Risikoreduktion durch Transparenz in den Schnittstellen

Ausser den operativen Erfordernissen ist die schnelle und genaue Ermittlung der Schnittstellenumgebung in SAP-Installationen ein wesentlicher Schritt, wenn Haftungspotenzial und mögliche Zusatzgebühren im Rahmen eines SAP-Lizenzvertrags bestimmt werden sollen. Leider mangelt es vielen Unternehmen an genau diesen Informationen. Sie sind einem beträchtlichen finanziellen und haftungsrechtlichen Risiko ausgesetzt, was Lizenzierung, Sicherheit und Compliance angeht. Kunden sollten ihre Systeme gründlich analysieren, um ein genaues Bild aller bestehenden Schnittstellen zu bekommen. Die hierbei am häufigsten angewandte Methode ist eine händische Überprüfung, verbunden mit einem Systemcheck. Dies ist jedoch keine empfehlenswerte Lösung, denn es handelt sich um ein arbeitsintensives, zeitaufwändiges und insgesamt ineffizientes Verfahren mit hoher Fehleranfälligkeit.

Ein wichtiger erster Schritt

• Bei der Ermittlung ihrer Schnittstellenumgebung stossen Unternehmen auf typische Probleme:

• Es mangelt an Kenntnissen über die Art und Anzahl der Schnittstellen

• Eine Dokumentation bestehender Schnittstellen fehlt, ist ­unvollständig oder nicht auf dem neuesten Stand

• Es fehlt ein zentraler Zugang zu Informationen über wesent­liche Schnittstellen

• Überwachungswerkzeuge fehlen oder bieten nicht alle ­benötigten Informationen

• Es gibt keine geeignete grafische Darstellung der Schnittstellentopologie, die eine schnelle und sachgerechte Interpretation zulässt

• Liegen Informationen über die Verwendung der SAP-Schnittstellen vor, sind die Protokolle oft an mehreren Orten verteilt oder werden in regelmässigen Abständen gelöscht

• Viele Datensätze sind irrelevant und Filtermöglichkeiten ­fehlen

• Dezentrale IT-Landschaften erschweren es, einen Überblick zu ­bekommen

Genauigkeit und Schnelligkeit spielen eine massgebliche Rolle. SAP-Kunden sollten nur bewährte und automatisierte Lösungen und Dienste in Anspruch nehmen. Folgende Mindestanforderungen sind an eine effektive, automatische Lösung zur Schnittstellenermittlung zu stellen:

• Automatische und Ad-hoc-Dokumentation der Schnitt­stellenlandschaft

• Abdeckung aller SAP-unterstützten Protokolltypen

• Verfügbarkeit vorkonfektionierter Standardabfragen

• Möglichkeit, kundenspezifische Abfragen einzurichten

• Grafische und tabellarische Darstellung der Abfrage­ergebnisse

• Export der Ergebnisse in Standardanwendungen wie ­Microsoft Excel, Adobe PDF und HTML

• Unkomplizierte Installation und Bedienung der Scan-­Software

Die Überprüfung muss eine Analyse der Kommunikationsinfrastruktur erlauben, darunter:

• Änderungshistorie von Systemen, Verbindungen, Nutzungs­statistiken

• Verwendungsanalyse

• Ungewöhnliche Änderungen in der Nutzungsstatistik oder Abweichungen in der Häufigkeit der Aufrufe

• Identifizierung nicht verwendeter Anschlüsse

• Verbindungen zu sensiblen Systemen

• Überprüfung von Sicherheit und Zugang zum Schutz von ­System und Daten

• Analyse aufgrund unternehmensspezifischer Kriterien

Sind die Daten über die Schnittstellenumgebung erst einmal gesammelt, sind alle Mitarbeiter aus der IT-Abteilung, der Rechtsabteilung, aus den Bereichen Risiko & Compliance sowie der Finanzabteilung gefordert.

Die Daten sollten für alle Beteiligten grafisch und tabellarisch übersichtlich und verständlich aufbereitet werden. Mithilfe dieser Daten kann der Kunde ermitteln, welche Schnittstellen in Gebrauch sind, wer sie nutzt, welche Art von Datenverkehr über sie erfolgt und welche Schnittstellen nicht mehr nötig sind. Das Ergebnis der Überprüfung ist ausserordentlich wichtig. So kann der Kunde unter anderem das Risiko von zusätzlichen, an SAP zu leistenden Lizenz- und Wartungsgebühren in einer Gesamtschau bewerten. Ohne ein umfassendes Verständnis der bestehenden Schnittstellenlandschaft und ihrer tatsächlichen Nutzung können SAP-Kunden Gefahr laufen, haftbar gemacht zu werden.

Transparente, nachweisbare und langfristige Optimierung

Unternehmen, die ihre Schnittstellen überprüfen und daraus Erkenntnisse ihrer Verwendung gewinnen, können ihre SAP-Lizenzen optimal managen. Durch den Einsatz eines spezialisierten Analyse- und Optimierungstools können SAP-Kunden die Named-User-Lizenzen anhand des tatsächlichen Nutzerverhaltens in den SAP-Systemen aufgrund von Berechtigungen zuweisen. Der Lizenzbestand lässt sich um bis zu 40 Prozent kostengünstiger gestalten. Die Kunden können Nachzahlungen vermeiden, hohe Ausgaben für Nutzungsrechte verringern und auf ein nachhaltigeres Modell umsteigen. Geht es um die indirekte Nutzung von (SAP-)Systemen, eröffnet ein genauer Überblick über die Lizenzsituation Optionen zur Senkung finanzieller Risiken. Ein Werkzeug zur Lizenzoptimierung sollte hinsichtlich der Funktionalität folgende Hauptanforderungen erfüllen:

• Optimierung der für einen Zeitraum erteilten Nutzungsrechte für alle SAP-Systeme

• Identifizierung und Deaktivierung inaktiver, redundanter und unnötiger Nutzer

• Automatische Zuweisung von Nutzungsrechten auf der Grundlage der Aktivitäten im System

• Kontinuierliches Nachverfolgen des Verbrauchs von Nutzungsrechten

• Dashboard mit Details und einer Historie der Nutzungsrechte

• Analyse der indirekten Nutzung und Verwendung durch Drittsoftware

Elementare Vorteile, die sich aus einer gründlichen Erstuntersuchung und fortgesetzten Pflege (Governance) der Schnittstelleninformationen ergeben.

Allgemeine System- und Datensicherheit

Sorgen über potenzielle Systemverletzungen sind begründet, denn die Kosten in Form von Schadensbegrenzung, Systemausfallzeiten, Schäden für die Unternehmensreputation und Folgekosten sind erheblich. Die Systemsicherheit ist eine sehr komplexe Angelegenheit und eine genaue Übersicht über alle Schnittstellen hilft Unternehmen, diese zu verbessern. Die Unternehmen müssen alle aus- und eingehenden Schnittstellen ihrer Anwendungen identifizieren, die das System für externe Angriffe anfällig machen. Es ist fast unmöglich, ein System umfassend abzusichern, wenn unbekannt ist, welche Schnittstellen nach aussen existieren.

Compliance

Schnittstellen öffnen das System nach aussen hin. Deshalb ist das Wissen um die Schnittstellenumgebung ein wesentlicher Aspekt, um im Rahmen von Audits bewerten zu können, ob ein System ordnungsgemäss ist. Verbindungen zu heiklen Systemen können aufgespürt und die Nutzung kontrolliert werden. Ungenutzte Verbindungen können so erkannt und zur Verringerung von Compliance- und Sicherheitsrisiken eliminiert werden.

Systemmanagement und Dokumentation

Die Schnittstellenermittlung gibt einem Unternehmen nicht nur einen vollständigen Überblick über die Schnittstellenlandschaft, sondern erlaubt auch die kontinuierliche Entfernung folgender Elemente:

• Nicht verwendete, unsichere RFC-Verbindungen, die aus früheren Projekten übrig geblieben sind

• Unsachgemäss implementierte individuelle Schnittstellen, die enorm hohe laufende Kosten verursachen

• Unbekannte (Remote-)Systeme, die sich mit der SAP-Produk­tionssoftware verbinden

• Kommunikation stillgelegter Systeme mit der SAP-Software

Regelmässige Überprüfungen und Auswertungen unterstützen insgesamt das Enterprise Architecture Management, die laufende Überwachung und einen störungsfreien Betrieb der IT-Landschaft. Sie erleichtern darüber hinaus eine Planung und Änderung der IT-Infrastruktur, darunter Systemerweiterungen, Datenmigrationen oder die Vorbereitung auf mögliche umfassende Transformationsereignisse wie Upgrade, Carve-out oder Verschmelzung von Systemen.