Checkliste zur Vorbereitung eines SAP Berechtigungsdesigns
Autor: Tobias Harmes | 17. Februar 2021
In Ihrem Unternehmen steht ein Berechtigungsredesign an? Mithilfe unserer Checkliste für ein SAP Redesign-Projekt können Sie die wichtigsten Schritte im Vorhinein durchführen und abhaken.
SAP Berechtigungsredesign vorbereiten
Ein Berechtigungsredesign im SAP-System kann aus Gründen der Sicherheit und Compliance unabdingbar werden. Wenn Sie ein System betreiben, das historisch gewachsen ist, macht es Sinn, unter den Berechtigungen “aufzuräumen”. Dieser Prozess kann durchaus sehr komplex werden. Verantwortlichkeiten müssen geklärt werden, kritische Berechtigungen ausgeschlossen und Ansprechpartner definiert werden.
Damit das Redesign auch nachhaltig bleibt, haben wir unsere Erfahrungen aus Kundenprojekten gesammelt und eine Checkliste erstellt. Diese können Sie zur Vorbereitung für das SAP Berechtigungsdesign nutzen.
Die folgenden Fragen sollten Sie für Ihr Unternehmen beantworten können:
Sind die Ziele des Berechtigungsredesigns vollständig erfasst worden?
Zum Beispiel: Umsetzung neuer Compliance-Anforderungen, Behebungen von Feststellungen, Beschleunigung der Antragsprozesse, etc.
Sind alle Stakeholder erfasst und informiert worden?
Bei einem Berechtigungsredesign müssen viele Gruppen und Personen in der Organisation mitbedacht werden. Typisch sind dabei unter anderem: Betriebsrat, Auditoren, Revision, IT und Fachabteilungen. Hier sollte sichergestellt werden, dass die Kommunikation und Abstimmung von Anfang an passt.
Passt der Projekt-Zeitplan zum Betriebskalender?
Konflikte wie Testphasen während einer Betriebsruhe oder Go-Live zum Quartalsabschluss müssen identifiziert werden. Dafür sollte der Zeitplan, der für das Projekt angesetzt wird, mit den anderen Betriebsvorgängen abgestimmt werden.
Wurde ein SAP Security Check vor und nach dem Berechtigungsredesign eingeplant?
Ein geplanter Check ist sowohl vor als auch nach dem Redesign sinnvoll. Zum einen können dadurch Ergebnisse noch in die Anforderungen einfließen, zum anderen kann darüber der Erfolg des Projekts gemessen werden. Somit ist ein Check in beiden Phasen empfehlenswert.
Sind alle Mängel am Berechtigungskonzept in eine Anforderungs-Liste überführt worden?
Typischerweise finden sich durch interne oder externe Prüfungen Mängel am Berechtigungskonzept. Diese können bereits in den Checks, aber auch im späteren Verlauf festgestellt werden. Damit sie zukünftig nicht wieder auftreten, sollten sie als Anforderung genannt und eingearbeitet werden.
Ist die Aufzeichnung von genutzten Transaktionen aktiviert worden (ST03N)?
Durch die Aufzeichnung von genutzten Transaktionen können echte Nutzungsdaten erhoben werden. Auf der Basis dieser Daten können neu Rollen entwickelt werden – Unsere Empfehlung für den Zeitraum liegt hier bei 13 Monaten.
Ist eine Key User-Liste mit Ansprechpartnern definiert worden?
Wichtig ist, Ansprechpartner für die jeweiligen Module und Applikationen im SAP zu definieren. Das fokussiert einerseits die Verantwortung und Konzentration der zuständigen Person, macht es aber auch für Beteiligte oder Externe einfacher, gezielte Fragen zu stellen und Vorschläge zu machen.
Bei verteilten Standorten: Sind lokale Ansprechpartner definiert worden?
Präsenz-Termine sind hier schwierig, doch umso wichtiger ist es, jemanden vor Ort als direkten Ansprechpartner für das Berechtigungsredesign zu haben.
Ist die spätere Verwendung eines Berechtigungstools oder IdM-Tools geplant?
Gegebenenfalls können schon sehr günstige Projekte große Fortschritte zeigen. Gerne können wir Sie mit einer Beratung für das passende Tool im Bereich Identity Management oder Berechtigungen unterstützen.
Sind speziell schützenswerte Daten definiert worden?
Eventuell liegen in Ihren Betrieb Daten vor, die einen besonderen Schutz bekommen sollten. Ein Beispiel sind etwa HR-Module auf dem System, Kundendaten, Preisinformationen oder CAD-Konstruktionsdaten. Für diese müssen Sie eventuell eigene Anhänge im Berechtigungskonzept einplanen.
Gibt es Pläne, Geschäftsprozesse und Berechtigungen zeitgleich zu ändern?
Auch bei guter Planung lassen sich Überschneidungen von Prozessen manchmal nicht vermeiden. Sollte das der Fall sein, muss ein hohes Risiko kalkuliert und in jedem Fall der Testaufwand größer geplant werden.
Sind all diese Punkte auf der Liste abgehakt, können Sie Ihr Berechtigungsredesign guten Gewissens starten. Die komplette Checkliste als PDF zum Downloaden und Abhaken finden Sie hier: