Häufig gestellte Fragen
Worauf sollte ein IT-Leiter bei der ERP-Auswahl achten?
Aus IT-Sicht zählen vier Kriterien mehr als der Funktionsumfang: das Betriebsmodell (echte Cloud-SaaS, Private Cloud oder On-Premise mit klar geregelten Verantwortlichkeiten), die Integrationsfähigkeit über offene und vollständig dokumentierte APIs sowie ein granulares Sicherheits- und Rechtekonzept. Hinzu kommen Skalierbarkeit, vertraglich zugesicherte Verfügbarkeit und die langfristige Betreibbarkeit über einen Horizont von fünf bis zehn Jahren. Ebenso wichtig ist die Abwägung der Total Cost of Ownership, da die Lizenz- oder Abogebühr erfahrungsgemäß nur einen kleineren Teil der Gesamtkosten ausmacht, während Implementierung, Integration und Betrieb oft ein Vielfaches davon kosten. Wer diese Punkte vor der Auswahl bewertet, vermeidet teure Folgekosten durch Integrations- und Betriebsaufwand.
Cloud oder On-Premise – was ist aus IT-Sicht besser?
Es gibt kein pauschal besseres Modell, sondern eine Abwägung entlang von IT-Kompetenz, Compliance-Anforderungen und Customizing-Bedarf. Cloud-SaaS entlastet die eigene IT von Infrastruktur, Patching und Updates und senkt die laufenden Betriebskosten in TCO-Vergleichen über die Laufzeit häufig um 30 bis 50 Prozent gegenüber On-Premise, begrenzt aber die Tiefe individueller Anpassungen. On-Premise gibt volle Kontrolle über Daten und Customizing, bindet jedoch dauerhaft Ressourcen für Betrieb, Backup und Sicherheits-Patches. In der Praxis ist Cloud bei kleineren Nutzerzahlen meist wirtschaftlicher, während sich bei vielen Nutzern und hohem Anpassungsgrad ein detaillierter TCO-Vergleich über die gesamte Laufzeit lohnt.
Wie wichtig sind APIs bei der ERP-Auswahl?
APIs sind aus IT-Sicht ein zentrales Auswahlkriterium, weil kein ERP isoliert betrieben wird und sich mit Shop, CRM, Logistik und Eigenentwicklungen verbinden muss. Entscheidend sind offene, vollständig dokumentierte Schnittstellen wie REST oder OData sowie Webhooks für Echtzeit-Events statt aufwändigem Polling. Ein API-First-ERP bildet jede Funktion auch programmatisch ab, sodass Integrationen nicht an fehlenden Endpunkten scheitern. Für komplexe Systemlandschaften ergänzen iPaaS-Plattformen die native Schnittstellenstrategie und reduzieren den Pflegeaufwand zahlreicher Punkt-zu-Punkt-Verbindungen.
Welche Sicherheitsanforderungen gelten für ein ERP?
Ein ERP gehört als zentrales Datendrehkreuz zu den am stärksten zu schützenden Systemen und benötigt ein granulares, rollenbasiertes Rechtekonzept, Mehr-Faktor-Authentifizierung und durchgehende Verschlüsselung im Transport und bei der Speicherung. Hinzu kommen lückenlose, manipulationssichere Audit-Logs sowie DSGVO-Konformität und je nach Sektor branchenspezifische Vorgaben. Seit Inkrafttreten des deutschen NIS-2-Umsetzungsgesetzes orientieren sich die geforderten Maßnahmen eng an der ISO 27001 und umfassen unter anderem Zugriffskontrolle, Kryptografie, Lieferkettensicherheit und Incident-Management. Diese Anforderungen sollten bereits in der Anbieter-Bewertung anhand von Zertifikaten und SLA nachweisbar sein.
Welche NIS2-Pflichten betreffen das ERP konkret?
Das deutsche NIS-2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten und betrifft Unternehmen ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz in den relevanten Sektoren – in Deutschland schätzungsweise rund 30.000 Organisationen. Da das ERP geschäftskritische Daten und Prozesse bündelt, fällt es in den Geltungsbereich der Risikomanagementpflichten nach §30 BSIG, etwa Zugriffskontrolle, Mehr-Faktor-Authentifizierung, Verschlüsselung, Backup und Notfallmanagement. Die Verantwortung lässt sich nicht mehr vollständig an die IT-Abteilung delegieren, denn die Geschäftsleitung muss die Risikomaßnahmen aktiv billigen und ihre Umsetzung überwachen, andernfalls haftet sie persönlich. Bei Verstößen drohen für besonders wichtige Einrichtungen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Was bedeuten RTO und RPO bei einem ERP-System?
RTO (Recovery Time Objective) bezeichnet die maximal tolerierte Zeit, bis ein ausgefallenes ERP wieder verfügbar sein muss, während RPO (Recovery Point Objective) den maximal akzeptablen Datenverlust beschreibt, gemessen als Zeitspanne zwischen letzter Sicherung und Störfall. Für ein produktives ERP sind beide Werte geschäftskritisch, weil längere Ausfälle Auftragsabwicklung, Lager und Fakturierung sofort blockieren. Beide Kennzahlen sollten vertraglich im SLA festgelegt, dokumentiert und regelmäßig durch echte Wiederherstellungstests verifiziert werden – nicht nur auf dem Papier vereinbart. Je niedriger RTO und RPO ausfallen sollen, desto höher sind in der Regel die Kosten für Replikation, Failover und Disaster-Recovery-Infrastruktur.
Was bedeutet Composable ERP für die IT?
Composable ERP löst den klassischen Monolithen zugunsten modularer Bausteine auf, die über standardisierte Schnittstellen zu einer Gesamtlösung kombiniert werden. Für die IT erhöht das die Flexibilität, weil einzelne Komponenten ausgetauscht oder ergänzt werden können, ohne das gesamte System abzulösen. Im Gegenzug verlangt der Ansatz eine durchdachte Integrations- und API-Strategie sowie ein klares Verständnis der Verantwortlichkeiten über mehrere Anbieter hinweg. Ohne saubere Governance für Schnittstellen, Datenflüsse und Sicherheit kann die gewonnene Flexibilität sonst in unkontrollierte Komplexität umschlagen.
Wo werden die ERP-Daten gespeichert und ist das DSGVO-konform?
Der Datenstandort ist für IT-Leiter ein zentrales Compliance-Kriterium, da personenbezogene Daten nach DSGVO grundsätzlich innerhalb der EU beziehungsweise des EWR verarbeitet werden sollten und Drittland-Transfers zusätzliche Garantien wie Standardvertragsklauseln erfordern. Bei Cloud- und SaaS-Modellen ist daher vertraglich zu klären, in welchen Rechenzentren und Regionen die Daten liegen und ob ein Auftragsverarbeitungsvertrag besteht. Ergänzend gehören eine nachvollziehbare Offsite-Sicherung, dokumentierte Aufbewahrungs- und Löschkonzepte sowie nachweisbare Wiederherstellungstests zu einer belastbaren Betriebsstrategie. Anbieter sollten Standort, Zertifizierungen und Sub-Auftragsverarbeiter transparent ausweisen, damit die IT die Konformität gegenüber Datenschutz- und Aufsichtsstellen belegen kann.

