ontron

Compliance First: Warum ein maßgeschneidertes SAP-Berechtigungskonzept essentiell ist

Autor: Marc Müller

Eine genaue Rollen- und Zugriffsgestaltung schützt sensible Daten und verhindert Betrug. In kritischen Branchen wie dem Gesundheitswesen oder der öffentlichen Verwaltung handelt es sich nicht um theoretische Risiken, sondern um reale Bedrohungen.

Stellen Sie sich vor, nicht autorisierte Mitarbeitende in Ihrem Krankenhaus würden auf sensible Patientendaten zugreifen oder eine betrügerische Rechnung freigeben. Ein SAP-Berechtigungskonzept hilft dabei, dies zu verhindern, indem es grundsätzlich festlegt, nach welchen Regeln Nutzende im System angelegt und wie Rollen und Berechtigungen vergeben werden.

Alle haben je nach ihrer Rolle (zum Beispiel Management, Mitarbeitende, Admins) unterschiedliche Zugriffsrechte auf bestimmte Daten oder Funktionen innerhalb von Programmen und Systemen. In diesem Zusammenhang sollten Mitarbeitende zum Beispiel nur die Zugriffsrechte erhalten, die sie für ihre jeweiligen Rollen benötigen – nicht mehr und nicht weniger.

Illustration SAP-Rollen und Berechtigungen im Unternehmen

SAP-Rollen und -Berechtigungen

Das Berechtigungskonzept sorgt dafür, dass jede Person nur auf die Informationen zugreifen kann, die für ihre Arbeit tatsächlich relevant sind. Es stellt gleichzeitig sicher, dass SAP-Nutzende nicht durch fehlende Berechtigungen in ihrer Arbeit ausgebremst werden.

Die SAP-Rollen und -Berechtigungen sollten klar dokumentiert, regelmäßig überprüft und kontinuierlich an veränderte Geschäftsanforderungen und Sicherheitsanforderungen angepasst werden. Fehler im Berechtigungskonzept können nicht nur zu Compliance-Verstößen führen, sondern auch die Integrität von Geschäftsprozessen gefährden und damit geschäftskritisch sein.

Wichtig: Auch die Migration zu SAP S/4HANA bedeutet mehr als nur ein Upgrade der Datenbank und der Benutzeroberfläche – sie erfordert ebenfalls eine gründliche Überarbeitung des bisherigen Zugriffsmodells. Ohne eine Anpassung des Berechtigungskonzepts verlieren Nutzende möglicherweise Funktionen, es entstehen Lücken, die erst bei einer Prüfung auffallen, und die Vorteile von Fiori-basierten Rollen und Prozessen werden nicht ausgeschöpft.

ontron Berater bei der Umsetzung eines Berechtigungskonzepts

Erfolgreiche Projekte beginnen daher mit einer Überprüfung und Neugestaltung der Rollen- und Berechtigungen und nutzen die Migration als Gelegenheit, die angesammelten technischen Altlasten in der Berechtigungslandschaft zu beseitigen. Damit lassen sich zukünftig Kosten vermeiden, die entstehen können, wenn man sich für eine vermeintlich einfache und schnelle Lösung entscheidet, ohne Rollen und Konzepte grundlegend zu überarbeiten.

Unverzichtbar: Das SAP-Berechtigungskonzept

Ein dokumentiertes und gelebtes SAP-Berechtigungskonzept ist auch unverzichtbar im Hinblick auf Compliance-Anforderungen wie die Datenschutz-Grundverordnung (DSGVO), die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen (GoBD) und die Vorschriften für Kritische Infrastrukturen (KRITIS).

Ein unbefugter Zugriff auf personenbezogene Daten entgegen den Vorschriften der DSGVO kann zu hohen Bußgeldern führen. Zudem verlangt die GoBD bei Revisionen die lückenlose Nachvollziehbarkeit von Geschäftsvorfällen. Kritische Infrastrukturen müssen besondere Sicherheitsstandards einhalten. Ohne ein solides SAP-Berechtigungskonzept bleiben Unternehmen angreifbar – sowohl für Cyberangriffe von außen als auch für Betrugsversuche von Mitarbeitenden.

Ein effektives Berechtigungsmanagement basiert auf klar definierten Rollen und Berechtigungen. Eine zweistufige Autorisierung und das Vier-Augen-Prinzip verhindern Betrug bei kritischen Prozessen wie Rechnungsfreigaben und erhöhen die Prozesssicherheit. Bei der „Segregation of Duties“ (SoD) gilt das Prinzip der Funktionstrennung verschiedener Aufgaben wie Autorisierung, Aufzeichnung und Verwahrung, so dass keine einzelne Person die vollständige Kontrolle über sensible Systeme, Prozesse oder Aktivitäten erlangen kann.

So sollten keine Mitarbeitenden gleichzeitig eine Rechnung buchen und freigeben können. Finanztransaktionen müssen nachvollziehbar sein. Durch automatisierte Berichte an die interne Revision und externe Aufsichtsbehörden sowie durch regelmäßige Reviews lassen sich SoD-Konflikte frühzeitig erkennen und beheben.

Compliance-Check für SAP-Systeme im Gesundheitswesen

ontron-Expertise: Erfolgreiche Umsetzung in der Praxis

Bei ontron verfolgen wir einen klaren Ansatz: Compliance first. Ein durchdachtes SAP-Berechtigungskonzept – gestützt auf klar definierte SAP-Rollen und -Berechtigungen – ist die Grundlage für Sicherheit, Datenschutz und die einfache Prüfbarkeit in Audits.

ontron verfügt über bewährte Fachkompetenz und hat für seine Kundschaft in der Vergangenheit entsprechende Rollen- und Berechtigungskonzepte erfolgreich umgesetzt und begleitet. Beim Universitätsklinikum München Rechts der Isar (MRI) sorgt eine rollenbasierte Zugriffssteuerung für höchste Datensicherheit. In den Kliniken von varisano bildet eine effiziente Berechtigungsstruktur die Grundlage für reibungslose Abrechnungsprozesse. Im Universitätsklinikum Heidelberg hat ontron die Modernisierung des SAP R/3-Legacy-Systems unter Einhaltung strenger Compliance-Vorgaben unterstützt. Die Projekte zeigen: Ein durchdachtes Berechtigungsmanagement ist kein Kostenfaktor, sondern eine Investition in Sicherheit und Effizienz.

Ein gut strukturiertes SAP-Berechtigungskonzept bringt nicht nur Rechtssicherheit, sondern auch verschiedene Geschäftsvorteile mit sich. Das Betrugsrisiko sinkt, weil die eingeführten Kontrollmechanismen Missbrauch verhindern. Unterm Strich lassen sich Kosten einsparen, indem teure Strafen und langwierige Nachbesserungen vermieden werden. Weil die Patientenschaft, Kundschaft und Behörden ihre sensiblen Daten in sicheren Händen wissen, entsteht Vertrauen. Ein maßgeschneidertes SAP-Berechtigungskonzept führt zu schnelleren und kostengünstigeren Audits, weil klare Rollenstrukturen die Prüfaufwände reduzieren.

Jetzt Compliance sicherstellen

Die Migration zu SAP S/4HANA und/oder die Einführung cloudbasierter SAP-Lösungen, wie z. B. der SAP Analytics Cloud (SAC), ist der ideale Zeitpunkt, um das vorhandene Berechtigungskonzept zu optimieren. Dabei gibt es nicht das eine Berechtigungskonzept, das für alle funktioniert. Wir empfehlen einen Rollen-Check, auf dessen Basis wir die bestehenden Berechtigungen analysieren und anpassen. In einem Greenfield-Ansatz leitet unser Beratungsteam die notwendigen Rollen aus den neuen Prozessen ab und sorgt damit für passgenaue Berechtigungen.

Die Verwendung von Fiori-Oberflächen erfordert zusätzliche Berechtigungen für den Frontend-Server. ontron überprüft die Rollenstrukturen für S/4HANA und Fiori und entwickelt neue. Mitarbeitende sollten im Umgang mit dem Berechtigungskonzept geschult werden, um Fehler zu vermeiden. In Trainings sensibilisieren wir sie für sichere Prozesse.

Kontaktieren Sie ontron für eine individuelle Beratung! Abonnieren Sie unseren Newsletter und bleiben Sie zu Fragen der SAP-Compliance auf dem Laufenden. Wir sagen: Compliance first! – weil es bei Fragen der Sicherheit keine Kompromisse geben darf.

Artikel per e-mail teilenshare
Autor der Veröffentlichung
Marc Müller
Geschäftsführer
email iconmarc.mueller@ontron.de
linkedin svg
Marc Müller verfügt über mehr als 25 Jahre Erfahrung in der Organisations-, Prozess- und IT-Beratung sowie im Programm- und Projektmanagement. Sein Fokus liegt auf der Optimierung von Prozessen und der Entwicklung nachhaltiger Lösungen für komplexe Herausforderungen.
Auch empfohlen