Mit der Migration auf SAP S/4HANA modernisieren Unternehmen ihre Geschäftsprozesse und Systemlandschaften – und öffnen gleichzeitig neue Zugriffspfade. Rollen, Berechtigungen und Verantwortlichkeiten verändern sich schneller, als Governance-Strukturen angepasst werden. Genau hier entstehen neue Risiken.
S/4HANA-Transformation: Warum Zugriffskontrolle komplexer wird
Die Migration auf S/4HANA bringt moderne Architekturen, integrierte Prozesse und neue technologische Möglichkeiten. Gleichzeitig verändert sie, wie Geschäftsprozesse, Rollen und Systeme miteinander verzahnt sind. Durch neue Workflows, Cloud-Anbindungen und Projektteams entstehen zusätzliche Zugriffspfade, die koordiniert gesteuert werden müssen.
Gerade in hybriden Mehrsystemlandschaften gewinnen Berechtigungen zunehmend an Bedeutung, sodass ein klar definiertes und durchdachtes Berechtigungskonzept unerlässlich ist. Außerdem müssen die Zugriffsmöglichkeiten im neuen System neugestaltet werden. Umso wichtiger ist es, diese Berechtigungsstrukturen nach der Migration transparent zu dokumentieren und systematisch zu überprüfen.
Anzeige | Veranstaltung
Berechtigungen als Compliance-Risiko in hybriden SAP-Landschaften
Datenschutzgesetze wie die DSGVO, neue Sicherheitsvorgaben wie NIS-2 und klassische Prüfungen stellen klare Anforderungen: Unternehmen müssen jederzeit nachweisen können, wer Zugriff auf welche Daten und Funktionen hat – und warum. Kann ein Unternehmen diese Fragen nicht beantworten, drohen Bußgelder, Prüfungsfeststellungen oder sogar persönliche Haftungsrisiken für Management und IT-Verantwortliche. Besonders kritisch sind sogenannte SoD-Konflikte, bei denen Mitarbeitende mehrere sensible Prozessschritte gleichzeitig ausführen können – etwa bestellen, freigeben und bezahlen. Solche Risiken entstehen selten absichtlich. Meist sind sie das Ergebnis eines fehlenden aktualisierten Berechtigungskonzepts.
Moderne SAP-Umgebungen bestehen dagegen aus Cloud-Services, Schnittstellen zu Drittanbietern und dezentralen Anwendungen. Ein Benutzer ist heute nicht mehr nur „SAP-User“, sondern Teil eines vernetzten Identitäts-Ökosystems. Risiken entstehen dadurch systemübergreifend – genau das macht manuelle Kontrollen praktisch unmöglich. Hier kommen Governance, Risk & Compliance-Ansätze ins Spiel: Sie schaffen die Grundlage, um Zugriffe, Risiken und Kontrollen strukturiert zu erfassen und prüfbar zu machen.
SAP GRC als strategischer Governance-Rahmen
SAP GRC – insbesondere die Komponente Access Control – ist kein Sicherheitswerkzeug im klassischen Sinne, sondern ein Governance-System. Es dokumentiert, bewertet und steuert, wer welche Berechtigungen erhält, ob diese Risiken erzeugen und ob sie regelmäßig überprüft werden.
Für viele Unternehmen wird das nach der S/4HANA-Migration relevant, weil in erster Linie regulatorische Anforderungen dies zwingend erforderlich machen. Kleine Unternehmen mit wenigen SAP-Nutzern und einfachen Strukturen können viele Risiken mit klaren Richtlinien und technischen Basismaßnahmen abfangen. Mittelständische Unternehmen und Konzerne hingegen, die mehrere SAP-Systeme, internationale Organisationen oder regulierte Prozesse betreiben, kommen ohne strukturierte Zugriffskontrollen nicht durch Audits und Prüfungen. Hier geht es nicht um Komfort – sondern um Nachweisbarkeit gegenüber Wirtschaftsprüfern, Aufsichtsbehörden und Versicherern.
Fazit: Zugriffskontrolle wird zur Managementaufgabe
Die S/4HANA-Transformation schafft moderne IT-Landschaften – aber auch neue Governance-Herausforderungen. Wer Berechtigungen nicht strukturiert steuert, riskiert nicht nur Sicherheitsvorfälle, sondern auch Bußgelder, Audit-Feststellungen und Reputationsschäden.
SAP GRC kann dabei helfen, diese Risiken beherrschbar zu machen. So entwickelt SAP seine Governance-Lösungen weiter in Richtung cloudbasierter Modelle, um regulatorischen Anforderungen langfristig Rechnung zu tragen.
Entscheidend ist jedoch nicht das Werkzeug, sondern der Wille, Zugriffskontrolle als Teil guter Unternehmensführung zu verstehen. Denn in der digitalen Wirtschaft wird Transparenz über Berechtigungen zunehmend zu einer Frage der unternehmerischen Verantwortung.
Die Autorin
Roxana Rahman
ist IT-Security- und SAP-GRC-Spezialistin mit Schwerpunkt auf Berechtigungen, Zugriffskontrolle, Compliance und hybriden Systemlandschaften bei der msg systems ag.
