Benutzer- und Rollenpflege in SAP: Wenn Wildwuchs zur Sicherheitslücke wird
- GoNextConsulting

- 1. Juli
- 3 Min. Lesezeit
In fast jedem SAP-System, das über mehrere Jahre gewachsen ist, sieht es irgendwann ähnlich aus: Benutzerstammsätze inaktiver Mitarbeitender bleiben aktiv, Projektrollen werden nie deaktiviert, temporäre Berechtigungserweiterungen nie zurückgenommen. Was im Tagesgeschäft unbemerkt bleibt, wird spätestens bei einer internen Revision oder einem externen Audit zum handfesten Problem.
Warum mangelnde Benutzer- und Rollenpflege zu den häufigsten Schwachstellen in SAP-Sicherheitsprüfungen gehört und wie Unternehmen strukturiert gegensteuern können, zeigen wir in diesem Beitrag.

Der Konflikt zwischen Betriebsalltag und sauberem Berechtigungskonzept
In der Praxis heißt es oft: Benutzer bekommen kurzfristig erweiterte Berechtigungen, weil es schnell gehen muss, und niemand nimmt sie danach wieder weg. Langfristig entstehen daraus genau die Probleme, die in Audits, IKS-Prüfungen und Berechtigungsreviews auffallen: eine unkontrolliert wachsende Anzahl an Rollen, unklare Verantwortlichkeiten und Berechtigungen, die sich über die Jahre unkontrolliert angehäuft haben.
Gerade deshalb braucht ein funktionierendes Berechtigungskonzept nicht nur eine saubere initiale Konzeption, sondern vor allem konsequente laufende Pflege.
Ohne definierte Prozesse für den gesamten User-Lifecycle, von der Anlage über Änderungen bis zur Sperrung und Löschung, ist jedes noch so durchdachte Konzept nach ein paar Jahren wertlos.
Verwaiste Benutzerstammsätze: Kleines Versäumnis, großes Risiko
Ein Benutzerstammsatz, den niemand mehr aktiv nutzt, wird in der Regel auch niemand mehr aktiv überwachen. Besonders kritisch wird es, wenn solche Accounts noch weitreichende Berechtigungsprofile oder kritische Einzelberechtigungen tragen, etwa weil der frühere Mitarbeitende projektbedingt temporäre Sonderrechte erhalten hatte, die nie zurückgenommen wurden.
Mit dem Report RSUSR200 wird ein Standardwerkzeug bereitgestellt, das Benutzerstammsätze nach letztem Anmeldedatum und Passwortänderung auswertet. In vielen Unternehmen wird es trotzdem nicht regelmäßig eingesetzt.
Das Ergebnis: Ohne nachweisbaren User-Lifecycle-Prozess lassen sich Benutzerreviews in Revisionen schlicht nicht belegen.
Rollenproliferation und SoD-Konflikte
Neben verwaisten Accounts ist eine unkontrolliert wachsende Rollenlandschaft das zweite klassische Problem in gewachsenen SAP-Landschaften. Rollen werden für Projekte angelegt, für Ausnahmen kopiert und nie bereinigt.
Das Ergebnis sind redundante Rollenstrukturen mit überlappenden Berechtigungsprofilen und Sammelrollen, die deutlich mehr Einzelberechtigungen enthalten als fachlich notwendig.
Solange Rolleninhalte nicht vollständig dokumentiert und regelmäßig analysiert werden, lassen sich Segregation-of-Duties-Konflikte (SoD) weder intern noch in externen Audits zuverlässig identifizieren.
Und genau das ist es, was Auditoren als erstes prüfen.
Organisatorische Verantwortung
Ein funktionierendes Berechtigungsmanagement braucht nicht nur Technik, sondern klare organisatorische Verantwortlichkeiten. Benutzerverwaltung, Berechtigungsdatenpflege und Rollengenerierung sollten bei unterschiedlichen Administratoren liegen. Das verhindert, dass eine einzelne Person unkontrolliert Berechtigungen vergeben und sich selbst zuweisen kann.
In kleineren SAP-Teams wird dieses Prinzip häufig zugunsten von Effizienz aufgegeben, mit langfristig sichtbaren Folgen in IKS-Prüfungen und Revisionen.

Least Privilege: Der richtige Maßstab für jede Bereinigung
Grundlage jeder strukturierten Rollenpflege ist das Least-Privilege-Prinzip:
Jeder Benutzerstammsatz erhält ausschließlich die Rollen, die für die zugewiesenen Aufgaben tatsächlich erforderlich sind, nicht mehr.
SAP definiert dieses Prinzip explizit als Security Best Practice.
In der Praxis setzt das eine belastbare Bestandsaufnahme voraus:
Rolleninventar: Welche Rollen existieren, welche werden aktiv genutzt?
Berechtigungsanalyse: Welche kritischen Einzelberechtigungen oder SoD-Konflikte sind enthalten?
Benutzerreview: Welche Accounts sind inaktiv oder nicht mehr organisatorisch zugeordnet?
Prozesslücken: Wo fehlen definierte Onboarding-, Änderungs- und Offboarding-Workflows?
Erst auf dieser Basis lassen sich gezielte Bereinigungsmaßnahmen ableiten, und dauerhaft in regelmäßige Review-Zyklen überführen.
Unser Fazit
Mangelnde Benutzer- und Rollenpflege ist in SAP-Systemen eine der häufigsten und zugleich am stärksten unterschätzten Schwachstellen. Überberechtigungen, verwaiste Benutzerstammsätze und eine unkontrolliert gewachsene Rollenlandschaft entstehen nicht durch Absicht, sondern durch fehlende Prozesse, und werden im Audit zur Compliance-Last.
Nachhaltige Abhilfe schafft kein einmaliges Cleanup, sondern ein strukturierter User-Lifecycle-Prozess kombiniert mit regelmäßigen Rollenreviews auf Basis des Least-Privilege-Prinzips. Unternehmen, die das konsequent umsetzen, schaffen eine deutlich belastbarere Grundlage für Revisionen, S/4HANA-Migrationen und eine langfristige SAP-Sicherheitsstrategie.
Wie wir euch unterstützen können
Ihr möchtet eure Benutzerstammsätze und Rollenstrukturen analysieren, SoD-Konflikte identifizieren oder einen nachhaltigen Berechtigungsprozess aufbauen?
Gerade in gewachsenen SAP-Landschaften zeigen sich hier häufig die größten Schwachstellen, oft ohne dass es dem Team im Tagesgeschäft auffällt.
Wir unterstützen euch gerne dabei, sprecht uns einfach an.
Ihr habt Interesse an einem Rollen- und Berechtigungscheck? Aktuell bieten wir diesen kostenlos an. Zur Serviceseite!




Kommentare