Information und Bildungsarbeit von und für die SAP-Community

Nie wieder historisch gewachsene Berechtigungskonzepte!

Risikoregelwerke helfen, komplexe Berechtigungen zu managen und Compliance zu wahren. Wie Sie zudem mit der richtigen Strategie Cyberangriffe verhindern und Kosten sparen.
Christopher Niekamp, IBS Schreiber
29. August 2024
avatar

Jeder, der schon einmal seinen Keller ausgemistet hat, kennt das: Über die Jahre haben sich Dinge angesammelt, manches nützlich, anderes überflüssig oder gar gefährlich. Ähnlich verhält es sich in der IT-Landschaft vieler Unternehmen, besonders wenn es um SAP-Berechtigungskonzepte geht. Historisch gewachsene Strukturen als Ergebnis jahrelanger Anpassungen, Erweiterungen und „Notlösungen“.
SAP-Berechtigungskonzepte sind komplex. Sie müssen sicherstellen, dass jeder Mitarbeiter genau die Zugriffsrechte hat, die er für seine Arbeit benötigt. Zu restriktive Berechtigungen können den Arbeitsfluss behindern, zu großzügige Berechtigungen können Sicherheitsrisiken darstellen, wie bspw. der Funktionstrennungskonflikt „Kreditor Stammdaten pflegen UND Kreditor Rechnung oder Gutschrift buchen“.

Die Wege, diesen Prozess im System auszuführen, sind vielschichtig und schwer zu prüfen, was sich immer wieder bei SAP-Sicherheitsprüfungen und sogar bei aktuellen S/4-Projekten zeigt. Hinzu kommt die Notwendigkeit, gesetzliche Vorgaben und interne Compliance-Richtlinien einzuhalten und diese mit den Fachbereichsverantwortlichen zu besprechen.

Regelwerk fürs Risiko

Genau hier kommen Risikoregelwerke ins Spiel. Wie ein erfahrener Aufräumexperte helfen sie, Klarheit in das Chaos zu bringen. Aber Vorsicht: Nicht jedes Risikoregelwerk ist hilfreich. Einige übersehen Risiken, andere sind zu rigoros und entfernen nützliche Berechtigungen. Es ist entscheidend, auf ein Risikoregelwerk mit breitem Fachwissen und Erfahrung von SAP-Prüfern zu setzen.

Ein präzises Risikoregelwerk erkennt feinste Abweichungen und bestimmt, welche Berechtigungen problematisch sind. Durch die Minimierung unnötiger Zugriffswarnungen und False Positives werden die Effizienz gesteigert und Ressourcen gespart. Ein gutes Risikoregelwerk schafft gemeinsame Standards und verbessert die Kommunikation zwischen den Abteilungen. Sauberes Rollendesign gewährleistet eine effiziente und präzise Berechtigungsvergabe, die den Anforderungen des Unternehmens entspricht. Risiko- und Prozessbeschreibungen sollten enthalten sein, damit auf dieser Basis ein Verständnis neben der technischen Komponente geschaffen wird. Ein Risikoregelwerk sollte stetigen Updates unterzogen werden, um der Dynamik der technischen Inhalte gerecht zu werden.

S/4-Neustartoption

Der Wechsel zu S/4 Hana bietet die Chance, mit einem leeren Keller zu starten. Aber auch hier lauern Fallstricke. Die neue Architektur, die Trennung von Front- und Backend und die Einführung von SAP Fiori Apps bringen neue Herausforderungen mit sich. Risikoregelwerke können vor allem auch hier helfen, den Überblick zu behalten und sicherzustellen, dass die Berechtigungen im neuen System deutlich sauberer und effizienter gehalten werden als früher. Somit wird der neue Keller strukturiert und ohne Altlasten eingeräumt – was sich positiv auf die SAP-Sicherheitsprüfung auswirkt.

Historisch gewachsene SAP-Berechtigungskonzepte stellen gerade im Blumenstrauß der neuen Anforderungen (technisch, gesetzlich und inhaltlich) eine Herausforderung dar. Mit der richtigen Strategie, den passenden Werkzeugen und einem erfahrenen Team können sie jedoch effizient optimiert werden. Wer sich das Ziel setzt, ein sicheres und effizientes SAP-System zu betreiben, das den Compliance-Anforderungen entspricht und Kosten senkt, der rüstet sich für die Zukunft.

Wer jedoch kein aktuelles Risikoregelwerk verwendet, riskiert künftig zusätzliche Kosten bei SAP-Berechtigungen und gefährdet die Unternehmens-Sicherheit. Denn auch durch diese Lücken entstehen vermehrt Cyberangriffe, die Unternehmen nachhaltig schädigen können. Am Ende ist ein aufgeräumter Keller ein großartiges Gefühl, oder?

ibs-schreiber.de

avatar
Christopher Niekamp, IBS Schreiber

Christopher Niekamp ist Geschäftsführer für die Bereiche Vertrieb, Marketing und das Akademiegeschäft bei IBS Schreiber.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.