SAP-Berechtigungen aufräumen: Ein pragmatischer Leitfaden

In fast jedem SAP-System, das länger als fünf Jahre im Betrieb ist, finden sich dieselben Symptome: Rollen, die niemand mehr zuordnen kann. Benutzer mit SAP_ALL „weil es damals schnell gehen musste“. SoD-Reports mit Tausenden von Konflikten, die seit Jahren ignoriert werden. Das Aufräumen fühlt sich an wie ein Mammutprojekt – muss es aber nicht sein. Dieser Leitfaden zeigt einen pragmatischen Weg, der den laufenden Betrieb nicht gefährdet.

Warum jetzt?

Fehlende Autorisierungsprüfungen waren 2025 die häufigste SAP-Schwachstellenkategorie (31% aller Patches). Überdimensionierte Berechtigungen potenzieren jede technische Schwachstelle: Wenn ein Angreifer über eine Sicherheitslücke ins System kommt und dort SAP_ALL-Rechte vorfindet, ist die Kompromittierung vollständig. Hinzu kommt der Compliance-Druck: Wirtschaftsprüfer und interne Revisionen schauen immer genauer hin.

Schritt 1: Transparenz schaffen – Was haben wir eigentlich?

Bevor Sie anfangen umzubauen, brauchen Sie eine Bestandsaufnahme:

• Wie viele Rollen gibt es? Wie viele davon sind aktiv zugewiesen?
• Welche Benutzer haben kritische Profile (SAP_ALL, S_A.DEVELOP, etc.)?
• Wie sieht die SoD-Matrix aus – und welche Konflikte sind wirklich risikorelevant?

KI-gestützte Analyse-Tools können diese Auswertung in Stunden statt Wochen liefern. Die Ergebnisse bilden die Entscheidungsgrundlage für alles Weitere.

Schritt 2: Quick Wins – Die gefährlichsten Lücken zuerst schließen

Nicht alles muss sofort perfekt sein. Starten Sie mit den Maßnahmen, die das Risiko am schnellsten senken:

• SAP_ALL und SAP_NEW von allen Dialog-Benutzern entfernen
• Standardbenutzer (SAP*, DDIC, EARLYWATCH) in allen Mandanten sperren oder absichern
• Debugging-Berechtigungen im Produktivsystem entziehen
• Notfall-User-Konzept einführen (kontrollierter Zugang statt permanenter Überberechtigungen)

Diese Maßnahmen lassen sich oft innerhalb weniger Tage umsetzen und reduzieren das Risikoprofil drastisch.

Schritt 3: Nutzungsbasiertes Redesign – Rollen, die zum Alltag passen

Der klassische Fehler: Neue Rollen am Reißbrett entwerfen, ohne zu wissen, was die Benutzer tatsächlich brauchen. Besser: Nutzungsdaten auswerten (Transaktions-Traces, SU10-Auswertungen) und daraus Rollen ableiten, die zum realen Arbeitsalltag passen.

Das Ergebnis ist ein Rollenkonzept nach dem Least-Privilege-Prinzip: Jeder bekommt genau das, was er braucht – nicht mehr, nicht weniger.

Schritt 4: SoD-Konflikte bewerten, nicht nur zählen

2.000 SoD-Konflikte klingen dramatisch. Aber nicht jeder Konflikt ist gleich riskant. Entscheidend ist die Kombination aus:

• Kritikalität der betroffenen Funktionen
• Tatsächliche Nutzung (wird die Kombination wirklich ausgeführt?)
• Vorhandene kompensierende Kontrollen

Eine risikobasierte Priorisierung reduziert die „echten“ Konflikte oft auf einen Bruchteil – und macht das Projekt handhabbar.

Schritt 5: Governance aufbauen – Damit es nicht wieder passiert

Das beste Rollenkonzept erodiert, wenn es keinen Prozess gibt, der es schützt:

• Antrags- und Genehmigungsworkflow für neue Berechtigungen
• Regelmäßige Rezertifizierung (mindestens jährlich)
• Automatisiertes Reporting für kritische Änderungen
• Klare Verantwortlichkeiten: Wer ist Rollenowner?

Das muss nicht aufwändig sein – aber es muss existieren und gelebt werden.

Fazit

Berechtigungen aufräumen ist kein Big-Bang-Projekt. Mit dem richtigen Vorgehen – Transparenz, Quick Wins, nutzungsbasiertes Redesign und Governance – lässt sich auch ein historisch gewachsenes System in wenigen Monaten auf ein auditfestes Niveau bringen. Wenn Sie wissen möchten, wie Ihr System aktuell dasteht, starten wir gerne mit einer unverbindlichen Erstanalyse.

Unverbindliche Erstanalyse anfragen →

Weitere Artikel

Brauchen Sie Unterstützung bei diesem Thema?

Wir helfen Ihnen bei der Umsetzung – von der Analyse bis zum Go-Live.

Jetzt anfragen

← Alle Artikel