Information und Bildungsarbeit von und für die SAP-Community
IT Management, Mag 23-06

Der virtuelle SAP-Rollenberater

SAP-Einführungen, Migrationen auf S/4 oder die Vorbereitung auf Wirtschaftsprüfungen und Compliance-Zertifizierungen: SAP-Experten sind gut ausgelastet, häufig überlastet. Auch das Thema Berechtigungskonzept steht auf vielen To-do-Listen – ungeliebt, aber unentbehrlich.
Philipp Latini, Sivis
20. Juli 2023
Inhalt:
avatar

Entlastung durch Berechtigungskonzepte 2.0

Das Berechtigungskonzept ist zu langwierig, zu komplex, zu teuer, finden viele Unternehmen. Gleichzeitig kann es sich aber kein Unternehmen leisten, überalterte Berechtigungskonzepte auszusitzen oder den Go-live großzügig mit „SAP_ALL“ zu planen. Zu groß sind die wirtschaftlichen und sicherheitstechnischen Risiken von Fehlern, Datenmissbrauch und überdimensionierten Lizenzpaketen, wenn jeder alles darf.

Doch der Fachkräftemangel entwickelt sich immer mehr zum limitierenden Faktor für gute, revisionssichere Berechtigungskonzepte. SAP-Spezialisten – sowohl internes IT-Personal als auch externe SAP-Berater – gehören zu den meistgesuchten Experten im IT-Arbeitsmarkt. „Gold wert“ titelte ein Artikel im Handelsblatt und brachte damit die angespannte Lage auf den Punkt. Moderne Technologien können helfen, diesen Gap abzufedern. 

Run Analysis Dashboard: Auf dem Run Analysis Dashboard werden die verschiedenen berechneten Konzepte mit ihren KPIs (zum Beispiel Rollenanzahl, Compliance Score, Anzahl Abweichungen) angezeigt und gegenübergestellt. Anhand dieser verschiedenen KPIs kann der Nutzer das für sein Unternehmen passende Konzept auswählen. Zudem lassen sich die KPIs verschiedener Konzepte in einem Radar Chart miteinander vergleichen. Bildquelle: Sivis GmbH.

Inzwischen gibt es zahlreiche Tools am Markt, die den Verwaltungsaufwand für das Berechtigungsmanagement senken und so Teilaufgaben beschleunigen. Doch der primäre Flaschenhals bleibt bestehen: Nach wie vor ist der Rollenbau ein „Human Task“, der Hunderte an Arbeitsstunden bindet und viel Know-how erfordert. Der große Wurf kann deshalb nur durch intelligente Automation gelingen – mit Lösungen, die nicht nur zeitlich entlasten, sondern auch Interaktionen zwischen Menschen und Maschinen ermöglichen. Hier setzt der weltweit erste virtuelle Rollenberater an: Mittels Automated Role Mining werden komplexe Konzeptvorschläge für Einzel- und Sammelrollen automatisiert erstellt oder optimiert.

Modellierung und Handling

Da die Modellierung von SAP-Berechtigungskonzepten das Handling sehr großer Datenmengen voraussetzt, basiert die Softwarelösung auf einem metaheuristischen Ansatz mit evolutionären Algorithmen. Oder weniger wissenschaftlich formuliert: Mithilfe einer enorm hohen Rechenleistung nähert sich das System durch ein Wechselspiel aus Variation und Selektion der besten Lösung an. Vergleichbar mit Robotic Process Automa-tion (RPA) werden repetitive Tätigkeiten in hoher Geschwindigkeit automatisiert und das Verhalten menschlicher Nutzer simuliert. Das Ergebnis ist der Authorization Robot. Das Tool bietet im gesamten Lebenszyklus der SAP-Berechtigungskonzepte enormes Effizienzpotenzial, von der Erstentwicklung bis hin zur laufenden Pflege.

Konventionell versus automatisiert: Wie verändert der virtuelle Rollenberater Berechtigungsprojekte in der Praxis? Schritt 1, die Unternehmensanalyse: Jedes Berechtigungsprojekt startet mit einer Analyse der Unternehmensstruktur und Geschäftsprozesse. In konventionellen Projekten wird diese Bestandsaufnahme in vielen Meetings und Workshops von interdisziplinären Teams durchgeführt: SAP-Berater klären gemeinsam mit internen SAP-Verantwortlichen und den Fachbereichen den Projektscope und tragen alle relevanten Informationen und Daten zusammen. Unter anderem werden bestehende Berechtigungen beurteilt, Mitarbeiterlisten, Stellenprofile, Projektlisten und Organigramme ausgewertet, relevante Sicherheits- und Qualitätsrichtlinien identifiziert und die tatsächliche Nutzung von SAP-Transaktionen erfasst.

Mögliche Vorteile und Gewinne eines automatisierten Vorgehens.

Für automatisiert erstellte Berechtigungskonzepte werden als Datenbasis stattdessen bis zu vier Monate Trace-Daten der SAP-Transaktionen gesammelt – selbstverständlich DSGVO-konform und in Abstimmung mit dem Betriebsrat. Die Zahl der Meetings sinkt, das Projekt bindet weniger interne Kapazitäten und benötigt weniger externe Beraterstunden. Weiterer Vorteil: Die Datenbasis ist deutlich größer, sodass die Qualität des Berechtigungskonzepts steigt.

Schritt 2, der Rollenbau: Jetzt geht es an die Konzeption: Auf Basis der gesammelten Daten und Informationen werden Berechtigungen in Rollen gebündelt. In konventionellen Projekten ist das Rollen-Engineering mühevolle Kleinarbeit, die viele Tabellen füllt: Welche Business- oder Arbeitsplatzrollen benötigen welche Rechte, um die Aufgaben reibungslos ausführen zu können? Welche Rollen dürfen Daten einsehen, erfassen, bearbeiten, löschen? Wo gibt es Funktionstrennungskonflikte oder sicherheitskritische Prozesse? Welche Namenskonventionen machen Sinn? Und welche Rollen werden am Ende den einzelnen Nutzern zugeordnet? 600 Arbeitsstunden für den Rollenbau eines Berechtigungskonzepts mit 1000 Usern sind durchaus realistisch. Zwar gibt es vorgefertigte Standard-Templates. Doch Berechtigungskonzepte sind immer sehr unternehmensspezifisch, sodass in der Regel immer individuelle Anpassungen und Ergänzungen nötig sind.

Authorization Robot

In automatisierten Projekten spielt der Authorization Robot seinen Vorteil aus: Er analysiert Millionen von Tracingdaten mit effizienten Matrix-Clustering-Verfahren, die zusammenhängende Abteilungen, Prozesse und Muster in den Nutzungsdaten identifizieren und komplexe Konzeptvorschläge kalkulieren – schneller und passgenauer als jeder SAP-Consultant: Beta-Tests zeigen ein Einsparungspotenzial von über 90 Prozent der Beraterstunden und 30 Prozent der Lizenzkosten sowie eine um 80 Prozent verkürzte Projektlaufzeit.

Auch individuelle Ziele oder Prioritäten können vorgegeben werden und fließen in die Berechnungen ein, abgestimmt auf Parameter wie „Lizenzkosten-Optimierung“ oder „Maximales Sicherheitslevel“. Die Nutzeroberfläche des virtuellen Rollenberaters visualisiert bereits während des Rechenprozesses die Entwicklung der verschiedenen Kennzahlen in Echtzeit auf dem Dashboard. Die verwendeten Webtechnologien ermöglichen verschiedenste intuitiv erfassbare Visualisierungsformen wie Graph-Views, Sunburst-Grafiken oder Tree-Maps. Komplexe Zusammenhänge und Muster werden strukturiert vermittelt, vom kompakten Gesamtüberblick bis hin zu granularen Details.

In Verbindung mit KI-gestützten Modulen agiert der virtuelle Rollenberater zudem intelligent, beispielsweise um verständliche Namenskonventionen für die Rollen zu generieren: Welchen semantisch sinnvollen Namen würde ein Mensch der jeweiligen Rolle zuweisen? Diese Frage wird mittels Machine-Learning-Verfahren beantwortet. Neuronale Netze greifen unter anderem auf vergangene Projekte zurück, um die Erfahrung von Beratern und Experten in die Entwicklung passender Namenskonventionen einfließen zu lassen.

Schritt 3, die Validierung: Egal ob konventionell erarbeitet oder automatisiert erstellt: Der Vorschlag für das Konzept wird nun durch einen SAP-Consultant validiert, mit den Fachbereichen abgestimmt und falls nötig verfeinert. Nach einem Testing ist das neue Berechtigungskonzept einsatzbereit. 

Nach dem Berechtigungskonzept ist vor dem Berechtigungskonzept, denn egal wie gut das Erstkonzept war: Schnell entsteht Wildwuchs, wenn die Rechte einzelner Nutzer, historisch gewachsene Rollen und die Prozesslandschaft nicht regelmäßig kontrolliert und angepasst werden. Die konventionelle, manuelle Pflege von Berechtigungskonzepten wird der Geschwindigkeit und Komplexität der realen Unternehmenswelt nicht mehr gerecht. Die Folge sind Sicherheitslücken, Compliance-Verstöße und teure Überlizenzierungen. 

Die Detailansichten der berechneten Rollen ermöglichen eine kompakte und detaillierte Übersicht über deren Inhalte. Dazu gehören der Rollenname, die KPIs der Rolle, in der Rolle enthaltene Transaktionen und Services, aus welchem Modul diese stammen und eine kurze Beschreibung der Anwendungen. Bildquelle: Sivis GmbH.

Zwar spielt die Automatisierung ihr volles Potenzial bei initialen Rollenkonzepten, Migrationen und großen Redesign-Projekten aus, aber auch bei der regelmäßigen Pflege oder für punktuelle Aufgaben leistet der virtuelle Rollenberater wertvollen Support. Quick Checks liefern Empfehlungen für gezielte Optimierungen – beispielsweise überflüssige Berechtigungen oder Sicherheitskonflikte (SoD) – und auch die Vorbereitung auf Audits oder Zertifizierungen wie PCI DSS verläuft effizienter und stressfreier.

Menschen und Maschine

SAP-Berechtigungskonzepte brauchen SAP-Experten – auch in Zukunft. Aber die limitierte Ressource Mensch muss effizienter eingesetzt werden, damit der Fachkräftemangel nicht zur Verschleppung oder zu einer halbherzigen Umsetzung dieses hochsensiblen Sicherheitsthemas führt. Automatisierungslösungen wie der Authorization Robot sind deshalb keine Konkurrenz für IT-Abteilungen oder SAP-Consultants, sondern eine sinnvolle Entlastung. Der virtuelle Rollenberater wird zum hocheffizienten Kollegen im Mensch-Maschine-Team und schafft wichtige Freiräume: für strategische Beratung, für das Projektmanagement, für Schulungen und Change-Begleitung.

https://e3magpmp.greatsolution.dev/partners/sivis-gmbh/
avatar
Philipp Latini, Sivis

Philipp Latini ist Geschäftsführer bei Sivis. Das Unternehmen ist auf Software für Berechtigungsmanagement, Benutzerverwaltung und Compliance spezialisiert. Bevor Philipp Latini 2020 die Position als CEO übernahm, war der IT-System-Kaufmann zunächst als Sales Manager und Head of Consulting bei Sivis tätig.


Alle Artikel des Autors

Schreibe einen Kommentar

Herausforderungen der Transformation meistern

Die Leiden des jungen CIO

KI muss als Teaminitiative gesehen werden

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.