Ich greife nochmals ein altes Thema auf, welches IT-Entscheider und Administratoren betrifft, die für SAP verantwortlich sind. 2027 läuft der Mainstream-Support für das SAP ECC ERP-System aus, 2030 fällt die Software dann auch aus dem Extended Support. Kunden müssen auf s4/Hana wechseln, aber es gibt nicht genügend Berater und Spezialisten, um die Migration der vorhandenen SAP ECC ERP-Systeme auf s4/Hana zu stemmen.
Anzeige
Was ist SAP ECC und was SAP HANA?
SAP ECC ist eine Enterprise Resource Planning-Software (ERP), die On-Premises läuft. Das Kürzel ECC steht dabei für ERO Central Component, lange Jahre ein Flagschiff von SAP. ECC umfasst eine Vielzahl eigenständiger Anwendungen, die die Speicherung, Abfrage, Analyse und Verarbeitung von internen Datensätzen unterstützen.
Mit dem ERP-System werden Prozesse in den Bereichen Finanzen, Personalwesen, Fertigung, Lieferkette, Services, Beschaffung und mehr unterstützt und automatisiert. Das Problem: Ende 2027 läuft der kostenlose Support von SAP ECC 6.0 aus. Drei Jahre später, Ende 2030, wird dann von SAP auch der erweiterte, kostenpflichtige Support enden. Zu diesem Zeitpunkt müssen Kunden spätestens zu s4/Hana oder einem anderen ERP-System migriert sein.
SAP S/4HANA ist eine ERP-Softwarelösung der SAP SE und Nachfolger des bisherigen Kernprodukts SAP ECC. Das S steht dabei für simple oder suite, die 4 für die vierte Produktgeneration und SAP HANA für die zugrunde liegende Datenbanktechnologie. Das Ganze setzt auf die Cloud und wird in der Programmiersprache ABAP (sowie C) implementiert. Als Betriebssystem kommt Linux zum Einsatz.
SAP HANA (wurde laut SAP HANA bereits 2010 eingeführt, Kunden können seit 2015 auf SAP s4/HANA wechseln) steht für High-performance ANalytic Appliance. Es handelt sich um eine Multi-Model-Datenbank, die Daten in Ihrem Arbeitsspeicher statt auf einer Festplatte speichert. Die spaltenorientierte In-Memory-Datenbank ermöglicht die parallele Durchführung erweiterter Analysen und die Transaktionsverarbeitung in Hochgeschwindigkeit in einem einzigen System.
Anzeige
Die ermöglicht riesige Datenmengen in nahezu Echtzeit zu verarbeiten und Daten unmittelbar abzufragen. Durch das Speichern der Daten in einer spaltenorientierten Datenbank im Hauptspeicher und das Zusammenführen von Online Analytical Processing (OLAP) und Online Transactional Processing (OLTP) ist SAP HANA deutlich schneller als andere Datenbankmanagementsysteme (DBMS) auf dem Markt.
Rückblick: Warnung im Juni 2024
Eigentlich sollte das Thema unter "Sack Reis in China umgefallen" segeln. Wenn SAP HANA bereits 2015 als Nachfolgesystem für SAP ECC 6.0 am Markt eingeführt wurde, hatten die Unternehmen mindestens 10 Jahre Zeit, eine Migration zu planen und umzusetzen. Aber die Selbstbeharrungskräfte verhindern einen zeitnahen Umstieg auf SAP HANA. Eine große Anzahl an SAP-Kunden ist noch mit SAP ECC unterwegs und wird den Umstieg nicht schaffen.
Das Thema stand bereits im Sommer 2024 auf der Agenda – ich hatte dies im Blog-Beitrag EOL für SAP ECC ERP-Falle für Kunden; S4/HANA-Mangel an Beratern und Systemintegratoren angesprochen. Jens Hungershausen von der DSAG (Deutschsprachige SAP Anwendergruppe) hatte im Umfeld eines Anwendertreffens mit The Register gesprochen und einen Blick auf das Ende des SAP ECC-Support und die Probleme bei der Migration auf s4/HANA für Unternehmen geworfen.
Hungershausen befürchtete, dass die Zeit nicht ausreichen werde, um die komplexe und zeitaufwändige Umstellung der technischen und geschäftlichen Abläufe innerhalb des verbleibenden Zeitrahmens bis 2030 (wenn der Support für SAP ECC final endet) durchzuführen, falls Unternehmen noch nicht mit der Umstellung begonnen haben.
Es gibt ein Cloud-Transformationsprogramm "RISE with SAP", an dem wohl (laut Eigenaussage von SAP) 6.000 Kunden angemeldet sind. Aber die SAP-Kundenbasis ist riesig, und darunter sind Großunternehmen wie Walmart, Airbus und VW. Laut Hungerhausen waren 68 % der Nutzer noch nicht umgestiegen. Kunden, die noch nicht mit der Migration auf s4/HANA begonnen haben, läuft nun die Zeit davon. Denn Berater und Spezialisten, die die Migration bewältigen könnten, sind Mangelware.
2030 droht ein Desaster
Bis zum Jahr 2030 werden, laut der Unternehmensberatung Gartner, 40 Prozent der SAP-Kunden noch nicht von SAP ECC 6.0 auf SAP s4/HANA umgestiegen sein. Das geht aus diesem Artikel von The Register hervor.
Im Januar 2025 deutete SAP (laut The Register) an, dass ausgesuchten, großen Kunden ein gewisser Handlungsspielraum für das Supportende eingeräumt werden könnte. Beobachter erwarten laut The Register, dass das Unternehmen eine Cloud-Abonnementoption für ERP-Kunden mit großen und sehr komplexen IT-Landschaften auflegt, die mehr Zeit für die Umstellung auf s4/HANA mittels des RISE with SAP -Programms benötigen. "Die Option wird für den Zeitraum von 2031 bis Ende 2033 angeboten", zitiert The Register im Januar 2025 einen SAP-Sprecher.
Die spannende Frage ist aber: Was passiert mit all den kleineren und mittleren Kunden, die auf SAP ECC 6.0 unterwegs sind und bis 2027 bzw. 2030 noch nicht auf SAP s4/HANA umgestiegen sind? Ab 2027 muss bereits ein Wartungsaufschlag von 2 % für den Extended Support bezahlt werden. Und nach 2030 soll es keinen Support mehr für SAP ECC 6.0 geben. Wie ist die Situation in eurem Umfeld?
Anzeige
könnte ein interessanter Markt werden mit Stundensätzen von 180€ ohne lästigen Vermittler dazwischen.
ich sollte unsatteln. Da mein aktuelles Projekt ohnehin bald nicht mehr verlägert wird…
Das Problem dürfte sein, das S4/HANA ein Cloudsystem ist und viele Firmen, die ECC einsetzen, eben NICHT in die Cloud wollen.
Daher könnte es gut sein, das viele Unternehmen auch nach 2030 ECC weiter einsetzen werden, auch wenn es dafür keinen Support mehr gibt.
Mit S/4-HANA muss man nicht in eine Cloud.
Über 99% unserer Kunden gehen mit uns den Weg, Ihr S4/HANA-System als on-premise System zu betreiben. Diese Kunden haben sich aktiv gegen die Lösung S/4-HANA private Cloud und S/4-HANA public Cloud entschieden. Und diese Kunden lassen ihr bisheriges R/3 on premise genauso wie das neue S/4 on premise beim selben RZ-Dienstleister hosten.
Ich sehe als ISB absolut kein Problem darin, eine Software auch nach Ihrem EOL weiter zu betreiben wenn die richtigen mitgierenden Maßnhamen ergriffen wurden. Das sind in der Regel Segmentierung, Isolation und Kontrolle aller Zugriffe und Schnittstellen. Das klappt besonders gut, wenn die Anwendung inhouse selbst betrieben wird und genau nicht in der Cloud ist.
Es ist eine urbane Legende und billige Drohung der kaputten IT Branche, Produkte seien nicht mehr "sicher" sobald diese aus dem Support fallen.
"Es ist eine urbane Legende und billige Drohung der kaputten IT Branche, Produkte seien nicht mehr 'sicher' sobald diese aus dem Support fallen."
Warum stürzen sich dann Sicherheitsfachleute und Kriminelle auf weitverbreitete Legacyanwendungen? Aus Langeweile? Oder ist das eine Umsatzbeschaffungsmaßnahme für die "kaputte IT-Branche"?
Wenn ein Hersteller den Support einer Anwendung einstellt, dann werden alle darin gefundene Sicherheitslücken nicht mehr gestopft und sind damit per se ein Sicherheitsrisiko. Ich weiß jetzt nicht, warum du als ISB die Weiterverwendung empfiehlst, wo doch heute viele IT-Systeme und Anwendungen vernetzt sind. Empfiehlst du auch weiterhin Windows XP?
Ich denke nicht, dass Unternehmen jetzt anfangen werden ihre Prozessautomatisierung zurückzufahren und Schnittstellen einzudampfen, um Systeme und Anwendungen zu isolieren.
Volle Zustimmung.
In Sonderfällen ist es ggf. vertretbar, Legacy-Einzelplatzlösungen zu isolieren, z.B. die Anbindung alter, teurer Hardware wie Produktionsmaschinen, Teststände in Industrieanlangen, Steuerungsmaschinen.
Aber ein zentrales Warenwirtschaftssystem mit Zugriffen von einer Vielzahl von Clients – das ist aus meiner Sicht nicht sicher betreibbar.
> Warum stürzen sich dann Sicherheitsfachleute und Kriminelle auf weitverbreitete Legacyanwendungen?
> Wenn ein Hersteller den Support einer Anwendung einstellt, dann werden alle darin gefundene Sicherheitslücken nicht mehr gestopft und sind damit per se ein Sicherheitsrisiko.
Das sind gleich eine Menge falscher und stark verkürzender Aussagen.
Hier einmal das kleine 1×1 in jedem ISMS:
Schwachstellen + Bedrohung = Risiko
Wenn Du ein EOL System mitigierst, z.B. einen Application-Server aus einem AD holst und in ein getrenntes Netzwerksegment packst. Den einzigen HTTP Zugriff darüber kontrollierst, z.B. durch extra gehärtete Webproxies oder SMB-Gateways, die den Datenzugriff nur in eine Richtung erlauben, dann ist alles bestens. Und auch ein zentrales ERP lässt sich in einem Terminalserver hinter einem RDP-Gateway betreiben.
Und wenn Du wüsstest, wo überall XP noch zum Einsatz kommt, dann würdest Du kein Schiff, kein Flugzeug und kein Aufzug mehr betreten.
Ich habe vor 4 Jahren noch eine NT4 Workstation entfernt.
https://blog.jakobs.systems/blog/20211121-industrie-nt-4/
"Es ist eine urbane Legende und billige Drohung der kaputten IT Branche, Produkte seien nicht mehr "sicher" sobald diese aus dem Support fallen."
Nicht immer, es kommt auf die Software an. Bei ERP Systemen wie SAP hängen da neben den typischen Softwareupdates auch ggfls. noch andere Sachen an dem Supportvertrag. Ich kenne jetzt SAP nicht, da wir es nicht einsetzen, aber unser ERP benötigt einmal pro Jahr ein "Jahresendupdate", weil darüber auch buchhalterische Dinge abgewickelt werden und z.Bsp. kein neues Geschäftsjahr eröffnet werden kann, wenn das nicht installiert wird.
Aber dieses Update gibt's nur mit aktivem Supportvertrag. Wenn SAP das ähnlich handhabt dann ist die Software tatsächlich eingeschränkt (oder sogar unbenutzbar), wenn es keinen Support mehr gibt.
Ja, das mag u.U. so sein.
Aber es wird dabei gerne vergessen, das ein Großteil der Angriffe auf eine Software oder ein IT-System nicht von außen, sondern von innen kommen!
Und da ist es bei einer Sicherheitslücke durchaus denkbar, das ein legitimer Nutzer einer Software diese Sicherheitslücke ausnutzt, um an Daten zu kommen, auf die er normalerweise keinen Zugriff hat.
Und wenn ich die CVE-Liste bzgl. SAP durchsehe, dann gibt es alleine für 2025 schon 31 CVE-Nummern für SAP-Produkte.
Daher ist es auch bei Segmentierung, Isolation, Kontrolle etc. nötig, eine Software aktuell zu halten.
Ein Großteil kommt von innen?
Das klingt nicht Plausibel und deckt sich auch nicht mit meinen eigenen Erfahrungen oder entsprechenden Nachrichten auf IT-Nachrichtenseiten.
Da muss man auch ein bisschen differenzieren. me.sap.com spuckt bei meiner Suche am 24.02.2025 um 12:36 Uhr genau 35 CVE's über alle SAP Produkte für das Jahr 2025 aus.
Darunter sind aber auch CVE, die fehlende oder falsche Berechtigungsabfragen in Programmen betreffen. Dadurch funktionieren die Programm eben für einen zu großen Anwenderkreis, den falschen Anwenderkreis oder gar nicht. Damit diese Schwachstellen ausgenutzt werden können, muss man schon im System angemeldet sein.
Andere CVE betreffen Angriffsszenarien. Ich persönlich finde es gut, wie der SAP Support die Schachstellen erkennt, behandelt und meldet.