Berechtigungen und Rollen im EWM

Flexus Redaktion

23. Februar 2026

Berechtigungen gehören zu den unsichtbaren, aber geschäftskritischen Bausteinen eines SAP-Systems. Solange alles funktioniert, spricht kaum jemand darüber – bis plötzlich ein User seine Arbeit nicht ausführen kann oder Funktionen ausführt oder Informationen einsehen kann, die er eigentlich gar nicht ausführen oder sehen darf. Im Kern geht es bei Berechtigungen um drei Dinge:

  • Sicherheit: Schutz sensibler Daten und Prozesse
  • Stabilität: Vermeidung von Fehlbedienung und ungewollten Systemzuständen
  • Compliance: Nachvollziehbarkeit und Trennung von Aufgaben (Segregation of Duties)

Das gilt für das gesamte SAP-System. Wir als SAP-Logistikberatungshaus möchten uns in diesem Blogbeitrag den Aspekt wieder genauer im Hinblick auf das Modul EWM ansehen.

Rollen- und Berechtigungskonzept im SAP EWM

Mit der falschen Vergabe der Berechtigungen im EWM kann ein Lagerist beispielsweise keine Wareneingänge mehr buchen, ein Key User versehentlich kritische Customizing-Transaktionen ausführen und der Audit stellt unangenehme Fragen. Gerade in logistiknahen Modulen wie SAP EWM, wo physische Warenbewegungen direkt im System abgebildet werden, können falsche oder zu weit gefasste Berechtigungen schnell reale Auswirkungen haben – von falschen Beständen bis hin zu Lieferverzögerungen.

Auch wenn SAP EWM fachlich ein sehr eigenständiges Modul ist, verwendet es das gleiche Rollen- und Berechtigungskonzept wie alle anderen SAP-Module auch. Das bedeutet konkret:

  • Benutzer erhalten PFCG-Rollen
  • Rollen enthalten Berechtigungsobjekte
  • Berechtigungen werden zur Laufzeit geprüft – z. B. beim Aufruf einer Transaktion, einer SAP-Fiori-App oder einer Funktion im Hintergrund

Ob EWM als embedded EWM in S/4HANA oder als dezentrales EWM betrieben wird, macht konzeptionell keinen Unterschied – wohl aber organisatorisch, da Benutzer, Rollen und ggf. angebundene Systeme sauber abgestimmt sein müssen.

Was EWM allerdings besonders macht, ist die fachliche Tiefe und Granularität, mit der Berechtigungen benötigt werden. Wie diese aufgebaut sind und wie sie immer feiner vergeben werden können, erklären wir folgend.

Berechtigungen im EWM generell

Aus Projektsicht lassen sich EWM-Berechtigungen in mehrere Ebenen einteilen. Das Konzept fundiert zunächst auf der technischen Basis, wie in jedem SAP-System. Hier werden grundlegende Objekte berechtigt:

  • Transaktionen (z. B. /SCWM/MON, /SCWM/PRDI)
  • Reports, RFCs, Hintergrundjobs
  • Klassische Objekte wie S_TCODE, S_PROGRAM, S_RFC

Diese Ebene ist meist schnell verstanden – sie reicht aber im EWM bei weitem nicht aus, denn darunter gibt es noch die EWM-spezifischen Berechtigungsobjekte. SAP liefert hier eine ganze Reihe EWM-eigener Berechtigungsobjekte aus, z. B. für:

  • Lagernummer
  • Aktivitäten (Anzeigen, Anlegen, Ändern, Buchen)
  • Belegarten (z. B. Anlieferung, Auslagerung, Lageraufgabe)
  • Prozessschritte innerhalb des Lagers

Typisch sind Objekte wie:

  • /SCWM/LGNUM – Zugriff auf bestimmte Lager
  • /SCWM/ACTVT – Aktivitätssteuerung im Lagerkontext
  • /SCWM/PROC – prozess- oder funktionsspezifische Berechtigungen

Damit lässt sich sehr genau steuern, wer was in welchem Lager tun darf.

Rollen im EWM

In der Praxis bewährt sich eine rollenbasierte Sicht auf die Lagerprozesse, z. B.:

  • Lagerist Wareneingang
  • Lagerist Kommissionierung
  • Schichtleiter
  • EWM Key User Einkauf
  • EWM Key User Vertrieb
  • EWM Administrator

Diese Rollen sind keine technischen SAP-Standardrollen, sondern müssen in Projekten sauber entworfen werden. SAP liefert zwar Vorlagen, diese sind jedoch meist zu generisch oder zu weit gefasst. In den SAP Best Practices zum EWM gibt es beispielsweise die Rollen „Lagerist (Warehouse Clerk)“ und „Lagerarbeiter (Warehouse Operative)“. Hier in der SAP-Doku finden sich alle vordefinierten Einzelrollen zum EWM. Für jede Rolle ist dort ersichtlich, über welche Berechtigungen sie verfügt. Diese können zumindest als gute Orientierung dienen, wenn eigene Rollen aufgebaut werden. Zusätzlich sind in diesem weiteren Eintrag der SAP die Berechtigungsobjekte dokumentiert. Die in SAP EWM verwendeten Berechtigungen können zudem in der umfassenden PFCG-Rolle /SCWM/EXPERT gefunden werden.

Meist werden die Berechtigungen der Mitarbeiter im Büro auch so vergeben, dass sie keinen kompletten Prozess von Einkauf bis Verkauf alleinig durchbuchen können. Das bleibt speziellen Usern vorbehalten.

Fiori & RF: Besonderheiten im EWM-Alltag

Aber auch damit ist es im SAP EWM noch nicht geschafft, denn moderne EWM-Szenarien nutzen häufig Fiori-Apps oder das RF-Framework für mobile Lagerprozesse. Hier kommen zusätzliche Aspekte ins Spiel:

  • Kataloge & Spaces (bei Fiori)
  • Service-Aktivierungen (OData)
  • RF-spezifische Berechtigungen je Menü, Prozess und Gerätetyp

Gerade im RF-Bereich sehen wir oft zu breit vergebene Berechtigungen, weil „es sonst nicht läuft“ – was langfristig ein Risiko darstellt. Hier sollte genau analysiert werden, welche Rechte ein User wirklich braucht, um seiner Arbeit nachzugehen. Führen wir unsere Flexus-eigenen Apps ein, kümmern wir uns bei unseren Kunden auch direkt um die Service-Aktivierungen dahinter und geben umfassende Informationen zu den benötigten Berechtigungen.

Berechtigungen im Lagerverwaltungsmonitor

Der Lagerverwaltungsmonitor (kurz LVM) ist ein zentrales, jedoch auch sehr mächtiges Tool im SAP EWM. Entsprechend müssen auch hier die Berechtigungen geprüft werden. Viele Kunden berechtigen den kompletten LVM vollständig, andere hingegen möchten nur berechtigen, was auch wirklich benötigt wird. In der Transaktion SPRO unter den Einstellungen zum Lagerverwaltungsmonitor können die pro Methode benötigten Werte unter „Objektklassenmethoden“ herausgefunden werden.

Beispiel: Der User braucht die Funktion, um einen LA „zur Ressource zuzuordnen“. Hierzu werden folgende Werte berechtigt (dieses Schema wird so in der Rollenvergabe ausgefüllt):

/SCWM/LGNU                          * (Lagernummer ggf. eingrenzen, falls nötig)

/SCWM/MONI                           * (Monitor ggf. eingrenzen, falls nötig)

/SCWM/OBCL                           WO (Objektklasse)

/SCWM/METH                          WO0001 (Methode)

Screenshot Berechtigungen im Lagerverwaltungsmonitor

Mehr zum Thema Lagerverwaltungsmonitor, wie dieser aufgebaut und gecustomized werden kann, können Sie in unserer zugehörigen Serie nachlesen. Hier starten wir mit der Einführung in den LVM und ergänzen mit der Anpassung des LVM in Teil 1 sowie dem weiterführenden Teil 2.

Berechtigungen bei der Inventur

Eine Ausnahme bei den Berechtigungen stellt im SAP EWM noch die Inventur dar. Ob Benutzer abweichende Zählmengen ausbuchen bzw. nachzählen dürfen, wird nicht über das normale Berechtigungsmanagement in der PFCG gesteuert, sondern über die Transaktion /SCWM/PI_USER. Hier kann jedem Benutzer eine sogenannte Toleranzgruppe zugewiesen werden, welche dann steuert, was jener ausbuchen und nachzählen darf. In der SPRO unter „Toleranzgruppen definieren“ können die dahinterliegenden Prüfwerte gepflegt werden.

Screenshots Berechtigungen bei der Inventur
Screenshot Berechtigungen bei der Inventur - Toleranzgruppe ändern

Berechtigungsvergabe im EWM

Die große Frage bleibt natürlich, wie und welche Berechtigungen an welche Nutzer vergeben werden sollten. Da die SAP-EWM-Standardrollen – wie vorhin erläutert – meist nicht in der Praxis übernommen werden können, muss jedes Unternehmen für sich entscheiden, wie es seine Rollen aufbaut. Aus unseren bisherigen Projekten lassen sich jedoch ein paar wiederkehrende Muster erkennen:

  • Standardrollen werden selten 1:1 genutzt: SAP liefert Rollen aus, aber produktiv müssen sie fast immer angepasst oder komplett neu aufgebaut werden
  • Zu breite Berechtigungen in der Einführungsphase: Go-live-Druck führt oft dazu, dass Rollen zu großzügig vergeben werden – das wird später teuer aufzuräumen
  • Lagernummern werden unterschätzt: Besonders bei mehreren Lagern ist die saubere Trennung über Berechtigungsobjekte essenziell
  • Customizing & operative Tätigkeiten sind nicht getrennt: Ein klassischer Audit-Fund – Key User dürfen produktive Lagerbewegungen und Customizing gleichzeitig durchführen
  • Fehlende Dokumentation: Berechtigungen „wachsen historisch“ – ohne sauberes Rollenkonzept wird jede Anpassung riskant

Als Unternehmen sollte man sich entsprechend schon früh mit dem Thema Berechtigungen auseinandersetzen, sodass diese bereits in den umfangreichen Tests vor Go-live direkt mitgeprüft werden können: Die User, die hierbei testen, können direkt Feedback geben, ob sie alles, was sie benötigen, auch ausführen dürfen. Wenn nicht, muss nochmal nachgefeilt werden – solange, bis schließlich alles funktioniert, wie es soll – und dann läuft auch meist alles bei und nach dem Go-live rund. Ärgerlich ist es, das Berechtigungsthema erst im Livebetrieb auszuführen und anzupassen, da die Mitarbeiter so über einen längeren Zeitraum nicht vollständig ihrer Arbeit nachgehen können.

Um herauszufinden, welche Berechtigungen fehlen, kann die bekannte Transaktion „SU53“ verwendet werden. Hier stehen in den einzelnen Zeilen die fehlgeschlagenen Berechtigungsprüfungen inklusive der Objekte und Werte. Aber Achtung! Gerade im EWM-Umfeld sind auch häufig Einträge vorhanden, die der Nutzer so nicht ausführen wollte und damit auch gar nicht braucht. Gerade im Lagerverwaltungsmonitor werden zudem Funktionen geprüft, die der Nutzer ggf. gar nicht ausführen wollte. Etwa bei dem Aufruf weiterer Methoden wird an diesem Punkt auf alle möglichen dahinterstehenden Methoden geprüft. Hier sollte – wie oben beschrieben – lieber genauer nachgesehen werden, welche Objektklassen und Methoden berechtigt werden sollen.

Fazit

Ein durchdachtes Berechtigungs- und Rollenkonzept ist im SAP EWM kein „Nice-to-have“, sondern eine zentrale Voraussetzung für einen stabilen, sicheren und auditfähigen Lagerbetrieb. Wer Rollen prozessnah definiert, Zugriffe sauber über Lagernummern und Aktivitäten steuert und operative Tätigkeiten klar von Support und Customizing trennt, reduziert nicht nur Risiken, sondern erhöht auch die Akzeptanz bei den Anwendern im Lager. Wichtig ist dabei, weder zu restriktiv vorzugehen und jede einzelne Funktion genauestens zu berechtigen noch zu breite Rechte zu vergeben. Wie so häufig liegt hier die Wahrheit in der Mitte. Unsere Projekterfahrung zeigt: Je früher das Thema Berechtigungen ernst genommen wird, desto weniger Reibungsverluste gibt es im Go-live und im laufenden Betrieb. Wenn Sie Ihr EWM-Rollenkonzept überprüfen, neu aufsetzen oder für Fiori und RF zukunftssicher gestalten möchten, unterstützen wir Sie gerne mit unserer Praxis- und Projekterfahrung.

Erfahren Sie mehr zum Thema SAP EWM und wie wir Sie unterstützen können!

Das könnte Sie auch interessieren: