Information und Bildungsarbeit von und für die SAP-Community

Zehn Gebote für das SAP-Lizenz- und Berechtigungsmanagement

Die Angst vor Sicherheitslücken und Datenleaks bereitet immer mehr IT-Verantwortlichen schlaflose Nächte. Sensible Unternehmensdaten müssen mittels ausgefeilter Berechtigungskonzepte geschützt werden.
E-3 Magazin
1. August 2016
Lizenzen
avatar

Den Wirtschaftsprüfer im Nacken und den SAP-Audit stets vor Augen, investieren Unternehmen genügend Zeit und Geld in ihr Berechtigungsmanagement.

Der Aufwand ist enorm und meist auch ein Garant für unerwünscht graue Haare beim Compliance Manager.

  • Wie lassen sich betriebswirtschaftliche Rollen auf technischer Ebene abbilden?
  • Nach welchen Kriterien sollen Berechtigungen vergeben werden?
  • Klar, man schaut, was der User können soll und darf, aber eben auch, was er bereits in SAP bearbeitet. Welcher Aufwand dahintersteckt?

Hier mal ein Beispiel: Unser Vorzeigemitarbeiter Michael aus dem Berechtigungsteam wirft zuallererst einen Blick in die ST03N.

Dort findet er heraus, welche Transaktionen SAP-User X im SAP-System Y genutzt hat. Das schafft er in knapp zwei Minuten, er ist ja schließlich fix.

Und intelligent noch dazu. Deshalb erkennt er auch sofort anhand der genutzten Transaktionen, welche Lizenz diesem User zugeordnet werden muss.

Das dauert allerdings ein klein wenig länger, er benötigt dafür vier Minuten. Schnell in die SU01 gewechselt und dort die ermittelte (oder vielmehr geschätzte?) Lizenz eingetragen.

Das ging so fix, dass wir die Zeit dafür vergessen können.

Aber Sie ahnen es schon, User X ist eben auch noch in den SAP-Systemen A, B, C etc. unterwegs. Das Spiel beginnt von vorn.

Und weil Michael aber auch noch wissen will, was die LAW später ermitteln wird, bildet er aus allen in den unterschiedlichen Systemen definierten Lizenzen die letztlich resultierende und abrechenbare Lizenz.

Sagte ich schon, dass Michael besonders schnell ist? In zwei Minuten ist das erledigt. Unterm Strich braucht er also pro User und SAP-System acht Minuten. Im Unternehmen gibt es aber 4500 SAP-User auf fünf verschiedenen Systemen, also acht Minuten x 4.500 User x fünf Systeme.

Da wäre Michael bei einem 8-Stunden-Arbeitstag locker 375 Tage beschäftigt.

Sie merken schon: Das geht ja gar nicht. Das Jahr hat ja nur 365 Tage. Man braucht also locker ein Team von drei bis fünf Personen, schließlich hat man bis dahin auch noch keinen Blick auf die Berechtigungen werfen können.

Die definierten Rollen müssen compliancekonform gestaltet sein und richtig vergeben werden. Kritische Kombinationen müssen von vornherein erkannt und verhindert werden.

Da braucht man den Rundumblick. Und dann muss das Team auch noch immer einen Schritt voraus sein und permanent erkennen, wo Berechtigungen ablaufen oder wo sie zu mächtig vergeben wurden.

Am Ende sollen die Fachabteilungen in der Lage sein, die richtigen Berechtigungen eigenständig zu vergeben. All diese Prozesse sind äußerst wissenslastig. Verlässt ein Mitarbeiter das Team, dann wird es schnell mal eng in Sachen Arbeitskraft und Know-how.

Da ist es keine Überraschung, dass Unternehmen mit einer Softwarelösung für ihr Lizenz- und Berechtigungsmanagement liebäugeln. Wenn sie dann folgende zehn Anforderungen beachten, wird aus der Idee auch eine runde Sache:

  1. Die Lizenzvergabe muss transparent und nachvollziehbar erfolgen, dem SAP-Audit standhalten und wirtschafsprüferfreundlich sein.
  2. Named-User-Lizenzen werden automatisch angepasst, wenn sich der Aufgabenbereich verändert.
  3. Die Bedingungen aus der SAP-Preis- und Konditionsliste sind immer aktuell hinterlegt.
  4. Weitere Kosten durch Engines und Packages werden ermittelt und transparent visualisiert.
  5. SAP-Berechtigungen werden automatisch und compliancekonform vergeben.
  6. Das Vier-Augen-Prinzip von Fachabteilung und Technik wird für alle Beteiligten verständlich und verantwortbar umgesetzt.
  7. SAP-Nutzer können sich entsprechend den Unternehmensvorgaben selbst verwalten.
  8. Kritische Kombinationen werden automatisch verhindert.
  9. Berechtigungen werden permanent auf ihre Aktualität geprüft und automatisch angepasst.
  10. Berechtigungskonzepte werden gemäß den genutzten Berechtigungen automatisch angepasst
avatar
E-3 Magazin

Information und Bildungsarbeit von und für die SAP-Community.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.