2023/8 | Fachbeitrag | Digitalisierung

Berechtigungsmanagement 2.0: Quo vadis SAP-Berater?

SAP ist das digitale Herz vieler Unternehmen und damit unverzichtbar für einen reibungslosen Geschäftsbetrieb. Umso folgenschwerer sind Schwachstellen im sensiblen Bereich der SAP-Berechtigungskonzepte, mit erheblichen wirtschaftlichen und sicherheitstechnischen Risiken. Doch egal ob ein initiales Berechtigungskonzept erstellt wird, der Wirtschaftsprüfer ein Redesign anmahnt oder ein Audit ansteht: Berechtigungsprojekte sind in vielerlei Hinsicht eine komplexe Herausforderung. Fachlich, da ein fundiertes Verständnis der spezifischen Geschäftsprozesse nötig ist. Technisch, da dieses Prozesswissen möglichst verlustfrei in die Sprache des SAP-Ökosystems "übersetzt" werden muss. Und methodisch, da Berechtigungskonzepte ein gutes Projektmanagement erfordern, um interne Ressourcen und externe SAP-Experten effizient zu managen. Moderne Technologien bieten hier ein großes Potenzial, Berechtigungskonzepte künftig intelligenter und kostensparender anzugehen. Insbesondere automatisierte Lösungen werden das Business disruptiv verändern - und damit auch die Rolle der SAP-Consultants in Berechtigungsprojekten.

^{Bildquelle: (C) Mohamed Hassen / Pixabay}

Berechtigungskonzepte müssen den Spagat schaffen, jeden Benutzer mit rollenspezifischen Zugriffs- und Bearbeitungsrechten auszustatten, gleichzeitig aber Sicherheitsrisiken minimieren und rechtliche Auflagen abbilden. Kurz gesagt: So viele Rechte wie nötig, aber so restriktiv wie möglich. Schlanke und klare Berechtigungen stellen Mitarbeitende nicht unter Generalverdacht, sondern bieten ebenso Schutz vor versehentlichen Fehlern wie vor Manipulation und Missbrauch.

Berechtigungskonzepte brauchen einen Game Changer

In Zeiten, in denen die Dynamik in Unternehmen rasant zunimmt, stößt der traditionelle Projektablauf bei der Erstellung von Berechtigungskonzepten an seine Grenzen. Zu träge ist der konventionelle Rollenbau, zu aufwändig das manuelle Durchspielen von Nutzungsszenarien, um mit Veränderungen der Organisationsstruktur, mit wechselnden Teamzusammensetzungen und laufend neuen Compliance-Vorgaben Schritt halten zu können. Hinzu kommt der wachsende Fachkräftemangel im Bereich IT: Auch SAP-Consultants sind rar und die S/4HANA-Migration verschärft diesen Engpass - es gibt schlichtweg nicht genügend gut geschulte Berater auf dem Markt, um die Fülle an SAP-Projekten zu stemmen.

Solange Sicherheitslücken abstrakt bleiben, scheuen deshalb viele Unternehmen den Organisations- und Kostenaufwand für ein professionelles Berechtigungskonzept oder ein Redesign. Die Folge ist ein großes und rasant wachsendes Delta zwischen Soll- und Ist-Situation. Um einen hoch risikobehafteten Projektstau zu verhindern, benötigt die Branche dringend innovative Ansätze - und zwar echte Game Changer, die den manuellen Anteil bei der Planung von Rollen und Berechtigungen deutlich reduzieren.

Die Zukunft des Berechtigungskonzepts ist automatisiert

Seit einigen Jahren gibt es smarte Tools auf den Markt, die die Verwaltung von Berechtigungen digitalisieren und punktuell vereinfachen - beispielsweise bei der Dokumentation und laufenden Pflege. Allerdings gab es bislang keine wirklich bahnbrechende Lösung für das zeit- und damit kostenaufwendige Erarbeiten von Rollen und Berechtigungen. Nach einer anspruchsvollen Analyse von Unternehmensstruktur und -prozessen werden Berechtigungen manuell zu Rollen gebündelt, um dann die modellierten Rollen den einzelnen Nutzern zuzuordnen. 600 Arbeitsstunden für den Rollenbau eines Berechtigungskonzepts mit 1.000 Usern sind durchaus realistisch. Da das Konzeptziel so individuell ist wie die jeweiligen Unternehmensabläufe, führen Standard-Templates erfahrungsgemäß nicht zu zufriedenstellenden Ergebnissen.

Die Lösung auf dem Weg hin zum Berechtigungsmanagement 2.0 lautet Automation, genauer gesagt Robotic Process Automation (RPA): Der Einsatz von Algorithmen beschleunigt den konventionellen Ablauf nicht nur - mittels Automated Role Mining lassen sich auch sehr große Datenmengen aus einem mehrmonatigen Tracing analysieren und so noch passgenauere Konzepte entwickeln. Möchte das Unternehmen vorrangig Lizenzkosten sparen, Compliance-Konflikte reduzieren oder den Prüfungsaufwand für Audits minimieren? Evolutionäre Algorithmen ermöglichen eine kontinuierliche Interaktion zwischen Mensch und Role Builder, so dass der Status der Optimierung im laufenden Berechnungsvorgang kontrolliert und das Ziel jederzeit nachjustiert werden kann. In Verbindung mit KI-basierten Modulen gelingt es, auch semantisch sinnvolle Namenskonventionen für das Rollenkonzept vollständig automatisiert zu generieren. Erste Pilotprojekte auf Basis von Automated Role Mining zeigen ein beeindruckendes Einsparungspotenzial von über 90 Prozent der Beraterstunden und 30 Prozent der Lizenzkosten sowie eine um 80 Prozent verkürzte Projektlaufzeit.

Werden SAP-Experten in Berechtigungsprojekten überflüssig?

Nein, ganz und gar nicht! Das Ziel automatisierter Berechtigungskonzepte ist es, SAP-Berater, interne IT-Experten und die Fachabteilungen von Meetings und repetitiven Tätigkeiten zu entlasten. Und das hat angesichts der aktuellen Marktlage absolut Sinn: Die Digitalisierung zwingt Unternehmen, ihre Geschäftsprozesse an die Anforderungen von VUCA, Globalisierung und New Work anzupassen - viele entscheiden sich für die ERP-Lösungen von SAP, dem Marktführer für Unternehmenssoftware. Hinzu kommt, dass im Jahr 2027 der Support für das klassische SAP ERP-System endet. Bis dahin muss die Migration auf SAP S/4HANA vollzogen sein - und damit auch ein Redesign des Berechtigungskonzepts. Branchenexperten wie die SAP-Personalberatung duerenhoff prophezeien eine Zuspitzung des Beratermangels. Die SAP-Beratungshäuser werden den wachsenden Bedarf an SAP-Fachkräften voraussichtlich bei weitem nicht decken können. Neue Technologien auf Basis von evolutionären Algorithmen helfen, diesen Experten-Gap abzufedern, da Implementierungen und Migrationen künftig mit weniger internen und externen Manntagen umgesetzt werden können.

Vorteile für die Unternehmen: Ein wichtiger Teil der IT-Security ist gesichert, Unternehmen arbeiten konform mit SoD-Policies und Compliance-Regularien wie NIS2 und SOX und sind jederzeit auf Zertifizierungen wie PCI DSS vorbereitet - bei sinkenden Kosten für die Erstellung von Berechtigungskonzepten und einer kürzeren Projektdauer. Zudem profitieren Unternehmen von exakt auf die tatsächliche Nutzung zugeschnittenen, schlankeren Lizenzpaketen.

Vorteile für SAP-Spezialisten: Die Überlastung sinkt und SAP-Experten erhalten wieder Freiraum für Tätigkeiten, bei denen sie ihr Wissen und ihre Soft Skills für die Wertschöpfung einsetzen können - beispielsweise für Beratung zu Security- und Compliance-Themen, für das Projektmanagement und Schulungen, für die intensive Kommunikation zwischen IT- und Fachabteilungen und das Change Management.

Fazit: Mit Pioniergeist und Gestaltungswillen neue Chancen nutzen

SAP Berechtigungskonzepte sind die Grundpfeiler in puncto Sicherheit. Eine Verschleppung anstehender Projekte oder eine halbherzige Umsetzung können sich Unternehmen nicht leisten. Die Entwicklung hin zum "Berechtigungskonzept 2.0" sollte deshalb weniger als Bedrohung, sondern in Zeiten knapper Ressourcen und wachsender Dynamik als Chance verstanden werden. Innovative Technologien und disruptive Strategien stehen zur Verfügung, um das Herkulesprojekt Berechtigungskonzept zu vereinfachen. Die Frage wird nicht sein, ob Unternehmen und SAP-Berater sich auf die Möglichkeiten der Automatisierung einlassen, sondern wer mit Pioniergeist vorangeht und sich so Kostenvorteile und einen Wettbewerbsvorsprung sichert.

Der weltweit erste virtuelle SAP-Rollenberater ist das Ergebnis eines visionären Forschungsprojekts, das der Karlsruher Softwarespezialist SIVIS in Kooperation mit der Hochschule Karlsruhe durchgeführt hat: Auf Basis evolutionärer Algorithmen analysiert der SIVIS Authorization Robot Millionen von Tracingdaten und entwickelt automatisiert komplexe Konzeptvorschläge für Einzel- und Sammelrollen. Die Pilotierung wurde durch das Bundesministerium für Bildung und Forschung (BMBF) gefördert. Seit April 2023 kann der SIVIS Authorization Robot als Software-as-a-Service für SAP-Umgebungen lizenziert werden: https://www.sivis.com/de/produkt/sivis-authorization-robot.

Der Autor:

Philipp Latini ist Geschäftsführer der Sivis GmbH, ein Softwarespezialist für das Identity & Access Management in SAP- und Microsoft-Umgebungen. Bevor der Experte für Identity Management, IT-Compliance und Berechtigungskonzepte 2020 die Position als CEO übernahm, war der IT-System-Kaufmann zunächst als Sales Manager und Head of Consulting bei Sivis tätig. Zuvor arbeitete er als Sales Manager bei der Leitwerk AG.

Web: www.sivis.com