SAP - Na und?

Die Umstellung auf SAP wird alle Bereiche der Firma und alle Beschäftigten betreffen.

Von Richard Koller.

SAP ist sozusagen die Firma Microsoft in der Betriebswirtschaft und bei Allem, was zum privaten gewerblichen Markt gehört. Und wie MS hat auch SAP seine Liebhaber, seine Feinde und seine dauernd murrenden, aber gezwungenen Anwender. Bloß die Bill Gates von SAP, ehemalige IBM-Entwickler, die sich selbständig gemacht haben, sind nicht so im Rampenlicht der Öffentlichkeit. Offenbar wagen aber wie bei MS nur Sonderlinge und Nischenanwender, sich an der überall präsenten Software von SAP vorbeizuschleichen. "SAP R/3 ist heute der Standard bei kaufmännischer Anwendungssoftware."

In der österreichischen Öffentlichkeit und besonders im Bundesdienst ist diesbezüglich einige Verspätung gegenüber der internationalen Situation festzustellen (wie ansonsten auch meist). Desto dringender und unausweichbarer ist jetzt das Verlangen, nachzuholen und gleichzuziehen. Also: Auch für uns führt kein Weg vorbei an SAP.

Dann eben SAP

Na gut, könnte nun Einer sagen, dann eben SAP. Bisher haben wir auch unsere Zeiten aufgeschrieben, Leistungen nachgewiesen, verrechnet, was solls? Im Grunde stimmt das auch und an diesen "einfachen" Vorgängen der täglichen Arbeit wird sich auch höchstens die Form der Eingabe oder Notierung ändern.

"Die SAP-Software ist ein modular aufgebautes, branchenneutrales Softwarepaket, das alle betriebswirtschaftlich relevanten Funktionsbereiche beinhaltet."

Was die Sache heikel macht, ist die hochgradige Integration von SAP, ein erheblicher Vorteil gegenüber anderen Software-Systemen auf diesem Gebiet. Ein Vorgang, einmal an einem Punkt des ganzen Verfahrens durch Eingabe erfaßt, steht unmittelbar an allen Schnittstellen des Systems zur Verfügung, Tagfertigkeit ist keine Frage, aktuelle laufende Aufschreibung ist das Thema.

"R/3 benötigt ... keine bestimmte Hardwareplattform, sondern in der Regel ,nur' ein System, auf dem ein UNIX-Derivat mit einer nahezu beliebigen Datenbank lauffähig ist. Diese relative Hardware-Unabhängigkeit ermöglicht es, bei steigenden Ansprüchen an die Systemperformance die Hardware erweitern zu können, ohne die Funktionsfähigkeit der Software in Frage zu stellen. Im Gegensatz zu den hardware-spezifischen Großrechner-Anwendungen der Vergangenheit ermöglicht dies quasi ein ,Mitwachsen' der Software über Hardwaregrenzen hinweg."

Durch die Konzeption einer universellen Datenerfassung über verschiedenste Schnittstellen mit einer Datenbank im Hintergrund entsteht bei richtiger Konzeption ein virtuelles Abbild des Unternehmens in SAP. Jeder auch noch so kleine Prozeß steht dauernd im Zugriff und fließt in die Gesamtbetrachtung ein, kann überprüft und ausgewertet werden.

Nicht nur entsteht damit gleichsam ein Überfluß an Information, der bisher nicht hergestellt werden konnte, es bieten sich auch unzählige Varianten von Datenverknüpfungen, Abfragen, Auswertungen an, die nur schwer unter Kontrolle gehalten und vernünftig verwertet werden können. Über die möglichen kurzschlüssigen Folgen einer derartigen Informationsflut brauche ich wohl nicht allzuviel erzählen. Wenn einer etwas Bestimmtes will, findet er hier auch Argumente für seine Position. Das macht die Sache nicht gerade einfach.

Zur technischen Situation

Ich versuche hier, sicherlich mangelhaft und vereinfacht ausgedrückt, die wichtigsten Merkmale einer SAP-Umgebung zu beschreiben. Wer es besser weiß oder kann, den ersuche ich um einen Beitrag zur Berichtigung in der nächsten Nummer der Zeitung. Wer den technischen Ablauf für uninteressant hält, überspringt jetzt einmal vier Absätze und liest bei "Sicherheit - oder wie" weiter.

SAP unterscheidet drei Schichten, die Präsentationsschicht (Anwendersicht), die Applikationsschicht (Abbildung der Geschäftsprozesse) und die Datenbankschicht (Tabellen für Systemsteuerung und Anwendungen). Dabei ist die Präsentationsschicht plattformunabhängig für Apple/Mac, Windows, OS/2 usw. brauchbar, der Applikationsserver verarbeitet bereits Daten im internen SAP-Format und es gibt nur eine Datenbank in einem SAP-System, in der alle Daten in Tabellen gespeichert sind.

Hierarchisch werden in SAP R/3 verschiedene Ebenen unterschieden: Oberste Ebene ist der Mandant, im Normalfall gibt es - abgesehen von Systemwartungen - pro Unternehmen nur eine Instanz. Darunter gibt es Buchungskreise für die Abbildung von selbständig verrechnenden Einheiten (z.B. Konzernbetriebe, Tochterfirmen), dann Unterteilungen in Geschäftsbereiche, Werke und Lagerorte. Darüber hinaus sind weitere Untergliederungen in Kostenrechnungskreise, Verkaufsorganisationen usw. möglich, die sich auf die Funktionen bestimmter SAP-Module beziehen.

Daten können entweder im Dialog (z.B. direkte Erfassung, Zeiterfassungssysteme, Belegleser usw.) ins System eingebracht werden, oder über Schnittstellen (Batch-Input, Direct-Input usw.) eingespielt werden. Die Verarbeitung geschieht dabei über Prüfung von Berechtigungen und Datenkonsistenz, den Aufruf von internen Transaktionen, die Protokollierung und den eigentlichen Eintrag in die Datenbank. Intern werden dabei auch Belegnummern vergeben und ein Logdateisatz mitgeschrieben, der nach erfolgreicher Verarbeitung wieder gelöscht wird. Belege werden archiviert, wobei allerdings Löschungen nur durch entsprechende Sperren bei den Berechtigungen verhindert werden können.

Grundlage der Datenspeicherung sind wie gesagt Tabellen. Änderungen an Tabellen werden normalerweise nur protokolliert, wenn dies extra gewünscht und mit Parametern eingestellt wird. Diese Einstellung und die gesamte Parametrierung der Systemsteuerungstabellen geschieht eigentlich in der Entwicklungsphase eines SAP-Projekts durch das sogenannte "Customizing". Hier wird festgelegt, welche Mandanten bearbeitet werden, welche Buchungskreise verwendet werden, Geschäftsbereiche und Kostenstellen werden definiert, aber auch die grundlegenden Regeln der Systemsicherheit werden festgelegt: Zugriffsschutz, Anzahl der fehlerhaften Passwort-Eingaben usw.

Sicherheit - oder wie?

Werden keine klaren Abgrenzungen von vorn herein getroffen, ist das SAP-System (im übrigen wie jede Software, die auf Datenbanken aufbaut) offen wie ein Scheunentor. Es gibt Generalvollmachten von Seiten der Berechtigungen, es gibt Super-User, die alles können, es gibt vorbei an allen Protokollen und Berechtigungen auch die Möglichkeit der direkten Auswertung der Daten (für Fachleute: bei uns im Haus SQL auf Oracle-DB). Grundsätzlich erlaubt das SAP-System sogar etwas, was in einer konventionellen Buchhaltung völlig undenkbar wäre: Durch die Löschung von Änderungsbelegen kann im System "radiert" werden., Änderungen sind dann nicht mehr nachvollziehbar, Auswertungen unkontrollierbar usw.

Focus Berechtigungskonzept

Aus Sicht der Belegschaft und damit im Zentrum der Absichten des Betriebsrats steht daher ein Berechtigungskonzept, das die angebotenen flexiblen Möglichkeiten von SAP auf ein vernünftiges und gesetzeskonformes Maß zurückschraubt. Was die Fragen des Datenschutzes und der Sicherheit angeht, trifft sich dieses Interesse sicherlich mit dem der Geschäftsführung. Verstöße in diesem Bereich sind heikel und kosten - wenn nicht Strafen, so doch guten Ruf und Qualität.

SAP bietet in diesem Zusammenhang auch die Möglichkeit eines ausgefeilten gestuften Berechtigungskonzepts mit der Verwaltung von Profilen und Berechtigungen an. Das Problem ist nur, daß ein solches Konzept noch nicht existiert und einzelne SAP-Module bereits im Einsatz sind. Außer den Entwicklern und jetzigen Betreibern weiß eigentlich niemand Bescheid, wer welche Berechtigungen hat und was er damit tut.

Zentralthema Datenbank-Sicherheit

Dazu kommt, daß auch eine ordentliche Vereinbarung über ein Berechtigungskonzept in SAP selbst das Problem nur zum Teil löst. Denn wie gesagt besteht außer und neben SAP selbst jederzeit die Möglichkeit, auf die Tabellen der Datenbank direkt zuzugreifen. Und bei einigermaßen ausreichenden Kenntnissen der Standardstrukturen in SAP ist damit ein Zugriff ohne jegliche SAP-Kontrolle möglich.

Es wird also nötig sein, sich so bald als möglich mit dem zugrunde liegenden Oracle-Datenbanksystem vertraut zu machen und dessen Sicherheits- und Berechtigungsvergabe zu untersuchen, um die eigentlichen Schwachstellen des Systems in den Griff zu bekommen. Ich werde versuchen, diesbezüglich alle nötigen Informationen zusammenzutragen und eine Klärung der Situation herbeizuführen. Aber insgesamt glaube ich, daß SAP zu einem Dauerbrenner in unserer Arbeit werden wird und - siehe Microsoft - irgendwann alle Bereiche der Firma betreffen wird.