SAP API Policy: Klärungsbedarf

Mit der neuen Policy wird festgelegt, dass nur solche Schnittstellen als veröffentlichte APIs gelten, die im „SAP Business Accelerator Hub“ oder in der jeweiligen Produktdokumentation ausgewiesen sind.„Für SAP-zu-Non-SAP-Szenarien bedeutet das: Sie werden nur noch dort belastbar unterstützt, wo SAP die zugrunde liegenden Schnittstellen ausdrücklich veröffentlicht und dokumentiert hat“, erklärt Jens Hungershausen, DSAG-Vorstandsvorsitzender. Nach Auffassung der DSAG sind der „SAP Business Accelerator Hub“ sowie nicht näher definierte Produktdokumentationen bislang nicht eindeutig als Vertragsbestandteile ausgestaltet. Daraus ergibt sich aus Kundensicht die zwingende Anforderung nach klaren und verlässlichen Rahmenbedingungen, um Auswirkungen von Änderungen frühzeitig einschätzen zu können.

Forderung: Belastbare Verträge

„Die DSAG fordert schon länger absolut belastbare Vertragsdokumente. SAP nimmt jedoch z. B. bei der SAP Business Data Cloud und nun auch bei der API Policy eine gegenläufige Position ein. Kunden haben bei der Interpretation der Unterlagen derzeit noch Fragen – aus DSAG-Sicht besteht hier Klärungsbedarf zur vertraglichen Einordnung, das ist so nicht hinnehmbar“, so Michael Bloch, DSAG Fachvorstand für Lizenzen, Vertragswesen und Support.

Darüber hinaus verbindet SAP die API-Nutzung mit klaren technischen und organisatorischen Auflagen. Eingeschränkt werden zudem die Nutzungen für nicht dokumentierte Zwecke, für systematische oder großflächige Datenextraktionen sowie für den Einsatz im Zusammenspiel mit (semi-)autonomen oder generativen KI-Systemen, sofern diese nicht ausdrücklich in von SAP vorgesehenen Architekturen oder Services stattfinden.

Schutz bestehender Integrationen

„Laut der DSAG vorliegenden Informationen sind bestehende Kundenintegrationen und autorisierte Partnerlösungen nicht betroffen. Das ist essenziell aus Kunden- und Partnersicht“, meint Stefan Nogly, DSAG- Fachvorstand für Technologie, und ergänzt: „Ein Schutz für bereits bestehende und von SAP geduldete Integrationen ist wichtig und sollte in der API Policy festgehalten werden.“ Die SAP-Anpassung erfolgt vor dem Hintergrund identifizierter Sicherheitsrisiken bei bestimmten Nutzungsmustern sowie einer insgesamt stark zunehmenden Nutzung von APIs. „In der Praxis wurden in der Vergangenheit auch Schnittstellen genutzt, die nicht offiziell dokumentiert oder freigegeben waren. Gerade bei Zusatzlösungen von Partnern werden erfahrungsgemäß häufig undokumentierte Schnittstellen verwendet“, so Hungershausen.

Kritik an Kommerzialisierung

Die DSAG weist darauf hin, dass potenzielle neue Preismodelle oder Nutzungsregelungen rund um APIs transparent und frühzeitig kommuniziert werden müssten, um Planungssicherheit für Kunden und Partner zu gewährleisten. Bereits mit dem Digital-Access-Modell hat SAP für die Anlage bestimmter Belegarten in der indirekten Nutzung ein Preismodell entwickelt. „Laut SAP-Informationen soll es ein Fair-Use-Modell geben. Die konkrete Ausgestaltung ist derzeit noch unklar und sollte transparent in der API Policy dokumentiert werden“, fordert Bloch.

„Wir sehen aus Kundensicht erheblichen Klärungs- und Anpassungsbedarf – insbesondere, um bestehende geschäftskritische End-to-End-Prozesse nicht zu unterbrechen oder rechtlich angreifbar zu machen“, sagt Nogly. Viele Anwenderunternehmen arbeiten bereits auf Basis der bisherigen Auslegung der API-Nutzung an Proof-of-Concepts und Pilotprojekten. Zwar soll die Policy – so das Verständnis der DSAG – zunächst vor allem für Neukunden und -verträge relevant sein und kurzfristig nicht zu technischen Einschränkungen bestehender Integrationen führen. Indes ist noch nicht abschließend geklärt, wie SAP hinsichtlich der neuen Policy bei Vertragsverlängerungen oder -erweiterungen bestehender Verträge vorzugehen plant. „Entscheidend sind die langfristigen Auswirkungen auf Innovationsfähigkeit sowie mögliche neue Kosten- und Abhängigkeitsstrukturen. In einer Phase zunehmender heterogener Architekturen und intensiver KI-Experimente sind APIs ein zentraler Innovationsfaktor“, so Nogly.

Mehr Transparenz gefordert

Die jetzigen Ankündigungen sorgen bei Kunden und Partnern aus DSAG-Sicht für Verunsicherung. So ergibt sich z. B. aus Anwendersicht die Frage, ob sich solche Vorhaben später überhaupt produktiv und richtlinienkonform betreiben lassen.

Änderungen am API-Status, an Nutzungsrechten oder an unterstützten Szenarien dürfen nicht einseitig und nicht rückwirkend erfolgen. Nur so lassen sich rechtliche Risiken, Betriebsunterbrechungen und nachträgliche Einschränkungen bestehender Integrations- und Innovationsszenarien vermeiden und die geforderte Planungssicherheit für Kunden gewährleisten. Kritisch ist insbesondere die fehlende Transparenz: Weder ist eindeutig dokumentiert, welche APIs konkret betroffen sind, noch ist das Ausmaß klar definiert. „Die Frage ist, welche Schnittstellen in den Partnerlösungen zum Einsatz kommen“, so Hungershausen. Nach dem Verständnis des SAP-Anwenderverbandes müssen diejenigen nichts tun, die offizielle APIs nutzen, wobei durch die fehlende vertragliche Absicherung keine absolute Sicherheit gegeben ist.

Bedrohte Geschäftsmodelle

Für einige Partnerunternehmen jedoch könnte der Aufwand groß sein und das Wegbrechen von Geschäftsmodellen drohen. „Daher ist es essenziell, dass SAP den Kunden mehr Zeit für den Übergang gewährt“, fordert Hungershausen. Zusätzlich benötigen Kunden und Partner für die Umstellung auf von SAP unterstützte Schnittstellen auch konkrete technische sowie organisatorische Hilfestellungen. Aus Sicht der DSAG wirft die aktuelle Ausgestaltung der API Policy Fragen auf. Der Umfang der Einschränkungen scheint über das notwendige technische Maß hinauszugehen.

Um Innovationsfähigkeit und Planungssicherheit bei Kunden und Partnern langfristig zu sichern, müssen diese offenen Punkte schnellstmöglich in Zusammenarbeit zwischen SAP und DSAG geklärt werden.

(Quelle: DSAG)