SAP-Berechtigungen
SAP-Systeme sind das digitale Rückgrat vieler Unternehmen. Damit die Sicherheit, Nachvollziehbarkeit und Effizienz gewährleistet ist, spielt ein durchdachtes Berechtigungskonzept eine zentrale Rolle.
Was sind SAP-Berechtigungen?
SAP-Berechtigungen (engl. Authorizations) regeln, was ein Benutzer im System sehen und ausführen darf. Dabei wird der Zugriff auf Transaktionen, Daten, Funktionen und Reports über ein feingranulares Berechtigungskonzept gesteuert. Grundlage bilden sogenannte Berechtigungsobjekte, die bestimmte Aktionen in Kombination mit Organisationseinheiten oder Datenfeldern definieren.
Woraus besteht ein SAP-Berechtigungskonzept?
Ein solides Berechtigungskonzept setzt sich aus mehreren Komponenten zusammen:
| Komponente | Beschreibung |
| Benutzerstammsatz | Zentrale Benutzerverwaltung mit persönlichen und sicherheitsrelevanten Daten |
| Rollen (PFCG) | Rollen bündeln Berechtigungsobjekte und werden Benutzern zugeordnet |
| Profile | Technische Übersetzung der Rollen für das Berechtigungssystem |
| Berechtigungsobjekte | Kombination aus Feldern wie Aktivität, Buchungskreis, Werk usw. |
| Organisatorische Zuordnungen | Einschränkung auf Organisationseinheiten wie Buchungskreise oder Werke |
Rollenverwaltung mit der Transaktion PFCG
Die Transaktion PFCG ist das Herzstück der Rollenpflege im SAP-System. Hier lassen sich Rollen anlegen, ändern und mit Transaktionen, Reports sowie Berechtigungen befüllen. Man unterscheidet:
- Einzelrollen: Eine Sammlung spezifischer Berechtigungen
- Sammelrollen: Setzen sich aus mehreren Einzelrollen zusammen
- Ableitungen: Rollenvarianten für verschiedene Organisationseinheiten
SAP-Berechtigungen im Wandel – Was ist neu mit S/4HANA?
Mit der Einführung von SAP S/4HANA und der Fiori-Oberfläche verändert sich auch das Berechtigungsmanagement:
| Bereich | Änderung mit S/4HANA |
| Fiori Apps | Berechtigungen steuern Zugriff auf Fiori-Kacheln über APP-IDs |
| CDS Views | Zugriffe auf Core Data Services erfolgen über analytische Berechtigungen |
| UI5-Technologie | Technische Rollen für SAP GUI und Fiori müssen kombiniert verwaltet werden |
| SAP BRF+ | Business Rules Framework wird zur Steuerung von Workflows und Berechtigungen eingesetzt |
Blogbeitrag: Berechtigungen in Fiori
FIORI Apps sind übersichtlich, leicht zu bedienen und ideal für mobile Endgeräte. Berechtigungen für FIORI funktionieren allerdings anders als bei den ERP-Transaktionen. Wir erzählen Ihnen, wie Sie zu einem guten Berechtigungskonzept kommen.
Typische Rollen und Berechtigungsobjekte
Aus der Praxis ergeben sich häufige Rollen mit entsprechenden Berechtigungen. Beispiele:
| Rolle | Typische Transaktionen | Wichtige Berechtigungsobjekte |
| Einkäufer | ME21N, ME22N, ME23N | M_BEST_BSA, M_BEST_EKG |
| Buchhalter | FB60, F110, F-02 | F_BKPF_BUK, F_LFA1_APP |
| Lagerverwalter | MIGO, MB1C, LT01 | M_MSEG_WMB, L_LGNUM |
| HR-Administrator | PA30, PA20, PA40 | P_ORGIN, P_PERNR |
| Systemadministrator | SU01, PFCG, ST01 | S_USER_GRP, S_USER_PRO |
Organisatorische Einschränkungen
Eine besondere Stärke der SAP-Berechtigungen liegt in der Kombination aus Aktivität (z. B. Anzeigen, Ändern, Anlegen) und Organisationseinheit (z. B. Werk, Buchungskreis, Personalbereich). Diese Einschränkung erhöht die Sicherheit:
Beispiel: Ein Mitarbeiter darf nur Buchungen für den Buchungskreis 1000 ausführen, nicht aber für andere.
FAQ – Häufig gestellte Fragen
Wie erkenne ich fehlende Berechtigungen eines Benutzers?
Mit Transaktionen wie SU53 (letzte fehlgeschlagene Berechtigungsprüfung) oder ST01 (Systemtrace) können fehlende Objekte analysiert werden.
Was ist der Unterschied zwischen Rolle und Profil?
Die Rolle ist die organisatorische Einheit für Benutzerrechte. Das Profil ist die technische Übersetzung, die vom System zur Laufzeit verwendet wird.
Wie funktioniert die Massenpflege von Rollen?
Mit Tools wie PFCG_MASS_CHANGE oder dem SAP NetWeaver Identity Management lassen sich Rollen und Benutzer effizient in großen Mengen verwalten.
Best Practices für ein sicheres Berechtigungswesen
- Prinzip der minimalen Rechtevergabe: Nur das gewähren, was notwendig ist.
- Trennung von Funktionen (SoD): Kritische Kombinationen (z. B. Rechnung buchen + Zahlung auslösen) vermeiden.
- Regelmäßige Rezertifizierung: Nutzerrollen periodisch überprüfen lassen.
- Dokumentation & Nachvollziehbarkeit: Alle Änderungen an Rollen revisionssicher protokollieren.
- Testumgebung verwenden: Neue Rollen vor Produktivsetzung in einer QA-Umgebung prüfen.
Tools zur Verwaltung und Analyse
SAP bietet eine Reihe von Tools zur Verwaltung und Analyse von Berechtigungen:
| Tool / Transaktion | Funktion |
| SU01/SU10 | Benutzerpflege (einzeln / massenweise) |
| PFCG | Rollenpflege |
| SUIM | Benutzerinformationssystem |
| ST01 | Systemtrace für Berechtigungsprüfungen |
| SU53 | Analyse fehlgeschlagener Berechtigungen |
| GRC Access Control | Erweiterte Governance- und Compliance-Tools |
Herausforderungen bei der Berechtigungsvergabe
Die Komplexität der SAP-Berechtigungen kann zu diversen Problemen führen:
- Überberechtigung durch Rollenvererbung oder schlechte Pflege
- Fehlende Trennung von Verantwortlichkeiten
- Mangelnde Dokumentation
- Schwierige Nachvollziehbarkeit im Auditfall
Fazit: Warum ein gutes Berechtigungskonzept entscheidend ist
Ein durchdachtes Berechtigungswesen ist kein „Nice-to-have“, sondern essenziell für die IT-Sicherheit und Effizienz von SAP-Systemen. Es schützt sensible Daten, erfüllt gesetzliche Vorgaben und unterstützt reibungslose Geschäftsprozesse. Gerade mit der Umstellung auf S/4HANA ist es entscheidend, die bestehenden Konzepte auf den Prüfstand zu stellen und neu zu gestalten.
