Zehn Gebote für das SAP-Lizenz- und Berechtigungsmanagement

Den Wirtschaftsprüfer im Nacken und den SAP-Audit stets vor Augen, investieren Unternehmen genügend Zeit und Geld in ihr Berechtigungsmanagement.

Der Aufwand ist enorm und meist auch ein Garant für unerwünscht graue Haare beim Compliance Manager.

• Wie lassen sich betriebswirtschaftliche Rollen auf technischer Ebene abbilden?
• Nach welchen Kriterien sollen Berechtigungen vergeben werden?
• Klar, man schaut, was der User können soll und darf, aber eben auch, was er bereits in SAP bearbeitet. Welcher Aufwand dahintersteckt?

Hier mal ein Beispiel: Unser Vorzeigemitarbeiter Michael aus dem Berechtigungsteam wirft zuallererst einen Blick in die ST03N.

Dort findet er heraus, welche Transaktionen SAP-User X im SAP-System Y genutzt hat. Das schafft er in knapp zwei Minuten, er ist ja schließlich fix.

Und intelligent noch dazu. Deshalb erkennt er auch sofort anhand der genutzten Transaktionen, welche Lizenz diesem User zugeordnet werden muss.

Das dauert allerdings ein klein wenig länger, er benötigt dafür vier Minuten. Schnell in die SU01 gewechselt und dort die ermittelte (oder vielmehr geschätzte?) Lizenz eingetragen.

Das ging so fix, dass wir die Zeit dafür vergessen können.

Aber Sie ahnen es schon, User X ist eben auch noch in den SAP-Systemen A, B, C etc. unterwegs. Das Spiel beginnt von vorn.

Und weil Michael aber auch noch wissen will, was die LAW später ermitteln wird, bildet er aus allen in den unterschiedlichen Systemen definierten Lizenzen die letztlich resultierende und abrechenbare Lizenz.

Sagte ich schon, dass Michael besonders schnell ist? In zwei Minuten ist das erledigt. Unterm Strich braucht er also pro User und SAP-System acht Minuten. Im Unternehmen gibt es aber 4500 SAP-User auf fünf verschiedenen Systemen, also acht Minuten x 4.500 User x fünf Systeme.

Da wäre Michael bei einem 8-Stunden-Arbeitstag locker 375 Tage beschäftigt.

Sie merken schon: Das geht ja gar nicht. Das Jahr hat ja nur 365 Tage. Man braucht also locker ein Team von drei bis fünf Personen, schließlich hat man bis dahin auch noch keinen Blick auf die Berechtigungen werfen können.

Die definierten Rollen müssen compliancekonform gestaltet sein und richtig vergeben werden. Kritische Kombinationen müssen von vornherein erkannt und verhindert werden.

Da braucht man den Rundumblick. Und dann muss das Team auch noch immer einen Schritt voraus sein und permanent erkennen, wo Berechtigungen ablaufen oder wo sie zu mächtig vergeben wurden.

Am Ende sollen die Fachabteilungen in der Lage sein, die richtigen Berechtigungen eigenständig zu vergeben. All diese Prozesse sind äußerst wissenslastig. Verlässt ein Mitarbeiter das Team, dann wird es schnell mal eng in Sachen Arbeitskraft und Know-how.

Da ist es keine Überraschung, dass Unternehmen mit einer Softwarelösung für ihr Lizenz- und Berechtigungsmanagement liebäugeln. Wenn sie dann folgende zehn Anforderungen beachten, wird aus der Idee auch eine runde Sache:

1. Die Lizenzvergabe muss transparent und nachvollziehbar erfolgen, dem SAP-Audit standhalten und wirtschafsprüferfreundlich sein.
2. Named-User-Lizenzen werden automatisch angepasst, wenn sich der Aufgabenbereich verändert.
3. Die Bedingungen aus der SAP-Preis- und Konditionsliste sind immer aktuell hinterlegt.
4. Weitere Kosten durch Engines und Packages werden ermittelt und transparent visualisiert.
5. SAP-Berechtigungen werden automatisch und compliancekonform vergeben.
6. Das Vier-Augen-Prinzip von Fachabteilung und Technik wird für alle Beteiligten verständlich und verantwortbar umgesetzt.
7. SAP-Nutzer können sich entsprechend den Unternehmensvorgaben selbst verwalten.
8. Kritische Kombinationen werden automatisch verhindert.
9. Berechtigungen werden permanent auf ihre Aktualität geprüft und automatisch angepasst.
10. Berechtigungskonzepte werden gemäß den genutzten Berechtigungen automatisch angepasst