Information und Bildungsarbeit von und für die SAP-Community

Risiko der indirekten Nutzung – Better Practice

Das jüngste Urteil zugunsten von SAP im Rechtsstreit bezüglich indirekter Nutzung verunsichert die globale SAP-Community. Nicht zuletzt hierdurch hat die Schaffung von Transparenz, bezogen auf die gesamte SAP-Infrastruktur, an Bedeutung gewonnen.
Florian Ascherl, KPMG
31. März 2017
Lizenzen
avatar

Verunsicherung befällt die globale SAP-Community, seit dem Antrag von SAP auf Entschädigung im Rechtsstreit um indirekte Nutzung stattgegeben wurde.

Innerhalb weniger Stunden verbreitete sich die Nachricht rund um den Globus und SAP-Kunden ersuchen vermehrt die wenigen bekannten Experten um Rat. Was bedeutet dieses Urteil für SAP-Kunden?

Zunächst möchte ich darauf hinweisen, dass indirekte Nutzung kein reines SAP-Thema ist. Es gibt viele Hersteller, welche Entschädigung für entsprechende Szenarien einfordern.

Doch wie kann man diesem Thema begegnen und sich entsprechend vorbereiten bzw. absichern?

Technische Hilfsmittel und „Standardvorgehen“, welche durch diverse Toolhersteller angeboten werden, gilt es kritisch zu hinterfragen. Allerdings gibt es einige Ansätze, die in jedem Falle grundlegend zu beachten sind.

So hilft es beispielsweise nicht, rein RFC-Verbindungen nachzuverfolgen und gegen im Umlauf befindliche schwarze Listen abzugleichen.

Kann man beispielsweise nach dem bestehenden Urteil nun pauschal behaupten, eine Salesforce-Applikation verursache in jedem Falle indirekte Nutzung? Selbstverständlich, doch die eigentliche Frage ist: Handelt es sich um eine lizenzpflichtige Nutzung? Und dies ist deutlich schwieriger zu beantworten.

Betrachtet man nur die Endpunkte der Kommunikation, so macht man sich das Expertenleben etwas einfach. Vielmehr gilt es, bestehende Nutzungsszenarien ganzheitlich zu bewerten.

  • Werden Daten in Echtzeit zwischen Systemen ausgetauscht oder frequenziell?
  • Erfolgt der Austausch durch humane Interaktion oder per technischem User?
  • Verläuft die Kommunikation uni- oder bidirektional?
  • Werden Datensätze per dediziertem Query auf die Datenbank oder als Bulk ausgetauscht?
  • Oder hängt gar eine Art Message Queue als Sammelstation zwischen den Systemen?

Selbstverständlich gibt es eine Vielzahl weiterer Hinweise, die beachtet werden müssen, und auch die Nutzungsrechte in den Zielsystemen oder Berechtigungen im Active-Directory-Umfeld können eine weitere Rolle spielen.

Ein mögliches Herangehen an die bestehende Problematik kann sich beispielsweise wie folgt gestalten: Als Start kann das Tracen der RFC-Verbindungen zur Identifikation potenzieller Drittapplikationen erfolgen. Ebenso wichtig ist jedoch die Erhebung von Informationen zu Applikationen, die beispielsweise über IDoc-Schnittstellen, IP-Sec-Verbindungen, HTTP, CHC, SNA, TCP/IP, OSS oder andere Wege kommunizieren.

Hat man die potenziell von indirekter Nutzung betroffenen Systeme identifiziert, sollte man diese klassifizieren und sinnvoll aufgrund der Höhe des zu erwartenden monetären Risikos priorisieren.

Im nächsten Schritt sammelt man detaillierte Informationen zu den priorisierten Systemen und deren zugehörigen SAP-Usern und skizziert die Infrastrukturdiagramme als Ausgangspunkt für eine akkurate Bewertung.

Auch die Nutzung der externen Applikationen sollte identifiziert werden. Hierzu ist gegebenenfalls eine Prüfung SAP-fremder Berechtigungs- und Zugriffsverwaltungen vonnöten.

Im Anschluss werden alle identifizierten Szenarien individuell bewertet sowie evaluiert, ob technische Maßnahmen das Risiko minimieren oder gar eliminieren können.

Hat man am Ende die individuell kosteneffizienteste Lizenzierungsvariante (oder technische Lösung zur Risikovermeidung) identifiziert, so werden bestehende Szenarien sinnvoll zu übergreifenden Use-Cases zusammengefasst, um gegebenenfalls nicht mehrfach für denselben Nutzer kostenpflichtige Nutzungsrechte erwerben zu müssen.

Für jene Nutzer, welche tatsächlich einen entsprechenden Lizenzerwerb nach sich ziehen, sollte zuletzt im Detail evaluiert werden, welche Funktionalitäten innerhalb der SAP-Umgebung auf indirektem Weg genutzt werden.

Ein Abgleich gegen die entsprechenden Preis- und Konditionenliste resultiert in der Identifikation der kostengünstigsten Abdeckungsvariante(n) und führt zur langersehnten Transparenz und nachhaltigen Risikominimierung.

avatar
Florian Ascherl, KPMG

Florian Ascherl ist Senior Manager und Prokurist bei KPMG


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.