Egal ob ein initiales Berechtigungskonzept erstellt wird, der Wirtschaftsprüfer ein Redesign anmahnt oder ein Audit ansteht: SAP-Berechtigungskonzepten eilt der Ruf als komplexes Projekt mit hohem Organisations- und Kostenaufwand voraus. Warum ist das so?

Philipp Latini: „Ungeliebt, aber unentbehrlich“ trifft es wohl ganz gut. Berechtigungskonzepte müssen den Spagat schaffen, jeden Benutzer mit den für seine Aufgaben notwendigen Zugriffs- und Bearbeitungsrechten auszustatten. Gleichzeitig gilt es aber, Sicherheitsrisiken zu minimieren und rechtliche Auflagen sowie Compliance-Anforderungen von Geschäftspartnern abzubilden. Kurz gesagt: So viele Rechte wie nötig, aber so restriktiv wie möglich. SAP verwendet eine rollenbasierte Zugriffskontrolle, die „Role Based Access Control“. Dieses Modell, Berechtigungen in Rollen zu bündeln und dann jedem Nutzer Rollen zuzuordnen, macht die Erstellung von SAP-Berechtigungskonzepten recht komplex. Fachlich ist ein fundiertes Verständnis der spezifischen Geschäftsprozesse nötig. Technisch muss dieses Prozesswissen möglichst verlustfrei in die Sprache des SAP-Ökosystems „übersetzt“ werden. Und methodisch erfordern Berechtigungskonzepte ein gutes Projektmanagement, um interne Ressourcen und externe SAP-Experten effizient zu managen. Consultants verwenden sehr viel Zeit darauf, Rollen zu bauen und Tabellen mit Berechtigungen zu füllen.

Was heißt das konkret in Zahlen?

Philipp Latini: 600 Arbeitsstunden für den Rollenbau eines Berechtigungskonzepts mit 1.000 Usern sind durchaus realistisch.

Es gibt doch inzwischen Tools und Templates, die solche Aufgaben beschleunigen …

Philipp Latini: Richtig, seit einigen Jahren gibt es smarte Tools auf dem Markt, die die Verwaltung von Berechtigungen digitalisieren und punktuell vereinfachen – beispielsweise bei der Dokumentation und laufenden Pflege. Allerdings gab es bislang keine wirklich bahnbrechende Lösung für das aufwändige Erarbeiten von Rollen und Berechtigungen.

Und da das Konzeptziel so individuell ist wie die jeweiligen Unternehmensabläufe, führen auch Standard-Templates erfahrungsgemäß nicht zu zufriedenstellenden Ergebnissen.

In der Presse ist von einem „SAP-Projektstau“ die Rede. Wie schätzen Sie die Situation ein?

Philipp Latini: In Zeiten, in denen die Dynamik in Unternehmen rasant zunimmt, stößt der traditionelle Projektablauf bei der Erstellung von Berechtigungskonzepten an seine Grenzen. Zu träge ist der konventionelle Rollenbau, zu aufwändig das manuelle Durchspielen von Nutzungsszenarien, um mit Veränderungen der Organisationsstruktur, mit wechselnden Teamzusammensetzungen und laufend neuen Compliance-Vorgaben Schritt halten zu können. Auch der Fachkräftemangel entwickelt sich immer mehr zum limitierenden Faktor für gute, revisionssichere Berechtigungskonzepte. SAP-Spezialisten – sowohl internes IT-Personal als auch externe SAP-Berater – gehören zu den meistgesuchten Experten im IT-Arbeitsmarkt. Es gibt schlichtweg nicht genügend gut geschulte Berater auf dem Markt, um die Fülle an SAP-Projekten zu stemmen. Die Folge ist ein rasant wachsendes Delta zwischen Soll- und Ist-Situation. Um den von Ihnen angesprochenen Projektstau zu verhindern, benötigt die Branche dringend innovative Ansätze für das Berechtigungsmanagement – und zwar echte Game Changer, die den manuellen Anteil bei der Planung von Rollen und Berechtigungen deutlich reduzieren.

Wie könnten diese disruptiven Technologien für Berechtigungskonzepte aussehen?

Philipp Latini: Moderne Technologien bieten großes Potenzial, Berechtigungskonzepte intelligenter und kostensparender anzugehen. Insbesondere automatisierte Lösungen wie beispielsweise virtuelle Rollenberater werden das Business disruptiv verändern, genauer gesagt Robotic Process Automation, kurz RPA: Der Einsatz von evolutionären Algorithmen beschleunigt den konventionellen Ablauf nicht nur. Mittels Automated Role Mining lassen sich auch sehr große Datenmengen aus einem mehrmonatigen Tracing analysieren und so Konzepte für individuelle Zielsetzungen entwickeln. Und das schneller und passgenauer als jeder SAP-Consultant, perfekt abgestimmt auf Parameter wie „Maximales Sicherheitslevel“ oder „Lizenzkosten-Optimierung“.

Apropos Lizenzkosten-Optimierung: Das Berechtigungskonzept spielt auch bei der Lizenzvermessung eine Rolle. Ist es damit ein CIO- oder ein CFO-Thema?

Philipp Latini: Die Lizenzvermessung ist insbesondere bei der Migration auf S/4HANA spannend. Da die Lizenzkosten je User künftig nicht mehr von seiner tatsächlichen Nutzung, sondern vom Berechtigungsumfang abhängen können, schlummern in alten Berechtigungskonzepten unkalkulierbare finanzielle Risiken. Das Redesign ist deshalb ein hochaktuelles CFO-Thema!

Gibt es auch schon Tools, die Künstliche Intelligenz für Berechtigungskonzepte einsetzen?

Philipp Latini: Ja, in Verbindung mit KI-gestützten Modulen können virtuelle Rollenberater intelligent agieren, um beispielsweise mittels Machine-Learning-Verfahren verständliche Namenskonventionen für die Rollen zu generieren. Welche semantisch sinnvollen Namen würde ein Mensch der jeweiligen Rolle zuweisen? Neuronale Netze greifen unter anderem auf vergangene Projekte zurück, um die Erfahrung von Beratern und Experten in die Entwicklung passender Namenskonventionen einfließen zu lassen.

Wie hoch ist das Einsparpotenzial durch automatisierte Lösungen?

Philipp Latini: Pilotprojekte auf Basis von Automated Role Mining zeigen ein beeindruckendes Einsparungspotenzial von über 90 Prozent der Beraterstunden und 30 Prozent der Lizenzkosten sowie eine um 80 Prozent verkürzte Projektlaufzeit.

Müssen SAP-Experten damit fürchten, in Berechtigungsprojekten überflüssig zu werden?

Philipp Latini: Nein, ganz und gar nicht! Das Ziel automatisierter Berechtigungskonzepte ist es, SAP-Berater, interne IT-Experten und die Fachabteilungen von Meetings und repetitiven Tätigkeiten zu entlasten. Und das ergibt angesichts der aktuellen Marktlage absolut Sinn: Die Digitalisierung zwingt Unternehmen, ihre Geschäftsprozesse an die Anforderungen von VUCA, Globalisierung und New Work anzupassen. Viele von ihnen entscheiden sich für die ERP-Lösungen von SAP, dem Marktführer für Unternehmenssoftware. Hinzu kommt, dass im Jahr 2027 der Support für das klassische SAP ERP-System endet. Bis dahin muss die Migration auf SAP S/4HANA vollzogen sein und damit auch ein Redesign des Berechtigungskonzepts. Die SAP-Beratungshäuser werden den wachsenden Bedarf an SAP-Fachkräften voraussichtlich nicht decken können. Neue, maximal automatisierte Technologien werden helfen, diesen Experten-Gap abzufedern, da Implementierungen und Migrationen künftig mit weniger internen und externen Manntagen umgesetzt werden können. Die Überlastung sinkt und SAP-Experten erhalten wieder Freiraum für Tätigkeiten, bei denen sie ihr Wissen und ihre Soft Skills für die Wertschöpfung einsetzen können – beispielsweise für Beratung zu Security- und Compliance-Themen, für das Projektmanagement und Schulungen, für die intensive Kommunikation zwischen IT- und Fachabteilungen und das Change Management.

Können Sie bitte auch die Vorteile für Unternehmen kurz zusammenfassen?

Philipp Latini: Mit Hilfe automatisierter Berechtigungskonzepte wird ein wichtiger Teil der IT-Security gesichert, Unternehmen arbeiten konform mit SoD-Policies und Compliance-Regularien wie NIS2 und SOX. Außerdem sind sie jederzeit auf Zertifizierungen wie PCI DSS vorbereitet – bei zugleich sinkenden Kosten für die Erstellung von Berechtigungskonzepten und einer kürzeren Projektdauer. Obendrein profitieren Unternehmen von exakt auf die tatsächliche Nutzung zugeschnittenen, schlankeren Lizenzpaketen.

Also eine Win-Win-Situation für SAP-Berater und Unternehmen?

Philipp Latini: Ja genau. Die Entwicklung hin zum „Berechtigungskonzept 2.0“ sollte weniger als Bedrohung, sondern in Zeiten knapper Ressourcen und wachsender Dynamik als Chance verstanden werden. Die Frage wird nicht sein, ob Unternehmen und SAP-Berater sich auf die Möglichkeiten der Automatisierung einlassen, sondern wer mit Pioniergeist vorangeht und sich so Kostenvorteile und einen Wettbewerbsvorsprung sichert.