert die SAP-Berechtigungen nachhaltig.
Eine datengetriebenes Berechtigungsmanagement senkt den Kosten- und Zeitaufwand durch die Automatisierung der wiederkehrenden Aufgaben und schafft die Grundlage zur dauerhaften Einhaltung der Compliance-Vorgaben und Sicherheit der Systeme.