SAP Access Risk Management: SoD-Risiko und FUE-Exposure – zwei Geschäftsrisiken mit derselben Ursache

9. April 2026 Von Dudley Cartwright

Fragt man einen Finanzvorstand, ob ihm Verstöße gegen die Aufgabentrennung (Segregation of Duties, SoD) in seiner SAP-Umgebung bekannt sind, werden die meisten mit einem gewissen Maß an Resignation mit „Ja“ antworten. Feststellungen zur Aufgabentrennung finden sich seit Jahrzehnten in Prüfungsberichten. Sie sind allseits bekannt und werden von vielen Unternehmen als unvermeidbare Kosten des Betriebs einer komplexen SAP-Landschaft angesehen.

Fragen Sie denselben Finanzvorstand, ob er weiß, wie viel seines SAP-Cloud-ERP-Private-Abonnements auf Zugriffsrechte entfällt, die seine Nutzer gar nicht benötigen, und Sie werden in der Regel eine ganz andere Antwort erhalten. Die Frage kommt anders an – denn sie steht in direktem Zusammenhang mit einer Posten im Budget und nicht mit einer Feststellung in einem Bericht.

Diese Unterscheidung ist von Bedeutung. Sowohl das SoD-Risiko als auch die FUE-Exposition haben dieselbe Ursache – übermäßig zugewiesene oder schlecht konzipierte SAP-Zugriffsrechte –, doch sie haben unterschiedliche Auswirkungen, erfordern ein unterschiedliches Maß an Dringlichkeit und verlangen unterschiedliche Maßnahmen. Für Teams, die für das SAP-Zugriffsrisikomanagement zuständig sind, wird das Verständnis beider Dimensionen zu einer zentralen Aufgabe – insbesondere in Unternehmen, die bereits SAP Cloud ERP Private (ehemals RISE with SAP) nutzen oder einen Umstieg darauf planen.

1. What SoD Risk Actually is — and why it has Historically Been Treated as a Compliance Problem

Die Aufgabentrennung (Segregation of Duties, SoD) ist ein grundlegendes Kontrollprinzip: Benutzer, die widersprüchliche Funktionen ausüben können, sollten die Ausnahme und nicht die Regel sein. In SAP-Umgebungen entstehen die meisten SoD-Konflikte durch schlecht konzipierte Rollen, die Zugriffsrechte gewähren, die über das für die Aufgaben eines Benutzers erforderliche Maß hinausgehen.

Das Geschäftsrisiko ist real. Verstöße gegen die Trennung von Aufgaben (SoD) schaffen die Voraussetzungen für Betrug – Unterschlagung von Vermögenswerten, unbefugte Zahlungen, Manipulation von Finanzunterlagen. In regulierten Branchen ziehen sie zudem die Aufmerksamkeit der Aufsichtsbehörden im Rahmen von Vorschriften wie SOX und J-SOX auf sich.

Dennoch wird das SoD-Risiko in vielen Organisationen in erster Linie als Prüfungsfeststellung und nicht als Geschäftsrisiko betrachtet. Dazu tragen mehrere Faktoren bei:

Die Ergebnisse der SoD werden in der technischen SAP-Sprache ausgedrückt – Transaktionscodes, Fiori-Services, Berechtigungsobjekte, Rollennamen –, die für Fachanwender schwer zu verstehen ist.
Der Zusammenhang zwischen einem bestimmten SoD-Konflikt und einem wahrscheinlichen geschäftlichen Schaden ist nicht immer eindeutig oder unmittelbar erkennbar.
Sanierungsmaßnahmen erfordern Änderungen an den Zugriffsrechten, die den Geschäftsbetrieb stören können, weshalb Unternehmer zögern, sich darauf einzulassen.
Jährliche Prüfungszyklen schaffen einen Compliance-Rhythmus, bei dem die Trennung von Aufgaben (SoD) eher als periodische Maßnahme denn als fortwährendes Risiko betrachtet wird.
Viele Organisationen haben seit Jahren dieselben SoD-Ergebnisse ohne Zwischenfälle beibehalten, was den Eindruck verstärkt, dass diese eher ein theoretisches als ein tatsächliches Risiko darstellen.

Das Ergebnis ist ein gängiges Muster: Verstöße gegen die Trennung von Aufgaben (SoD) werden dokumentiert, teilweise behoben und weitergeführt – sie werden eher als Audit-Verpflichtung behandelt, anstatt als echte geschäftliche Priorität angegangen zu werden.

2. What FUE Exposure is — and why it Demands a Different Conversation

Die „Full-Use-Equivalent“-Belastung (FUE) stellt eine ganz andere Problemkategorie dar. Bei SAP Cloud ERP Private richtet sich die Lizenzstufe jedes Benutzers nach den ihm zugewiesenen Berechtigungsobjekten – und nicht danach, was er tatsächlich nutzt. Der STAR-Regelsatzordnet diese Berechtigungsobjekte den FUE-Klassifizierungen zu, und diese Klassifizierungen bestimmen die Kosten für die Lizenz jedes Benutzers.

Übermäßige Zugriffsrechte – dasselbe Grundproblem, das zu SoD-Verstößen führt – treiben den FUE-Verbrauch direkt in die Höhe. Ein Benutzer, dessen zugewiesene SAP-Rollen ihm Zugriff auf Finanzbuchungen, Beschaffungsgenehmigungen und Systemkonfiguration gewähren, kann – selbst wenn er nur eine dieser Funktionen ausübt – in eine höhere FUE-Stufe eingestuft werden, als es seine tatsächliche Tätigkeit erfordert. Diese Überbewertung bleibt für die Dauer des SAP Cloud ERP Private-Abonnements bestehen, wobei sich die Kostenauswirkungen über die gesamte Vertragslaufzeit hinweg bemerkbar machen.

FUE-Risiken treten in zwei konkreten Geschäftsszenarien auf:

Der Unterschied zum SoD-Risiko ist eklatant: Das FUE-Risiko ist quantifizierbar, kontinuierlich und steht in direktem Zusammenhang mit den Kosten. Es muss kein Betrugsfall eintreten. Es findet bereits statt.

3. The Same Root Cause, two Different Commercial Conversations_1

Sowohl SoD-Verstöße als auch ein übermäßiger FUE-Verbrauch haben denselben Ursprung: SAP-Rollendesigns, die mehr Zugriffsrechte zuweisen, als die Benutzer tatsächlich benötigen. Der Ansatz zur Behebung dieser Probleme – die Verfeinerung einzelner SAP-Rollen, die Entfernung unnötiger Feldwerte bei Berechtigungsobjekten und die Anpassung der Zugriffsrechte an die tatsächliche Aufgabenstellung – ist für beide Probleme im Großen und Ganzen derselbe.

Was sich unterscheidet, sind die Zielgruppe, die Dringlichkeit und die Sprache, die erforderlich ist, um zum Handeln zu bewegen.

Das SoD-Risiko istein Geschäftsrisiko – allerdings eines, das in der Vergangenheit mit den falschen Begriffen beschrieben wurde. Das Risiko ist probabilistischer Natur: Es beschreibt die Voraussetzungen für Betrug, nicht den Betrug selbst. Da es in technischen SAP-Begriffen ausgedrückt wird – unspezifische SAP-Rollennamen, Transaktionscodes, Berechtigungsobjekte –, landete die Diskussion typischerweise bei Prüfungsausschüssen und SAP-Sicherheitsmanagern statt bei den Geschäftsführern, die eigentlich dafür verantwortlich sein sollten. Dies ist ein Versagen der Kommunikation, kein Ausdruck der Bedeutung des Risikos.

FUE-Risiken stellenein Geschäftsrisiko mit unmittelbar sichtbaren wirtschaftlichen Folgen dar. Sie sind finanzieller Natur und unumstößlich – sie spiegeln sich bereits in den Abonnementkosten wider und steigen mit jeder Zugriffsänderung, die nicht auf ihre FUE-Auswirkungen hin geprüft wurde. Man braucht keine technischen SAP-Kenntnisse, um dies zu verstehen: Übermäßig zugewiesene Zugriffsrechte verursachen jeden Monat Kosten. Für Unternehmen, die SAP Cloud ERP Private nutzen, ist dies oft das leichter zu eskalierende der beiden Risiken – und der effektivere Einstieg in eine umfassendere Diskussion über Zugriffssteuerung.

Unternehmen, die das Zugriffsrisiko lediglich als ein Problem der Revision betrachten, übersehen die Hälfte der Problematik. Das überzeugendste Argument für Investitionen in die SAP-Zugriffssteuerung vereint beide Aspekte: Es handelt sich sowohl um ein Kontrollrisiko als auch um eine geschäftliche Haftung. Für Unternehmen, die SAP Cloud ERP Private bereits nutzen oder darauf umsteigen, ist der geschäftliche Aspekt oft der überzeugendere der beiden.

4. Why Addressing one Without the Other Creates new Problems_1

Es zeichnet sich ein typisches Muster ab: Ein Unternehmen investiert in die Behebung von SoD-Risiken – indem es die SAP-Zugriffsrechte optimiert und widersprüchliche Berechtigungen beseitigt. Das Zugriffsrisiko sinkt, die Anzahl der Prüfungsfeststellungen nimmt ab, und das GRC-Programm wird als Erfolg gewertet.

Wenn diese Sanierungsmaßnahmen jedoch ohne Berücksichtigung der Auswirkungen auf die FUE durchgeführt wurden, könnte das Ergebnis durchwachsen ausfallen. Bedenken Sie Folgendes:

Rollen, die zur Lösung von SoD-Konflikten aufgeteilt wurden, können dazu führen, dass Benutzer mehrere kleinere Rollen innehaben – von denen jede zur FUE-Klassifizierung beiträgt. Der Netto-FUE-Verbrauch verringert sich dadurch möglicherweise nicht, sondern steigt in manchen Fällen sogar an.
Neue Rollen, die im Rahmen der Nachbesserung angelegt wurden, wurden möglicherweise nicht unter Berücksichtigung der STAR-Regel konzipiert, was durch die Wahl der Berechtigungsobjekte unbeabsichtigt zu einem Anstieg der FUE-Werte führen kann.
Zugriffsrechte, die zur Behebung von SoD-Konflikten entfernt wurden, wurden möglicherweise durch alternative Zugriffsrechte ersetzt, die derselben FUE-Stufeneinstufung entsprechen.

Das Gegenteil trifft ebenfalls zu: Eine Organisation, die ihre Prozesse ausschließlich auf die Reduzierung der FUE optimiert – wodurch die Möglichkeit zur Senkung der Lizenzkosten entfällt –, ohne die Auswirkungen auf die Trennung von Aufgaben (SoD) zu berücksichtigen, kann unbeabsichtigt neue Kontrolllücken schaffen.

Der richtige Ansatz berücksichtigt beide Aspekte gleichzeitig. Entscheidungen zur Rollengestaltung sollten im Hinblick auf SoD-Risiken, Auswirkungen auf die FUE und betriebliche Notwendigkeit bewertet werden – und nicht als drei getrennte Vorgänge behandelt werden. Genau das bedeutet es, SAP-Zugriffsrisiken als Geschäftsrisiko und nicht als Compliance-Checkliste zu behandeln.

5. Translating SAP Access Risk Management Into Language the Business Understands_1

Eines der größten Hindernisse für eine effektive SAP-Zugriffssteuerung ist die Kluft zwischen der technischen SAP-Fachsprache und der Geschäftssprache. Geschäftsanwender – Manager, die Zugriffe genehmigen, Führungskräfte, die für Risikobeschlüsse verantwortlich sind, sowie Finanzverantwortliche, die GRC-Programme finanzieren – sind in der Regel nur begrenzt mit Transaktionscodes, Berechtigungsobjekten und den Strukturen bzw. Entwürfen von zusammengesetzten Rollen vertraut.

Diese Lücke hat Konsequenzen. Wenn über Zugriffsrisiken in Fachsprache gesprochen wird, können Geschäftsinhaber keine fundierten Entscheidungen treffen. Entweder überlassen sie die Entscheidung der IT – und entziehen sich damit ihrer Verantwortung – oder sie genehmigen Zugriffsanträge, ohne zu verstehen, was sie da eigentlich genehmigen.

Um diese Lücke zu schließen, muss das Zugriffsrisiko in die Sprache der Geschäftsergebnisse übersetzt werden:

Anstelle von: „Der Benutzer hat widersprüchliche Zugriffsrechte auf FB60 und F110“, sagen Sie: „Dieser Benutzer kann eine Lieferantenrechnung erstellen und die Zahlung bearbeiten – ohne einen zweiten Genehmiger in der Kette.“
Anstelle von: „Durch die Rollenzuweisung erhalten 20 Core-FUE-Benutzer einen FUE-Upgrade, wodurch sie zu Advanced-FUE-Benutzern werden“, sagen Sie: „Durch die Erteilung dieser Zugriffsrechte erhöhen sich die monatlichen Lizenzkosten für diesen Benutzer um etwa 60.000 $.“
Anstelle von: „Die Anzahl der SoD-Konflikte ist seit der letzten Überprüfung um 12 % gestiegen“, sagen Sie: „Die Anzahl der Nutzer, die eine nicht autorisierte Zahlung unbemerkt ausführen könnten, ist um 12 % gestiegen.“

Das ist keine Vereinfachung um der Vereinfachung willen. Es ist der Unterschied zwischen einem Governance-Programm, das Berichte erstellt, und einem, das Entscheidungen vorantreibt. Wenn Geschäftsanwender verstehen, was sie genehmigen – und zu welchen geschäftlichen und kontrolltechnischen Kosten –, handeln sie verantwortungsbewusster und konsequenter.

Die Lösungen von Soterion für die Zugriffskontrolle basieren auf diesem Grundprinzip. Geschäftsfreundliche Risikobeschreibungen, die Sichtbarkeit der Auswirkungen der FUE innerhalb der Bereitstellungsworkflows und Erläuterungen zur Aufgabentrennung (SoD) in verständlicher Sprache sind Funktionen, die speziell deshalb entwickelt wurden, weil die Fachsprache in der Vergangenheit verhindert hat, dass sich die Geschäftsbereiche die Verantwortung für Zugriffsrisiken zu eigen machen konnten.

Wie sollten Unternehmen das SAP-Zugriffsrisikomanagement im Jahr 2026 angehen?

Ein effektives SAP-Zugriffsrisikomanagement im Jahr 2026 erfordert, dass Unternehmen zwei Ansätze gleichzeitig verfolgen. Der erste ist der Kontrollansatz: Identifizierung und Behebung von SoD-Konflikten, Straffung der Rollengestaltung und Sicherstellung, dass Benutzer nur über die Zugriffe verfügen, die ihre berufliche Funktion tatsächlich erfordert. Der zweite ist der betriebswirtschaftliche Ansatz: Ermittlung der FUE-Kosten der aktuellen Rollenstruktur, Modellierung der Auswirkungen vorgeschlagener Zugriffsänderungen auf die Lizenzen vor deren Umsetzung sowie Abschluss oder Verlängerung eines SAP Cloud ERP Private-Abonnements mit einer angemessen dimensionierten Basis.

In der Praxis bedeutet dies: die Durchführung von Rollenentwurfsprüfungen unter Berücksichtigung sowohl von SoD-Konfliktpaaren als auch der FUE-Klassifizierung; die Einbindung der FUE-Folgenabschätzung in jeden Bereitstellungs-Workflow, damit routinemäßige Zugriffsänderungen nicht unbemerkt den Lizenzverbrauch in die Höhe treiben; sowie die Kommunikation von Zugriffsrisiken an die Stakeholder im Unternehmen in der Sprache der Geschäftsergebnisse statt in technischer SAP-Terminologie. Unternehmen, die diese Bereiche als separate Programme behandeln – eines für Compliance, eines für die Lizenzierung –, werden feststellen, dass sie doppelten Aufwand betreiben und den zusätzlichen Nutzen verpassen, der entsteht, wenn beide Aspekte an der Quelle angegangen werden.

Abschließende Gedanken

Das SoD-Risiko und die FUE-Exposition stehen nicht in Konkurrenz zueinander. Es handelt sich um zwei Ausprägungen desselben zugrunde liegenden Problems – nämlich eines SAP-Zugangs, der nicht mit ausreichender Sorgfalt konzipiert oder gewartet wurde –, betrachtet aus unterschiedlichen Blickwinkeln.

Die Unternehmen, die den SAP-Zugriff im Jahr 2026 am effektivsten verwalten, sind diejenigen, die Zugangsrisiken nicht mehr nur als Audit-Verpflichtung betrachten, sondern als Geschäftsrisiko mit finanziellen Konsequenzen. Bei SAP Cloud ERP Private sind die finanziellen Folgen einer mangelhaften Rollengestaltung nicht mehr nur theoretischer Natur. Sie schlagen sich direkt in der Abrechnungsrechnung nieder.

Die wirtschaftlichen Argumente für Investitionen in SAP-Zugriffssteuerung waren noch nie so eindeutig. Die Frage ist, ob Unternehmen dies in einer Sprache formulieren, die die richtigen Entscheidungen fördert – und den richtigen Personen die Informationen zur Verfügung stellen, die sie zum Handeln benötigen.

Sind Sie bereit, beide Aspekte Ihres SAP-Zugriffsrisikos auf einen Blick zu sehen?

Der Access Risk Manager von Soterion machtVerstöße gegen die Trennung von Aufgaben (SoD) in einer für das Unternehmen verständlichen Sprache sichtbar– damit Ihre Genehmiger genau wissen, was sie genehmigen. Und der SAP License Manager zeigt die FUE-Kosten jeder Rollenzuweisung an, sodass Ihre Finanz- und IT-Verantwortlichen genau sehen können, welche Kosten dem Unternehmen jeden Monat durch übermäßige Zugriffsrechte entstehen. Fordern Sie eine Demo an, um beide Lösungen in Aktion zu sehen, oder wenden Sie sich direkt an uns unter [email protected]

Cookie	Dauer	Beschreibung
cookiegesetzinfo-kontrollfeld-analytik	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Analytik“.
cookiegesetzinfo-kontrollfeld-funktionell	11 Monate	Das Cookie wird durch die GDPR-Cookie-Zustimmung gesetzt, um die Zustimmung des Benutzers für die Cookies der Kategorie „Funktional“ aufzuzeichnen.
cookiegesetzinfo-kontrollfeld-notwendig	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Notwendig“.
cookiegesetzinfo-kontrollfeld-anderes	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Andere“.
cookiegesetzinfo-kontrollfeld-leistung	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Leistung“.
gesehen_cookie_richtlinie	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung oder Ablehnung des Nutzers zur Verwendung von Cookies, aber keine persönlichen Daten.

SAP Access Risk Management: SoD-Risiko und FUE-Exposure – zwei Geschäftsrisiken mit derselben Ursache

Das könnte Sie interessieren

Such[wort] eingeben

SAP Access Risk Management: SoD-Risiko und FUE-Exposure – zwei Geschäftsrisiken mit derselben Ursache

Das könnte Sie interessieren

Ihr SAP-Rollenkonzept war nie für RISE ausgelegt: die versteckten FUE-Kosten, die die meisten Unternehmen übersehen

SAP Access Risk Management: SoD-Risiko und FUE-Exposure – zwei Geschäftsrisiken mit derselben Ursache

Die Bedeutung der Abstimmung der SAP-Zugriffssteuerung mit der FUE-Lizenzierung

Such[wort] eingeben