Thought Leadership
Eine SAP S/4HANA-Transformation ermöglicht es Unternehmen, Geschäftsprozesse zu digitalisieren, transparent sowie datengetrieben zu steuern und dadurch effizienter zu gestalten.
Die Umstellung auf S/4HANA und das neue Lizenzmodell von SAP machen allerdings eine strategische Optimierung der Nutzerberechtigungen unverzichtbar. Nachfolgend wird daher erläutert, wie Unternehmen ihr Berechtigungsmanagement so gestalten, dass sie ihre Lizenzkosten senken und zugleich ihre Compliance verbessern.
Mit S/4HANA steht Unternehmen eine moderne ERP-Suite mit Schwerpunkt auf der Echtzeit-Datenanalyse und -verarbeitung zur Verfügung, die es ermöglicht, Erkenntnisse aus ihren Daten für Geschäftsentscheidungen zu gewinnen und mittels künstlicher Intelligenz und maschinellem Lernen Prozesse zu automatisieren. Da der Support und die Wartung für SAP Enterprise Resource Planning (ERP) ausläuft, müssen SAP-Kunden bis 2027, allerspätestens bis 2030, auf S/4HANA migrieren. Bereits jetzt reduziert SAP die Anrechnungen von Altlizenzen jährlich um zehn Prozent, was die Umstellung auf S/4HANA unaufhaltsam verteuert, wenn die Migration hinausgezögert wird.
Dass die Bemessung der Lizenzkosten bei SAP zukünftig nicht mehr auf Basis des tatsächlichen Nutzungsverhaltens, sondern der vergebenen Berechtigungen erfolgt, bedeutet, dass zu viele unnötige Berechtigungen rasch zu einer teureren Lizenzkategorie führen und eine Kostenexplosion zur Folge haben können. Darüber hinaus entstehen durch zu viele oder falsche Berechtigungen Compliance-Risiken, weil dies die Gefahr von Sicherheitsvorfällen und Verstößen gegen regulatorische Anforderungen erhöht.
Unternehmen, die den Umstieg auf S/4HANA planen, sollten deshalb zunächst bestehende Strukturen bereinigen und das Berechtigungsmanagement neu strukturieren, bevor der Wechsel zu S/4HANA erfolgt. Denn mit einer systematischen Optimierung der Berechtigungen können Unternehmen die genannten Herausforderungen in Chancen verwandeln.
Unternehmensrisiken und Lizenzkosten reduzieren
Eine sauberes Berechtigungsmanagement mit einer korrekten, granularen Zuweisung von Rollen und Berechtigungen ist grundlegend, um sicherzustellen, dass Benutzer nur auf die Daten und Funktionen zugreifen können, die sie für die effiziente Erfüllung ihre Aufgaben benötigen. Dies sorgt dafür, dass Mitarbeiter weder in ihren Arbeitsabläufen eingeschränkt werden noch außerhalb ihrer Kompetenzen agieren, und dass die Sicherheit und Integrität von Unternehmensdaten und -systemen gewahrt bleiben.
Schäden durch versehentliches Handeln, wie zum Beispiel die Aufhebung einer Liefersperre oder die falsche Verwendung einer Massenveränderungsfunktion, können damit verhindert werden. Ebenso wird sichergestellt, dass zum Beispiel Bilanzen nicht geschönt werden, Stakeholdern oder Steuerbehörden ein Schaden entsteht und dem Unternehmen wirtschaftliche und strafrechtliche Konsequenzen drohen. Nicht zuletzt sind Konten mit zu hohen Berechtigungen auch ein Risiko, wenn Accounts durch Cyberangriffe kompromittiert werden, Angreifer dadurch unbemerkt sensible Unternehmensdaten exfiltrieren oder ganze Systeme mit Ransomware infizieren, um ein Lösegeld zu erpressen.
Das Argument, dass Mitarbeiter über mehr Berechtigungen verfügen sollten als unbedingt notwendig, um möglichst breit einsatzbereit zu sein, kann deshalb sowohl aus Compliance- und Sicherheitsgründen kostspielig werden, als auch, wenn diese Berechtigungen auf Grundlage eines alten SAP-Lizenzkosten-Modells vergeben wurden. Da die Lizenzierung bei der technischen Zuweisung von Berechtigungen bisher in den meisten Unternehmen vernachlässigt wurde, müssen nun viele ihre Berechtigungsstrukturen überprüfen und anpassen, um die Kosten unter Kontrolle halten. Nachfolgend finden sich deshalb drei Schritte, mit denen Unternehmen ihre Berechtigungsmanagement optimieren können.
Fahrplan für die Berechtigungsoptimierung
Schritt 1: Bestandsaufnahme der Berechtigungen
Zunächst sollten Unternehmen den Status quo analysieren und prüfen, welche Berechtigungen derzeit vergeben sind, sowie inaktive Nutzer oder Rollen, die nicht verwendet werden, identifizieren. Hierfür können sie Analysetools nutzen, um detaillierte Einblicke in ihre Berechtigungen zu erhalten. Tipp: Auch historische Berechtigungen, die über Jahre hinweg nicht bereinigt wurden, sollten berücksichtigt werden.
Schritt 2: Optimierung der Berechtigungen
Im zweiten Schritt sollten Unternehmen für jede Benutzergruppe granular spezifische Rollen mit klaren Berechtigungen definieren und erstellen. Die Vergabe von zu weitreichenden Berechtigungen, die für eine Benutzergruppe nicht einmal benötigt werden, sollte dabei vermieden werden. Dies kann unter Umständen zu einer teureren Lizenzkategorie führen. Bei den Rollenbereinigung werden unnötige Berechtigungen aus den Rollen entfernt und auf das notwendige Minimum reduziert. Dieser Ansatz folgt dem Need-to-know-Prinzip, einem Sicherheitskonzept im Datenschutz, bei dem der Zugriff auf sensible Daten nur denjenigen Personen gestattet sein sollte, die diese Informationen zwingend für ihre Arbeit benötigen. Die Feinabstimmung der Berechtigungen auf Benutzerebene vermeidet eine Überlizenzierung und gewährleistet die optimale Ausnutzung der Lizenzen.
Schritt 3: Implementierung eines kontinuierlichen Optimierungsprozesses
Der Einsatz von Monitoring-Tools ermöglicht es, die Nutzerberechtigungen fortlaufend zu überwachen und schnell auf Veränderungen zu reagieren. Zudem sollte eine regelmäßige Überprüfung erfolgen, um sicherzustellen, dass die Berechtigungen den aktuellen Anforderungen des Unternehmens und der SAP-Lizenzierung entsprechen. Mittels automatisierter Zuweisung und Überprüfung von Berechtigungen kann der Administrationsaufwand minimiert werden. Ein klar definierter Eskalationsprozess für Überberechtigungen spart zudem Zeit und stellt sicher, dass keine neuen Kostenfallen entstehen.
Fazit
Die Umstellung auf SAP S/4HANA bietet Unternehmen eine wertvolle Gelegenheit, ihre SAP-Berechtigungsstrukturen zu überarbeiten und auf den neuesten Stand zu bringen. Durch die Identifizierung und Entfernung unnötiger Berechtigungen können nicht nur die SAP-Lizenzkosten maßgeblich gesenkt werden. Die konsequente Einhaltung von Best Practices im Berechtigungsmanagement minimiert auch Sicherheitsrisiken, verbessert die Transparenz und unterstützt bei der Einhaltung von Compliance-Vorgaben.
Autor: Björn Rolka, Associate Partner & Manager CoE GRC Convista
