Jeder baut jetzt Risikoregelwerke. Wir haben damit angefangen, als SAP noch jung war.
Viele neue Anbieter betreten den Markt. Doch zwischen „Regelwerk“ und einem echten Qualitätsstandard liegt mehr als ein Jahrzehnt Arbeit.
Der Markt für SAP-Risikoregelwerke ist in Bewegung. Wer heute in eine Ausschreibung schaut oder auf LinkedIn scrollt, begegnet einer wachsenden Zahl von Anbietern, die mehr oder weniger selbstbewusst Regelwerke für SAP-Berechtigungen und GRC-Prozesse anbieten. Grundsätzlich gut – denn es zeigt, wie kritisch das Thema SAP-Security in deutschen Unternehmen inzwischen wahrgenommen wird.
Aber was steckt wirklich dahinter – und worauf kommt es an, wenn der Druck von allen Seiten wächst?
Der Druck auf Unternehmen wächst dabei von mehreren Seiten gleichzeitig: Regulatorische Anforderungen nehmen zu, Audit-Anforderungen werden strenger, und die Haftungsrisiken auf Management-Ebene steigen. SAP-Sicherheit verschiebt sich damit zunehmend von einem technischen IT-Thema hin zu einem unternehmensweiten Risiko – das auf dem Tisch des CIO, CISO und CFO liegt.
Die entscheidende Frage lautet dabei nicht mehr, ob ein Unternehmen ein Regelwerk hat – sondern ob es dem Standard entspricht. Viele bestehende Lösungen weisen kritische Schwächen auf:
- Unzureichende Regelwerkstiefe – nur Berechtigungsobjekte, keine funktionalen Abfragen
- Fehlende Aktualisierung – kein Schritt halten mit neuen SAP-Releases und Technologien
- Keine externe Validierung – Scheinsicherheit statt geprüfter Qualität
Das Ergebnis: Risiken bleiben unentdeckt oder werden falsch bewertet. Und das ist kein IT-Problem – das ist ein Unternehmensrisiko.
Drei Dinge müssen deshalb klar sein:
- SAP-Sicherheit ist ein unternehmenskritisches Risiko – kein IT-Thema.
- Die Qualität des Risikoregelwerks entscheidet darüber, ob Risiken tatsächlich erkannt werden.
- Das Know-how hinter den IBS Schreiber Risikoregelwerken aus über 20 Jahren lässt sich nicht einfach kopieren.
Was wirklich hinter einem Risikoregelwerk steckt
Ein SAP-Risikoregelwerk ist kein Produkt, das man in ein paar Monaten aus dem Boden stampft. Es ist das Ergebnis von Tausenden Stunden aus realen Prüfungsprojekten, intensiver Auseinandersetzung mit SAP-Systemarchitekturen und einer stetigen Arbeit an Regularik wie IDW PS 880 – und einem Team, das diese Erkenntnisse Jahr für Jahr in belastbares, systematisches Wissen überführt hat.
Bei IBS Schreiber haben wir dieses Wissen über mehr als 20 Jahre aufgebaut. Das Ergebnis: über 2.700 vordefinierte Risikoregelwerke, die auf Knopfdruck einsatzbereit sind – zertifiziert nach IDW PS 880 und halbjährlich aktualisiert. Kein anderer Anbieter im deutschsprachigen Markt kann auf eine vergleichbare institutionelle Grundlage verweisen.
Schnell gebaut ist nicht dasselbe wie erprobt
Neue Marktteilnehmer versprechen oft ähnliche Ergebnisse – schlanker, günstiger, moderner. Das klingt verlockend. Doch in der Revision und im Compliance-Umfeld ist Verlockung ein schlechter Ratgeber.
Was in einem Jahresabschluss-Audit, einer NIS2-Prüfung oder einem internen Kontrollsystem (IKS) zählt, ist Belastbarkeit. Prüfregeln, die nicht funktional auf Transaktionsebene, Fiori-App-Ebene und Berechtigungsobjekt-Ebene greifen, erzeugen False Positives – und senken die Akzeptanz in den Fachbereichen bis auf null. Das haben wir in Projekten erlebt, wenn Unternehmen von solchen Lösungen zu uns gewechselt sind.
Warum wir den Standard setzen – und ihn halten
Das Regelwerk-Know-how von IBS Schreiber ist institutionell verankert. Es liegt nicht in einzelnen Köpfen, sondern in einem eingespielten Team, in unserer Software CheckAud® und der Easy Content Solution – und in einem kontinuierlichen Qualitätsprozess, der externe Zertifizierung einschließt.
Was das konkret bedeutet:
Detailtiefe, die zählt: Unsere Regelwerke berücksichtigen nicht nur Berechtigungsobjekte, sondern alle relevanten Transaktionen, Fiori-Apps und Reports – systemspezifisch und customizing-genau. Das reduziert Fehlalarme und erhöht die Qualität jeder Prüfung.
Externe Zertifizierung nach IDW PS 880: Unsere Produkte sind durch Wirtschaftsprüfer nach diesem Standard zertifiziert. Das ist keine Selbstauskunft, das ist unabhängige Qualitätskontrolle.
SAP S/4HANA®-ready: Unsere Regelwerke passen sich automatisch an die SAP Simplification List und die Fiori Apps Library an. Migration bedeutet keinen Neustart – sondern Kontinuität.
Halbjährlicher Updateservice: SAP entwickelt sich ständig weiter. Unser Regelwerk auch – mit einem festen Rhythmus, der Aktualität garantiert.
Die Fragen, die du dir stellen solltest
Wenn du als CISO, Revisor oder IT-Verantwortlicher ein SAP-Risikoregelwerk bewertest, lohnt sich ein nüchterner Blick auf einige Kernfragen: Wie viele Prüfregeln stehen zur Verfügung – und auf welcher Grundlage wurden sie entwickelt? Gibt es eine externe Zertifizierung? Wie wird das Regelwerk bei SAP-Releases und neuen Technologien aktualisiert? Und: Wer steht dahinter – eine Einzelperson oder ein eingespieltes Team mit jahrzehntelanger Prüfungserfahrung?
Die Antworten auf diese Fragen sind entscheidend. Nicht für das nächste Quartal – sondern für die Verlässlichkeit deiner SAP-Security-Architektur über Jahre.
Fazit: Wissen, das bleibt. Regelwerke, die wirken.
Wir beobachten den Markt, begrüßen den Wettbewerb – und bleiben gelassen. Denn eines lässt sich nicht beschleunigen: der Aufbau von Regelwerk-Know-how, das echten Prüfungsanforderungen standhält.
IBS Schreiber ist seit über 20 Jahren der Qualitätsstandard für SAP-Risikoregelwerke im deutschsprachigen Markt. Das ist kein Anspruch – das ist ein Ergebnis.
Du willst sehen, was ein Regelwerk mit echter Tiefe leistet? Vereinbare einen kostenfreien Termin oder teste unsere Lösung 30 Tage unverbindlich.