mindsquare.de durchsuchen

SAP Berechtigungskonzept

Sie brauchen einen SAP Berechtigungskonzept Berater und/oder möchten, dass wir Ihnen unser Angebot in diesem Umfeld vorstellen?

Tobias Harmes
26. September 2017

Zugriffsmöglichkeiten und Berechtigungen werden im SAP Berechtigungskonzept festgelegt und kontrolliert. Wie sicher Geschäftsdaten in SAP sind, hängt maßgeblich an der Vergabe von Berechtigungen und Zugriffsmöglichkeiten der Benutzer eines Unternehmens. 

Aufgabe & Funktionsweise vom SAP Berechtigungskonzept

Erhöhte Anforderungen an die Compliance und die Ausgestaltung Interner Kontrollsysteme konfrontieren Unternehmen mit einer steigenden Anzahl an Regeln darüber, wie SAP- (und weitere IT-)Systeme technisch geschützt werden müssen. Im SAP Berechtigungskonzept werden solche Rechtsnormen und unternehmensinterne Regeln konkretisiert. So ist dafür gesorgt, dass jeder Nutzer nur die Berechtigungen erhält, die er für seine Tätigkeit benötigt. Das unternehmerische Risiko lässt sich damit auf ein Mindestmaß reduzieren.

Das SAP Berechtigungskonzept sichert ab, dass auf Transaktionen, Programme und Services in SAP-Systemen kein unberechtigter Zugriff stattfinden kann. Um im SAP-System betriebswirtschaftliche Objekte aufzurufen oder Transaktionen durchzuführen, benötigt ein Anwender deshalb entsprechende Berechtigungen. Beim Aufruf prüft die über eine Transaktion gestartete Applikation, ob die Berechtigung vorliegt und der Nutzer die ausgewählte Operation durchführen darf.

Security Lock in the hand of businessman.

Sie kennen Ihr bestehendes SAP Berechtigungskonzept und wünschen sich eine Überarbeitung? Sie haben Vorgaben der Wirtschaftsprüfer, ein konsistentes SAP Berechtigungskonzept zu erarbeiten und ggf. später auszurollen?

Über das Konzept teilt der SAP-Administrator den Anwender/innen ihre dedizierten Berechtigungen zu. Hinter diesen verbirgt sich ein Prüfmechanismus, der auf so genannten Berechtigungsobjekten aufsetzt, durch welche die Objekte bzw. Transaktionen geschützt sind. Ein Berechtigungsobjekt kann bis zu zehn Berechtigungsfelder umfassen. Dadurch sind komplexe, an mehrere Bedingungen gebundene Berechtigungsprüfungen möglich.

Im SAP Berechtigungskonzept wird darüber hinaus die Organisation der Berechtigungen innerhalb des SAP-Systems abgebildet. Die Aufbauorganisation definiert Verantwortlichkeiten und die Genehmigungshierarchie, die Ablauforganisation legt Prozessschritte und dafür erforderliche Aktivitäten und Berechtigungsobjekte in SAP fest. Das Berechtigungskonzept muss daher flexibel genug sein, um künftige Änderungen in der Organisation schnell und regelkonform umsetzen zu können.

Vergabe von Rollen

Berechtigungen werden in einem Unternehmen üblicherweise nicht für Individuen, sondern für Rollen vergeben. Eine Rolle beschreibt Arbeitsplätze oder Positionen innerhalb der Organisation. Eine oder mehrere Personen können eine Rolle innehaben und verfügen damit über die der Rolle zugeordneten Zugangsberechtigungen. Das Berechtigungsprofil (die Anzahl an Berechtigungen) einer Rolle beinhaltet alle Berechtigungsobjekte, die zur Ausführung der Transaktionen erforderlich sind. Mittels eines Profilgenerators (Transaktion PFCG) lässt sich die Erstellung des Berechtigungsprofils in SAP automatisieren.

Nach Definition der Rollen und Erzeugung der dazugehörigen Berechtigungsprofile werden anschließend die einzelnen Personen im Unternehmen den Rollen zugeordnet. Dabei findet der so genannte Benutzerabgleich statt und die rollenspezifischen Berechtigungen werden im Benutzerstammsatz gespeichert. Der Stammsatz enthält alle Informationen zu einem SAP-Benutzer, einschließlich der Berechtigungen.

Unser E-Book zum SAP Berechtigungskonzept

E-Book SAP Berechtigungskonzept

Wozu ein Berechtigungskonzept? Welche Elemente enthält es idealerweise und welche Tools erleichtern das Berechtigungsdesign?

Kritische Berechtigungen

Bestimmte SAP-Berechtigungen, darunter solche zur Tabellenpflege (S_TABU_*) bedürfen aus Gründen des Datenschutzes besonderer Aufmerksamkeit. Hierbei spricht man von so genannten Kritischen Berechtigungen. Im Zuge der Berechtigungsplanung sollte ein Unternehmen festlegen, welche Berechtigungen als kritisch anzusehen sind, welche Rollen welche kritischen Berechtigungen bzw. Werte für kritische Berechtigungsfelder erhalten dürfen etc. Das Bundesamt für Sicherheit in der Informationstechnik hat detaillierte Hinweise zur Definition kritischer Berechtigungen zusammengestellt.

Ausprägungen SAP Berechtigungskonzept

Das SAP Berechtigungskonzept ist generell in zwei Ausprägungen zu erstellen: für den ABAP– sowie den Java-Stack. Welche Rollen benötigt werden, welche Rolle welche SAP-Funktionen aufrufen darf und weitere konzeptionelle Fragen sind dabei identisch. Dennoch gibt es fundamentale Unterschiede zwischen beiden Ausprägungen.

Für den ABAP-Stack lassen sich Berechtigungsprofile wahlweise manuell oder durch Einsatz des Profilgenerators erstellen. Die Verwendung des Profilgenerators ist jedoch zwingend empfohlen, da die manuelle Verwaltung in der Regel Fehlkonfigurationen der Berechtigungen nach sich zieht. Mit dem Profilgenerator ist garantiert, dass die Benutzer nur die durch ihre Rolle zugeordneten Berechtigungen erhalten. Konzepte, Prozesse und Abläufe müssen deshalb auf den Einsatz des Profilgenerators abgestimmt sein. Für den Java-Stack besteht keine Wahlmöglichkeit; hier muss der J2EE-Berechtigungsmechanismus genutzt werden. Die User Management Engine bietet dabei Optionen, die über den J2EE-Standard hinausgehen.

Websession: SAP Berechtigungskonzept

Sie haben Fragen zum SAP Berechtigungskonzept? In einer kostenlosen Websession besprechen wir Ihre Herausforderungen und Möglichkeiten. Ich freue mich auf den Austausch mit Ihnen.

Einführung & Best Practices

Sie haben Fragen zum SAP Berechtigungskonzept? Sie wollen ein bestehendes Berechtigungskonzept überarbeiten oder benötigen Hilfe bei der Vergabe von SAP-Berechtigungen? Unsere SAP Berater unterstützen Sie gerne in allen Fragen zu Aufbau und Ausgestaltung von SAP Berechtigungskonzepten. Wir haben auf Basis unserer langjährigen Erfahrung Best-Practice-Vorgehensweisen entwickelt, sodass wir Sie sowohl bei Erstimplementierungen als auch bei Herausforderungen im laufenden Betrieb schnell und kostengünstig unterstützen können. Vereinbaren Sie ein unverbindliches Beratungsgespräch und machen Sie den nächsten Schritt in Ihrer digitalen Transformation.

Verwandte Know-Hows

Das SAP Change Request Management umfasst und steuert alle Schritte, die für die Umsetzung von Verbesserungswünschen und Behebung von Programmfehlern im SAP-System erforderlich sind.
SAP Identity Management (IdM) ist ein System, das zur zentralisierten Verwaltung von Benutzern und SAP Berechtigungen im Unternehmen dient.
Durch Softwaremängel, Fehlkonfiguration oder unberechtigte Zugriffe ist das SAP-System potenziell gefährdet, die für ein Unternehmen daraus resultierenden Risiken zu beseitigen bzw. zu minimieren, ist die Aufgabe der SAP Security.

Passende Angebote zum Thema

Haben Sie und ihre Mitarbeiter den Überblick über die gewachsenen Berechtigungen und Rollen im SAP-System verloren? Wir haben dafür eine strukturierte Planungslösung, um das System zu bereinigen und somit den […]
Es gibt bei Ihnen kein konsistentes bzw. ein veraltetes SAP Berechtigungskonzept für den Solution Manager? Unsere Berater kommen bei Ihnen vorbei, analysieren Ihre Ausgangssituation und führen ein neues Berechtigungskonzept bei […]
Wir helfen Ihnen dabei, ein neues Berechtigungskonzept einzuführen, dass den Prüfer zufriedenstellt, Rücksicht auf den Fachbereich nimmt und im Betrieb reibungslos funktioniert. Ob Mittelstand oder börsennotierter Konzern – ein neues […]
Kontakt aufnehmen
Ansprechpartner
Laura Feldkamp mindsquare Kundenservice
Laura Feldkamp Kundenservice