Turmbau zu Babel

SAP ist innovativ! Einer der jüngsten Trends in Walldorf soll die Möglichkeit sein, auf Basis der Hana-Plattform mit fast jeder existierenden Programmiersprache operieren zu können.

Das klingt spannend, innovativ und großzügig – ob es auch sinnvoll, effizient und sicher ist, scheint ein anderes Thema zu sein. Tatsache ist: SAP will sich attraktiv für die Generation der Hightech-Start-ups geben.

Man will im Silicon Valley und weltweit als Innovator gesehen werden, der Microsoft, Oracle, Salesforce weit hinter sich lässt: Wenn du auf Basis von Hana deine Ideen verwirklichen willst, dann bring doch einfach deine eigene Programmiersprache mit!

Man fragt sich, ob man in Walldorf nie etwas vom Turmbau zu Babel gehört hat. „Bring Your Own Language“ wird die bekannten Probleme Security, NetWeaver Foundation for Third Party und CDS (Core Data Services) mit Abap-managed Database Procedures (AMDP) exponentiell verstärken.

Security-Spezialisten sprechen von einigen Tausend Schwachstellen in operativen SAP-Systemen. Nicht alle Gefahren sind dem Basissystem (Kern) zuzurechnen. Viele Schwachstellen entstanden durch Modifikationen, sogenannte Z-Funktionen und Transaktionen sowie Add-ons.

Die offene NetWeaver-Plattform sowie Abap und Java geben dem SAP-Bestandskunden und Partnern sehr viel Handlungsspielraum. Eine systematische Überprüfung der Modifikationen im R/3 und ERP/ECC 6.0 hinsichtlich „Security“ war niemals von SAP vorgesehen.

Lange Zeit galt die „Black Box“ R/3 als weitgehend geschützt und wenig attraktiv für Cyber-Angriffe. Mit ECC 6.0 hat sich nicht nur der Kern der Software aus Walldorf geändert, es hat sich auch die Welt verändert: ERP-Systeme sind über viele Schnittstellen und Portale an das Internet angebunden.

Eine globale Kommunikation ist Voraussetzung für den geschäftlichen Erfolg. Die Datensicherheit und der Datenschutz kommen oft zu kurz. Weil es noch keine konkreten Lösungen und Maßnahmen für die Tausenden Security-Schwachstellen gibt, versucht Walldorf den Ball flach zu halten.

Ansprechen und darüber reden ist den meisten SAP-Mitarbeitern untersagt. Dem E-3 Magazin wurde vorsorglich mitgeteilt, dass Anfragen nicht beantwortet werden.

Offensichtlich ist das Thema aktueller, als es SAP lieb sein kann. Derweilen würde man das Erkennen und die Prüfung von Modifikationen und Add-ons liebend gerne durchführen – weil SAP dann zwei Probleme mit einem Schlag lösen könnte: Security und indirekte Nutzung!

Ein Damoklesschwert hängt über den SAP-Bestandskunden: indirekte Nutzung. Jahrelang hat SAP die eigenen Bestandskunden und Partner motiviert, die SAP-Basis zu erweitern.

Selbst das weltweit beste ERP-System kann nicht allen Anforderungen und Wünschen gerecht werden – das weiß man auch in Walldorf. So hat sich die SAP-Community kräftig an Abap und NetWeaver bedient und nun legt SAP die Rechnung dafür auf den Tisch: SAP weist seit 2014 bei vielen Kunden auf die Lizenzpflicht des Produkts NetWeaver Foundation for 3rd Party (NWF 3rd Party) hin.

Danach sind Eigenentwicklungen und Drittanbieterlösungen, die die NetWeaver-Technologie nutzen, lizenzpflichtig. Das Thema indirekte Nutzung war immer eine komplexe, verdrängte und dann auch teure Angelegenheit.

In der Vergangenheit galt jedoch der Glaube, es werde nichts so heiß gegessen wie gekocht. Irrtum! SAP versucht seit einigen Monaten, die „indirekte Nutzung“ in eine signifikante Einnahmenquelle zu wandeln.

Die dazu notwendige Lizenz „NetWeaver Foundation for Third Party“ könnte einzelne Bestandskunden bis zu zwei Millionen Euro und mehr kosten, wie einer aktuellen Umfrage des DSAG-Arbeitskreises Lizenzen zu entnehmen war.

SAP kann die indirekte Nutzung – also Modifikationen und Add-ons – nicht vermessen und prüfen. Die klassische SAP-Lizenzvermessung ist auf diesem Auge noch blind, was aktuell aus der Sicht von Walldorf doppelt unangenehm ist: Man sieht die Security-Schwachstellen und die indirekte Nutzung nicht!

Offensichtlich sollen die Themen Security und indirekte Nutzung jedoch nicht beherrschbar werden, sondern komplexer. Mit „Bring Your Own Language“ würden die Möglichkeiten zur Modifikation des SAP-Systems exponentiell zunehmen.

Im Dokument SAP Release Strategy vom 12. November dieses Jahres wird auf dieses Thema auf ganz besondere Weise unter folgender Überschrift hingewiesen: Abap-managed Data­base Procedures and Advanced View Building with Core Data Services.

CDS mögen ein Schlüssel für den Turmbau zu Babel – Bring Your Own Language – sein, aber Core Data Services sind sicher keine Lösung für eine konsolidierte und fehlerfreie SAP-Basis.

Security wird es nicht geben und indirekte Nutzung wird weiter ein Damoklesschwert sein.