Manueller Aufwand mit SAP Berechtigungen – warum ist das so kompliziert?

Autor: Luca Cremer | 1. März 2021

32 | #leserfrage, #RedesignBerechtigungen

Oft höre ich von meinen Kunden, dass der Umgang mit SAP Berechtigungen, den Konzepten und Prozessen und dem täglichen Management mit einem hohen Invest einhergeht. Doch warum ist manueller Aufwand bei Berechtigungen notwendig? Wie kriege ich es hin, dass meine Mitarbeiter wieder mehr Zeit für die wichtigen Dinge und das Projektgeschäft haben?

Aufwandstreiber im Berechtigungskontext

Für den Überblick habe ich Ihnen die größten Aufwandstreiber im täglichen Doing einmal aufgeführt:

  • Tägliche Bearbeitung von Rollenanpassungen
  • Suchen der passenden Rolle für eine Anforderung
  • Unklare Anforderungen von Mitarbeitern, wie z.B.: „Ich benötige alle Rechte, um den Einkaufsprozess durchzuführen“
  • Gleichzeitiges Einhalten von Vorgaben der Revision oder externen Prüfern
  • Unklare Freigabeprozesse: „Darf dieser Mitarbeiter überhaupt Berechtigung XYZ erhalten?“
  • Damit einhergehend ein sehr hoher Kommunikationsaufwand
  • Historisch gewachsene Berechtigungen – Überblick geht verloren
E-Book S/4HANA Berechtigungen

E-Book: S/4HANA Berechtigungen

Im E-Book erhalten Sie Knowhow und Tipps, um Fiori und S/4HANA richtig zu berechtigen.

Das sind die ersten Beispiele, die mir dabei in den Kopf kommen. Haben Sie diese Aufwandstreiber bereits selbst erlebt oder von Ihren Mitarbeitern davon gehört? Tatsächlich höre ich in den ersten Telefonaten oder Workshops mit unseren Kunden sehr häufig eine Aussage wie die Folgende:

„Unsere Berechtigungen sind über die Jahre gewachsen. Mittlerweile hat keiner mehr einen Überblick darüber, welche Rollen es überhaupt alles gibt. Mein manueller Aufwand steigt von Tag zu Tag.“

Später im Beitrag gehe ich noch auf die Möglichkeiten ein, welche Sie jetzt haben, um den manuellen Aufwand erheblich zu reduzieren.

Komplexität von SAP Berechtigungen

Wie kommt es überhaupt dazu, dass dieses Thema so komplex ist und sich manueller Aufwand nach und nach erhöht? Die grundlegende Komplexität von SAP Berechtigungs- & Benutzermanagement lässt sich tatsächlich relativ leicht an ein paar Zahlen erklären.

In einem SAP-System gibt es ca. um die 100.000 Transaktionen. Ein kurzer Check der Tabelle TSTC auf unserem Testsystem bestätigt das:

Um die Komplexität von SAP Berechtigungen zu messen, ist noch relevant, was denn tatsächlich abgeprüft wird. Eine valide Zahl hierzu ist die Anzahl der Vorschlagswerte von Berechtigungsausprägungen für Transaktionen. In unserem System sind das über 300.000 Stück. 300.000 Vorschläge von der SAP für Ausprägungen von Berechtigungsobjekten basierend auf dem SAP Standard!

Das kann nicht einmal der erfahrenste SAP Berechtigungsadministrator auswendig wissen und im Alleingang handeln. Zumal viele Kunden von uns die SU24 und damit die Vorschlagswerte der SAP nicht nutzen. Stattdessen wird ein hoher manueller Aufwand betrieben, um die Rollen zu pflegen.

SAP Berechtigungen sind nur der Anfang

Die Ausprägungen von Berechtigungsobjekten sind nur ein Teil des großen Puzzles. Manueller Aufwand im SAP Berechtigungskontext kommt häufig auch durch fehlende Prozessdefinitionen, unklare Verantwortlichkeiten und Freigaben zustande. Hierzu als Beispiel der klassische User-Lifecycle-Prozess, welcher wiederum pro Schritt einer Aktion bedarf:

  • Eintritt in das Unternehmen ⇾ Zugänge zu Systemen anlegen, Planstelle zuweisen, Berechtigungen zuweisen und ggfs. anpassen
  • Wechsel der Abteilung / Funktionsbereich ⇾ Berechtigungen / Rollen müssen angepasst werden, Planstelle und Funktionen anpassen
  • Austritt aus dem Unternehmen aus ⇾ Berechtigungen entfernen, User sperren

Auch hier fällt im Standard wieder ein großer manueller Aufwand im Benutzer- & Berechtigungswesen an.

In diesem Webinar erfahren Sie, wie Sie Ihr SAP System absichern und die Benutzerberechtigungen skalierbar und nachvollziehbar aufbauen können. Der Schwerpunkt liegt auf ERP-Systemen in der Version ECC 6.0 und S/4HANA – gilt aber grundsätzlich für alle ABAP-basierten Systeme.

Manuellen Aufwand bei Berechtigungen reduzieren

Wie kann manueller Aufwand im täglichen Geschäft auf ein Minimum reduziert werden? Ein paar Möglichkeiten, habe ich hier für Sie aufgeführt:

  • Saubere Definition von User-Lifecycle-Prozessen
  • Definition von Rollenverantwortlichen im Fachbereich und Freigabeprozessen
  • Nutzen der  SU24-Vorschlagswerte
  • Ein klares Berechtigungskonzept definieren
  • Einmalige Überarbeitung aller vorhandenen Berechtigungen auf ein übersichtliches Rollenkonzept
  • Regelmäßige Kontrolle auf Einhaltung des Konzepts und Anforderungen der Revision

Über allen Punkten steht natürlich die Verwendung von Tools, welche den Aufwand erheblich erleichtern können. Dazu zählen Identity-Managemement-Tools (IDM), interne Kontrollsysteme (IKS), sowie Tools welche Ihre Mitarbeiter im täglichen Geschäft unterstützen, beispielsweise die Xiting Authorizations Management Suite (XAMS).

Andere Punkte lassen sich durch professionelle Beratung unterstützen wie z.B. die Definition von Prozessen und Verantwortlichkeiten. Für wieder andere Punkte, wie z.B. das Nutzen der SU24-Vorschlagswerte ist ggfs. eine Schulung notwendig, um die Best Practices sauber anwenden zu können.

Was können Sie jetzt tun?

Sie haben vielleicht selbst gemerkt, dass sogar dieser Blogbeitrag recht komplex geworden ist. Durch die vielen individuellen Möglichkeiten kann auch ich Ihnen nicht ohne Weiteres sagen, was Sie konkret tun können, um speziell bei Ihnen den manuellen Aufwand zu reduzieren.

In unserem Webinar „SAP ERP und S/4HANA Systeme besser berechtigen und schützen“ geben wir Ihnen wertvolle Tipps, um Ihre Berechtigungen besser auszustellen. Wenn Sie Fragen oder Beratungsbedarf haben, können Sie uns jederzeit eine Mail an info@rz10.de schreiben.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Luca Cremer

Autor

Luca Cremer

Fachbereichsleiter Security | Projektleiter | Security Consultant

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice