SAP Berechtigungsredesign: Welchen Sinn machen Tools?
Autor: Tobias Harmes | 25. April 2019
Wenn eine Erneuerung von SAP Berechtigungen notwendig wird, kommt auch schnell die Frage auf, ob nicht auch ein Tool eingeführt werden sollte. Dazu kommt: es gibt viele Stellen, wo ein neues Konzept sowohl vor der Einführung als auch noch Monate später scheitern kann. Was können Tools an dieser Stelle leisten?
Warum verliert ein SAP Berechtigungskonzept mit der Zeit an Qualität?
Um über den Sinn von Tools zu sprechen, lohnt es sich zunächst über die Ursache von mangelhaften Berechtigungen in einem SAP System zu sprechen. Folgende Probleme haben wir bei vielen Unternehmen entdecken können:
- Der wichtigste Punkt: es gibt keinen einheitliches Konzept. Wenn ich zwei Kollegen aus dem Betrieb fragen und drei Antworten bekomme, befindet sich die Berechtigungsqualität vermutlich gerade im freien Fall.
- „Gleiche Berechtigungen wie Herr Müller“. Wenn zum Beispiel ein Auszubildender, der einen Einblick in alle Unternehmensbereiche erhalten soll, jedes Mal die Berechtigung von Mitarbeiter XY aus der Abteilung erhält (ohne die alten zu entrechten oder die Rollen nur bis zu einem gewissen Datum zu vergeben) führt das am Ende der Ausbildung dazu, dass er ein SAP ALL ähnlicher User ist.
- „Kannst du bitte mal eben“-Berechtigungen: Wenn nach dem Rollout des Konzeptes der User eine kritische Transaktion wie die SE16 wünscht und diese auf Druck oder aus fehlenden, verbindlichen Vorgaben vergeben wird.
- Der Wissenstransfer zwischen dem Projektteam, welches das Konzept erstellt sowie umgesetzt hat und der Organisation, die die Arbeit zukünftig übernehmen soll, hat nicht vollständig funktioniert. Dies führt dazu, dass der Betrieb aus Unkenntnis dafür sorgt, dass bei der Berechtigungsvergabe das Konzept untergraben wird.
SAP Berechtigungsredesignworkshop mit dem Fachbereich
In unserem zweitägigen Redesignworkshop beschäftigen wir uns mit der Abstimmung von Funktionsrollen für die Fachbereiche Ihres Unternehmens.
Aber auch wenn keines der oben genannten Szenarien zutrifft, verliert das Berechtigungskonzept mit der Zeit an Qualität. Der Grund hierfür ist, dass das Berechtigungskonzept für den aktuellen Zustand des Unternehmens konzipiert wird, doch das Unternehmen sich in ständiger Weiterentwicklung befindet. Zum Beispiel durch Organisationsänderungen (Übernahme von anderen Unternehmen, …), Änderung der Gesetzeslage oder durch das Antizipieren von Veränderungen im Wettbewerbsumfeld. Wenn das Konzept nicht auch die Veränderung berücksichtigt, kann es schnell dazu kommen, dass das Berechtigungskonzept nicht mehr ausreicht, um selbst gesteckte Sicherheitsziele zu erfüllen.
Was tun, wenn die SAP Berechtigungen nicht mehr den Qualitätsansprüchen genügen?
Wenn einer der zuvor genannten Punkte im Unternehmen zutrifft, sollten weitere Fragen gestellt werden. Ob bei den Berechtigungen wirklich Markt-Mindeststandards unterboten werden, kann zum Beispiel extern geprüft werden. Anhand des Ergebnis einer solchen Prüfung kann entschieden werden, „ob noch etwas zu retten ist“ bzw. was das Unternehmen für Schritte richtig eines besseren Berechtigungskonzepts unternehmen könnte.
Ist der Einsatz eines SAP Berechtigungstools für mein Unternehmen lohnenswert?
Allgemein stellt sich die Frage, ob der Einsatz eines SAP Berechtigungstools lohnenswert ist und ob sich die Investition in ein Tool auch rentiert. Leider gibt es selten die Möglichkeit über einen ROI-Rechner ein Tool als Tool-gegen-Geld sparen Rechnung zu begründen. Oft ist es so, dass das Tool zwar repetitive Aufgaben für ein Berechtigungs-Redesign abnehmen kann (und deutlich beschleunigen kann), gleichzeitig aber auch oft neue regulatorische Prozesse abgebildet werden müssen. Kurz: ein Tool hilft dabei schneller und sicherer Berechtigungen zu entwickeln – bei gleichen Kosten. Wirklich günstiger wird es aber normalerweise nicht.
Manchmal hilft zur Begrenzung der Kosten auch der Weg über die Miete. Denn es werden für die meisten Tools zwei Möglichkeiten angeboten:
- Lizenzkauf nach Anzahl der SAP User
- Miete des Tools je nach Projektnutzung (Anzahl der User) und Projektdauer
Der Preis variiert je nach Anzahl der Dialogbenutzer und der Projektdauer (bei Miete).
Was für ein Nutzen verspricht mir das Berechtigungstool?
Nehmen wir als Beispiel ein Tool, dass wir häufig in SAP Redesigns verwenden, die XAMS, die Authorizations Management Suite von der Firma Xiting (XAMS).
Mit dem Einsatz des Tools werden die klassischen Einführungsprobleme, wie zu hoher Aufwand für die Fachbereiche (Ressourcenmangel), fehlendes Know-How im Fachbereich (bzgl. welche Berechtigungen überhaupt benötigt werden) oder auch die Fehlerquote durch schlechtes Testing, behoben bzw. diesen entgegengewirkt. Außerdem ist es möglich, die Sicherheit zu erhöhen, indem die existierenden Berechtigungsprüfungen optimiert werden und auf fehlende Berechtigungsprüfungen in Eigenentwicklung hingewiesen wird.
Der größte Nutzen des Berechtigungstools ist jedoch die Zeiteinsparung und Unterstützung bei der Abfederung der Auswirkung einer Umstellung von Berechtigungen. Mit einem Berechtigungstool kann ein SAP Berechtigungsredesign-Projekt um bis zu 75% schneller abgeschlossen werden.
Wodurch erfolgt die Zeitersparnis?
Mit Hilfe einer produktiven Testsimulation ist es möglich, die Testaktivitäten während des normalen Betriebs durchzuführen. Jeder Benutzer hilft im Tagesbetrieb die neuen Berechtigungen realistisch zu simulieren – ohne Mehrarbeit und völlig ohne dass der Anwender hier etwas selbst unternehmen muss. Hierdurch werden die Ressourcen, die zum Testen bereitgestellt werden, eingespart und es bringt eine enorme Zeitersparnis bei der Lösung von Berechtigungsproblemen.
Durch die Möglichkeit eines Protected Go-Live wird sichergestellt, dass es im produktiven Betrieb zu keinerlei Ausfallzeit kommt, da die Benutzer immer in der Lage sind, sich mit Hilfe eines Workflows ihre alten Berechtigungen für einen bestimmten Zeitraum wiederzuholen.
Darüber hinaus können mit dem Tool Rollen mit geringem Aufwand erstellt werden und es lassen sich Änderungen in den Rollen gut überwachen. Dementsprechend ist ein Tool hilfreich, um die Anforderungen (wie z. B. Wartbarkeit, Skalierbarkeit usw.) an den SAP Berechtigungen gerecht zu werden.
Eine weitere nützliche Funktion ist der Security Architect. Mit dieser Funktion ist es möglich, zu jeder Zeit ein einheitliches, aktuelles Sicherheitskonzept aus dem System zu generieren. Somit kann dem Prüfer adhoc der Ist-Zustand des Systems präsentiert werden. So kann auch im Laufe der Zeit immer wieder überprüft werden, ob eventuell die Qualität der SAP Berechtigungen sinkt und es können unmittelbar Gegenmaßnahmen ergriffen werden.
Fazit
Um die Sicherheit im Unternehmen nachhaltig gewährleisten zu können, müssen neu Anforderungen schnell und skalierbar in Berechtigungen abgebildet werden. Mit Hilfe eines SAP Berechtigungsredesigns ist es möglich, die Qualität eines Berechtigungskonzeptes massiv zu erhöhen und Ihnen somit Sicherheit für die nächste Wirtschaftsprüfung / IT-Prüfung zu geben. Tools können dabei einen nennenswerten Beitrag leisten und sollten bei jeder größeren Änderung von Berechtigungen in Betracht gezogen werden.
Weiterführende Links zum Thema SAP Berechtigungen
SAP Berechtigungskonzept: https://rz10.de/knowhow/sap-berechtigungskonzept/
SAP Berechtigungstools: https://rz10.de/knowhow/sap-berechtigungstools/
Berechtigungsverhalten nach SAP Upgrade: https://rz10.de/sap-berechtigungen/verhalten-von-berechtigungen-nach-sap-upgrades/
KnowHow SAP Update/Upgrade: https://rz10.de/knowhow/sap-update-upgrade/
Update 25.04.2019: Aktualisierung Links und Quellen.
Ein Kommentar zu "SAP Berechtigungsredesign: Welchen Sinn machen Tools?"
Link auf e-Book aktualisiert: https://rz10.de/sap-berechtigungstools/e-book-sap-berechtigungstools/