Blogpost

SaaS-Dienste – Fluch oder Segen?

Anbieter werben mit geringen Kosten und simpler Benutzung von SaaS-Diensten. Doch in der Praxis gibt es immer wieder Probleme. Lesen Sie, was Unternehmen mit einem Auswahlprozess vor dem Einsatz von Software-as-a-Service-Diensten alles beachten und prüfen können.

714
8 Minuten Lesezeit

SaaS-Dienste als Fluch …

Bei SaaS-Diensten (Software-as-a-Service-Diensten) werden häufig die Vorteile dargestellt. Doch es gibt auch Schattenseiten und ganz reale Probleme aus der Praxis.

Unser SaaS-Dienst hat ein Update erhalten. Eine der für unser Unternehmen wichtigen Funktionen ist in der neuen Version nicht mehr verfügbar.

Ihr Problem: Der SaaS-Anbieter hat Sie vorab nicht über die Anpassung informiert. Sie entdecken die Änderung erst nachträglich in den Releasenotes.

Unser SaaS-Dienst ist seit mehr als zwei Tagen nicht mehr erreichbar.

Ihr Problem: Auf Ihre Supportanfrage  erfahren Sie, dass das Problem bekannt und in Arbeit ist. Die Rechnung am Monatsende bezieht sich dennoch auf den vollen Monat, obwohl Sie den Dienst mehrere Tage nicht nutzen konnten.

Unser SaaS-Anbieter hat uns informiert, dass er durch eine Virus-Attacke leider alle Daten verloren hat – inklusive der Sicherungsdaten.

Ihr Problem: Sowohl Ihre Daten und auch die aller anderen Mandanten können nicht wieder hergestellt werden.

So unwahrscheinlich bis skurril diese Probleme auf den ersten Blick wirken, so realistisch sind sie leider. Und sind so oder so ähnlich schon vorgekommen.

… oder als Segen?

Wie gut sind Sie auf solche oder so ähnliche Szenarien vorbereitet? Was haben Sie als Auftraggeber bereits veranlasst, um diese Risiken im Vorfeld zu vermeiden oder zu verringern?

In den folgenden Abschnitten beschreiben wir einen für SaaS-Dienste geeigneten Auswahlprozess, der diese Fragen beantwortet. Kernstück des Prozesses ist eine SaaS-Checkliste, die zu prüfende Kriterien an SaaS-Anbieter zu den Themen Fachlichkeit, Technik und Organisation enthält.

Der Auswahlprozess erfolgt im Idealfall vor dem Einsatz eines Software-as-a-Service-Dienstes. Sie können ihn aber auch verwenden, um eine Risikobewertung für SaaS-Dienste durchzuführen, die bereits in Betrieb sind.

Unterschiede von Software-as-a-Service zu On-Premise-Lösungen

Was ist das Besondere an SaaS-Diensten? Zunächst einmal, dass die technische Installation und der Betrieb in der Verantwortung des SaaS-Anbieters liegen. Außerdem bieten SaaS-Dienste für die Benutzung üblicherweise eine plattformunabhängige Oberfläche über einen Webbrowser an.

Einige Anbieter betreiben dabei die Infrastruktur nicht selbst, sondern kaufen sich Leistungen von Hosting-Providern ein. Das können sowohl klassische Hosting-Anbieter sein, bei denen vorher festgelegte Infrastruktur gemietet wird, oder auch Cloud-Anbieter, die Infrastruktur flexibel über Infrastructure-as-a-Service (IaaS) zur Verfügung stellen.

Da IaaS abhängig von der Nutzung abgerechnet wird spiegelt sich das meist auch im Preis für den SaaS-Dienst wider. Die Nutzung ist dann entweder mit Maximalgrenzen versehen (beispielsweise eine maximale Anzahl an Daten, die Sie speichern dürfen), oder die monatliche Rechnung ist nutzungsabhängig und schwankt, je nachdem wieviel Daten über den SaaS-Dienst monatlich verarbeitet wurden.

Im Gegensatz dazu bezieht sich eine On-Premise-Installation auf eine lokale Installation, die auf den Servern des Unternehmens gehostet wird. Die User greifen über lokale Netzwerke oder das Intranet des Unternehmens auf die Software zu.

Ein wichtiger Unterschied zwischen diesen beiden Optionen liegt in der Verantwortlichkeit für Wartung, Updates, Sicherheit und Skalierung der Software.

Bei SaaS-Diensten liegt diese Verantwortung beim Anbieter, während bei On-Premise-Installationen das Unternehmen selbst oder ein beauftragter Dienstleister verantwortlich ist.

Außerdem sind SaaS-Dienste oft flexibler und skalierbarer als On-Premise-Installationen, da der Anbieter schnell Ressourcen hinzuzufügen oder zu entfernen kann, um den Bedarf der Benutzer zu erfüllen. On-Premise-Installationen hingegen erfordern oft eine erhebliche Investition in Hardware, Software und IT-Personal, um die Infrastruktur zu verwalten und zu warten.

Der Auswahlprozess

Im Folgenden gehen wir davon aus, dass es für die gesuchten Leistungen einen oder mehrere SaaS-Anbieter auf dem Markt gibt. Bei Bedarf zeigt eine Internetrecherche mit passenden Stichworten (beispielsweise: Ticketsystem SaaS), ob zum gesuchten Thema überhaupt SaaS-Dienste angeboten werden.

Für die Bewertung wird die SaaS-Checkliste mit Bewertungskriterien verwendet, die in die drei Bereiche – Fachlichkeit, Technik und Organisation – eingeteilt ist.

Fachlichkeit und Technik beziehen sich auf die Leistungsfähigkeit des SaaS-Dienstes und werden deshalb auch als Leistungskriterien bezeichnet. Kriterien zur Organisation prüfen, ob das Unternehmen grundsätzlich als Anbieter geeignet ist. Deshalb werden diese Kriterien auch als Eignungskriterien bezeichnet.

Der Auswahlprozess kann in die folgenden Phasen unterteilt werden:

Phasen im Auswahlprozess SaaS-Dieste

Abbildung 1: Auswahlprozess SaaS-Dienste

Anforderungsanalyse

In der Anforderungsanalyse werden die Bewertungskriterien festgelegt. Sie sind das Kernstück des Auswahlprozesses, denn sie adressieren direkt die oben beschriebenen Probleme, um sie zu verringern oder ganz zu vermeiden.

Die hier beschriebenen Kriterien für die Anbieterauswahl geben einen groben Überblick und erheben kein Anspruch auf Vollständigkeit, insbesondere auch, weil die fachlichen Kriterien projektspezifisch sind.

Fachliche Kriterien in Form von User Storys oder Epics definieren schriftlich die benötigte Funktionalität. Wenn Ihr SaaS-Dienst beispielsweise Zinsberechnungen durchführen muss, beschreiben Sie Eingangs- und Ausgangsdaten sowie die Berechnungsformel. Im Hinblick auf die rechtlichen Anforderungen sollten sie auch künftige Änderungen der Rechtsvorschriften im Auge behalten, die vom Anbieter umgesetzt werden müssen.

Technische Kriterien überprüfen, dass die im Unternehmen eingesetzten Webbrowser auch wirklich unterstützt werden. Dabei müssen Sie auch Ihre eigenen technischen Richtlinien beachten und abfragen. Sind beispielsweise Websockets in Ihrem Unternehmen nicht erlaubt, muss die Weboberfläche des SaaS-Dienstes auch ohne Websockets funktionieren.

Des Weiteren können Sie Schnittstellen zur Datensicherung fordern, um die eigenen Daten täglich lokal und in maschinenlesbarer Form im Unternehmen zu sichern. Ein kompletter Datenverlust ist damit wesentlich unwahrscheinlicher.

Weitere technische Kriterien legen Sie passend zur Ihrer Unternehmens-IT fest. Wenn Sie beispielsweise Single-Sign-On im Unternehmen einsetzen, soll der SaaS-Dienst dies auch unterstützen.

Eignungskriterien zur Organisation betreffen folgende Themen:

  • Angaben zum Unternehmen sowie
  • Projektreferenzen und Konzepte bzw. Dokumentation zu wichtigen Themen wie
    • IT-Sicherheit,
    • Aus- und Weiterbildung,
    • Qualitätsmanagement,
    • Releasemanagement und
    • Supportprozesse.

Anhand dieser Angaben erkennen Sie, welchen Stellenwert diese Themen beim SaaS-Anbieter haben: zuverlässige und vertrauenswürdige Anbieter sollten zu jedem dieser Themen eine nachvollziehbare und passende Dokumentation besitzen. Das gilt auch für beauftragte Subunternehmen.

Standard-Checklisten

Einige dieser Kriterien – vor allem technische und organisatorische – sind unabhängig vom jeweiligen SaaS-Dienst und können als Vorlage für alle Projekte dienen, die SaaS-Dienste einführen. Es gibt deshalb schon veröffentlichte Standard-Checklisten, wie sie beispielsweise von der European Cloud User Coalition oder der Cloud Security Alliance zur Verfügung gestellt werden.

Zu jedem definierten Kriterium müssen jetzt noch zwei Dinge ergänzt werden:

  • Eine für SaaS-Anbieter einfach und klare formulierte Frage.
  • Eine Klassifizierung der Kriterien, ob sie zwingend notwendig sind (Muss), wichtig aber nicht zwingend (Soll) oder eine optionale Anforderung darstellen (Kann). Bei Soll- und Kann-Anforderungen empfiehlt es sich, Punkte für den jeweiligen Erfüllungsgrad vorzusehen, wie es z.B. bei öffentlichen Vergaben üblich ist. Auch die Frage nach dem Schutzbedarf der Daten gehört zu den Bewertungskriterien. Spätestens hier müssen Sie auch die Kritikalität und damit den Schutzbedarf der Daten berücksichtigen. Vertrauliche Daten stellen beispielsweise höhere Anforderungen an die IT-Sicherheit, zum Beispiel bei der Datenverschlüsselung oder der Berechtigungsverwaltung.

Mit diesen Informationen – das heißt, einem gewichteten Kriterienkatalog und zugehörigen Fragen – kann die Phase der Marktanalyse beginnen.

Marktanalyse

Aus den Fragen der Anforderungsanalyse bereiten Sie einen Fragenkatalog für alle SaaS-Anbieter vor. Achten Sie darauf, die Fragen möglichst einfach und konkret zu formulieren.

Beispielsweise ist die Forderung nach einer durchgängigen Transportverschlüsselung der Daten weder einfach noch konkret, da es eine Vielzahl von Verschlüsselungsverfahren gibt, von denen einige auch als unsicher gelten.

Besser wäre beispielsweise, die Transportverschlüsselung TLS in der Version 1.2 oder höher für die Kommunikation zu fordern. Dies erleichtert es den Anbietern, korrekte Angaben machen.

Die Marktanalyse kann bei vielen SaaS-Anbieter in mehreren Iterationen durchgeführt werden. Im ersten Durchgang werden die Anbieter identifiziert, die grundsätzlich in der Lage sind, die Eignungskriterien zu erfüllen.

In Abstimmung mit den Stakeholdern wird eine Vorauswahl der Anbieter getroffen, die für eine Prüfung der Leistungskriterien in Frage kommen.

Die Vorauswahl stellt sicher, dass das Auswahlverfahren effizient durchgeführt werden kann. Nur die besten Anbieter werden in den weiteren Prozess einbezogen und eingehend geprüft.

Anbieterbewertung und Auswahl

Alle SaaS-Dienste beziehungsweise SaaS-Anbieter, die die jeweiligen Muss-Anforderungen erfüllen, sind grundsätzlich als geeignet anzusehen. Aus dem Erfüllungsgrad der Soll- und Kann-Anforderungen kann ein Ranking erstellt werden. Bei entsprechender Gewichtung der Kriterien kann so bereits eine Vorauswahl geeigneter Anbieter getroffen werden.

Um die Dienste nicht nur auf dem Papier, sondern auch in der Praxis kennenzulernen, sollten Sie Präsentationstermine vereinbaren. Viele Anbieter verfügen zu diesem Zweck über Demo- oder Testsysteme. Die Präsentationstermine der einzelnen SaaS-Dienste bieten zudem die Möglichkeit, gezielt auf Fragen einzugehen – und zwar von beiden Seiten.

Standard-Verträge

Am Ende der Auswahlphase steht ein von beiden Seiten unterzeichneter Vertrag, in dem die vereinbarten Anforderungen schriftlich festgehalten sind.

Nicht nur bei den Checklisten, auch im Vertragsbereich gibt es inzwischen veröffentlichte Standardvorlagen. Der CIO Bund hat im März 2022 Standardverträge für SaaS-Beschaffungen veröffentlicht: EVB-IT Cloud.

EVB-IT steht dabei für „Ergänzende Vertragsbedingungen für die Beschaffung von Informationstechnik“. Die EVB-IT-Verträge werden zwar von einer Bundesbehörde veröffentlich, sind aber in Abstimmung mit Industrievertretern entstanden und eigenen sich daher auch für Privatunternehmen. Die Verträge besitzen sinnvolle Auswahlmöglichkeiten für grundlegende Anforderungen und können zudem projekt- und kundenspezifisch angepasst werden.

Die EVB-IT-Cloud-Vertragsvorlagen sind einigen SaaS-Anbieter schon bekannt und werden von diesen verwendet – vor allem wenn diese Ihre SaaS-Dienste auch öffentlichen Auftraggebern anbieten.

Fazit

Die sorgfältige Auswahl des SaaS-Anbieters ist ein kritischer Erfolgsfaktor für Ihren Erfolg bei der digitalen Transformation.

Mit diesem Auswahlprozess dokumentieren Sie Ihre Entscheidungen und beantworten Risikofragen der Art: „Wie haben wir unsere Unternehmensdaten bei einem SaaS-Ausfall gesichert?“ Zudem basiert Ihre Entscheidung auf Fakten – nämlich den geprüften und schriftlich fixierten Anforderungen.

Der hier vorgestellte methodische und nachvollziehbare Auswahlprozess erleichtert somit die Suche nach geeigneten SaaS-Diensten und -Anbietern und minimiert Ausfallrisiken.

Quellen

Jörg Wissing

ist Diplom-Betriebswirt und berät als Senior Manager bei msg for banking im Bereich Digitale-Transformation Banken bei der Auswahl von Kernbankensystemen und bei Einführungs- und Modernisierungsprojekten.

Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.