SAP-Berechtigungswesen

Volker Lehnert ist seit 2000 bei SAP in unterschiedlichen Positionen in den Bereichen Compliance und Sicherheit tätig. Seit 2012 arbeitet er für SAP AG Installed Base Maintenance and Support (IMS) als Projektleiter Datenschutz. In seiner neunjährigen Beratungstätigkeit hat er Projekte rund um das Berechtigungswesen vorangetrieben. Um den gesetzlichen Anforderungen gerecht zu werden, führt Volker Lehnert Sicherheitskonzepte immer wieder auf die eigentlichen Kernfragen zurück: betriebswirtschaftliche Funktionen, organisatorische Konzepte und legale Anforderungen. Volker Lehnert ist Co-Autor des Datenschutzleitfadens der DSAG.

Katharina Stelzner (geb. Bonitz) arbeitet seit 2006 als Technologieberaterin für die SAP Deutschland AG. Ihr Schwerpunkt liegt auf Berechtigungskonzepten im CRM-Umfeld. Sie berät branchenübergreifend in nationalen und internationalen Projekten zum Berechtigungswesen sowie zum Benutzermanagement. Zuvor absolvierte sie ein Studium zur Dipl.-Ingenieurin an der Hochschule für Technik, Wirtschaft und Kultur in Leipzig.

Dr. Peter John hat das neue Konzept der Analyseberechtigungen als Nachfolger der vorherigen Reportingberechtigungen in BW entworfen und entwickelt. Er arbeitet seit 2003 für SAP und ist Softwarearchitekt bei SAP Netweaver BW. Dort arbeitete er im Bereich OLAP, Integrierte Planung und Security. Peter John hat an der RWTH Aachen Physik studiert und an der Universität Heidelberg in theoretischer Elementarteilchen-Physik promoviert.

Anna Otto arbeitet seit 2007 als GRC-Beraterin für die SAP Deutschland AG und war zwischenzeitlich ebenfalls als GRC-Beraterin für die SAP (Schweiz) AG tätig. Sie absolvierte ein Studium zur Dipl.-Informatikerin an der Hochschule in Hamburg. Seit dieser Zeit befasst sie sich mit Anforderungen der Datenschutzgesetze an SAP-Software. Ihr Beratungsschwerpunkt in nationalen und internationalen Projekten liegt auf Berechtigungskonzepten und den Anwendungen SAP Access Control und Process Control. Anna Otto ist (zusammen mit Volker Lehnert) Co-Autorin des Datenschutzleitfadens der DSAG und Autorin des beim VDM Verlag Dr. Müller erschienenen Buches »Entwicklung von Datenschutzrollen für das AIS im SAP ERP«.

Vorwort. 21

  Danksagung. 23

  1.  Einleitung. 27

TEIL I  Betriebswirtschaftliche Konzeption. 33

  2.  Einführung und Begriffsdefinition. 35

       2.1. Methodische Überlegungen. 36

       2.2. Compliance ist Regelkonformität. 40

       2.3. Risiko. 41

       2.4. Corporate Governance. 45

       2.5. Technische vs. betriebswirtschaftliche Bedeutung des Berechtigungskonzepts. 47

       2.6. Technische vs. betriebswirtschaftliche Rolle. 49

       2.7. Beschreibung von Berechtigungskonzepten. 51

  3.  Organisation und Berechtigungen. 67

       3.1. Organisatorische Differenzierung am Beispiel. 69

       3.2. Begriff der Organisation. 71

       3.3. Institutioneller Organisationsbegriff. 72

       3.4. Instrumenteller Organisationsbegriff. 76

       3.5. Folgerungen aus der Organisationsbetrachtung. 90

       3.6. Die Grenzen der Organisation und das Internet der Dinge. 91

       3.7. Sichten der Aufbauorganisation in SAP-Systemen. 92

       3.8. Organisationsebenen und -strukturen in der SAP Business Suite. 101

       3.9. Hinweise zur Methodik im Projekt. 110

       3.10. Fazit. 112

  4.  Rechtlicher Rahmen -- normativer Rahmen. 113

       4.1. Interne und externe Regelungsgrundlagen. 114

       4.2. Internes Kontrollsystem. 118

       4.3. Rechtsquellen des externen Rechnungswesens. 120

       4.4. Datenschutzrecht. 124

       4.5. Allgemeine Anforderungen an ein Berechtigungskonzept. 135

       4.6. Fazit. 142

  5.  Berechtigungen in der Prozesssicht. 143

       5.1. Prozessübersicht. 143

       5.2. Der Verkaufsprozess. 145

       5.3. Der Beschaffungsprozess. 151

       5.4. Unterstützungsprozesse. 155

       5.5. Maßgaben für die Funktionstrennung. 158

       5.6. Fazit. 160

TEIL II  Werkzeuge und Berechtigungspflege im SAP-System. 161

  6.  Technische Grundlagen der Berechtigungspflege. 163

       6.1. Benutzer. 163

       6.2. Berechtigungen. 173

       6.3. Rollen und Profile. 176

       6.4. Transfer von Rollen. 222

       6.5. Benutzerabgleich. 225

       6.6. Vom Trace zur Rolle. 227

       6.7. Weitere Auswertungen von Berechtigungsprüfungen. 234

       6.8. Fazit. 239

  7.  Systemeinstellungen und Customizing. 241

       7.1. Pflege und Nutzung der Vorschläge für den Profilgenerator. 242

       7.2. Traces. 262

       7.3. Upgrade-Nacharbeiten von Berechtigungen. 271

       7.4. Parameter für Kennwortregeln. 278

       7.5. Menükonzept. 284

       7.6. Berechtigungsgruppen. 290

       7.7. Parameter- und Query-Transaktionen. 305

       7.8. Anhebung eines Berechtigungsfeldes zur Organisationsebene. 315

       7.9. Berechtigungsfelder und -objekte anlegen. 323

       7.10. Weitere Transaktionen der Berechtigungsadministration. 327

       7.11. Fazit. 329

  8.  Rollenzuordnung über das Organisationsmanagement. 331

       8.1. Grundkonzept des SAP-ERP-HCM-Organisationsmanagements. 332

       8.2. Fachliche Voraussetzungen. 335

       8.3. Technische Umsetzung. 335

       8.4. Konzeptionelle Besonderheit. 339

       8.5. Fazit. 340

  9.  Zentrales Management von Benutzern und Berechtigungen. 341

       9.1. Grundlagen. 342

       9.2. Zentrale Benutzerverwaltung. 348

       9.3. SAP Access Control User Access Management. 358

       9.4. SAP Identity Management. 366

       9.5. Compliant Identity Management. 383

       9.6. Fazit. 385

10.  Berechtigungen: Standards und Analyse. 387

       10.1. Standards und ihre Analyse. 387

       10.2. Kritische Transaktionen und Objekte. 396

       10.3. Allgemeine Auswertungen technischer Standards. 398

       10.4. AGS Security Services. 406

       10.5. Fazit. 418

11.  SAP Access Control. 419

       11.1. Grundlagen. 419

       11.2. Access Risk Analysis. 423

       11.3. Business Role Management. 429

       11.4. User Access Management. 431

       11.5. Emergency Access Management. 433

       11.6. Fazit. 436

12.  User Management Engine. 437

       12.1. Überblick über die UME. 438

       12.2. Berechtigungskonzept von SAP NetWeaver AS Java. 446

       12.3. Benutzer- und Rollenadministration mit der UME. 451

       12.4. Fazit. 458

TEIL III  Berechtigungen in spezifischen SAP-Lösungen. 459

13.  Berechtigungen in SAP ERP HCM. 461

       13.1. Grundlagen. 461

       13.2. Besondere Anforderungen von SAP ERP HCM. 462

       13.3. Berechtigungen und Rollen. 464

       13.4. Berechtigungshauptschalter. 470

       13.5. Organisationsmanagement und indirekte Rollenzuordnung. 472

       13.6. Strukturelle Berechtigungen. 474

       13.7. Kontextsensitive Berechtigungen. 479

       13.8. Zeitabhängiges Sperren personenbezogener Daten. 481

       13.9. Fazit. 486

14.  Berechtigungen in SAP CRM. 487

       14.1. Grundlagen. 488

       14.2. Abhängigkeiten zwischen der Benutzerrolle und PFCG-Rollen. 498

       14.3. Erstellen von PFCG-Rollen abhängig von Benutzerrollen. 500

       14.4. Zuweisen von Benutzerrollen und PFCG-Rollen. 508

       14.5. Beispiele für Berechtigungen in SAP CRM. 517

       14.6. Fehlersuche im CRM Web Client. 546

       14.7. Access Control Engine. 549

       14.8. Fazit. 563

15.  Berechtigungen in SAP SRM. 565

       15.1. Grundlagen. 565

       15.2. Berechtigungsvergabe in SAP SRM. 568

       15.3. Fazit. 588

16.  Berechtigungen in SAP BW. 589

       16.1. OLTP-Berechtigungen. 590

       16.2. Analyseberechtigungen. 593

       16.3. Modellierung von Berechtigungen in SAP BW. 610

       16.4. RBAC-Modell. 612

       16.5. Fazit. 614

17.  Berechtigungen in der SAP-BusinessObjects-Business-Intelligence-Plattform 4.x. 615

       17.1. Berechtigungskonzept. 616

       17.2. Interaktion mit SAP BW. 624

       17.3. Fazit. 628

18.  RFC-Sicherheit mittels Unified Connectivity. 631

       18.1. RFC-Sicherheit im Überblick. 632

       18.2. Das Konzept von Unified Connectivity. 634

       18.3. UCON einrichten und betreiben. 637

       18.4. Zusammenspiel von UCON und Berechtigungsprüfungen auf Funktionsbausteine. 641

       18.5. Fazit. 648

19.  Berechtigungen in SAP HANA. 649

       19.1. Anwendungsszenarien von SAP HANA. 650

       19.2. Architektur von SAP HANA. 651

       19.3. Benutzerverwaltung in SAP HANA. 657

       19.4. Berechtigungen in SAP HANA. 660

       19.5. Fazit. 667

20.  Berechtigungen in SAP S/4HANA. 669

       20.1. Überblick. 669

       20.2. Fiori-Anwendungsrollen anlegen. 670

       20.3. Kontinuität im Benutzermanagement. 677

       20.4. Fazit. 677

21.  SAP Business Suite: Prozesse und Einstellungen. 679

       21.1. Grundlagen. 680

       21.2. Berechtigungen im Finanzwesen. 682

       21.3. Berechtigungen im Controlling. 704

       21.4. Berechtigungen in der Logistik (allgemein). 718

       21.5. Berechtigungen im Einkauf. 724

       21.6. Berechtigungen im Vertrieb. 731

       21.7. Berechtigungen in technischen Prozessen. 735

       21.8. Vereinfachtes Sperren und Löschen personenbezogener Daten in der SAP Business Suite. 747

       21.9. Fazit. 757

22.  Konzepte und Vorgehen im Projekt. 759

       22.1. Berechtigungskonzept im Projekt. 760

       22.2. Vorgehensmodell. 762

       22.3. SAP-Best-Practices-Template-Rollenkonzept. 771

       22.4. Inhalte eines Berechtigungskonzepts. 778

       22.5. Schritte zum Berechtigungskonzept. 785

       22.6. Fazit. 792

  Anhang. 793

       A. Abkürzungsverzeichnis. 795

       B. Glossar. 799

       C. Literaturverzeichnis. 815

       D. Die Autoren. 823

  Index. 827

»Wer sich mit SAP-Berechtigungen beschäftigt, dem liefert dieses Werk einen riesigen Fundus an Informationen. Sie reichen von möglichen verschiedenen Berechtigungskonzepten über eine Darstellung der Rechtsgrundlagen bis hin zur konkreten Umsetzung von Berechtigungen. (...) Über das gezielte Anlesen des notwendigen Hintergrundwissens kann der Datenschutzbeauftragte so bei Einführung und Prüfung von Berechtigungskonzepten und bei seinen Gesprächen über konkrete Berechtigungen und deren Zulässigkeit fachlich bestehen.« Datenschutz-Berater 201609

»Wer sich mit SAP-Berechtigungen beschäftigt, dem liefert dieses Werk einen riesigen Fundus an Informationen. Sie reichen von möglichen verschiedenen Berechtigungskonzepten über eine Darstellung der Rechtsgrundlagen bis hin zur konkreten Umsetzung von Berechtigungen. (...) Über das gezielte Anlesen des notwendigen Hintergrundwissens kann der Datenschutzbeauftragte so bei Einführung und Prüfung von Berechtigungskonzepten und bei seinen Gesprächen über konkrete Berechtigungen und deren Zulässigkeit fachlich bestehen.«

»Literaturempfehlung zur Prüfung von SAP-Systemen«