Information und Bildungsarbeit von und für die SAP-Community
IT Management, MAG 21-04

Arbeitsorganisation

Die Definition und Zuweisung von Rollen und Berechtigungen ist entscheidend für ERP-Systeme, damit können Zugriffsbefugnisse nicht nur formal vergeben, sondern fest in die Unternehmensprozesse und den Workflow implementiert werden.
Philipp Latini, Sivis
3. Mai 2021
Inhalt:
[shutterstock: 1813934876, VideoFlow]
avatar

Für Organisationen und Mitarbeitende bedeutet das ein hohes Maß an Klarheit und Sicherheit – zumindest theoretisch. Denn in der Praxis zeigt sich, dass das Berechtigungsmanagement in vielen Unternehmen eher unstrukturiert gehandhabt wird und so zur Ursache ernster Sicherheitsprobleme werden kann.

Dass trotz solcher Gefahren häufig nichts unternommen wird, liegt schlicht daran, dass eine sorgfältige Überprüfung sämtlicher Rollen und Berechtigungen aufgrund des hohen Arbeitsaufwandes auf herkömmlichem Wege kaum zu leisten wäre.

Neue intelligente Software-Tools nehmen sich dieses Problems jetzt an und eröffnen für Unternehmen die realistische Chance, ihr Berechtigungsmanagement mit überschaubarem Aufwand und nachhaltig zu optimieren.

Alte und neue Rollen

Allein in SAP gibt es zirka 150.000 Transaktionen, die einzelnen Nutzern, Nutzgruppen, Rollen oder auch Sammelrollen zugewiesen werden können. Die Praxis zeigt, dass zwar regelmäßig neue Nutzer, Rollen und Berechtigungen hinzugefügt werden, die bestehenden aber selten überprüft und allenfalls dann reduziert werden, wenn ein Mitarbeitender das Unternehmen verlässt.

Überraschend ist das nicht, denn in Systemen, die teils zehn oder fünfzehn Jahre gewachsen sind, wäre die Überprüfung sämtlicher Berechtigungen auf herkömmlichem Wege eine kaum zu bewältigende Herkulesaufgabe, zumal in vielen Unternehmen bisher noch nicht einmal ein sogenanntes Tracing eingesetzt wird, mit dem nachverfolgt werden kann, welcher Nutzer welche Berechtigungen wie häufig nutzt.

Gleichzeitig sind aber die Sicherheits­probleme, die durch mangelhafte Berechtigungskonzepte entstehen können, kaum zu überschätzen. Da ist der Einkaufsmitarbeiter, der in die Buchhaltung wechselt, sich im Anschluss selbst als Lieferanten registriert und dann quasi seine eigenen Rechnungen bezahlt, noch ein minder schwerer Fall.

An Brisanz gewinnt das Problem auch durch die pandemiebedingte Forcierung der Arbeit im Homeoffice. Denn bei der Öffnung interner Systeme für Fernzugriffe sollten sämtliche Berechtigungen korrekt und konsistent sein.

Nur so lassen sich unbefugte Zugriffe auf kritische Informationen ausschließen und Fehler aufgrund der Intransparenz ­eines mangelhaft gepflegten Berechtigungskonzeptes vermeiden.

Darüber hinaus kann das Berechtigungschaos auch zu erhöhten Kosten führen, wenn etwa Lizenzen für Nutzer bezahlt werden, die die entsprechenden Programme weder brauchen noch nutzen. Und schließlich gewinnt das Thema Berechtigungskonzept auch bei der Wirtschaftsprüfung mehr und mehr an Bedeutung.

Höchste Zeit also, das eigene Berechtigungskonzept mal gründlich aufzuräumen. Die gute Nachricht ist, dass es neue intelligente Lösungen gibt, um auch unübersichtliche Berechtigungssituationen wieder in den Griff zu bekommen.

Die Basis ist das Tracing

Um festzustellen, welche Nutzer welche Berechtigungen, Rollen und Inhalte wie häufig nutzen, sollte zunächst ein Zugriffs-Tracing implementiert werden. Hier werden alle Aktionen und Zugriffe aufgezeichnet. Nachdem dieses Tracing etwa ein halbes oder ein Jahr aktiv war, liefert es eine gute Datenbasis zur Überprüfung der tatsächlich benötigten Berechtigungen und Rollen.

Intelligente neue Software-Lösungen, wie zum Beispiel der Sivis Reduction Manager, checken auf der Grundlage der Tracing-Daten sämtliche Aktionen automatisch. Alle Rollen oder Inhalte, die im ­Tracing-Zeitraum nicht genutzt wurden, werden dann den verantwortlichen Mitarbeitern zur Überprüfung angezeigt.

Dasselbe gilt für Rollen-Konstellationen, die inkonsistent erscheinen, etwa parallele Rechte für Einkauf und Buchhaltung. Auch sie werden zur Prüfung vorgeschlagen. Der große Vorteil ist, dass nicht alle existierenden Berechtigungen gecheckt werden müssen, sondern nur die, bei denen Anlass zu der Annahme besteht, dass sie nicht auf dem aktuellen Stand sind.

Gleichzeitig schließen die persönliche Prüfung und Entscheidung aus, dass Berechtigungen versehentlich entzogen werden. Schließlich kann es gute Gründe dafür geben, dass bestimmte Zugriffsrechte in einem Zeitraum nicht genutzt wurden.

Automatische Vorschläge

Qualität, Transparenz und Konsistenz des Berechtigungskonzeptes sind sowohl aus Sicherheits- als auch aus Kostengründen unverzichtbar. Bestehende Systeme neu zu konzipieren war bisher aufgrund des hohen Arbeitsaufwandes dennoch kaum zu leisten.

Innovative Softwarelösungen bieten die Möglichkeit, sämtliche Berechtigungen automatisch zu scannen und auf ihre Konsistenz zu überprüfen. Auffällige Konstellationen werden dann angezeigt und können von den verantwortlichen Mitarbeitenden im Einzelfall nachgeprüft werden.

So lässt sich der Arbeitsaufwand erheblich reduzieren. Einige Anbieter wie die Sivis GmbH bieten auch eine Kombi aus Software-Lösung und Service an, sodass für Unternehmen der Prüfungsaufwand noch einmal deutlich vermindert wird.

https://e3mag.com/partners/sivis-gmbh/
avatar
Philipp Latini, Sivis

Philipp Latini ist Geschäftsführer bei Sivis. Das Unternehmen ist auf Software für Berechtigungsmanagement, Benutzerverwaltung und Compliance spezialisiert. Bevor Philipp Latini 2020 die Position als CEO übernahm, war der IT-System-Kaufmann zunächst als Sales Manager und Head of Consulting bei Sivis tätig.


Alle Artikel des Autors

Schreibe einen Kommentar

Christian Klein bleibt noch in SAP

Cognigy und Infinit.CX verkünden Partnerschaft

No-Name-Kolumne

SAP-Stammtisch

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren. Alle Informationen zum Event finden Sie hier:

SAP Competence Center Summit 2024

Veranstaltungsort

Eventraum, FourSide Hotel Salzburg,
Am Messezentrum 2,
A-5020 Salzburg

Veranstaltungsdatum

5. und 6. Juni 2024

Reguläres Ticket:

€ 590 exkl. USt.

Veranstaltungsort

Eventraum, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Veranstaltungsdatum

28. und 29. Februar 2024

Tickets

Regular Ticket
EUR 590 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2024, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.