Information und Bildungsarbeit von und für die SAP-Community

Wer darf was und warum?

Das SAP’sche Berechtigungskonzept ist seit Beginn eine Herausforderung für die SAP-Basismannschaft, weil es zu Beginn des Customizing schnell gehen muss und nachgelagert niemand mehr die Rollen und Berechtigungen pflegen will.
E-3 Magazin
Philipp Latini, Sivis
13. Juni 2023
avatar
avatar

Ungeliebt, aber absolut notwendig: das SAP-Berechtigungskonzept

Unter SAP R/3 war das Berechtigungskonzept einfacher und somit manuell zu bewältigen. Mit dem NetWeaver, Engines und Rollen bekam das SAP’sche Berechtigungskonzept eine Komplexität, die entweder ausgeblendet wurde oder nur noch mit IT-Werkzeugen zu beherrschen war. Aufgrund von Compliance-, Governance- und Security-Regeln wurde die sorgfältige und nachvollziehbare Pflege des Berechtigungskonzepts von ERP/ECC 6.0 zur zentralen Aufgabe der SAP-Basis. Um der Komplexität eines modernen S/4-Systems gerecht zu werden, braucht der Administrator passende IT-Werkzeuge.

Eine weitere wichtige Aufgabe eines konsistenten Berechtigungskonzepts liegt in der Rollenverteilung hinsichtlich der User-Lizenzen. Eine unüberlegte Vergabe von Rollen kann schnell in hohen Lizenzgebühren enden.

Warum spielt das SAP-Berechtigungskonzept eine zentrale Rolle für die Sicherheitsstrategie?

Phillip Latini, Sivis: Im SAP-System liegen sensible Daten und Kernprozesse. Diese gilt es nicht nur vor Cyberangriffen von außen, sondern auch vor internen Risiken zu schützen. Eine Zugriffskontrolle ist deshalb zum Schutz der Integrität, Vertraulichkeit und Verfügbarkeit unverzichtbar. Hinzu kommen externe Sicherheitsanforderungen des Gesetzgebers oder von Geschäftspartnern, die ebenfalls im Berechtigungskonzept abgebildet werden müssen.

SAP verwendet eine rollenbasierte Zugriffskontrolle. Was ist die Herausforderung an Role Based Access Control?

Latini: Das Modell, Berechtigungen in Rollen zu bündeln und dann jedem Nutzer Rollen zuzuordnen, macht die Erstellung von SAP-Berechtigungskonzepten komplex. Auch unsere Consultants verwenden in SAP-Projekten sehr viel Zeit darauf, Rollen zu bauen und Tabellen mit Berechtigungen zu füllen. Obwohl wir in den letzten Jahren einige Tools entwickelt haben, die solche Aufgaben beschleunigen, waren wir nicht zufrieden. Mithilfe von Automation durch evolutionäre Algorithmen ist hier noch weit mehr möglich – unser neuer virtueller Rollenberater, der Authorization Robot, ist das Ergebnis. Er bietet im gesamten Lebenszyklus der SAP-Berechtigungskonzepte enormes Effizienzpotenzial.

Was sind für SAP-Kunden die drei größten Vorteile automatisiert erstellter Berechtigungskonzepte?

Latini: Erstens die Geschwindigkeit. Auf Basis der Auswertung unserer Beta-Testphase gehen wir davon aus, dass der Authorization Robot künftig bis zu 95 Prozent der Beraterstunden für den Rollenbau einsparen kann. Zweitens werden Fehlerquellen und Sicherheitslücken minimiert. Und drittens stellt die Automatisierung sicher, dass Best Practices zuverlässig eingehalten werden.

Das Berechtigungskonzept spielt auch bei der Lizenzvermessung eine Rolle. Ist es dann ein CIO- oder ein CFO-Thema?

Latini: Die Lizenzvermessung ist insbesondere bei der Migration auf S/4 Hana spannend: Da die Lizenzkosten je User künftig nicht mehr von seiner tatsächlichen Nutzung, sondern vom Berechtigungsumfang abhängen können, schlummern in alten Berechtigungskonzepten unkalkulierbare finanzielle Risiken. Das Redesign ist deshalb ein hochaktuelles CFO-Thema! Auch hier bietet der virtuelle Rollenberater großes Potenzial, da er Konzeptvorschläge ganz gezielt für das Kriterium der Lizenzkosteneinsparung berechnen kann – und zwar schneller und passgenauer als jeder SAP-Consultant. 

Verlagert sich die Verantwortung für SAP-Berechtigungskonzepte in Richtung Management?

Latini: Auf jeden Fall hat sich das Bewusstsein für Sicherheitsrisiken in den letzten Jahren deutlich erhöht, über alle Ebenen des Unternehmens hinweg. Technisch und organisatorisch ist zwar nach wie vor die IT-Abteilung für Berechtigungskonzepte verantwortlich, aber der Input wird zunehmend von den Fachabteilungen eingefordert. Automatisierte Lösungen können hier Brücken bauen und Verantwortliche entlasten. Das Management hat die wichtige Aufgabe, verbindliche Leitplanken vorzugeben – beispielsweise mit Prinzipien wie „Zero Trust“ – und das Thema Sicherheit transparent zu kommunizieren. 

Moderne Softwarelandschaften integrieren neben SAP häufig noch weitere Systeme. Werden auch die Berechtigungskonzepte hybrid?

Latini: Berechtigungen sind ein ganzheitliches Thema, auch heute schon. Microsoft, Ticketsysteme und branchenspezifische Insellösungen, On-premises und in der Cloud: Jeder User bewegt sich in seinem beruflichen Alltag in vielen verschiedenen Welten. Auch hier wird Automatisierung ein sinnvoller Ansatz sein, um die wachsende Komplexität systemübergreifend zu verwalten. Der Authorization Robot ist technisch so konzipiert, dass wir die virtuelle Unterstützung für Berechtigungskonzepte jederzeit auf andere Ökosysteme übertragen können. 

Lässt sich auch die laufende Pflege der Berechtigungen im SAP-System automatisieren? 

Latini: Sein volles Potenzial spielt der virtuelle Rollenberater bei der Berechnung von initialen Rollenkonzepten und aufwändigen Redesign-Projekten aus. Aber auch für punktuelle Überprüfungen oder jährliche Aktualisierungen bietet die Automatisierung Performance-Vorteile. Für die laufende Pflege des Berechtigungskonzepts bringt die Sivis-Plattform ergänzende digitale Tools mit, wie den Role Manager oder den Compliance Manager. 

Welche Ressourcen benötigt der Einsatz des Authorization Robot hinsichtlich Systemvoraussetzungen und Manpower?

Latini: Die Anbindung des Authorization Robot an das SAP-System erfolgt über den benutzerfreundlichen Sivis Web Manager. Benötigt wird außerdem eine Docker-Umgebung auf einem Linux-Server – die Rechenleistung hängt von der Größe des Unternehmens ab. Die Analyse und das Clustering der Tracing-Daten sowie die Erstellung der Konzeptvorschläge laufen vollständig automatisiert ab. Die menschlichen Interaktionen beschränken sich auf die Vorgabe der gewünschten Zielkriterien – beispielsweise „maximale Sicherheit“ oder „Lizenzkosten-Optimierung“ – und eine abschließende Verifizierung der generierten Vorschläge. Die Nutzung ist intuitiv und benötigt keine aufwändige Schulung.

Ist der Svis Authorization Robot durch SAP zertifiziert?

Latini: Der neue Authorization Robot ist Teil unserer SAP-zertifizierten Plattform, die zahlreiche Tools rund um Identity and Access Management, Compliance und Governance, Role Management und Berechtigungskonzepte sowie License und Asset Management integriert. Seit April 2023 kann der Authorization Robot als Software as a Service für SAP-Umgebungen lizenziert werden.

E-3: Herr Latini, danke für das Gespräch.

https://e3mag.com/partners/sivis-gmbh/
avatar
E-3 Magazin

Information und Bildungsarbeit von und für die SAP-Community.


avatar
Philipp Latini, Sivis

Philipp Latini ist Geschäftsführer bei Sivis. Das Unternehmen ist auf Software für Berechtigungsmanagement, Benutzerverwaltung und Compliance spezialisiert. Bevor Philipp Latini 2020 die Position als CEO übernahm, war der IT-System-Kaufmann zunächst als Sales Manager und Head of Consulting bei Sivis tätig.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.