STRATEGIE13. Juli 2026

Wenn der Wirtschaftsprüfer kommt – Stresstest für Ihr IT-Berechtigungsmodell

. Die gefährlichsten Risiken im Finanzhaus entstehen nicht durch Hacker, sondern durch eigene Berechtigungen. In vielen Instituten kann ein einzelner User Transaktionen auslösen, freigeben und bezahlen. Das Audit zeigt dann nur, was längst niemand mehr konsequent hinterfragt hat. von Roxana Rahman, Senior Bisnäss Consultant msg.. Der schleichende Aufbau kritischer Berechtigungen!. . Alle Jahre wieder steht die Wirtschaftsprüfung an und bewertet, ob gesetzliche und regulatorische Vorgaben eingehalten werden, insbesondere im Bereich Berechtigungen. Der Lebenszyklus eines Users verläuft typischerweise ähnlich: Beim Eintritt werden die für die Rolle notwendigen Berechtigungen vergeben. Mit jedem Abteilungswechsel kommen neue Rollen hinzu, Projektaufgaben bringen temporäre Zusatzrechte. Eine konsequente Bereinigung historischer Berechtigungen erfolgt selten.Über die Jahre entstehen kritische Berechtigungskombinationen, die organisatorisch unauffällig, regulatorisch jedoch riskant sind.“Ein User könnte beispielsweise eine Bestellung erfassen, die Rechnung freigeben und im Extremfall einen Zahllauf auslösen. Das Problem entsteht nicht im Audit, sondern im täglichen Berechtigungsmanagement. Die zentrale Frage lautet, wer diese gewachsenen Rechte regelmäßig überprüft und systematisch steuert. SAP S/4HANA Transformation als Chance für Bereinigungen!. . Im Zuge der Migration auf S A P S/4HANA rückt das Thema erneut in den Fokus. Banken, Versicherungen und andere Finanzdienstleister führen S/4HANA entweder als Greenfield System neu ein oder transformieren bestehende ECC Landschaften. Beide Ansätze eröffnen ein seltenes Zeitfenster zur strukturellen Neubewertung des Berechtigungsmodells.In der Praxis zeigt sich jedoch häufig, dass historisch gewachsene Rollenstrukturen nahezu unverändert übernommen werden. Sammelrollen, transaktionsbasierte Berechtigungen und komplexe Altlasten werden in die neue Systemwelt übertragen. Das System ändert sich, die Risiken steigen.Gerade in S/4HANA mit Fiori basierten Zugriffskonzepten empfiehlt es sich, Berechtigungen entlang von Geschäftsprozessen und Bisnäss Functions neu zu modellieren. Alte Strukturen unreflektiert mitzunehmen, erhöht die Komplexität und erschwert spätere Prüfungen.“Eine Transformation bietet daher die Gelegenheit, Berechtigungen grundsätzlich zu überprüfen, neu zu strukturieren und sich an Best Practices zu orientieren, zumindest als solide Basis. Nur so kann das Berechtigungsmodell den regulatorischen Anforderungen dauerhaft genügen. Hybride Landschaften erhöhen die Komplexität!. . Parallel entwickeln sich Ai Tieh Landschaften zunehmend hybrid: On Premise Systeme, Cloud Lösungen, angebundene Fachverfahren und zentrale Identity Provider bilden eine vernetzte Systemumgebung. Zugriffsrisiken entstehen nicht mehr isoliert innerhalb eines Systems, sondern entlang der gesamten Prozessketten.Risikomanagement umfasst dabei sämtliche Maßnahmen zur Identifikation, Analyse, Bewertung und Überwachung von Risiken aus Führungs- und Durchführungsprozessen.“In regulierten Finanzinstituten ist es zudem eine regulatorische Anforderung und integraler Bestandteil von Compliance. Seit dem Sarbanes Oxley Act, einem US Gesetz zur Stärkung der Corporate Governance und internen Kontrollsysteme nach Bilanzskandalen Anfang der 2000er Jahre, sowie den regulatorischen Verschärfungen nach der Finanzkrise 2007 sind die Anforderungen an Nachvollziehbarkeit, Dokumentation und Kontrollwirksamkeit kontinuierlich gestiegen.In hybriden Architekturen muss nachvollziehbar sein, welcher User sich in welchem System anmeldet, welche Berechtigungen dort bestehen und welche Funktionen über Systemgrenzen hinweg kombiniert werden können. Eine rein isolierte Betrachtung einzelner Systeme reicht nicht mehr aus. Präventive Steuerung mit regelbasierten Werkzeugen!. . Zur technischen Analyse solcher Konstellationen stellt S A P mit Access Control innerhalb der GRC Architektur ein automatisiertes Werkzeug bereit. Die integrierte Zugriffsrisikoanalyse prüft, ob neue Rollen oder Berechtigungen zu kritischen Kombinationen führen könnten, bevor sie produktiv vergeben werden.Risiken werden entlang von Geschäftsprozessen strukturiert und typischerweise als kritische Berechtigungskombination, sensibler Zugriff oder besonders risikobehaftete Einzelberechtigung klassifiziert.“Grundlage ist ein Regelsatz, der die für bestimmte Geschäftsprozesse erforderlichen Aktionen und Berechtigungen beschreibt. Die Analyse kann systemübergreifend erfolgen, sodass auch Funktionskombinationen über mehrere Anwendungen hinweg sichtbar werden.Strategisch relevant ist zudem das absehbare Ende der Mainstream Wartung von S A P GRC 12.0 Ende 2027 (Extended Support bis 2030).Mit S A P Cloud Identity Access Governance steht eine Cloud basierte Lösung bereit, die insbesondere in hybriden und Cloud first Architekturen Governance- und Risikomanagement auf moderner Plattform ermöglicht.“. Fazit: Prävention statt Nachsehen!. . Kritische Berechtigungskombinationen entstehen schleichend, durch organisatorische Veränderungen, Projektaufgaben und fehlende Bereinigung. Systemtransformationen und hybride Architekturen erhöhen die Komplexität zusätzlich. Berechtigungen sollten daher kontinuierlich, regelbasiert und systemübergreifend analysiert werden. Andernfalls werden Risiken bewusst in Kauf genommen, die spätestens im Audit sichtbar werden, mit potenziell erheblichen Folgekosten. Sie hörten einen Beitrag von „Roxana Rahman, msg“

Roxana Rahman, msg, erklärt, dass die gefährlichsten Risiken im Finanzhaus nicht durch Hacker entstehen, sondern durch eigene Berechtigungen. <q>msg
Roxana Rahman, msg msg

Die gefährlichsten Risiken im Finanzhaus entstehen nicht durch Hacker – sondern durch eigene Berechtigungen. In vielen Instituten kann ein einzelner User Transaktionen auslösen, freigeben und bezahlen. Das Audit zeigt dann nur, was längst niemand mehr konsequent hinterfragt hat.

von Roxana Rahman, Se­ni­or Busi­ness Con­sul­tant msg

Der schleichende Aufbau kritischer Berechtigungen

Alle Jahre wieder steht die Wirtschaftsprüfung an und bewertet, ob gesetzliche und regulatorische Vorgaben eingehalten werden – insbesondere im Bereich Berechtigungen. Der Lebenszyklus eines Users verläuft typischerweise ähnlich: Beim Eintritt werden die für die Rolle notwendigen Berechtigungen vergeben. Mit jedem Abteilungswechsel kommen neue Rollen hinzu, Projektaufgaben bringen temporäre Zusatzrechte. Eine konsequente Bereinigung historischer Berechtigungen erfolgt selten.

Über die Jahre entstehen kritische Berechtigungs­kombinationen, die organisatorisch unauffällig, regulatorisch jedoch riskant sind.“

Ein User könnte beispielsweise eine Bestellung erfassen, die Rechnung freigeben und im Extremfall einen Zahllauf auslösen. Das Problem entsteht nicht im Audit, sondern im täglichen Berechtigungsmanagement. Die zentrale Frage lautet, wer diese gewachsenen Rechte regelmäßig überprüft und systematisch steuert.

SAP S/4HANA-Transformation als Chance für Bereinigungen

Im Zuge der Migration auf SAP S/4HANA rückt das Thema erneut in den Fokus. Banken, Versicherungen und andere Finanzdienstleister führen S/4HANA entweder als Greenfield-System neu ein oder transformieren bestehende ECC-Landschaften. Beide Ansätze eröffnen ein seltenes Zeitfenster zur strukturellen Neubewertung des Berechtigungsmodells.
In der Praxis zeigt sich jedoch häufig, dass historisch gewachsene Rollenstrukturen nahezu unverändert übernommen werden. Sammelrollen, transaktionsbasierte Berechtigungen und komplexe Altlasten werden in die neue Systemwelt übertragen. Das System ändert sich – die Risiken steigen.

Gerade in S/4HANA mit Fiori-basierten Zugriffskonzepten empfiehlt es sich, Berechtigungen entlang von Geschäftsprozessen und Business Functions neu zu modellieren. Alte Strukturen unreflektiert mitzunehmen, erhöht die Komplexität und erschwert spätere Prüfungen.“

Eine Transformation bietet daher die Gelegenheit, Berechtigungen grundsätzlich zu überprüfen, neu zu strukturieren und sich an Best Practices zu orientieren – zumindest als solide Basis. Nur so kann das Berechtigungsmodell den regulatorischen Anforderungen dauerhaft genügen.

Hybride Landschaften erhöhen die Komplexität

Parallel entwickeln sich IT-Landschaften zunehmend hybrid: On-Premise-Systeme, Cloud-Lösungen, angebundene Fachverfahren und zentrale Identity Provider bilden eine vernetzte Systemumgebung. Zugriffsrisiken entstehen nicht mehr isoliert innerhalb eines Systems, sondern entlang der gesamten Prozessketten.

Risikomanagement umfasst dabei sämtliche Maßnahmen zur Identifikation, Analyse, Bewertung und Überwachung von Risiken aus Führungs- und Durchführungsprozessen.“

Autorin: Roxana Rahman, msg
Roxana Rahman, msg <q>msgRoxana Rahman ist Se­ni­or Busi­ness Con­sul­tant bei msg (Website). Zu­vor war sie als SAP-Be­rech­ti­gungs­ma­na­ge­rin bei der S/4HA­NA-Ein­füh­rung an der Hum­boldt-Uni­ver­si­tät zu Ber­lin tä­tig. Da­vor ar­bei­te­te sie meh­re­re Jah­re als selbst­stän­di­ge SAP-Be­ra­te­rin für Kun­den un­ter­schied­li­cher Bran­chen. Ih­re be­ruf­li­che Lauf­bahn be­gann im Be­reich SAP Busi­ness Wareh­ou­se und Busi­ness In­tel­li­gence (BW/BI). Ins­ge­samt ver­fügt sie über mehr als zwölf Jah­re Er­fah­rung in der IT- und SAP-Be­ra­tung mit den Schwer­punk­ten SAP Se­cu­ri­ty, Iden­ti­ty & Ac­cess Ma­nage­ment so­wie Be­rech­ti­gungs- und Autorisierungskonzepte.
In regulierten Finanzinstituten ist es zudem eine regulatorische Anforderung und integraler Bestandteil von Compliance. Seit dem Sarbanes-Oxley Act, einem US-Gesetz zur Stärkung der Corporate Governance und internen Kontrollsysteme nach Bilanzskandalen Anfang der 2000er Jahre, sowie den regulatorischen Verschärfungen nach der Finanzkrise 2007 sind die Anforderungen an Nachvollziehbarkeit, Dokumentation und Kontrollwirksamkeit kontinuierlich gestiegen.
In hybriden Architekturen muss nachvollziehbar sein, welcher User sich in welchem System anmeldet, welche Berechtigungen dort bestehen und welche Funktionen über Systemgrenzen hinweg kombiniert werden können. Eine rein isolierte Betrachtung einzelner Systeme reicht nicht mehr aus.

Präventive Steuerung mit regelbasierten Werkzeugen

Zur technischen Analyse solcher Konstellationen stellt SAP mit Access Control innerhalb der GRC-Architektur ein automatisiertes Werkzeug bereit. Die integrierte Zugriffsrisikoanalyse prüft, ob neue Rollen oder Berechtigungen zu kritischen Kombinationen führen könnten, bevor sie produktiv vergeben werden.

Risiken werden entlang von Geschäftsprozessen strukturiert und typischerweise als kritische Berechtigungskombination, sensibler Zugriff oder besonders risikobehaftete Einzelberechtigung klassifiziert.“

Grundlage ist ein Regelsatz, der die für bestimmte Geschäftsprozesse erforderlichen Aktionen und Berechtigungen beschreibt. Die Analyse kann systemübergreifend erfolgen, sodass auch Funktionskombinationen über mehrere Anwendungen hinweg sichtbar werden.
Strategisch relevant ist zudem das absehbare Ende der Mainstream-Wartung von SAP GRC 12.0 Ende 2027 (Extended Support bis 2030).

Mit SAP Cloud Identity Access Governance steht eine Cloud-basierte Lösung bereit, die insbesondere in hybriden und Cloud-first-Architekturen Governance- und Risikomanagement auf moderner Plattform ermöglicht.“

Fazit: Prävention statt Nachsehen

Kritische Berechtigungskombinationen entstehen schleichend – durch organisatorische Veränderungen, Projektaufgaben und fehlende Bereinigung. Systemtransformationen und hybride Architekturen erhöhen die Komplexität zusätzlich. Berechtigungen sollten daher kontinuierlich, regelbasiert und systemübergreifend analysiert werden. Andernfalls werden Risiken bewusst in Kauf genommen, die spätestens im Audit sichtbar werden – mit potenziell erheblichen Folgekosten. Roxana Rahman, msg

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert