Managed Services für RISE with SAP: Lücken im Betriebsmodell

Executive Summary: Die Neudefinition der ERP-Betriebsverantwortung

Die digitale Transformation globaler Unternehmen ist untrennbar mit der Modernisierung ihrer Enterprise Resource Planning (ERP) Systeme verbunden. SAP, als Weltmarktführer in diesem Segment, hat mit der Einführung von RISE with SAP einen Paradigmenwechsel eingeleitet, der weit über eine bloße technische Migration hinausgeht. Das Angebot, vermarktet als Business Transformation as a Service, verspricht Unternehmen einen vereinfachten Weg in die Cloud durch die Bündelung von Softwarelizenzen, Infrastrukturhosting und technischen Managed Services in einem einzigen Abonnementvertrag. Dieses Modell, oft unter dem Schlagwort One Hand to Shake zusammengefasst, suggeriert eine signifikante Reduktion der Komplexität für die IT-Abteilungen der Kunden.

Eine tiefgehende Analyse der vertraglichen Realitäten, insbesondere der Roles and Responsibilities (RACI) Matrix, offenbart jedoch eine kritische Diskrepanz zwischen der wahrgenommenen „Vollkasko-Versicherung“ und der operativen Wirklichkeit. Das Standard-Offering von RISE with SAP basiert auf einer strikten Standardisierung, die essenziell für die Skalierbarkeit des Cloud-Modells ist, aber zwangsläufig Lücken in der individuellen Betreuung lässt. Diese Lücken, technisch als Excluded Tasks klassifiziert, umfassen nicht nur periphere Aufgaben, sondern geschäftskritische Funktionen wie das Berechtigungsmanagement, die Validierung von Datensicherungen, das Schnittstellenmonitoring und die tiefgreifende Applikationsbetreuung.

Dieser Bericht untersucht die strukturellen Defizite des Standard-RISE-Modells und beleuchtet, wie Axians als spezialisierter ICT-Dienstleister durch sein Portfolio der Additional Rise Services diese Lücken strategisch schließt. Die zentrale These dieses Reports ist, dass der erfolgreiche Betrieb eines SAP Cloud ERP private (SAP S/4HANA Private Cloud Edition) nicht allein durch den Bezug der SAP-Ressourcen gewährleistet werden kann, sondern die Integration eines qualifizierten Service-Partners erfordert, der die Grauzonen des RACI-Modells in eine robuste Service-Architektur überführt. Axians positioniert sich hierbei nicht als Wettbewerber zur SAP, sondern als essenzieller Enabler, der durch lokale Expertise, zertifizierte Partner Center of Expertise (PCoE) Strukturen und ein tiefes Verständnis für hybride Architekturen die Betriebssicherheit, Compliance und Innovationsfähigkeit der Kunden gewährleistet.

Der Paradigmenwechsel: Von On-Premise zu ‘Business Transformation as a Service’

Die Evolution des SAP-Hosting-Marktes

Historisch betrachtet war der Betrieb von SAP-Systemen eine Domäne der internen IT-Abteilungen oder spezialisierter Hosting-Partner, die im Auftrag des Kunden handelten. In diesem klassischen “On-Premise” oder “Managed Cloud” Modell hatte der Kunde die volle Kontrolle – und damit auch die volle Verantwortung – über den gesamten Stack, vom Rechenzentrumsboden bis zur grafischen Benutzeroberfläche (GUI). Der Kunde bestimmte den Zeitpunkt von Wartungsfenstern, die Granularität von Backups und die Sicherheitsarchitektur bis ins kleinste Detail.

Mit RISE with SAP ändert sich dieses Gefüge fundamental. SAP tritt nun selbst als Generalunternehmer auf und nutzt die Infrastruktur der Hyperscaler (AWS, Microsoft Azure, Google Cloud Platform) als IaaS-Layer (Infrastructure as a Service). Darauf setzt SAP den eigenen “Enterprise Cloud Services” (ECS) Stack, der den technischen Basisbetrieb (PaaS – Platform as a Service) abdeckt. Für den Kunden bedeutet dies eine Verschiebung von CapEx (Capital Expenditures) zu OpEx (Operational Expenditures) und eine theoretische Entlastung von technischen Routineaufgaben.

Die Illusion der Vollständigkeit: Das “One Hand to Shake” Prinzip

Das Marketingversprechen von “One Hand to Shake” adressiert einen der größten Schmerzpunkte von CIOs: das “Vendor Ping-Pong” zwischen Hardware-Lieferanten, Hosting-Providern und Software-Herstellern bei Performance-Problemen. Bei RISE with SAP ist SAP vertraglich der einzige Ansprechpartner für die Kerninfrastruktur. Doch diese Vereinfachung bringt eine neue Komplexität mit sich. Da SAP global Tausende von Kunden auf einer standardisierten Plattform bedienen muss, sind die Prozesse extrem rigide definiert. Abweichungen vom Standardprozess sind im Kernangebot nicht vorgesehen oder nur schwer abbildbar.

Die Herausforderung entsteht dort, wo der standardisierte technische Betrieb auf die hochgradig individualisierte Prozesswelt des Kunden trifft. Ein SAP-System ist kein isolierter Monolith, sondern das Herzstück eines vernetzten Ökosystems. Es kommuniziert mit Lagerverwaltungssystemen, Webshops, Banken und staatlichen Behörden. Die Verantwortung für diese Interaktionen und die logische Integrität der Datenströme endet für SAP oft an der Systemgrenze – genau dort, wo für den Kunden das eigentliche Geschäft beginnt.

Detaillierte Analyse der operativen Lücken (“Excluded Tasks”)

Die Analyse der RACI-Matrix zeigt, dass ein erheblicher Teil der operativen Aufgaben explizit nicht durch SAP erbracht wird. Diese sogenannten Excluded Tasks stellen die größte Herausforderung im RISE-Betrieb dar, da sie vollständig in der Verantwortung des Kunden verbleiben – unabhängig davon, ob dafür intern ausreichende Ressourcen vorhanden sind.

1. Sicherheits- und Berechtigungsmanagement

Sicherheit ist im Cloud-Kontext ein geteiltes Gut (Shared Responsibility Model). Während SAP die “Security of the Cloud” (Infrastruktur, Physischer Zugang) garantiert, ist der Kunde für die “Security in the Cloud” zuständig.

Benutzer- und Identitätsmanagement (IAM)

Das Anlegen, Ändern und Löschen von Benutzern (User Lifecycle Management) ist eine klassische Excluded Task.

• Das Risiko: Ohne professionelles Management entstehen verwaiste User-Accounts (z.B. von ausgetretenen Mitarbeitern), die ein Sicherheitsrisiko darstellen. Zudem führt die unkontrollierte Vergabe von Berechtigungen zu Verstößen gegen das Prinzip der Funktionstrennung (Segregation of Duties – SoD). Ein Mitarbeiter, der sowohl Lieferanten anlegen als auch Zahlungen freigeben kann, stellt ein massives Betrugsrisiko dar.
• Die operative Last: Die Pflege von Rollen und Profilen (Transaktion PFCG) erfordert tiefes technisches Wissen über Berechtigungsobjekte. SAP stellt nur die technischen Werkzeuge bereit, nicht aber die logische Konzeption oder die tägliche Pflege.
• Axians Lösung: Axians übernimmt das komplette IAM als Managed Service. Dies beinhaltet nicht nur die Ticket-basierte Abarbeitung von User-Anträgen, sondern auch das regelmäßige Review von Berechtigungskonzepten, die Durchführung von SoD-Checks und die Vorbereitung von Systemaudits.

Applikations-Sicherheit und Security Audit Logs

SAP überwacht die Infrastruktur auf Angriffe von außen (DDoS, Intrusion Detection auf Netzwerkebene). Angriffe, die innerhalb der Applikation stattfinden (z.B. Missbrauch von RFC-Schnittstellen, Debugging im Produktionssystem, Download sensibler HR-Daten), sind für die Infrastrukturüberwachung unsichtbar.

• Das Risiko: Die Analyse der SAP Security Audit Logs (SM20) ist explizit Kundenaufgabe. Werden diese Logs nicht proaktiv überwacht, bleiben Sicherheitsvorfälle oft monatelang unentdeckt.
• Axians Lösung: Integration der SAP-Systemlogs in ein Axians Security Operations Center (SOC). Durch den Einsatz von SIEM-Systemen (Security Information and Event Management) werden Anomalien in Echtzeit erkannt und korreliert. Axians Experten bewerten, ob ein fehlgeschlagener Login ein harmloser Tippfehler oder ein Brute-Force-Angriff ist.

2. Technische Basis-Dienstleistungen und Systempflege

Der Begriff “Basis-Betrieb” wird oft missverstanden. SAP liefert den “technischen Basis-Betrieb” (Server läuft), aber nicht den “applikatorischen Basis-Betrieb”.

Output- und Druckmanagement

Ein oft übersehener, aber geschäftskritischer Bereich ist das Drucken. Lieferscheine, Etiketten und Rechnungen müssen physisch ausgedruckt werden.

• Die Lücke: SAP managed keine lokalen Druckserver oder die Anbindung von Endgeräten im Kundennetzwerk. Die Konfiguration von Spool-Servern, Gerätetypen und Treibern in der SPAD (Spool Administration) ist Kundenaufgabe.
• Das Szenario: Wenn der Etikettendrucker im Versandlager am Freitagnachmittag steht, steht der LKW. Ein Ticket bei der SAP (“Server läuft ja”) hilft hier nicht.
• Axians Lösung: Axians übernimmt die Verwaltung der Output-Landschaft, koordiniert die Anbindung lokaler Print-Server über VPN/Cloud Connector und überwacht die Spool-Aufträge auf Fehler.

Job-Steuerung und Prozessautomatisierung

SAP-Systeme leben von Hintergrundverarbeitung (Batch Jobs). Materialbedarfsplanung (MRP), Zahlläufe, Dunning (Mahnwesen) – all dies läuft im Hintergrund.

• Die Lücke: SAP stellt den Scheduler bereit (SM36/SM37), überwacht aber nicht den logischen Erfolg der Jobs. Ein Job kann technisch “grün” (beendet) sein, aber inhaltlich keine Daten verarbeitet haben oder aufgrund fehlender Stammdaten abgebrochen sein. Die Analyse von Job-Logs und Spool-Listen ist Excluded Task.
• Axians Lösung: Proaktives Job-Monitoring. Axians definiert Schwellenwerte und Alarme nicht nur für den Abbruch, sondern auch für Laufzeitüberschreitungen (Runtime) oder Verzögerungen (Delay). Kritische Jobs (z.B. Payroll) werden gesondert überwacht.

Transportmanagement und Change Control

Der Weg von der Entwicklung in die Produktion führt über das Transportwesen (STMS).

• Die Lücke: SAP führt (oft automatisiert oder auf Anforderung) den technischen Import durch. Die logische Integrität – die Prüfung, ob Transport A vor Transport B importiert werden muss (Abhängigkeitsprüfung), oder ob ein Transport zu einem Downgrade führt (Overwrite Check) – obliegt dem Kunden.
• Axians Lösung: Axians agiert als “Gatekeeper”. Durch strenges Change Management und technische Vorprüfungen (Import Checks) wird verhindert, dass fehlerhafte oder unvollständige Transporte das Produktionssystem destabilisieren.

3. Datenmanagement und Wiederherstellung

Daten sind das wertvollste Gut. Die Annahme, in der Cloud seien Daten “automatisch sicher”, ist ein gefährlicher Trugschluss.

Backup-Validierung und Restore-Tests

SAP führt Backups durch. Aber ein Backup ist nur so gut wie der Restore.

• Die Lücke: Die Validierung der Backups (“Validation of backed-up or restored data”) ist explizit eine Excluded Task. SAP garantiert nicht, dass das Backup logisch konsistent ist, wenn die Datenbank zum Zeitpunkt des Backups korrupte Blöcke hatte, die nicht erkannt wurden.
• Axians Lösung: Regelmäßige, geplante Restore-Tests. Axians fordert temporäre Systeme an, stellt Backups wieder her und führt Konsistenzprüfungen (DBCC – Database Consistency Check) durch, um die Wiederherstellbarkeit im Ernstfall zu garantieren.

Datenanonymisierung bei Systemkopien

Für Test- und Schulungszwecke werden regelmäßig Kopien des Produktionssystems benötigt.

• Die Lücke: SAP kopiert technisch 1:1. Im Testsystem liegen dann Echtdaten (Gehälter, Adressen). Dies verstößt gegen die DSGVO, da Entwickler und Berater im Testsystem oft weitreichende Berechtigungen haben. Die Anonymisierung ist Kundenaufgabe.
• Axians Lösung: Integration von Anonymisierungsroutinen (z.B. mit SAP TDMS oder Axians-eigenen Add-ons) in den Refresh-Prozess. Sensible Daten werden verfremdet, sodass mit realistischen, aber nicht personenbezogenen Daten getestet werden kann.

4. Schnittstellen und Integration (Connectivity)

Kein SAP-System ist eine Insel. Die Anbindung an die Außenwelt ist oft der komplexeste Teil der Migration.

Axians Lösung: Axians bringt Expertise aus dem Bereich “Enterprise Networks” mit ein. Sie designen und betreiben die Netzwerkinfrastruktur, konfigurieren den SAP Cloud Connector hochverfügbar und überwachen die Schnittstellen applikatorisch. Hängende IDocs werden analysiert und (nach Rücksprache oder Regelwerk) neu eingebucht.

Die Lücke: SAP liefert den Endpunkt in der Cloud. Wie der Kunde dorthin kommt (MPLS, VPN, Internet) und wie On-Premise-Systeme sicher angebunden werden (Cloud Connector), ist weitgehend Kundenrisiko. Auch die Überwachung der IDocs (Intermediate Documents) und RFC-Verbindungen ist Excluded Task.

Das Portfolio der Axians “Additional Rise Services”

Die identifizierten operativen Lücken sind kein Randphänomen, sondern systembedingt. Sie lassen sich nicht durch das Standard-RISE-Angebot schließen, sondern erfordern ein erweitertes Managed-Services-Modell, das gezielt dort ansetzt, wo SAPs Verantwortlichkeit endet. Axians hat ein Portfolio entwickelt, das passgenau auf die oben identifizierten Lücken zugeschnitten ist. Dieses Angebot transformiert das standardisierte Produkt “RISE” in eine maßgeschneiderte Unternehmenslösung.

Struktur der Axians Services

Das Angebot gliedert sich in modulare Bausteine, die flexibel zum RISE-Vertrag hinzugebucht werden können:

Service-Modul	Inhalt (Auszug)	Adressierte RISE-Lücke (RACI Gap)
Managed Security	User Mgmt, Role Design, SoD-Checks, SIEM-Integration, Patch-Advisory	Excluded Tasks: Security user management, Audit logs, Compliance
Technical Operations	Spool-Mgmt, Job-Scheduling, Transport-Mgmt, Health Checks, Sizing-Überwachung	Excluded Tasks: Configuration of peripherals, Batch job validation
Application Management (AMS)	Incident Mgmt, Interface Monitoring, Custom Code Maintenance, Functional Support	Excluded Tasks: Interface monitoring, Custom code adaption
Connectivity & Network	Cloud Connector Betrieb, VPN/WAN Mgmt, Firewalling, SD-WAN Integration	Customer Responsibility: Network size and architecture 11
Strategic Advisory	Roadmap-Planung, Release-Strategie, Innovation Workshops (BTP)	Fehlende strategische Beratung im Standard-Support

Der “Human Touch”: Axians als Service Broker

Ein zentraler Differenzierungsfaktor ist der Ansatz “ICT with a human touch”. Im RISE-Modell interagieren Kunden oft mit anonymen Support-Teams in Offshore-Locations, was zu Sprachbarrieren und kulturellen Missverständnissen führen kann.

• Der Service Desk als Anker: Axians bietet einen lokalen Service Desk (Deutschland/Österreich), der als primärer Eingangskanal (Single Point of Contact – SPOC) fungiert.
• Das Broker-Modell: Der Kunde meldet ein Problem (“Transaktion geht nicht”). Axians analysiert: Ist es ein Bedienfehler (Lösung sofort), ein Customizing-Fehler (Lösung durch Axians AMS) oder ein technischer Infrastruktur-Fehler (Weiterleitung an SAP).
• Vorteil: Der Kunde muss die RACI-Matrix nicht auswendig kennen. Axians übernimmt das “Triaging” und steuert die Tickets an die richtige Stelle, überwacht die SLAs der SAP und eskaliert bei Bedarf über Partner-Kanäle.

Zertifizierte Exzellenz: Das Partner Center of Expertise (PCoE)

Axians ist als PCoE zertifiziert. Dies ist ein Qualitätssiegel der SAP, das strenge Anforderungen an Prozesse, Tools und Mitarbeiter-Qualifikationen stellt.

• Bedeutung für den Kunden: Es garantiert, dass Axians Zugriff auf die gleichen Support-Backbones und Wissensdatenbanken wie die SAP hat. Im Falle komplexer Probleme (“Very High Incidents”) gibt es etablierte Eskalationspfade, die eine schnelle Lösung sicherstellen, ohne dass das Ticket im “Level-1-Support” hängenbleibt.
• Auditierung: Die PCoE-Zertifizierung wird regelmäßig erneuert, was eine kontinuierliche Qualitätssicherung der Axians-Services gewährleistet.

Strategischer und Ökonomischer Mehrwert (Value Proposition)

Warum sollten Unternehmen in “Additional Services” investieren, wenn das Ziel von RISE doch Kostensenkung war? Die Antwort liegt in der Betrachtung der Total Cost of Ownership (TCO) und der Risikokosten.

Risikominimierung als Business Case

Die Kosten eines einzigen Produktionsstillstands (z.B. durch abgelaufene Zertifikate, volle Dateisysteme oder nicht erkannte Schnittstellenfehler) übersteigen oft die jährlichen Kosten der Additional Services.

• Proaktives vs. Reaktives Handeln: SAP agiert im Standard oft reaktiv (Ticket wird bearbeitet, wenn Fehler gemeldet). Axians agiert durch proaktives Monitoring präventiv, bevor der Fehler den Betrieb stört.
• Compliance-Sicherheit: Die Vermeidung von Strafzahlungen (DSGVO) oder Problemen bei Wirtschaftsprüfungen durch sauberes Berechtigungsmanagement ist ein direkter monetärer Vorteil.

Skaleneffekte und Fachkräftemangel

Der Aufbau eines internen Teams, das 24/7 die “Excluded Tasks” abdecken kann, ist für mittelständische Unternehmen kaum wirtschaftlich.

• Skill-Verfügbarkeit: SAP-Basis-Experten und Security-Spezialisten sind auf dem Arbeitsmarkt extrem rar und teuer.
• Shared Service Modell: Axians verteilt die Kosten für diese Experten auf viele Kunden. Der Kunde zahlt nur für die benötigte Leistung, profitiert aber von der Verfügbarkeit eines großen Experten-Pools.
• Urlaubs- und Krankheitsvertretung: Die Verantwortung für die Personalverfügbarkeit geht auf den Dienstleister über.

Enablement für Innovation (Business Technology Platform)

Die Entlastung von administrativen “Basics” schafft Freiräume für Innovation.

BTP-Expertise: Axians unterstützt Kunden dabei, die SAP Business Technology Platform (BTP) zu nutzen, um Innovationen “Side-by-Side” zu entwickeln und den SAP-Core sauber zu halten (“Clean Core Strategy”).² Dies ist entscheidend für die langfristige Upgrade-Fähigkeit.

Fokusverschiebung: Wenn die interne IT nicht mehr mit Druckertreibern kämpft, kann sie sich mit der Digitalisierung von Geschäftsprozessen beschäftigen.

Fazit: Strategische Partnerschaft statt bloßes Hosting

Die dargestellten Szenarien verdeutlichen, dass RISE with SAP zwar eine moderne technische Basis liefert, jedoch keinen vollständigen Betriebsansatz darstellt. Für einen stabilen, sicheren und zukunftsfähigen SAP-Betrieb ist eine strategische Ergänzung des Standardmodells unerlässlich.

Die Einführung von RISE with SAP ist für viele Unternehmen der richtige Schritt in die digitale Zukunft. Es modernisiert die Plattform und flexibilisiert die Kosten. Doch der Glaube, dass mit der Unterschrift unter den RISE-Vertrag alle operativen Sorgen an SAP übergehen, ist ein gefährlicher Irrtum. Die Lücken im RACI-Modell sind real, substanziell und geschäftskritisch.

Axians füllt diese Lücken nicht als „Notlösung“, sondern als strategischer Architekt einer robusten Hybrid-Cloud-Realität. Die Additional Rise Services sind das Bindeglied, das aus einer technischen Infrastruktur (SAP RISE) eine funktionierende, sichere und auf den Menschen ausgerichtete Unternehmenslösung macht. Sie bringen die notwendige Flexibilität zurück, die im Standardisierungsprozess der Cloud verloren geht, und stellen sicher, dass die IT wieder das tut, was sie soll: Das Geschäft nicht nur am Laufen halten, sondern voranbringen.

Für Unternehmen, die den Weg in die SAP S/4HANA Private Cloud gehen, ist die Frage daher nicht, ob sie zusätzliche Services benötigen, sondern wie sie diese intelligent in ihre Betriebsstrategie integrieren. Die Antwort der Axians lautet: Mit einem ganzheitlichen Ansatz, lokaler Nähe und technischer Exzellenz, die keine Lücken zulässt.