IT Management, MAG 15-09

Wenn nichts mehr hilft: Neustart

Für ein Redesign der Berechtigungen im SAP-Umfeld gibt es verschiedene Gründe. Oft haben Wirtschaftsprüfer oder die interne Revision Mängel oder Inkonsistenzen im Berechtigungswesen festgestellt. Das kann dazu führen, dass das Berechtigungskonzept neu aufgesetzt werden muss.
E-3 Magazin
1. September 2015
Inhalt:
2015
avatar

Entscheidend beim Redesign eines Berechtigungskonzepts sind die Befunde. Diese werden in unterschiedliche Risikostufen unterteilt. Dafür ist wiederum auch relevant, wie schnell die Risiken behoben werden können.

Ein Beispiel für einen Mangel sind Systemparameter, die nicht die richtige Einstellung haben. Der Report RSPARAM zeigt die Systemparameter auf. Hier können Einstellungen wie zum Beispiel die generelle Systemprotokollierung angezeigt werden, die generell aktiviert sein muss, da sonst gegen Gesetze verstoßen wird (hohes Risiko, das allerdings zeitnah behoben werden kann).

Auch Einstellungen bezogen auf Passwortlänge und Komplexität oder die Steuerung von SAP-Standardbenutzern können dort überprüft und gegebenenfalls korrigiert werden.

Ein anderes Beispiel sind die zugewiesenen Berechtigungen. Auch hier finden wir unter Umständen kritische Berechtigungen, die mit einem hohen Risiko verbunden sind. Zum Beispiel das Berechtigungsobjekt S_SCD0 mit der Aktivität 06.

Über dieses Berechtigungsobjekt ist es möglich, Änderungsbelege zu löschen (Radierverbot). Damit würde in einem finanzrelevanten System gegen HGB verstoßen werden.

Was ist wirklich kritisch?

Die Risikobetrachtung der zugewiesenen Berechtigungen hängt von vielen Faktoren ab. Ein Faktor sind natürlich gesetzeskritische Berechtigungen wie oben im Beispiel aufgezeigt.

Diese Berechtigungsproblematiken sind relativ einfach einer Risikostufe zuzuordnen. Darüber hinaus gibt es jedoch auch noch Risiken, die unternehmensabhängig sind. Hier muss vorab genau analysiert werden, wo risikorelevante Unternehmensdaten vorliegen.

So sieht eine Bank, die ihr Bankgeschäft außerhalb von SAP betreibt und nur ihre internen Finanzströme über SAP leitet, das interne Finanzsystem als nicht so kritisch an. Ein anderes Beispiel wäre ein Chemie­unternehmen, das seine Rezepturen in SAP vorhält.

Das würde dieses Unternehmen als sehr kritisch ansehen und daher auch als sehr hohes Risiko einstufen. Risiken sind daher unternehmensspezifisch zu definieren.

Unternehmensspezifischer Risikokatalog

Der Aufwand, festgestellte Berechtigungsprobleme zu beheben, kann unter Umständen sehr hoch sein. Dies hängt meist mit der Berechtigungsstruktur zusammen.

Schwierig wird es etwa, wenn Berechtigungsrollen zu grob oder zu granular aufgebaut wurden. Auch wenn ein festgelegtes Berechtigungskonzept nicht konsequent eingehalten wird, kommt es zu Inkonsistenzen.

Um festzustellen, ob Mängel und Inkonsistenzen im bestehenden Berechtigungssystem korrigiert werden können oder das System besser neu aufgesetzt wird, braucht es eine detaillierte Voranalyse durch Experten.

Die Frage ist dann: Sind Zeitaufwand und Kosten für eine Korrektur höher als für ein Redesign des Systems?

Schritte des Redesigns

Ein Redesign fordert einen hohen Einsatz der Mitarbeiter. Insbesondere die Berechtigungsadministratoren und der Fachbereich sind stark involviert. Dies bedeutet eine hohe zusätzliche Belastung der Mitarbeiter zum Tagesgeschäft.

Oftmals werden auch externe Firmen hinzugezogen, wodurch zusätzliche Kosten für ein solches Projekt entstehen. Besteht die Notwendigkeit, das Berechtigungskonzept neu aufzusetzen, sollte der Aufwand so gering wie möglich sein.

Dafür schauen wir uns an, wie das Redesign umgesetzt werden kann, welche Risiken dabei bestehen und welche SAP-Bordmittel man dafür nutzen kann. Spezialsoftware kann die SAP-Bordmittel an vielen Stellen ergänzen oder einige Prozessschritte voll automatisieren.

So kann der Aufwand weiter reduziert werden. Ein möglicher Einsatz einer solchen Software sollte berücksichtigt werden.

Schritt 1:

Im Rahmen eines Berechtigungs-Redesigns sollte man sich zuerst bestehende Dokumentationen zu einem eventuell schon vorhandenen Berechtigungskonzept genau anschauen und eventuell ergänzen.

In diesen Dokumentationen sollten beispielsweise auch Namenskonventionen, die Benutzerverwaltung (z. B. Mutterschutz) und das Anlegen von Rollen über den Profilgenerator festgelegt werden.

Die große Herausforderung bei der Erstellung eines Berechtigungskonzeptes besteht in der Abwägung: Einerseits sollten alle wichtigen Punkte enthalten sein. Andererseits sollten Punkte, die sich häufig ändern, nicht zu detailliert niedergeschrieben werden.

Schritt 2:

Als nächsten Schritt sollte man in den Systemen eine Berechtigungsprüfung durchführen. Über die SAP-Bordmittel ist dies leider nur sehr eingeschränkt möglich. Technische Restriktionen und fehlerbehaftete Standardreports sind der Grund.

Schritt 3:

Nachfolgend steht die Umsetzungsphase an, bei der drei Fragestellungen maßgeblich sind: WAS muss ein Benutzer im SAP-System tun, WIE muss er es tun, und WO muss er es tun?

Das „Was“ wird in der Regel über die Transaktion abgebildet. Das „Wie“ wird über die entsprechenden Feldwerte (zum Beispiel Aktivitäten „Lesen“ oder „Ändern“) geregelt.

Das „Wo“ wird über sogenannte Organisationseinheiten gesteuert. Das bedeutet, in welchem Buchungskreis soll gebucht werden. Die Frage, was ein Benutzer machen darf, also welche Transaktion er benötigt, kann man mit einer Arbeitsplatzanalyse beantworten.

Das bedeutet, man setzt sich mit jedem Mitarbeiter des Unternehmens zusammen und geht einzelne Transaktionen, die der Benutzer benötigt, durch und notiert diese.

Das ist ein sehr aufwändiges Verfahren. Um diesen Prozess zu beschleunigen, kann man auf im System vorliegende Informationen zurückgreifen. Dafür gibt es vor allem drei Methoden:

1. Über die Transaktion ST03N. An dieser Stelle wird mitgeschrieben, welche Transaktion von welchem Benutzer aufgerufen worden ist. Die Informationen liegen in den meisten Fällen von den letzten drei Monaten im SAP-System vor.

Tipp: Der Zeitrahmen kann etwa auf 14 Monate verlängert werden. So werden auch Transaktionen für den Jahresabschluss berücksichtigt.

2. Zur weiteren Analyse können auch die vom Benutzer angelegten Favoriten herangezogen werden. An dieser Stelle werden oftmals auch selten genutzte Z*-oder Y*-Transaktionen hinterlegt, die bei der ST03-Analyse nicht aufgezeigt werden. Die Favoriten kann man zen­tral über eine Tabelle auslesen. Tabelle: SMEN_BUFFC

3. Transaktionen, die ein Benutzer in seinen alten Rollen hatte (Tabelle AGR_1251 und Tabelle AGR_USERS). Auch diese Information kann man heranziehen. Hierbei ist jedoch darauf zu achten, dass in den alten Rollen oftmals zu viele Transaktionen enthalten sind.

Hat man diese Informationen über alle Benutzer aus dem System ermittelt und analysiert, müssen diese Informationen gefiltert und bewertet werden. Hierbei besteht das Risiko, dass Informationen entweder vergessen oder falsch interpretiert werden.

Die Anwendung eines zusätzlichen Softwareproduktes kann an dieser Stelle sehr hilfreich sein. Wurde dies für alle Benutzer und Fachbereiche durchgeführt, kann damit begonnen werden, entsprechende Berechtigungsrollen nach Teilaufgaben der Fachbereiche zu gliedern und die dazugehörigen Transaktionen hinzuzufügen.

Dabei muss darauf geachtet werden, dass die Rollen im Nachgang verantwortlichen Personen (Dateneigentümern) zugewiesen werden. Daher sollten die Berechtigungsrollen möglichst modulrein sein.

Eine der größten Herausforderungen dabei ist es, zu ermitteln, welche Aufgaben die einzelnen Fachbereiche außerhalb ihres Zuständigkeitsbereichs ausführen müssen.

Der Zuständigkeitsbereich bezieht sich hierbei auf das SAP-Modul. Zum Beispiel arbeiten Finanzmitarbeiter sowohl in einem COModul als auch in einem HCM-Modul.

Nach diesem Projektschritt wurden alle Rollen bezogen auf die entsprechenden Fachbereiche mit den Transaktionen angelegt. Im nächsten Schritt müssen nun die angelegten Rollen ausgeprägt werden.

Die Wie- und Wo-Fragen müssen geklärt werden. Auch hier wird der Fachbereich sehr stark eingebunden.Für das Ausprägen der angelegten Rollen gibt es verschiedene Möglichkeiten.

Eine Möglichkeit ist, auf die Erfahrung der Fachbereichsmitarbeiter zurückzugreifen und die Rollen entsprechend auszuprägen. Da es bei der Ausprägung der Rollen jedoch oftmals sehr technisch wird, stößt man hier sehr schnell an Grenzen.

Als nächste Möglichkeit können Trace-Informationen (ST01), die im SAP-System erzeugt werden, genutzt werden. Nach Aktivierung kann man die Ergebnisse auslesen und für die Rollenausprägung nutzen. Diese Möglichkeit wird jedoch als sehr aufwändig angesehen.

Da für die Ausprägung der Rollen sehr viel Erfahrung notwendig ist und die Standard-Hilfsmittel nur bedingt hilfreich sind, zeigt die Erfahrung, dass in den meisten Fällen die Rollen mit zu hohen Rechten ausgeprägt werden.

Eine besondere Herausforderung stellt dabei der Bereich Controlling dar. In Unternehmen gibt es meist mehrere 100 Kostenstellen, die organisatorisch in Rollen getrennt werden müssen.

Risiko: Rollen mit zu hohen Rechten

Das Ergebnis nach der manuellen Rollenausprägung ist meist noch lückenhaft und ungenau. Wichtiger Punkt bei der Rollenausprägung: Auf keinen Fall sollte man bei der Ausprägung der Feldwerte auf eine SU24-Pflege verzichten.

Über die SU24 werden die Vorschlagswerte des Profilgenerators (PFCG) eingestellt. Eine sauber gepflegte SU24 erleichtert und beschleunigt die nachträgliche Administration der Berechtigungsrollen erheblich.

Auch eine Steigerung der Qualität der Berechtigungsrollen wird dadurch erreicht. Daher sollte dieser Schritt auf jeden Fall berücksichtigt werden. Hierbei ist der manuelle Aufwand jedoch so hoch, dass Spezialsoftware zum Einsatz kommen sollte.

Qualität und Sicherheit durch SU24-Pflege

Als letzter Schritt vor der Produktivsetzung muss ein sehr intensiver Test der Rollen durchgeführt werden. Das gesamte Testszenario sollte detailliert geplant und durch die Projektmitglieder begleitet werden.

Dazu sind im Vorfeld Testprotokolle zu erstellen, die den Mitarbeiter anleiten und die Möglichkeit geben, die Ergebnisse zu protokollieren. Eine zeitnahe Umsetzung der Testergebnisse hat durch die Berechtigungsadministration zu erfolgen.

Nach Bereinigung der ersten Testergebnisse stehen weitere Tests an. Dieser Prozess muss so lange durchgeführt werden, bis keine Berechtigungsfehler mehr vorliegen.

Auch muss ein Negativtest durchgeführt werden. Hierbei wird getestet, ob Benutzer etwas durchführen können, was sie eigentlich nicht machen sollten. Zum Beispiel in einem fremden Buchungskreis buchen.

Oftmals wird dieser Negativtest nicht ausgeführt. Somit besteht das Risiko, dass Rollen mit zu hohen Berechtigungen nicht erkannt und nicht angepasst werden.

Wenn das sehr zeitaufwändige und langwierige Testszenario abgeschlossen ist, können nun die Rollen ins Produktivsystem transportiert und den einzelnen Benutzern zugewiesen werden.

Vor Produktivstart eines neuen Berechtigungskonzeptes muss auch hier eine detaillierte Planung vorliegen. Es wird nicht empfohlen, gleichzeitig alle Benutzer umzustellen.

Zu empfehlen ist, aus jedem Bereich ein bis zwei Benutzer umzustellen. So kann man sehen, ob eventuell in dem vorgelagerten Test nicht alle Schritte berücksichtigt wurden und es dadurch zu Berechtigungsproblemen kommen kann. Ein sogenanntes „Fallback-Szenario“ (der Benutzer bekommt seine alte Rolle wieder) muss eingeplant oder über Spezialsoftware abgebildet werden.

Über diese Möglichkeit können dann Schritt für Schritt alle Benutzer umgestellt werden.Drei bis vier Monate nach Projektabschluss können die alten Berechtigungsrollen aus dem System gelöscht werden.

Voraussetzung ist natürlich, dass die neuen Rollen funktionsfähig sind. Abschließend ist zu beachten, dass die im Konzept vorab definierten Prozesse einzuhalten sind. Nur so kann man erreichen, dass das jetzt sehr mühsam erarbeitete neue Berechtigungskonzept erhalten bleibt.

Fazit: Bei gravierenden Mängeln in einem SAP-Berechtigungskonzept ist ein Redesign häufig die effizienteste Lösung. Die Neukonzeption ist allerdings aufwändig und riskant.

Hier kann Spezialsoftware helfen, Aufwand und Risiken zu minimieren. Dadurch erreicht man sowohl eine höhere Qualität als auch geringere Kosten. Auch im Tagesgeschäft kann Spezialsoftware kontrollierend und unterstützend eingesetzt werden.

 

 

Tipp 1

Es gibt Fälle, in denen ein Berechtigungskonzept unter Umständen besser ganz neu aufgesetzt werden muss, weil ein „schnelles Aufräumen“ die Situation nur kurzfristig verbessert.

Tipp 2

Wenn der Detaillierungsgrad in Berechtigungskonzepten zu hoch ist, besteht ein großer Pflegeaufwand. Softwarelösungen können dabei unterstützen.

Tipp 3

Sowohl die Pflege von Berechtigungskonzepten als auch die Prüfung kann über Spezialsoftware abgebildet werden.

Tipp 4

Erstellen Sie regelmäßig ein Massendownload der geänderten Rollen. Somit haben Sie die Möglichkeit, jederzeit auf einen älteren Stand der Rollen zurückzugreifen. Es geschieht immer wieder mal, dass im Eifer des Gefechtes zeitaufwändige Rollenänderungen überschrieben werden.

Tipp 5

Es besteht das Risiko, dass aufgrund von fehlenden Berechtigungen Mitarbeiter in ihrer täglichen Arbeit stark beeinträchtigt werden.

Tipp 6

Beim Einsatz einer entsprechenden Software ist darauf zu achten, dass diese auf SAP-Standardfunktionen aufsetzt, damit Unternehmen nicht abhängig von Sonderlösungen werden und dadurch eine manuelle Pflege der Berechtigungen nicht mehr möglich ist.

avatar
E-3 Magazin

Information und Bildungsarbeit von und für die SAP-Community.


Alle Artikel des Autors
Hausmitteilung

Kundenzufriedenheit

S/4 wächst mit viel Kritik

Editorial

Interner Richtungsstreit

Schreibe einen Kommentar