Fünf Schritte zum perfekten SAP-Berechtigungsmanagement

Um die Manipulation von Geschäftsdaten zu verhindern, sollten auch mittelständische Unternehmen den Zugriff auf sensible Unternehmensdaten im ERP-System durch ein sorgfältig geplantes und durchgesetztes Berechtigungskonzept regeln.

Mit über 2.700 Berechtigungsobjekten gestaltet sich das Berechtigungsmanagement für SAP allerdings nicht nur sehr flexibel, sondern auch äußerst komplex. Eine manuelle Verwaltung von Berechtigungen, Profilen und Rollen ist mit einem enormen Aufwand verbunden und zudem fehleranfällig.

Mangelnde personelle Ressourcen und unzureichendes Know-how im Bereich der SAP-Berechtigungen steigern das Sicherheitsrisiko zusätzlich. Deshalb sollte der Prozess zur Berechtigungsvergabe und -verwaltung so weit wie möglich automatisiert werden.

Dazu gibt es sowohl SAP-eigene Tools als auch Software von Drittanbietern, welche häufig besser auf die speziellen Anforderungen der Benutzer zugeschnitten und komfortabler in der Anwendung ist.

Das SAP-Berechtigungskonzept bildet die Organisation eines Unternehmens auf der Berechtigungsebene ab, das heißt, betriebswirtschaftliche Aufgaben werden technisch in Form von Berechtigungen dargestellt. Folgende fünf Schritte sind zu beachten:

Schritt 1 – Verantwortlichkeiten für das Berechtigungsmanagement nach dem „Vieraugenprinzip“ definieren: Für die Verwaltung sollten verschiedene Administratorenrollen (Benutzer-, Rollen-, Profil- und Administrator-Administrator) definiert werden, um sicherzustellen, dass sich ein Administrator nicht selbst Rollen zuordnen kann, sondern wie jeder andere SAP-Benutzer nur über die Berechtigungen verfügt, die er benötigt.

Schritt 2 – Rollen für SAP-Benutzer definieren: Entsprechend seinen Aufgaben muss ein SAP-Benutzer über bestimmte Berechtigungen in SAP verfügen, um diese Aufgaben auszuführen. Diese Berechtigungen werden einem Benutzer in Form von Rollen zugeordnet.

Die Rollen beschreiben damit eine Position oder ein bestimmtes Aufgabengebiet im Unternehmen und sollten nicht auf einen einzelnen Mitarbeiter, sondern auf eine Gruppe von SAP-Benutzern anwendbar sein. Andernfalls wird es unübersichtlich.

Schritt 3 – Generierung der Berechtigungsprofile: Ausgehend von den Rollen werden bestimmte Transaktionen (Funktionen) definiert, die der Benutzer ausführen können muss, um seine Aufgaben erfüllen zu können.

Mithilfe des SAP-eigenen Profilgenerators können die dafür benötigten Berechtigungen automatisch ermittelt werden. Aus den Berechtigungen wird dann das Berechtigungsprofil erzeugt und einer Benutzerrolle zugeordnet.

Schritt 4 – Analyse des Nutzerverhaltens: Bei der Berechtigungsvergabe lautet das oberste Prinzip: so viel wie nötig, so wenig wie möglich. Deshalb ist es nicht nur wichtig zu wissen, welche Transaktionen ein Benutzer in SAP ausführen können soll, sondern auch welche Transaktionen und Modulbereiche er tatsächlich nutzt.

Diese Analyse ist zwar sehr aufwändig und zeitintensiv, jedoch für eine compliancekonforme Vergabe von SAP-Berechtigungen von zentraler Bedeutung. Aber auch hierfür gibt es diverse Tools, die ein automatisches Auslesen der Nutzungsinformationen ermöglichen und den Aufwand um ein Vielfaches reduzieren.

Schritt 5 – Vergleich von Berechtigungsprofilen und tatsächlicher Nutzung: Anhand der Nutzungsdaten erfolgt nun ein Abgleich der erteilten Berechtigungen mit den tatsächlich genutzten und somit benötigten Berechtigungen.

Dies geschieht manuell oder automatisch mit einem Drittanbieter-Tool. SAP bietet dafür kein eigenes Tool an. Aus dem Abgleich ermittelt man eine Differenzmenge mit den Berechtigungsobjekten, die ungenutzt und damit scheinbar unnötig sind.

Das Berechtigungsprofil des Users kann dann automatisch aktualisiert werden. Professionelle Tools bieten zuvor jedoch noch einmal die Möglichkeit, manuell zu prüfen, ob diese Berechtigungen tatsächlich nicht benötigt werden, und gegebenenfalls nachzujustieren.

Wer also sein Berechtigungsmanagement automatisieren und optimieren möchte, benötigt eine Lösung, mit der die Aktivitäten der SAP-Nutzer ausgelesen und gegen die vorhandenen Berechtigungen abgeglichen werden können.

Mit einem Softwaretool wird das Berechtigungsteam in die Lage versetzt, das Berechtigungskonzept permanent aktuell zu halten sowie kritische Kombinationen von Berechtigungen automatisch zu verhindern, bevor sie überhaupt vergeben werden. Auf diese Weise sind die Unternehmensdaten perfekt geschützt und die Compliance gesichert.