top of page
Suche

Greenfield, Brownfield oder Hybrid: Die drei Wege zum optimalen Berechtigungskonzept


Inhaltsverzeichnis




Greenfield, Brownfield oder Hybrid: Die drei Wege zum optimalen Berechtigungskonzept


Schloss

SAP-Berechtigungen entwickeln sich in vielen Unternehmen über Jahre hinweg und oft ebenso ungeplant wie die Prozesse, die sie abbilden. Rollen werden erweitert statt bereinigt, Berechtigungen großzügig vergeben und Dokumentationen nur sporadisch gepflegt. Das Ergebnis ist häufig ein Berechtigungsdschungel, der weder die aktuellen Geschäftsprozesse optimal unterstützt noch heutigen Sicherheits- und Compliance-Anforderungen gerecht wird.


Spätestens bei einer Systemumstellung auf S/4HANA, nach kritischen Audit-Feststellungen oder im Zuge organisatorischer Veränderungen stellt sich daher die Frage:


Wie gelangen wir zu einem sauberen, zukunftsfähigen Berechtigungskonzept?


Eine Standardlösung gibt es dafür nicht. In der Praxis haben sich drei grundlegende Vorgehensweisen bewährt: Greenfield, Brownfield und Hybrid.


Jede dieser Methoden hat ihre eigenen Stärken, Schwächen und typischen Einsatzszenarien. In diesem Beitrag erfahren Sie, welcher Ansatz in welcher Situation sinnvoll ist und welche Faktoren den Projekterfolg maßgeblich beeinflussen.


Typische Auslöser für ein Redesign


Ein SAP-Berechtigungsredesign ist selten nur ein technisches Projekt! Oft kommen mehrere Faktoren gleichzeitig zusammen.


1. Technische Veränderungen


  • S/4HANA-Umstellung oder Einführung neuer Module

  • Neue Fiori-Apps mit zusätzlichen Berechtigungsobjekten und Katalogstrukturen

  • Systemkonsolidierungen oder Wechsel in die Cloud (z. B. RISE with SAP)


2. Organisatorische Veränderungen


  • Unternehmensreorganisation, Carve-outs oder M&A

  • Aufbau von Shared-Services oder Near-/Offshoring-Strukturen


3. Compliance- und Sicherheitsanforderungen


  • Audit-Findings wegen unklarer Rollentrennung oder überbreiter Berechtigungen

  • SoD-Konflikte (Segregation of Duties)

  • Unkontrolliert vergebene kritische Berechtigungen


4. Betrieb und Effizienz


  • Unübersichtliche Rollenlandschaft mit hohem Pflegeaufwand

  • Lange Provisionierungszeiten

  • Häufige Notfallzugriffe als Symptom struktureller Lücken


Wer einen oder mehrere dieser Punkte in seiner eigenen Systemlandschaft erkennt, steht früher oder später vor der Entscheidung:


Weiterwurschteln oder neu aufsetzen? Die Antwort hängt maßgeblich davon ab, welcher Ansatz gewählt wird und der ist selten zufällig.


💡 Jetzt handeln: Wer mehrere dieser Punkte erkennt, sollte zeitnah prüfen, ob ein strukturiertes Redesign den Betrieb sicherer und effizienter machen kann.


Nehmen Sie gerne Kontakt mit uns auf.


Greenfield: Neuanfang auf der grünen Wiese


Greenfield-Rasenmäher

Der Greenfield-Ansatz bedeutet: Alles beginnt bei null. Statt bestehende Rollenstrukturen zu reparieren, wird ein komplett neues Berechtigungskonzept entwickelt unabhängig von historisch gewachsenen Altlasten.


Dieser Ansatz bietet die Chance, Prozesse, Rollenarchitektur und technische Umsetzung so zu gestalten, wie sie idealerweise aussehen sollten.


Wann Greenfield sinnvoll ist


  • Die bestehende Rollenlandschaft ist unübersichtlich, überfrachtet oder nicht mehr wartbar.

  • Die Organisation steht vor einer großen Transformation, beispielsweise einer S/4HANA-Neueinführung.

  • Audit-Findings und Sicherheitslücken sind so gravierend, dass ein schrittweises Nachbessern nicht ausreicht.

  • Es besteht die Bereitschaft, in einen umfassenden Change-Prozess zu investieren.


Vorgehen in der Praxis


  1. Zielbild definieren – Klare Rollenarchitektur (z. B. Single-, Composite- und Business-Rollen), Namenskonventionen und Organisationskonzepte (BUKRS, WERKS etc.) festlegen.

  2. Prozessanalyse – Geschäftsprozesse und Szenarien aufnehmen, benötigte Transaktionen, Services und Fiori-Apps identifizieren.

  3. Rollenaufbau – Minimalistische Rollen mit sauber gepflegten Organisationsfeldern und ohne Wildcards entwickeln; Ableitungsrollen systematisch nutzen.

  4. Risikosteuerung – SoD-Konflikte von Beginn an berücksichtigen, kritische Berechtigungen gezielt und kontrolliert einbauen.

  5. Test und Roll-out – Pilotbereiche umsetzen, Abnahmen durch Key User einholen und schrittweise in den Betrieb überführen.


Vorteile


  • Maximale Gestaltungsfreiheit und Qualität.

  • Klare, nachvollziehbare Strukturen.

  • Beste Voraussetzungen für langfristige Wartbarkeit und Compliance.


Nachteile


  • Hoher initialer Aufwand.

  • Stärkerer Veränderungsdruck für Fachbereiche und Endanwender.

  • Längere Projektlaufzeiten im Vergleich zu inkrementellen Ansätzen.


Der Greenfield-Ansatz ist damit die konsequenteste, aber auch anspruchsvollste Methode für ein Berechtigungsredesign und lohnt sich vor allem, wenn man die Chance hat, „alles richtig zu machen“ und die notwendige Unterstützung im Unternehmen vorhanden ist.


Brownfield: Sanieren statt neu bauen


Puzzle

Der Brownfield-Ansatz verfolgt das Ziel, die bestehende Rollenlandschaft zu optimieren, statt sie komplett zu ersetzen. Altrollen werden analysiert, bereinigt und an aktuelle Anforderungen angepasst.


Dabei bleibt der grundlegende Aufbau erhalten was den Change-Impact für Anwender und Fachbereiche gering hält.


Wann Brownfield sinnvoll ist


  • Die Rollenstruktur ist grundsätzlich stabil und nachvollziehbar, enthält aber veraltete oder unnötige Berechtigungen.

  • Zeit- und Budgetrahmen lassen keinen kompletten Neubau zu.

  • Die Organisation möchte Risiken minimieren und den laufenden Betrieb möglichst wenig stören.

  • Einzelne Audit-Findings oder SoD-Konflikte müssen kurzfristig adressiert werden.


Vorgehen in der Praxis


  1. Bestandsaufnahme – Analyse der aktuellen Rollen (z. B. über Nutzungsdaten, SUIM-Auswertungen, ST03N/STAUTHTRACE) und Identifikation von Redundanzen oder „toten“ Berechtigungen.

  2. Bereinigung – Entfernen nicht genutzter Objekte, Verschlanken von Rollen, Konsolidieren doppelter Rollen.

  3. Härtung – Einschränken überbreiter Berechtigungsobjekte, Nachziehen von Organisationsfeldern, Korrektur von SU24-Werten.

  4. Risikominimierung – SoD-Konflikte priorisiert beheben, kritische Berechtigungen gezielt prüfen und absichern.

  5. Dokumentation & Governance – Rollenbeschreibungen erstellen, Verantwortlichkeiten festlegen, Genehmigungsprozesse definieren.


Vorteile


  • Kürzere Projektlaufzeiten und schneller sichtbare Verbesserungen.

  • Weniger Veränderungsaufwand für die Endanwender.

  • Geringeres Risiko für Betriebsunterbrechungen.


Nachteile


  • Altlasten können teilweise bestehen bleiben.

  • Potenzial für langfristige Optimierung ist begrenzt.

  • Abhängigkeit von der Ausgangsqualität der bestehenden Rollen.


Der Brownfield-Ansatz ist damit besonders geeignet, wenn der Fokus auf kurzfristiger Stabilisierung und schneller Compliance-Verbesserung liegt oder als Zwischenschritt, um später in einen umfassenderen Greenfield- oder Hybrid-Ansatz zu wechseln.


Hybrid: Das Beste aus zwei Welten


Der Hybrid-Ansatz kombiniert Elemente aus Greenfield und Brownfield. Kritische oder besonders komplexe Bereiche etwa Finance, Einkauf oder HR werden komplett neu aufgebaut, während weniger sensible oder stabile Bereiche gezielt optimiert werden. So lässt sich der Aufwand steuern, ohne bei der Qualität in Schlüsselprozessen Kompromisse einzugehen.


Wann Hybrid sinnvoll ist


  • Unterschiedliche Ausgangsqualität in den Modulen oder Geschäftsbereichen.

  • Hoher Handlungsdruck in bestimmten Kernprozessen, während andere Bereiche stabil laufen.

  • Begrenztes Budget oder enger Zeitplan, aber gleichzeitig hohe Compliance- und Sicherheitsanforderungen in ausgewählten Domänen.

  • Parallele Einführung oder Migration einzelner SAP-Module, z. B. im Rahmen einer schrittweisen S/4HANA-Transition.


Vorgehen in der Praxis


  1. Priorisierung – Analyse und Bewertung aller Funktionsbereiche nach Risiko, Audit-Relevanz und strategischer Bedeutung.

  2. Getrennter Vorgehensplan – Greenfield-Methodik für die priorisierten A-Bereiche, Brownfield-Optimierung für B- und C-Bereiche.

  3. Einheitliche Standards – Gemeinsame Namenskonventionen, Organisationskonzepte, SoD-Katalog und Dokumentationsrichtlinien für alle Rollen.

  4. Integration – Sicherstellen, dass neu entwickelte und optimierte Rollen reibungslos zusammenarbeiten, insbesondere bei übergreifenden Prozessen.

  5. Roll-out und Change Management – Abstimmung der Einführungsschritte, um parallele Änderungen kontrolliert und transparent umzusetzen.


Vorteile


  • Ausgewogenes Verhältnis zwischen Aufwand, Geschwindigkeit und Qualität.

  • Fokussierte Verbesserung in kritischen Bereichen ohne das gesamte System gleichzeitig umzukrempeln.

  • Flexibel anpassbar an Budget- und Ressourcenlage.


Nachteile


  • Höhere Komplexität in der Projektsteuerung.

  • Erfordert disziplinierte Einhaltung gemeinsamer Standards, um kein Flickwerk zu erzeugen.


Der Hybrid-Ansatz ist besonders interessant für Unternehmen, die gezielt in Qualität investieren wollen, ohne in allen Bereichen gleichzeitig einen kompletten Neustart zu wagen. Er ermöglicht schnelle Fortschritte in kritischen Domänen und schafft zugleich eine solide Basis für langfristige Weiterentwicklungen.


Entscheidungsleitfaden:

Welcher Ansatz passt zu Ihnen?


Die Wahl zwischen Greenfield, Brownfield und Hybrid ist keine reine Geschmacksfrage sie sollte auf einer fundierten Analyse von Ausgangslage, Zielen, Budget und Zeitrahmen beruhen. Folgende Kriterien helfen bei der Entscheidung:


Kriterium

Tendenz Greenfield

Tendenz Brownfield

Tendenz Hybrid

Auditdruck / Risiko

Hoch – viele Findings, gravierende Sicherheitslücken

Mittel – punktuelle Findings

Hoch in kritischen Bereichen, mittel im Rest

Change-Bereitschaft

Hoch – Fachbereiche akzeptieren große Veränderungen

Niedrig bis mittel – Fokus auf Kontinuität

Selektiv – Veränderung nur in ausgewählten Bereichen

Zeit / Budget

Eher großzügig – Investition in langfristige Qualität

Knapp – schnelle Verbesserungen erforderlich

Ausgewogen – gezielte Investition bei gleichzeitiger Kostenkontrolle

Ausgangsqualität

Sehr schlecht – Rollen kaum noch wartbar

Mittel – Grundstruktur brauchbar

Gemischt – einzelne Bereiche gut, andere problematisch

Parallelprojekt S/4

Ja – kompletter Neubau lohnt sich

Nein oder nur geringe Änderungen geplant

Modulweise Migration oder gemischte Systemlandschaft


Daumenregel


  • Greenfield, wenn Altlasten überwiegen, ein hoher Auditdruck besteht und genügend Ressourcen für einen vollständigen Neubau vorhanden sind.

  • Brownfield, wenn Zeit und Budget knapp sind und die Basis grundsätzlich solide ist.

  • Hybrid, wenn unterschiedliche Ausgangsqualitäten vorliegen oder bestimmte Kernprozesse besondere Aufmerksamkeit erfordern.


Unabhängig vom Ansatz gilt: Eine klare Projektvision, ein durchdachtes Rollenarchitektur-Konzept und konsequente Qualitätssicherung sind entscheidend für den Erfolg.


Erfolgsfaktoren für jedes Redesign


Checkliste

Unabhängig davon, ob Sie sich für Greenfield, Brownfield oder Hybrid entscheiden, der Erfolg hängt nicht nur von der Methodik ab, sondern vor allem von konsequenter Umsetzung und sauberer Projektsteuerung.



1. Frühzeitige Einbindung der Fachbereiche


Rollen entstehen für das Business und nicht im luftleeren Raum der IT. Holen Sie Key-User und Prozessverantwortliche von Anfang an ins Boot.


💡 Hinweis: Sie möchten wissen, wie eine strukturierte Anforderungsaufnahme in der Praxis aussieht? Kontaktieren Sie uns, wir teilen gern unsere Best Practices aus unterschiedlichen Projekten.


2. Saubere Anforderungsaufnahme & Zielbild


Definieren Sie vor dem ersten Rollenbau, wie die Rollenarchitektur aussehen soll: Namenskonventionen, Org-Felder, Ableitungslogik, Umgang mit kritischen Berechtigungen.


3. SoD-Analysen von Anfang an einplanen


Segregation of Duties ist kein „Add-on“ am Ende des Projekts. Frühzeitige Risikoanalysen vermeiden teure Nacharbeiten und Endanwenderfrust.


4. Test- und Abnahmeprozesse klar definieren


Ohne strukturierte Tests drohen Funktionslücken oder Sicherheitsprobleme. Erstellen Sie praxisnahe Testfälle mit den Key Usern und dokumentieren Sie die Ergebnisse revisionssicher.


Gerade dieser Punkt ist entscheidend. Wenn ein Berechtigungskonzept nicht sauber getestet wurde, drohen bei Go-Live massive Probleme bis hin zum Ausfall von unternehmenskritischen Kernprozessen. Hier gibt es in der Praxis auch indirekte Möglichkeiten des Testens von Berechtigungen. Hier wird dann das Thema Tooleinsatz in der Regel interessant um sich den Stress zu sparen.


5. Dokumentation und Governance sicherstellen


Ein Rollenprojekt ist nur so gut wie seine Dokumentation. Rollensteckbriefe, Genehmigungsprozesse und klare Verantwortlichkeiten sichern die Nachhaltigkeit.


Warum jetzt handeln?


Ein Berechtigungsredesign ist kein Selbstzweck! Es schützt Ihr Unternehmen vor Sicherheitsrisiken, steigert die Effizienz und erfüllt Compliance-Anforderungen. Ob Sie eine große Transformation planen oder nur gezielt Problemzonen angehen möchten:


Der richtige Ansatz und eine saubere Umsetzung machen den Unterschied.


🚀 Starten Sie jetzt: Vereinbaren Sie ein unverbindliches Erstgespräch, um den passenden Weg für Ihr Unternehmen zu finden. Gemeinsam entwickeln wir ein Konzept, das Sicherheit, Effizienz und Zukunftsfähigkeit verbindet.


Bei Anmerkungen, Ergänzungen, Hinweise auf Fehler, gerne eine kurze Mail an blog@wtrknt.com


MfG DMa


Kommentare

bottom of page