Eine Umfrage im Rahmen des ITOK-Expert-Talks zu den größten Herausforderungen für SAP-Security ergab im März, dass gut die Hälfte der Befragten diese im Umfeld von Rollen und Berechtigungen sehen.
Die Einbettung des Berechtigungskonzeptes stellt also eine der Kernaufgaben bei der S/4HANA-Einführung dar und ist ein häufiger Grund dafür, dass diese als Ganzes scheitert. Wie aber ist mit Konflikten wie Ressourcenengpässen, Prioritätenverschiebungen bei Teilprojekten, Änderungen bei Tasks und Tests umzugehen? Warum neben Ansatz und Projektmanagement das richtige Berechtigungskonzept über Erfolg und Dynamik der Transformation entscheidet, erklärt Roozbeh Noori-Amoli, Deputy Head SAST CONSULTING, im Interview im it management-Herausgeber Ulrich Parthier.
Herr Noori-Amoli, Sie haben gerade erfolgreich eine globale Role Conversion mit PUMA SE abgeschlossen. Was sind die wichtigsten Überlegungen, die man vor der S/4HANA-Migration anstellen sollte?
Roozbeh Noori-Amoli: Zuerst natürlich, welcher Ansatz dem Projekt gerecht wird, also etwa Green-, Brown- oder Bluefield. Beim Vorgehen muss zwischen klassischem und agilem Projektmanagement entschieden werden. Und dann folgt schon die Frage: Wie sieht mein Berechtigungskonzept aus? Richtet es sich wie häufig nach dem einzigen Vorschlag eines Beraters oder einem Best-Practice-Ansatz ohne Bezug auf das Unternehmen und die projektspezifischen Bedürfnisse? Dann ist das schon der eigentliche Kardinalfehler: Denn man muss sich die Vorund Nachteile der verschiedenen Konzepte vorher bewusst machen, die ja alle je nach Situation ihre Daseinsberechtigung haben. Hat man die falsche Wahl getroffen, erkennt man das häufig erst nach etlichen Tagen, die bereits für die Implementierung aufgewendet wurden, oder schlimmer noch, erst später im Alltag. Die nachträgliche Korrektur kann dann hohe Aufwände und Kosten bedeuten.
Aber wie lässt sich angesichts der Vielfalt das richtige Berechtigungskonzept finden?
Roozbeh Noori-Amoli: Dafür müssen von Beginn an die wichtigsten Fragen geklärt werden: Wie ist der tatsächliche Unternehmensbedarf, was sind die Projektziele und wie hoch ist das Sicherheitsbedürfnis? Wie sind Budget sowie zeitliche und personelle Ressourcen bemessen? Limitierende Faktoren wie die bestehenden organisatorischen Strukturen und Prozesse, die Anzahl der SAP-User sowie grundsätzlich die Art und Architektur des Systems geben bereits einen festen Rahmen vor. Die Priorisierung der Ziele wird dann von der jeweiligen IT-Strategie bestimmt. Die Wahl des Berechtigungskonzepts ist so letztlich eine Abwägung zwischen dem Bedürfnis nach hoher Sicherheit mit passgenauen Berechtigungen und dem Wunsch nach minimalem Administrationsaufwand. Als Zielkonflikt könnte man die minimale Vergabe von Berechtigungen vs. die Vereinheitlichung von Prozessen formulieren.
Können Sie uns ein paar Szenarien nennen, wann welches Konzept Sinn macht?
Roozbeh Noori-Amoli: Also, bei einer internationalen Organisation mit vielen gleichen Unternehmensteilen und wiederkehrenden Prozessen funktioniert zum Beispiel der Template-Rollenansatz mit Ableitungen nach organisatorischen Einheiten oder das Menu/Value-Rollenkonzept. Bei einem sehr hohen Sicherheitsbedürfnis und dem Wunsch nach präziser Vergabe der Berechtigungen und gleichzeitig einer niedrigen Anzahl verwendeter Transaktionen je User und einem System mit wenigen, aber unterschiedlichen Prozessen empfiehlt sich stattdessen das Konzept 1 Transaktion – 1 Rolle.
Gibt es konkrete Beispiele aus Ihrer Erfahrung für eine richtige und eine schlechtere Wahl?
Roozbeh Noori-Amoli: Gerne, das lässt sich gut anhand der durchdachten und einer weniger durchdachten Entscheidung für dasselbe Berechtigungskonzept zeigen. Der Kunde PUMA mit rund 14.000 Mitarbeitern in 50 Ländern hatte viele länderspezifische Eigenentwicklungen und Schnittstellen sowie hohe Compliance-Anforderungen. Das Projekt beinhaltete den Start der Migration mit 4 Ländern und unterschiedlichen SAP ERP-Systemen auf S/4HANA. Wegen vieler Organisationseinheiten, verteilter Prozesse, kritischer Länderspezifika ergab sich die Herausforderung, ein globales Berechtigungskonzept zu erstellen, das anschließend auf Länderebene in die Tiefe ausgerollt werden sollte. Wir haben uns mit PUMA schließlich für prozessuale Einzelrollen mit funktionalen Arbeitsplatz-Sammelrollen entschieden, weil es viele Einheiten gibt, die ähnlich sind, zentral verwaltet, mit zentraler Revision und einem einheitlichen Konzept mit Sonderrollen sowie Ableitungen über Organisationsebenen. Der Kunde ist damit heute hochzufrieden, zumal wir das Ganze mit einem agilen Projektmanagement-Ansatz sehr zügig, dynamisch und flexibel umgesetzt haben.
Und die schlechtere Entscheidung?
Roozbeh Noori-Amoli: Dass dasselbe Konzept aber längst nicht für jeden die richtige Wahl ist, wurde bei einem anderen Projekt deutlich: Hier war auf dringlichen Wunsch des Kunden und ohne vorhergehende Beratung ebenfalls genau dieses Berechtigungskonzept umzusetzen. Dabei wurde jedoch in den Workshops mit den Fachbereichen schnell klar, dass es nur bedingt möglich war, Benutzer in homogene Gruppen zu separieren und eine klare Trennung der einzelnen Prozesse zu implementieren. Letztlich konnten wir den Kunden deshalb überzeugen, ein hybrides Berechtigungskonzept vorzuziehen, um besser auf die Gegebenheiten der Länder- und Abteilungsspezifika eingehen zu können.
Welche Learnings können Sie für eine gelungene Role Conversion mit auf den Weg geben?
Roozbeh Noori-Amoli: Wichtig ist, von Beginn an Zeit für das Testing einzuplanen und zwischen dem Test-, dem Schulungsmanagement und dem Berechtigungsteam eine detaillierte Abstimmung sicherzustellen. Ein agiles Projektmanagement birgt hier große Vorteile: Integrations-, Regressions- und Berechtigungstests werden dabei nicht separat betrachtet, sondern parallel durchgeführt. Die gesamte Thematik muss frühzeitig gemeinsam mit den Fachbereichen angegangen werden, schließlich gilt es, fachbereichsübergreifende Entscheidungen hinsichtlich der Rollen-Inhalte zu treffen und kundeneigene Kataloge und Gruppen zu erstellen, um nicht auf den überladenen SAP-Standard zurückgreifen zu müssen. Eine weitere Erkenntnis: Weg vom Berechtigungsteam, hin zu je einem Verantwortlichen in den Fachabteilungen. Sinnvoll ist eine passgenaue Tool-Unterstützung, benötigt werden Standard-Templates für Vorschlags-Rollen zum Testen sowie saubere und SoD-freie Rollen. Berechtigungen dürfen nicht nur auf Funktionalität getestet werden, sondern es müssen auch Negativ-Tests stattfinden. Ein unterbrechungsfreies Tagesgeschäft sollte unbedingt durch einen Safe-go-liveAnsatz gewährleistet bleiben. Wichtig ist schlussendlich, ausreichend Zeit und Ressourcen einzuplanen, das Thema kann nicht einfach neben dem Tagesgeschäft umgesetzt werden.
Herr Noori-Amoli, wir danken für dieses Gespräch.