„Rollenkonzepte nicht historisch gewachsen, sondern hysterisch“

SAP: Wer darf was?

Über die Schwierigkeiten bei der Vergabe und Kontrolle von Berechtigungen in SAP sprachen wir mit Patrick Boch, Produktmanager beim SAP-Partner Akquinet Enterprise.

Patrick Boch von Akquinet

„Viele Gesetze – Stichwort DSGVO – verlangen nach klaren Rollenkonzepten”, betont Patrick Boch von Akquinet.

ITM: Herr Boch, womit werden Sie in Sachen SAP-Berechtigungsmanagement am häufigsten konfrontiert?
Patrick Boch: Das Problem, mit dem viele Kunden zu kämpfen haben, lässt sich meist auf die Transparenz reduzieren. Entweder monieren die Wirtschaftsprüfer fehlende Dokumentationen, eine unklare Vergabe von Benutzerrollen oder eine schwierige Beurteilung der „ordnungsgemäßen elektronischen Buchführung“. Oder aber die interne Revision stört sich an unübersichtlicher Rollenadministration oder einem hohen Prüfaufwand. Oft hört man Sätze wie: „Unser Rollenkonzept ist nicht historisch gewachsen, sondern hysterisch“. Dabei ist die Transparenz hinsichtlich Rollen und Berechtigungen im Laufe der Jahre oft verlorengegangen. SAP-Systeme sind bei vielen Kunden teilweise schon seit Jahrzehnten im Einsatz, viele neue Gesetze und Verordnungen – Stichwort DSGVO – verlangen aber nach klaren und eindeutigen Rollenkonzepten.

Dies ist ein Artikel aus unserer Print-Ausgabe 1-2/2019. Bestellen Sie ein kostenfreies Probe-Abo.

ITM: Wie werden Anwender in der Regel auf mangelhafte Berechtigungskonzepte aufmerksam?
Boch: Der User selbst merkt fast kaum bis gar nicht, ob er zu viele Berechtigungen hat oder ob es Konflikte bei den Berechtigungen gibt. Der Grund dafür liegt in der Natur der Sache: Anwender beschränken sich auf ihr Fachgebiet und arbeiten mit immer denselben Transaktionen. Probleme treten erst dann auf, wenn ein neues Berechtigungskonzept eingeführt wird und die „alten“ Prozesse nicht mehr so funktionieren wie gewohnt. Daher baut unser Konzept „Safe Go Live Managements“ ein neues Rollenkonzept parallel zu den gewohnten Prozessen auf. Dabei werden nur im Hintergrund die Rollen und Berechtigungen so geschärft und regelkonform gestaltet, dass sie ideal auf das jeweilige Nutzungsverhalten passen und dennoch jedem prüfenden Blick standhalten.

ITM: Was passiert bei fehlerhaftem Berechtigungsmanagement?
Boch: Vermutlich ist der erste Gedanke der, dass der Benutzer bestimmte Transaktionen nicht mehr aufrufen kann, obwohl diese eigentlich in das normale Betätigungsfeld gehören. Das passiert auch, ist aber eher selten. Andersherum ist die Problematik größer: wenn der Benutzer mehr darf, als er eigentlich bräuchte. Dann können und werden sich in der Regel Begehrlichkeiten und etwaiger Nießbrauch einstellen. Fehlen jedoch Freigaben, beschweren sich die Anwender. Das wiederum läuft über den Fachbereichsleiter und die IT-Abteilung bekommt unerwünschte Fragen. Aus diesem Grund vergeben die IT-Administratoren Berechtigungen häufig gerne eher zu großzügig, was jedoch die eingangs erwähnten Probleme bei der Wirtschaftsprüfung bzw. der internen Revision auslöst.

ITM: Inwieweit spielt das Thema „Indirekte Nutzung“ in Ihr Aufgabenfeld hinein?
Boch: Das Problem ist seit einiger Zeit bekannt und hat vor allem in der Vergangenheit zu großer Verunsicherung bei den Kunden geführt. Für uns als Anbieter eines in SAP integrierten Add-Ons war dies besonders unangenehm, weil die Kunden natürlich befürchteten, SAP könne bei der Nutzung unserer Software erneut zur Kasse bitten. Inzwischen hat sich das Thema etwas beruhigt, auch weil wir unsererseits das Thema direkt beim Kunden adressieren. Unsere Lösungen sind dahingehend geprüft und zertifiziert, dass keine zusätzlichen Kosten für die Anwender anfallen.

ITM: Berechtigungsmanagement kostet Geld, spielt aber keinen unmittelbaren Gewinn ein. Wie überzeugen Sie Mittelständler dennoch von der Relevanz des Themas?
Boch: Stimmt, ein klassischer „Business Case“ lässt sich mit Compliance meist nicht rechnen. Allerdings sehen die Kunden die Kosten und den Aufwand, der für Audits anfällt. Diese Aufwände können wir mit unseren Lösungen verringern, so dass sich eine Amortisierung durchaus rechnen lässt. Ein weiterer Punkt ist die Sicherheit. Datendiebstahl, -missbrauch und -manipulation erzeugen sehr wohl einen wirtschaftlichen Schaden und daraus resultierende Image- und auch Umsatzverluste lassen sich durchaus quantifizieren.

Bildquelle: Akquinet

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok