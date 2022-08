Funktionale SAP-Berechtigungskonzepte

Das Berechtigungs- und Lizenzmanagement innerhalb des SAP-Kosmos ist ein heikles Thema. Während manche die Notwendigkeit von SAP-Berechtigungen und der damit verbundenen Konzepte immer noch infrage stellen, scheuen sich andere aufgrund der hohen Komplexität vor deren Umsetzung. Fakt ist: Für die unternehmensweite Compliance und IT-Sicherheit sind SAP-Berechtigungskonzepte unverzichtbar. Doch wie erhalten Unternehmen ein zuverlässiges Konzept, ohne daran zu verzweifeln? Existiert der eine Königsweg oder führen mehrere Pfade ans Ziel?

Gerade in größeren SAP-Umgebungen bedarf es eines durchdachten Berechtigungskonzepts.

Ein SAP-Berechtigungskonzept bildet einschlägige Rechtsnormen und unternehmensinterne Regelungen ab, die es mit den IT-Sicherheitsvorgaben innerhalb eines SAP-Systems in Einklang zu bringen gilt. Mit einem durchdachten Berechtigungskonzept lässt sich der administrative Aufwand deutlich reduzieren bei gleichzeitiger Erfüllung der rechtlichen Auflagen. Es schafft nicht nur die gewünschte Compliance, also nachvollziehbare Strukturen samt lückenloser Dokumentation und Versionierung, sondern stattet auch jeden Benutzer regelkonform mit den Berechtigungen im SAP-System aus, die für seine Aufgaben nötig sind.



Kein Zeichen von Misstrauen, sondern unverzichtbarer Schutz

Wer glaubt, klare Berechtigungen seien ein Zeichen von Misstrauen, liegt falsch. Sie dienen dem Schutz des Unternehmens und der Mitarbeiter gleichermaßen. So lassen sich massive Schäden verhindern, die durch versehentliche Handlungen der Beschäftigten entstehen können. Typische Beispiele hierfür sind das Aufheben einer Liefersperre oder die falsche Verwendung einer Massenänderungsfunktion. Zugleich schützt ein Berechtigungskonzept vor Betrugsversuchen, etwa dass Mitarbeiter Bilanzen fälschen und auf diese Weise der Organisation schaden.



Obwohl SAP-Berechtigungskonzepte Unternehmen vor erheblichen finanziellen Schäden und Reputationsschäden bewahren können, beschäftigt sich der Großteil erst damit, wenn externe und interne Ereignisse sie dazu zwingen. Zu den externen Ereignissen gehören klassischerweise Audits und Wirtschaftsprüfungen. Intern führen in der Regel historisch gewachsene Berechtigungen zu Konflikten und erfordern dann eine Reduzierung bis hin zu einer grundlegenden Bereinigung. Aber auch eine in naher Zukunft unausweichliche Migration auf S/4HANA veranlasst Unternehmen dazu, sich mit dem Thema Berechtigungen zu befassen.