Wie Sie Ihre SAP-Berechtigungen ganz einfach managen

Share this article

Facebook
Google+
Twitter
LinkedIn

Immer wieder gibt es in Anwenderunternehmen unberechtigte Zugriffe auf kritische Daten in SAP-Systemen. Schuld daran ist oft ein historisch gewachsenes Berechtigungskonzept, in dem Rollen immer weiter vererbt und mit zusätzlichen Transaktionen angereichert wurden. Ein Fall aus der Praxis: Der Einkäufer eines Werks konnte in anderen Werken umfangreiche Zahlungsläufe auslösen. Dem Missbrauch war so Tür und Tor geöffnet. Leider kein Einzelfall. Da kann nur das passende Berechtigungsmanagement Abhilfe schaffen!

Mit einem durchdachten Berechtigungsmanagement Risiken minimieren

Hier hilft nur ein durchdachtes Berechtigungskonzept, bei dem man von Anfang an darauf achtet, dass durch die Kombination von Berechtigungen keine Risiken entstehen. Sensible Berechtigungen sollten daher nur bei absoluter Notwendigkeit vergeben werden. SAP-Anwenderunternehmen können sich hier beispielsweise am DSAG-Prüfleitfaden orientieren. Auch der IT-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) fordert eine restriktive Vergabe kritischer Berechtigungen. Hinzu kommt eine regelmäßige Überprüfung des bestehenden Rollen- und Berechtigungskonzepts. Ebenfalls von Vorteil für Unternehmen mit SAP im Einsatz ist ein internes Kontrollsystem (IKS).

Wenn der Wirtschaftsprüfer vor der Tür steht …

Der Besuch vom Wirtschaftsprüfer ist für viele Unternehmen ein Schreckensszenario: Nimmt der erst mal ein SAP-System und somit auch das Berechtigungskonzept unter die Lupe, ist es wichtig, dass alle Änderungen dokumentiert sind und mit den Änderungen im System übereinstimmen. Und genau hier liegt oft der Hase im Pfeffer: Denn diverse Auswertungen innerhalb von SAP, in E-Mails und Ordnern abgelegte Notizen, müssen dann aufwendig recherchiert und überprüft werden. Das kostet nicht nur Zeit und Nerven, sondern auch bares Geld.

So sparen Sie sich Arbeit und sichern auch noch Ihre Compliance

Dabei kann es so einfach gehen: Änderungen lassen sich automatisch und nachvollziehbar dokumentieren, wenn man das SAP-Berechtigungswesen mit Funktionen komplettiert, wie es setQ (basierend auf dem SIVIS License Manager) bietet. Mit dem Compliance Manager kann die Vergabe neuer Berechtigungen und deren Auswirkungen bereits im Vorfeld der Produktivsetzung simuliert werden. Ebenso lassen sich mit dieser Softwarelösung unterschiedliche Genehmigungsverfahren für Konflikte definieren. Das trägt so ganz nebenbei auch noch dem Vier- oder Sechs-Augen-Prinzip Rechnung. Der Compliance Reference Manager verfügt beispielsweise über 500 automatisierte Prüfabfragen, die sich auch noch individuell erweitern lassen. So kann man typische Konflikte schnell erkennen und beheben. Auf diese Weise lassen sich auch Rollen oder Berechtigungen von Mitarbeitern periodisch oder anlassbezogen kinderleicht überprüfen.

Drei Empfehlungen für SAP-Anwenderunternehmen:

1. Bei der Rechte-Vergabe darauf achten, ob die Rechte für den in Frage kommenden Arbeitsplatz wirklich notwendig sind.
2. Die Vergabe von Rechten in die zuständige Fachabteilung legen. Nur die Experten hier können die Notwendigkeit beantragter Rechte wirklich beurteilen.
3. Vergebene Rechte über eine Re-Zertifizierung periodisch hinterfragen. So lassen sich beispielsweise Konflikte beim Abteilungswechsel von Mitarbeitern vermeiden.

Ein Gastbeitrag von Manuela Gruber, SIVIS.

Neugierig geworden? Dann schauen Sie sich unser Webinar zum Thema SAP-Berechtigungsmanagement an! Hier geht’s zur Aufzeichnung…

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.