Hamburger Skyline - Hupp Consulting SAP Beratung
Hupp Consulting Logo
Hupp Consulting

SAP-Rollenkonzept: Best Practices für sauberes Berechtigungsdesign

Stefan Hupp März 2026 Berechtigungen

Das Rollenkonzept ist das Fundament jedes SAP-Berechtigungssystems. Ein sauberes Design spart langfristig enormen Pflegeaufwand, reduziert SoD-Konflikte und vereinfacht Audits. In der Praxis sind viele Rollenkonzepte jedoch über Jahre gewachsen, ohne klare Struktur. Dieser Artikel beschreibt Best Practices für ein nachhaltiges Rollendesign.

Rollentypen verstehen und richtig einsetzen

SAP bietet drei Rollentypen: Einzelrollen enthalten die eigentlichen Berechtigungen und sind die Basis jedes Konzepts. Sammelrollen (Composite Roles) bündeln mehrere Einzelrollen zu einer Geschäftsfunktion – z.B. „Einkäufer“ als Kombination aus Bestellanlage, Lieferantenauswertung und Berichtsrollen. Abgeleitete Rollen (Derived Roles) übernehmen das Menü und die Berechtigungsobjekte einer Master-Rolle, erlauben aber unterschiedliche Organisationsebenen – ideal für Unternehmen mit mehreren Buchungskreisen oder Werken.

Naming Conventions, die skalieren

Eine konsistente Namenskonvention ist essenziell. Bewährtes Muster: Z_[Modul]_[Funktion]_[Typ]. Beispiel: Z_MM_BESTELLUNG_ANLEGEN_SR (Einzelrolle für Bestellanlage im MM). Verwenden Sie Suffixe für Rollentypen: SR für Single Role, CR für Composite Role, DR für Derived Role. Begrenzen Sie Rollennamen auf 30 Zeichen und verwenden Sie nur Großbuchstaben und Unterstriche.

Dokumentieren Sie die Namenskonvention und machen Sie sie verbindlich. Jede Ausnahme verwässert das System.

Granularität: Der goldene Mittelweg

Ein häufiger Fehler ist die falsche Granularität: Zu grobe Rollen (eine Rolle pro Abteilung) führen zu Überberechtigungen und SoD-Konflikten. Zu feine Rollen (eine Rolle pro Transaktion) erzeugen einen enormen Verwaltungsaufwand mit hunderten Rollenzuweisungen pro Benutzer.

Die optimale Granularität orientiert sich an Geschäftsfunktionen: Eine Rolle sollte die Berechtigungen für eine zusammenhängende Tätigkeit enthalten – z.B. „Bestellanforderung anlegen und bearbeiten“ statt „ME51N aufrufen“. In der Praxis bedeutet das typischerweise 200–500 Einzelrollen für ein mittelgroßes Unternehmen.

Organisationsebenen richtig nutzen

Organisationsebenen (Org-Ebenen) wie Buchungskreis, Werk oder Einkaufsorganisation sind das mächtigste Werkzeug für die Skalierung des Rollenkonzepts. Statt für jeden Buchungskreis eine separate Rolle zu erstellen, definieren Sie eine Master-Rolle und leiten Rollen für jeden Buchungskreis ab. Die abgeleiteten Rollen erben alle Berechtigungsobjekte und Menüs, nur die Org-Ebenen-Werte unterscheiden sich.

Rollendesign für S/4HANA und Fiori

Mit S/4HANA und Fiori ändert sich das Rollendesign: Neben den klassischen Backend-Berechtigungen benötigen Benutzer zusätzlich Fiori-Kataloge und -Gruppen, OData-Service-Berechtigungen (S_SERVICE) und Frontend-Rollen für das Fiori Launchpad. Planen Sie diese zusätzlichen Schichten von Anfang an ein. SAP liefert vordefinierte Business Roles aus, die als Startpunkt dienen können.

Vermeidung typischer Fehler

Die häufigsten Fehler im Rollendesign:

  • SAP_ALL als Lösung: Niemals SAP_ALL oder ähnlich breite Profile im Produktivsystem verwenden
  • Kopierte Rollen ohne Anpassung: Rollen von anderen Benutzern kopieren führt zu Berechtigungsanhäufung
  • Fehlende Dokumentation: Jede Rolle sollte einen aussagekräftigen Langtext mit Beschreibung der Geschäftsfunktion haben
  • Kein Test-Workflow: Rollen ohne strukturierten Test direkt produktiv nehmen
  • Fehlende Governance: Kein definierter Prozess für Rollenerstellung, -änderung und -löschung

Lifecycle-Management und Governance

Definieren Sie klare Prozesse für den gesamten Rollen-Lifecycle: Beantragung (wer darf neue Rollen anfordern?), Design und Erstellung (nach den definierten Standards), Test (SU53-Analyse, Funktionstest, SoD-Prüfung), Freigabe (Vier-Augen-Prinzip), Transport (kontrolliert über TMS) und regelmäßige Überprüfung (sind die Rollen noch aktuell?). Tools wie SAP GRC Access Control Business Role Management (BRM) unterstützen diesen Prozess, sind aber keine Voraussetzung.

Fazit

Ein sauberes Rollenkonzept ist eine Investition, die sich schnell auszahlt – durch weniger Pflegeaufwand, weniger SoD-Konflikte und reibungslosere Audits. Beginnen Sie mit klaren Namenskonventionen und der richtigen Granularität. Bei bestehenden Systemen empfiehlt sich eine schrittweise Bereinigung parallel zum Tagesgeschäft.

Jetzt anfragen →

Stefan Hupp
Geschäftsführer | Managing Director

20+ Jahre Erfahrung in SAP Security, Basis und Berechtigungen. Pragmatische Lösungen für komplexe Systemlandschaften – dokumentiert, auditfest und KI-gestützt.

Weitere Artikel

Berechtigungen

März 2026 · Stefan Hupp

SoD-Konflikte in SAP: Erkennung, Bewertung & Lösung

SoD-Konflikte systematisch erkennen, bewerten und pragmatisch lösen.

Weiterlesen →
Berechtigungen

März 2026 · Stefan Hupp

Fiori-Berechtigungen in S/4HANA: Konzept, Kataloge & Troubleshooting

Fiori-Berechtigungen verstehen: Launchpad-Kataloge, OData-Services und Fehlerbehebung.

Weiterlesen →
Berechtigungen

Januar 2026 · Stefan Hupp

SAP-Berechtigungen aufräumen: Pragmatischer Leitfaden

Schritt-für-Schritt, um historisch gewachsene Berechtigungen in Ordnung zu bringen.

Weiterlesen →

Brauchen Sie Unterstützung bei diesem Thema?

Wir helfen Ihnen bei der Umsetzung – von der Analyse bis zum Go-Live.

Jetzt anfragen

← Alle Artikel

Verwandte Artikel

Alle Leistungen ansehen →