Beratung und Entwicklung in SAP

Als IT-Dienstleister in der Finanzbranche muss der Kunde starke Sicherheitskriterien erfüllen. Daher gibt es sehr viele Vorgaben dazu, wie die Profilparameter der SAP Systeme zu konfigurieren sind. Der Vorgabenkatalog wird stetig erweitert, sodass dementsprechend immer wieder die Parameter in einer Landschaft von rund 200 SAP Systemen angepasst werden müssen. Natürlich soll dabei nicht die Funktionalität der Systeme eingeschränkt werden. Das Setzen der Parameter erfordert somit eine genaue Kenntnis der Systeme, um das Risiko möglichst gering zu halten. In diesem Projekt wurde ein Managed Service Team aufgebaut, das das notwendige Know How hat, um die Parameter schnell und sicher umzusetzen oder eine (temporäre) Mitigation zu veranlassen. Meine Aufgaben in diesem Projekt sind die Analyse und technische Umsetzung der betroffenen Parameter sowie die erforderliche Abstimmung mit den für die Systeme verantwortlichen Personen. Weiterhin werden Parameterempfehlungen an die SAP Architektur gegeben und besprochen sowie in enger Abstimmung die automatiserte Ausrollung der Parameter durchgeführt und erweitert. Hierdurch wird erreicht, dass die Parametriesierung der Kundensysteme der Compliance entsprechen und die kundeninternen Teams entlastet werden, wodurch sie sich verstärkt um das Projektgeschäft kümmern können.

Im Rahmen des Projektes habe ich SAP-Basislösungen implementiert und sowohl bestehende SAP-Systeme kopiert als auch neue Systeme eingerichtet. Meine Aufgaben umfassten die Konfiguration von Testboxen, Systemkopien, Linux-Prompting und die Sicherstellung der reibungslosen SAP-Basisfunktion.

Um die Anforderungen eines internationalen Finanzdienstleisters zu erfüllen, war der Betrieb und die Wartung von fünf Testboxen erforderlich. Der Kunde benötigte dabei Unterstützung für ein heterogenes System-Setup bestehend aus einer S/4HANA- und vier R/3-Sandboxen. Ziel des Projektes war es, die kontinuierliche Verfügbarkeit der Testumgebungen zu gewährleisten und die Basis für Entwicklungs- und Testaktivitäten sicherzustellen. Im Rahmen des Projekts übernahm ich den Basisbetrieb der SAP-Systeme, darunter regelmäßige Mandantenkopien sowie administrative Tätigkeiten auf Linux-Ebene. Ein besonderer Schwerpunkt lag auf der Sicherstellung der reibungslosen SAP-Basisfunktionalitäten, einschließlich der Überwachung und Optimierung des Systembetriebs. Hierfür setzte ich Linux-Prompting ein, um Skripte effizient auszuführen und Systemparameter anzupassen. Die Kombination aus technischer Expertise und einem strukturierten Ansatz ermöglichte eine stabile und zuverlässige Betriebsumgebung.

Im Rahmen dieses Projektes habe ich eine umfassende Analyse des Sicherheitsstands eines SAP-Produktivsystems durchgeführt. Ziel war es, Schwachstellen im Bereich der Zugriffskontrollen, des Änderungsmanagements und des Monitorings zu identifizieren und konkrete Maßnahmen zur Absicherung des Systems abzuleiten. Im ersten Schritt habe ich die zentralen Geschäftsprozesse des Kunden hinsichtlich Zugriffskontrollen und Berechtigungsmanagement aufgenommen. Hierbei kam das Tool CheckAUD zum Einsatz, um die SAP-Berechtigungsstruktur detailliert zu analysieren. Die Analyse umfasste die Prüfung von Benutzerrechten, Rollen und Berechtigungsstrukturen, um potenzielle Sicherheitslücken aufzudecken. Darüber hinaus habe ich eine Bewertung des Security Audit Logs durchgeführt. Dabei wurde die bestehende Log-Konfiguration auf sicherheitsrelevante Ereignisse hin überprüft. Durch gezielte Filterung und Analyse konnten verdächtige Aktivitäten identifiziert und Handlungsempfehlungen abgeleitet werden. Die Analyse der Systemparameter des SAP-Systems stellte einen weiteren zentralen Schwerpunkt dar. Hierbei wurden Parameter auf Sicherheitslücken und Abweichungen von Best Practices geprüft. Die Untersuchung umfasste auch eine detaillierte Bewertung der Passwortsicherheit sowie der verwendeten Hash-Algorithmen. SAP-Standardbenutzer wurden separat auf potenzielle Sicherheitsrisiken hin analysiert. Ergänzend dazu wurde die RFC-Kommunikation betrachtet, wobei insbesondere die Verschlüsselung, die Berechtigungsobjekte S_RFC und S_RFCACL sowie die Gatewaykonfiguration überprüft wurden. Auch der Softwarestand wurde einer eingehenden Prüfung unterzogen. Dabei habe ich den Aktualitätsstatus der eingespielten SAP-Security Notes bewertet und potenzielle Sicherheitsrisiken durch veraltete Softwareversionen aufgezeigt. Zur Identifizierung von Sicherheitsrisiken im kundeneigenen Coding habe ich das SAP ATC (ABAP Test Cockpit) eingesetzt. Hierbei wurden unsichere Coding-Praktiken identifiziert und Empfehlungen zur Anpassung dokumentiert. Im Anschluss wurden die Coding Guidelines des Kunden analysiert, um fehlende oder unklare Vorgaben aufzuzeigen. Abschließend erfolgte eine strukturierte Dokumentation der identifizierten Verbesserungspotenziale. Diese wurden priorisiert und als konkrete Empfehlungen aufbereitet, inklusive potenzieller Folgeprojekte zur weiterführenden Absicherung des Systems.

Ein IT-Audit, im Rahmen eines ISO27001 Audits und im TISAX-Kontext durchgeführt, offenbarte zahlreiche Schwachstellen bezüglich SAP-Berechtigungen. Die Zielsetzung dieses Projekts bestand darin, in den Bereichen Berechtigungskonzept, Firefighting und Rezertifizierung unterstützend tätig zu sein. Beginnend mit einer Planungs- und Grobkonzeptionsphase folgte die Erstellung einer Roadmap zur systematischen Behebung der identifizierten Schwachstellen. Der bestehende Absatz bezieht sich auf ein Vorprojekt, wo wir die Vorprojekte zur Analyse der Ergebnisse durchgeführt haben. Ziel war es, Unterstützungspotentiale zu ermitteln und daraus Projekte zu formalisieren, die als Grundlage für ein Angebot dienten. Nachdem der Kunde in die operative Projektphase übergegangen ist, war ich in einem Arbeitspaket tätig, welches folgende Teilprojekte umsetzte: Optimierung des Rollenänderungsprozesses: Ich unterstützte bei der Standardisierung des Change-Prozesses für Rollen, die sowohl klassisch über die PFCG als auch durch den SIVIS Identity Manager angepasst werden. Mein Beitrag bestand darin, bei der Analyse und Dokumentation der Anforderungen mitzuwirken, um eine klare Trennung und Nachverfolgbarkeit der Änderungen sicherzustellen. Überarbeitung des Benutzergruppenkonzepts: Im Rahmen der Migration von regionalen Mandanten auf ein zentrales SAP S/4HANA-System unterstützte ich den Kunden bei der Konsolidierung von rund 200 Benutzergruppen auf ein vereinfachtes Konzept mit etwa 7 Gruppen. Meine Aufgaben umfassten die Analyse der bestehenden Benutzergruppen sowie die Dokumentation technischer Abhängigkeiten, insbesondere im Hinblick auf autorisierungsrelevante Prüfungen in kundenspezifischen Z_Programmen. Einführung eines Rezertifizierungsprozesses: Ich war in die Entwicklung eines Konzepts für den Rezertifizierungsprozess eingebunden. Dabei begleitete ich den Proof of Concept (PoC) des SIVIS Recertification Managers, um Funktionalitäten zu testen und Anforderungen zu definieren. Zudem unterstützte ich die Kommunikation mit dem Softwarehersteller (SIVIS), die Priorisierung notwendiger Anpassungen und die Erstellung einer Roadmap für die Umsetzung der Rezertifizierung. Ein besonderer Fokus lag über alle Arbeitspakete hinweg auf der Unterstützung im organisatorischen Change Management. Aufgrund der historisch gewachsenen Strukturen und der Unternehmensgröße waren zahlreiche Stakeholder wie Betriebsrat, Compliance und Governance beteiligt.

Im Rahmen dieses Projekts wurde eine umfassende Sicherheitsprüfung eines SAP-Systems durchgeführt. Ziel war es, potenzielle Sicherheitsrisiken in den Systemanbindungen, Berechtigungsvergabe und sicherheitsrelevanten Prozessen zu identifizieren und Optimierungsmöglichkeiten aufzuzeigen. Meine Aufgaben umfassten die Analyse verschiedener sicherheitskritischer Aspekte des Systems. Dabei kamen sowohl automatisierte Prüfwerkzeuge wie CheckAud, das Security Audit Log und der ABAP Test Cockpit (ATC) für die Code-Analyse zum Einsatz als auch manuelle Prüfungen, unter anderem in den Bereichen Systemparameter, RFC-Verbindungen und Passwort-Hashes. Basierend auf den Analyseergebnissen habe ich organisatorische Empfehlungen zu bestehenden Sicherheitsprozessen sowie technische Maßnahmen zur Absicherung des Systems entwickelt. Dazu gehörten Optimierungsvorschläge zur Berechtigungsvergabe, Systemparameterabsicherung und den Einstellungen des Security Audit Logs. Die Ergebnisse wurden in einer Präsentation dem Kunden vorgestellt, wobei offene Fragen diskutiert und Handlungsempfehlungen erläutert wurden.

Beim Kunden wurden durch einen Wirtschaftsprüfer Schwachstellen in den Prozessen zur Beantragung von Notfall-Usern sowie den lesenden und ändernden Debug-Berechtigungen identifiziert. Ziel des Projektes war es, die Prozesse zu analysieren, zu optimieren und die Nachvollziehbarkeit durch Log-Auswertungen sicherzustellen. Um den Ist-Stand genauer zu ermitteln und die weiteren Anforderungen zu definieren, habe ich zunächst einen Workshop durchgeführt. Dabei wurden die bestehenden Abläufe zur Beantragung und Vergabe von Debug-Berechtigungen sowie die Auswertung der Log-Dateien im Security Audit Log (SAL) analysiert. Gleichzeitig wurde dem Kunden vermittelt, welche Aspekte bei der Vergabe der Berechtigungen besonders wichtig sind und wie die Nachvollziehbarkeit durch eine strukturierte Log-Analyse verbessert werden kann. Abschließend habe ich die erarbeiteten Optimierungen und Empfehlungen in einer umfassenden Dokumentation festgehalten, die dem Kunden als Leitfaden zur weiteren Umsetzung dient.

In diesem Projekt wurde ein großes Update auf ein Standalone S/4HANA Extended Warehouse Management (EWM) Systems betreut. Dabei lag der Fokus auf der Durchführung und Koordination verschiedener IT-Tests, um die Stabilität und Funktionalität des Systems sicherzustellen. Zu den Testbereichen gehörten der Wareneingang, der Warenausgang sowie die Umlagerung und Stornoprozesse. Insbesondere galt es, die Einbindung der System-Schnittstellen umfassend zu überprüfen und zu gewährleisten, dass alle relevanten Prozesse reibungslos funktionieren. Neben den IT-Tests unterstützte ich die intensive Vorbereitung der Fachbereichstests. Dies erforderte eine enge Abstimmung mit den verschiedenen Fachbereichen, um deren Anforderungen und Erwartungen an das System zu erfassen und gezielt in die Testplanung einfließen zu lassen. Durch strukturierte und zielgerichtete Testvorbereitungen konnten wir sicherstellen, dass die fachlichen Tests effizient und praxisnah durchgeführt wurden und die Akzeptanz des Systems bei den Fachanwendern gefördert wurde.

Ziel des Projekts war es, ein neues und verbessertes Berechtigungsdesign für die IT-Systeme des Kunden zu entwickeln. Neben den fachlichen Anforderungen wurde das Projekt durch einen räumlichen Umzug des Kunden erweitert, der ebenfalls die Neugestaltung der Berechtigungen für die neuen IT-Infrastrukturen erforderlich machte. Das bisherige Berechtigungskonzept genügte nicht mehr den Anforderungen an Sicherheit, Nachvollziehbarkeit und Benutzerfreundlichkeit. Insbesondere bestand die Herausforderung darin, die bestehenden Berechtigungen zu analysieren, zu optimieren und eine robuste Grundlage für zukünftige Anforderungen zu schaffen. Im Rahmen des Projekts unterstützte ich bei einer umfassende Analyse der bestehenden Benutzerberechtigungen. Mithilfe von Xiting wurde das Verhalten von Benutzern nachverfolgt und dokumentiert, um auf Basis realer Nutzungsmuster Anpassungen vorzunehmen. Basierend auf diesen Erkenntnissen wurden die Berechtigungen in den relevanten Systemen angepasst, neue Rollen definiert und das gesamte Berechtigungsdesign überarbeitet.

Ziel des Projektes war die Neugestaltung der Berechtigungsstruktur, um eine effizientere und sicherere Vergabe von Berechtigungen zu erreichen. Ein besonderer Fokus lag dabei auf der modulspezifischen Vergabe der Berechtigungen, um die Zugriffe klarer zu strukturieren und redundante Rollen zu vermeiden. Meine Aufgabe bestand darin, als Ansprechpartner den Kunden bei der Umsetzung zu unterstützen. Nach dem GoLive der neuen Berechtigungsstruktur kam es zur Nutzung einer Fallback-Funktion, um Nutzerzugriffe im Live-Betrieb zu kontrollieren. Mithilfe der User-Traces habe ich überprüft, bei welchen Nutzern die neuen Rollen nicht alle benötigten Berechtigungen abdeckten. Anschließend habe ich analysiert, welche Berechtigungen fehlten, diese fachlich mit den Verantwortlichen abgestimmt und bei Bedarf in die Rollen integriert. Hierbei kam die Fallback-Funktion von Xiting XAMS zum Einsatz, die den Übergang in die neue Berechtigungsstruktur erleichtert und abgesichert hat.

Ziel des Projekts war es, dem Kunden einen umfassenden Überblick über den Sicherheitsstand seines SAP-Produktivsystems zu geben und konkrete Folgemaßnahmen zur Behebung identifizierter Schwachstellen abzuleiten. Die Ergebnisse wurden gemeinsam mit den zuständigen Ansprechpartnern des Kunden analysiert, strategisch eingeordnet und hinsichtlich ihrer Dringlichkeit priorisiert. Im Rahmen des Projekts wurden zunächst die relevanten Prozesse für den sicheren und ordnungsgemäßen Betrieb des SAP-Systems aufgenommen – darunter Zugriffskontrollen, Änderungsmanagement und Systemmonitoring. Mithilfe des Tools CheckAUD erfolgte eine detaillierte Analyse der bestehenden SAP-Berechtigungen, einschließlich der Benutzerrechte, Rollen und zugrunde liegenden Berechtigungsstrukturen. Darüber hinaus wurde die Konfiguration des Security Audit Logs überprüft und dessen Inhalte auf sicherheitsrelevante Auffälligkeiten hin ausgewertet. Ein weiterer Schwerpunkt lag auf der Analyse der RFC-Kommunikation, insbesondere der Verschlüsselung angebundener Systeme sowie der Prüfung der Berechtigungsobjekte S_RFC und S_RFCACL. Auch die Sicherheit der Gatewaykonfiguration sowie die Systemparameter, Passwortregeln und das eingesetzte Passworthashing-Verfahren wurden eingehend geprüft. Ergänzend wurde untersucht, inwieweit SAP-Standardbenutzer ordnungsgemäß abgesichert sind. Zur Bewertung der Eigenentwicklungen im System wurde das SAP ATC (ABAP Test Cockpit) eingesetzt, um sicherheitskritische Coding-Praktiken zu identifizieren. Abschließend wurden alle identifizierten Verbesserungspotenziale dokumentiert, priorisiert und in Form von konkreten Handlungsempfehlungen sowie möglichen Folgeprojekten aufbereitet.

Im Rahmen dieses Projektes war die Zielsetzung, bestehende SAP HCM ESS/MSS Fiori-Anwendungen, die bereits an einem Standort im Einsatz waren, für einen weiteren Standort bereitzustellen. Da sich die zugrunde liegenden HR-Prozesse zwischen den beiden Standorten unterschieden, war eine technische Anpassung erforderlich, insbesondere hinsichtlich der Zeitwirtschaft und Genehmigungsprozesse. Zu meinen Aufgaben zählte die Implementierung neuer Regelgruppen in der Zeitwirtschaft, um standortspezifische Anforderungen abzubilden. Darüber hinaus entwickelte ich einen ABAP-Report, der im Falle von Überstunden automatisch eine Benachrichtigung an die jeweilige Führungskraft auslöst. Diese Benachrichtigung wurde über einen eigens entwickelten Workflow an die Fiori Inbox des Vorgesetzten übermittelt. Gleichzeitig wird die gemeldete Zeit automatisiert in einen kundenspezifischen Zeittypen verbucht.

Ziel des Projektes war die Neugestaltung des Berechtigungskonzepts, um bestehende, teilweise zu breit gefasste Rollen zu konsolidieren und diese arbeitsplatzgenau an die Tätigkeitsbereiche der Mitarbeiter anzupassen. Ziel war es, Sicherheitsrisiken zu minimieren, Compliance-Anforderungen einzuhalten und die Rollenstruktur des Kunden langfristig zu vereinfachen. Im Rahmen meiner technischen Umsetzung habe ich zunächst die bestehenden Berechtigungen und Aktivitäten der Nutzer analysiert. Auf Basis dieser Analysen habe ich Transaktionslisten für Key User aus den Fachbereichen erstellt, deren Validierung koordiniert und deren Feedback in die Rollenkonzeption eingearbeitet. Anschließend wurden arbeitsplatzbezogene Rollen (z. B. für Debitoren-, Kreditoren- oder Hauptbuchhalter) erstellt, die zunächst nur grundlegende Berechtigungen enthielten. In einer mehrstufigen Tracing-Phase wird das Delta zwischen alten und neuen Rollen ermittelt. Die im Tracing erkannten, tatsächlich benötigten Berechtigungen habe ich gezielt in die neuen Rollen ergänzt, um sicherzustellen, dass die Nutzer alle notwendigen, aber keine überflüssigen Berechtigungen erhalten. Während dieser Phase wurden auch Prozesse berücksichtigt, die nicht Teil der täglichen Arbeit der Mitarbeiter sind, wie z. B. Monatswechsel oder selten auftretende Sonderprozesse, um eine vollständige Abdeckung sicherzustellen. Nach den erfolgreichen Tests wurden die neuen Rollen in mehreren Go-Live-Wellen für einzelne Fachbereiche produktiv gesetzt. Während der jeweiligen Hypercare-Phasen (jeweils ca. zwei Wochen pro Go-Live) habe ich die technische Betreuung übernommen und bei kurzfristigen Berechtigungsanpassungen unterstützt.