SAP-Schnittstellen: Nutzung verboten
Ich will mir die Zeit nehmen, auf die Aktualisierung von SAP-Hinweis 3255746 – „Unpermitted usage of ODP Data Replication APIs“ vom 13. April 2026 zu schauen.
SAP-Hinweis 3255746
Der Blick zurück zeigt, über welche Meilensteine sich der SAP-Hinweis 3255746 zum aktuellen Stand entwickelt hat: Die erste Version des SAP-Hinweises 3255746 wurde am 17. Oktober 2022 publiziert. Da-rin hieß es unter anderem: Die Verwendung von RFC-Bausteinen des ODP-Datenreplikations-APIs in Kunden- oder Drittanbieteranwendungen wird von SAP nicht unterstützt. Diese Funktionsbausteine sind nur für SAP-interne Anwendungen vorgesehen. Da sie nicht freigegeben und nicht dokumentiert sind, können sie von SAP -jederzeit ohne vorherige Ankündigung geändert werden. Kunden- oder Partneranwendungen, die diese Funktionsbausteine verwenden, folgen nicht den Empfehlungen von SAP für eine nachhaltige und unternehmenskritische Architektur. Jegliche Probleme, die durch solche Anwendungen auftreten oder verursacht werden, liegen im Risikobereich des Kunden, und Lösungen werden von SAP nicht unterstützt. Als Lösung verwies SAP im Oktober 2022 im Wesentlichen auf den Hilfe-Artikel „ODP-basierte Datenextraktion über OData“.
Am 2. Februar 2024 änderte SAP dann den Text deutlich. So hieß es in der damaligen V4 des Hinweises dann: Die Verwendung von RFC-Bausteinen der Datenreplikations-API von Operational Data Provisioning (ODP) durch Kunden- oder Drittanbieteranwendungen für den Zugriff auf SAP-Abap-Quellen (On-Prem oder Cloud Private Edition) wird von SAP nicht gestattet. Diese Bausteine sind nur für SAP-interne Anwendungen vorgesehen und können von SAP jederzeit ohne vorherige Ankündigung geändert werden. Der Lösungsvorschlag blieb bei dieser Aktualisierung unverändert erhalten. Am 13. April 2026 wurde dann die V10 veröffentlicht, die später am 21. April noch minimal angepasst wurde. Hier kündigt SAP zum Patch-Day am 9. Juni 2026 an, die unerlaubte Nutzung der Schnittstellen technisch zu blockieren. Begründet wird die Blockade mit erheblichen Sicherheits-risiken. Als Lösung heißt es im Hinweis nun: Kunden können, wie in der Dokumentation beschrieben, Alternativen für die Übertragung von Daten an Drittanbieteranwendungen prüfen, zu denen unter anderem die SAP Business Data Cloud (BDC) oder ODP-OData-API (ODP-basierte Datenex-traktion über OData) gehören. Da der Redaktionsschluss für das Erscheinen dieses Artikels im Juli 2026 noch vor dem 9. Juni 2026 lag, möchte ich hier nicht weiter darüber spekulieren, wie sich die angekündigten Sicherheits-Patches auf die Daten-Exporte einzelner SAP-Kunden ausgewirkt haben.
Relevanz für die Vorstandsebene?
Sicher ist aber, dass die seit Februar 2024 zur „verbotenen Nutzung“ erklärte Verwendung der ODP-RFC-API durch Kunden- und Drittanbieteranwendungen bei SAP-Kunden rund um den Globus eine beachtliche Verbreitung gefunden hat. Teilweise hängen vom verbotenen SAP-Daten-Export über die Schnittstelle regulatorische Berichte ab. Auch Finanz- und Governance-Prozesse bis hin zu Ergebnisberichten für börsennotierte Unternehmen sind von der Blockade potenziell betroffen.
Damit ist die Ankündigung einer per -Security-Patch forcierten technischen Blockade der Schnittstelle für unerlaubte Anwendungen kein technisches Problem der IT-Abteilung. Es hat direkte Relevanz für Vorstände und Aufsichtsgremien, die für die ordnungsgemäße Berichterstattung des Unternehmens verantwortlich zeichnen. Am Ende ist es wie mit Beton: Es kommt drauf an, was man draus macht.
Die von SAP genannten Lösungsansätze verdienen eine gebührende Würdigung. Aber nach meiner Beobachtung sind SAP-Lösungen nie schwarz-weiß und ich kenne keinen Kunden, der etwa die Business Data Cloud für alle seine SAP-Daten lizenziert. Dafür kenne ich einige Kunden, denen die erreichbaren Daten-Durchsätze bei der Verwendung der ODP-ODATA-API bei Weitem nicht ausreichen.
Fazit: Die Mischung macht’s
Meine Empfehlung an SAP-Kunden ist, und das hat sich seit den Ankündigungen auf der Sapphire in Orlando und in Madrid noch eher verstärkt: Der Weg in die Zukunft wird für SAP-Kunden ohne BDC nicht funktionieren. Aber: SAP-Kunden werden sich nicht die BDC für alle ihre SAP-Daten leisten können oder wollen. Speziell scheint mir die BDC als reines Export-Tool für SAP-Daten in andere Systeme eine Verschwendung von Ressourcen zu sein. Wer nun solche SAP-Daten außerhalb des SAP-Stacks nutzen möchte, für die BDC noch nicht im Einsatz ist und auch nicht zum Einsatz kommen soll, dem kann solide und preiswert ohne die Verletzung des Clean-Core-Anspruchs geholfen werden. (Quelle: Mehr.Sale)
DE 
EN 
ES 
FR 
