·3 min read

KI mit SAP verbinden: 3 Architektur-Optionen, die tatsächlich funktionieren

SAPAIArchitectureEnterprise

KI mit SAP verbinden: 3 Architektur-Optionen, die tatsächlich funktionieren

Jedes zweite Gespräch mit SAP-Kunden dreht sich gerade um die gleiche Frage: Wie bekommen wir KI an unsere SAP-Daten?

Die Idee ist verlockend. Ein Einkäufer fragt seinen KI-Assistenten: „Welche Bestellungen über 50.000 € sind diese Woche eingegangen?" Statt SAP-Transaktionen zu navigieren, bekommt er in Sekunden eine klare Antwort. Die HR-Managerin fragt: „Zeig mir alle Mitarbeiter im Team München mit auslaufenden Verträgen." Der Controller fragt: „Wie hat sich der Deckungsbeitrag in Region Süd im Vergleich zum Vorjahr entwickelt?"

Klingt nach einer simplen API-Anbindung. Ist es aber nicht.

Warum ist das so schwierig?

Drei Hürden, an denen Projekte scheitern:

1. Authentifizierung pro Nutzer. Wenn der Einkäufer fragt, darf er nur Bestelldaten sehen. Wenn die HR-Managerin fragt, nur Personaldaten. SAP hat dafür ein ausgefeiltes Berechtigungssystem (PFCG-Rollen). Aber die Identität des Nutzers muss vom KI-Client durchgängig bis ins SAP-System propagiert werden. Das ist technisch anspruchsvoll — vor allem, weil der KI-Client (ChatGPT, Claude) über einen Zwischenserver mit SAP kommuniziert.

2. SAP ist nicht für KI-Last gebaut. Wenn plötzlich 50 Mitarbeiter KI-gestützt Daten abfragen — teils mit unspezifischen Fragen, die große Datenmengen auslösen — kann das SAP-Produktivsystem ins Schwitzen kommen. Besonders zum Monatsabschluss. Ohne intelligente Lastbegrenzung riskieren Sie, den Geschäftsbetrieb zu stören.

3. DSGVO macht es kompliziert. SAP-Daten enthalten fast immer personenbezogene Informationen. Kundennamen, Mitarbeiteradressen, Bankverbindungen. Wenn das alles an OpenAI oder Anthropic geht, haben Sie ein Datenschutz-Problem — unabhängig davon, wie gut der Enterprise-Vertrag ist.

Die drei Optionen

Nach intensiver Analyse und Erfahrung aus der Praxis kristallisieren sich drei Architektur-Ansätze heraus:

Option A: Self-Hosted (Docker On-Premise)

Ein MCP-Server läuft als Docker-Container auf Ihrem eigenen Server. Davor ein NGINX-Proxy. Authentifizierung über Ihren bestehenden Identity Provider (Entra ID, Okta, etc.). Direkter Zugriff auf SAP über HTTPS.

Kosten: Praktisch null (alles Open Source). Aufwand: ~12–15 Entwicklertage. Besonderheit: Adaptive Lastbegrenzung — der Server erkennt, wenn SAP unter Druck steht, und drosselt automatisch.

Am besten für KMU mit einem SAP-System, die schnell starten wollen.

Option B: SAP BTP + Integration Suite

Der MCP-Server läuft auf der SAP Business Technology Platform. BTP übernimmt Authentifizierung, Token-Austausch und die sichere Verbindung zum SAP-System über den Cloud Connector. API Management bietet Lastbegrenzung.

Kosten: Hoch, wenn Sie noch keine BTP-Lizenz haben (BTPEA-Vertrag nötig). Gering, wenn BTP bereits vorhanden. Besonderheit: Neue SAP-Systeme in 0,5–1 Tag anbindbar. Kein eigener Auth-Code nötig.

Am besten für Großunternehmen mit mehreren SAP-Systemen weltweit und bestehender BTP-Lizenz.

Option C: Cloud-Hosted (Azure / AWS / GCP)

Derselbe MCP-Server-Code wie bei Option A, aber auf Azure Container Apps, AWS Fargate oder Google Cloud Run. VPN oder ExpressRoute zum SAP-System. Cloud-natives API Management für Rate Limiting.

Kosten: ~200–600 €/Monat (abhängig von bestehender Netzwerk-Infrastruktur). Besonderheit: Nahtlose Integration mit Microsoft Entra ID, wenn Sie bereits auf Azure setzen.

Am besten für Microsoft-zentrierte Unternehmen mit bestehendem Azure-Stack.

Welche Option passt zu Ihnen?

Die Antwort hängt von drei Faktoren ab: Was haben Sie bereits? (BTP-Lizenz? Azure-Stack? VPN zu SAP?) Wie viele SAP-Systeme? (Eins oder mehrere weltweit?) Was priorisieren Sie? (Kosten? Geschwindigkeit? Compliance?)

Eins ist bei allen Optionen gleich: Der MCP-Server-Code ist identisch. Sie binden sich nicht an eine Architektur — Sie können mit Option A starten und später zu B oder C migrieren.

Der vollständige Report

In unserem kostenlosen Report „KI mit SAP verbinden — Architektur-Optionen für Entscheider" gehen wir deutlich tiefer:

  • Detaillierte Vergleichsmatrix mit Ampelsystem (Kosten, Komplexität, Skalierung, DSGVO, Vendor Lock-in)
  • Entscheidungsbaum: Welche Option passt zu welchem Unternehmenstyp?
  • SSO-Kapitel: Entra ID, Okta, Keycloak, SAP IAS im Vergleich
  • DSGVO-Checkliste und Private-KI-Architekturen
  • Kosten-Einschätzungen und Zeitpläne

Den vollständigen Report mit Entscheidungsmatrix und Kostenvergleich gibt es hier →