Beratung für SAP Berechtigungen (HCM; Fiori, Standard) & SAP Security

Das Hauptziel des Projekts bestand darin, das definierte Berechtigungskonzept mit kontextsensitiven Berechtigungen umzusetzen. Dazu wurden zunächst die geplanten Rollen und Ableitungen im System angelegt und mit entsprechenden Transaktionen befüllt und anschließend berechtigt. Um den Anforderungen gerecht zu werden, wurden für ausgewählte Transaktionen die Standard-Vorschlagswerte (SU24-Werte) angepasst. Neben den Standard-Berechtigungsobjekten waren auch strukturelle und kontextsensitive Berechtigungen zu erstellen. Dabei kamen sowohl strukturelle Profile als auch das kundenindividuelle Kontextsensitive Berechtigungsobjekt P_NNNNCON zum Einsatz. Zur Realisierung des Konzepts war es notwendig, das Berechtigungsfeld für das strukturelle Profil bis zur Org-Ebene zu definieren. Nach Abschluss der Umsetzungsphase folgte die Testphase, in der die neuen Rollen getestet und das Feedback der Fachabteilungen in die Rollen integriert wurde. Schließlich wurde das System auf den Go-Live vorbereitet, gefolgt von der Unterstützung in der Hypercare-Phase nach dem Go-Live.

Ziel des Projektes war es, im Rahmen der Kosten- und Leistungsrechnung die Gemeinkosten mit Hilfe von Umlagen und Verteilungen zu verrechnen. Dabei wurde der komplette Prozess begleitet: Angefangen vom Anlegen der Konten im Hauptbuch, über das Anlegen von Kosten- und Leistungsarten und der innerbetrieblichen Leistungsverrechnung, bis hin zur Anlegung und Durchführung der Umlage- bzw. Verteilungszyklen.

Ziel war es die Transportsuite zu übersetzten, sodass alle User Ein- und Ausgaben in englischer Sprache erscheinen. Dazu mussten die vorhandenen "hart-codierten-Texte" in Übersetzungsfähige Objekte umgewandelt werden, um diese anschließend mit Hilfe des Übersetzungstools der mindsquare zu übersetzen.

Ziel ist es herauszufinden, unter welchen Umständen zusätzlich zu SAP S/4HANA auch die HANA DB gesondert und im Hinblick auf das Berechtigungskonzept abgesichert werden muss. Darüber hinaus eine auf Best-Practices basierte Anleitung zur Umsetzung zu erstellen.

Im Zuge der Migration auf SAP S/4HANA wurde ein Neuaufbau des Berechtigungskonzepts durchgeführt. Ziel des Projekts war es, die notwendigen Rollen für das S/4HANA-System bereitzustellen. Hierbei war das Erstellen und Anpassen der Rollen an die veränderten und neuen Berechtigungsobjekte eine besondere Herausforderung. Durch die Auswertung von SAP-Hinweisen, Kurzbeschreibungen und Tests konnten die neuen Berechtigungsobjekte und -felder passend konfiguriert werden. Parallel dazu wurde auch die Anpassung der SU24-Berechtigungsvorschlagsdatenbank durchgeführt. Die Testphase wurde intern durchgeführt, dennoch war es notwendig, während der Hypercarephase nach dem Go-Live tägliche Unterstützung zu leisten.

Das Ziel des Projektes lag darin, die Berechtigungsadministratoren auf die Verwaltung von Berechtigungen im Unternehmen vorzubereiten. Hierfür wurden individuell angepasste Schulungsunterlagen erstellt, die bei der Grundlagen- und Aufbauschulung unterstützend wirkten. Die Schulungen waren interaktiv gestaltet und vermittelten neben grundlegenden Begrifflichkeiten im Kontext von SAP-Berechtigungen auch bevorstehende Änderungen durch S/4 und Fiori sowie Best Practices und praxiserprobte Tipps. Besondere Aufmerksamkeit wurde auch auf kritische Berechtigungen und SoD-Konflikte gelegt.

Das Ziel des Kunden bestand darin, ein klares und leicht zu pflegendes Berechtigungs- und Rollenkonzept zu erhalten, um gesetzliche Vorgaben bestmöglich zu erfüllen. Hierfür war es erforderlich, Workshops mit allen Fachbereichen durchzuführen, um die erforderlichen Arbeitsplatzrollen zu bilden und die genauen Aufgaben jeder Abteilung zu definieren. In diesem Projekt wurde ein Coaching-Ansatz gewählt, bei dem unser Ziel darin bestand, dem Kunden unsere Methode vorzustellen und unser Wissen weiterzugeben, damit die restlichen Workshops eigenständig durchgeführt werden konnten. Zunächst leitete ich Workshops und besprach dann mein Vorgehen mit dem Kunden. Nach und nach übertrug ich dem Kunden immer mehr Verantwortung, so dass ich nur noch an den Workshops teilnahm und im Anschluss Feedback gab.

Ziel des Projekts war es im FI/CO-Umfeld die Rollen zu erstellen, um das geplante Berechtigungskonzept umzusetzen. In erster Linie habe ich die geplanten Rollen im System angelegt und mit Transaktionen befüllt. Anschließend habe ich durch einzelne Worksessions die fachlichen Anforderungen des FI/CO Leiters in Berechtigungsobjekte "übersetzt" und die Rollen entsprechend berechtigt. Für ausgewählte Transaktionen wurden die Standard-Vorschlagswerte (SU24-Werte) entsprechen den Anforderungen angepasst. Im weiteren Verlauf habe ich im Rahmen der Testphase mit Hilfe von Berechtigungstraces die entstanden Fehler behoben und die Rollen voll funktionsfähig gemacht. Das Ergebnis des Projekts waren passgenaue Funktionsrollen für jede Position innerhalb der FI/CO-Abteilung des Unternehmens, die ohne Beeinträchtigung des laufenden Betriebs live gesetzt wurden.

Meine tägliche Aufgabe bestand darin, den Betrieb des SAP S/4HANA-Systems aufrechtzuerhalten und die Arbeitsfähigkeit der Benutzer sicherzustellen. Hierbei habe ich das Ticket-Management-Tool Jira genutzt, um den IT-Support im Bereich der User- und Rollenverwaltung zu koordinieren. Zu meinen regelmäßigen Aufgaben gehörte das Erstellen und Bearbeiten von Rollen (ERP-, S/4HANA- und Fiori) und ihre Zuordnung zu den jeweiligen Benutzern. Um sicherzustellen, dass keine kritischen Berechtigungen unabsichtlich vergeben wurden, wurden alle Rollenanpassungen durch einen Genehmigungs- und Transportmanagementprozess über Jira geleitet. Darüber hinaus nutzte ich ein Xiting-Tool aus der XAMS-Suite, um die durchgeführten Rollenanpassungen auf Funktionstrennungskonflikte (SoD) und kritische Berechtigungen zu überprüfen und zu dokumentieren. Die Analyse von Berechtigungsfehlern mit Hilfe von Traces und die regelmäßige Pflege der SU24 Berechtigungsvorschlagsdatenbank waren ebenfalls ein wesentlicher Bestandteil des Supports. Zusätzlich zu meinen Aufgaben im Bereich Berechtigungsmanagement habe ich auch Softwareprüfungen durchgeführt. Vor der Einführung einer neuen Software habe ich dafür eine Bewertung aus Sicht des Datenschutzes vorgenommen. Als Basis für diese Bewertung diente ein vordefinierter Kriterienkatalog. Zusätzlich zu diesen täglichen Aufgaben waren auch monatliche oder quartalsmäßige Aufgaben Teil meiner Verantwortlichkeiten. Dazu gehörten die Auswertung des Security-Audit-Logs, die Überprüfung von Rollen-Benutzer-Zuordnungen sowie die Spiegelung und Erweiterung des Berechtigungskonzepts.

Aufgrund der komplexen und umfangreichen Organisationsstruktur des Kunden war es notwendig, das historisch gewachsene Berechtigungskonzept im HCM-System zu überarbeiten. Das Ziel bestand darin, ein übersichtliches und leicht zu verwaltendes Berechtigungs- und Rollenkonzept zu entwickeln, das den HR-Prozessen und organisatorischen Einschränkungen des Kunden gerecht wird. Um dieses Ziel zu erreichen, war es notwendig, die HR-Prozesse und organisatorischen Einschränkungen des Kunden zu verstehen und anschließend ein passendes Berechtigungs- und Rollenkonzept zu konzipieren. Das von uns entwickelte Modell ermöglicht dem Kunden, die Berechtigungsverwaltung über das Organisationsmanagement zu steuern und die Vergabe von Berechtigungen in die Hand der Personalabteilung zu legen. Dies minimiert den Aufwand, da eine automatisierte und indirekte Zuordnung von Rollen an Benutzer über das Organisationsmanagement durchgeführt wird.

Nachdem im vergangenen Jahr das Konzept für das neue Berechtigungskonzept mit dem kontextsensitiven Berechtigungsobjekt (P_ORGINCON) erstellt wurde, steht nun die Umsetzung an. Zunächst ist eine Customizing-Tabelle für die Abbildung der verschiedenen Verantwortungsbereiche erforderlich. Darauf aufbauend müssen die notwendigen Berechtigungsprofile erstellt und die entsprechenden Rollen gebaut werden. Bevor die neuen Berechtigungen getestet werden können, muss der Hauptschalter umgestellt werden. Zusätzlich muss der BAdI GET_PROFL ausimplementiert werden, damit die Zuordnung der strukturellen Profile automatisiert erfolgen kann und die Pflege der T77UA nicht mehr erforderlich ist. Des Weiteren war es erforderlich, einen Migrationsreport zu erstellen, damit die alten Infotyp 1-Sätze zu OrgEinheiten zugeordnet werden können und somit genauso berechtigt werden können wie die aktuellen Daten. Abschließend muss die indirekte Zuordnung von Rollen über das Organisationsmanagement eingerichtet werden.

Der Kunde nutzt die Fiori-Version der Security-Bridge. Obwohl die von der Security-Bridge vorgegebene Standard-Baseline (Golden Catalog) zur Verfügung steht, ist sie nicht zu 100% auf die Systemlandschaft des Kunden abgestimmt. Das Ziel besteht darin, eine neue Baseline zu entwickeln, die auf den spezifischen Bedarf des Kunden zugeschnitten ist und auf dem Golden Catalog basiert. Dazu müssen die einzelnen Prüfungen (S&C-Checks) analysiert und Entscheidungen für den jeweiligen Fall getroffen werden. Meine Aufgabe bestand darin, aufgrund meiner bisherigen Erfahrungen eine Einschätzung zu den Checks abzugeben, die Entscheidungen zu protokollieren und die Umsetzung im System durchzuführen. Im Anschluss wurde eine Management-Präsentation erstellt, in der die wichtigsten Änderungen und Findings kurz erläutert wurden.

Meine tägliche Aufgabe besteht darin, den Betrieb des SAP ERP-Systems aufrechtzuerhalten und die Arbeitsfähigkeit der Benutzer sicherzustellen. Hierbei nutze ich das Ticket-Tool Matrix42, über das der IT-Support im Bereich User- und Rollenverwaltung abgewickelt wird. Zu meinen regelmäßigen Tätigkeiten gehört das Erstellen und Bearbeiten von Rollen im ERP-System sowie deren Zuordnung zu den Benutzern. Der Prozess enthält auch ein Transport- und Änderungsmanagement. Für das Transportmanagement nutzen wir SAP ChaRM . Um sicherzustellen, dass keine kritischen Berechtigungen ungewollt vergeben werden, wird für kritisch eingestufte Rollen ein Genehmigungsverfahren durchgeführt. Ebenso gehört die Analyse von Berechtigungsfehlern mithilfe von Traces zu meinen Aufgaben im Support.

Im Rahmen eines umfassenden Berechtigungsredesigns sollte auch das Berechtigungskonzept im HCM-System überarbeitet werden. Hierzu wurden Workshops mit den HR-Abteilungen durchgeführt, um die fachlichen Anforderungen zu ermitteln und eine technische Lösung zu konzipieren. Auf dieser Grundlage wurden im nächsten Schritt Rollen mit Standard HR-Berechtigungen (P_ORGIN) erstellt, um das neue Berechtigungskonzept umzusetzen.

Im Laufe der Jahre hat sich im HCM-System des Kunden eine zunehmende Komplexität der Berechtigungsstrukturen entwickelt, was zu Überberechtigungen und mangelnder Transparenz geführt hat. Da eine mittelfristige Ablösung des SAP HCM Systems geplant war, wurde auf ein umfassendes Berechtigungsredesign verzichtet. Stattdessen lag der Fokus darauf, die kritischsten Probleme zu identifizieren und effiziente Lösungen kurzfristig umzusetzen. In enger Zusammenarbeit mit dem Kunden wurden die bestehenden Probleme erfasst, einer Bewertung unterzogen und entsprechend priorisiert. Durch gezielte Anpassungen und die Neudefinition von Berechtigungsrollen konnten die Berechtigungen auf das notwendige Minimum reduziert werden. Die zentrale Herausforderung bestand darin, ein optimales Gleichgewicht zwischen Zeitaufwand, Kosten und Effektivität zu finden, um innerhalb des bestehenden Konzepts fokussierte und wirkungsvolle Veränderungen zu realisieren.

Das Ziel des Projekts bestand darin, die Ursache für die erheblichen Performanceprobleme bei der Berechtigungsprüfung zu ermitteln und eine Handlungsempfehlung zur Lösung des Problems zu entwickeln. Zur Identifizierung des Problems wurde zunächst eine Analyse der aktuellen Situation der Berechtigungsprüfung durchgeführt. Nachdem der gegenwärtige Ablauf der Berechtigungsprüfung verstanden wurde, wurden potenzielle Verbesserungsmöglichkeiten identifiziert. Anschließend wurden die verschiedenen Optionen erfasst und die erforderlichen Maßnahmen für deren Umsetzung erläutert. Darüber hinaus wurden die Vor- und Nachteile der jeweiligen Lösungsalternativen systematisch dargelegt. Das Ergebnis dieses Projekts ist ein strukturiertes Dokument, das die IST- und SOLL-Situation enthält sowie eine Handlungsempfehlung mit konkreten nächsten Schritten und beteiligten Stakeholdern.

In einem umfangreichen System mit einer vierstelligen Anzahl von Mandanten bestand die Anforderung, individuelle Sperrfristen für personenbezogene Daten ausgeschiedener Mitarbeiter auf mandanten- und rollenbezogener Ebene festlegen zu können. Das Ziel war es, jedem Mandanten die Möglichkeit zu geben, unabhängig voneinander mehrere Fristen für die Datensperrung einzurichten. Um dies zu ermöglichen, wurde der Business Add-In (BAdI) HRPADAUTH_TIME implementiert, der die Anpassung der Sperrfristprüfung ermöglicht und somit eine Abweichung vom Standard zulässt. Die Verwaltung der individuellen Fristen erfolgt auf benutzerfreundliche Weise über eine Customizing-Tabelle.

Ziel des Projekts ist es, die aktuellen SAP Berechtigungen vollständig zu überarbeiten und neu aufzusetzen. Antonios Doumos nimmt in diesem Projekt die Rolle des Senior Consultants ein. Zu seinen Aufgaben zählen das Halten von Workshops, die Leitung der technischen Entwicklung der Berechtigungen und die Kommunikation mit dem Kunden zu fachlichen und strategischen Themen. Antonios Doumos hat die Konzeption der Berechtigungsrollen übernommen. Innerhalb dieser Phase werden Workshops mit allen Fachbereichen durchgeführt, um die erforderlichen Berechtigungen innerhalb jeden Fachbereichs zu ermitteln. Anschließend folgt die Umsetzung im System. Hierfür wird das Tool XAMS der Firma Xiting verwendet. In dieser Phase werden alle notwendigen Vorbereitungen getroffen, sodass die Traces für die nächste Phase starten können.

Das Ziel des Projekts bestand darin, ein Berechtigungskonzept für SuccessFactors zu entwickeln und die erforderlichen Rollen (RBP = Role-Based Permissions) und Berechtigungen zur Verfügung zu stellen. Zunächst wurde in einem Workshop der Umfang und die betroffenen Module definiert. Anschließend wurde ein marktübliches Berechtigungskonzept als Ausgangspunkt genommen und an die spezifischen Anforderungen und Richtlinien des Unternehmens angepasst. Basierend auf diesem Konzept wurden die Rollen und Gruppen im System eingerichtet. Dabei wurde als erster Schritt eine vollständige Sammlung aller erforderlichen Administratoren-Rollen für die Plattform und alle aktiven Module erstellt. Im Anschluss sollten auch alle erstellten Rollen und Gruppen "transportiert" werden. Dafür musste ein synchronisation Package (Transport) erstellt, richtig konfiguriert und freigegeben werden. Eine weitere Aufgabe lag darin, geeignete Reporting Tools zu identifizieren, mit denen Änderungen an den Rollen und Gruppen nachvollzogen werden konnten.

Das Ziel des Projekts ist eine Bereinigung verschiedener Findings innerhalb der Berechtigungen in einer Systemlandschaft mit über 400 SAP Systemen. Darüber hinaus ist ein weiteres Ziel den reibungslosen Ablauf vom Tagesgeschäft sicherzustellen. Meine Aufgabe Besteht darin die durch ein Audit Identifizierten Findings zu Bewerten und klassifiziereren, um geeignete kurz- mittel- und langfristige Mitigationsmaßnahmen zur Beseitigung dieser zu entwickeln. Im Rahmen des Third Level Supports ist meine tägliche Aufgabe das Tagesgeschäft am Laufen zu halten und bei der Umsetzung unter stets die Compliance Anforderungen zu berücksichtigen. Neben der oben beschriebenen Aufgaben liegt mein Fokus auch bei der Steuerung unserer Ressourcen (Junior Consultants).

Die mehrtägige SAP HCM Schulung vermittelt umfassendes Wissen, um ein Berechtigungsredesign erfolgreich durchzuführen. Die Teilnehmer lernen die drei Berechtigungskonzepte im SAP HCM kennen, einschließlich ihrer Vor- und Nachteile, sowie die wichtigsten Erfolgsfaktoren für ein nachhaltiges Berechtigungskonzept. Zudem werden spezifische Themen wie Veränderungen im Berechtigungskontext mit H4S4, die Nutzung des Organisationsmanagements für indirekte Berechtigungszuordnung und die Fehlersuche behandelt. Abgerundet wird die Schulung durch praxisorientierte Tipps, Tools und Strategien, die den Alltag von Berechtigungsadministratoren deutlich erleichtern.

Als erfahrener SAP Security Consultant habe ich ein umfassendes Berechtigungsredesign-Projekt für das SAP HCM System geleitet. Der Projektumfang umfasste alle relevanten Phasen: vom Kick-Off über die Erstellung eines Berechtigungskonzepts, die Durchführung von Workshops mit den Fachbereichen, die Konzeption neuer Rollen sowie deren Umsetzung und den Rollenbau bis hin zur Testphase und dem erfolgreichen Go-Live. Eine besondere Herausforderung bestand in der heterogenen Organisationsstruktur des Unternehmens, das regelmäßig neue Firmen akquiriert. Hier war es essenziell, ein Berechtigungskonzept zu entwickeln, das sowohl maximale Standardisierung als auch die nötige Flexibilität bietet, um die individuellen Anforderungen der verschiedenen Einheiten zu erfüllen. Das Projekt wurde erfolgreich abgeschlossen und konnte durch klare Prozesse und ein nachhaltiges Rollenkonzept einen wesentlichen Beitrag zur Verbesserung der Systemlandschaft leisten.

Das Ziel des Projektes lag darin, die Berechtigungsadministratoren auf die Verwaltung von Berechtigungen im Unternehmen vorzubereiten. Hierfür wurden individuell angepasste Schulungsunterlagen erstellt, die bei der Grundlagen- und Aufbauschulung unterstützend wirkten. Die Schulungen waren interaktiv gestaltet und vermittelten neben grundlegenden Begrifflichkeiten im Kontext von SAP-Berechtigungen auch bevorstehende Änderungen durch S/4 und Fiori sowie Best Practices und praxiserprobte Tipps. Besondere Aufmerksamkeit wurde auch auf kritische Berechtigungen und SoD-Konflikte gelegt.

Ziel des Projekts war es, dem Kunden eine fundierte Einschätzung zum Sicherheitsniveau seines SAP-Produktivsystems zu liefern und daraus konkrete, priorisierte Handlungsempfehlungen zur Behebung identifizierter Schwachstellen abzuleiten. Die Ergebnisse wurden gemeinsam mit den verantwortlichen Ansprechpartnern bewertet, strategisch eingeordnet und nach Dringlichkeit klassifiziert. Da es sich um ein SAP HCM-System handelte, lag ein besonderer Schwerpunkt auf der Absicherung personenbezogener Daten sowie auf den Prozessen rund um Mitarbeiterzugriffe, Organisationsstrukturen und sensible HR-Funktionalitäten. Im Fokus standen zentrale Aspekte für einen sicheren und regelkonformen SAP-Betrieb, darunter Zugriffskontrollen, das Änderungsmanagement sowie das Systemmonitoring. Auf Basis des Analyse-Tools CheckAUD erfolgte eine umfassende Prüfung der Berechtigungslandschaft – inklusive Benutzerstammdaten, Rollen und zugrunde liegender Berechtigungsobjekte. Zusätzlich wurde das Security Audit Log auf korrekte Konfiguration sowie sicherheitsrelevante Ereignisse hin analysiert.

Im Mittelpunkt des Projekts steht die Vermittlung von Wissen im Bereich SAP HCM-Berechtigungen sowie die begleitende Beratung zur nachhaltigen Weiterentwicklung der zugrunde liegenden Berechtigungsarchitektur. Ziel ist es, dem Kunden eine solide Entscheidungsbasis für die zukünftige Ausrichtung seines Berechtigungskonzepts zu verschaffen. Im ersten Schritt wurden die wesentlichen Grundlagen der HR-Berechtigungen vermittelt (Standard-, strukturelle und kontextsensitive Berechtigungen). Anschließend erfolgt in enger Zusammenarbeit mit den Fach- und IT-Bereich eine detaillierte Analyse der aktuellen Herausforderungen, insbesondere in Bezug auf die Anwendung struktureller Berechtigungen und ESS/MSS-Funktionalitäten. Auf Basis der gewonnenen Erkenntnisse werden schließlich praxistaugliche Lösungsansätze entwickelt und konkrete Handlungsempfehlungen zur Verbesserung des Konzepts ausgearbeitet. Durch die Kombination aus gezieltem Wissenstransfer und strategischer Beratung kann der Kunde eine fundierte Entscheidung zugunsten einer Umstellung auf kontextsensitive Berechtigungen treffen.

Im Rahmen des Projekts übernehme ich als Senior Berechtigungs- und Benutzeradministrator die vollständigen Aufgaben eines internen Administrators, um personelle Engpässe beim Kunden zu kompensieren. Das Projektumfeld umfasst eine S/4HANA-Systemlandschaft mit Fiori-First-Ansatz sowie ein kürzlich angebundenes SAP HCM-System. Alle Systeme sind über eine zentrale Benutzerverwaltung (ZBV) verbunden, zusätzlich kommt die XAMS-Suite der Xiting AG zum Einsatz. Zu meinen Kernaufgaben gehören die Pflege von Benutzern und Rollen, die Bearbeitung von Support-Tickets und die Durchführung von Berechtigungsanalysen. Bei Bedarf unterstütze ich zudem bei Audit-Prüfungen, indem ich Stellungnahmen verfasse und Mitigationsmaßnahmen definiere. Parallel begleite ich den laufenden Go-Live im Bereich „Bestellung bis Bestand (BBB)“, insbesondere durch den Aufbau neuer Rollen, das Durchführen von XAMS-Traces und die Abstimmung mit den Fachbereichen. Darüber hinaus begleite ich die sukzessive Anpassung bestehender Rollen und Prozesse an das erstmalig fertiggestellte Berechtigungskonzept. Damit trage ich dazu bei, die langfristige Standardisierung und Governance der Berechtigungslandschaft sicherzustellen.

Schwerpunkt des Projekts war die Wissensvermittlung im Bereich SAP HCM-Berechtigungen sowie die strategische Beratung zur nachhaltigen Weiterentwicklung der berechtigungsrelevanten Systemarchitektur. Ziel war es, dem Kunden fundierte Entscheidungsgrundlagen für die langfristige Ausrichtung seines Berechtigungskonzepts bereitzustellen. Zu Beginn wurden die zentralen Konzepte von HR-Berechtigungen vermittelt (allgemeine HCM-Berechtigungen, strukturelle Berechtigungen sowie kontextabhängige). In enger Abstimmung mit den Fach- und IT-Ansprechpartnern erfolgte eine strukturierte Analyse der bestehenden Herausforderungen, insbesondere hinsichtlich der Nutzung struktureller Berechtigungen und ESS/MSS-Komponenten. Basierend auf den identifizierten Schwachstellen wurden praxisnahe Lösungsoptionen aufgezeigt und konkrete Empfehlungen zur Optimierung des Konzepts erarbeitet. Die Kombination aus gezieltem Know-how-Transfer und strategischer Beratung ermöglichte es dem Kunden, sich bewusst für eine Umstellung auf kontextsensitive Berechtigungen zu entscheiden – ein Ansatz, der im weiteren Verlauf konsequent umgesetzt wurde.

Ziel des Projekts war es, dem Kunden eine fundierte Einschätzung zum Sicherheitsniveau seines SAP-Produktivsystems zu liefern und daraus konkrete, priorisierte Handlungsempfehlungen zur Behebung identifizierter Schwachstellen abzuleiten. Die Ergebnisse wurden gemeinsam mit den verantwortlichen Ansprechpartnern bewertet, strategisch eingeordnet und nach Dringlichkeit klassifiziert. Im Fokus standen dabei zentrale Prozesse für einen sicheren SAP-Betrieb, darunter Zugriffskontrollen, das Änderungsmanagement sowie das Systemmonitoring. Auf Basis des Analyse-Tools CheckAUD erfolgte eine umfassende Prüfung der Berechtigungslandschaft – inklusive Benutzerstammdaten, Rollen und zugrunde liegender Berechtigungsobjekte. Zusätzlich wurde das Security Audit Log auf korrekte Konfiguration sowie sicherheitsrelevante Ereignisse hin analysiert.

Im Rahmen Projekts begleitete ich als SAP Senior Security Consultant die strategische Neuausrichtung der Berechtigungsarchitektur eines Kunden im SuccessFactors-Umfeld. Der Schwerpunkt lag auf der Durchführung eines umfassenden Security Checks sowie der Erstellung eines detaillierten Audit Reports als Entscheidungsgrundlage für ein zukünftiges Berechtigungs-Redesign. Zu Beginn des Projekts erfolgte eine strukturierte Analyse der bestehenden Berechtigungslandschaft. Diese umfasste die Bewertung der Rollen- und Gruppenstrukturen, die eingesetzten Vergabemechanismen sowie mögliche Automatisierungspotenziale. Parallel wurde die zugrunde liegende IT-Architektur im Hinblick auf Sicherheitsrisiken, Transparenz und Wartbarkeit untersucht. Die Ergebnisse dieser Analyse wurden in einem über 30-seitigen Audit Report dokumentiert, der eine systematische Risikobewertung enthielt und gezielt Schwachstellen sowie Handlungsfelder aufzeigte. Auf Basis dieser Bestandsaufnahme entwickelte ich ein Konzept für die zukünftige Berechtigungsverwaltung und einen konkreten Projektplan für ein späteres Redesign. Dieser enthielt Hinweise von der Konzeption über das Transport- und Testkonzept bis hin zur produktiven Umsetzung inklusive Notfallstrategie. Da sich das Projekt im Vorbereitungsrahmen bewegte, lag der Fokus nicht auf der Umsetzung, sondern auf der strategischen Planung und Dokumentation. Ein weiterer zentraler Bestandteil des Projekts war die Anpassung bestehender SuccessFactors-Guidelines auf die kundenspezifischen Anforderungen. Aufbauend auf dem von uns bei mindsquare entwickelten SuFa-Template wurden unter anderem Namenskonventionen, Berechtigungsrichtlinien sowie standardisierte Transport- und Entwicklungsprozesse definiert. Ziel war es, eine einheitliche und wiederverwendbare Grundlage zu schaffen – sowohl für interne Administratoren als auch für externe Dienstleister. Die Ergebnisse wurden in mehreren Working Sessions mit dem Kunden besprochen und dokumentiert. In diesen Terminen wurden nicht nur die technischen Empfehlungen vorgestellt, sondern auch gezielt Know-how im Bereich SuccessFactors-Security, IDM-Strategien und Berechtigungsvergabe vermittelt. Abgerundet wurde das Projekt durch eine umfangreiche Dokumentation mit konkreten Handlungsempfehlungen, die dem Kunden als strategischer Leitfaden für die kommenden Umsetzungsschritte dient.

Ziel des Projekts ist es, dem Kunden eine fundierte Entscheidungsgrundlage für die langfristige Ausrichtung seines SAP HCM-Berechtigungskonzepts bereitzustellen. Im Mittelpunkt stehen dabei die Fragen, wie eine moderne und wartbare Berechtigungsarchitektur gestaltet werden kann, welche Schritte dafür notwendig sind und welche Aufwände zu erwarten sind. Zu Beginn des Projekts erfolgt eine gezielte Wissensvermittlung zu den zentralen HCM-Berechtigungskonzepten, um ein gemeinsames Verständnis zwischen IT und Fachbereich herzustellen. Darauf aufbauend wird eine strukturierte Analyse der bestehenden Herausforderungen durchgeführt – insbesondere in Bezug auf strukturelle Berechtigungen und ESS/MSS-Funktionalitäten. Auf Basis dieser Analyse werden verschiedene Lösungsansätze entwickelt und hinsichtlich Nutzen, Komplexität und Umsetzbarkeit bewertet. Der Fokus liegt dabei auf einem kontextsensitiven Berechtigungsmodell, das langfristig mehr Flexibilität, Transparenz und Wartbarkeit ermöglicht. Die empfohlenen Schritte werden in einem klar strukturierten Maßnahmenplan mit realistischen Aufwandsschätzungen dokumentiert, sodass der Kunde im Anschluss faktenbasiert über die Umsetzung entscheiden kann.