SAP Berechtigungskonzept

E-Book SAP BerechtigungskonzeptEin SAP Berechtigungskonzept dient der Abbildung von einschlägigen Rechtsnormen und unternehmensinternen Regelungen auf die technischen Schutzmöglichkeiten innerhalb eines SAP Systems. Berechtigungskonzepte sind somit der Schlüssel zum optimalen Schutz Ihres Systems sowohl nach außen als auch nach innen. Ein durchdachtes Berechtigungskonzept bietet Ihnen die Möglichkeit, wenig Aufwand in die Administration des Systems zu investieren und gleichzeitig alle rechtlichen Auflagen zu erfüllen.

Inhalt

Vorteile von Berechtigungskonzepten in SAP

Ziel der Berechtigungskonzepte ist es, jeden Benutzer regelkonform mit den für seine Aufgabe benötigten Berechtigungen im SAP System auszustatten. Ein gutes Berechtigungskonzept ist dabei der Grundstein für eine effiziente und kostengünstige Berechtigungsvergabe.

Anstatt jedem Mitarbeiter grundsätzlich alle Rechte einzuräumen, ist es sicherer klare Berechtigungen zu verteilen. Durch die rollenspezifische Vergabe der Berechtigungen erhält jeder Mitarbeiter entsprechend seiner Aufgabe Zugriff auf das System.

Klare Berechtigungen sind dabei kein Zeichen von Misstrauen, sondern bieten einen Schutz für den Mitarbeiter. So können massive Schäden durch versehentliche Handlungen von Mitarbeitern verhindert werden, wie zum Beispiel das Aufheben einer Liefersperre oder eine falsche Verwendung einer Massenveränderungsfunktion.

Berechtigungskonzepte stellen außerdem sicher, dass Mitarbeiter keine Bilanzen schönen und so Stakeholdern und Steuerbehörden Schaden zugefügt wird. Ein Missbrauch von Berechtigungen wird schwieriger und Sie schützen Ihr Unternehmen damit vor erheblichen finanziellen Schaden sowie Reputationsschaden.

Struktur von SAP Berechtigungskonzepten

SAP-Berechtigungskonzept_Bild-1

Eine perfekte Vorlage für ein rundum zuverlässiges Berechtigungskonzept existiert leider nicht. Das Konzept ist genauso individuell wie jedes einzelne Unternehmen. Dennoch gibt es Themen, die in einem Berechtigungskonzept berücksichtig werden sollten. Dazu gehören das Ziel des Konzepts, rechtliche Rahmenbedingungen, Namenskonventionen, Verantwortlichkeiten, Prozess für das Benutzer- wie auch Berechtigungsmanagement, Sonderberechtigungen und Rollenkonzept.

Folgende Themen bzw. Kapitel sollten in einem wirksamen Berechtigungskonzept zu finden sein:

Für ein Berechtigungskonzept muss ein klares Ziel definiert werden, das mithilfe des Konzepts erreicht werden soll.

Darin sollte aufgelistet werden, welche regulatorischen Auflagen das jeweilige SAP-System erfüllen und das dazugehörige Berechtigungskonzept berücksichtigen muss. Auf diese Weise werden die rechtlichen Rahmenbedingungen festgelegt.

Außerdem sollten einheitliche Namenskonventionen verwendet werden, da einerseits vieles nach der Erstbenennung nicht mehr änderbar ist und andererseits so die Suchbarkeit im SAP-System sichergestellt wird.

Mit klar definierten Verantwortlichkeiten wird die Wirksamkeit eines Konzepts gewährleistet. In einem eigenen Abschnitt müssen konkrete Personen benannt oder zumindest Rollen festgeschrieben werden.

Ein Kapitel sollte dem Prozess für das Benutzermanagement gewidmet werden. Hier wird beschrieben, wie Anwender vorhandene Berechtigungen erhalten, wie neue Benutzer in das SAP System integriert werden und wer für die Genehmigungen von Berechtigungen zuständig ist.

Im Kapitel zum Prozess für das Berechtigungsmanagement wird festgelegt, wer welche Rollen erstellen sowie bearbeiten kann und wer für die Entwicklung von verschiedenen zugehörigen Prozessen verantwortlich ist.

Im Kapitel zu Sonderberechtigungen werden Prozesse und Besonderheiten im Bereich Nicht-Dialog-Betrieb beschrieben. Dazu gehören unter anderem Job Management und Schnittstellenkonvention. Auch weitere administrative Berechtigungen können hier beschrieben werden.

Im Kapitel Rollenkonzept wird beschrieben, wie fachliche Anforderungen auf eine technische Rolle übertragen werden. Das Rollenkonzept nimmt einen besonderen Stellenwert ein, da es die eigentliche Abbildung von betriebswirtschaftlichen Rollen auf die technischen Rollen und damit auf die Berechtigungen im SAP beschreibt.

Durchführung eines Berechtigungsredesigns

sap berechtigungskonzept

Die Durchführung eines Berechtigungsdesign erfordert eine gute Planung sowie ein strukturiertes Vorgehen. In der Praxis hat sich ein Vorgehen in sechs Schritten zur Einführung eines Berechtigungskonzepts bewährt.

  1. Analyse und Erarbeitung des Berechtigungskonzepts

Im ersten Schritt muss das eigentliche Konzept erstellt werden. Ein gutes Berechtigungskonzept ist verständlich geschrieben und beantwortet alle Fragen nach den Berechtigungen umfassend.

  1. Systemvorbereitung

Anschließend werden die Tools unter Berücksichtigung von Systemvoraussetzungen in der Systemlinie verteilt. Hier ist eine Optimierung der SU24-Vorschlagwerte günstig. Dies erlaubt eine deutliche Geschwindigkeitssteigerung beim späteren Rollenbau, da Transaktionen dann sofort funktionieren.

  1. Entwurf von Funktionsrollen

In einem dritten Schritt werden die Funktionsrollen entworfen. Business- oder auch Arbeitsplatzrollen ermöglichen es, einer Berechtigung einen aussagekräftigen Namen zu geben. Zum Erstellen von Funktionsrollen sind unterschiedliche Schritte notwendig. Angefangen bei der Einteilung in Gruppen von Mitarbeitern einer Abteilung bis hin zur Auswertung der Gruppen bis für jede einzelne eine Liste von Transaktionen vorliegt.

  1. Fachbereichs-Workshops und Umsetzung in Rollen

Im vierten Schritt werden die Listen aus dem vorherigen Schritt dem Fachbereich vorgelegt. So kann eine Feinabstimmung erfolgen und können eventuell auftretende Funktionstrennungskonflikte überprüft werden. Die erstellten Listen werden dann in Rollen übertragen. Anschließend wird ein Basis-Funktionstest durchgeführt.

  1. Simulation und Anpassung der neuen Rollen

Im nächsten Schritt werden die Rollen, die den Basis-Funktionstest bestanden haben, dem Fachbereich für Simulation übermittelt. Die Simulation ist eine Funktion, die nur über ein Tool ausgeführt werden kann und (noch nicht) im SAP Standard vorhanden ist. Zur Vorbereitung auf die Simulation muss dem Fachanwender ein spezieller Referenzuser zugeordnet werden, der die neue zu prüfende Berechtigung erhalten hat. Die Ergebnisse der Simulation werden dann von den Berechtigungsentwicklern ausgelesen und für die Weiterentwicklung der neuen Rollen verwendet.

  1. Abgesicherter Go-Live

Nachdem alle Berechtigungen die Abnahme durch den Fachbereich durchlaufen haben, kann im letzten Schritt der Go-Live vorbereitet werden. Dafür wird als zusätzliches Sicherheitsnetz für definierte Anwender ein abgesicherter Go-Live konfiguriert.

Der Abgesicherte Go-Live ist eine Erweiterung des Tools. Es ist ein workflowbasierter Self-Service, mit dem Anwender sich für einen definierten Zeitraum ihre alten Berechtigungen zurückholen können.

So wird vermieden, dass wichtige Geschäftsprozesse ausfallen, weil Berechtigungen falsch vergeben wurden und der Service Desk diese nicht schnell zurückändern kann.

Nach diesen sechs Schritten liegt ein überarbeitetes, revisionssicheres und schriftliches Berechtigungskonzept vor, das ohne nennenswerten Ausfall in Betrieb genommen werden kann.

Als guten Zeitpunkt für eine Überarbeitung der Berechtigungen haben sich die „heißen“ Zeiten, wie zum Beispiel ein anstehender Jahreswechsel, als besonders geeignet herausgestellt.

Ein Redesign muss ebenso nicht in einem Projekt überarbeitet werden, sondern kann auch in einzelnen Teilschritten durchgeführt werden.

Fazit und Ausblick

Gut durchdachte und sauber ausgeführte Berechtigungskonzepte sind für jedes Unternehmen notwendig, um hohe IT-Sicherheitsstandards zu erreichen und Compliance-Anforderungen zu erfüllen damit finanziellen Schaden und Reputationsschaden abzuwenden.

Da sich Unternehmen in ständiger Veränderung befinden, verliert jedes noch so gut konzipierte Berechtigungskonzept mit der Zeit an Qualität. Verändern sich Organisationsstrukturen, rechtliche Rahmenbedingungen oder Wettbewerbssituationen, muss dies auch in einem Berechtigungskonzept abgebildet werden. Daher ist es unumgänglich sich in regelmäßigen Abständen kritisch mit der Berechtigungsstruktur auseinanderzusetzen und gegebenenfalls ein Redesign einzuleiten. So ist eine Gefahrenabsicherung nach außen und innen gewährleistet.

Welche Erfahrungen haben Sie bereits mit Berechtigungskonzepten in SAP gemacht? Ich bin gespannt auf Ihre Gedanken und Ideen zu diesem Thema als Kommentar unter diesem Beitrag. Auf Ihre Meinung freue ich mich sehr.

E-Book SAP Berechtigungskonzept


SHARE
nach oben


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.