Hamburger Skyline - Hupp Consulting SAP Beratung
Hupp Consulting Logo
Hupp Consulting

SoD-Konflikte in SAP: Erkennung, Bewertung & Lösung

Stefan Hupp März 2026 Berechtigungen

Segregation of Duties (SoD) – die Funktionstrennung – ist ein fundamentales Kontrollprinzip in jedem SAP-System. Wenn ein einzelner Benutzer sowohl eine Bestellung anlegen als auch den Wareneingang buchen kann, fehlt eine essenzielle Kontrolle gegen Betrug und Fehler. In der Praxis sind SoD-Konflikte in historisch gewachsenen SAP-Systemen allgegenwärtig – die Frage ist nicht ob, sondern wie viele.

Was sind SoD-Konflikte?

Ein SoD-Konflikt entsteht, wenn ein Benutzer Berechtigungen für zwei oder mehr Aktivitäten besitzt, die aus Kontrollsicht getrennt sein sollten. Typische Beispiele: Kreditor anlegen und Zahlung freigeben, Bestellung anlegen und Wareneingang buchen, Benutzer anlegen und Rollen zuweisen, Buchung erfassen und Jahresabschluss durchführen. SoD-Konflikte erhöhen das Risiko von Betrug, Fehlern und Compliance-Verstößen erheblich.

SoD-Matrix erstellen

Die Grundlage jeder SoD-Analyse ist eine SoD-Matrix (auch Risiko-Regelwerk genannt). Diese Matrix definiert, welche Funktionskombinationen als Konflikt gelten. Eine praxistaugliche Matrix enthält typischerweise 100–300 Regeln, organisiert nach Geschäftsprozessen: Beschaffung, Finanzbuchhaltung, Personalwesen, Materialwirtschaft und IT-Administration.

Wichtig: Die Matrix muss zum Unternehmen passen. Eine Standardmatrix von SAP oder einem Beratungshaus ist ein guter Startpunkt, muss aber an die spezifischen Geschäftsprozesse und Risikotoleranz angepasst werden.

SoD-Konflikte erkennen

Für die Erkennung gibt es drei Ansätze:

  • SAP GRC Access Control (ARA): Die umfassendste Lösung mit Echtzeit-Analyse, Simulation und Workflow. Analysiert Konflikte auf Rollen- und Benutzerebene gegen ein konfigurierbares Regelwerk.
  • Manuelle Analyse mit SUIM: Die Transaktion SUIM ermöglicht Abfragen nach kritischen Berechtigungskombinationen. Aufwendig, aber ohne Zusatzlizenz möglich.
  • Custom-Reports: Eigene ABAP-Reports oder SQL-Abfragen auf die Berechtigungstabellen (USR02, AGR_1251, AGR_USERS). Flexibel, aber wartungsintensiv.

Risikobewertung: Nicht jeder Konflikt ist gleich kritisch

Die Erfahrung zeigt: In einem typischen SAP-System haben 30–60% der Benutzer mindestens einen SoD-Konflikt. Alle gleichzeitig zu lösen ist unrealistisch. Priorisieren Sie nach Risiko:

  • Hoch: Konflikte mit direktem Betrugsrisiko (z.B. Kreditor anlegen + Zahlung freigeben)
  • Mittel: Konflikte mit Fehlerrisiko oder Compliance-Relevanz (z.B. Bestellung anlegen + Wareneingang)
  • Niedrig: Konflikte mit geringem Risiko oder vorhandenen kompensierenden Kontrollen

Berücksichtigen Sie auch die tatsächliche Nutzung: Ein Benutzer, der die Berechtigung hat aber nie nutzt, stellt ein geringeres Risiko dar als ein Benutzer, der beide Funktionen aktiv ausführt.

Lösungsstrategien

Für die Lösung von SoD-Konflikten stehen mehrere Strategien zur Verfügung:

  • Rollenredesign: Die nachhaltigste Lösung – Rollen so umgestalten, dass Konflikte strukturell vermieden werden
  • Benutzerumverteilung: Aktivitäten auf verschiedene Benutzer aufteilen
  • Kompensierende Kontrollen: Wenn eine Trennung nicht möglich ist (z.B. in kleinen Teams), zusätzliche Überwachungsmaßnahmen implementieren
  • Monitoring: Transaktionen mit SoD-Konfliktpotenzial aktiv überwachen und regelmäßig auswerten

Kompensierende Kontrollen richtig einsetzen

Kompensierende Kontrollen sind kein Freifahrtschein, sondern eine dokumentierte Maßnahme, die das Restrisiko auf ein akzeptables Niveau reduziert. Beispiel: Wenn ein Benutzer in einer kleinen Abteilung sowohl Bestellungen anlegen als auch den Wareneingang buchen muss, kann ein monatlicher Stichproben-Report durch den Abteilungsleiter als kompensierende Kontrolle dienen. Dokumentieren Sie für jede kompensierende Kontrolle: welcher Konflikt wird adressiert, wer führt die Kontrolle durch, wie häufig, und was passiert bei Auffälligkeiten.

Kontinuierliche Überwachung

SoD-Management ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Integrieren Sie SoD-Prüfungen in den Rollenpflegeprozess (bei jeder Rollenänderung), in den User-Provisioning-Prozess (bei jeder Rollenzuweisung) und in die regelmäßige Rezertifizierung. Nur so verhindern Sie, dass neue Konflikte entstehen, während Sie bestehende lösen.

Fazit

SoD-Management in SAP ist komplex, aber unverzichtbar. Starten Sie pragmatisch: Erstellen Sie eine angepasste SoD-Matrix, identifizieren Sie die kritischsten Konflikte und lösen Sie diese priorisiert. Perfekt muss es nicht sofort sein – aber dokumentiert und nachvollziehbar.

Jetzt anfragen →

Stefan Hupp
Geschäftsführer | Managing Director

20+ Jahre Erfahrung in SAP Security, Basis und Berechtigungen. Pragmatische Lösungen für komplexe Systemlandschaften – dokumentiert, auditfest und KI-gestützt.

Weitere Artikel

Berechtigungen

März 2026 · Stefan Hupp

SAP-Rollenkonzept: Best Practices für sauberes Berechtigungsdesign

Rollenkonzept richtig aufbauen: Naming Conventions, Einzel- vs. Sammelrollen und S/4HANA-Migration.

Weiterlesen →
Security

März 2026 · Stefan Hupp

SAP-Notfallbenutzerkonzept: Design, Umsetzung & Audit-Sicherheit

Firefighter-Konzept, zeitlich begrenzte Zugriffe und Protokollierung für Notfallbenutzer.

Weiterlesen →
Berechtigungen

Januar 2026 · Stefan Hupp

SAP-Berechtigungen aufräumen: Pragmatischer Leitfaden

Schritt-für-Schritt, um historisch gewachsene Berechtigungen in Ordnung zu bringen.

Weiterlesen →

Brauchen Sie Unterstützung bei diesem Thema?

Wir helfen Ihnen bei der Umsetzung – von der Analyse bis zum Go-Live.

Jetzt anfragen

← Alle Artikel

Verwandte Artikel

Alle Leistungen ansehen →