Risiko der indirekten Nutzung – Better Practice

Verunsicherung befällt die globale SAP-Community, seit dem Antrag von SAP auf Entschädigung im Rechtsstreit um indirekte Nutzung stattgegeben wurde.

Innerhalb weniger Stunden verbreitete sich die Nachricht rund um den Globus und SAP-Kunden ersuchen vermehrt die wenigen bekannten Experten um Rat. Was bedeutet dieses Urteil für SAP-Kunden?

Zunächst möchte ich darauf hinweisen, dass indirekte Nutzung kein reines SAP-Thema ist. Es gibt viele Hersteller, welche Entschädigung für entsprechende Szenarien einfordern.

Doch wie kann man diesem Thema begegnen und sich entsprechend vorbereiten bzw. absichern?

Technische Hilfsmittel und „Standardvorgehen“, welche durch diverse Toolhersteller angeboten werden, gilt es kritisch zu hinterfragen. Allerdings gibt es einige Ansätze, die in jedem Falle grundlegend zu beachten sind.

So hilft es beispielsweise nicht, rein RFC-Verbindungen nachzuverfolgen und gegen im Umlauf befindliche schwarze Listen abzugleichen.

Kann man beispielsweise nach dem bestehenden Urteil nun pauschal behaupten, eine Salesforce-Applikation verursache in jedem Falle indirekte Nutzung? Selbstverständlich, doch die eigentliche Frage ist: Handelt es sich um eine lizenzpflichtige Nutzung? Und dies ist deutlich schwieriger zu beantworten.

Betrachtet man nur die Endpunkte der Kommunikation, so macht man sich das Expertenleben etwas einfach. Vielmehr gilt es, bestehende Nutzungsszenarien ganzheitlich zu bewerten.

• Werden Daten in Echtzeit zwischen Systemen ausgetauscht oder frequenziell?
• Erfolgt der Austausch durch humane Interaktion oder per technischem User?
• Verläuft die Kommunikation uni- oder bidirektional?
• Werden Datensätze per dediziertem Query auf die Datenbank oder als Bulk ausgetauscht?
• Oder hängt gar eine Art Message Queue als Sammelstation zwischen den Systemen?

Selbstverständlich gibt es eine Vielzahl weiterer Hinweise, die beachtet werden müssen, und auch die Nutzungsrechte in den Zielsystemen oder Berechtigungen im Active-Directory-Umfeld können eine weitere Rolle spielen.

Ein mögliches Herangehen an die bestehende Problematik kann sich beispielsweise wie folgt gestalten: Als Start kann das Tracen der RFC-Verbindungen zur Identifikation potenzieller Drittapplikationen erfolgen. Ebenso wichtig ist jedoch die Erhebung von Informationen zu Applikationen, die beispielsweise über IDoc-Schnittstellen, IP-Sec-Verbindungen, HTTP, CHC, SNA, TCP/IP, OSS oder andere Wege kommunizieren.

Hat man die potenziell von indirekter Nutzung betroffenen Systeme identifiziert, sollte man diese klassifizieren und sinnvoll aufgrund der Höhe des zu erwartenden monetären Risikos priorisieren.

Im nächsten Schritt sammelt man detaillierte Informationen zu den priorisierten Systemen und deren zugehörigen SAP-Usern und skizziert die Infrastrukturdiagramme als Ausgangspunkt für eine akkurate Bewertung.

Auch die Nutzung der externen Applikationen sollte identifiziert werden. Hierzu ist gegebenenfalls eine Prüfung SAP-fremder Berechtigungs- und Zugriffsverwaltungen vonnöten.

Im Anschluss werden alle identifizierten Szenarien individuell bewertet sowie evaluiert, ob technische Maßnahmen das Risiko minimieren oder gar eliminieren können.

Hat man am Ende die individuell kosteneffizienteste Lizenzierungsvariante (oder technische Lösung zur Risikovermeidung) identifiziert, so werden bestehende Szenarien sinnvoll zu übergreifenden Use-Cases zusammengefasst, um gegebenenfalls nicht mehrfach für denselben Nutzer kostenpflichtige Nutzungsrechte erwerben zu müssen.

Für jene Nutzer, welche tatsächlich einen entsprechenden Lizenzerwerb nach sich ziehen, sollte zuletzt im Detail evaluiert werden, welche Funktionalitäten innerhalb der SAP-Umgebung auf indirektem Weg genutzt werden.

Ein Abgleich gegen die entsprechenden Preis- und Konditionenliste resultiert in der Identifikation der kostengünstigsten Abdeckungsvariante(n) und führt zur langersehnten Transparenz und nachhaltigen Risikominimierung.