Ein Praxisblick auf Rollen und Tests, und warum SAP Authorization ein spannender Einstieg für Berufseinsteiger ist. Ein Gastbeitrag von Carsten Rieck. Lesezeit ca. 8 bis 10 Minuten.
SAP-Systeme steuern in vielen Unternehmen zentrale Geschäftsprozesse – vom Einkauf über die Produktion bis hin zur Buchhaltung und zum Vertrieb. In diesen Systemen werden sensible Daten verarbeitet und geschäftskritische Transaktionen durchgeführt. Umso wichtiger ist die Frage:
Wer darf im System eigentlich was tun?
Auf den ersten Blick wirkt diese Frage einfach, in der Praxis ist sie jedoch eine der zentralen Fragen in jedem SAP-Projekt und im laufenden Betrieb eines SAP-Systems. Denn genau an dieser Stelle kommen SAP Security undSAP-Berechtigungenins Spiel. Beide Begriffe werden im Alltag häufig miteinander vermischt oder sogar gleichgesetzt, obwohl sie unterschiedliche Schwerpunkte haben. Während sich SAP Security eher mit der technischen Sicherheit von Systemen beschäftigt, geht es beiSAP-Berechtigungendarum, welche Benutzer welche Transaktionen, Apps und Funktionen im System tatsächlich ausführen dürfen.
Gerade in SAP-Projekten, insbesondere in S/4HANA-Transformationen, spielen Berechtigungen eine zentrale Rolle. Beim Wechsel von SAP ERP (R/3 bzw. ECC) auf S/4HANA verändern sich nicht nur technische Grundlagen, sondern auch Strukturen und Oberflächen. Neue Datenmodelle, vereinfachte Tabellenstrukturen und vor allem die Nutzung von SAP Fiori mit rollenbasierten Apps führen dazu, dass bestehende Berechtigungskonzepte nicht einfach 1:1 übernommen werden können. Rollen müssen angepasst, teilweise neu aufgebaut und stärker an Geschäftsprozessen ausgerichtet werden.
Das Thema Berechtigungen spielt nicht nur im Projekt eine Rolle, sondern begleitet ein SAP-System über seinen gesamten Lebenszyklus: von der Einführung über den Betrieb bis hin zu Governance-, Compliance- und Automatisierungsthemen.
In der Praxis zeigt sich außerdem: Prozesse können fachlich und technisch noch so gut umgesetzt sein; wenn die Benutzer am Ende nicht die passenden Berechtigungen haben, funktionieren Tests nicht, Geschäftsprozesse bleiben stehen und im schlimmsten Fall wird der Go-Live eines Projekts gefährdet. Berechtigungen sind daher kein reines IT- oder Security-Thema, sondern ein wichtiger Bestandteil jedes SAP-Projekts und jeder Transformation.
Gleichzeitig ist das Berechtigungsumfeld ein sehr spannendes Tätigkeitsfeld für Berufseinsteiger. Kaum ein anderer Bereich bietet so tiefe Einblicke in Geschäftsprozesse, Organisationsstrukturen und die Zusammenarbeit zwischen Fachbereich, IT und Projektleitung. Wer im SAP-Berechtigungsumfeld arbeitet, lernt nicht nur Technik, sondern versteht sehr schnell, wie ein Unternehmen und seine Prozesse im Hintergrund wirklich funktionieren.
DerUnterschied zwischen SAP Security und SAP Authorization
Im SAP-Umfeld werden die Begriffe SAP Security und SAP Authorization (=Berechtigungen) im Alltag häufig gemeinsam genannt oder sogar gleichgesetzt. Tatsächlich beschreiben sie jedoch zwei unterschiedliche Bereiche mit unterschiedlichen Aufgaben und Schwerpunkten.
Vereinfacht gesagt, lässt sich der Unterschied so zusammenfassen:
- SAP Security beschäftigt sich mit der technischen Sicherheit der Systeme.
- SAP Authorization beschäftigt sich damit, welche Benutzer welche Funktionen und Geschäftsprozesse im System ausführen dürfen.
SAP Security umfasst dabei vor allem technische und systemnahe Themen. Dazu gehören zum Beispiel die Absicherung von Schnittstellen, das Einspielen von Sicherheitspatches, Systemhärtung, Benutzerarten, Notfallbenutzer (z. B. Firefighter-User), Logging, Monitoring oder auch die Absicherung von RFC-Verbindungen und Hintergrundbenutzern. Ziel von SAP Security ist es, das System selbst vor unberechtigtem Zugriff oder technischen Angriffen zu schützen und Sicherheitsrisiken auf Systemebene zu minimieren.
SAP Authorization hingegen ist deutlich näher an den Geschäftsprozessen eines Unternehmens. Hier geht es um Fragen wie:
- Darf ein Benutzer Bestellungen anlegen und Rechnungen buchen?
- Darf ein Benutzer Lieferungen ändern oder nur anzeigen?
- Welche Fiori-Apps darf ein Benutzer nutzen?
- Darf ein Benutzer bestimmte sensible Tätigkeiten ausführen, die aus Compliance-Sicht kritisch sind?
Diese Berechtigungen werden in SAP in Form von Rollen vergeben, die Transaktionen, Fiori-Kataloge, Organisationswerte (z. B. Buchungskreis oder Werk) und weitere Berechtigungsobjekte enthalten. Ziel ist es, dass jeder Benutzer genau die Berechtigungen erhält, die er für seine tägliche Arbeit benötigt. Nicht mehr und nicht weniger. Dieses Prinzip wird häufig als „Need-to-know“- bzw. „Need-to-do“-Prinzip bezeichnet.
In der Praxis arbeiten SAP Security und SAP Authorization eng zusammen. Während SAP Security das System technisch absichert, sorgt das Berechtigungskonzept dafür, dass Benutzer innerhalb des Systems nur die Funktionen ausführen können, die ihrer Rolle im Unternehmen entsprechen. Beide Bereiche sind damit zentrale Bausteine für ein sicheres und gleichzeitig arbeitsfähiges SAP-System.
Gerade in S/4HANA-Projekten ist es wichtig, diese beiden Bereiche zu unterscheiden, da sie häufig von unterschiedlichen Teams verantwortet werden, aber im Projekt eng aufeinander abgestimmt werden müssen; Insbesondere in Testphasen, im Umgang mit Notfallbenutzern oder bei der Vorbereitung des Go-Live.
Warum Berechtigungen in Projekten so wichtig sind
In SAP-Projekten – insbesondere bei S/4HANA-Einführungen oder Systemumstellungen – spielen Berechtigungen eine deutlich größere Rolle, als viele zu Beginn eines Projekts erwarten. Während zu Projektbeginn häufig Prozesse, Datenmigration oder technische Themen im Vordergrund stehen, wird das Thema Berechtigungen oft erst in späteren Projektphasen als kritisch wahrgenommen; meist dann, wenn die Testphasen beginnen.
Der Grund dafür ist, dass sich im Rahmen einer Transformation in der Regel nicht nur das System technisch ändert, sondern auch Prozesse angepasst oder neugestaltet werden.
Spätestens in den Testphasen, insbesondere im User Acceptance Test (UAT), wird das ThemaBerechtigungen dann sehr sichtbar. In dieser Phase testen die Fachbereiche die Geschäftsprozesse im System. Damit sie ihre Prozesse realistisch testen können, benötigen sie passende Rollen mit den entsprechenden Berechtigungen. Wenn diese Berechtigungen nicht oder nur unvollständig vorhanden sind, können Prozesse nicht vollständig getestet werden. Das führt zu Verzögerungen, zusätzlichem Abstimmungsaufwand und im schlimmsten Fall zu Risiken für den geplanten Go-Live-Termin.
Ein typisches Szenario aus der Projektpraxis sieht so aus:
Zu Beginn der Testphase wird mit sehr weitreichenden Berechtigungen getestet. Wenn später mit den tatsächlichen Rollen getestet wird, treten plötzlich Berechtigungsfehler auf. Dadurch entsteht kurz vor Go-Live ein hoher Zeitdruck, weil Rollen kurzfristig angepasst und erneut getestet werden müssen.
Neben der reinen Funktionsfähigkeit spielen auch Compliance- und Audit-Anforderungen eine wichtige Rolle.
Pragmatischer Umgang mit Berechtigungen im Testing
In vielen SAP-Projekten entsteht im Bereich Berechtigungen ein typisches Dilemma:
Einerseits müssen die Fachbereiche möglichst früh mit den Tests beginnen, damit Geschäftsprozesse validiert und Fehler rechtzeitig erkannt werden. Andererseits ist das Rollen- und Berechtigungskonzept zu diesem Zeitpunkt häufig noch nicht vollständig ausgereift, da viele Detailanforderungen erst im Laufe der Tests sichtbar werden.
Das führt in der Praxis häufig zu zwei ungünstigen Extremen:
Entweder wird mit sehr weitreichenden Berechtigungen getestet, damit die Fachbereiche ohne Unterbrechung arbeiten können. In diesem Fall werden Berechtigungsprobleme jedoch erst sehr spät erkannt, wenn mit den tatsächlichen Rollen getestet wird. Oder die Tests werden immer wieder durch fehlende Berechtigungen blockiert, was zu Frustration bei den Fachbereichen und zu Verzögerungen im Projekt führt.
In der Praxis hat sich dafür ein pragmatisches Vorgehen bewährt:
Die Fachbereiche testen ihre Prozesse möglichst früh mit den vorgesehenen Rollen, damit realistische Ergebnisse entstehen. Gleichzeitig werden für ausgewählte Benutzer sogenannte Referenzbenutzer oder Benutzer mit erweiterten Berechtigungen eingesetzt. Diese dienen dazu, Tests nicht vollständig zu blockieren, wenn im Rollenmodell noch einzelne Berechtigungen fehlen.
Parallel dazu werden Berechtigungsfehler systematisch protokolliert und ausgewertet. Immer wenn ein Benutzer aufgrund fehlender Berechtigungen eine Aktion nicht ausführen kann, wird dies analysiert und dokumentiert. Auf dieser Basis können die Rollen gezielt angepasst und schrittweise verbessert werden. Nach jedem Testzyklus werden die gesammelten Erkenntnisse in das Rollen- und Berechtigungskonzept eingearbeitet.
Tests liefern Erkenntnisse über fehlende Berechtigungen, Rollen werden angepasst, und im nächsten Testzyklus wird erneut geprüft. Schritt für Schritt entwickelt sich so ein Rollenmodell, das sowohl fachlich funktioniert als auch den Compliance-Anforderungen entspricht.
Wichtig ist dabei vor allem die organisatorische Einbindung in das Projekt. Berechtigungen sollten nicht isoliert von einem einzelnen Team bearbeitet werden, sondern als Teil der Teststrategie, der Prozessdefinition und der Go-Live-Vorbereitung verstanden werden. In erfolgreichen Projekten arbeiten Fachbereich, Testmanagement, Projektleitung und Berechtigungsteam daher eng zusammen.
Dieser pragmatische Ansatz hilft dabei, das Dilemma zwischen noch nicht vollständig ausgereiften Rollen und früh startenden Testphasen zu lösen und gleichzeitig sicherzustellen, dass Berechtigungen nicht erst kurz vor dem Go-Live, sondern kontinuierlich über den gesamten Projektverlauf hinweg betrachtet und verbessert werden.
Warum SAP Authorization ein guter Einstieg in die SAP-Welt ist
Für viele Berufseinsteiger stellt sich die Frage, in welchem Bereich sie in die SAP-Welt einsteigen sollen. Neben klassischen Modulen wie FI, MM oder SD ist das Umfeld SAP Authorization und SAP Security für viele zunächst weniger sichtbar, bietet jedoch einen sehr guten und vielseitigen Einstieg in die SAP-Projektwelt.
Ein großer Vorteil im Berechtigungsumfeld ist, dass man sehr schnell mit unterschiedlichen Bereichen eines Unternehmens in Kontakt kommt.Man bewegt sich hieran der Schnittstelle zwischen Fachbereich, IT, SAP-Basis, Revision/Audit und Projektleitung.
Ein weiterer Vorteil ist, dass Berechtigungen in nahezu jedem SAP-Projekt eine Rolle spielen – unabhängig davon, ob es sich um eine Neueinführung, eine Systemumstellung, einen Rollout oder eine S/4HANA-Transformation handelt. Berufseinsteiger haben dadurch die Möglichkeit, früh in Projekten mitzuarbeiten, Testphasen zu begleiten, Rollen zu analysieren und bei der Umsetzung von Berechtigungskonzepten mitzuwirken. Man arbeitet dabei nicht nur technisch im System, sondern stimmt sich auch eng mit Fachbereichen ab und lernt, Anforderungen zu verstehen und in Rollen und Berechtigungen umzusetzen.
Für Berufseinsteiger ist das Berechtigungsumfeld daher eine gute Kombination aus:
- technischem und Prozess-Verständnis,
- Projektarbeit,
- Kommunikation mit verschiedenen Stakeholdern,
- sowie Themen rund um Governance, Risiko und Compliance.
Wer in diesem Umfeld arbeitet, lernt nicht nur, wie SAP technisch funktioniert, sondern vor allem, wie Geschäftsprozesse, Organisation und IT in einem Unternehmen zusammenwirken.
Viele erfahrene SAP-Experten haben ihre Laufbahn im Berechtigungsumfeld begonnen.
Wie gelingt der Einstieg – und was erwartet dich in der Praxis?
Häufig erfolgt der Einstieg über Junior-Positionen, Traineeprogramme oder erste Praxiserfahrung als Werkstudent. Technische Vorkenntnisse sind hilfreich, aber kein Muss. Wichtiger sind ein grundlegendes Prozessverständnis und die Bereitschaft, sich in neue Themen einzuarbeiten.
Im Arbeitsalltag unterstützt man typischerweise bei der Analyse von Berechtigungsfehlern, beim Aufbau und der Pflege von Rollen (z. B. in PFCG), in Testphasen sowie in der Abstimmung mit Fachbereichen. Gerade in Projekten ist die Arbeit eng mit Tests und Go-Live-Vorbereitungen verknüpft.
Das Umfeld ist abwechslungsreich, aber auch anspruchsvoll: Viele Themen erfordern Abstimmung, und besonders in Projektphasen kann es auch einmal hektisch werden. Gleichzeitig bietet genau das einen schnellen Lernfortschritt und tiefe Einblicke in Geschäftsprozesse.
Langfristig ergeben sich daraus vielfältige Entwicklungsmöglichkeiten; etwa in Richtung SAP Security, Identity & Access Management (IAM) oder Projekt- und Prozessrollen.
Über den Autor
Carsten Rieck arbeitet seit vielen Jahren im SAP-Umfeld mit Schwerpunkt auf SAP-Berechtigungen, SAP Security und Governance, insbesondere in S/4HANA-Transformationsprojekten.
In verschiedenen Projekten war er an der Schnittstelle zwischen Fachbereich, IT und Projektleitung tätig und hat unter anderem Berechtigungskonzepte, Rollenmodelle sowie Governance- und Rezertifizierungsprozesse aufgebaut und in Projekten umgesetzt.
Sein Fokus liegt heute vor allem auf der organisatorischen und projektseitigen Umsetzung von Berechtigungs- und Security-Themen in S/4HANA-Transformationen – insbesondere in Testphasen, bei der Go-Live-Vorbereitung und bei Governance- und Compliance-Themen.