Nie wieder historisch gewachsene Berechtigungskonzepte!
Jeder, der schon einmal seinen Keller ausgemistet hat, kennt das: Über die Jahre haben sich Dinge angesammelt, manches nützlich, anderes überflüssig oder gar gefährlich. Ähnlich verhält es sich in der IT-Landschaft vieler Unternehmen, besonders wenn es um SAP-Berechtigungskonzepte geht. Historisch gewachsene Strukturen als Ergebnis jahrelanger Anpassungen, Erweiterungen und „Notlösungen“.
SAP-Berechtigungskonzepte sind komplex. Sie müssen sicherstellen, dass jeder Mitarbeiter genau die Zugriffsrechte hat, die er für seine Arbeit benötigt. Zu restriktive Berechtigungen können den Arbeitsfluss behindern, zu großzügige Berechtigungen können Sicherheitsrisiken darstellen, wie bspw. der Funktionstrennungskonflikt „Kreditor Stammdaten pflegen UND Kreditor Rechnung oder Gutschrift buchen“.
Die Wege, diesen Prozess im System auszuführen, sind vielschichtig und schwer zu prüfen, was sich immer wieder bei SAP-Sicherheitsprüfungen und sogar bei aktuellen S/4-Projekten zeigt. Hinzu kommt die Notwendigkeit, gesetzliche Vorgaben und interne Compliance-Richtlinien einzuhalten und diese mit den Fachbereichsverantwortlichen zu besprechen.
Regelwerk fürs Risiko
Genau hier kommen Risikoregelwerke ins Spiel. Wie ein erfahrener Aufräumexperte helfen sie, Klarheit in das Chaos zu bringen. Aber Vorsicht: Nicht jedes Risikoregelwerk ist hilfreich. Einige übersehen Risiken, andere sind zu rigoros und entfernen nützliche Berechtigungen. Es ist entscheidend, auf ein Risikoregelwerk mit breitem Fachwissen und Erfahrung von SAP-Prüfern zu setzen.
Ein präzises Risikoregelwerk erkennt feinste Abweichungen und bestimmt, welche Berechtigungen problematisch sind. Durch die Minimierung unnötiger Zugriffswarnungen und False Positives werden die Effizienz gesteigert und Ressourcen gespart. Ein gutes Risikoregelwerk schafft gemeinsame Standards und verbessert die Kommunikation zwischen den Abteilungen. Sauberes Rollendesign gewährleistet eine effiziente und präzise Berechtigungsvergabe, die den Anforderungen des Unternehmens entspricht. Risiko- und Prozessbeschreibungen sollten enthalten sein, damit auf dieser Basis ein Verständnis neben der technischen Komponente geschaffen wird. Ein Risikoregelwerk sollte stetigen Updates unterzogen werden, um der Dynamik der technischen Inhalte gerecht zu werden.
S/4-Neustartoption
Der Wechsel zu S/4 Hana bietet die Chance, mit einem leeren Keller zu starten. Aber auch hier lauern Fallstricke. Die neue Architektur, die Trennung von Front- und Backend und die Einführung von SAP Fiori Apps bringen neue Herausforderungen mit sich. Risikoregelwerke können vor allem auch hier helfen, den Überblick zu behalten und sicherzustellen, dass die Berechtigungen im neuen System deutlich sauberer und effizienter gehalten werden als früher. Somit wird der neue Keller strukturiert und ohne Altlasten eingeräumt – was sich positiv auf die SAP-Sicherheitsprüfung auswirkt.
Historisch gewachsene SAP-Berechtigungskonzepte stellen gerade im Blumenstrauß der neuen Anforderungen (technisch, gesetzlich und inhaltlich) eine Herausforderung dar. Mit der richtigen Strategie, den passenden Werkzeugen und einem erfahrenen Team können sie jedoch effizient optimiert werden. Wer sich das Ziel setzt, ein sicheres und effizientes SAP-System zu betreiben, das den Compliance-Anforderungen entspricht und Kosten senkt, der rüstet sich für die Zukunft.
Wer jedoch kein aktuelles Risikoregelwerk verwendet, riskiert künftig zusätzliche Kosten bei SAP-Berechtigungen und gefährdet die Unternehmens-Sicherheit. Denn auch durch diese Lücken entstehen vermehrt Cyberangriffe, die Unternehmen nachhaltig schädigen können. Am Ende ist ein aufgeräumter Keller ein großartiges Gefühl, oder?
