SAP-Rollen ohne Risiko

In SAP definieren Rollen, was ein Benutzer tun kann – sie fassen die Transaktionen, Berichte und Funktionen zusammen, die für eine bestimmte Aufgabe oder einen bestimmten Geschäftsprozess relevant sind. Berechtigungen sind Teil dieser Rollen und legen die genaue Zugriffsebene fest, über die ein Benutzer innerhalb jeder Funktion verfügt – zum Beispiel, ob er einen Datensatz anlegen, ändern, anzeigen oder löschen kann.

Zusammen bilden Rollen und Berechtigungen das Zugriffsgerüst, das jede Interaktion eines Benutzers mit dem SAP-System regelt. Bei guter Konzeption stellen sie sicher, dass Benutzer genau den Zugriff haben, den sie für ihre Arbeit benötigen – nicht mehr und nicht weniger. Bei schlechter Konzeption oder mangelnder Steuerung häufen sie sich im Laufe der Zeit an und verursachen SoD-Konflikte, Audit-Risiken und unnötige Lizenzkosten.

SAP-Rollen sind in der Regel so konzipiert, dass sie die Geschäftsabläufe zu einem bestimmten Zeitpunkt widerspiegeln. Wenn sich das Geschäft verändert – durch Umstrukturierungen, Systemaktualisierungen, Prozessänderungen und Personalfluktuation – werden Rollen oft schrittweise angepasst, anstatt neu gestaltet zu werden.

Zugriffsrechte werden hinzugefügt, um neuen Anforderungen gerecht zu werden, aber selten entfernt, wenn sie nicht mehr benötigt werden, und Benutzer, die häufig die Rolle wechseln, behalten Berechtigungen aus früheren Positionen. Auch benutzerdefinierte Transaktionen und Entwicklungen werden eingeführt, ohne dass diese immer auf ein einheitliches Zugriffsmodell oder Governance-Framework zurückgeführt werden.

Im Laufe der Zeit summieren sich diese schrittweisen Änderungen und führen zu Rollenstrukturen, die schwer verständlich und schwer zu prüfen sind und zunehmend nicht mehr mit den betrieblichen Abläufen übereinstimmen. Aus diesem Grund kommt es selbst in Unternehmen mit einer anfänglich soliden Rollengestaltung häufig vor, dass die Komplexität der SAP-Zugriffsrechte bereits wenige Jahre nach der Inbetriebnahme wieder zunimmt.

Es gibt mehrere Situationen, die typischerweise eine Überprüfung oder Neugestaltung auslösen.

• Prüfungsergebnisse sind der häufigste Auslöser – wiederkehrende festgestellte Probleme im Zusammenhang mit dem Zugriff sind ein klares Signal dafür, dass Rollenstrukturen überprüft werden müssen.

• SAP-Migrationen und Modernisierungsprogramme, insbesondere Umstellungen auf S/4HANA oder RISE with SAP, sind ein weiterer natürlicher Auslöser – und eine ideale Gelegenheit, klare Zugriffsprinzipien einzuführen, anstatt angesammelte Zugriffsschulden in eine neue Umgebung zu übertragen.

• Organisatorische Veränderungen wie Umstrukturierungen, Fusionen oder Übernahmen führen häufig dazu, dass bestehende Rollenstrukturen nicht mehr mit den tatsächlichen Geschäftsabläufen übereinstimmen.

• Schließlich sind deutlich steigende Lizenzkosten oft ein Signal dafür, dass Rollen überdimensioniert sind und eine Anpassung erforderlich ist.

Unternehmen, die Rollen proaktiv überprüfen – anstatt auf einen dieser Auslöser zu warten –, wenden langfristig durchweg weniger Zeit und Aufwand für Korrekturmaßnahmen auf.

Nach dem Full-Use-Equivalent-Lizenzmodell (FUE) von SAP – das für Unternehmen gilt, die auf S/4HANA und RISE with SAP umsteigen – richten sich die Lizenzkosten nach den den Benutzern zugewiesenen Zugriffsrechten und nicht danach, was die Benutzer tatsächlich tun. Das bedeutet, dass überdimensionierte Rollen die Lizenzkosten direkt in die Höhe treiben, unabhängig davon, ob der zusätzliche Zugriff jemals genutzt wird.

Ein Benutzer, dem eine „Advanced“-Rolle zugewiesen wurde – die eine vollständige FUE-Lizenz erfordert –, weil seine Rolle eine Handvoll komplexer Funktionen umfasst, die er selten benötigt, verursacht deutlich höhere Lizenzkosten als ein Benutzer mit einer richtig dimensionierten „Core“- oder „Self-Service“-Rolle. Unternehmen, die ihre SAP-Rollen vor der Migration richtig dimensionieren, erzielen in der Regel eine deutliche Reduzierung ihrer FUE-Anzahl und der laufenden Lizenzkosten, während sie gleichzeitig das Sicherheitsrisiko durch die Entfernung unnötiger Zugriffsrechte verringern.

Eine wirksame Behebung beginnt damit, die Ursache zu verstehen, anstatt nur das Symptom zu bekämpfen. Ein Auditbefund, der beispielsweise einen Konflikt bei der Aufgabentrennung (SoD) identifiziert, kann auf eine schlecht konzipierte Rolle, eine unangemessene Benutzerzuweisung oder einen Governance-Prozess hinweisen, der es ermöglichte, dass sich Zugriffsrechte ohne angemessene Aufsicht anhäuften. Die isolierte Behebung des Befunds – durch das Entfernen einer einzelnen Berechtigung oder Rollenzuweisung – mag den Auditor kurzfristig zufriedenstellen, verhindert jedoch nicht, dass das gleiche Problem erneut auftritt.

Ein effektiverer Ansatz zur Behebung umfasst die Bewertung des gesamten Umfangs des Zugriffsproblems über alle betroffenen Systeme hinweg, die Neugestaltung oder Anpassung der relevanten Rollen und Berechtigungen zur Beseitigung der Ursache, die kontrollierte Umsetzung von Änderungen, die Störungen des Geschäftsbetriebs minimieren, sowie die Einrichtung der erforderlichen Governance- und Überwachungsmechanismen, um ein erneutes Auftreten des Problems zu verhindern. Unternehmen, die diesen Ansatz verfolgen, sind durchweg besser aufgestellt, um wiederkehrende Beanstandungen in zukünftigen Prüfungszyklen zu vermeiden.