/

SAP Knowledge

/

SAP Governance Risk Compliance

/

SAP Access Control

SAP Access Control – Zugriffskontrolle in SAP GRC

SAP GRC Access Control bietet Unternehmen die Möglichkeit, das Access Management in SAP-Systemen zu optimieren. Erfahren Sie in diesem Artikel, wie Sie Benutzerzugriffe effizient und Compliance-gerecht gestalten.

Was ist SAP GRC Access Control?

SAP Access Control (auch SAP GRC Access Control genannt) ist eine Lösung zur zentralen Steuerung von Benutzerzugriffen im SAP-System. Sie unterstützt Unternehmen dabei, den Lebenszyklus von Usern effizient zu verwalten – etwa indem Berechtigungen zugewiesen, angepasst oder entzogen werden.

Ein wesentliches Merkmal von SAP GRC Access Control ist die flexible Abbildung individueller Workflows. So können Sie Zugriffsprozesse an bestehende Unternehmensstrukturen anpassen und regelbasiert automatisieren.

Schon gewusst?

SAP GRC Access Control 12.0 bietet ein benutzerfreundliches Fiori-Interface, optimierte Workflows und eine leistungsstärkere Datenverarbeitung.

SAP Access Control ist Teil der SAP GRC-Suite und wird daher auch als SAP GRC Access Control bezeichnet. Für eine erfolgreiche Umsetzung des Access Control Managements müssen die 3 Bereiche Governance, Risk Management und Compliance abgedeckt sein.

Governance

Governance beschreibt die Grundprinzipien der Unternehmensführung. Sie basiert auf internen Zielen, externen Vorgaben und gesetzlichen Rahmenbedingungen. Im Kontext von SAP GRC Access Control bildet Governance die Grundlage für ein regelkonformes und sicheres System.

Ein wichtiger Bestandteil ist die klare Zuweisung von Verantwortlichkeiten und die Begrenzung des Handlungsspielraums von Mitarbeitenden und Führungskräften. Durch ein strategisches Berechtigungskonzept können Sie potenziell schädigendes Verhalten präventiv verhindern.

Risk Management

Das Risikomanagement umfasst alle Maßnahmen, um Risiken zu erkennen, zu bewerten, zu überwachen und zu beseitigen. Es sichert Geschäftsprozesse ab und unterstützt die Einhaltung regulatorischer Vorgaben. Der typische Ablauf des Risikomanagements umfasst 3 Schritte:

  1. Risikoidentifikation: Gibt es kritische Berechtigungen für sensible Transaktionen, temporäre Notfallzugriffe ohne ausreichende Kontrollen oder eine unzureichende Aufgabentrennung (SoD)?
  2. Risikobewertung: Definierte Kriterien wie Schadenshöhe, Eintrittswahrscheinlichkeit und Auswirkungen auf Geschäftsprozesse helfen Ihnen bei der Einordnung des tatsächlichen Risikos.
  3. Risikominimierung: Präventive Kontrollen (z. B. rollenbasierte Berechtigungskonzepte, Vier-Augen-Prinzip bei kritischen Transaktionen und regelmäßige Access Reviews) oder korrektive Maßnahmen (z. B. sofortige Sperrung kompromittierter Accounts, Rollenbereinigung und Prozessanpassungen) minimieren das Risiko in Ihrem SAP-System.

Compliance

Compliance sorgt dafür, dass gesetzliche Vorgaben und unternehmensinterne Richtlinien eingehalten werden. Ziel ist es, transparentere Abläufe und erhöhte Rechtssicherheit zu schaffen. Ein sicheres Compliance-Management erfordert die Dokumentation aller relevanten Prozesse, Kontrollen und Verantwortlichkeiten.

Was sind die Funktionen von SAP GRC Access Control?

Zu den zentralen Funktionen von SAP GRC Access Control gehören die Zugriffsverwaltung, Rollenpflege, Risikoanalyse sowie das regelmäßige Überprüfen und Zertifizieren von Berechtigungen.

Die Grundlage ist ein rollenbasiertes Modell: Ein User erhält eine Rolle, zum Beispiel als Einkaufssachbearbeiter. Diese Rolle beinhaltet nur die Transaktionen und Funktionen, die für die tägliche Arbeit notwendig sind, wie das Anlegen und Ändern von Bestellungen oder das Anzeigen von Lieferantendaten. Dadurch lässt sich der gesamte User-Lifecycle strukturiert verwalten.

Je nach Anwendungsfall kommen verschiedene Rollentypen zum Einsatz:

  • Business-Rollen: repräsentieren Stellenprofile bzw. Tätigkeiten im Unternehmen und bündeln Einzel- sowie Sammelrollen
  • Sammelrollen: Bündeln mehrere Einzelrollen zu einer übergeordneten Rolle, enthalten jedoch selbst keine Berechtigungen.
  • Technische Rollen: Werden als Einzelrollen direkt im SAP-System verwendet und enthalten effektiv die Berechtigungen zur Steuerung der Datenzugriffe.

Auf Basis des Rollenkonzepts bietet SAP GRC Access Control folgende Funktionen:

  • Identifizieren des Zugriffsrisikos und Vermeiden von SoD-Konflikten
  • Ermittlung des Risikos, das sich aus neuen Berechtigungen ergibt
  • Automatisierte Zuweisung und Verwaltung von Zugriffsrechten
  • Rollenbasierte und Compliance-konforme Steuerung von Zugriffen
  • Regelmäßige Risikoprüfung bei Rollen und Berechtigungen
  • Erteilen und Überwachen von Notfallzugriffen

Was sind die Vorteile von SAP GRC Access Control?

Die wichtigsten Vorteile von SAP GRC Access Control sind: 

  • Die Lösung automatisiert die Prüfung von Benutzerzugriffen und erkennt Zugriffsverletzungen in Echtzeit. Dadurch lassen sich Risiken sofort beheben, bevor sie Schaden anrichten.
  • Selfservice-Funktionen ermöglichen es Usern, Zugriffsanforderungen über vordefinierte Workflows zu stellen und genehmigen zu lassen. Das steigert die Effizienz und entlastet IT-Teams.
  • SAP GRC Access Control sorgt für die Einhaltung gesetzlicher Compliance-Anforderungen und reduziert so das Risiko von Strafen und Bußgeldern.

Warum ist Access Management in SAP-Systemen wichtig für Ihr Unternehmen?

SAP Access Control stellt sicher, dass Zugriffsrechte regelmäßig und in Echtzeit kontrolliert werden. Zudem schützt ein etabliertes Access Management Unternehmen vor Compliance-Verstößen und den daraus resultierenden Sanktionen.

Bußgelder können mehrere Millionen Euro betragen und nach DSGVO sogar bis zu 4 % des globalen Jahresumsatzes ausmachen. Neben Geldstrafen können auch behördliche Auflagen drohen, der Entzug von Genehmigungen oder der Ausschluss von öffentlichen Ausschreibungen.

Darüber hinaus verhindert ein Tool-gestütztes Access Management – wie es mit SAP GRC Access Control möglich ist – ineffiziente und fehleranfällige manuelle Überprüfungen von Benutzerzugriffen.

Sicheres und effektives SAP Access Management mit Xiting

Xiting bietet im Bereich Governance, Risk & Compliance die eigene Xiting Security Platform (XSP) an. Hierbei kann Ihre bestehende SAP GRC Access Control-Installation für Ihre speziellen Anforderungen in hybriden- oder Cloud-Landschaften erweitert werden.

Die XSP fungiert dabei als Komplementärlösung zu SAP GRC Access Control und ermöglicht Ihnen die Provisionierung und Cross-Risikoanalysen für SAP Cloud-Lösungen. Bei diesem Ansatz bleiben Ihre bestehenden Workflows, Risikoanalysen und das Audit-Log in SAP GRC Access Control bestehen. Alle Cloud-relevanten XSP-Aktionen werden dabei in die SAP GRC Access Control Logs geschrieben, um die Compliance auch für Cloud-relevanten Aktionen zu gewährleisten. 

Mit der Xiting Authorizations Management Suite (XAMS) lassen sich zudem Ihre Berechtigungsprojekte deutlich einfacher und zeiteffizienter gestalten. XAMS unterstützt Sie dabei, Ihre IT-Landschaft konform zu halten und Ihr SAP Access Management nachhaltig zu optimieren.

Möchten Sie mehr über die Vorteile von Xiting im Bereich SAP GRC Access Control erfahren? Kontaktieren Sie uns noch heute und machen Sie Ihr SAP-System sicher und zukunftsfähig.

Jetzt kontaktieren

FAQ

Segregation of Duties (SoD) oder Funktionstrennung verhindert, dass eine einzelne Person vollständigen Zugriff auf kritische Geschäftsprozesse hat. Dadurch werden Fehler und Betrug vermieden. Zum Beispiel sollen Mitarbeitende nicht gleichzeitig Bestellungen anlegen und Rechnungen freigeben dürfen.

Die 4 Module in SAP GRC sind:

  1. Business Role Management (BRM): Verwaltung von Business-Rollen zur automatisierten und sicheren Berechtigungsvergabe.
  2. Access Risk Analysis (ARA): Durchführung von Audits (Risikoanalysen) zur Erkennung von Risiken (z. B. SoD-Konflikten). Auf Basis der Analyse können Risiken korrigiert oder mitigiert werden.
  3. Access Request Management (ARM): Steuerung des gesamten Workflows bei Anträgen auf neue Berechtigungen, Änderungs- oder Löschwünsche mit mehrstufigen Genehmigungsprozessen. Dies ermöglicht das Beantragen von Benutzern und Berechtigungen. Anträge können im System genehmigt, geändert oder abgelehnt werden.
  4. Emergency Access Management (EAM): Verwaltung von temporären Notfallzugriffen („Firefighter“), um privilegierte Tätigkeiten im Ausnahmefall revisionssicher zu steuern. Das Beheben eines Problems durch einen Notfalluser minimiert Ausfallzeiten und finanzielle Schäden. Mit EAM werden Notfallzugriffe nachvollziehbar gesteuert und protokolliert. 

SAP BusinessObjects Access Control entspricht im Wesentlichen SAP GRC Access Control. Die Bezeichnung ist lediglich weniger gebräuchlich.

Bleiben Sie auf dem Laufenden

Melden Sie Sich zu dem Newsletter an, um weitere Informationen zu erhalten.

Anmeldung Newsletter

Folgen Sie @Xiting und @xiting.global auf den Sozialen Medien.