Fiori, Findings, Lizenzkosten: SAP Berechtigungen unter S/4HANA – mit Jonas Krüger
Autor: Tobias Harmes | 7. April 2026
In dieser Folge des SAP-IT-Podcasts spreche ich mit Jonas Krüger, Bereichsleiter SAP-Security-Consulting bei mindsquare, darüber, warum das Thema Berechtigungen mit dem S/4HANA-Go-Live in vielen Unternehmen noch nicht sauber gelöst ist. Wir klären, weshalb Berechtigungen im Projekt oft zunächst nur so umgesetzt werden, dass der Betrieb starten kann, welche strukturellen Probleme sich erst im Alltag zeigen und warum ein tragfähiges Berechtigungskonzept weit mehr ist als ein technisches Randthema.
…zum Anschauen
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/@sap-it-podcast
…zum Hören
…zum Lesen
Warum das Thema nach dem Go-Live oft erst richtig beginnt
In vielen S/4HANA-Projekten stehen kurz vor dem Go-Live verständlicherweise andere Themen im Vordergrund. Berechtigungen werden häufig erst einmal zum Laufen gebracht und im Nachgang sauber nachgezogen. Genau daraus entsteht jedoch in der Praxis oft der eigentliche Handlungsbedarf.
Erst nach dem Go-Live zeigt sich, ob das Konzept wirklich zur neuen Systemwelt, zur geänderten Prozesslogik und zur Aufbauorganisation passt. Viele Unternehmen merken daher erst im laufenden Betrieb, dass Berechtigungen zwar grundsätzlich funktionieren, aber zu viel Aufwand verursachen, unübersichtlich geworden sind oder mit Fiori und neuen Transaktionen nicht sauber zusammenspielen.
Typische Ausgangslage: historisch gewachsen, unübersichtlich und aufwendig
Jonas beschreibt eine Situation, die vielen Unternehmen bekannt vorkommen dürfte: Rollen und Berechtigungen sind über Jahre gewachsen, neue Anforderungen wurden immer wieder pragmatisch ergänzt und niemand möchte die alten Strukturen anfassen, weil sie kaum noch verständlich sind. So entsteht ein Wildwuchs, der im Alltag teuer und immer komplexer wird.
Besonders sichtbar wird das bei Änderungen, neuen Benutzern oder Fachbereichsanfragen. Dann ist oft nicht klar, in welche Rolle eine Anpassung gehört, welche anderen Nutzer davon betroffen sind oder ob man identische Berechtigungen einfach kopiert. Was technisch noch läuft, ist organisatorisch längst nicht mehr sauber aufgesetzt.
Wir helfen SAP Kunden, ein neues Berechtigungskonzept einzuführen, dass den Prüfer zufriedenstellt und im Betrieb reibungslos funktioniert.
Drei Auslöser, warum Unternehmen das Thema jetzt anpacken
Im Podcast führt Jonas drei typische Anlässe auf, warum Unternehmen Berechtigungen unter S/4HANA neu betrachten.
Erstens: Dazu zählt zunächst das neue SAP-Lizenzmodell. Jonas beschreibt, dass sich die Vermessungslogik in neuen S/4HANA-Verträgen weg von einer nutzungsbasierten und hin zu einer berechtigungsbasierten Sicht entwickelt. Entscheidender ist also, was ein Anwender tun könnte – nicht nur, was er tatsächlich tut. Zu viele Berechtigungen können damit unmittelbar teuer werden.
Zweitens: Ein weiterer Auslöser ist die fehlende Übersichtlichkeit. Wenn Rollen historisch gewachsen sind, wird jede Anpassung zum Risiko und jede Benutzeranlage zum manuellen Suchspiel.
Drittens: Auch Audit-Findings zählen als typischer Auslöser. Unter S/4HANA schauen Prüfer nicht nur auf SAP_ALL, sondern auf SoD-Konflikte oder Überberechtigungen. Spätestens dadurch entsteht aus einem Störgefühl ein konkreter Handlungszwang.
Warum S/4HANA das Thema eher komplexer macht
Ein zentrales Thema ist Fiori. Die Erwartung aus den Fachbereichen lautet oft: „Schaltet uns einfach das Gleiche frei, was wir aus den Transaktionen kennen – nur eben als Fiori-App.“ Genau so funktioniert es aber nicht. Zwischen klassischen Transaktionen und Fiori-Apps gibt es kein 1:1-Mapping.
Dadurch entsteht zusätzlicher Abstimmungsbedarf. Es braucht fachliche Entscheidungen darüber, welche App in welchem Prozess wirklich die richtige ist. Gleichzeitig bleibt die klassische Berechtigungswelt mit PFCG (Profile Generator) bestehen, während mit Fiori weitere Ebenen dazukommen. Jonas beschreibt das sehr klar: Die Komplexität sinkt unter S/4HANA nicht, sie steigt eher.
Hinzu kommt, dass viele Unternehmen ihre bisherigen Berechtigungsadmins mit diesen neuen Anforderungen zusätzlich belasten. Wer bislang vor allem in der PFCG gearbeitet hat, muss sich oft erst in die Fiori-spezifischen Themen einarbeiten. Manche Unternehmen schaffen dafür sogar neue Rollen, etwa im Sinne eines Fiori-Architekten.
Nach dem S/4HANA Go-Live tauchen sie oft erst richtig auf: kritische Berechtigungen, Audit-Findings und unerwartet hohe Lizenzkosten durch berechtigungsbasierte Lizensierung. In diesem Webinar zeigen wir anhand realer Kundenbeispiele, welche Probleme typischerweise entstehen, wie wir sie gelöst haben und welche 5 Maßnahmen Sie einsetzen können, um das zu vermeiden.
Quick and Dirty löst selten das eigentliche Problem
Natürlich versuchen viele Unternehmen, sich zunächst pragmatisch zu helfen. Jonas nennt als typisches Beispiel Delta-Rollen, in die alles integriert wird, was noch fehlt. Kurzfristig wirkt das wie eine praktische Abkürzung. Langfristig entstehen dadurch jedoch oft ein zweites Berechtigungskonzept im selben System oder zusätzliche Überberechtigungen.
Aus Compliance-, Audit- und Sicherheitssicht ist das riskant. Vor allem löst es nicht das Grundproblem: Die Struktur bleibt unklar, Änderungen werden immer aufwendiger und der Betrieb deshalb nicht robuster, sondern anfälliger.
Wie ein sauberer Lösungsweg aussieht
Entscheidend ist deshalb die Frage, wie Unternehmen aus einer solchen Situation wieder herauskommen. Laut Jonas können Tools dabei helfen, dennoch lösen sie das Problem nicht allein: „Ein Kran hilft beim Hausbau, aber kein Kran baut das Haus von selbst.“
Entscheidend sind daher Analyse, Anforderungsdefinition und Testing. Bei Bedarf kann Jonas Team diesen Prozess vollständig begleiten: In der Konzeptionsphase führen sie gemeinsam mit den Fachbereichen Workshops durch. Dabei wird ausgewertet, was in den vergangenen Monaten tatsächlich genutzt wurde – sowohl bei Transaktionen als auch bei Fiori-Apps. Daraus entsteht ein Vorschlag für Rolleninhalte, der zur realen Aufbauorganisation, zu Teams und Tätigkeiten passt.
Wenn sich in Analyse und Vorgesprächen zeigt, dass das bestehende Konzept nicht mehr zur Organisation passt, ist ein echtes Redesign meist sinnvoller als weitere Insellösungen.
Und was ist mit ChatGPT & Co.?
KI kann heute bereits gut bei Texten und Dokumentation helfen. Auch in Projekten wird sie genutzt, etwa für Rollendokumentationen. Was sie aktuell nicht ersetzt, ist die eigentliche Umsetzungsarbeit im System.
Ein per KI erzeugtes Berechtigungskonzept kann schnell wie ein schlüssiges Dokument wirken, passt aber nicht automatisch zur realen Umsetzung im Unternehmen. Rollen pflegen, Berechtigungen in der PFCG ändern oder ein sauberes Zielbild aufbauen bleibt konkrete Projektarbeit: „Das fertige Berechtigungskonzept inklusive Rollen kommt Stand heute, noch nicht per One-Liner aus dem Prompt.“
Fazit
Unter S/4HANA muss man Berechtigungen nicht nur technisch verwalten, sondern strukturell neu denken. Wer das Thema zu lange nur pragmatisch repariert, zahlt später oft doppelt – für Aufwand, Audit-Risiken und im Zweifel auch für Lizenzkosten.
