SAP-Berechtigungskonzepte: Wissen, wer was darf

Das Berechtigungs- und Lizenzmanagement innerhalb des SAP-Kosmos ist ein heikles Thema für viele Unternehmen. Während manche die Notwendigkeit von SAP-Berechtigungskonzepten immer noch anzweifeln, scheuen sich andere aufgrund der hohen Komplexität vor deren Umsetzung. Für die unternehmensweite Compliance und IT-Sicherheit sind SAP-Berechtigungskonzepte unverzichtbar, sagt Andreas Knab, Experte für SAP-Berechtigungen und Lizenzierung bei SIVIS, im Interview

Herr Knab, worin liegt aus Ihrer Sicht das grundsätzliche Problem beim Thema SAP-Berechtigungen?

Andreas Knab: Nehmen wir zum Beispiel eine Migration zu SAP S4/HANA. Ein Unternehmen nutzt schon seit 20 Jahren SAP. Dementsprechend gibt es historisch gewachsene Rollen, die beschreiben, was jemand tun darf. Doch Mitarbeitende kommen und gehen. Die Berechtigungen und damit verbundene Befugnisse verändern sich über die Jahre: Unternehmen statten Rollen, also gewisse Personen, mit zusätzlichen Berechtigungen aus. Und nach einigen Jahren darf jeder alles.

Warum sind Berechtigungskonzepte so wichtig?

Durch falsche oder nicht gepflegte Rollen entstehen Compliance-Probleme: Mitarbeitende haben SAP-Berechtigungen, die nicht ihrer Rolle entsprechen. Oftmals hat das Konsequenzen, die kritisch für das Unternehmen sind, Geld kosten oder sogar illegal sind. Es geht also immer um die Frage: Wer darf was? Darf jemand einen Jahresabschluss auslösen? Irgendwelche Zahlen manipulieren? Einen Datensatz neu anlegen oder löschen? Das lässt sich mit einem Schlüsselkonzept in großen Gebäuden vergleichen. Nicht jeder Schlüssel öffnet alle Türen. Zum Beispiel hat der Lagerist nichts im Entwicklungslabor zu suchen. Genauso ist das im SAP.

Aber sind Rollen nicht vordefiniert?

Integratoren erstellen meist vorgefertigte Rollen, mit denen ihre Kunden arbeiten können. Das Problem dabei ist: Während der Integrationsphase muss das Projekt reibungslos laufen, und man will sich nicht zu intensiv mit Berechtigungskonzepten befassen. Daher sind diese vordefinierten Berechtigungen im SAP häufig sehr weitreichend gefasst, sodass die Nutzer viel mehr dürfen, als sie sollten. Schließlich müssen die Integrationstests erfolgreich sein, und alles soll einwandfrei funktionieren.

Das heißt zum Beispiel, ein Buchhalter darf nicht nur eingehende Rechnungen verbuchen, sondern deutlich mehr?

Es geht oft um die sogenannten SODs, Segregation of Dutys, also Funktionstrennungskonflikte. Beispielsweise darf jemand einen Lieferanten anlegen, einen Wareneingang buchen und einen Zahllauf starten. Was kann ohne sauberes Berechtigungskonzept passieren? Der Nutzer legt einen Lieferanten an, den es in der Realität nicht gibt, bucht einen Wareneingang, der nie stattgefunden hat, und startet eine Zahlung. Und an wen geht das Geld? An das eigene Konto. Damit habe ich das Unternehmen, ohne dass es das Unternehmen merkt, weil ja tatsächlich alle Buchungen stattgefunden haben, schnell um viel Geld erleichtert. Das Unternehmen merkt diesen Missbrauch oft erst dann, wenn es eine Prüfung gibt.

Lässt sich das mit einem Rollenkonzept, das der Integrator vordefiniert hat, nicht verhindern?

Vielleicht ist der Mitarbeitende anfangs nicht befugt, einen Lieferanten anzulegen oder einen Zahllauf zu starten – ganz so, wie es seiner Rolle entspricht. Doch dann beantragt er weitere Rollen. Und durch die Kombination der Rollen kann er irgendwann sehr wohl Lieferanten anlegen, Wareneingänge buchen und Zahlläufe starten. Das heißt, selbst wenn die Rollen des Integrators sauber definiert waren, verändern sich die Berechtigungen mit der Zeit. Darin liegt die Krux, weil Unternehmen einfach nicht die Werkzeuge an der Hand haben, diese Konflikte zu erkennen. Respektive ist es ihnen nicht möglich, sie zu vermeiden.

Spätestens bei Prüfungen muss doch auffallen, dass irgendwas nicht stimmt mit den Berechtigungen?

Jein. Wenn ein einzelner Auditor oder gar das Audit-Unternehmen selbst, gibt es häufig eigene Prüfungssets – und damit ein anderes Regelwerk. Dann tauchen Unregelmäßigkeiten auf, und die Hütte brennt. Einen etwaigen Missbrauch durch Mitarbeitende zu erkennen, das kann dauern. Bis Unternehmen dies herausfinden, ist das Geld längst weg.

Kommen solche kriminellen Handlungen denn häufig vor?

Die kriminellen Aktivitäten sind in der Minderheit. Was jedoch immer wieder passiert, sind Fehlbedienungen aufgrund von Unwissenheit. Oder jemand springt ein, weil der Kollege erkrankt ist. Um dessen Aufgabe zu erledigen, braucht der Vertreter erweiterte Berechtigungen. So weit, so gut. Doch wenn sich dann niemand darum kümmert und die zusätzlichen Befugnisse wieder zurücknimmt … Ich hatte mal einen Kunden, bei dem es einen User gab, der nicht nur längst in Rente, sondern schon fünf Jahre zuvor verstorben war. Dessen Benutzername und Passwort haben die Kollegen immer dann genutzt, wenn sie Dinge tun wollten, die sie mit ihrem eigenen Account nicht tun durften.

Es können massive Schäden entstehen. Haben Sie dafür ein Beispiel?

Bei einem anderen Kunden hatte das Thema Berechtigungen keine wirkliche Priorität. Ich hatte daher vergeblich versucht, einen Termin zu bekommen. Eines Tages klingelt bei mir das Telefon. Der Anrufer bat mich, schnell zu kommen. Was war passiert? Ein Azubi kommt ins Unternehmen, geht in den ersten Fachbereich, bekommt dort seine Berechtigung: Dann wechselt er in den nächsten Fachbereich, bekommt dort weitere Berechtigungen. Und nach drei Jahren hatte er mehr Berechtigungen als die Geschäftsführung. Man vertrat damals den Standpunkt: Wir vertrauen unseren Mitarbeitenden. Der Azubi hat aber tatsächlich seine multiplen Berechtigungen dazu genutzt, seinen Arbeitgeber um viel Geld zu erleichtern. Er hat – zum Glück für das Unternehmen – einen Fehler gemacht: Die Änderungsbelege waren nicht gelöscht. Darüber konnte man ihn kriegen. Er wurde in der Cafeteria in der Mittagspause verhaftet. Und am gleichen Tag erhielt ich den Anruf mit der Bitte, schnell vorbeizukommen. Denn in punkto Berechtigungskonzept müsse man dringend tun.

Öffnen solche Monsterrollen nicht auch Cyber-Kriminellen Tür und Tor?

Absolut. Man stelle sich vor, ein Hacker erhielte Zugriff auf eine Rolle mit sehr umfangreichen Berechtigungen. Er hätte Zugang zu allen Daten, Systemen, Assets und Geräten – ebenso, wie der rechtmäßige Inhaber der Rolle. Welch großen Schaden er anrichten könnte! Darum ist dies zurecht ein Horrorszenario für viele Unternehmen. Laut einer BITKOM-Studie aus dem Sommer 2022 waren 63 Prozent der befragten Unternehmen vom Diebstahl sensibler Daten betroffen. Und die richtige SAP Rolle erleichtert den Zugriff auf sensible Daten.

Kommen Unternehmen denn immer erst dann auf Sie zu, wenn das Kind in den Brunnen gefallen ist?

Es gibt verschiedene Beweggründe. Der Klassiker ist: Auditoren waren im Haus und haben festgestellt, dass das Unternehmen keinen Mechanismus etabliert hat, um mögliche Risiken zu identifizieren. Oder der Auditor hat festgestellt, dass es aktive Monsterrollen oder historisch gewachsene Rollen mit umfangreichen Befugnissen gibt. Er verlangt dann, das Rollenkonzept zu erneuern. Manche Unternehmen erkennen selbst, dass ihr Rollenkonzept einfach Mist ist. Andere haben einen Compliance-Fokus. Oder sie finden ihre Rollen ganz okay, und haben eine Compliance-Prüfung hinter sich gebracht. Was sie aber nicht haben, sind kompensierende Kontrollen, die sich viele nicht ans Bein binden wollen, sofern der Auditor sie nicht fordert.

Was ist eine kompensierende Kontrolle?

Eine kompensierende Kontrolle gibt der Auditor vor, wenn ein Nutzer umfangreiche Berechtigungen hat, etwa weil er zum Beispiel auf einem anderen Kontinent allein für sein Unternehmen sitzt und einfach alles können dürfen muss. Der Auditor ist dann zwar einverstanden, verlangt aber eine kompensierende Kontrolle: Es wird regelmäßig übergeprüft, ob der Mitarbeitende nach einer gewissen Zeit immer noch in seiner Position arbeitet. Dafür kommt ein Regelwerk zum Einsatz, das dafür sorgt, dass sich Unternehmen die Rolle nach einer gewissen Zeit noch einmal anschauen. Meist kommen die Unternehmen aber nicht mehr zurecht, da ein Wildwuchs entstanden ist. Steigt man auf S4/HANA um, dann doch bitte ohne dieses Chaos. Doch manche Firmen schleppen diesen Wildwuchs mit und wollen ihn nach der Migration bereinigen. Meist passiert das dann nicht.

Kommen Berechtigungskonzepte nicht von den IT-Dienstleistern, die die Einführung von SAP oder die Migration auf S4/HANA unterstützen?

Auch IT-Dienstleistern beauftragen uns. Doch oftmals haben sie einen anderen Ansatz. Sie bringen selbst ein Standard-Rollenset mit, verkaufen dies als Dienstleistung und passen das Rollenset für ihren jeweiligen Kunden immer wieder an.

Was würden Sie einem Unternehmen in Bezug auf Berechtigungskonzepte empfehlen? Welchen Ansatz verfolgen Sie?

Firmen sollten sich so früh wie möglich Gedanken darüber machen. Sei es, um ein bestehendes Konzept zu optimieren oder ein neues umzusetzen. Es gibt sogenannte Tracings, mit denen sich Benutzeraktivitäten betriebsratskonform aufzeichnen lassen. So erfährt das Unternehmen, welcher User was aufruft – sowohl in einer alten SAP-Umgebung als auch in S4/HANA. Dafür ist es wichtig, auf Best Practices zurückzugreifen. Wir haben Vorlagen für rund 1.000 Rollen, die wir über 20 Jahre aus dem Wissen von mehreren hundert Projekten definiert haben. Was macht beispielsweise ein Hauptbuchhalter? Unsere vorgefertigte Rolle trifft aber nie zu 100 Prozent auf die Anforderungen jedes Unternehmens zu. Deswegen brauchen wir das Tracing: Aus dessen Ergebnissen können wir die paar Prozent, die unsere Standard-Rolle vom tatsächlichen Bedarf abweicht, in die spezifischen Rollenvorlagen ergänzen. Am Ende des Tages gibt es ein neues Rollenset, ohne dass irgendwelche Fachbereichsinterviews geführt werden mussten. Im Anschluss könnte das Unternehmen das Rollenset theoretisch einer zusätzlichen Compliance-Prüfung unterziehen. Hierfür haben wir Module, die eine solch offizielle Prüfung vorwegnehmen. Der Vorteil: Firmen können alle Rollen bereinigen – was Arbeit spart und die Prozesskosten deutlich reduziert.

Mit Ihrer Software lassen sich viele Prozesse rund um das Thema Berechtigungskonzepte automatisieren. Sie wollen jetzt zusätzlich KI einsetzen. Was kann KI besser machen als die bisherige Software?

Die Software automatisiert bereits diverse Schritte in den Workflows, wie etwa das Dokumentieren oder Protokollieren jeder Änderung. Aber letztendlich muss bisher ein Mensch entscheiden, ob der Pförtner den Jahresabschluss machen darf oder nicht. Unsere KI, an der wir seit einiger Zeit mit dem Bundesministerium für Forschung und der Hochschule Karlsruhe arbeiten, erhöht den Automatisierungsgrad. Das System ist in der Lage, Rollen selbstlernend zu definieren, und es gestaltet Rollen automatisch so aus, dass kein Mensch im Nachgang draufschauen muss.

Andreas Knab

Als Sales Director verantwortet Andreas Knab seit 2017 den Vertrieb bei SIVIS. Im Alter von 13 hat er sein erstes Computerprogramm auf dem Schulhof verkauft. Seit 2000 ist er vertrieblich im SAP-Umfeld tätig.