{"id":59621,"date":"2025-01-27T12:46:55","date_gmt":"2025-01-27T11:46:55","guid":{"rendered":"https:\/\/www.cubeserv.com\/?p=59621"},"modified":"2025-01-27T13:21:05","modified_gmt":"2025-01-27T12:21:05","slug":"wie-baue-ich-meine-sap-berechtigungen-idealerweise-auf-die-prinzipien-des-berechtigungsbaus","status":"publish","type":"post","link":"https:\/\/www.cubeserv.com\/de\/wie-baue-ich-meine-sap-berechtigungen-idealerweise-auf-die-prinzipien-des-berechtigungsbaus\/","title":{"rendered":"Wie baue ich meine SAP-Berechtigungen idealerweise auf? – Die Prinzipien des Berechtigungsbaus"},"content":{"rendered":"\t\t
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

In unserer digitalen Welt ist der richtige Aufbau, der Umgang sowie die Vergabe von Berechtigungen im Unternehmen entscheidend f\u00fcr die Sicherheit von Anwendungen und Systemen<\/strong>. Unabh\u00e4ngig von Ihrer Unternehmensgr\u00f6\u00dfe hilft Ihnen das Verst\u00e4ndnis von Berechtigungen nicht nur dabei Ihre sensiblen Daten zu sch\u00fctzen, sondern es kann mit einem passenden Berechtigungskonzept auch Ihren organisatorischen Aufwand verringern.<\/p>

In diesem Beitrag erfahren Sie, wie Sie ein effektives und effizientes Berechtigungsmanagement<\/strong> aufbauen und welche Best Practices beachtet werden sollten. Lassen Sie uns gemeinsam die Grundlagen erkunden, um auch die Sicherheit und Produktivit\u00e4t Ihres Unternehmens zu steigern!<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t

\u00dcber folgende Themen wird in diesem Beitrag gesprochen: <\/h3>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t
  1. Das Prinzip der Minimalberechtigung<\/li>
  2. Segregation of Duties (SoD)<\/li>
  3. Compliance und gesetzliche Anforderungen<\/li>
  4. Rollenbasierte Berechtigungen (RBAC)<\/li>
  5. Hierarchische Gliederung von Berechtigungen<\/li>
  6. \u00dcberwachung und Anpassung<\/li>
  7. Dokumentation und \u00c4nderungsmanagement<\/li><\/ol>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"Minimalberechtigung\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Grunds\u00e4tzlich sollten Sie selbstverst\u00e4ndlich zuerst Ihre individuellen Ziele und Anforderungen verstehen und versuchen diese bereits geordnet festzuhalten. So gehen Sie mit einer genaueren Vorstellung in die n\u00e4chsten Schritte.<\/strong><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t

    \n\t\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t

    1.\tDas Prinzip der Minimalberechtigung<\/h3>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Einer der wichtigsten Punkte zum Thema Berechtigungsbau ist das Need-to-Know Prinzip<\/strong> oder auch das Prinzip der Minimalberechtigung<\/strong>. Wie die Titel jeweils bereits schlie\u00dfen lassen, handelt es sich hier um den Fall, dass ein User wirklich nur gerade so viele Rechte inne haben sollte wie m\u00f6glich. In einer idealen Welt h\u00e4tte also jeder einzelne Ihrer Mitarbeiter seine eigene Rolle, die genau auf seine T\u00e4tigkeiten und Anforderungen zugeschnitten ist, um zu gew\u00e4hrleisten, dass er auch wirklich nur das sehen kann, was er f\u00fcr seine Arbeit ben\u00f6tigt. Da dies aber nat\u00fcrlich ein \u00e4u\u00dferst arbeitsaufw\u00e4ndiges Unternehmen w\u00e4re und zudem noch \u00fcberaus unpraktisch, werden diese Prinzipen eher auf andere Weise in der Praxis umgesetzt. Beispielsweise in dem nicht nur ein einzelner User betrachtet wird, sondern gleich eine ganze Anwendergruppe wie Eink\u00e4ufer oder eine Abteilung.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t

    2.\tSegregation of Duties \u2013 SoD<\/h3>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Ebenfalls ein essenzieller Bestandteil des Rollenbaus ist die sogenannte Segregation of Duties, auch SoD<\/strong> abgek\u00fcrzt, oder im Deutschen das Prinzip der Trennung von Aufgaben genannt. Hier geht es besonders um die Reduzierung der Gefahr von Fehlern und Betrug sowie die Vermeidung von Interessenkonflikten<\/strong>. Zusammengefasst bedeutet dies beispielsweise, dass ein Mitarbeiter, der eine Bestellung t\u00e4tigen bzw. eine Zahlung ausl\u00f6sen darf, nicht der finale Pr\u00fcfer\/Genehmiger in dieser Situation sein soll. So wird bei kritischen Unternehmensprozessen mindestens ein Vier-Augen-Prinzip sichergestellt.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t

    3.\tRollenbasierte Berechtigungen<\/h3>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    F\u00fcr den Aufbau der Berechtigungen eignet sich meist die rollenbasierte Zugriffskontrolle (RBAC)<\/strong>. Zu diesem Thema gibt es einen kleinen Ausschnitt aus einem weiteren Blog meiner Berechtigungsreihe, welchen Sie hier<\/a><\/strong> finden.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t\t\t
    \n\t\t\t

    \n\t\t\t\t\u201eWeit verbreitet ist der Einsatz von RBAC (Role based access control) welcher \u00fcber einzelne Rollen die Zugriffsrechte der individuellen User steuert. Hierbei k\u00f6nnen bei Bedarf auch gewisse Usergruppen zusammengefasst werden, die alle einheitliche Rechte erhalten sollen. So muss nicht f\u00fcr jeden einzelnen User fallbasiert entschieden werden, sondern es gibt eine designierte Rolle f\u00fcr diese Gruppe User. Wie Schl\u00fcssel eines Mietshauses k\u00f6nnen beispielsweise User 1 und User 2 mit ihrem jeweiligen Schl\u00fcsselset die gemeinsame Haust\u00fcr entsperren, doch die Wohnungst\u00fcr f\u00fcr User 1 kann nur durch dessen Schl\u00fcssel ge\u00f6ffnet werden.\u201e\t\t\t<\/p>\n\t\t\t\t\t<\/blockquote>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Das hei\u00dft also, dass gewisse Rollen eine Sammlung an Berechtigungen f\u00fcr spezifische Aufgaben\/Funktionen umfassen und diese dann den einzelnen Usern zugewiesen werden. Wenn also eine \u00c4nderung vorgenommen werden muss, so erfolgt dies zentral in der Rolle und nicht f\u00fcr jeden einzelnen User individuell.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t

    4.\tHierarchische Gliederung von Berechtigungen<\/h3>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Wie der Name bereits vermuten l\u00e4sst, werden bei diesem Prinzip die organisatorischen Strukturen innerhalb Ihres Unternehmens<\/strong> mit in Betracht gezogen f\u00fcr die Gliederung und den Aufbau der Berechtigungen. F\u00fcr jede hierarchische Ebene eines Unternehmens kann eine passende Rolle entwickelt werden. Wenn ein Aufbau der Berechtigungen so m\u00f6glich ist, bietet es besonders eine hohe \u00dcbersichtlichkeit und Einfachheit f\u00fcr den Zuweisungsprozess sowie die \u00dcberpr\u00fcfung der Zugriffsrechte. Je nach Unternehmensgr\u00f6\u00dfe k\u00f6nnte diese Herangehensweise aber entweder zu granular oder zu umfassend sein und muss vor einer Umsetzung im individuellen Fall nochmals betrachtet werden.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"Unternehmenshierarchie\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t

    5.\t\u00dcberwachung und Anpassung<\/h3>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Beim Bau von Berechtigungen sollte auch die Pflege dieser nicht au\u00dfer Acht gelassen werden. Die \u00dcberwachung und gegebenenfalls die Anpassung der Berechtigungen stellt einen wesentlichen Aspekt der Effektivit\u00e4t des vorhandenen Berechtigungskonzepts<\/strong> dar . F\u00fcr die Gew\u00e4hrleistung das keine falsch vergebenen oder bereits obsoleten Rechte im Umlauf sind, sollten Pr\u00fcfzyklen<\/strong> implementiert werden. Dies muss auch meist im Rahmen von Compliance und rechtlichen Voraussetzungen gegeben sein. Es bietet sich auch teilweise an, gewisse Rollen mit besonders kritischen Rechten<\/strong> dauerhaft ausschlie\u00dflich mit einer zeitlichen Begrenzung zu vergeben, bspw. F\u00fcr je sechs Monate am St\u00fcck. So muss der User eine Verl\u00e4ngerung beantragen, welche erneut gepr\u00fcft werden kann.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t

    6.\tDokumentation und \u00c4nderungsmanagement<\/h3>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Zu guter Letzt darf auch eine umfassende Dokumentation<\/strong> nie fehlen. Diese Dokumentation sollte bereits mit dem initialen Aufbau des Konzepts beginnen und im Laufe der Lebenszeit eines Berechtigungskonzepts um die vorgenommenen \u00c4nderungen erweitert werden. In klassischen SAP-Rollen, welche \u00fcber die Transaktion PFCG gepflegt werden, lassen sich beispielsweise direkt in der Rolle \u00c4nderungen im Reiter \u201eDokumentation\u201c vermerken. Jedoch empfiehlt es sich hier der \u00dcbersichtlichkeit<\/strong> halber keine langen Texte zu verfassen, sondern eher auf datierte stichpunktartige \u00c4nderungsvermerke zu setzen, die die vorgenommenen \u00c4nderungen listen.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t

    \n\t\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Ein gut durchdachtes Berechtigungsmanagement<\/strong> kann Sie nicht nur vor einem m\u00f6glichem Datenmissbrauch sch\u00fctzen<\/strong>, sondern es unterst\u00fctzt zudem auch die Einhaltung von Compliance-Vorgaben und die reibungslose Durchf\u00fchrung von Gesch\u00e4ftsprozessen<\/strong>.<\/p>

    Diese einzelnen Prinzipien und Best-Practices sind eine gute Basis f\u00fcr Ihr Verst\u00e4ndnis von Berechtigungen im Einzelnen und k\u00f6nnen Sie auf Ihrem Weg zum Ziel ein gutes Konzept zu haben weiter vorantreiben. So k\u00f6nnen Sie anhand dieser Punkte bereits versuchen ein erstes Konzept auf die Beine zu stellen, um das Passende f\u00fcr Ihr Unternehmen zu finden!<\/p>

    Wie handhaben Sie aktuell die einzelnen Punkte? Haben Sie an alles gedacht? Hilft Ihnen dieser Beitrag eventuell zu erkennen das es \u00c4nderungsbedarf gibt?<\/strong><\/p>

    Lesen Sie auch unsere anderen Blogbeitr\u00e4ge hier<\/a> oder kontaktieren Sie uns direkt!<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t\t\t
    \n\t\t\t\t\t
    \n\t\t\t
    \n\t\t\t\t\t\t
    \n\t\t\t\t\t\t
    \n\t\t\t\t\t
    \n\t\t\t
    \n\t\t\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
    \n\t\t\t\t\t\t
    \n\t\t\t\t\t
    \n\t\t\t
    \n\t\t\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t

    \n\t\t\t\t\tVereinbaren Sie jetzt Ihren<\/span>\n\t\t\t\t\n\t\t\t\t\tExpert Call.<\/span>\n\t\t\t\t<\/span>\n\t\t\t\t\tWir freuen uns \u00fcber Ihre Nachricht.<\/span>\n\t\t\t\t\t<\/h3>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
    \n\t\t\t\t\t\t
    \n\t\t\t\t\t
    \n\t\t\t
    \n\t\t\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t
    \n\t\t\t\t\t\t\t
    \n\t\t\t\t\t\"Picture\n\t\t\t\t<\/div>\n\t\t\t\n\t\t\t
    \n\t\t\t\t\n\t\t\t\t\n\t\t\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t
    \n\t\t\t
    \n\t\t\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t

    Sarah Seeleitner<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t
    \n\t\t\t
    <\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
    \n\t\t\t\t\t\t
    \n\t\t\t\t\t
    \n\t\t\t
    \n\t\t\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t