Display Authorization Trace: Wie SAP-Security auch in der Public Cloud funktioniert

Daniel Mattke
30. Aug.
4 Min. Lesezeit

„In der Public Cloud gibt es keine Security mehr.“ Dieser Satz fällt häufig, wenn es um SAP S/4HANA Cloud, Public Edition geht. Er klingt nach Kontrollverlust, nach einer Blackbox ohne Werkzeuge, in der weder Transparenz noch Nachvollziehbarkeit gegeben sind. Wer das System zum ersten Mal sieht, fühlt sich leicht bestätigt. Die bekannten Transaktionen fehlen, SU53 gibt es nicht mehr, STAUTHTRACE steht nicht zur Verfügung und auch klassische Tabellen wie die USOBX_C sind nicht mehr vorhanden. Auf den ersten Blick scheint die Welt der Berechtigungsanalyse an der Cloud zu enden.

Bei genauerem Hinsehen zeigt sich jedoch ein anderes Bild. Security verschwindet nicht, sondern verändert sich. Die Diagnose ist nicht unmöglich, sondern rückt näher an den Geschäftskontext. Eine zentrale Rolle übernimmt dabei die Fiori-App „Display Authorization Trace“. Sie macht deutlich, dass sich das Prinzip von Nachvollziehbarkeit und Korrekturmöglichkeiten fortsetzt, nur mit neuen Mitteln und auf einer anderen Ebene.

Vom klassischen Trace zur Cloud-basierten Analyse

Wer in On-Premise-Systemen gearbeitet hat, erinnert sich an den typischen Ablauf: Ein Benutzer meldet ein Problem, die erste Anlaufstelle ist SU53, und wenn die Informationen dort nicht ausreichen, wird ein Systemtrace gestartet. Dieses Vorgehen war über Jahrzehnte etabliert und prägte das Verständnis von Security-Analyse.

In der Public Cloud wird diese Aufgabe von der App „Display Authorization Trace“ übernommen. Sie begleitet den Benutzer während des Szenarios, protokolliert die durchgeführten Prüfungen und zeigt anschließend, warum ein Zugriff erlaubt oder abgelehnt wurde. Damit erfüllt sie denselben Zweck wie ihre Vorgänger, sie präsentiert die Ergebnisse jedoch in einer anderen Form. Die Oberfläche ist moderner, die Ergebnisse sind klarer aufbereitet und die Analyse erfolgt näher am Geschäftsprozess. Security rückt damit von der rein technischen Ebene der Objekte und Felder stärker an die Sprache der Fachbereiche heran.

Die Besonderheit der Cloud: Der Status Filtered

Eine entscheidende Weiterentwicklung zeigt sich im Ergebnisstatus. Neben den erwartbaren Ausprägungen „Successful“ und „Failed“ führt die App den neuen Status „Filtered“ ein. Damit wird sichtbar, dass Berechtigungsprüfungen in der Public Cloud nicht mehr nur auf der klassischen Ebene von Berechtigungsobjekten stattfinden, sondern auch auf Grundlage von Restriktionen, die in Business-Rollen gepflegt werden.

Dieses Prinzip bedeutet eine deutliche Annäherung an die Realität der Fachprozesse. Während im On-Premise-Umfeld oft lange Listen von Objekten und Feldern ausgewertet werden mussten, steht in der Cloud die geschäftliche Dimension im Vordergrund. Ein fehlender Buchungskreis, ein nicht gepflegtes Werk oder eine restriktive Access Category führen dazu, dass Inhalte nicht angezeigt werden, obwohl alle technischen Prüfungen erfolgreich verlaufen. Der Status „Filtered“ macht diese Logik sichtbar und zeigt den Wandel von technischer Sicherheit hin zu fachlicher Zugriffssteuerung.

Die App selbst existiert bereits seit einigen Jahren, hat jedoch mit den aktuellen Releases eine neue Bedeutung erlangt. Restriktionen sind inzwischen das zentrale Steuerungsinstrument in der Public Cloud. Genau hier entfaltet die App ihre Stärke, da sie nicht nur technische Prüfungen dokumentiert, sondern auch die fachlichen Einschränkungen transparent macht. Während sie in den frühen Jahren eher als zusätzliches Hilfsmittel im IAM-Portfolio wahrgenommen wurde, ist sie heute ein zentrales Werkzeug für Security-Berater, Key-User und Auditoren gleichermaßen.

Praktische Erfahrungen aus Projekten

In Projekten zeigt sich, wie wertvoll diese neue Sichtweise ist. Typische Szenarien verdeutlichen den Nutzen. Wenn eine App nicht startet und der Trace den Status „Failed“ anzeigt, liegt die Ursache in den meisten Fällen in einem fehlenden Business-Katalog. Öffnet sich die App, zeigt aber keine Daten, erscheint im Trace häufig der Status „Filtered“. Hier sind es meist fehlende Restriktionswerte, etwa ein Buchungskreis oder ein Werk, die den Zugriff beschränken. Auch Situationen, in denen alle Prüfungen erfolgreich sind, aber keine Daten erscheinen, lassen sich erklären. In diesen Fällen blockiert eine zu restriktiv definierte Access Category den Zugriff.

Diese Beispiele machen deutlich, dass die App weit mehr ist als ein reines Hilfsmittel für die Fehlersuche. Sie führt in eine neue Denkweise ein. Security wird transparenter, weil man die fachliche Ebene der Restriktionen direkt nachvollziehen kann. Gleichzeitig entstehen neue Anforderungen an die Gestaltung von Rollen und Restriktionen, denn technische Freigaben allein reichen nicht mehr aus, um einen funktionierenden Zugriff sicherzustellen.

Security im Wandel

Die App steht damit sinnbildlich für eine größere Entwicklung. Security in der Public Cloud folgt nicht mehr dem Muster, allein über technische Objekte und Tabellen zu arbeiten. Sie entwickelt sich in Richtung von Geschäftsregeln, Rollenlogiken und Identitätsarchitekturen. Restriktionen ersetzen kryptische Felder, Geschäftsprozesse treten stärker in den Vordergrund und Fachbereiche können besser nachvollziehen, warum Zugriffe erlaubt oder verweigert werden.

Damit verschiebt sich auch die Rolle der Security-Experten. Neben der Pflege von Rollen sind Architekturfragen entscheidend. Es geht darum, Restriktionskonzepte zu entwickeln, Federation mit Identity Authentication Services oder Azure Active Directory zu planen und Governance über mehrere Plattformen hinweg sicherzustellen. Security bedeutet heute nicht mehr nur, Fehler auf technischer Ebene zu suchen und zu korrigieren, sondern vor allem, Strukturen zu entwerfen, die nachhaltig und auditfähig sind.

Kontinuität und Bruch zugleich

Die App „Display Authorization Trace“ verdeutlicht diesen Wandel. Sie sorgt für Kontinuität, weil das vertraute Prinzip von Prüfen, Sichtbarmachen und Korrigieren bestehen bleibt. Gleichzeitig bricht sie mit alten Gewohnheiten, weil die Ebene der Restriktionen eine andere Denkweise erfordert. Fachbereiche können Security besser verstehen, Audits erhalten klarere Nachweise und Security-Teams müssen ihre Arbeit stärker auf Architektur und Governance ausrichten.

Damit wird der Authorization Trace zu einer Brücke zwischen Vergangenheit und Zukunft. Er zeigt, dass Security in der Public Cloud nicht verschwindet, sondern vielmehr einen Schritt in Richtung Transparenz, Fachlichkeit und Nachvollziehbarkeit macht.

Fazit

Wer behauptet, dass es in der Public Cloud keine Security gibt, sollte sich mit dem Authorization Trace auseinandersetzen. Die App beweist, dass die grundlegenden Prinzipien bestehen bleiben, wenn auch auf einer anderen Ebene. Diagnose, Transparenz und Korrekturmöglichkeiten sind weiterhin gegeben, nur verschiebt sich der Fokus stärker in Richtung Geschäftsprozesse und fachliche Restriktionen.

Besonders in den aktuellen Releases hat die App deutlich an Bedeutung gewonnen. Restriktionen sind heute das wichtigste Steuerungsinstrument in der Public Cloud, und genau in diesem Bereich schafft der Authorization Trace die notwendige Klarheit. Was früher nur ein Spezialwerkzeug für Security-Berater war, ist mittlerweile ein zentrales Instrument geworden, das auch Fachbereiche und Auditoren nutzen können, um Berechtigungen zu verstehen und Entscheidungen nachzuvollziehen.

Security in der Public Cloud bedeutet damit weniger Detailarbeit an klassischen Berechtigungsobjekten und mehr Gestaltung von Rollenlogiken, Restriktionen und Identitätsarchitekturen. Die Public Cloud ist kein Sicherheitsvakuum, sondern ein Umfeld, in dem Sicherheit strukturierter, transparenter und verständlicher umgesetzt wird – und der Authorization Trace liefert den Schlüssel, um genau das sichtbar zu machen.