Vollzugriff mit Nebenwirkungen – Risiken durch hochprivilegierte Benutzer in ERP-Systemen

ERP-Systeme bieten nicht nur Komfort und Automatisierung, sondern erfordern auch ein hohes Maß an Kontrolle – insbesondere bei Benutzern mit umfassenden Rechten. Hochprivilegierte Berechtigungen ermöglichen technische und fachliche Eingriffe, die weit über die üblichen Rollen hinausgehen. Der verantwortungsvolle Umgang mit solchen Benutzerrechten ist daher nicht nur eine Frage der IT-Sicherheit, sondern auch ein zentraler Bestandteil regulatorischer und prüfungsrelevanter Anforderungen.

Nicht alle ERP-Systeme handhaben Benutzerrechte gleich. Insbesondere im Hochprivileg-Bereich gibt es erhebliche Unterschiede. Im Folgenden werden die zentralen Risiken anhand des Profils SAP_ALL in SAP und der Rolle SUPER in Microsoft Dynamics 365 Business Central aufgezeigt.

Unterschiede zwischen Profil SAP_ALL und Rolle SUPER

In SAP-Systemen (ECC und S/4HANA) steht das Profil SAP_ALL für vollständigen Zugriff auf alle Funktionen. Es umfasst sämtliche der rund 1.400 Berechtigungsobjekte im System – jeweils mit Vollausprägung („*“). Darunter fallen auch zahlreiche administrative beziehungsweise gesetzeskritische Berechtigungen, beispielsweise:

• Entwicklungsrechte inklusive Debugging mit „Replace“-Funktion
• Löschung von Änderungsbelegen und Tabellenversionen
• Vollständige Mandantenlöschung (Gesamtdatenverlust)
• Direkte Änderung von Tabelleninhalten ohne Protokollierung
• Customizing, was eine Änderung des Programmablaufs beziehungsweise Verarbeitung der Daten im System nach sich zieht

Im Vergleich dazu existiert in Microsoft Dynamics 365 Business Central die Rolle SUPER, die ebenfalls umfassende Rechte gewährt. Allerdings sind dort bestimmte Funktionen – insbesondere Entwicklungen – lizenzseitig eingeschränkt. Ohne separate Entwicklerlizenz können kritische Programmanpassungen nicht vorgenommen werden. Dennoch bleiben auch in dieser Rolle kritische Berechtigungen wie das Löschen von Protokollen oder das Customizing bestehen.

Debugging in SAP: „Elektronisches Radieren“ als rechtliches Risiko

Ein besonders sensibles Beispiel im SAP-Kontext ist die Debugging-Funktion mit „Replace“. Damit lassen sich zur Laufzeit beliebige Variablen im Programmkern manipulieren – ohne jegliche Protokollierung. Diese Änderungen sind im Nachhinein nicht nachvollziehbar und ermöglichen potenziellen Missbrauch auf höchster Ebene. 

Kritisch: Diese Funktion ist auch ohne Entwicklungslizenz aktivierbar, sofern das Profil SAP_ALL zugewiesen wurde.

Solche Möglichkeiten verstoßen klar gegen § 239 Abs. 3 HGB, der vorschreibt, dass Buchungen oder Aufzeichnungen nicht in einer Weise verändert werden dürfen, dass der ursprüngliche Inhalt nicht mehr feststellbar ist – umgangssprachlich auch als „elektronisches Radieren“ bezeichnet.

Protokolllöschungen und Aufbewahrungspflichten (§ 257 HGB)

Ebenfalls kritisch: Das Profil SAP_ALL erlaubt in der Standardausprägung auch das Löschen von Änderungsbelegen und Tabellenversionen. Dies kann die Einhaltung gesetzlicher Aufbewahrungspflichten gemäß § 257 HGB gefährden – insbesondere, wenn revisionssichere Nachvollziehbarkeit für steuerlich oder handelsrechtlich relevante Daten gefordert ist.

Auswirkungen auf Cyber-Versicherungen

Darüber hinaus kann der Einsatz solcher allumfassenden Berechtigungen auch gegen die Bedingungen bestehender Cyber-Versicherungspolicen verstoßen – insbesondere, wenn grundlegende Sicherheits- und Zugriffskontrollvorgaben nicht eingehalten werden.

Verletzung der Funktionstrennung (SoD)

Hochprivilegierte Benutzer unterlaufen in der Praxis häufig das Prinzip der Funktionstrennung. Werden zentrale Aufgaben wie Buchung, Freigabe, Kontrolle oder technische Änderung durch ein und denselben Benutzer ausgeführt, fehlt eine unabhängige Kontrolle – das begünstigt Fehler, Manipulation und Missbrauch.

Gerade Profile wie SAP_ALL oder Rollen wie SUPER vereinen fachliche und technische Berechtigungen in einem Maß, das eine saubere Funktionstrennung unmöglich macht. Die daraus entstehenden Risiken müssen gezielt identifiziert und durch organisatorische oder technische Maßnahmen kompensiert werden.

Kontrollmaßnahmen und Empfehlungen für den praktischen Einsatz

Die Vergabe des Profils SAP_ALL beziehungsweise der Rolle SUPER sollte stets mit äußerster Vorsicht erfolgen. Eine pauschale Aussage, wie viele Benutzer damit arbeiten dürfen, ist nicht möglich. Vielmehr ist eine system- und prozessbezogene Risikobewertung erforderlich.

Empfohlene Maßnahmen:

• Vergabe nur an definierte Notfallbenutzer, dokumentiert und zeitlich befristet
• Überwachung mit dem SAP Security Audit Log, das kritische Aktivitäten protokolliert und alarmieren kann
• Kompensierende Kontrollen, zum Beispiel regelmäßige Auswertungen der Protokolle durch das Interne Kontrollsystem (IKS)
• Detaillierte Berechtigungsanalysen: Welche Benutzer haben Zugriff auf welche kritischen Berechtigungsobjekte oder deren Kombinationen?
• Vermeidung unnötiger Allmacht in Vor-Produktivsystemen (zum Beispiel keine SAP_ALL-Zuweisung im Qualitätssicherungssystem, um indirekten Zugriff auf Produktivdaten durch die RFC-Verbindung zu verhindern)

Fazit

Der unreflektierte Einsatz des Profils SAP_ALL oder der Rolle SUPER stellt nicht nur ein technisches, sondern auch ein rechtliches Risiko dar. Die Grenzen zur Verletzung gesetzlicher Vorgaben wie dem HGB, der AO, der DSGVO oder künftig der NIS2-Richtlinie sind schnell überschritten.

Der Grundsatz lautet daher: So wenig wie möglich, so viel wie nötig – auf Basis des Prinzips der minimalen Berechtigungsvergabe, unter Berücksichtigung organisatorisch definierter Funktionstrennungen sowie kritischer Tätigkeitskombinationen (SoD-Matrix), wie sie durch die Unternehmensleitung oder das interne Kontrollsystem festgelegt sind.
 

RWTkompakt Ausgabe Juni 2025