Fachartikel

Funktionale SAP-Berechtigungskonzepte

Das Berechtigungs- und Lizenzmanagement innerhalb des SAP-Kosmos ist ein heikles Thema. Während manche die Notwendigkeit von SAP-Berechtigungen und der damit verbundenen Konzepte immer noch infrage stellen, scheuen sich andere aufgrund der hohen Komplexität vor deren Umsetzung. Fakt ist: Für die unternehmensweite Compliance und IT-Sicherheit sind SAP-Berechtigungskonzepte unverzichtbar. Doch wie erhalten Unternehmen ein zuverlässiges Konzept, ohne daran zu verzweifeln? Existiert der eine Königsweg oder führen mehrere Pfade ans Ziel?
Gerade in größeren SAP-Umgebungen bedarf es eines durchdachten Berechtigungskonzepts.
Ein SAP-Berechtigungskonzept bildet einschlägige Rechtsnormen und unternehmensinterne Regelungen ab, die es mit den IT-Sicherheitsvorgaben innerhalb eines SAP-Systems in Einklang zu bringen gilt. Mit einem durchdachten Berechtigungskonzept lässt sich der administrative Aufwand deutlich reduzieren bei gleichzeitiger Erfüllung der rechtlichen Auflagen. Es schafft nicht nur die gewünschte Compliance, also nachvollziehbare Strukturen samt lückenloser Dokumentation und Versionierung, sondern stattet auch jeden Benutzer regelkonform mit den Berechtigungen im SAP-System aus, die für seine Aufgaben nötig sind.

Kein Zeichen von Misstrauen, sondern unverzichtbarer Schutz
Wer glaubt, klare Berechtigungen seien ein Zeichen von Misstrauen, liegt falsch. Sie dienen dem Schutz des Unternehmens und der Mitarbeiter gleichermaßen. So lassen sich massive Schäden verhindern, die durch versehentliche Handlungen der Beschäftigten entstehen können. Typische Beispiele hierfür sind das Aufheben einer Liefersperre oder die falsche Verwendung einer Massenänderungsfunktion. Zugleich schützt ein Berechtigungskonzept vor Betrugsversuchen, etwa dass Mitarbeiter Bilanzen fälschen und auf diese Weise der Organisation schaden.

Obwohl SAP-Berechtigungskonzepte Unternehmen vor erheblichen finanziellen Schäden und Reputationsschäden bewahren können, beschäftigt sich der Großteil erst damit, wenn externe und interne Ereignisse sie dazu zwingen. Zu den externen Ereignissen gehören klassischerweise Audits und Wirtschaftsprüfungen. Intern führen in der Regel historisch gewachsene Berechtigungen zu Konflikten und erfordern dann eine Reduzierung bis hin zu einer grundlegenden Bereinigung. Aber auch eine in naher Zukunft unausweichliche Migration auf S/4HANA veranlasst Unternehmen dazu, sich mit dem Thema Berechtigungen zu befassen.
Drei Handlungsmöglichkeiten, ein Ziel
Sehen sich Unternehmen mit einem dieser Ereignisse konfrontiert, haben sie im Wesentlichen drei Handlungsmöglichkeiten:
  1. Kurz vor knapp: Natürlich steht es Unternehmen frei, zunächst eine Warteposition einzunehmen und ihr SAP-Berechtigungskonzept erst anzugehen, wenn kein Weg mehr daran vorbeiführt. Zu empfehlen ist dies allerdings nicht. Insbesondere dann nicht, wenn das nächste Audit vor der Tür steht. Unternehmen sind gut beraten, nicht erst einen solch zeitkritischen Trigger als Anlass zu nehmen, um sich mit ihrem SAP-Berechtigungskonzept zu beschäftigen.

  2. Punktuelle Anpassungen: Eine weitere eher notgedrungene Möglichkeit für Unternehmen ist es, reaktiv punktuelle Anpassungen hinsichtlich ihres SAP-Berechtigungskonzepts vorzunehmen und so den aktuellen Schmerz zu lindern. In Fachkreisen wird ein solches Vorgehen auch gerne als Feigenblatt-Methode bezeichnet. Diese ist oft weniger prozessgetrieben und macht nach einer gewissen Zeit, etwa aufgrund zu vieler Schnittstellen, Workarounds oder Intransparenzen, einen Neuanfang unausweichlich. Denn echte, schnelle Vorteile entstehen nur dann, wenn die punktuellen Anpassungen mit Weitsicht erfolgen und eine zukünftige, ganzheitliche Lösung bei der Planung bereits berücksichtigt wird.

  3. Ganzheitlicher Ansatz: Das Optimum für Unternehmen ist, ihr SAP-Berechtigungskonzept in eine ganzheitliche Strategie einzubetten. Das heißt, dieses mittels eines integrierten Systems modular einzuführen. Das mag zwar auf den ersten Blick aufwendiger sein als punktuelle Anpassungen, hat aber gleich mehrere Vorteile. Zum einen müssen Unternehmen keine Schnittstellen entwickeln. Zum anderen lässt sich die Lösung dank ihres modularen Aufbaus perfekt auf die individuellen Unternehmens- und Mitarbeiterbedürfnisse zuschneiden. Wenn man so möchte, lindert diese Methode nicht nur den Schmerz, sondern packt das Problem an ihrer Wurzel.
Seite 1: Drei Handlungsmöglichkeiten, ein Ziel


Seite 1 von 2 Nächste Seite >>
10.08.2022/ln/Andreas Knab, Experte für SAP-Berechtigungen und Lizenzierung bei Sivis

Nachrichten

Angreifer nutzen spezielles Dateisystem für Linux-Attacken [6.12.2022]

Auch Linux ist nicht vor Malware sicher. Doch legen die unterschiedlichen Distributionen Angreifern gewisse Hürden in den Weg, da sie ihre Schadsoftware stets anpassen müssen. Aus diesem Grund scheinen einige Hacker auf das Filesystem PRoot auszuweichen, dass ihnen ermöglicht, verschiedene Linux-Distributionen gleichzeitig anzugreifen. [mehr]

Besserer Schutz für vernetzte Medizingeräte [5.12.2022]

Gesundheitsdienstleister setzen digitale Geräte wie Diagnose- und Überwachungssysteme, Ambulanzgeräte und Operationsroboter ein, um die Patientenversorgung zu verbessern. Die Sicherheit dieser Geräte ist daher ebenso wichtig wie ihre primäre Funktion. Palo Alto Networks hat nun "Medical IoT Security" vorgestellt, das dank Machine Learning für Schutz sorgen soll. [mehr]

Auf Bedrohungssuche [1.12.2022]

Tipps & Tools

Online-Intensivseminar "Azure-Administration" [28.11.2022]

Das neue Intensivseminar "Azure-Administration" vermittelt an drei Tagen online, wie Sie Ihre Azure-Abonnements verwalten, Identitäten sichern, die Infrastruktur administrieren sowie virtuelle Netzwerke konfigurieren. Daneben zeigen wir, auf welchem Weg Sie Azure- und lokale Standorte richtig verbinden, den Netzwerkverkehr verwalten, Speicherlösungen implementieren, virtuelle Maschinen erstellen, Managed Services in Anspruch nehmen, Daten sichern und Ihre Umgebung überwachen. Sichern Sie sich rasch Ihren Platz für das Intensivseminar, das vom 29. bis zum 31. März 2023 stattfindet – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Zahl der Cloudnative-Anwender legt weiter zu [1.11.2022]

Laut einer aktuellen Umfrage nimmt die Attraktivität Public-Cloud-gestützter Entwicklungs- und Betriebskonzepte spürbar zu. Ein wichtiger Treiber ist dabei der Kostendruck in Unternehmen. Doch steht ein grundlegender Paradigmenwechsel weiterhin aus – vor allem weil der Fachkräftemangel als immer stärkerer Hemmschuh wahrgenommen wird. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen