top of page
Suche

Greenfield gone wrong: Warum viele Berechtigungskonzepte schon beim Start scheitern


Greenfield-Rasenmäher

Greenfield klingt nach Befreiungsschlag. Endlich weg von überladenen Rollen, historischen Anpassungen und Berechtigungen, die niemand mehr versteht. Ein neues SAP-System ohne Altlasten soll die perfekte Gelegenheit bieten, alles von Grund auf sauber aufzubauen. Die Realität zeigt jedoch, dass viele Greenfield-Projekte beim Berechtigungskonzept scheitern.


Die Greenfield-Euphorie


Mit einem leeren System verbinden Unternehmen die Hoffnung, diesmal alles richtig zu machen. Standardrollen sollen angepasst, Prozesse verschlankt und Governance sauber etabliert werden. Unter hohem Projekt- und Termindruck geraten Berechtigungen jedoch schnell in den Hintergrund. Was als Neuanfang gedacht war, entwickelt sich so zu einer Wiederholung alter Fehler.


Warum Berechtigungskonzepte kaputtgehen


  • Über Jahre gewachsene Rollenlandschaften ohne Bereinigung

  • Berechtigungen als nachgelagerte Aufgabe in Projekten

  • Fehlende Governance-Regeln für Aufbau, Pflege und Änderung

  • Prozesse, die sich weiterentwickelt haben, während Rollen unverändert blieben


Solange diese Ursachen bestehen, reicht ein neues System allein nicht aus.


Typische Fehlerquellen im Greenfield


Unkritische Übernahme von SU24


Viele Projektteams vertrauen blind auf Vorschlagswerte. Diese sind häufig zu breit oder veraltet und führen zu Rollen, die mehr Berechtigungen enthalten, als tatsächlich erforderlich sind.

Beispiel:In einem Projekt zeigte sich, dass die SU24 für die Transaktion MIGO in der Vergangenheit massiv aufgebläht worden war. Sämtliche Bewegungsarten waren dort pauschal hinterlegt. Bei der Rollenerstellung führte das zu unerwartet breiten Berechtigungen und zwang das Projektteam zu zusätzlicher Analyse und Korrekturarbeit.


Rollenbau ohne Trace-first


Workshops mit dem Business sind wichtig, liefern aber keine objektive Grundlage. Aussagen wie „Wir prüfen Rechnungen“ lassen sich ohne Trace nur schwer in technische Objekte übersetzen. Dadurch entstehen Rollen, die nicht zum tatsächlichen Nutzerverhalten passen.


Big-Bang-Mentalität


Statt schrittweise vorzugehen, wird versucht, direkt ein vollständiges Berechtigungskonzept aufzubauen. Das Ergebnis sind überkomplexe Rollen, die schwer verständlich und kaum wartbar sind.


Fehlende SoD-Prüfung


Die Trennung kritischer Funktionen wird oft erst kurz vor dem Go-Live betrachtet. Zu diesem Zeitpunkt enthalten die Rollen meist schon Konflikte, deren Behebung Zeit und Ressourcen bindet.


Falsche Business-Einbindung


Überlastete Fachbereiche fordern aus Unsicherheit zu viele Berechtigungen. Werden sie dagegen gar nicht einbezogen, entstehen Rollen ohne fachliche Basis. Beide Szenarien führen zu unbrauchbaren Ergebnissen.


Unveränderte Prozesse


Die eigentlichen Ursachen für kaputte Konzepte liegen oft in Organisation und Prozessen: unklare Verantwortlichkeiten, fehlende Trennung von Aufgaben oder schwache Governance. Wenn diese nicht korrigiert werden, bleibt jedes Greenfield-Konzept instabil.


Projektphasen und ihre Fallstricke


Prepare


Die Grundsatzentscheidung über den Zuschnitt der Rollen ist entscheidend. Arbeitsplatzrollen orientieren sich an Jobprofilen und sind praxisnah, erzeugen aber Redundanz. Prozessrollen sind modularer und bieten mehr Governance, erfordern jedoch höhere Abstimmung. Ohne klare Linie droht später Rollenwildwuchs.


Explore


Workshops ohne begleitende Traces liefern nur eine unvollständige Grundlage. Rollen, die allein auf Annahmen beruhen, führen im Realbetrieb zu Abweichungen.


Realize


Unter Zeitdruck werden Abkürzungen genommen: Defaults werden übernommen, SoD-Prüfungen verschoben. Das rächt sich spätestens vor dem Go-Live.


Deploy & Run


Fehlende Berechtigungen oder Konflikte treten offen zutage. Um arbeitsfähig zu bleiben, wird improvisiert. Dadurch entstehen erste Inkonsistenzen.


Hypercare


Nach dem Go-Live häufen sich Änderungsanforderungen. Schnelle Freigaben und Nachgenehmigungen sichern zwar kurzfristig die Arbeitsfähigkeit, zerstören aber die Konsistenz des Konzepts.


Audit- und Compliance-Sicht


Audits nach Greenfield-Einführungen zeigen wiederkehrende Muster:

  • Rollen sind zu breit gefasst.

  • Segregation-of-Duties-Konflikte bestehen fort.

  • Dokumentation ist lückenhaft.

  • Es gibt keine klaren Verantwortlichkeiten für Änderungen.


Damit wird deutlich, dass Greenfield allein keine Lösung ist.


Leitlinien für ein erfolgreiches Greenfield


  1. Rollen auf Fakten statt Annahmen

    Berechtigungen nur dort vergeben, wo Traces eine tatsächliche Nutzung zeigen.

  2. Konflikte sichtbar machen

    Segregation of Duties von Anfang an berücksichtigen, um Nacharbeiten zu vermeiden.

  3. Fachbereiche gezielt einbeziehen

    Workshops klein halten, konkrete Beispiele nutzen, klare Entscheidungen einfordern.

  4. Verständlichkeit sicherstellen

    Rollen transparent dokumentieren, damit sie auch nach Projektende gepflegt werden können.

  5. Prozesse mitgestalten

    Organisatorische Schwächen beseitigen, Verantwortlichkeiten klar definieren und Governance verbindlich festlegen.


Fazit


Greenfield ist eine große Chance, aber kein Selbstläufer. Wer nur Technik austauscht, reproduziert alte Fehler. Ein tragfähiges Berechtigungskonzept entsteht erst, wenn Traces, SoD-Prüfung, Business-Einbindung und Governance zusammenspielen und gleichzeitig organisatorische Ursachen behoben werden.


Nur dann wird aus dem Neustart ein Konzept, das Sicherheit, Compliance und Effizienz langfristig gewährleistet.


Bei Anmerkungen, Ergänzungen, Hinweise auf Fehler, gerne eine kurze Mail an blog@wtrknt.com


MfG DMa

Kommentare

bottom of page