Der 9. Juni bei SAP: Was an Ihren Schnittstellen wirklich stehenbleibt

Dienstag, kurz nach neun, im Besprechungsraum eines Maschinenbauers im Bergischen Land. Der IT-Leiter projiziert ein Schaubild seiner nächtlichen Datenstrecken an die Wand. Eine davon zieht seit zwei Jahren jede Nacht die Finanzdaten aus S/4HANA über den Azure-Data-Factory-Connector in eine Microsoft-Fabric-Pipeline. Sie läuft, niemand fasst sie an. Dann fällt der Satz, der die nächste Stunde bestimmt: “Läuft die eigentlich über ODP-RFC?” Im Raum sitzen vier Leute, die das System seit Jahren betreuen. Keiner kann es sofort beantworten.

Genau diese Frage entscheidet, ob der 9. Juni 2026 für das Haus ein Nicht-Ereignis wird oder ein Datenstillstand.

Was am 9. Juni wirklich passiert

An diesem Tag blockiert SAP nicht “die Schnittstellen”, sondern genau eine Art davon: die ODP-Datenreplikation über RFC.

Der technische Anker ist SAP-Note 3255746, am 21.04.2026 auf Version 11 gehoben. Sie beschreibt einen Sicherheitspatch, der ab dem Stichtag nicht-konforme ODP-RFC-Calls technisch blockiert. Gemeint sind die Szenarien, die Daten aus SAP in Nicht-SAP-Systeme spiegeln. Massendaten-Strecken also, die nachts laufen und Reporting-, Data-Lake- oder Analytics-Umgebungen füttern.

Die Note formuliert die Zuständigkeit unmissverständlich: Bricht eine Strecke nach dem Einspielen des Patches, liegt die Verantwortung beim Kunden. Kein Bug, kein Härtefall, kein automatischer Bestandsschutz.

Der teuerste Fehler im Mittelstand ist die Schlagzeile “RFC ist tot”, die gerade durch jeden zweiten Newsletter geht. Wer sie glaubt, baut in Panik funktionierende Strecken um, die nie zur Debatte standen.

Was weiterläuft, ist erheblich mehr als das, was stoppt. RFC als Protokoll bleibt. BAPIs bleiben. Funktionsbausteine bleiben. Tabellen- und CDS-View-Extraktion bleiben. DeltaQ bleibt. Eigene RFCs im Z- und Y-Namespace bleiben. Theobald Software hat das am 23.04.2026 ausdrücklich klargestellt, und SAP-Note 3255746 in Version 11 deckt die Abgrenzung. Wer eine BAPI-Strecke aus Angst vor dem 9. Juni umbaut, verbrennt Projektbudget an einer Pipeline, die nie betroffen war.

Ein konkretes Opfer-Beispiel macht die Grenze greifbar. Der Azure Data Factory SAP-CDC-Connector nutzt ODP-RFC. Microsoft hat den Impact bestätigt und bietet als Fabric-Alternative einen ABAP-Add-on-Copy-Job an, vorgestellt auf der Microsoft Build 2026. Wer diese Strecke betreibt, hat einen Termin am 9. Juni. Wer “nur” BAPIs aufruft, hat keinen.

Diese Unterscheidung klingt nach Detail, entscheidet aber über den ganzen 9. Juni. In der Praxis liegen in einem gewachsenen System beide Welten nebeneinander, oft im selben Schaubild, oft von verschiedenen Teams gebaut. Die nächtliche Reporting-Strecke aus dem Beispiel oben läuft womöglich über ODP-RFC, während der DATEV-Export aus demselben Mandanten über einen Funktionsbaustein geht. Das eine hat einen Stichtag, das andere nicht. Wer den Unterschied nicht kennt, behandelt am Ende alles als Risiko oder nichts davon, und beides kostet unnötig Geld.

Die Policy hinter dem Patch

Der Sicherheitspatch ist nur die technische Spitze einer breiteren Regelung, der SAP API Policy v.4.2026a, Stand 24.04.2026.

Section 2.2.2 verbietet wörtlich die “interaction or integration with (semi-)autonomous or generative AI systems that plan, select, or execute sequences of API calls”. Gemeint ist der agentische Zugriff: ein KI-Agent, der selbstständig API-Aufrufe plant und abfeuert. Section 3 schließt die Hintertür und untersagt Workarounds über Proxies, Gateways, Custom Code oder Impersonation.

Entscheidend ist die Definition von “Published API”. Als veröffentlicht gilt nur, was im SAP Business Accelerator Hub oder in offizieller Produktdokumentation gelistet ist. Ein Community-Blog mit einem funktionierenden Endpoint zählt nicht. Diese Engführung verschiebt die Grenze des Erlaubten näher an SAP-kontrollierte Pfade.

Wer agentische KI auf seine SAP-Daten ansetzt, ohne diese Grenze zu kennen, läuft in ein Vertragsproblem. Wie eng Datenanbindung und KI-Nutzen zusammenhängen, habe ich an anderer Stelle beschrieben: KI ohne ERP-Anbindung ist teures Spielzeug.

Warum jetzt — und was sich strategisch verschiebt

Der Patch wirkt heute. Die strategisch wichtigere Verschiebung kommt 2027.

Die sanktionierten Ersatzpfade laufen beide durch SAP-vermessene Infrastruktur. Für die Analytik ist das SAP Business Data Cloud Delta Sharing, ein Zero-Copy-Ansatz über ORD und CSN. Für agentischen Zugriff kommt der MCP-Gateway der Integration Suite, angekündigt für Q2 2026. Technisch funktionieren beide Wege einwandfrei, doch jeder führt über eine Schicht, die SAP zählt.

Forrester hat das am 20.05.2026 auf den Punkt gebracht: “Data that previously flowed at the cost of compute now flows at the cost of compute plus SAP’s metering surface.” Daten, die bisher zum Preis der Rechenleistung flossen, fließen künftig zum Preis der Rechenleistung plus einer Mess-Schicht.

Das eigentliche Problem ist nicht, dass SAP diese Schicht überhaupt einzieht, sondern dass die Preisliste dazu fehlt. Die konkreten 2027-Konditionen für Gateway-Durchsatz, BDC-Egress und Agent-Consumption sind nicht veröffentlicht. Wer heute einen Mehrjahresvertrag mit agentischer KI auf SAP-Basis unterschreibt, unterschreibt eine Variable.

Diese Mechanik ist nicht neu. Sie ähnelt dem Muster, das Mittelständler beim Cloud-Druck längst kennen — die Frage, wer am Ende die Kontrolle über Kosten und Datenfluss hält. Wer dieses Muster vertiefen will, findet es hier: Cloud-Exit im Mittelstand.

Was vor dem 9. Juni auf den Tisch gehört

Acht Tage sind kein Migrationsprojekt. Sie reichen für eine ehrliche Inventur und eine klare Reihenfolge.

Erstens, die Strecken sichtbar machen. Jede SAP-zu-Nicht-SAP-Datenstrecke gehört auf eine Liste. SAP stellt mit SAP-Note 3439624 ein Self-Assessment-Tool bereit, das die ODP-RFC-Nutzung im System identifiziert. Das ist der schnellste Weg von “weiß keiner” zu “steht auf Papier”.

Zweitens, trennen statt pauschal umbauen. ODP-RFC-Strecken gehören von BAPI-, Funktionsbaustein- und Z-Namespace-Strecken sauber unterschieden. Nur die erste Gruppe hat einen 9.-Juni-Termin. Diese Unterscheidung ist die teuerste Position, wenn man sie falsch macht.

Drittens, die Patch-Reihenfolge festlegen. Microsoft empfiehlt ausdrücklich, SAP-Note 3255746 vor dem Einspielen auf betroffene Strecken zu prüfen. Niemand patcht blind in die Produktivlandschaft.

Viertens, Verträge schriftlich nachziehen. Das gilt für jeden neuen Mehrjahres-Deal mit Drittanbieter-KI auf SAP-Daten, etwa Agentforce, Copilot for Finance, ServiceNow AI Agents, Workday Illuminate oder Celonis. Bestandsschutz und eine Fair-Use-Schwelle gehören schriftlich in den Vertrag, nicht in ein Gesprächsprotokoll. Eine Zusage auf einem Earnings-Call ist kein Vertragsbestandteil und im Streitfall wertlos.

Diese Inventur ist klassisches Schnittstellen-Handwerk und überschneidet sich mit dem, was in jedem ERP-Projekt am Anfang steht: Requirement Engineering & Schnittstellen.

Was die Beruhigung nicht absichert

Es gibt einen ernstzunehmenden Einwand gegen die Aufregung, und er kommt von ganz oben.

SAP-CEO Christian Klein hat auf dem Q1-Investor-Call am 23.04.2026 deeskaliert: “Customers’ data is customers’ data, and accessing that data, we are not going to charge.” Die Verschärfung gelte nicht den Daten, sondern dem “domain know-how”, also Ontologie, Knowledge Graphs und Prozesslogik. Dazu komme die Performance: Ein einziger Agenten-Prompt könne tausende API-Calls auslösen, die transaktionale Systeme nicht tragen. Das ist kein Strohmann. Das ist ein legitimes technisches Argument.

Trotzdem schützt diese Aussage keine einzige Datenstrecke. Eine Beruhigung auf einem Earnings-Call ist kein Vertragsbestandteil. Gartner stuft die begleitende FAQ als “not a legally binding document” ein. Die DSAG hält in ihrer Stellungnahme vom 29.04.2026 fest, dass der Policy-Text selbst unverändert blieb — ohne Bestandsschutz-Klausel, ohne Fair-Use-Schwelle. Ein gesprochener Satz hält im Audit nicht stand.

Und die Performance-Begründung schärft den Punkt sogar, statt ihn zu entkräften. Wer auf die transaktionale Last verweist, hat recht. Er muss dann aber erklären, warum die einzige sanktionierte Alternative ausgerechnet durch SAP-vermessene Infrastruktur läuft. Das technische Argument und das kommerzielle Interesse fallen hier zusammen. Genau deshalb gehört der schriftliche Vertrag über die mündliche Zusage gestellt.

Häufige Fragen zur SAP API Policy und zum 9. Juni 2026

Schaltet SAP am 9. Juni 2026 alle Schnittstellen meines Systems ab?

Nein. Betroffen ist ausschließlich die ODP-Datenreplikation über RFC in SAP-zu-Nicht-SAP-Szenarien. RFC als Protokoll, BAPIs, Funktionsbausteine sowie Tabellen- und CDS-View-Extraktion bleiben laut SAP-Note 3255746 (Version 11, 21.04.2026) erlaubt. Der häufigste Fehler ist, aus Angst eine funktionierende BAPI-Strecke umzubauen.

Woher weiß ich, ob meine Datenstrecken über ODP-RFC laufen?

SAP stellt mit SAP-Note 3439624 ein Self-Assessment-Tool bereit, das die ODP-RFC-Nutzung im System identifiziert. Davor steht eine Inventur aller SAP-zu-Nicht-SAP-Datenpipes. Ein typischer Kandidat ist der Azure Data Factory SAP-CDC-Connector, der S/4HANA-Daten in Microsoft Fabric zieht.

Muss ich den Sicherheitspatch sofort einspielen?

Den Patch vorher auf Impact prüfen, nicht blind in die Produktivlandschaft einspielen. Microsoft empfiehlt ausdrücklich, SAP-Note 3255746 vor der Installation auf betroffene Strecken zu sichten. Die Verantwortung für danach gebrochene, nicht-konforme Verbindungen liegt laut Note beim Kunden.

Sind meine bestehenden Integrationen geschützt — gilt ein Bestandsschutz?

Hier liegt das eigentliche Risiko. Die DSAG hält in ihrer Stellungnahme vom 29.04.2026 fest, dass der Policy-Text keinen ausdrücklichen Bestandsschutz enthält. Eine mündliche Zusage auf dem Earnings-Call ist laut Gartner nicht rechtsverbindlich. Wer Sicherheit braucht, muss sie schriftlich nachverhandeln.

Was kostet mich der sanktionierte Ersatzweg ab 2027?

Das ist offen. Die freigegebenen Alternativen laufen durch SAP-vermessene Infrastruktur: SAP Business Data Cloud Delta Sharing für die Analytik und der Integration-Suite-MCP-Gateway für Agenten ab Q2 2026. Die konkreten 2027-Preise für Gateway-Durchsatz, BDC-Egress und Agent-Consumption sind laut Forrester (20.05.2026) nicht veröffentlicht. Ein Mehrjahresvertrag ohne diese Zahlen ist ein Blankoscheck.

Nächster Schritt

Wissen Sie, welche Ihrer nächtlichen Datenstrecken über ODP-RFC laufen — und welche nicht?

Wenn die Antwort im Haus gerade niemand sicher geben kann, schauen wir gemeinsam auf Ihre Schnittstellen-Liste. Kein Pitch, kein Projektangebot. Eine Schnellsichtung, ob Sie vor dem 9. Juni einen echten Termin haben oder einen Fehlalarm.

→ Erstgespräch vereinbaren, kostenfrei

→ Oder zuerst mehr lesen: Requirement Engineering & Schnittstellen · Beratung zu ERP-Projekten & Systemen

Quellen und Links: SAP-Note 3255746, Version 11 (21.04.2026) · SAP-Note 3439624 — Self-Assessment · SAP API Policy v.4.2026a (24.04.2026) · DSAG-Pressemitteilung (29.04.2026) · Forrester (20.05.2026) · Theobald Software (23.04.2026) · SAP Q1-2026-Earnings-Call (23.04.2026) · Microsoft Learn — SAP CDC / ODP-RFC

Weiter lesen auf pfisterer.xyz: KI ohne ERP-Anbindung ist teures Spielzeug · Cloud-Exit im Mittelstand · DSAG-Investitionsreport 2026: S/4HANA im Mittelstand