Africa Studio - stock.adobe.com
Best Practice: Rollen in SAP-Systemen richtig behandeln
Für die richtige Struktur der Berechtigungen in SAP-Systemen steht ein Rollenmodell zur Verfügung. Wir zeigen in diesem Beitrag, wie Administratoren damit arbeiten.
In vielen Umgebungen sind Berechtigungen historisch gewachsen und werden nur selten richtig strukturiert. Um ein System optimal abzusichern, ist die Verwendung eines gut strukturierten Rollenmodells wichtig. Spätestens bei Prüfungen und Revisionen können unzureichend gesicherte SAP-Systeme zu Problemen führen.
Konzepte vor Berechtigungsvergabe
Das Ziel eines Berechtigungskonzeptes für SAP S/4HANA und andere SAP-Systeme besteht zunächst darin sicherzustellen, dass jeder Benutzer die Rechte bekommt, die er für seine Tätigkeit benötigt. Damit gilt aber auch, dass er nicht mehr Rechte erhält. Das Konzept sollte immer nur so viele Rechte zugestehen, wie tatsächlich notwendig sind. Zu weitreichende Rechte stellen eine Gefahr dar und sind ein vermeidbares Risiko. Dabei hat es nichts mit Misstrauen zu tun, wenn ein Anwender nicht vollständige Rechte für das SAP-System erhält. Dies schützt auch den Anwender.
Haben Anwender zu viele Rechte, besteht nicht nur die Gefahr, dass die Anwender mit Absicht Daten beschädigen. Auch versehentliche Änderungen durch Fehlbedienungen oder Hackerangriffe sind ein großes Problem.
Vor dem Zuweisen von Rollen und Berechtigungen sollten Konzepte erstellt werden. Nur ein funktionierendes Berechtigungskonzept sorgt dafür, dass die später umgesetzten Berechtigungen funktionieren. Wenn ein Identitätsmanagementsystem zum Einsatz kommen soll, ist das passende Berechtigungskonzept eine wichtige Grundlage.
Ein gutes Berechtigungskonzept sorgt außerdem für die Vereinfachung der Berechtigungsvergabe. Mit einem Konzept lässt sich die Arbeitszeit von IT-Mitarbeitern reduzieren, da die Vergabe schneller und unkomplizierter funktioniert.
Grundlage für Berechtigungskonzepte
Jedes Berechtigungskonzept erfordert eine optimale Vorgehensweise. In den meisten Fällen sind vorgegebene Rollenkataloge wenig sinnvoll. Besser ist es, die Berechtigungsrollen an die eigenen Anforderungen anzupassen. Die Berechtigungen sollten nicht von Anwendern vorgegeben werden, sondern auf Basis einer objektiven Analyse erfolgen.
Rollenkonzepte sollten in jedem Fall im Team erstellt werden. Dabei sollte man IT-Abteilungen und Fachabteilungen einbeziehen. Berechtigungskonzepte sind nicht allgemein gültig. Für jedes Unternehmen und jedes SAP-System ist ein eigenes System notwendig, da sich Rechte in den meisten Fällen nicht sinnvoll übernehmen lassen.
Bei der Erstellung eines Konzeptes sollte zunächst ein Ziel definiert und dokumentiert werden, welcher Standard das Modell erfüllen soll. Wichtig sind die rechtlichen Rahmenbedingungen, die Unternehmen einhalten müssen. Auch vorher definierte Namenskonventionen sind wichtig. Das gilt vor allem für Gruppen und Rollen, die sich nach dem Anlegen nicht mehr ändern lassen.
Ebenfalls wichtig ist, dass man definiert, welche Personen im Unternehmen verantwortlich für die Erstellung und Umsetzung des Berechtigungskonzeptes sind und wo die Verantwortlichkeiten liegen.
Zu einem Berechtigungskonzept gehört ebenso die Definition eines Prozesses zur Berechtigungsvergabe. Es ist wichtig festzulegen, wer die Rechte konfiguriert und wie die Genehmigungen für das Erteilen von Berechtigungen erfolgen. Die Verantwortlichen für das Zuteilen von Berechtigungen sollten ebenfalls festgelegt werden.
In manchen Fällen ist es notwendig, dass besondere Rechte vergeben werden müssen. Allerdings sollte auch dieser Sachverhalt definiert werden, zum Beispiel, welche Anwender administrative Rechte erhalten oder welche Dienste es in der Umgebung gibt, bei denen Anwender Verwaltungsaufgaben durchführen sollen.
Rollen festlegen
Bei SAP sollte mit Rollen gearbeitet werden, nicht mit einzelnen Berechtigungen für Anwender. Zu einem Berechtigungskonzept gehören daher umfassende Rollenbeschreibungen, welche die Rechte erhalten. Die Benutzer werden anschließend den Rollen zugewiesen.
Die Erstellung eines Rollenkonzeptes ist im Rahmen des Berechtigungskonzeptes besonders wichtig. Es muss an dieser Stelle definiert werden, welche Rollen es gibt, wie diese heißen und welche Rechte die Rollen erhalten. Hier wird häufig zwischen Funktionsrollen und Systemrollen unterschieden. Beide müssen umfassend definiert werden. Eine Funktionsrolle mit der Bezeichnung Buchhaltung hat zum Beispiel bestimmte Rechte, die in einer Systemrolle umgesetzt werden.
Best Practices zum Aufbau eines Berechtigungsmodells
Beim Erstellen eines Berechtigungskonzeptes sollte zunächst eine Analyse erfolgen und danach das Konzept so erstellt werden, wie in diesem Beitrag erläutert. Nachdem das Konzept steht, sind Tools notwendig, mit denen sich die Berechtigungen umsetzen lassen.
In diesem Rahmen werden auch die bereits erwähnten Funktionsrollen erstellt, welche die Anwender nutzen sollen. Verknüpft sind die Berechtigungen mit den konfigurierten Systemrollen.
Bei der Erstellung von Rollen und Konzepten sollten diese mit den Fachabteilungen besprochen und vorgestellt werden, da hier die Rollen ebenfalls zum Einsatz kommen. An dieser Stelle sollte geprüft werden, ob es Verbesserungspotential für die Rollen gibt und Workshops sinnvoll sind.
Eine Dokumentation des Rollenmodells sollte an einem für alle beteiligten Anwendern zugänglichen Ort erfolgen. Im Rahmen der Erstellung sollte außerdem überprüft werden, ob jedem Mitarbeiter eine Rolle zugewiesen wurde und die Rolle passt. Danach sollten Simulationen und Tests erfolgen, um mögliche Änderungen vornehmen zu können.
