SAP Berechtigungskonzept
Ein SAP Berechtigungskonzept dient der Abbildung von einschlägigen Rechtsnormen und unternehmensinternen Regelungen auf die technischen Schutzmöglichkeiten innerhalb eines SAP-Systems. Berechtigungskonzepte sind somit der Schlüssel zum optimalen Schutz Ihres Systems. Sowohl nach außen als auch nach innen. Ein durchdachtes Berechtigungskonzept bietet Ihnen die Möglichkeit, wenig Aufwand in die Administration des Systems zu investieren und gleichzeitig alle rechtlichen Auflagen zu erfüllen.
Inhaltsverzeichnis
- SAP Berechtigungskonzept in 90 Sekunden
- Was sind Berechtigungskonzepte?
- Vorteile von Berechtigungskonzepten in SAP
- Struktur von SAP Berechtigungskonzepten
- Kapitel eines wirksamen Berechtigungskonzepts
- Arten und Formen des SAP Berechtigungskonzepts
- Durchführung eines Berechtigungsredesigns
- Templates
- Jeden Prozess definieren?
- Berechtigungskonzepte in S/4 HANA
- Kundenstimme zu Berechtigungskonzept mit den Experten von RZ10
- Fazit und Ausblick
- FAQ zu SAP Berechtigungskonzept
- Weiterführende Informationen
SAP Berechtigungskonzept in 90 Sekunden
Was sind Berechtigungskonzepte?
SAP Berechtigungskonzepte beschreiben die Zuweisung von spezifischen Berechtigungen an Benutzer oder Benutzergruppen in einem SAP-System. Diese Berechtigungen definieren, welche Aktivitäten und Daten ein Benutzer innerhalb des Systems einsehen oder bearbeiten kann. Dabei ist es wichtig, dass die Berechtigungen auf die tatsächlichen Bedürfnisse der Benutzergruppen abgestimmt werden, um ein hohes Maß an Sicherheit und Datenintegrität im System zu gewährleisten. Ein gut durchdachtes Berechtigungskonzept minimiert zudem das Risiko von Fehlern und Missbrauch durch unautorisierte Benutzer. Die Erstellung und Pflege von SAP Berechtigungskonzepten erfordert Erfahrung und Know-how im Bereich SAP-Sicherheit. Es ist daher empfehlenswert, Experten hinzuzuziehen oder Schulungen zu besuchen, um ein sicheres und effektives Berechtigungskonzept im SAP-System zu implementieren.
Vorteile von Berechtigungskonzepten in SAP
Ziel der Berechtigungskonzepte ist es, jeden Benutzer regelkonform mit den für seine Aufgabe benötigten Berechtigungen im SAP-System auszustatten. Ein gutes Berechtigungskonzept ist dabei der Grundstein für eine effiziente und kostengünstige Berechtigungsvergabe.
Anstatt jedem Mitarbeiter grundsätzlich alle Rechte einzuräumen, ist es sicherer, klare Berechtigungen zu verteilen. Durch die rollenspezifische Vergabe der Berechtigungen erhält jeder Mitarbeiter entsprechend seiner Aufgabe Zugriff auf das System.
Klare Berechtigungen sind dabei kein Zeichen von Misstrauen, sondern bieten einen Schutz für den Mitarbeiter. So können massive Schäden durch versehentliche Handlungen von Mitarbeitern verhindert werden. Ein Beispiel dafür ist das Aufheben einer Liefersperre oder eine falsche Verwendung einer Massenänderungsfunktion.
Berechtigungskonzepte stellen außerdem sicher, dass Mitarbeiter keine Bilanzen fälschen und sie so Stakeholdern und Steuerbehörden Schaden zufügen. Ein Missbrauch von Berechtigungen ist dadurch schwieriger. Damit schützen Sie Ihr Unternehmen vor erheblichen finanziellen Schäden sowie Reputationsschäden.
Struktur von SAP Berechtigungskonzepten
Eine perfekte Vorlage für ein rundum zuverlässiges Berechtigungskonzept existiert leider nicht. Das Konzept ist genauso individuell wie jedes einzelne Unternehmen. Dennoch gibt es Themen, die in einem Berechtigungskonzept berücksichtigt werden sollten. Dazu gehören das Ziel des Konzepts, rechtliche Rahmenbedingungen und Namenskonventionen. Außerdem sollten Verantwortlichkeiten, Prozess für das Benutzer- wie auch Berechtigungsmanagement dabei sein. Weitere wichtige Aspekte sind Sonderberechtigungen, Rollenkonzept, Notfallbenutzerkonzept und technische Schnittstellen.
Kapitel eines wirksamen Berechtigungskonzepts
Damit ein Berechtigungskonzept für Unternehmen wirksam und zielführend ist, sollte es bestimmte Inhalte aufweisen:
Für ein Berechtigungskonzept muss ein klares Ziel definiert sein, das mithilfe des Konzepts erreicht werden soll. Darin sollte aufgelistet werden, welche regulatorischen Auflagen das jeweilige SAP-System erfüllen und das dazugehörige Berechtigungskonzept berücksichtigen muss. Auf diese Weise werden die festgelegt.
Außerdem sind einheitliche Namenskonventionen sehr empfehlenswert. Denn einerseits ist vieles nach der Erstbenennung nicht mehr änderbar und andererseits kann man so die Suchbarkeit im SAP-System sicherstellen.
Mit klar definierten Verantwortlichkeiten gewährleistet man die Wirksamkeit eines Konzepts. In einem eigenen Abschnitt müssen konkrete Personen benannt oder zumindest Rollen festgeschrieben sein.
Ein Kapitel sollte dem Prozess für das Benutzermanagement gewidmet werden. Hier wird beschrieben, wie Anwender vorhandene Berechtigungen erhalten, wie neue Benutzer in das SAP-System integriert werden und wer für die Genehmigungen von Berechtigungen zuständig ist.
Im Kapitel zum Prozess für das Berechtigungsmanagement wird festgelegt, wer welche Rollen erstellen sowie bearbeiten kann. Außerdem wird bestimmt, wer für die Entwicklung von verschiedenen zugehörigen Prozessen verantwortlich ist.
In dem Kapitel zu Sonderberechtigungen werden Prozesse und Besonderheiten im Bereich Nicht-Dialog-Betrieb beschrieben und festgehalten. Dazu gehören unter anderem Job Management und Schnittstellenkonvention. Auch weitere administrative Berechtigungen können hier beschrieben werden.
Im Kapitel Rollenkonzept wird erläutert, wie fachliche Anforderungen auf eine technische Rolle übertragen werden. Das Rollenkonzept nimmt einen besonderen Stellenwert ein, da es die eigentliche Abbildung von betriebswirtschaftlichen Rollen auf die technischen Rollen und damit auf die Berechtigungen im SAP beschreibt.
Es gibt bestimmte Berechtigungen die kritisch und nicht unbedingt im Alltagsgeschäft notwendig sind. Hin und wieder benötigen manche Mitarbeiter allerdings diese weitreichenden Berechtigungen. Dafür eignet sich ein sogenanntes Notfallbenutzerkonzept. Hier kann man beispielsweise das Profil SAP ALL an einen Notalluser auslagern.
In dem Kapitel technische Schnittstellen sollten Sie beschreiben, welche RFC-Verbindungen es im System gibt und welche Usern diese verwalte. Sämtliche Schnittstellenbenutzer sollten ebenfalls mit in das Berechtigungskonzept aufgenommen werden.
Arten und Formen des SAP Berechtigungskonzepts
Grundsätzlich kann man zwischen drei Arten von Dokumenten unterscheiden. Diese gehen stellenweise ineinander über bzw. deren Begrifflichkeiten werden häufig vermischt. Das Eine ist das sogenannte SAP Rollenkonzept, das Zweite ist das SAP Berechtigungskonzept und zuletzt das SAP Sicherheitskonzept.
Das Rollenkonzept findet man häufig in Form eines Excel Files vor. Dieses beinhaltet die Rollen, die es grundsätzlich im System gibt und unterschiedliche Ausprägungen haben. Es ordnet diese beispielsweise irgendwelchen Verantwortlichkeiten, Modulen oder Fachbereichen zu.
Das Berechtigungskonzept liegt häufig als PDF oder Worddokument vor. Es bildet ab, wie Mitarbeiter, die schon rechtmäßig Zugriff auf das SAP-System haben, entsprechend Ihrer Funktion berechtigt werden und wie der Prozess der Berechtigungsvergabe aussieht. Das kann beispielsweise über Identity Management Tools abgewickelt werden. Außerdem werden hier unter anderem die Verantwortlichkeiten festgelegt, die einer Vergabe von Berechtigungen zustimmen sollten (Vier-Augen-Prinzip). Zum Beispiel Führungskraft und Rolleneigner.
Das SAP Sicherheitskonzept befasst sich neben den Absicherungen von innen heraus und vor allem auch damit, wie Angriffe von außen abgewendet werden können. Um es vereinfacht auszudrücken: Das Sicherheitskonzept kümmert sich darum, dass jemand, der nicht auf das System kommen soll, keinen Zugang bekommt.
Je nach Schutzbedarf des Unternehmens können diese Konzepte unterschiedlich ausgeprägt ausfallen. Bei einem geringen Schutzbedarf können die Konzepte und deren Inhalte eher schlank gehalten werden. Je nachdem, was für das Unternehmen relevant ist und was nicht. Erfahrungsgemäß ist der Schutzbedarf bei SAP-Systemen aber eher hoch und sollten daher vor Sabotage ausreichend geschützt werden.
Durchführung eines Berechtigungsredesigns
Die Durchführung eines Berechtigungsdesign erfordert eine gute Planung sowie ein strukturiertes Vorgehen. In der Praxis hat sich ein Vorgehen in sechs Schritten zur Einführung eines Berechtigungskonzepts bewährt.
-
Analyse und Erarbeitung des Berechtigungskonzepts
Im ersten Schritt muss das eigentliche Konzept erstellt werden. Ein gutes Berechtigungskonzept ist verständlich geschrieben und beantwortet alle Fragen nach den Berechtigungen umfassend.
-
Systemvorbereitung
Anschließend findet die Verteilung der Tools unter Berücksichtigung von Systemvoraussetzungen in der Systemlinie statt. Hier ist eine Optimierung der SU24-Vorschlagwerte günstig. Dies erlaubt eine deutliche Geschwindigkeitssteigerung beim späteren Rollenbau, da Transaktionen dann sofort funktionieren.
-
Entwurf von Funktionsrollen
In einem dritten Schritt werden die Funktionsrollen entworfen. Business- oder auch Arbeitsplatzrollen ermöglichen es, einer Berechtigung einen aussagekräftigen Namen zu geben. Zum Erstellen von Funktionsrollen sind unterschiedliche Schritte notwendig. Angefangen bei der Einteilung in Gruppen von Mitarbeitern einer Abteilung. Bis hin zur Auswertung der Gruppen bis für jede einzelne eine Liste von Transaktionen vorliegt.
-
Fachbereichs-Workshops und Umsetzung in Rollen
Im vierten Schritt werden die Listen aus dem vorherigen Schritt dem Fachbereich vorgelegt. So kann eine Feinabstimmung erfolgen. Eventuell auftretende Funktionstrennungskonflikte können Sie so auch überprüfen. Danach erfolgt die Übertragung der erstellten Listen in Rollen. Anschließend wird ein Basis-Funktionstest durchgeführt.
-
Simulation und Anpassung der neuen Rollen
Im nächsten Schritt werden die Rollen, die den Basis-Funktionstest bestanden haben, dem Fachbereich für Simulation übermittelt. Die Simulation ist eine Funktion, die nur über ein Tool ausgeführt werden kann und im SAP Standard vorhanden ist. Zur Vorbereitung auf die Simulation muss dem Fachanwender ein spezieller Referenzuser zugeordnet werden, der die neue zu prüfende Berechtigung erhalten hat. Die Ergebnisse der Simulation werden dann von den Berechtigungsentwicklern ausgelesen. Diese werden für die Weiterentwicklung der neuen Rollen verwendet.
-
Abgesicherter Go-Live
Nachdem alle Berechtigungen die Abnahme durch den Fachbereich durchlaufen haben, kann im letzten Schritt der Go-Live vorbereitet werden. Dafür wird als zusätzliches Sicherheitsnetz für definierte Anwender ein abgesicherter Go-Live konfiguriert. Der abgesicherte Go-Live ist eine Erweiterung des Tools. Es ist ein workflowbasierter Self-Service, mit dem Anwender sich für einen definierten Zeitraum ihre alten Berechtigungen zurückholen können.
- So wird vermieden, dass wichtige Geschäftsprozesse ausfallen, weil Berechtigungen falsch vergeben wurden und der Service Desk diese nicht schnell zurückändern kann.
- Nach diesen sechs Schritten liegt ein überarbeitetes, revisionssicheres und schriftliches Berechtigungskonzept vor, das ohne nennenswerten Ausfall in Betrieb genommen werden kann.
- Als guten Zeitpunkt für eine Überarbeitung der Berechtigungen haben sich die “heißen” Zeiten, wie zum Beispiel ein anstehender Jahreswechsel, als besonders geeignet herausgestellt.
- Ein Redesign muss ebenso nicht in einem Projekt überarbeitet werden, sondern kann auch in einzelnen Teilschritten durchgeführt werden.
Templates
Grundsätzlich gib es schon vorgefertigte Konzepte, die man verwenden kann. Allerdings sind Berechtigungskonzepte immer sehr unternehmensspezifisch, sodass es in der Regel immer Anpassungen und Ergänzungen bedarf. Hierbei ist auch immer das Unternehmen selbst gefragt, um entsprechende Verantwortlichkeiten und Prozesse zu beschreiben. In der Regel werden hier zum Beispiel IT, Data Owner oder Fachbereiche hinzugezogen. Diese beantworten gemeinsam die Fragen. welche Verantwortlichkeiten beispielsweise lesenden oder schreibenden Zugriff auf bestimmte Daten bekommen sollen.
Jeden Prozess definieren?
In der Praxis gibt es sehr unterschiedliche Prozesse bei der Vergabe von Berechtigungen, Useranlagen, Usersperrungen etc. Weiterhin existieren auch irgendwelche Software Werkzeuge wie IDM Tools, Telefonprozesse, E-Mails oder sonstige Papier Prozesse. Ob diese Prozesse gut oder schlecht sind, muss jedes Unternehmen für sich beantworten. Wichtig ist nur, dass solche Prozesse definiert sowie zu Papier gebracht werden. Denn es ist egal, ob der Prozess gut oder schlecht ist. Solange nicht dokumentiert ist, wie die Kommunikation von Anforderungen erfolgt, kann auch keine Diskussion stattfinden, ob ein vorhandener Prozess optimiert werden soll oder nicht. Nicht empfehlenswert ist es, Prozesse aufzunehmen, die inhaltlich unsinnig oder widersprüchlich sind. Nicht gesetzeskonforme Prozesse und ohne Priorität auf Verbesserung sollten ebenfalls nicht mit aufgenommen werden. Dadurch wäre das Konzept inhaltlich widersprüchlich gestaltet.
Berechtigungskonzepte in S/4 HANA
SAP Berechtigungskonzepte sind auch in SAP S/4 HANA ein wichtiges Thema. Durch die Umstellung auf S/4 HANA kann es notwendig sein, das bestehende Berechtigungskonzept anzupassen oder neu zu erstellen. Hierbei müssen die neuen Funktionen und Prozesse in S/4 HANA berücksichtigt werden. Ein effektives Berechtigungskonzept ist notwendig, um die Sicherheit und Datenintegrität im System zu gewährleisten. Dabei sollten die Berechtigungen so feingranular wie möglich vergeben werden, um den Zugriff auf sensible Daten und Funktionen zu beschränken. Eine saubere Trennung der Funktionen und Berechtigungen stellt sicher, dass ein Benutzer nur die Berechtigungen erhält, die er oder sie benötigt, um die Arbeit effektiv auszuführen. Bei der Erstellung eines SAP Berechtigungskonzepts in S/4 HANA empfiehlt es sich, Experten hinzuzuziehen oder Schulungen zu besuchen, um sicherzustellen, dass das Konzept den Anforderungen des Unternehmens entspricht und optimal umgesetzt wird.
Kundenstimme zu Berechtigungskonzept mit den Experten von RZ10
“Gemeinsam mit mindsquare haben wir unser Berechtigungskonzept im SAP IS-U neu aufgesetzt. Seitdem werden wir bei der Pflege und Umsetzung der Berechtigungsanforderungen durch den Service unterstützt. Das Thema SAP Berechtigungen ist ohnehin eines der Steckenpferde von mindsquare, gleichzeitig schätzen wir das Engagement, mit dem sich die bei uns eingesetzten Beraterinnen und Berater in die speziellen Anforderungen der Energiebranche eingearbeitet haben. Die Zusammenarbeit erlebe ich jederzeit als offen, ehrlich, unkompliziert und schnell.”
Fazit und Ausblick
Gut durchdachte und sauber ausgeführte Berechtigungskonzepte sind für jedes Unternehmen notwendig, um hohe IT-Sicherheitsstandards zu erreichen und Compliance-Anforderungen zu erfüllen sowie finanzielle Schäden und Reputationsschäden abzuwenden.
Da sich Unternehmen in ständiger Veränderung befinden, verliert jedes noch so gut konzipierte Berechtigungskonzept mit der Zeit an Qualität. Verändern sich Organisationsstrukturen, rechtliche Rahmenbedingungen oder Wettbewerbssituationen, muss dies auch in einem Berechtigungskonzept abgebildet werden. Daher ist es unumgänglich, sich in regelmäßigen Abständen kritisch mit der Berechtigungsstruktur auseinanderzusetzen und gegebenenfalls ein Redesign einzuleiten. So ist eine Gefahrenabsicherung nach außen und innen gewährleistet.
Eine Steigerung der Sicherheit kann durch die parallele oder nachgelagerte Einführung eines Internen Kontroll-Systems (IKS) für SAP Security erreicht werden. Dies kann dann als langfristige Sicherungsmaßnahme die Durchsetzung der aufgestellten Richtlinien und Vorgaben teil- oder vollautomatisch kontrollieren.
FAQ zu SAP Berechtigungskonzept
Was ist das SAP Berechtigungskonzept?
Ein SAP Berechtigungskonzept dient der Abbildung von einschlägigen Rechtsnormen und unternehmensinternen Regelungen auf die technischen Schutzmöglichkeiten innerhalb eines SAP-Systems. Berechtigungskonzepte sind somit der Schlüssel zum optimalen Schutz Ihres Systems.
Was für SAP Berechtigungskonzepte gibt es?
Grundsätzlich kann man zwischen drei Arten von Dokumenten unterschieden. Diese gehen stellenweise ineinander über bzw. deren Begrifflichkeiten vermischt man. Das Eine ist das sogenannte SAP Rollenkonzept, das Zweite ist das SAP Berechtigungskonzept und das Dritte ist das SAP Sicherheitskonzept.
Weiterführende Informationen
- Das SAP Berechtigungskonzept
- Rollen- und Berechtigungskonzept in SAP Projekten
- E-Book: SAP Berechtigungskonzept
Ein Kommentar zu "SAP Berechtigungskonzept"
Gute Vorgehensmethode.