Information und Bildungsarbeit von und für die SAP-Community

Turmbau zu Babel

Ein kleiner Schritt für SAP, vielleicht eine große Katastrophe für die Bestandskunden. Wer sein SAP-System modifizierte, hat momentan drei Herausforderungen: Security, NetWeaver Foundation for Third Party und CDS mit Abap-managed Database Procedures.
3. Dezember 2015
Editorial

SAP ist innovativ! Einer der jüngsten Trends in Walldorf soll die Möglichkeit sein, auf Basis der Hana-Plattform mit fast jeder existierenden Programmiersprache operieren zu können.

Das klingt spannend, innovativ und großzügig – ob es auch sinnvoll, effizient und sicher ist, scheint ein anderes Thema zu sein. Tatsache ist: SAP will sich attraktiv für die Generation der Hightech-Start-ups geben.

Man will im Silicon Valley und weltweit als Innovator gesehen werden, der Microsoft, Oracle, Salesforce weit hinter sich lässt: Wenn du auf Basis von Hana deine Ideen verwirklichen willst, dann bring doch einfach deine eigene Programmiersprache mit!

Man fragt sich, ob man in Walldorf nie etwas vom Turmbau zu Babel gehört hat. „Bring Your Own Language“ wird die bekannten Probleme Security, NetWeaver Foundation for Third Party und CDS (Core Data Services) mit Abap-managed Database Procedures (AMDP) exponentiell verstärken.

Security-Spezialisten sprechen von einigen Tausend Schwachstellen in operativen SAP-Systemen. Nicht alle Gefahren sind dem Basissystem (Kern) zuzurechnen. Viele Schwachstellen entstanden durch Modifikationen, sogenannte Z-Funktionen und Transaktionen sowie Add-ons.

Die offene NetWeaver-Plattform sowie Abap und Java geben dem SAP-Bestandskunden und Partnern sehr viel Handlungsspielraum. Eine systematische Überprüfung der Modifikationen im R/3 und ERP/ECC 6.0 hinsichtlich „Security“ war niemals von SAP vorgesehen.

Lange Zeit galt die „Black Box“ R/3 als weitgehend geschützt und wenig attraktiv für Cyber-Angriffe. Mit ECC 6.0 hat sich nicht nur der Kern der Software aus Walldorf geändert, es hat sich auch die Welt verändert: ERP-Systeme sind über viele Schnittstellen und Portale an das Internet angebunden.

Eine globale Kommunikation ist Voraussetzung für den geschäftlichen Erfolg. Die Datensicherheit und der Datenschutz kommen oft zu kurz. Weil es noch keine konkreten Lösungen und Maßnahmen für die Tausenden Security-Schwachstellen gibt, versucht Walldorf den Ball flach zu halten.

Ansprechen und darüber reden ist den meisten SAP-Mitarbeitern untersagt. Dem E-3 Magazin wurde vorsorglich mitgeteilt, dass Anfragen nicht beantwortet werden.

Offensichtlich ist das Thema aktueller, als es SAP lieb sein kann. Derweilen würde man das Erkennen und die Prüfung von Modifikationen und Add-ons liebend gerne durchführen – weil SAP dann zwei Probleme mit einem Schlag lösen könnte: Security und indirekte Nutzung!

Ein Damoklesschwert hängt über den SAP-Bestandskunden: indirekte Nutzung. Jahrelang hat SAP die eigenen Bestandskunden und Partner motiviert, die SAP-Basis zu erweitern.

Selbst das weltweit beste ERP-System kann nicht allen Anforderungen und Wünschen gerecht werden – das weiß man auch in Walldorf. So hat sich die SAP-Community kräftig an Abap und NetWeaver bedient und nun legt SAP die Rechnung dafür auf den Tisch: SAP weist seit 2014 bei vielen Kunden auf die Lizenzpflicht des Produkts NetWeaver Foundation for 3rd Party (NWF 3rd Party) hin.

Danach sind Eigenentwicklungen und Drittanbieterlösungen, die die NetWeaver-Technologie nutzen, lizenzpflichtig. Das Thema indirekte Nutzung war immer eine komplexe, verdrängte und dann auch teure Angelegenheit.

In der Vergangenheit galt jedoch der Glaube, es werde nichts so heiß gegessen wie gekocht. Irrtum! SAP versucht seit einigen Monaten, die „indirekte Nutzung“ in eine signifikante Einnahmenquelle zu wandeln.

Die dazu notwendige Lizenz „NetWeaver Foundation for Third Party“ könnte einzelne Bestandskunden bis zu zwei Millionen Euro und mehr kosten, wie einer aktuellen Umfrage des DSAG-Arbeitskreises Lizenzen zu entnehmen war.

SAP kann die indirekte Nutzung – also Modifikationen und Add-ons – nicht vermessen und prüfen. Die klassische SAP-Lizenzvermessung ist auf diesem Auge noch blind, was aktuell aus der Sicht von Walldorf doppelt unangenehm ist: Man sieht die Security-Schwachstellen und die indirekte Nutzung nicht!

Offensichtlich sollen die Themen Security und indirekte Nutzung jedoch nicht beherrschbar werden, sondern komplexer. Mit „Bring Your Own Language“ würden die Möglichkeiten zur Modifikation des SAP-Systems exponentiell zunehmen.

Im Dokument SAP Release Strategy vom 12. November dieses Jahres wird auf dieses Thema auf ganz besondere Weise unter folgender Überschrift hingewiesen: Abap-managed Data­base Procedures and Advanced View Building with Core Data Services.

CDS mögen ein Schlüssel für den Turmbau zu Babel – Bring Your Own Language – sein, aber Core Data Services sind sicher keine Lösung für eine konsolidierte und fehlerfreie SAP-Basis.

Security wird es nicht geben und indirekte Nutzung wird weiter ein Damoklesschwert sein.

Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.