SAP Berechtigungskonzept

1 | 4 | #SAP Berechtigungskonzept

Ein SAP Berechtigungskonzept dient der Abbildung von einschlägigen Rechtsnormen und unternehmensinternen Regelungen auf die technischen Schutzmöglichkeiten innerhalb eines SAP Systems. Berechtigungskonzepte sind somit der Schlüssel zum optimalen Schutz Ihres Systems. Sowohl nach außen als auch nach innen. Ein durchdachtes Berechtigungskonzept bietet Ihnen die Möglichkeit, wenig Aufwand in die Administration des Systems zu investieren und gleichzeitig alle rechtlichen Auflagen zu erfüllen.

Vorteile von Berechtigungskonzepten in SAP

Ziel der Berechtigungskonzepte ist es, jeden Benutzer regelkonform mit den für seine Aufgabe benötigten Berechtigungen im SAP System auszustatten. Ein gutes Berechtigungskonzept ist dabei der Grundstein für eine effiziente und kostengünstige Berechtigungsvergabe.

Anstatt jedem Mitarbeiter grundsätzlich alle Rechte einzuräumen, ist es sicherer, klare Berechtigungen zu verteilen. Durch die rollenspezifische Vergabe der Berechtigungen erhält jeder Mitarbeiter entsprechend seiner Aufgabe Zugriff auf das System.

Klare Berechtigungen sind dabei kein Zeichen von Misstrauen, sondern bieten einen Schutz für den Mitarbeiter. So können Sie massive Schäden durch versehentliche Handlungen von Mitarbeitern verhindern. Ein Beispiel dafür ist das Aufheben einer Liefersperre oder eine falsche Verwendung einer Massenveränderungsfunktion.

Berechtigungskonzepte stellen außerdem sicher, dass Mitarbeiter keine Bilanzen schönen und sie so Stakeholdern und Steuerbehörden Schaden zugefügen. Ein Missbrauch von Berechtigungen ist dadurch schwieriger. Damit schützen Sie Ihr Unternehmen vor erheblichen finanziellen Schaden sowie Reputationsschaden.

Struktur von SAP Berechtigungskonzepten

SAP-Berechtigungskonzept_Bild-1

Eine perfekte Vorlage für ein rundum zuverlässiges Berechtigungskonzept existiert leider nicht. Das Konzept ist genauso individuell wie jedes einzelne Unternehmen. Dennoch gibt es Themen, die Sie in einem Berechtigungskonzept berücksichtigen sollten. Dazu gehören das Ziel des Konzepts, rechtliche Rahmenbedingungen und Namenskonventionen. Außerdem sollten Verantwortlichkeiten, Prozess für das Benutzer- wie auch Berechtigungsmanagement dabei sein. Weitere wichtige Aspekte sind Sonderberechtigungen, Rollenkonzept, Notfallbenutzerkonzept und technische Schnittstellen.

E-Book SAP Berechtigungskonzept

Wozu ein Berechtigungskonzept? Welche Elemente enthält es idealerweise & welche Tools erleichtern das Berechtigungsdesign?

Kapitel eines wirksamen Berechtigungskonzepts

Für ein Berechtigungskonzept muss ein klares Ziel definiert sein, das mithilfe des Konzepts erreicht werden soll.

Darin sollte aufgelistet werden, welche regulatorischen Auflagen das jeweilige SAP-System erfüllen und das dazugehörige Berechtigungskonzept berücksichtigen muss. Auf diese Weise werden die rechtlichen Rahmenbedingungen festgelegt.

Außerdem sind einheitliche Namenskonventionen sehr empfehlenswert. Denn einerseits ist vieles nach der Erstbenennung nicht mehr änderbar und andererseits kann man so die Suchbarkeit im SAP-System sicherstellen.

Mit klar definierten Verantwortlichkeiten gewährleistet man die Wirksamkeit eines Konzepts. In einem eigenen Abschnitt müssen konkrete Personen benannt oder zumindest Rollen festgeschrieben sein.

Ein Kapitel sollte dem Prozess für das Benutzermanagement gewidmet werden. Hier wird beschrieben, wie Anwender vorhandene Berechtigungen erhalten, wie neue Benutzer in das SAP System integriert werden und wer für die Genehmigungen von Berechtigungen zuständig ist.

Im Kapitel zum Prozess für das Berechtigungsmanagement wird festgelegt, wer welche Rollen erstellen sowie bearbeiten kann. Außerdem wird bestimmt, wer für die Entwicklung von verschiedenen zugehörigen Prozessen verantwortlich ist.

Im Kapitel zu Sonderberechtigungen werden Prozesse und Besonderheiten im Bereich Nicht-Dialog-Betrieb beschrieben. Dazu gehören unter anderem Job Management und Schnittstellenkonvention. Auch weitere administrative Berechtigungen können hier beschrieben werden.

Im Kapitel Rollenkonzept wird beschrieben, wie fachliche Anforderungen auf eine technische Rolle übertragen werden. Das Rollenkonzept nimmt einen besonderen Stellenwert ein, da es die eigentliche Abbildung von betriebswirtschaftlichen Rollen auf die technischen Rollen und damit auf die Berechtigungen im SAP beschreibt.

Es gibt bestimmte Berechtigungen die kritisch sind und nicht unbedingt im Alltagsgeschäft notwendig sind. Hin und wieder benötigen manche Mitarbeiter allerdings diese weitreichenden Berechtigungen. Dafür eignet sich ein sogenanntes Notfallbenutzerkonzept. Hier kann man beispielsweise das Profil SAP_ALL an einen Notalluser auslagern.

In dem Kapitel technische Schnittstellen sollten Sie beschreiben, welche RFC-Verbindungen es im System gibt und von welche Usern diese verwalten. Sämtliche Schnittstellenbenutzer sollten ebenfalls mit in das Berechtigungskonzept aufgenommen werden.

Arten und Formen des SAP Berechtigungskonzepts

Grundsätzlich kann man zwischen drei Arten von Dokumenten unterschieden. Diese gehen stellenweise ineinander über bzw. deren Begrifflichkeiten vermischt man. Das eine ist das sogenannte SAP Rollenkonzept, das zweite ist das SAP Berechtigungskonzept und dritte ist das SAP Sicherheitskonzept.

Das Rollenkonzept findet man häufig in Form eines Excel Files vor. Dieses beinhaltet die Rollen, die es grundsätzlich im System gibt, mit den unterschiedlichen Ausprägungen. Es ordnet diese beispielsweise irgendwelchen Verantwortlichkeiten, Modulen oder Fachbereichen zu.

Das Berechtigungskonzept findet sich häufig als PDF oder Worddokument vor. Es bildet ab, wie Mitarbeiter, die schon rechtmäßig Zugriff auf das SAP System haben, entsprechend Ihrer Funktion berechtigt werden und wie der Prozess der Berechtigungsvergabe aussieht. Das kann beispielsweise über Identity Management Tools abgewickelt werden. Außerdem werden hier unter anderem die Verantwortlichkeiten festgelegt, die einer Vergabe von Berechtigungen zustimmen sollten (Vier-Augen-Prinzip). Zum Beispiel Führungskraft und Rolleneigner.

Das SAP Sicherheitskonzept befasst sich neben den Absicherungen von innen heraus vor allem auch damit, wie Angriffe von außen abgewendet werden können. Um es vereinfacht auszudrücken: Das Sicherheitskonzept kümmert sich darum, dass jemand, der nicht auf das System kommen soll, keinen Zugang bekommt.

Je nach Schutzbedarf des Unternehmens können diese Konzepte unterschiedlich ausgeprägt ausfallen. Bei einem geringen Schutzbedarf können die Konzepte und deren Inhalte eher schlank gehalten werden. Je nachdem, was für das Unternehmen relevant ist und was nicht. Erfahrungsgemäß ist der Schutzbedarf bei SAP-Systemen aber eher hoch und sollten daher vor Sabotage ausreichend geschützt werden.

Durchführung eines Berechtigungsredesigns

sap berechtigungskonzept

Die Durchführung eines Berechtigungsdesign erfordert eine gute Planung sowie ein strukturiertes Vorgehen. In der Praxis hat sich ein Vorgehen in sechs Schritten zur Einführung eines Berechtigungskonzepts bewährt.

  1. Analyse und Erarbeitung des Berechtigungskonzepts

Im ersten Schritt muss das eigentliche Konzept erstellt werden. Ein gutes Berechtigungskonzept ist verständlich geschrieben und beantwortet alle Fragen nach den Berechtigungen umfassend.

  1. Systemvorbereitung

Anschließend findet die Verteilung der Tools unter Berücksichtigung von Systemvoraussetzungen in der Systemlinie statt. Hier ist eine Optimierung der SU24-Vorschlagwerte günstig. Dies erlaubt eine deutliche Geschwindigkeitssteigerung beim späteren Rollenbau, da Transaktionen dann sofort funktionieren.

  1. Entwurf von Funktionsrollen

In einem dritten Schritt werden die Funktionsrollen entworfen. Business- oder auch Arbeitsplatzrollen ermöglichen es, einer Berechtigung einen aussagekräftigen Namen zu geben. Zum Erstellen von Funktionsrollen sind unterschiedliche Schritte notwendig. Angefangen bei der Einteilung in Gruppen von Mitarbeitern einer Abteilung. Bis hin zur Auswertung der Gruppen bis für jede einzelne eine Liste von Transaktionen vorliegt.

  1. Fachbereichs-Workshops und Umsetzung in Rollen

Im vierten Schritt werden die Listen aus dem vorherigen Schritt dem Fachbereich vorgelegt. So kann eine Feinabstimmung erfolgen. Eventuell auftretende Funktionstrennungskonflikte können Sie so auch überprüfen. Danach erfolgt die Übertragung der erstellten Listen in Rollen. Anschließend wird ein Basis-Funktionstest durchgeführt.

  1. Simulation und Anpassung der neuen Rollen

Im nächsten Schritt werden die Rollen, die den Basis-Funktionstest bestanden haben, dem Fachbereich für Simulation übermittelt. Die Simulation ist eine Funktion, die nur über ein Tool ausgeführt werden kann und (noch nicht) im SAP Standard vorhanden ist. Zur Vorbereitung auf die Simulation muss dem Fachanwender ein spezieller Referenzuser zugeordnet werden, der die neue zu prüfende Berechtigung erhalten hat. Die Ergebnisse der Simulation werden dann von den Berechtigungsentwicklern ausgelesen. Diese werdem für die Weiterentwicklung der neuen Rollen verwendet.

  1. Abgesicherter Go-Live

Nachdem alle Berechtigungen die Abnahme durch den Fachbereich durchlaufen haben, kann im letzten Schritt der Go-Live vorbereitet werden. Dafür wird als zusätzliches Sicherheitsnetz für definierte Anwender ein abgesicherter Go-Live konfiguriert.

Der Abgesicherte Go-Live ist eine Erweiterung des Tools. Es ist ein workflowbasierter Self-Service, mit dem Anwender sich für einen definierten Zeitraum ihre alten Berechtigungen zurückholen können.

So wird vermieden, dass wichtige Geschäftsprozesse ausfallen, weil Berechtigungen falsch vergeben wurden und der Service Desk diese nicht schnell zurückändern kann.

Nach diesen sechs Schritten liegt ein überarbeitetes, revisionssicheres und schriftliches Berechtigungskonzept vor, das ohne nennenswerten Ausfall in Betrieb genommen werden kann.

Als guten Zeitpunkt für eine Überarbeitung der Berechtigungen haben sich die >>heißen<< Zeiten, wie zum Beispiel ein anstehender Jahreswechsel, als besonders geeignet herausgestellt.

Ein Redesign muss ebenso nicht in einem Projekt überarbeitet werden, sondern kann auch in einzelnen Teilschritten durchgeführt werden.

Templates

Grundsätzlich gib es schon vorgefertigte Konzepte die man verwenden kann. Allerdings sind Berechtigungskonzepte immer sehr unternehmens-spezifisch, sodass es in der Regel immer Anpassungen und Ergänzungen bedarf. Hierbei ist auch immer das Unternehmen selbst gefragt, um entsprechende Verantwortlichkeiten und Prozesse zu beschreiben.  In der Regel werden hier zum Beispiel IT, Data Owner oder Fachbereiche hinzugezogen. Diese beantworten gemeinsam die Fragen. welche Verantwortlichkeiten beispielsweise lesenden oder schreibenden Zugriff auf bestimmte Daten bekommen sollen.

Jeden Prozess definieren?

In der Praxis gibt es sehr unterschiedliche Prozesse bei der Vergabe von Berechtigungen, Useranlagen, Usersperrungen etc. Seien es nun irgendwelche Software Werkzeuge wie IDM Tools, Telefonprozesse, E-Mails oder sonstige Papier Prozesse. Ob diese Prozesse gut oder schlecht sind, muss jedes Unternehmen für sich beantworten. Wichtig ist nur, dass solche Prozesse definiert werden und auch zu Papier gebracht werden. Denn es ist egal ob der Prozess gut oder schlecht ist. Solange nicht dokumentiert ist, wie die Kommunikation von Anforderungen erfolgt, kann auch keine Diskussion stattfinden, ob Sie einen vorhandener Prozess optimieren wollen oder nicht. Nicht empfehlenswert ist es, Prozesse aufzunehmen, die inhaltlich unsinnig oder widersprüchlich sind. Nicht gesetzeskonforme Prozesse und ohne Priorität auf Verbesserung sollten Sie auch nicht mit aufnehmen. Dadurch wäre das Konzept inhaltlich widersprüchlich gestaltet.

harmes_180x227
„Ich helfe Ihnen bei der Optimierung der SAP Sicherheit und Reduzierung der täglichen Betriebsaufwände.“
Senior Architekt Tobias Harmes
In unserem Strategieworkshop SAP Berechtigungen entwickeln unsere Senior-Architekten für Sie eine Strategie zur Optimierung der SAP Sicherheit und Reduzierung der täglichen Betriebsaufwände – gerade auch in Hinblick auf S/4HANA sowie dem Betrieb von SAP Cloud Anwendungen.
Strategieworkshop SAP Berechtigungen

 

Fazit und Ausblick

Gut durchdachte und sauber ausgeführte Berechtigungskonzepte sind für jedes Unternehmen notwendig, um hohe IT-Sicherheitsstandards zu erreichen und Compliance-Anforderungen zu erfüllen, um damit finanziellen Schaden und Reputationsschaden abzuwenden.

Da sich Unternehmen in ständiger Veränderung befinden, verliert jedes noch so gut konzipierte Berechtigungskonzept mit der Zeit an Qualität. Verändern sich Organisationsstrukturen, rechtliche Rahmenbedingungen oder Wettbewerbssituationen, muss dies auch in einem Berechtigungskonzept abgebildet werden. Daher ist es unumgänglich, sich in regelmäßigen Abständen kritisch mit der Berechtigungsstruktur auseinanderzusetzen und gegebenenfalls ein Redesign einzuleiten. So ist eine Gefahrenabsicherung nach außen und innen gewährleistet.

Eine Steigerung der Sicherheit kann durch die parallele oder nachgelagerte Einführung eines Internen Kontroll-Systems (IKS) für SAP Security erreicht werden. Dies kann dann als langfristige Sicherungsmaßnahme die Durchsetzung der aufgestellten Richtlinien und Vorgaben teil- oder vollautomatisch kontrollieren.

War das hilfreich für Sie? Haben Sie Ergänzungen? Wir freuen uns über einen Kommentar auf dieser Seite.

E-Book SAP Berechtigungskonzept

Wozu ein Berechtigungskonzept? Welche Elemente enthält es idealerweise & welche Tools erleichtern das Berechtigungsdesign?


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Ein Kommentar zu "SAP Berechtigungskonzept"

Gute Vorgehensmethode.

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support