Ihr SAP-System sollte Ihr Fort Knox sein, schließlich sind geschäftskritische Applikationen so schützenswert wie Kronjuwelen. So finden Sie heraus, wie es um Ihre SAP-Sicherheit steht.
Können Sie überhaupt mit Sicherheit sagen, ob bereits ein Cyberangriff stattgefunden hat, oder auch nicht? Haben Sie die Schwachstellen Ihrer Systeme identifiziert und schon Schritte unternommen, um Angriffe zu verhindern, die Sie 22 Millionen Dollar pro Minute kosten können? Oder stellen Sie gerade fest, dass die SAP-ERP-Implementationen viel zu gewaltig sind, um alles managen zu können - gerade hinsichtlich der Sicherheit?
Klaffende Lücken in der SAP-Landschaft? So finden Sie heraus, ob Ihre Systeme sicher sind. Foto: dvoevnore - shutterstock.com
In Zusammenarbeit mit David Binny, Vice President of Product Management beim ERP-Dienstleister Panaya, sagen wir Ihnen, wie Sie herausfinden, ob Ihr SAP-System sicher ist. Dazu sollten Sie sich die folgenden zehn Fragen stellen.
Welche Priorität hat Security?
Warten Sie lieber ab, bis der Blitz einschlägt und reagieren erst dann - also in der Regel viel zu spät, um noch Schaden abzuwenden zu können - oder steht die Wartung Ihrer SAP-Systeme in Sachen IT-Sicherheit ganz weit oben auf Ihrer Prioritätenliste?
Führen Sie zum Beispiel regelmäßige Security- und Compliance-Audits ihres ABAP-Codes durch? Einer Onapsis-Studie zufolge "verzichten" darauf nämlich 70 Prozent der Befragten. Laut einer anderen Studie des Ponemon Institutes sehen es fast drei von vier der Befragten als entscheidend für das Management von Security-Risiken an, dass das SAP-Ökosystem eines Unternehmens stets auf dem neuesten Stand ist. Würden Sie sich zutrauen, eine Kompromittierung ihres SAP-Systems innerhalb eines Jahres aufzudecken?
Wer ist für Sicherheit verantwortlich?
In vielen Fällen bleibt leider ziemlich unklar, wer für die Sicherheit der SAP-Systeme überhaupt verantwortlich ist. Vor kurzem hat eine Studie ans Licht gebracht, warum das so ist: Jeder zweite denkt, dass die Verantwortung für die IT-Sicherheit bei SAP liegt und nicht im eigenen Unternehmen. Bemerkenswert: 30 Prozent der Befragten denken, dass gar niemand dafür verantwortlich ist. Nur eine verschwindend geringe Zahl der Befragten ist der Meinung, dass das der Job des CIO oder CISO ist.
Solange die Verantwortlichkeit für IT-Security in der Luft hängt, sind die wesentlichen Schlüsselpositionen im Fall eines Angriffs handlungsunfähig. Und die Konsequenzen können teuer werden. Sie sollten also nicht länger abwarten und - insofern noch nicht geschehen - unbedingt eine Person oder Gruppe von Personen bestimmen, die in Sachen SAP-Security den Hut aufhat.
Der CISO-Check: Taugen Sie zum IT-Security-Manager?
Glauben Sie ... ... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?
Schauen Sie ... ... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?
Überwachen Sie ... ... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?
Suchen Sie ... ... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?
Widmen Sie ... ... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?
Versuchen Sie ... ... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?
Behalten Sie ... ... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?
Arbeiten Sie ... ... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?
Bewegen Sie ... ... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?
Verlieren Sie ... ... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
Wann war das letzte EHP-Update?
Stellen Sie sicher, dass Ihr Unternehmen in Sachen Technologie und Security-Updates auf der Höhe der Zeit ist. Enhancement Packages (EHPs) werden für die SAP Business Suite auf regelmäßiger Basis ausgerollt. Dieser Vorgang kommt im Wesentlichen einem Software-Update gleich und beinhaltet funktionale Erweiterungen, etwa UI-Vereinfachungen und service bundles. Wenn Ihr Unternehmen das eigene SAp-System mit den neuesten EHPs versorgt, sinkt die Gefahr klaffender Sicherheitslücken, die Sie teuer zu stehen kommen können.
Ist SPS installiert?
Ja, Support Package Stacks (SPS) zu installieren dauert ziemlich lange. Aber Sie können es sich schlicht nicht leisten, auf sie zu verzichten. SAP empfiehlt, diese mindestens einmal im Jahr einzusetzen. Bislang haben die Walldorfer in diesem Rahmen mehr als 3300 Security-Patches veröffentlicht. Auch wenn vom SPS-Release bis zum Ausrollen mehr als sechs Monate vergehen können - es ist immer noch besser, als Ihre Systeme ohne jegliche Update- und Patching-Prozesse laufen zu lassen. Sie sollten also einen möglichst effektiven und effizienten Weg für die SPS-Implementierung finden.
Sicherheit oder Funktionalität?
Das US Department of Homeland Security stellte kürzlich fest, dass mindestens 36 Konzerne weltweit von Security-Schwachstellen in SAP-Systemen betroffen sind. Die Gründe: Keine Patch-Policy, Konfigurationsfehler und veraltete Systeme. SAP hat das Problem zwar behoben, dabei stellte man allerdings fest, dass viele Kunden geschäftskritische Applikationen (in der Regel solche, die Einnahmen generieren) während der Sicherheits-Updates weiterlaufen lassen - trotz der Gefahr fehlerhafter Patches.
Das Einmaleins der IT-Security
Adminrechte Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
E-Mail-Sicherheit E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Unternehmensvorgaben Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles Kontrolle der Logfiles
Datensicherung Auslagerung der Datensicherung
Sicherheitsanalyse Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Eigener Code schon über Bord?
Wenn nicht, dann sollten Sie das jetzt erledigen. Sofort. Proprietäre Weiterentwicklungen von SAP-Systemen sind nach wie vor weit verbreitet. Das Problem: Statistiken zeigen, dass eine von 1000 ABAP-Codezeilen eine kritische Sicherheitslücke beherbergt. Jede Zeile ist also ein potenzielles Risiko. Im schlimmsten Fall erschleicht sich ein Angreifer so vollen Zugriff auf die Unternehmensdaten. Weil der Großteil des selbst geschriebenen Codes oft ohnehin nicht zur Anwendung kommt, beziehungsweise SAP meist selbst bereits entsprechende Funktionalitäten in seine Software eingebaut hat, empfehlen Experten, eigene Anpassungen über Bord zu werfen (oder zumindest sicherheitskritische Stellen zu überprüfen und zu härten) und zu einer Standard-Installation zurückzukehren, um potenzielle IT-Sicherheitsrisiken drastisch zu minimieren.
Sind die SAP-Apps auf dem neuesten Stand?
Der Schlüssel zu sicheren SAP-Systemen ist fortwährendes Monitoring. Zwei Security-Vorfälle innerhalb eines Zeitraums von 24 Monaten stehen inzwischen in Zusammenhang mit SAP-Systemen. Darüber hinaus glauben 75 Prozent aller IT-Experten, dass ihre SAP-Plattformen mit Malware infiziert sind. Man muss also kein Prophet sein, um zu erkennen, dass die Bedrohungen und die Angriffe auf SAP-Infrastrukturen weiter steigen werden. Um Zero-Day-Schwachstellen in SAP-Applikationen zu vermeiden, sollten Sie also wachsam bleiben und sicherstellen, dass Ihre Business Apps stets auf dem neuesten Stand sind. Zur Analyse und für das Update-Management stehen Ihnen verschiedene Tools zur Verfügung.
Wann war die letzte ERP-Kontrolle?
Unternehmen haben nur begrenzten Einblick in die Sicherheit ihrer SAP-Applikationen. Das macht die Aufdeckung von Cyberangriffen und die Einleitung entsprechender Gegenmaßnahmen schwieriger. In der Praxis dauert es bei vielen Unternehmen ein ganzes Jahr, bis ein Angriff bemerkt wird - also viel zu lange. Um die Sicherheit Ihres ERP-Systems so gut wie möglich gewährleisten zu können, sind regelmäßige Checkups in kürzeren Abständen unerlässlich. Davon abgesehen erlangen Sie so auch ein besseres Verständnis Ihrer ERP-Architektur und können mögliche Problemstellungen schon vor einer Änderung erkennen und umgehen.
Kampf der ERP-Titanen
Marktanteile SAP sichert sich unter den Top-Anbietern den größten Marktanteil. Allerdings verlieren die drei Führenden ein paar Prozentpunkte. Der große Gewinner im Vergleich zur vorangegangenen Umfrage ist Infor.
Auf der Shortlist Die hohen Marktanteile spiegeln sich auch in den Shortlists wider. SAP taucht hier am häufigsten auf ...
Auswahl gewonnen ... und in der Folge gewinnt SAP auch am häufigsten die Projekte, in denen es die Walldorfer in die engere Auswahl schaffen.
Einführungsdauer Im Vergleich zur vorangegangenen Umfrage brauchen die Anwender länger, um ein neues ERP-System einzuführen. Am längsten dauert es mit Microsoft Dynamics - über zwei Jahre. 2014 schnitt der US-Konzern mit 12,5 Monaten noch am besten ab.
Verzögerungsgründe Nachträgliche Projekterweiterungen sowie Probleme mit Technik, Daten und der Organisation sind die häufigste Ursachen dafür, dass Unternehmen ihre Zeitbudgets für die ERP-Einführung überschreiten.
Return on Invest (RoI) Meist dauert es Jahre, bis sich ein neues ERP-System aus Perspektive der Anwenderunternehmen bezahlt macht.
Projektkosten Oracle-Projekte kommen die Unternehmen am teuersten. In den meisten Projekten reicht das Geld nicht. Ausnahme Infor: Hier liegen die tatsächlichen Kosten für die ERP-Einführung im Durchschnitt niedriger als ursprünglich geplant.
ERP-Vorteile Über ein Drittel der Unternehmen hat es im Zuge der ERP-Einführung geschafft, die Verfügbarkeit von Informationen zu verbessern. Auch die interne Zusammenarbeit und Integration wollen die Unternehmen mit einem neuen ERP-System effizienter machen.
Ziele erreicht? Insgesamt scheinen die selbstgesteckten ERP-Ziele schwer zu erreichen. Gerade einmal jeder fünfte SAP- und Microsoft-Kunde schafft mehr als 50 Propzent Zielerreichungsgrad. Oracle mit 14 Prozent und Infor mit elf Prozent schneiden noch deutlich schlechter ab.
Funktionalität Die meisten ERP-Funktionen bleiben ungenutzt. Ein Viertel bis die Hälfte der Anwenderunternehmen gaben an, höchstens 40 Prozent der mit dem ERP-System gelieferten Funktionalität auch zu nutzen.
Projektvorgehen Der Umstieg in Phasen bleibt das präferierte Umstiegsmodell für die meisten ERP-Anwender.
Customizing Das Customizing - eine der Hauptursachen für komplexe Anwendungslandschaften - nimmt ab. Gerade im SAP-Umfeld geben sich immer mehr Anwender mit den im Standard gebotenen Funktionen zufrieden.
Umstieg mit Unterbrechung Die meisten ERP-Einführungen sind nach wie vor mit einer Unterbrechung des operativen Betriebs verbunden.
Unterbrechungsdauer Und diese Unterbrechungen können dauern - teilweise sogar bis zu einem halben Jahr.
ERP aus der Cloud Das Cloud-Modell will im ERP-Umfeld nicht so richtig in Schwng kommen. SAP kann zwar etwas zulegen, aber bei Microsoft und Oracle stagniert der Cloud-Anteil im Vergleich zur Umfrage vor zwei Jahren.
Kostenvorteile in der Cloud Die zögerliche Cloud-Adaption mag auch daran liegen, dass die Kostenersparnisse aus Anwendersicht nur bei 40 Prozent und weniger liegen.
Zusammenfassung ERP-Projekte dauern lange, kosten viel Geld und überschreiten in aller Regel Zeit- und Kosten-Budgets. Daran scheint sich wenig zu ändern, wie auch die aktuelle Umfrage wieder einmal gezeigt hat.
Digitalisiert und trotzdem risikoarm?
Es hilft alles nichts - die Welt verändert sich. Und ein wesentlicher Treiber ist dabei die Digitalisierung. Wie aber greift man neue Technologien und Trends wie Cloud, Mobile und IoT auf, und umschifft dabei gleichzeitig die ihnen innewohnenden Sicherheitsrisiken? Dazu müssen Sie in erster Linie wachsam sein. Und agil. Tools zur Qualitätssicherung etwa überwachen bei jeder Änderung Sicherheit, Funktionalität und Performance Ihrer SAP-Landschaft.
Die Geschichte von SAP
2016 Auf der Kundenkonferenz Sapphire kündigte SAP im Mai eine Kooperation mit Microsoft an. Beide Hersteller wollen künftig SAPs In-Memory-Plattform HANA auf Microsofts Cloud-Infrastruktur Azure unterstützen. Microsofts CEO Satya Nadella sagte: "Gemeinsam mit SAP schaffen wir ein neues Maß an Integration innerhalb unserer Produkte."
2016 SAP und Apple wollen gemeinsam native Business-iOS-Apps für iPhone und iPad entwickeln. Experten sehen SAPs Festlegung auf eine mobile Plattform kritisch und monieren fehlende Offenheit. Anwendervertreter reagierten überrascht und verlangten Aufklärung was die neue Mobile-Strategie bedeutet.
2015 Im Sommer verunglückt SAP-CEO Bill McDermott bei der Geburtstagsfeier seines Vaters. Er stürzt mit einem Glas auf der Treppe und verliert nach einer Operation ein Auge. Im Herbst meldet sich der US-amerikanische Manager als wieder voll einsatzfähig zurück.
2015 Im Februar stellt SAP mit S/4HANA eine neue Generation seiner Business-Software und damit den Nachfolger für die Business Suite vor. SAP definiere damit das Konzept des Enterprise Resource Planning für das 21. jahrhundert neu, pries SAP-Chef Bill McDermott die Neuentwicklung. Für den Großteil der Unternehmen dürfte das Produkt noch Zukunft bleiben, konterte die Anwendervereinigung DSAG. Die Prioritäten vieler Kunden lägen eher auf klassischen Projekten rund um das ERP-System.
2014 SAP-Technikchef Vishal Sikka gibt im Mai seinen Posten auf und wird CEO von Infosys. SAP sucht lange einen Nachfolger für Sikka, holt im November schließlich den langjährigen Microsoft-Manager Quentin Clark für diesen Posten.
2012 Die Walldorfer setzen mit dem Kauf des amerikanischen Cloud-Computing-Anbieters SuccessFactors ihren Weg ins Cloud-Geschäft fort – nachdem kurz zuvor Wettbewerber Oracle RightNow übernommen hat. Der Kaufpreis lag mit 2,4 Milliarden Euro über die Hälfte höher als der aktuelle Marktwert. Cloud-Services werden mit der SuccessFactors-Lösung vor allem im Human-Ressources-Umfeld angeboten. Außerdem schnappt sich SAP den weltweit zweitgrößten Cloud-Anbieter für Handelsnetzwerke Ariba für 3,3 Milliarden Euro.
2011 In 2011 ist das Formtief vergessen, die Walldorfer fahren die besten Ergebnisse ihrer Geschichte ein. Die Innovationsstrategie geht auf, auch wenn zwischendurch gezweifelt wurde, ob SAP seinen Kunden nicht davon-sprintet: 2011 implementieren die ersten Kunden die In-Memory-Plattform HANA, immer mehr Kunden nutzen die mobilen Lösungen, die aus dem Sybase-Deal entstanden sind.
2010 Der Paukenschlag: Hasso Plattner reißt mit dem Aufsichtsrat das Ruder herum. Der glücklose Léo Apotheker, der zuvor mit der Erhöhung der Wartungsgebühren viele Kunden vor den Kopf gestoßen hatte, muss gehen. Die neue Doppelspitze aus Bill McDermott und Jim Hagemann Snabe verspricht den Anwendern wieder mehr Kundennähe. CTO Vishal Sikka wird Vorstandsmitglied und SAP übernimmt Sybase, einen Anbieter für Informationsmanagement und die mobile Datennutzung, zum Preis von etwa 5,8 Milliarden Dollar.
2008 Mit der Erhöhung der Wartungsgebühren von 17 auf 22 Prozent und den Modalitäten des „Enterprise Support“, die viel Aufwand für die Anwender bringen, verärgert SAP seine Kunden massiv. Trotz intensiver Auseinandersetzung auf dem DSAG-Kongress bleibt SAP bei seiner Linie. Mittlerweile ist Léo Apotheker zweiter Vorstandssprecher neben Kagermann. Ende des Jahres beugt sich SAP dem Kundenwiderstand.
2008 Die größte Übernahme in der Unternehmensgeschichte: 2008 kauft SAP den Business-Intelligence-Spezialisten Business Objects für 4,8 Milliarden Euro und wird damit der bisherigen Strategie untreu, aus eigener Kraft zu wachsen. Die Integration mit der eigenen SAP-BI-Palette gestaltet sich aufwendig und wird sich über mehrere Jahre hinziehen. Die 44.000 BO-Kunden sollen dabei helfen, die Kundenzahl bis 2010 auf 100.000 zu steigern.
2007 Über viele Jahre hinweg entwickelt SAP an der SaaS-ERP-Lösung Business byDesign für kleinere Unternehmen. Rund drei Milliarden Euro wurden laut „Wirtschaftswoche“ im Entstehungsprozess versenkt. Trotz der Arbeit von 3000 Entwicklern kommt die Software Jahre zu spät. Obwohl innovativ, hat es die Lösung schwer im deutschen Markt. 2013 wird byDesign ins Cloud-Portfolio überführt.
2006 Mit „Duet“ bringen SAP und Microsoft eine gemeinsame Software auf den Markt, mit der sich MS Office einfach in SAP-Geschäftsprozesse einbinden lassen soll. 2006 wird auch die Verfügbarkeit der neuen Software SAP ERP angekündigt, die auf dem SOA-Prinzip (Service oriented Architecture) basiert.
2003 Abschied des letzten SAP-Urgesteins: Hasso Plattner zieht sich aus dem Vorstand zurück und geht in den Aufsichtsrat, Henning Kagermann wird alleiniger Vorstandsprecher. SAP stellt die Integrationsplattform NetWeaver vor, die Basis für künftige Produkte sein soll. Die Mitarbeiterzahl liegt jetzt bei 30.000.
2002 Der ERP-Hersteller will das bisher vernachlässigte Feld der KMUs nicht mehr dem Wettbewerb überlassen. Auf der CeBIT 2002 stellt SAP mit Business One eine ERP-Lösung für kleine bis mittelständische Unternehmen mit rund fünf bis 150 Mitarbeitern vor. Doch einfach haben es die Walldorfer in diesem Marktsegment nicht. Zu stark haftet der Ruf an den Walldorfern, hauptsächlich komplexe und teure Lösungen für Konzerne zu bauen.
1999 Die New Economy boomt und der E-Commerce hält Einzug bei SAP: Plattner kündigt die neue Strategie von mySAP.com an. Die Software soll Online-Handels-Lösungen mit den ERP-Anwendungen auf Basis von Webtechnologie verknüpfen. Im Vorjahr hatten die Walldorfer ihr Team um die Hälfte verstärkt, jetzt arbeiten 20.000 Mitarbeiter bei SAP. Weil die Kunden beim Umstieg mehr zahlen sollen, gibt es längere Zeit Gegenwind, schließlich werden die Internet-Schnittstellen auch im Rahmen der R/3-Wartung geboten. Derweil ist die Zentrale gewachsen.
1997 Die SAP-Anwender organisieren sich in der Deutschsprachige SAP-Anwendergruppe e.V. (DSAG), um ihre Interessen gemeinsam besser vertreten zu können. Laut Satzung ist das Ziel des Vereins die „partnerschaftliche Interessenabstimmung und Zusammenarbeit zwischen SAP-Softwarebenutzern und SAP zum Zweck des Ausbaus und der Verbesserung der SAP-Softwareprodukte“.
1997 Der ERP-Hersteller feiert sein 25. Jubiläum, zum Gratulieren kommt Bundeskanzler Helmut Kohl, der im Jahr darauf von Gerhard Schröder abgelöst wird. Der Umsatz liegt bei über sechs Milliarden Mark, das Geschäftsergebnis erstmals über der Milliarden-Grenze. Mehr als zwei Drittel werden im Ausland erwirtschaftet. SAP beschäftigt knapp 13.000 Mitarbeiter und geht an die die Börse in New York (NYSE).
1995 1995 versucht der ERP-Anbieter erstmals, in Zusammenarbeit mit Systemhäusern den Mittelstandsmarkt zu beackern. Es sollte noch einige Jahre dauern, bis sich mehr mittelständische Unternehmen auf die komplexe Software einlassen wollten. Mit knapp 7.000 Mitarbeitern erwirtschaftet SAP einen Umsatz von 2,7 Milliarden Mark, mehr als doppelt so viel wie noch zwei Jahre zuvor. Rudolf Scharping, damals noch SPD-Parteivorsitzender, kommt zu Besuch.
1993 Shake-Hands zwischen Plattner und Gates. SAP schließt ein Kooperationsabkommen mit Microsoft ab, um das System R/3 auf Windows NT zu portieren. SAP kauft zudem Anteile am Dokumentenmanagement-Anbieter IXOS. Zum ersten Mal überschreiten die Walldorfer die Milliardengrenze beim Umsatz.
1992 Seit 1992 wird R/3 ausgeliefert. Die Walldorfer hatten die Software für die AS/400 von IBM konzipiert, nach Performance-Problemen wich man auf Unix-Workstations mit Oracle-Datenbank im Client-Server-Prinzip aus. Das internationale Geschäft wächst: 1992 verdient die SAP im Ausland schon knapp die Hälfte von dem, was sie in Deutschland einnimmt. Der Gesamtumsatz beläuft sich auf 831 Millionen Mark. 3157 Mitarbeiter sind jetzt für SAP tätig.
1991 In diesem Jahr steigt Henning Kagermann (rechts im Bild), der seit 1982 die Entwicklungsbereiche Kostenrechnung und Projektcontrolling verantwortet, in den Vorstand auf.
1990 SAP übernimmt das Softwareunternehmen Steeb zu 50 Prozent und das Softwarehaus CAS komplett, um das Mittelstandsgeschäft zu verstärken. Die Mauer ist gefallen und die Walldorfer gründen gemeinsam mit Siemens Nixdorf und Robotron die SRS in Dresden. Die Berliner Geschäftsstelle wird eröffnet und SAP hält seine erste Bilanzpressekonferenz ab.
1988 SAP geht an die Börse: Hasso Plattner am ersten Handelstag der SAP-Aktie.
1987 Der erste Spatenstich: Dietmar Hopp startet 1987 den Bau der SAP-Zentrale in Walldorf.
1983 1983 zählt das Unternehmen 125 Mitarbeiter und erwirtschaftet 41 Millionen Mark im Jahr. Nach der Fibu adressiert SAP auch das Thema Produktionsplanung und -steuerung. Beim Kunden Heraeus in Hanau wird zum ersten Mal RM-PPS installiert. Im Jahr zuvor hatten die Gründer von SAP (v.l.: Dietmar Hopp, Hans-Werner Hector, Hasso Plattner, Klaus Tschira) zehnjähriges Jubiläum gefeiert.
1979 SAP setzte sich mit dem Datenbank- und Dialogsteuerungssystem der IBM auseinander: Das war der Auslöser eine die Neukonzeption der Software und Grundstein für SAP R/2. Aus den Realtime-Systemen entstand in den 70iger Jahren das Online Transaction Processing (OLTP). So sahen Anfang der 80iger Jahre die Arbeitsplätze bei SAP aus.
1976 Die Software sollte Lohnabrechnung und Buchhaltung per Großrechner ermöglichen. Anstatt auf Lochkarten wurden die Daten per Bildschirm eingegeben – das nannte sich Realtime und das „R“ blieb über Jahrzehnte Namensbestandteil der Lösungen. Weil die Software erstmals nicht nur für ein Unternehmen entwickelt wurde, sondern universeller einsetzbar war, gilt SAP als Miterfinder des Standardsoftware-Ansatzes. Aber auch der Fußball kam nicht zu kurz: Das Computerteam mit Hasso Plattner und Dietmar Hopp auf dem Feld.
1972 1972 gründen die fünf ehemalige IBM-Mitarbeiter Claus Wellenreuther, Hans-Werner Hector, Klaus Tschira, Dietmar Hopp und Hasso Plattner das Unternehmen „SAP Systemanalyse und Programmentwicklung“. Sie wollen eine Standardanwendungssoftware für die Echtzeitverarbeitung schaffen, die sich für unterschiedliche Unternehmen nutzen lässt und die Lochkarten ablöst.