In 6 Schritten zu besseren SAP Berechtigungen
Autor: Lucas Hoppe | 19. September 2023
SAP kann nur mit zu den jeweiligen Anforderungen passenden Berechtigungen sein volles Potenzial entfalten. Ein gut durchdachtes Berechtigungskonzept kann dabei helfen. Wie so ein Projekt in sechs Schritten ablaufen kann, erfahren Sie im Artikel.
Kein erfolgreiches Projekt ohne gute Vorbereitung
Bevor Sie in das eigentliche Redesign starten, bedarf es einer guten Vorbereitung. In dieser wird das gesamte Projekt geplant und konzipiert. Dazu eignen sich Workshops oder Interviewformate, in denen alle notwendigen Informationen gesammelt werden. Hierzu zählen das Ausgangs- und Zielbild, der Projektscope sowie ein Zeitplan. Außerdem gehört eine Aufwands- und Kostenplanung für jede einzelne Phase dazu. So erhalten Sie eine detaillierte und individuell angepasste Projektplanung.
1. Berechtigungskonzept erarbeiten
Das Berechtigungskonzept bildet die Grundlage für Ihr Redesign. Daher sollten sich genau überlegen, wie die neuen Berechtigungen aussehen sollen. Das Berechtigungskonzept beinhaltet unter anderem rechtliche Rahmenbedingungen, Verantwortlichkeiten, Namenskonventionen, Prozesse für Benutzer- und Berechtigungsmanagement, Sonderberechtigungen sowie ein Rollenkonzept. Das Dokument ist zudem für Auditoren und Wirtschaftsprüfer von Bedeutung.
2. Funktionsrollen entwerfen
Die Funktionsrollen fassen die Berechtigungen für eine Funktion zusammen. Um diese zu erstellen, gruppieren Sie zunächst die zu einer Funktionsrolle gehörenden Mitarbeiter und extrahieren pro Gruppe alle von den Mitarbeitern genutzte Transaktionen aus dem System. Die daraus resultierende Liste bildet dann die erste Version Ihrer Funktionsrollen.
3. Fachbereichs-Workshops durchführen
Im Folgenden kommt es zum direkten Austausch mit jeder einzelnen Abteilung. In diesen Terminen prüfen Sie die vorher erstellte Liste und entscheiden, welche Transaktionen ergänzt oder entfernt werden sollen. Der Fachbereich kennt die alltägliche Arbeit genau und kann daher bei der Optimierung der Funktionsrollen unterstützen.
Des Weiteren geht es um Themen, wie die Festlegung von Rollenverantwortlichkeiten, von Transaktionen, die andere Bereiche gar nicht oder nur nach Rücksprache nutzen dürfen sowie Einschränkungen auf Organisationsebenen. Außerdem prüfen Sie die Rollen auf kritische Transaktionen und Funktionstrennungskonflikte. Auf diesem Austausch basierend wird dann eine zweite Version der Funktionsrollen angelegt.
4. Simulation durchführen und neue Rollen aufbauen
In diesem Schritt weisen Sie den Nutzern bereits die neu definierten Funktionsrollen zu, entziehen ihnen aber noch nicht die alten Rollen, sodass Ihre Mitarbeiter wie gewohnt arbeiten können. Nun läuft im Hintergrund ein Tracking, das festhält, wenn der Benutzer eine Berechtigungsprüfung durchläuft. Wenn diese Berechtigung nur in der alten, aber nicht in der neuen Rolle vorhanden ist, wird das als Delta gespeichert und in die neue Rolle eingebaut. So können Sie die neuen Funktionsrollen simulieren, ohne die Arbeitsabläufe Ihrer Mitarbeiter zu beeinträchtigen.
Erfahren Sie im Webinar, warum ein durchdachtes Berechtigungskonzept unverzichtbar ist, um Ihre Unternehmensdaten zu schützen und den Zugriff auf SAP-Systeme optimal zu steuern.
Der Einbau erfolgt in zwei Schritten: Zunächst werden die SU24-Vorschlagswerte geupdatet und angepasst. Darauf folgt die Feinausprägung, das heißt die Ausprägungen der noch fehlenden Berechtigungen. So erhalten Sie am Ende dieses Schrittes eine neue SU24-Datenbank sowie voll ausgeprägte und funktionsfähige Rollen.
5. Rollen validieren
Vor dem Go-Live sind eine Qualitätskontrolle und eine Generalprobe erforderlich. Außerdem sollten Sie die Tracedaten aller Benutzer auf fehlende Berechtigungen prüfen. Mit Negativtests können Sie feststellen, ob an bestimmten Stellen zu viele Berechtigungen vergeben wurden und diese daraufhin einschränken. Somit sind die Rollen nun bereit für einen störungsfreien Go-Live.
6. Go-Live mit Hypercare
Vor dem GoLive sollten Sie ein Sicherheitsnetz in Form eines workflowbasierten Self-Service, mit dem sich Benutzer für bestimmte Zeit alte Berechtigungen regenerieren können, einrichten. So stellen Sie sicher, dass keine wichtigen Geschäftsprozesse ausfallen. Sie können den GoLive zusätzlich gestaffelt gestalten. Dabei ist es sowohl möglich, die alten Berechtigungen abteilungsweise zu entziehen, als auch die neuen Funktionsrollen nur auf einen Teil der jeweiligen Abteilung anzuwenden. Dadurch bleibt die Abteilung immer zumindest teilweise funktionsfähig und es kommt nicht zu einem Totalausfall. Außerdem ist ein direkter Übergang in den Hypercare zur intensiven und schnellen Betreuung von Berechtigungsproblemen empfohlen. So wurde nun das Berechtigungskonzept final umgesetzt und das Projekt abgeschlossen.
Fazit: Mit guter Planung können Sie Ihre SAP Berechtigungen problemlos optimieren
Bei Befolgung dieser Schritte greifen Sie auf eine detaillierte Planung zurück und bauen essenzielle Sicherheitsnetze in Ihre Umsetzung ein, sodass Fehler schnell behoben werden können und die produktive Arbeit kaum beeinträchtigt wird. So können Sie also Ihre SAP Berechtigungen ohne große Risiken leicht verbessern. Wenn Sie mehr über die Nutzung von SAP und die beinhalteten Rollen erfahren wollen, schreiben Sie uns gerne eine Mail an info@rz10.de.
Ihr Plan für bessere SAP Berechtigungen
In dem Strategieworkshop SAP Berechtigungen entwickeln wir für Sie eine Strategie zur Optimierung der SAP Sicherheit und Reduzierung der Betriebsaufwände.
