Das neue SAP-Lizenzmodell kann teuer werden!
Gravierende Folgen ungeprüfter Berechtigungen bei der S/4-Migration
Künftig macht beim Umstieg alles außer einem Greenfield-Ansatz eigentlich keinen Sinn mehr. Die tiefgreifenden Folgen des Wechsels von verbrauchs- zu berechtigungsbasierter Lizenzierung werden von den meisten SAP-Bestandskunden fatal unterschätzt. Im Rahmen einer IT-Onlinekonferenz Ende Januar bestätigte eine Unternehmensumfrage zur Überprüfung von SAP-Berechtigungsrollen diesen Eindruck in hohem Maße: Gut 85 Prozent der Unternehmen prüfen diese nur unregelmäßig bis überhaupt nicht beziehungsweise wollen oder können dazu keine Angaben machen – was erfahrungsgemäß auf Letzterem beruht. Zu viele sind sich also der Konsequenzen des neuen Lizenzmodells für die Migration nicht bewusst, und das sollte sich schleunigst ändern.
SAP-Berechtigungsprojekte sahen in den vergangenen 25 Jahren klassischerweise so aus: Meist unter Zeitdruck wurde ein Berechtigungskonzept definiert, das irgendwie compliant funktioniert, und Rollen wurden dann schlicht so gebaut, dass Anwender nutzen konnten, was sie brauchten, siehe Seite 12 und 20 dieser Ausgabe.Klar ist auch, dass die Frage der Lizenzierung bei der technischen Zuweisung von Berechtigungen in den meisten Unternehmen bis dato vernachlässigt wird, was häufig dazu führte, dass Berechtigungen ausuferten. Manche User haben bis zu 500 Berechtigungen, benötigt werden davon allenfalls 25 Prozent.
Werden Kunden nun gefragt, mit welchem Lizenzmodell und Berechtigungskonzept sie den Wechsel zu S/4 vorbereiten, dann wissen diese meist gar nicht, was die Wahl zwischen einer Product und einer Contract Conversion in letzter Konsequenz bedeutet. Niemand hat bislang ernsthaft Gedanken daran verschwendet, dass es verschiedene Zugriffstechnologien mit monetären Auswirkungen geben könnte. Aber genau das ist jetzt der Fall: Neue Techniken in S/4-Projekten setzen entsprechende Szenarien voraus, das SAP-Lizenzmodell wurde immer komplexer und ändert sich nun grundlegend!
Product Conversion
Eine Product Conversion bedeutet vor allem, dass alte Verträge zunächst bestehen bleiben, und scheint die geringsten Auswirkungen zu haben. Im Gegensatz zur Contract Conversion ist es hier möglich, die bestehenden Verträge mit SAP und damit eben auch deren Bedingungen zur Lizenzierung beizubehalten. Neue Produkte aus S/4 werden dann hinzugefügt, das heißt, wer eine neue Engine nutzen will, die es nur unter S/4 gibt, kauft diese hinzu und lizenziert sie entsprechend. Aber er verbleibt mit seinen Nutzungslizenzen mehr oder weniger im ECC-Bereich und vermisst weiterhin nach Verbrauch und nicht nach Berechtigung. Es findet damit dann aber auch keine Wandlung aus bestehenden Lizenzen wie bei der Contract Conversion statt. Zunächst wird also an das Bestehende einfach nur ein Vertrag über den konkreten Zukauf angefügt und die Lizenzierung basiert weiterhin auf tatsächlicher Nutzung.
Contract Conversion
Eine Contract Conversion ist im Grunde die Ablösung der Bestandsverträge. Man nimmt die bestehenden Verträge, den Lizenz- und auch den Softwarewert, der in diesen Lizenzen und Verträgen steht, zusammen und bewertet sie. Für S/4 wird dann ein neuer Vertrag erstellt und dieser gilt fortan mit all seinen Folgen. Entscheidend dabei ist: Im Bereich S/4 basiert die Lizenzierung nun auf theoretischen Berechtigungen und nicht mehr auf der tatsächlichen Nutzung durch den User. Dafür zeichnet SAP über einen Zeitraum von standardmäßig drei Monaten auf, auf welche Berechtigungen ein User im System Zugriff genutzt haben könnte – wofür dann allein aufgrund der möglichen Nutzung eine Lizenz fällig wird.
Relevant ist dann nicht mehr die tatsächliche Transaktion, sondern einfach alles, was man theoretisch mit seinen Berechtigungen hätte tun können. Und das kann bei den beschriebenen zu großzügig gesetzten Berechtigungskonzepten äußerst problematisch werden. Zusätzlich sind Tools, die bislang sehr verlässliche Ergebnisse zur Optimierung von SAP-Lizenzen lieferten, mit dem neuen Lizenzmodell obsolet geworden.
Der Trugschluss
Der Vergleich beider Vorgehensweisen könnte nun zu dem bequemen Schluss verleiten, wenn man die Product Conversion wähle, bleibe alles, was das Thema Berechtigungen angeht, erst mal beim Alten, nur mit der Contract Conversion hole man sich die geschilderte Problematik ins Haus. Das ist aber in vielerlei Hinsicht zu kurz gedacht. Schon deshalb, weil es in den neuen Modellen neue Anwendungen gibt, während andere wegfallen, und wenn man dann Rollen baut, die kleinste Änderung dazu führen kann, dass diese nicht mehr lizenzkompatibel sind, was die entsprechenden Konsequenzen hat.
Außerdem zeigt die Erfahrung, dass bei einer Product Conversion die benötigten Berechtigungen für die neu hinzugekauften Produkte meist einfach den alten Rollen hinzugefügt werden. Was die Rolle angeht, wird diese erweitert, statt sie auf ein gesundes Maß zu reduzieren. So findet kaum eine Auseinandersetzung mit den bestehenden SAP-Rollen statt, mit der Folge, dass nicht mehr benötigte Berechtigungen weiterhin nicht entfernt werden. Abgesehen von der weiterhin dringlichen Sicherheitsproblematik gilt nun aber: Ausufernde Berechtigungen werden mittelfristig sehr, sehr teuer.
Dabei zeigt die Erfahrung: Im Schnitt braucht ein User gerade einmal 25 Prozent der ihm zugewiesenen Berechtigungen, was kurzfristig zumindest finanziell noch unproblematisch ist, solange auf Verbrauch lizenziert werden kann. Mittelfristig wird man aber auf Berechtigungen lizenzieren müssen, daran führt kein Weg vorbei. Die Erfahrung der letzten Jahre im Bereich ECC hat gezeigt, dass diese Änderungen definitiv kommen werden, auch wenn der Aufschrei in der DSAG e. V. und anderen Gremien groß ist. Ab diesem Zeitpunkt entscheidet ohne Ausnahme nicht mehr das Did-do eines Users, sondern ausschließlich das Could-do. Und dann werden diese 75 Prozent, die nie benutzt wurden, mit eingerechnet.
Was ist zu tun?
Als ersten Schritt bietet SAP jetzt selbst ein Tool, mit dem man auf Knopfdruck ermittelt, ob eine Rolle teuer wird. Nach einer unverbindlichen Registrierung zeigt eine Excel-Tabelle, welches Berechtigungsobjekt in welcher Ausprägung welchem Lizenztyp zugeordnet ist. Und man kann einen Testlauf nutzen, der exakt ausgibt, wie teuer eine S/4-Lizenz aktuell wäre. Das Ergebnis sollte die meisten Unternehmen veranlassen, sich dem Problem unverzüglich zu stellen. Wie achtet man dann aber zukunftssicher auf Berechtigungen und Lizenzen im Projekt Rollenmigration? Die klare Antwort ist: Alles außer einem Greenfield-Ansatz macht bei S/4-Berechtigungen nun keinen Sinn mehr! Hier bringt es auch nichts zu sagen, wir räumen auf, weil dies nicht so gründlich erfolgt wie eine Neuerstellung.
Der Ansatz: Green Field mit Tool-Unterstützung
Der richtige Ansatz einer Best Practice ist, über eine Verbrauchsanalyse aller Nutzer im aktuellen System festzustellen, was wirklich gebraucht wurde, sowie eine Rollenanalyse im Nachgang der Verbrauchsanalyse durchzuführen. Nachdem geklärt wurde, wie die aktuellen Rollen den tatsächlichen Verbrauch abbilden, erfolgt eine Neuzuordnung der Lizenzen aufgrund der Verbrauchsanalyse. Um dies zu leisten, sind zum jetzigen Zeitpunkt Tools wie von Pathlock unverzichtbar für die kontinuierliche Kontrolle der Ergebnisse. Dies gilt sowohl für die Analyse dessen, was gebraucht wird, als auch für die Ergebnisse bei der Neuerstellung der Rolle und der Berechtigungen.