Hamburger Skyline - Hupp Consulting SAP Beratung
Hupp Consulting Logo
Hupp Consulting

SAP-Berechtigungs-Rezertifizierung: Prozess, Tools & Automatisierung

Stefan Hupp März 2026 Berechtigungen Compliance

Berechtigungen in SAP-Systemen haben eine natürliche Tendenz zur Anhäufung: Mitarbeiter wechseln Abteilungen, übernehmen zusätzliche Aufgaben oder werden in Projekten mit temporären Berechtigungen ausgestattet – die danach niemand zurücknimmt. Ohne regelmäßige Rezertifizierung wächst das Risiko kontinuierlich. Dieser Artikel beschreibt, wie Sie einen wirksamen Rezertifizierungsprozess aufsetzen.

Warum Rezertifizierung unverzichtbar ist

Berechtigungs-Rezertifizierung ist die regelmäßige Überprüfung, ob die zugewiesenen Berechtigungen noch angemessen sind. Compliance-Frameworks wie SOX, ISO 27001 und DSGVO fordern dies explizit. Aber auch jenseits von Compliance gibt es gute Gründe: Reduzierung von SoD-Konflikten, Minimierung der Angriffsfläche und Identifikation verwaister Benutzerkonten. Studien zeigen, dass in typischen SAP-Systemen 15–25% der Berechtigungszuweisungen nicht mehr benötigt werden.

Prozessdesign: Frequenz und Umfang

Die optimale Frequenz hängt von der Risikobewertung ab: Kritische Berechtigungen (SAP_ALL, Notfallbenutzer, administrative Rollen) sollten monatlich oder quartalsweise rezertifiziert werden. Standardberechtigungen genügen in der Regel eine jährliche Überprüfung. Technische Benutzer (RFC, Batch) sollten halbjährlich geprüft werden.

Der Umfang umfasst: Benutzer-Rollen-Zuordnungen, Rollenzuordnungen zu Geschäftsfunktionen, kritische Einzelberechtigungen und technische Benutzer. Beginnen Sie mit den höchsten Risiken und erweitern Sie schrittweise.

Verantwortlichkeiten klar definieren

Ein häufiger Fehler: Die IT-Abteilung rezertifiziert Berechtigungen, die sie gar nicht beurteilen kann. Definieren Sie klare Verantwortlichkeiten: Fachbereichsleiter rezertifizieren die Berechtigungen ihrer Mitarbeiter, Rollenverantwortliche prüfen die Rollendefinitionen, und die IT steuert den Prozess und liefert die technischen Auswertungen. Dieser dreistufige Ansatz stellt sicher, dass die richtigen Personen die richtigen Entscheidungen treffen.

Tool-Unterstützung

SAP GRC Access Control bietet einen integrierten Rezertifizierungs-Workflow (User Access Review). Dieser automatisiert Benachrichtigungen, Eskalationen und Dokumentation. Ohne GRC können Sie den Prozess mit folgenden Tools unterstützen: SUIM-Berichte für Benutzer-Rollen-Zuordnungen, AGR_USERS-Abfragen für Rollenzuweisungen mit Gültigkeitszeiträumen, RSUSR002 für kritische Berechtigungskombinationen und USR40 für nicht genutzte Berechtigungen (Zugriffsdaten).

Automatisierungsmöglichkeiten

Auch ohne GRC lassen sich Teile des Prozesses automatisieren: Automatische Identifikation von Benutzern mit geänderten Rollen seit der letzten Rezertifizierung, automatische Erkennung von Benutzern, die seit 90+ Tagen nicht angemeldet waren, automatische Sperrlisten für ausgeschiedene Mitarbeiter durch HR-Integration und automatische Berichte für Fachbereichsleiter mit den Berechtigungen ihrer Mitarbeiter.

KI-gestützte Ansätze gehen noch weiter: Durch Analyse der tatsächlichen Nutzung können nicht genutzte Berechtigungen automatisch identifiziert und zur Entfernung vorgeschlagen werden.

Umgang mit Findings

Was passiert, wenn die Rezertifizierung Findings ergibt? Definieren Sie einen klaren Prozess: Überflüssige Berechtigungen werden nach Bestätigung durch den Fachbereich entzogen. Offene Findings werden mit Fristen versehen und eskaliert. Kompensierende Kontrollen werden für nicht sofort lösbare Fälle dokumentiert. Alle Ergebnisse werden revisionssicher archiviert. Wichtig: Setzen Sie realistische Fristen. Ein Finding, das seit drei Quartalen offen ist, zeigt einen unwirksamen Prozess.

KPIs für die Rezertifizierung

Messen Sie die Wirksamkeit Ihres Rezertifizierungsprozesses mit KPIs: Rücklaufquote (Anteil rechtzeitig abgeschlossener Reviews), Änderungsrate (Anteil der Berechtigungen, die geändert oder entzogen werden), Durchlaufzeit (Tage von Benachrichtigung bis Abschluss) und offene Findings (Überfällige Maßnahmen). Berichten Sie diese KPIs regelmäßig an das Management – Transparenz fördert die Disziplin.

Fazit

Berechtigungs-Rezertifizierung ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Beginnen Sie mit den kritischsten Berechtigungen, definieren Sie klare Verantwortlichkeiten und automatisieren Sie schrittweise. Der Aufwand lohnt sich: weniger Risiko, bessere Compliance und ein sauberes Berechtigungssystem.

Jetzt anfragen →

Stefan Hupp
Geschäftsführer | Managing Director

20+ Jahre Erfahrung in SAP Security, Basis und Berechtigungen. Pragmatische Lösungen für komplexe Systemlandschaften – dokumentiert, auditfest und KI-gestützt.

Weitere Artikel

Berechtigungen

März 2026 · Stefan Hupp

SoD-Konflikte in SAP: Erkennung, Bewertung & Lösung

SoD-Konflikte erkennen, bewerten und pragmatisch lösen.

Weiterlesen →
Berechtigungen

März 2026 · Stefan Hupp

SAP-Rollenkonzept: Best Practices für sauberes Berechtigungsdesign

Rollenkonzept richtig aufbauen mit Naming Conventions und Governance.

Weiterlesen →
Compliance

März 2026 · Stefan Hupp

SAP-Audit-Vorbereitung: Checkliste für eine erfolgreiche Prüfung

SAP-Audit erfolgreich vorbereiten: Prüfungsumfang, Nachweise und typische Findings.

Weiterlesen →

Brauchen Sie Unterstützung bei diesem Thema?

Wir helfen Ihnen bei der Umsetzung – von der Analyse bis zum Go-Live.

Jetzt anfragen

← Alle Artikel

Verwandte Artikel

Alle Leistungen ansehen →