SAP Berechtigungen

7

SAP Berechtigungen steuern in einem SAP System die Zugriffmöglichkeiten von Benutzern zum Beispiel auf personenbezogene Daten. Eben diesen Zugriff sicher zu verwalten, ist essentiell für jedes Unternehmen. Umso wichtiger sind Berechtigungskonzepte, Berechtigungstools sowie die automatisierte Absicherung des SAP Systems, um mit wenig administrativem Aufwand die hohen rechtlichen Auflagen zu erfüllen.

Videos zum Thema SAP Berechtigungen

Berechtigungskonzepte – Vorteile und Architektur

Ein SAP Berechtigungskonzept dient der Abbildung von einschlägigen Rechtsnormen und unternehmensinternen Regelungen auf die technischen Schutzmöglichkeiten innerhalb eines SAP Systems. Berechtigungskonzepte sind somit der Schlüssel zum optimalen Schutz Ihres Systems sowohl nach außen als auch nach innen.

Ziel der Berechtigungskonzepte ist es, jeden Benutzer regelkonform mit den für seine Aufgabe benötigten Berechtigungen im SAP System auszustatten. Ein gutes Berechtigungskonzept ist dabei der Grundstein für eine effiziente und kostengünstige Berechtigungsvergabe.

Vorteile von Berechtigungskonzepten

Klare Berechtigungen an die Mitarbeiter zu vergeben, ist kein Zeichen von Misstrauen, sondern bietet einen hohen Schutz sowohl für das Unternehmen als auch für die Mitarbeiter selbst. Denn durch die rollenspezifische Vergabe der SAP Berechtigungen erhält jeder Mitarbeiter entsprechend seiner Aufgabe Zugriff auf das System.

Auf diese Weise können massive Schäden durch versehentliche Handlungen von Mitarbeitern verhindert werden, wie zum Beispiel das Aufheben einer Liefersperre oder eine falsche Verwendung einer Massenveränderungsfunktion.

Berechtigungskonzepte stellen außerdem sicher, dass Mitarbeiter keine Bilanzen schönen und so Stakeholdern und Steuerbehörden Schaden zugefügt wird. Ein Missbrauch von SAP Berechtigungen wird schwieriger und Sie schützen Ihr Unternehmen damit vor erheblichen finanziellen Schaden sowie Reputationsschaden.

Externe Unterstützung für SAP Berechtigungen und Security

Unsere zertifizierten SAP Berater für Berechtigungen und Security haben viel Erfahrung und können Sie sowohl im Betrieb als auch im Projekt unterstützen.

Architektur von Berechtigungskonzepten

So individuell wie die Anforderungen jedes einzelnen Unternehmens sind, so individuell sind die Anforderungen an die Architektur von Berechtigungskonzepten. Eine perfekte Vorlage gibt es daher nicht. Dennoch gibt es Themen, die in einem Berechtigungskonzept berücksichtigt werden sollten. Folgende Themen bzw. Kapitel sollten in einem wirksamen Berechtigungskonzept zu finden sein:

  • Für ein Berechtigungskonzept muss zunächst ein klares Ziel definiert werden, das mithilfe des Konzepts erreicht werden soll.
  • Darin sollte aufgelistet werden, welche regulatorischen Auflagen das jeweilige SAP-System erfüllen und das dazugehörige Berechtigungskonzept berücksichtigen muss. Auf diese Weise werden die rechtlichen Rahmenbedingungen festgelegt.
  • Außerdem sollten einheitliche Namenskonventionen verwendet werden, da einerseits vieles nach der Erstbenennung nicht mehr änderbar ist und andererseits auf diese Weise die Suchbarkeit im SAP-System sichergestellt wird.
  • Mit klar definierten Verantwortlichkeiten wird die Wirksamkeit eines Konzepts gewährleistet. In einem eigenen Abschnitt müssen konkrete Personen benannt oder zumindest Rollen festgeschrieben werden.
  • Ein Kapitel sollte dem Prozess für das Benutzermanagement gewidmet werden. Hier ist zu beschreiben, wie Anwender vorhandene SAP Berechtigungen erhalten, wie neue Benutzer in das SAP System integriert werden und wer für die Genehmigungen von Berechtigungen verantwortlich ist.
  • Im Kapitel zum Prozess für das Berechtigungsmanagement wird festgelegt, wer welche Rollen erstellen sowie bearbeiten darf und wer für die Entwicklung von verschiedenen zugehörigen Prozessen verantwortlich ist.
  • Im Kapitel zu Sonderberechtigungen werden Prozesse und Besonderheiten im Bereich Nicht-Dialog-Betrieb beschrieben. Dazu gehören unter anderem Job Management und Schnittstellenkonvention. Auch weitere administrative Berechtigungen können beschrieben werden.
  • Im Kapitel Rollenkonzept wird erläutert, wie fachliche Anforderungen auf eine technische Rolle übertragen werden. Das Rollenkonzept nimmt einen besonderen Stellenwert ein, da es die eigentliche Abbildung von betriebswirtschaftlichen Rollen auf die technischen Rollen und damit auf die Berechtigungen im SAP beschreibt.

Berechtigungstools – Vorteile und Grenzen

SAP Berechtigungstools

Berechtigungstools der SAP GRC Suite sorgen dafür, dass sich jedes Unternehmen ein stark automatisiertes Compliance Management passgenau konzipieren kann. Der überwiegende Teil deutscher Unternehmen mit einem SAP System setzt noch keine Berechtigungstools ein. Dabei stellt die Verwendung von SAP Berechtigungstools für viele Unternehmen einen großen Vorteil dar. In welchem Umfang der Einsatz von Berechtigungstools sinnvoll ist, hängt von der Größe eines Unternehmens ab.

Jedes große Unternehmen muss sich den wachsenden gesetzlichen Anforderungen stellen und diese umsetzen. Wenn in dieser Größenordnung der Einsatz eines Berechtigungskonzepts vollumfänglich gelingen soll, ist der Einsatz eines Berechtigungstools unumgänglich. Bei mittelgroßen Unternehmen lohnt sich der Einsatz in der Regel ebenfalls. Hier sollte jedoch fallspezifisch entschieden werden.

Kleine Unternehmen würden theoretisch von einem Berechtigungstool profitieren. Jedoch sind die Tools in vielen Fällen zu teuer, das Kosten-Nutzen-Verhältnis ist in der Regel nicht gegeben.

Vorteile von Berechtigungstools

Die Nutzung eines Berechtigungstools bietet für Unternehmen viele Vorteile. Zu diesen gehören:

  • Verwaltung von Berechtigungsanträgen
  • Verteilung und Zuordnung von Berechtigungen
  • Prüfung von Berechtigungen
  • Entwicklung von Berechtigungen

So ist es möglich, mithilfe der Berechtigungstools z. B. den Aufwand für Rollenerstellung und Berechtigungsmanagement durch konkrete Zuordnung der SAP Systemrollen drastisch zu reduzieren.

SAP Toolauswahl Workshop - Klarheit schaffen und Auswahl treffen

In unserem Workshop zur SAP Toolauswahl nehmen wir gemeinsam Ihre individuellen Anforderungen auf geben Ihnen eine klare Empfehlung für passende Tools.

Grenzen von Berechtigungstools

Selbst die besten Berechtigungstools können allerdings strukturelle und strategische Schieflagen nicht ausgleichen. Auch fehlendes Knowhow über SAP Berechtigungen kann nicht kostengünstig mittels Tools kompensiert werden.

Welche Herausforderungen können nicht allein mithilfe von Berechtigungstools gelöst werden?

  • Fehlende Definition eines internen Kontroll-Systems (IKS)
  • Kompensierende Maßnahmen für Funktionstrennungskonflikte
  • Unklare Zielvorgaben und fehlende Definition eigener Sicherheitsstandards
  • Unzufriedenheit und unklarer Bedarf im Prozess
  • Ein kompliziertes Rollenkonstrukt
  • Ungeklärte Zuständigkeiten, besonders zwischen Fachbereich und IT
  • Fehlendes Knowhow

Berechtigungstools sind im Endeffekt immer nur so gut, wie derjenige, der sie bedient. Bisher ermöglicht es kein Tool, mit nur einem einzigen Klick fertige Berechtigungskonzepte zu erstellen.

SAP Security Automation

SAP Security Automation

Um nachhaltig die Sicherheit des SAP-Systems nach innen und außen sicherzustellen, ist eine regelmäßige Revision unabdingbar. Vorhandene Regelverstöße müssen erkannt und korrigiert werden. Zudem ist es wichtig, den regelmäßigen Betrieb von SAP zu dokumentieren, um somit bei externem und internem Bedarf Nachweise dessen zu haben. Durch automatisierte Prozesse lassen sich dabei viel Zeit und Geld sparen.

Security Automation bei SAP Security Checks

Haben Sie schon einmal versucht manuell nachzuvollziehen, wer von den Nutzern in Ihrem SAP-System kritische Berechtigungen besitzt? Je nach Kenntnisstand und Erfahrung nimmt diese Arbeit viel Zeit in Anspruch. Sind zudem Wirtschaftsprüfungen angekündigt, ist der Druck besonders hoch. Denn manuell ist es schwierig, alle Anforderungen in Bezug auf SAP Berechtigungen zu erfüllen.

Genau aus diesem Grund gibt es die Lösung, mittels Toolunterstützung die Überprüfung des Berechtigungswesens in Hinblick auf kritische Berechtigungen und Segregation of Duties zu automatisieren. Dadurch haben Ihre Berechtigungsadministratoren mehr Zeit, dazu auftretende Fehler zu beheben, anstatt diese erstmal zu suchen.

Security Automation bei HR Berechtigungen

HR Berechtigungen sind in vielen Unternehmen ein sehr kritisches Thema. Einerseits sollen die Sachbearbeiter im Personal ihre Aufgaben erledigen können. Andererseits muss auch der Schutz der persönlichen Daten der eigenen Mitarbeiter gewährleistet werden. Jeder Fehler im Berechtigungswesen kann den Datenschutzbeauftragten des Unternehmens auf den Plan rufen.

Auch hier ist es möglich, mithilfe von Tools bei den HR Berechtigungen Absicherung und Überblick zu schaffen. Durch das Tool wird eine klare Übersicht erstellt, auf welche Daten bestimmte Nutzer im SAP System zugreifen dürfen. Darauf aufbauend ist es möglich, automatische Prüfungen zu entwickeln, die im Hintergrund ablaufen und regelmäßig kontrollieren, ob durch Änderungen an den Berechtigungen kritische Lücken im HR Bereich entstanden sind.

Hier finden Sie noch mehr und tiefergehendes Know-how zum Thema SAP Security Automation.

Kostenloses E-Book
Unser E-Book zum Thema SAP Security & Berechtigungen

Strukturelle Berechtigungen

Strukturelle Berechtigungen arbeiten mit dem SAP HCM Organisationsmanagement und definieren, wer gesehen werden darf, aber nicht was gesehen werden darf. Dies geschieht auf Basis von Auswertungswegen im Org-Baum. Strukturelle Berechtigungen sind deshalb nur gemeinsam mit allgemeinen Berechtigungen einzusetzen. Genau wie die allgemeinen Berechtigungen in SAP ECC HR ermöglichen sie einen geregelten Zugriff auf Daten in zeitabhängigen Strukturen. Über ein Berechtigungsprofil läuft die Ermittlung ab und zudem wird definiert, wie die Suche auf dem Org-Baum erfolgt.
Strukturelle Berechtigungen verfügen über ein sogenanntes Wurzelobjekt, also einen Startpunkt und einen zugehörigen Auswertungsweg. Das Organigramm des Unternehmens ist im SAP HCM hinterlegt. Dadurch kann angezeigt werden, wie welche Positionen miteinander verbunden sind. Wenn eine bestimmte Information über einen Mitarbeiter gefragt ist, kann diese über einen Pfad ausgelesen werden. Am Ende steht dann eine Liste von Objekten.
Die Daten, die von den strukturellen Berechtigungen reglementiert werden, müssen sich hierarchisch strukturiert in einer der Personalentwicklungskomponenten befinden. Dies kann beispielsweise das Organisationsmanagement oder die Personalentwicklung sein. Die Zugriffe können dadurch relativ zum Wurzelobjekt innerhalb der hierarchischen Struktur geregelt werden.

Beispiel: Aufbau von strukturellen Berechtigungen.

SAP FICO Berechtigungen

Das FI-Modul von SAP ist eines der häufigsten in der SAP-Welt und umfasst sämtliche Geschäftsprozesse im Bereich des Finanz- und Rechnungswesens. Die Prozesse, die über dieses Modul laufen, dienen der doppelten Buchführung und Erfassung von Belegen auf den erforderlichen Konten. Zudem wird dadurch die damit einhergehende Gewinnermittlung für externe und interne Zwecke festgestellt.

Es ist für einen konsolidierten Jahresabschluss wichtig, dass in verschiedenen Buchungskreisen derselbe Nummernkreis im Bereich der Sachkontenstämme vorliegt. Dies wird durch die Werkzeuge im Modul FI sichergestellt. Außerdem können die Stammsätze angepasst werden, sodass auch länderübergreifend mit den verschiedenen Währungen der Buchungskreise gearbeitet werden kann.

Ebenso können neben einer gesetzlichen Veröffentlichung der Bilanz und GuV (Gewinn- und Verlustrechnung) auch interne Auswertungen erstellt werden. SAP FI verfügt über direkte Schnittstellen zu anderen Modulen, wie z.B. HR oder SD. Für die Internetfreigabe von Reports ist es nötig, dass für den jeweiligen Report eine Berechtigungsgruppe gepflegt wurde.

Das SAP CO-Modul ist das Modul für das klassische Controlling in einem Unternehmen. Teil (der responsible area) davon ist die Kontrolle und Analyse der Kosten. Dazu gehört außerdem die Kontrolle der Kostenarten und der Kostensätze, die im Unternehmen entstehen und verbucht worden sind. Das Controlling berichtet dann meist unmittelbar an die Unternehmensführung. Unterstützung erhält es dabei von den Werkzeugen aus dem Modul SAP CO, die umfassende Auswertungen und Analysen bereitstellen können. SAP CO lässt sich in einige weitere Teilbereiche unterteilen. Dazu gehören z.B. CO-PC (Produktkostenrechnung), CO-PA (Ergebnis- und Marktsegmentrechnung) oder PCA (Profit Center Accounting).

Zu Beginn waren die FI- und CO-Module voneinander getrennt. Beide Module sind von der SAP als übergeordnete Module im Bereich Rechnungswesen zusammengefasst worden. Grund dafür ist vor allem die enge Prozessstruktur, die einen fließenden Übergang zwischen den beiden Modulen ermöglicht. Folglich treten SAP FI und CO nur noch als gemeinschaftliches Modul SAP FICO auf.

Betriebswirtschaftliche Objekte, auf die Unternehmen Berechtigungen beziehen, sind im System als Berechtigungsobjekte definiert. Für Individualkonditionen liefert SAP die Berechtigungsobjekte F_FICO_IND und F_FICO_AIN aus. Mit F_FICO_IND kann festgelegt werden, welche Individualkonditionen beim Bearbeiten des Vertrages in Abhängigkeit der definierten Berechtigungsfelder und deren Ausprägungen überprüft werden. Mithilfe des Berechtigungsobjekt F_FICO_AIN können Unternehmen festlegen, ob und wie Individualkonditionen bei der Bearbeitung im Kanal BAPI in Abhängigkeit der definierten Berechtigungsfelder und deren Ausprägungen überprüft werden sollen.

Fazit und Ausblick zum Thema SAP Berechtigungen

SAP Berechtigungen sind ein sicherheitskritisches und damit immens wichtiges Thema in Unternehmen. Mit ihrer Hilfe werden nicht nur die Zugriffsmöglichkeiten der Nutzer im SAP System gesteuert, sondern auch die externe und interne Sicherheit der Unternehmensdaten hängt direkt von den eingestellten Berechtigungen ab.

Ein gut durchdachtes und sauber ausgeführtes Berechtigungskonzept ist dabei der Grundstein für jedes Unternehmen, um hohe IT-Sicherheitsstandards zu erreichen und die Compliance-Anforderungen zu erfüllen.

Berechtigungstools stellen eine große Hilfe dar, um ein stark automatisiertes Compliance Management passgenau an die eigenen Anforderungen im Unternehmen zu konzipieren. Die Einführung von Berechtigungstools nimmt zwar einige Zeit in Anspruch, sollte aber dennoch von Unternehmen in Angriff genommen werden, um die Effizienz langfristig zu steigern und gleichzeitig Kosten zu sparen.

Zunehmend ist es möglich, auf Automatisierungen im Security-Umfeld zurückzugreifen. Zwar werden diese noch nicht von vielen Unternehmen genutzt, sie sind jedoch der nächste Schritt in der digitalen Transformation. Durch die intelligente Nutzung von Automatisierungen können Unternehmen Ressourcen für die wirklich wichtigen Innovationsthemen schaffen. In Zukunft ist sowohl mit einem Anstieg der Zahl als auch der Leistungsfähigkeit von Automatisierungstools zu rechnen. Daher ist es nur eine Frage der Zeit ist, bis auch SAP selbst optimierte Unterstützung in Form von Tools im Standard ausliefert.

Weiterführende Informationen

SAP Berechtigungskonzept: https://help.sap.com/saphelp_ls200/helpdata/de/52/671285439b11d1896f0000e8322d00/content.htm?no_cache=true

Rollen im SAP Berechtigungskonzept analysieren: https://www.doktorerp.de/rollen-und-berechtigungen-im-sap-system-analysieren/

Berechtigungskonzept AS ABAP: https://help.sap.com/doc/saphelp_nwpi71/7.1/de-DE/52/671285439b11d1896f0000e8322d00/content.htm?no_cache=true


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support