Person mit Tablet, umgeben von Datenvisualisierungen in modernem Büro.

Klare Aufgaben: Wie sich IAM für SAP automatisieren lässt

Autoren

4 Minuten Lesezeit 25 Juli 2025

Mit passenden Lösungen und der richtigen Governance kann das Identity and Access Management (IAM) automatisiert werden.

Überblick:

  • Wie lässt sich das IAM im Unternehmen so aufstellen, dass Daten und Informationen vor unberechtigten Zugriffen geschützt sind?
  • Wie können passende Rollen und Berechtigungen für Benutzer im Rahmen der Access Governance automatisch erkannt werden?
  • Welche Rahmenbedingungen sind zu beachten, um die richtigen Personen mit den passenden SAP-Berechtigungen auszustatten?

Daten und Informationen vor unberechtigten Zugriffen schützen und unautorisierte Änderungen unterbinden – das sind Herausforderungen, die zahlreiche Unternehmen umtreiben. Ein ordnungsgemäßes und effizientes Identity and Access Management (IAM) ist grundlegend, um diese Themen anzugehen.

Möglich ist dies nur mithilfe einer umfassenden und verbindlichen Governance, bei der Vorgaben, Prozesse und Kontrollen entscheidend sind. Fehlen sie, drohen Fehler, Reputationsschäden und entsprechende Feststellungen bei der internen und externen Revision. Oft verhindern jedoch ein komplexes Antragsmanagement, unzureichende Übergangsregelungen bei Aufgabenwechseln oder fehlende Freigaben, dass die korrekten Zugangsberechtigungen zur passenden Zeit gewährt werden.

Vorhandene Tools stoßen an Grenzen

Um die zentralen Vorgaben und Prozesse einzuhalten, stützen sich viele Unternehmen auf Softwarelösungen für IAM sowie für Governance, Risk and Compliance (GRC). Diese Tools helfen, Prozesse über Workflows zu steuern, sie erzwingen eine Risikoanalyse vor der Vergabe von Berechtigungen und stellen eine ordnungsgemäße und revisionssichere Dokumentation sicher.

Wobei diese Lösungen in der Regel allerdings nicht helfen, ist, die passenden Rollen und Berechtigungen für die jeweiligen Mitarbeitende zu identifizieren. Für die richtige Identifikation von Berechtigungen bei Neuzugängen, aber auch nach Beförderungen oder bei der Übernahme neuer oder zusätzlicher Aufgabenbereiche bedarf es besonderer Expertise.

Standardlösungen helfen nicht, die passenden Rollen und Berechtigungen für Mitarbeitende zu finden. Ein von EY eigens entwickelter Lösungsansatz kann diese Schritte automatisieren.

Automatisierter Lösungsansatz mit Zugriff aufs Personalmanagementsystem

Mit einem eigens von EY entwickelten Lösungsansatz lässt sich die Auswahl und Vergabe von Rollen und Berechtigungen jedoch automatisieren. Grundlage dafür sind jeweils Informationen aus dem Personalmanagementsystem.

Der Fokus liegt auf SAP-Lösungen. Über entsprechende Business-Rollenkonzepte lassen sich aber auch Rechte für Non-SAP-Lösungen wie zum Beispiel Active Directory vergeben.

Vier Schritte zeichnen den Ansatz aus:

  1. An erster Stelle steht eine korrekte und umfassende Pflege der Mitarbeiterdaten im Personalsystem wie beispielsweise SAP SuccessFactors. Dabei sind spezifisch definierte Informationen zur Position und Organisationseinheit entscheidend für die Auswahl der SAP-Berechtigungen.
  2. Die Auswahl der passenden Rollen erfolgt im IAM- oder GRC-System, das über eine Schnittstelle an das Personalsystem angeschlossen ist. Veränderungen im Personalsystem wie eine Neueinstellung, ein interner Wechsel oder ein Austritt lösen einen automatisierten Workflow aus. Die Selektion der Rolle erfolgt über ein Regelwerk, das aus dem bestehenden Rollenkatalog die Rolle auswählt, die zur Position und Organisationseinheit der Person passt. Wird keine passende Rolle gefunden, startet ein manueller Auswahlprozess.
  3. Vor der Vergabe einer Rolle wird zunächst eine Risikoanalyse durchgeführt. Kommt es durch die neue Rolle zu einer kritischen Berechtigung oder einem Funktionstrennungskonflikt gemäß dem vorher definierten Regelwerk, sieht der Workflow eine zusätzliche Genehmigung vor.
  4. Ergibt die Risikoanalyse dagegen kein erhöhtes Risiko oder wurden Rollen durch Rolleneigner und Vorgesetzte genehmigt, erfolgt automatisch die Provisionierung der Rolle an den Benutzer im System.

Erfolgreiche Umsetzung in der SAP-Umgebung

Den beschriebenen Prozess hat EY technisch bereits über SAP SuccessFactors, SAP Access Control und S/4HANA umgesetzt, alternativ aber auch mit einer zusätzlich integrierten IAM-Lösung. Der Machbarkeitsnachweis – oder Proof of Concept (PoC) – zeigt, dass die folgenden Punkte für eine erfolgreiche Umsetzung zu beachten sind:

  • Bei der Rollenarchitektur ist ein Business-Rollenkonzept empfehlenswert. Idealerweise sollte es für eine Stelle oder Position genau eine Rolle geben. Diese Business-Rolle kann eine Sammelrolle in S/4HANA oder auch eine Business-Rolle in GRC Access Control oder dem IAM-System sein, die dann für die relevanten Organisationseinheiten abgeleitet oder ausgeprägt wird.
  • Das Datenkonzept im Personalsystem und das Rollenkonzept müssen aufeinander abgestimmt sein. Das kann Kompromisse erfordern, denn sowohl die Struktur als auch der Detaillierungsgrad müssen ein Mapping zwischen der Position im Personalsystem und den Business-Rollen ermöglichen.
  • Es sind klare Regeln und Namenskonventionen für die Abbildung der Positionen und Rollen in den Systemen notwendig. Abweichungen und Fehler führen dazu, dass die Auswahl der passenden Berechtigungen wieder manuell erfolgen muss.

So unterstützen wir Sie

Access Governance und technische Integration

Eine klare Governance ist für IAM-Prozesse unabdingbar. Mithilfe der Automatisierung gelingt es, die festgelegten Prozesse ordnungsgemäß und revisionssicher abzubilden. Workflows und toolgestützte Risikoanalysen sind in diesem Bereich bereits weit verbreitet. Die Identifikation der passenden Berechtigungen für jede Person, die das System nutzt, und die Anpassungen an Veränderungen kann aber herausfordernd sein.

 

Einen Lösungsansatz für diese Herausforderungen verspricht die technische Integration von Personal-, GRC- und/oder IAM-Systemen. Entscheidend dabei: Das Rollen- und das Datenkonzept im Personalsystem müssen genau aufeinander abgestimmt sein. Sinnvoll ist vor der Einführung ein umfassender Konzeptnachweis in einer repräsentativen Testumgebung, in der sich die Prozesse und Datenstrukturen der Systeme simulieren lassen. So lässt sich sicherstellen, dass jeweils die richtigen Personen Zugriff auf die für sie vorgesehenen Informationen haben.

Fazit

Spezielle Lösungen können die weitere Automatisierung der Rollenzuweisung über GRC- und IAM-Systeme unterstützen. Entscheidend ist die konsequente Pflege der Personalsysteme, aber auch klare Vorgaben für die Governance. Zudem müssen das Rollen- und das Datenkonzept genau aufeinander abgestimmt sein. Greifen diese Faktoren ineinander, lassen sich Daten und Informationen im Unternehmen effizienter vor unberechtigten Zugriffen schützen.

Mehr zum Thema

Wie sich die Überwachung und Mitigierung von SoD-Risiken vereinfachen lässt

Lesen Sie hier, wie Sie die Auswirkungen von SoD-Risiken auf Ihre Geschäftsprozesse einfacher überwachen können.

Heiko Gminder + 1

SAP-S/4HANA-Einführung: Welche Rolle der Steuerungsansatz spielt

SAP-S/4HANA-Transformationen können Konzerne mit heterogenen Geschäftsmodellen vor Herausforderungen stellen. Lesen Sie hier, was es zu beachten gilt.

Andreas Kurtz + 1

Wie man sein SAP-Berechtigungskonzept auf S/4HANA vorbereitet

Was Unternehmen bei einer anstehenden S/4HANA-Transformation in Bezug auf das SAP-Berechtigungskonzept beachten sollten, lesen Sie hier.

Heiko Gminder

    Über diesen Artikel

    Autoren

    Verwandte Themen
    Consulting
    Technologien
    Digitalisierung

    Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.