SAP hat seine Vorgaben für den Umgang mit Schnittstellen präzisiert, um nach eigenen Aussagen steigende Nutzungszahlen von APIs sowie neue Cloud- und KI-Szenarien besser abzusichern. Die Einführung der Policy ist laut SAP eine Reaktion auf die stark steigende Nutzung von APIs durch Non-SAP-Systeme sowie auf neue Anforderungen durch Cloud- und KI-basierte Szenarien. Damit sollen potenzielle Risiken für Performance, Stabilität und Sicherheit frühzeitig adressiert werden. Während SAP die neue API Policy mit legitimen Sicherheitsinteressen und der notwendigen Gewährleistung technischer Stabilität begründet, könnte sie aus Sicht der Deutschsprachigen SAP-Anwendergruppe (DSAG) die Planungssicherheit und Innovationskraft der Kunden gefährden, wie die DSAG in einer Aussendung betont.
Konkret lege SAP mit der neuen Policy fest, dass nur solche Schnittstellen als veröffentlichte APIs gelten, die im "SAP Business Accelerator Hub" oder in der jeweiligen Produktdokumentation ausgewiesen seien, betont die DSAG. "Für SAP-zu-Non-SAP-Szenarien bedeutet das: Sie werden nur noch dort belastbar unterstützt, wo SAP die zugrunde liegenden Schnittstellen ausdrücklich veröffentlicht und dokumentiert hat", erklärt Jens Hungershausen, DSAG-Vorstandsvorsitzender. Nach Auffassung der DSAG seien der "SAP Business Accelerator Hub" sowie nicht näher definierte Produktdokumentationen bislang nicht eindeutig als Vertragsbestandteile ausgestaltet. Daraus ergebe sich aus Kundensicht die zwingende Anforderung nach klaren und verlässlichen Rahmenbedingungen, um Auswirkungen von Änderungen frühzeitig einschätzen zu können. "Die DSAG fordert schon länger absolut belastbare Vertragsdokumente. SAP nimmt jedoch z. B. bei der SAP Business Data Cloud und nun auch bei der API Policy eine gegenläufige Position ein. Kunden haben bei der Interpretation der Unterlagen derzeit noch Fragen – aus DSAG-Sicht besteht hier Klärungsbedarf zur vertraglichen Einordnung, das ist so nicht hinnehmbar", so Michael Bloch, DSAG-Fachvorstand für Lizenzen, Vertragswesen & Support.
Darüber hinaus verbindee SAP die API-Nutzung mit klaren technischen und organisatorischen Auflagen. Eingeschränkt würden zudem die Nutzungen für nicht dokumentierte Zwecke, für systematische oder grossflächige Datenextraktionen sowie für den Einsatz im Zusammenspiel mit (semi-)autonomen oder generativen KI-Systemen, sofern diese nicht ausdrücklich in von SAP vorgesehenen Architekturen oder Services stattfänden. "Laut der DSAG vorliegenden Informationen sind bestehende Kundenintegrationen und autorisierte Partnerlösungen nicht betroffen. Das ist essenziell aus Kunden- und Partnersicht", meint Stefan Nogly, DSAG-Technologievorstand, und ergänzt: "Ein Schutz für bereits bestehende und von SAP geduldete Integrationen ist wichtig und sollte in der API Policy festgehalten werden."
Die SAP-Anpassung erfolge vor dem Hintergrund identifizierter Sicherheitsrisiken bei bestimmten Nutzungsmustern sowie einer insgesamt stark zunehmenden Nutzung von APIs. "In der Praxis wurden in der Vergangenheit auch Schnittstellen genutzt, die nicht offiziell dokumentiert oder freigegeben waren. Gerade bei Zusatzlösungen von Partnern werden erfahrungsgemäss häufig undokumentierte Schnittstellen verwendet", so Hungershausen.
Die DSAG weist darauf hin, dass potenzielle neue Preismodelle oder Nutzungsregelungen rund um APIs transparent und frühzeitig kommuniziert werden müssten, um Planungssicherheit für Kunden und Partner zu gewährleisten. Bereits mit dem Digital-Access-Modell habe SAP für die Anlage bestimmter Belegarten in der indirekten Nutzung ein Preismodell entwickelt. "Laut SAP-Informationen soll es ein Fair-Use-Modell geben. Die konkrete Ausgestaltung ist derzeit noch unklar und sollte transparent in der API Policy dokumentiert werden", fordert Bloch.
"Wir sehen aus Kundensicht erheblichen Klärungs‑ und Anpassungsbedarf – insbesondere, um bestehende geschäftskritische End-to-End-Prozesse nicht zu unterbrechen oder rechtlich angreifbar zu machen", sagt Nogly. Viele Anwenderunternehmen arbeiteten bereits auf Basis der bisherigen Auslegung der API-Nutzung an Proof-of-Concepts und Pilotprojekten.
Zwar soll die Policy – so das Verständnis der DSAG – zunächst vor allem für Neukunden und -verträge relevant sein und kurzfristig nicht zu technischen Einschränkungen bestehender Integrationen führen. Indes sei noch nicht abschliessend geklärt, wie SAP hinsichtlich der neuen Policy bei Vertragsverlängerungen oder -erweiterungen bestehender Verträge vorzugehen plane. "Entscheidend sind die langfristigen Auswirkungen auf Innovationsfähigkeit sowie mögliche neue Kosten‑ und Abhängigkeitsstrukturen. In einer Phase zunehmender heterogener Architekturen und intensiver KI‑Experimente sind APIs ein zentraler Innovationsfaktor", so Nogly. Die jetzigen Ankündigungen sorgten bei Kunden und Partnern aus DSAG-Sicht für Verunsicherung, heisst es. So ergebe sich z. B. aus Anwendersicht die Frage, ob sich solche Vorhaben später überhaupt produktiv und richtlinienkonform betreiben liessen. Änderungen am API‑Status, an Nutzungsrechten oder an unterstützten Szenarien dürften nicht einseitig und nicht rückwirkend erfolgen. Nur so liessen sich rechtliche Risiken, Betriebsunterbrechungen und nachträgliche Einschränkungen bestehender Integrations‑ und Innovationsszenarien vermeiden und die geforderte Planungssicherheit für Kunden gewährleisten, streicht die DSAG hervor.
Kritisch sei insbesondere die fehlende Transparenz: Weder sei eindeutig dokumentiert, welche APIs konkret betroffen seien, noch sei das Ausmass klar definiert. "Die Frage ist, welche Schnittstellen in den Partnerlösungen zum Einsatz kommen", so Hungershausen. Nach DSAG-Verständnis müssten diejenigen nichts tun, die offizielle APIs nutzen, wobei durch die fehlende vertragliche Absicherung keine absolute Sicherheit gegeben sei. Für einige Partnerunternehmen jedoch könnte der Aufwand gross sein und das Wegbrechen von Geschäftsmodellen drohen. "Daher ist es essenziell, dass SAP den Kunden mehr Zeit für den Übergang gewährt", fordert Hungershausen. Zusätzlich benötigten Kunden und Partner für die Umstellung auf von SAP unterstützte Schnittstellen auch konkrete technische sowie organisatorische Hilfestellungen. Aus DSAG-Sicht sei entscheidend, dass Kunden bei Einschränkungen bestehender Szenarien nicht mangels praktikabler Alternativen auf andere Lösungsanbieter ausweichen müssen.
Die DSAG fordere daher klare Definitionen, eine vollständige Dokumentation der betroffenen APIs und verlässliche Planungssicherheit für Kunden und Partner sowie eine Abbildung in den Verträgen, welche auf Kundenseite eine belastbare Beurteilung der Anwendungsfälle erlaube. Die entsprechenden Regelungen sollten verständlich und gut nachvollziehbar sein. Zudem dürften sie nicht zu Kostensteigerungen für Kunden und Partner führen. "Vor dem Hintergrund eines sicheren und stabilen Betriebs ist auch für uns als Anwender wichtig, volle Transparenz über Nutzung, Verbräuche und Konsequenzen zu haben", sagt Nogly.
Aus Sicht der DSAG werfe die aktuelle Ausgestaltung der API Policy Fragen auf. Der Umfang der Einschränkungen scheine über das notwendige technische Mass hinauszugehen. Um Innovationsfähigkeit und Planungssicherheit bei Kunden und Partnern langfristig zu sichern, müssten diese offenen Punkte schnellstmöglich in Zusammenarbeit zwischen SAP und DSAG geklärt werden, heisst es abschliessend.
