Ihr SAP-Rollenkonzept war nie für RISE ausgelegt: die versteckten FUE-Kosten, die die meisten Unternehmen übersehen 

Bedenken Sie Folgendes: Die SAP-Rollenmodelle, die heute in den meisten Unternehmen zum Einsatz kommen, wurden vor fünf, zehn oder sogar fünfzehn Jahren entwickelt – lange bevor es SAP Cloud ERP Private (ehemals RISE with SAP) gab. Diese Rollenmodelle wurden konzipiert, um den Zugriff zu kontrollieren und das Audit-Risiko zu steuern. Lizenzkosten spielten dabei keine Rolle. Nach dem Full-Use-Equivalent-Modell (FUE) hat dieses Versäumnis nun direkte finanzielle Konsequenzen. 

Viele Unternehmen, die auf SAP Cloud ERP Private umsteigen, erwerben mehr FUEs, als sie tatsächlich benötigen – nicht, weil ihre Benutzer diesen Zugriffsgrad benötigen, sondern weil ihre Rollendesigns nie im Hinblick auf eine effiziente Lizenznutzung optimiert wurden. Das finanzielle Risiko durch übermäßig zugewiesene Zugriffsrechte ist für viele Unternehmen wohl größer als das Betrugsrisiko, das durch eben diese Rollen eigentlich verhindert werden sollte. 

In diesem Artikel wird erläutert, wie veraltete Rollenkonzepte den FUE-Verbrauch in die Höhe treiben, was Unternehmen vor und während eines RISE-Abonnements dagegen unternehmen können und warum die richtige Dimensionierung Ihrer SAP-Lizenzen mittlerweile eine geschäftliche Priorität ist und nicht mehr nur eine Frage der Compliance.

Bei SAP Cloud ERP Private werden Benutzerlizenzen anhand des STAR-Regelsatzes berechnet. Der STAR-Regelsatz wertet die einem Benutzer zugewiesenen Berechtigungsobjekte aus und ordnet sie einer FUE-Stufe zu. Je höher die Stufe, desto höher sind die diesem Benutzer zugewiesenen Lizenzkosten. 

Der entscheidende Punkt ist folgender: Nicht der tatsächlich genutzte Zugriff, sondern der einem Benutzer zugewiesene Zugriff bestimmt dessen FUE-Einstufung. Ein Benutzer, dem ein breites Spektrum an Finanztransaktionen zugewiesen wurde, kann – selbst wenn er davon nur zwei oder drei nutzt – in eine höhere FUE-Stufe eingestuft werden, als es seine tatsächliche Tätigkeit rechtfertigt.

In den meisten SAP-Umgebungen haben sich aus durchaus nachvollziehbaren Gründen Rollenkonzepte angesammelt, die zu weitreichende Zugriffsrechte gewähren:

• Im Rahmen eines Projekts wurde ein erweiterter Zugriff gewährt, der nie widerrufen wurde. 
• Zusammengesetzte Rollen, die aus praktischen Gründen eingerichtet wurden und weitaus mehr Zugriffsrechte umfassen, als der durchschnittliche Benutzer benötigt. 
• Veraltete Rollendesigns, die aus SAP-ECC-Migrationen übernommen und ohne Bereinigung übernommen wurden. 
• Der geschäftliche Druck, schnell Zugang zu gewähren, mit der Absicht, diesen später zu überprüfen – eine Überprüfung, die jedoch selten stattfindet. 
• SAP-Benutzer, die innerhalb des Unternehmens versetzt werden und neue Zugriffsrechte erhalten, ohne dass die alten Zugriffsrechte widerrufen werden. 

Keine dieser Entscheidungen war damals falsch. Es handelte sich um pragmatische Reaktionen auf operative Erfordernisse. Doch im Rahmen eines FUE-basierten Modells verursachen sie messbare und dauerhafte Kosten. 

Wenn ein Unternehmen ein SAP Cloud ERP Private-Abonnement abschließt, verpflichtet es sich zu einer bestimmten Anzahl an FUE. Übersteigt der tatsächliche Verbrauch diese Anzahl während der Laufzeit des Abonnements, wird eine zwischenzeitliche Anpassung ausgelöst.  

Das Szenario, auf das die meisten Unternehmen nicht vollständig vorbereitet sind, ist nicht ein einmaliger Anstieg des FUE-Verbrauchs, sondern ein schleichender Anstieg der FUE. Während neue Nutzer hinzugefügt, Rollen angepasst und Zugriffsanfragen im Rahmen der üblichen Bereitstellungsprozesse bearbeitet werden, steigt der FUE-Verbrauch unbemerkt an. Ohne kontinuierlichen Einblick darin, wie sich jede Zugriffsänderung auf die FUE-Klassifizierung auswirkt, verwalten Unternehmen ihr Abonnement praktisch im Dunkeln. 

Zwei Momente, in denen die FUE-Methode besonders deutlich zum Tragen kommt, verdienen besondere Beachtung:

Die Optimierung der Unternehmensgröße ist kein einmaliges Projekt. Es handelt sich um eine fortlaufende Aufgabe der Unternehmensführung.

Der Begriff „License by Design“ ist im Prinzip einfach zu verstehen: SAP-Rollen sollten unter Berücksichtigung der FUE-Klassifizierung erstellt und gepflegt werden, nicht nur im Hinblick auf die Zugriffskontrolle. In der Praxis erfordert dies jedoch eine Umstellung in der Herangehensweise von Unternehmen an den gesamten SAP-Zugriffslebenszyklus.

Die Rollenoptimierung im Rahmen von „License-by-Design“ umfasst die folgenden Schritte:

• Ermitteln Sie den aktuellen FUE-Ausgangswert: Verschaffen Sie sich einen Überblick darüber, welchen FUE-Verbrauch die derzeitigen Rollenzuweisungen der einzelnen Benutzer unter dem STAR-Regelsatz verursachen würden. Dies bietet Unternehmen einen messbaren Ausgangspunkt. 
• Ermitteln Sie Rollen, die überproportional zum Anstieg der FUE beitragen: Nicht alle Rollen haben das gleiche Lizenzgewicht. Durch die Ermittlung der spezifischen Berechtigungsobjekte und der Rollen, die Benutzer in höhere FUE-Stufen bringen, lassen sich gezielte Korrekturmaßnahmen ergreifen, anstatt eine vollständige Neugestaltung der Rollen vorzunehmen. 
• Verbundrollen neu gestalten: Breiten Verbundrollen aufschlüsseln und Zugriffsrechte entsprechend den tatsächlichen Anforderungen der Benutzer für die Ausübung ihrer Tätigkeit neu zuweisen. Durch das Entfernen ungenutzter oder unnötiger Berechtigungsobjekte lässt sich die FUE-Klassifizierung reduzieren, ohne die Betriebsfähigkeit zu beeinträchtigen. 
• Modellierung der Auswirkungen auf den FUE vor der Umsetzung von Änderungen: Bevor eine Rollenänderung genehmigt und umgesetzt wird, sollten deren Auswirkungen auf die FUE-Klassifizierung des Benutzers bewertet werden. Dadurch wird ein schleichender Anstieg des FUE im laufenden Betrieb verhindert. 
• Die FUE-Prüfung in die Arbeitsabläufe zur Zugriffsverwaltung integrieren: Jedes Ereignis im Zusammenhang mit Neueinstellungen, Versetzungen und Austritten sollte im Rahmen des standardmäßigen Verfahrens zur Änderung von Zugriffsrechten eine FUE-Folgenabschätzung auslösen – und nicht als separate Prüfmaßnahme. 

Es geht hier nicht darum, den Zugriff unangemessen einzuschränken. Es geht darum, sicherzustellen, dass die Zugriffsrechte der Benutzer tatsächlich den Anforderungen ihrer Rolle entsprechen – und dass Unternehmen durch eine unüberlegte Rollenkonfiguration keine unnötigen Lizenzkosten verursachen.

Eine wichtige Klarstellung ist an dieser Stelle angebracht: Der STAR-Regelsatz ist in seiner aktuellen Version (v1.69) tatsächlich recht großzügig ausgelegt. SAP veröffentlicht den Regelsatz offen, was bedeutet, dass Unternehmen – zum ersten Mal – Rollen mit vollständiger Transparenz darüber gestalten können, wie sich Zugriffszuweisungen in FUE-Klassifizierungen niederschlagen. Diese Vorhersehbarkeit ist wirklich nützlich: Sie macht die „License-by-Design“-Methode zu einer praktischen, planbaren Disziplin und nicht zu einem Ratespiel. Sie stellt zudem eine erhebliche Verbesserung gegenüber den Lizenzklassifizierungsansätzen dar, die in SAP-ECC- und SAP-S/4HANA-On-Premise-Umgebungen verwendet wurden, wo Klassifizierungen in Verträgen nur vage definiert und interpretationsfähig waren. 

Das Problem, mit dem die meisten Unternehmen konfrontiert sind, besteht nicht darin, dass der Messansatz von SAP zu streng ist, sondern darin, dass ihre Rollenkonzepte überhaupt nicht unter Berücksichtigung der FUE entwickelt wurden. Eine gut konzipierte SAP-Rollenlandschaft, die unter Berücksichtigung der STAR-Regeln erstellt wurde, kann oft denselben operativen Umfang bei einer deutlich niedrigeren FUE-Stufe erreichen. 

Unternehmen, die sich proaktiv mit den STAR-Regeln auseinandersetzen – anstatt deren Auswirkungen erst bei der Vertragsverlängerung oder der Abrechnung zu entdecken –, befinden sich in einer deutlich stärkeren wirtschaftlichen Position.

Die Unternehmen, die im Rahmen von SAP Cloud ERP Private am besten aufgestellt sind, sind nicht diejenigen, die vor der Inbetriebnahme eine einmalige FUE-Bewertung durchgeführt haben. Es sind vielmehr diejenigen, die die FUE-Governance in ihren täglichen SAP-Zugriffsverwaltungsprozess integriert haben. 

Eine kontinuierliche FUE-Steuerung bietet drei klare wirtschaftliche Vorteile:

• Geringere anfängliche Abonnementkosten: Durch eine bedarfsgerechte Rollenkonfiguration vor oder bei der Inbetriebnahme basiert die FUE-Verpflichtung auf dem tatsächlichen Zugriffsbedarf und nicht auf einer überdimensionierten Bereitstellung aus früheren Zeiten. 
• Vermeidung von Anpassungsrisiken zur Halbjahresbilanz: Jede Änderung der Zugangsrechte wird vor ihrer Umsetzung auf mögliche Auswirkungen auf die FUE geprüft. Ein FUE-Creep wird gestoppt, bevor er überhaupt einsetzt. 
• Fundierte Entscheidungen bei der Vertragsverlängerung: Unternehmen, die jederzeit Einblick in ihre FUE-Nutzung haben, können bei Vertragsverlängerungsverhandlungen auf genaue Verbrauchsdaten zurückgreifen, anstatt auf Schätzungen. 

Die entsprechenden Tools dafür sind bereits vorhanden. Der SAP License Manager von Soterion bietet eine detaillierte FUE-Bewertung anhand der aktuellen STAR-Regelsätze, sodass Unternehmen ihre aktuelle FUE-Ausgangsbasis (Verbrauch vs. Ist-Zustand) nachvollziehen und die Auswirkungen von Rollenänderungen simulieren können. Der What-If-Simulator erweitert diese Funktion auf den laufenden Betrieb – jede vorgeschlagene Zugriffsänderung kann vor ihrer Genehmigung auf ihre FUE-Auswirkungen hin bewertet werden, wodurch die für die Zugriffsgenehmigung zuständigen Personen die Informationen erhalten, die sie benötigen, um fundierte Lizenzentscheidungen zu treffen. 

Das ist kontinuierliche Unternehmensführung in der Praxis: keine reine Compliance-Maßnahme, sondern ein wirtschaftlich motivierter Geschäftsprozess. 

---

Abschließende Gedanken

Die Umstellung auf SAP Cloud ERP Private hat die wirtschaftlichen Aspekte der SAP-Rollengestaltung grundlegend verändert. Ein Zugriff, der zuvor lediglich ein Thema für die Revision war, ist nun mit quantifizierbaren Lizenzkosten verbunden – und diese Kosten steigen jedes Mal, wenn eine unüberlegte Zugriffsänderung vorgenommen wird. 

Unternehmen, die RISE mit veralteten Rollenkonzepten und ohne FUE-Transparenz angehen, gehen finanzielle Risiken ein, die sowohl vermeidbar als auch messbar sind. Die richtige Dimensionierung der SAP-Benutzerlizenzen vor Beginn eines Abonnements und die durchgängige Aufrechterhaltung einer FUE-orientierten Governance sind der praktische Weg, um eine RISE-Investition zu schützen und die Kosten für unerwartete Anpassungen während der Laufzeit zu vermeiden. 

Das Gespräch muss nicht gleich mit einer vollständigen Neugestaltung der Rollen beginnen. Es beginnt damit, dass Sie Ihre aktuelle FUE-Ausgangslage verstehen – und wissen, wo das wirtschaftliche Risiko tatsächlich liegt.  

Möchten Sie wissen, wie hoch Ihre aktuellen FUE-Kosten sind, bevor sie auf der Rechnung erscheinen?

Der SAP License Manager von Soterion bietet Ihnen eine detaillierte FUE-Analyse anhand des STAR-Regelsatzes – er zeigt Ihnen genau, welche Benutzer und Rollen Ihren Lizenzverbrauch beeinflussen und wie eine optimal dimensionierte Rollenstruktur aussehen könnte.

Fordern Sie eine Demo an, um die FUE-Auswirkungen Ihrer aktuellen Rollenstruktur zu sehen und zu erfahren, welche Einsparungen eine optimal dimensionierte Struktur über die gesamte Laufzeit Ihres Abonnements erzielen könnte. Oder senden Sie uns eine E-Mail an [email protected]