SAP S/4HANA: Tools für die Lizenz- und Berechtigungsanalyse

Die Berechtigungsstruktur verstehen

Der Aufbau eines effektiven SAP-Berechtigungskonzepts folgt festen Grundsätzen. Im Zentrum steht das Prinzip der Minimalberechtigung. Nutzer erhalten ausschließlich jene Rechte, die sie für ihre Arbeit zwingend benötigen. Statt jede einzelne Person individuell zu betrachten, werden in der Praxis Gruppen oder Abteilungen gebündelt. Damit bleibt das System handhabbar, ohne die Kontrolle über sensible Daten aufzugeben.

Ein zweiter Kernpunkt ist die Trennung von Aufgaben und Funktionen (Segregation of Duties, SoD). Damit werden Interessenkonflikte und Fehler vermieden, indem kritische Prozessschritte auf unterschiedliche Rollen verteilt werden. Ein typisches Beispiel ist die Kombination von Zahlungen und deren Freigabe, die möglichst nicht in einer Rolle zusammengeführt werden darf.

Zur Umsetzung wird meist die rollenbasierte Zugriffskontrolle (RBAC) genutzt. Rollen bündeln Berechtigungen und lassen sich zentral pflegen, wodurch Änderungen effizient in die Organisation getragen werden. Ergänzend kann eine hierarchische Gliederung eingesetzt werden, die Unternehmensstrukturen widerspiegelt und Berechtigungen nach Verantwortungsstufen ausrichtet.

Ein wirksames Berechtigungskonzept bleibt jedoch nicht statisch. Regelmäßige Überwachung und Anpassung sind notwendig, um veraltete oder überflüssige Rechte auszuschließen. Besonders kritische Rollen können befristet vergeben werden, sodass ihre Verlängerung stets eine erneute Prüfung erfordert. Parallel dazu ist eine Dokumentation aller Änderungen erforderlich. In der Transaktion PFCG lassen sich Änderungsvermerke direkt an Rollen hinterlegen, wodurch sich Nachvollziehbarkeit und Compliance verbessern.

Berechtigungen mit PCFG steuern

In SAP dient die Transaktion PFCG, auch als Profilgenerator oder Rollenpflege bezeichnet, der Erstellung, Änderung und Verwaltung von Rollen. Eine Rolle bündelt alle Berechtigungsobjekte und deren Ausprägungen, die ein Benutzer benötigt, um bestimmte Aufgaben im System auszuführen.

Über PFCG lassen sich Menüstrukturen mit Transaktionen, Reports oder Fiori-Apps pflegen, die zugehörigen Berechtigungen generieren und Benutzerrollen zuweisen. Zusätzlich können Änderungsvermerke und Dokumentationen direkt an den Rollen hinterlegt werden, wodurch Nachvollziehbarkeit und Compliance verbessert werden. Damit stellt PFCG das zentrale Werkzeug dar, um Benutzerberechtigungen im SAP-System strukturiert aufzubauen und dauerhaft zu pflegen.

Ein oft übersehener Aspekt beim Aufbau von Berechtigungen ist die Notwendigkeit eines strukturierten Änderungsmanagements. Rollen entwickeln sich kontinuierlich weiter, da organisatorische Strukturen und Geschäftsprozesse Veränderungen unterliegen. Ohne eine lückenlose Dokumentation ist weder die Nachvollziehbarkeit gewährleistet noch die Compliance im Audit-Fall abgesichert. Änderungen sollten deshalb datiert und mit klaren Vermerken zu den vorgenommenen Anpassungen versehen werden. In klassischen SAP-Rollen lässt sich dies direkt über den Punkt Dokumentation der Transaktion PFCG abbilden.

Darüber hinaus gewinnt die Befristung von besonders kritischen Berechtigungen an Bedeutung. Werden Rollen nur temporär für sechs Monate zugewiesen, zwingt dies zu einer erneuten Prüfung vor der Verlängerung und verhindert dauerhaft das unkontrollierte Anwachsen von Berechtigungsbeständen. Ergänzend dazu zeigt sich in der Praxis, dass historisch gewachsene Rollen oft unscharf definiert sind und dadurch versteckte Risiken bergen. Mit Werkzeugen wie dem Profilgenerator oder dem Autority Tool lassen sich diese Rollen gezielt bereinigen, indem Ausreißer aufgedeckt und inkonsistente Berechtigungen systematisch eliminiert werden.

Neue Anforderungen durch S/4HANA-Lizenzierung

Mit der Lizenzprüfung auf Basis der Berechtigungen verschärfen sich die Anforderungen an Transparenz. STAR wertet Berechtigungsobjekte und deren Ausprägungen aus und ermittelt, welche Lizenztypen erforderlich sind. Unternehmen, deren Rollen historisch gewachsen sind und unscharf gepflegt wurden, laufen Gefahr, mehr Professional-Lizenzen einkaufen zu müssen als tatsächlich erforderlich. Um diesem Risiko zu begegnen, gilt das Minimalprinzip, also so wenig wie möglich, so viel wie nötig.

Eine besondere Herausforderung im Berechtigungsmanagement zeigt sich während der Migration auf S/4HANA und in der parallelen Business-Partner-Umstellung. In diesen Projekten entstehen kurzfristig zahlreiche Anforderungen an neue oder erweiterte Rollen, etwa für die Pflege von Debitoren und Kreditoren. In vielen Fällen führt dies zu ad hoc erstellten Berechtigungen, die weder konsistent dokumentiert noch sauber eingegrenzt sind. Häufig werden bestehende Rollen kopiert oder mit zusätzlichen Berechtigungen angereichert, was die Gefahr von Überlizenzierung und Sicherheitslücken erhöht.

In dieser Phase zeigt sich der Vorteil automatisierter Tools, zum Beispiel des Profilgenerators, die aus realen Trace-Daten passgenaue Rollen erstellen können. Während eine manuelle Rollenerstellung oft mit Unsicherheiten verbunden ist und auf Schätzungen der Administratoren beruht, erlaubt der Profilgenerator eine faktenbasierte Zuweisung von Berechtigungen. Dadurch werden nicht nur die Projektlaufzeiten verkürzt, sondern auch die Qualität der Rollen verbessert.

Nutzungsanalysen sparen Geld

Nutzungsanalysen, die potenzielle und tatsächliche Nutzung gegenüberstellen, sind hierfür ein zentrales Instrument. Werden diese in festen Intervallen durchgeführt, lassen sich Optimierungspotenziale aufdecken und überdimensionierte Rollen abbauen. Selbst hochpreisige Lizenztypen wie Developer Access sollten regelmäßig geprüft werden, um unnötig Kosten zu vermeiden.

Ein weiterer Aspekt ist die kontinuierliche Bereinigung inaktiver oder obsoleter Benutzerkonten. In vielen Unternehmen finden sich über Jahre hinweg gesperrte, doppelt angelegte oder nicht mehr genutzte Accounts, die dennoch mit Berechtigungen und damit auch mit Lizenzansprüchen verknüpft sind. Diese veralteten Konten sind aus mehreren Gründen problematisch. Zum einen erhöhen sie die Lizenzkosten unnötig, da SAP auch für ungenutzte, aber berechtigte Benutzer Lizenzen anrechnen kann. Zum anderen stellen sie ein Sicherheitsrisiko dar, da solche Konten mitunter wieder aktiviert oder missbraucht werden können.

Eine systematische Identifikation dieser inaktiven Nutzer über regelmäßige Nutzungsanalysen, ergänzt durch Reports zu Log-in-Aktivitäten und Berechtigungszuweisungen, reduziert nicht nur die Lizenzlast, sondern schafft auch mehr Transparenz im Berechtigungskonzept. Effektive Bereinigung umfasst neben der Entfernung obsoleter Accounts auch die Konsolidierung von Mehrfachrollen, die durch organisatorische Änderungen oder Projektphasen entstanden sind. Hier zeigen sich die Stärken automatisierter Tools, die inaktive oder doppelte Benutzer systemweit aufspüren, Konsolidierungsvorschläge liefern und die Anpassungen direkt in die Systeme zurückführen. Durch die Kombination aus Bereinigung, Konsolidierung und laufender Überwachung entsteht eine schlanke, Audit-feste Nutzerlandschaft, die den Lizenzbedarf dauerhaft stabilisiert und die Einhaltung interner wie externer Compliance-Vorgaben sicherstellt.

Ein häufig unterschätzter Kostenfaktor liegt in der Pflege historisch gewachsener Rollenlandschaften. Viele Unternehmen haben über Jahre hinweg Berechtigungen kumuliert, ohne sie systematisch zu bereinigen. Dabei entstehen Redundanzen und ungenutzte Rechte, die bei einer Lizenzprüfung dennoch in die Einstufung einfließen. Besonders problematisch sind überdimensionierte Rollen, die mehreren Anwendern gleichzeitig zugewiesen werden und dadurch den Bedarf an teuren Lizenztypen künstlich erhöhen. Eine regelmäßige Bereinigung dieser Rollen reduziert nicht nur das Risiko überflüssiger Kosten, sondern erleichtert auch die Einhaltung von Compliance-Vorgaben und senkt den administrativen Aufwand im Betrieb.

Werkzeuge für die Berechtigungsanalyse und Rollenerstellung

Neben STAR gibt es eine Reihe spezialisierter Werkzeuge, die den Aufbau und die Pflege von Berechtigungen beschleunigen. Die Transaktion PFCG ist ein Tool, das aus Trace-Daten automatisch passgenaue Rollen erstellt. Anhand von Nutzeraktionen werden Berechtigungsobjekte identifiziert, die für die jeweilige Tätigkeit erforderlich sind. Daraus entsteht eine vollständige Rolle, die ohne nachträgliches manuelles Feintuning genutzt werden kann.

Das Autority Tool ergänzt diesen Ansatz um die direkte Anbindung an SAP-Systeme über vordefinierte Konnektoren. Es ermöglicht Analysen und Anpassungen im laufenden Betrieb und unterstützt sowohl HCM-Daten als auch Systemrollen. In Verbindung mit der SAP Analytics Cloud lassen sich Berechtigungslandschaften visuell darstellen. Cluster-Analysen machen Abweichungen sichtbar, indem Rollen und deren Verteilung über Abteilungen hinweg transparent abgebildet werden. Kritische Rollen und Ausreißer lassen sich identifizieren und gezielt überarbeiten.

Die Kombination der Werkzeuge eröffnet die Möglichkeit, ein Berechtigungskonzept nicht nur einmalig aufzubauen, sondern fortlaufend zu verbessern. Analysen mit der SAP Analytics Cloud liefern den Überblick über Rollen, Nutzer und deren Zuordnung zu Organisationseinheiten. Mit der Transaktion PFCG können anschließend neue Rollen aus den tatsächlichen Nutzungsdaten erstellt oder bestehende Rollen erweitert werden. Das Autority Tool schließt den Kreis, indem es Änderungen direkt ins System zurückführt und über Konnektoren die Datenbasis für weitere Analysen bereitstellt. Damit entsteht ein Prozess, in dem Berechtigungen analysiert, optimiert und automatisiert umgesetzt werden.

Identity Management als strategischer Baustein

Ein zentrales Element für den nachhaltigen Betrieb ist die Integration in ein umfassendes Authorization and Identity Management (AIM). Automatisierte Administration sorgt dafür, dass Rollen im Einklang mit den Lizenzbestimmungen vergeben werden. Auf diese Weise lassen sich hohe Lizenzkosten, die durch zu großzügig gestaltete Berechtigungen entstehen, dauerhaft vermeiden. Gleichzeitig stärkt ein strukturiertes Identity Management die Sicherheit, da es Zugriffsrisiken reduziert und den Audit-Anforderungen gerecht wird.

Neben der reinen Lizenzoptimierung gewinnt die Simulation zukünftiger Lizenzszenarien zunehmend an Bedeutung. Unternehmen stehen vor der Herausforderung, dass sich Lizenzmodelle in kurzen Abständen ändern und bestehende Rollenmodelle nicht automatisch kompatibel bleiben. Durch die Integration von Kostensimulationen und Benchmarks in das Berechtigungs- und Lizenzmanagement lassen sich bereits im Vorfeld einer Migration oder Systemumstellung die finanziellen Auswirkungen verschiedener Lizenzmodelle detailliert berechnen.

Diese Simulationen erfassen nicht nur den aktuellen Stand der Rollen- und Berechtigungsvergabe, sondern binden auch historische Nutzungsdaten sowie geplante Prozessänderungen ein. So entsteht ein vollständiges Bild, das zeigt, wie sich unterschiedliche Varianten, von der Reduktion einzelner Rollen über die Konsolidierung mehrerer Berechtigungen bis hin zur Einführung neuer Lizenztypen, langfristig auf die Kosten- und Compliance-Situation auswirken.

Ergänzend können Unternehmen Szenarien durchspielen, bei denen kritische Rollen mit zeitlichen Befristungen oder alternativen Lizenzarten ausgestattet werden, um den Bedarf an teuren Professional-Lizenzen zu senken. Dieser vorausschauende Ansatz verschafft nicht nur Planungssicherheit für die Budgetierung, sondern verhindert auch unerwartete Nachforderungen im Rahmen von Audits. Darüber hinaus stärkt er die Entscheidungsfähigkeit des Managements, da die Simulationen in strategische Investitions- und Migrationsplanungen integriert werden können.