SaaS gehört nicht erst seit letztem Jahr zu den am schnellsten wachsenden Bereichen in der Unternehmens-IT. Die Anwendungen aus der Cloud bieten eine Menge Vorteile – solange sie kontinuierlich verwaltet, kontrolliert und optimiert werden. Hier sind fünf zentrale Aufgaben, die Unternehmen beim SaaS-Management unbedingt auf der To-do-Liste haben sollten.
#1 SaaS-Transparenz
Software-as-a-Service (SaaS) wird meist erst dann zum „Problemfall“, wenn eine Vielzahl an Cloud-Anwendungen im Unternehmen genutzt wird – abteilungs- und länderübergreifend und oft ohne Absprache mit der zentralen Unternehmens-IT. Gerade bei SaaS ist das um vieles einfacher als bei konventionellen Anwendungen. In der Regel reicht eine Kreditkarte und eine E-Mailadresse, um sich schnell und einfach gerade benötigte Services aus der Cloud zu abonnieren oder an kostenlosen Demoversionen und Free Trials teilzunehmen. So wächst im Unternehmen langsam, aber stetig ein buntes Ökosystem an Software, Systemen und Servern (Cloud-Instanzen) heran, die im Verborgenen operieren und im Hinblick auf Sicherheit, Compliance oder ROI kaum noch kontrollierbar sind.
Schatten-IT und in neuer Form Rogue SaaS oder Cloud-Sprawl bringen etliche Probleme mit sich. Werden die Anwendungen an der IT vorbei gekauft, bleiben sie bei der Inventarisierung außen vor und verpassen so wichtige Sicherheitschecks und Updates. Auch die Einhaltung von Lizenzrichtlinien, automatische Vertragsverlängerungen (und damit fortlaufende Kosten) sowie die tatsächliche Nutzung bleibt offen.
Effektives SaaS-Management ist deshalb vordergründig eine Frage der Transparenz. Es ist im Grund simpel: Wer die IT-Assets in seinem Unternehmen nicht kennt, kann sie auch nicht managen. Welche Mitarbeiter verfügen über welche Lizenzen? Wie viele Cloud-Instanzen sind im Einsatz und lassen sie sich dem Ressourcenbedarf anpassen? Was sind die neuesten Features, Rabatte und Aktionspreise von Cloud- und SaaS-Anbietern? Wo entstehen unnötige Kosten? Um diese Fragen zuverlässig und schnell beantworten zu können, benötigen Unternehmen einen 360-Grad-Blick auf ihre gesamte IT – egal ob Cloud, On-Premise oder SaaS.
#2 SaaS-Sicherheit
Klar, für die Sicherheit von Cloud-Anwendungen sind in erster Linie die Anbieter verantwortlich. Sie sind es, die sich um die SaaS-Plattform, Netzwerk sowie um die Verfügbarkeit und Performance der Anwendung kümmern müssen. Das heißt aber leider nicht, dass sich damit das Thema SaaS-Sicherheit für Unternehmen vollständig erledigt hätte. Bei SaaS bleibt, wie bei jedem anderen IT-Asset im Software-Ökosystem, ein Restrisiko – hauptsächlich was Datenschutz und Kontoübernahmen angeht.
- SaaS als Angriffsvektor: Solange es Schwachstellen in der IT gibt, wird es auch Angreifer geben, die diese auszunutzen versuchen. Häufig sind diese Sicherheitslücken sogar selbst verschuldet, zum Beispiel, wenn Logindaten versehentlich über falsch konfigurierte Cloud-Speicherdienste exponiert oder Sicherheits-Updates von Anwendern ignoriert werden. Zu einem ganzheitlichen Risikomanagement gehört deshalb auch bei SaaS ein effektives Software-Vulnerability-Management, um bekannte Softwareschwachstellen schnellstmöglich zu schließen.
- Single Sign On: Einmal Passwort eingegeben und sofort bei allen Services, Applikationen oder Ressourcen angemeldet bleiben. Für Mitarbeiter ist das einmalige Authentifizierungsverfahren über SSO unglaublich praktisch. Das Gleiche gilt jedoch bedauerlicherweise auch für Cyberkriminelle und Hacker. Einmal in einer Anwendung steht die Tür zu anderen Services und dem Netzwerk gleich mit offen. Umso wichtiger ist es, eine stringente SSO Governance zu etablieren, ohne dabei die vielen Nutzerkonten ohne SSO aus den Augen zu verlieren.
- Unautorisierter Zugang: Verfügt jeder, der sich bei einer Cloud-Anwendung anmeldet, auch tatsächlich über die entsprechenden Zugriffsrechte? Wie sieht es mit Mitarbeitern aus, die das Unternehmen verlassen habe, sich aber noch Monate danach einloggen können? Wie viele File-Sharing-Apps (z. B. Dropbox) und privat genutzte Services (z. B. Gmail) laufen auf Unternehmensrechnern und Mitarbeiter-Smartphones? Hier heißt es, Sicherheitsrichtlinien nicht nur festsetzen, sondern sie auch kontrollieren und durchsetzen.
#3 Saas-Ausgaben
SaaS gilt zu Recht als kosteneffizient und flexibel. In nutzungsbasierten Modellen gilt, der Anwender zahlt nur das, was er auch tatsächlich benötigt. Trotzdem verstecken sich auch in der Cloud Kostenfallen. Dazu zählen kaum oder nicht genutzte SaaS-Anwendungen, überdimensionierte Cloud-Instanzen, veraltete Verträge mit Cloud-Anbietern sowie fehlende Optimierung von Workloads. Nach der Umfrage 2021 State of Tech Spend Report handelt es sich bei rund 12 % aller IT-Ausgaben um solche vermeidbaren und unnötigen Kosten. Branchenexperten schätzen den Anteil an unnötigen Technologieausgaben auf satte 30 %. Eine Menge Geld, das insbesondere in Zeiten schmaler IT-Budgets woanders deutlich besser investiert werden könnte.
Um das Ausgabenmanagement zu optimieren, braucht es Einblick in die Nutzung der jeweiligen SaaS-Services. Unternehmen sollten daher bereits vor Vertragsabschluss mit SaaS- und Cloud-Anbietern sicherstellen, dass ihnen Nutzungsdaten und detaillierte Berichte zu Kostenverteilungen jederzeit zur Verfügung stehen – idealerweise über ein spezifisch anpassbares Kundenportal. Die Verträge selbst sollten ein hohes Maß an Flexibilität bieten und etwa monatliche Anpassungen oder True Up- / True Down-Möglichkeiten ermöglichen. Parallel dazu empfiehlt sich der Einsatz von automatisieren Cloudmanagementlösungen, die anbieterunabhängig alle IT-Assets im Auge behalten und auf Optimierungspotential aufmerksam machen. Die Transparenz über die Ausgaben.
#4 SaaS-Compliance
Blind sollte man den Berichten und Daten der Anbieter auch im Hinblick auf die Compliance nicht vertrauen. Je nach Anbieter variieren Umfang und Zeitpunkt der Berichte. Zudem finden sich in Unternehmen in der Regel Lösungen von unterschiedlichen Anbietern, deren Nutzungs- und Lizenzwährungsrichtlinien meist komplex, schwer zu durchschauen und teilweise sogar widersprüchlich sind. Auch in der Cloud kommen Unternehmen so dem unleidigen Thema des Lizenzmanagements nicht aus. Tatsächlich haben sich lediglich die Fragen ein wenig verschoben. So geht es heute nicht mehr darum, ob genügend Lizenzen vorhanden sind, sondern wann welche Abos ablaufen und ob ein Anwender in der SaaS-Anwendung automatisch angemeldet bleibt, auch wenn er sie nicht nutzt.
Zu wissen, dass 150 Mitarbeiter in einer CRM-Anwendung angemeldet sind, ist schön und gut. Es muss jedoch auch ersichtlich sein, wenn 20 dieser Mitarbeiter die Lösung über die vereinbarten Lizenzrichtlinien hinaus nutzen (Übernutzug), während 20 andere so gut wie niemals damit arbeiten. Die gleichen Regeln gelten übrigens auch für Service-Dienstleister und Outsourcing Partner. Oft befinden sich Unternehmen hier im Blindflug und akzeptieren die zur Verfügung gestellten Daten ohne genaue Überprüfung. Wer dann noch die SaaS-Nutzung allein anhand von Anmeldungen im Nutzerkonto misst, bekommt insbesondere in Verbindung mit Single Sign On (SSO) ein gewaltiges Problem – und zwar lange, bevor die Auditoren an der Tür klopfen.
#5 SaaS- ROI
Kostenoptimierung und Compliance sind eng mit der Frage verbunden, ob der Einsatz eines IT-Assets tatsächlich einen echten ROI für das Unternehmen abwirft. Das Stichwort lautet Technology Value Optimization (TVO). Dabei wird untersucht, ob Unternehmen das Potenzial bestehender Anwendungen und Systeme im vollen Umfang ausschöpfen und wo es Optimierungsbedarf gibt. TVO ist im Rahmen von SaaS ein wichtiger Baustein, um Projektgenehmigungen zum Laufen zu bringen und ein transparentes Projekt Controlling sicherzustellen. Gelingt es dann noch, die Technologien miteinander zu integrieren, Daten systemübergreifend zu nutzen und Synergien zwischen Arbeitsabläufe und Prozessen zu schaffen, sparen Unternehmen nicht nur weitere Kosten ein, sondern können Unternehmensabläufe insgesamt nachhaltig verbessern.
Doch wie lässt sich der ROI einer Anwendung bestimmen? Ein guter Ausgangspunkt ist der Blick auf die verschiedenen Abrechnungsmodelle von Software. Cloud-Services werden zwar auf ganz unterschiedliche Art und Weise abgerechnet, typisch ist jedoch das „Pay per Use“ Modell, das zumindest klare Nutzungsparameter vorgibt (z. B. pro Monat/Nutzer, CPU-Stunden, Datenmenge, Transaktion). Damit lässt sich ein erster Benchmark der getätigten Leistung und den damit verbundenen Kosten gewinnen. Weiterhin lohnt es sich, Anwendungen auf bestimmte Kriterien hin zu überprüfen. Dazu gehört die Kategorie „Ergebnis“ (z. B. höherer Umsatz, Transparenz, Kosteneffizienz), „Ersatz“ (z. B. fehleranfällige Prozesse, hoher Arbeitsaufwand) und „Risiko“ (z. B. Anteil an IP, Datenschutz).