Softline AG // Blog // Post

5 gängige Irrglauben über Software as a Service (SaaS)

Die Nutzung von SaaS-Anwendungen hat viele Vorteile. In unserer täglichen Arbeit mit Kunden stoßen wir jedoch oft auf Irrglauben bezüglich SaaS. Kennen Sie diese? Wir beleuchten die fünf bekanntesten davon. Erfahren Sie, wie Sie mögliche Risiken vorhersehen und entschärfen können!

Irrglaube 1: SaaS ist kein Problem, denn wir wissen genau, welche SaaS-Anwendungen genutzt werden.

Eine kürzlich von Symantec durchgeführte Umfrage ergab, dass viele CIOs heute glauben, dass in ihrem Unternehmen durchschnittlich nur 30 bis 50 SaaS-Anwendungen genutzt werden. Das Ergebnis der Umfrage zeigte, dass es sich nicht um »nur« 30 bis 50 Anwendungen handelt, sondern um durchschnittlich 928 SaaS-Anwendungen, die in einem Unternehmen genutzt werden!

Der Unterschied zwischen diesen Zahlen ist natürlich sehr groß. Aber noch wichtiger ist, dass zumindest viele Unternehmen einfach nicht genügend Einblick in ihre Nutzung von SaaS-Anwendungen zu einem bestimmten Zeitpunkt haben. Betrachtet man zum Beispiel die Covid-19-Pandemie, so haben viele Unternehmen ihre Umstellung auf SaaS aus einer Entwicklungsperspektive heraus beschleunigt. Angesichts der Ergebnisse des Berichts haben viele Unternehmen jedoch einfach keinen Einblick in die tatsächlichen Folgen innerhalb des Unternehmens.

Neben dem fehlenden (ausreichenden) Einblick in die Nutzung von SaaS-Anwendungen gibt es auch andere Konsequenzen, die zusätzliche Aufmerksamkeit erfordern. Zum Beispiel die (zusätzlichen) Kosten, die entstehen, wenn man die tatsächliche Anzahl von 928 genutzten Anwendungen betrachtet, oder auch die Möglichkeit von Sicherheitsrisiken im Zusammenhang mit bestimmten SaaS-Anwendungen.

Es gibt aber auch eine positive Seite dieser Geschichte, zum Beispiel den finanziellen Aspekt. Es wird viele Anwendungen geben, die für den Betrieb des Unternehmens nicht notwendig sind. So können Sie nicht nur Kosten einsparen, sondern auch Kosten in der Zukunft vermeiden.

Neben dem finanziellen Aspekt besteht auch eine große Chance, die Risiken zu verringern oder zu minimieren, wenn man sich die riesige Lücke zwischen den erwarteten 40 Anwendungen und der tatsächlichen Anzahl 928 ansieht. Diese Risiken sind in allen möglichen Bereichen zu finden, z. B. auf (allgemeiner) rechtlicher Basis, auf der Ebene der Datenschutzgrundverordnung, die selbst ein finanzielles Risiko darstellt, sowie auf den verbleibenden 888 potenziellen Wegen, auf denen Ihre vertraulichen Geschäftsinformationen nach außen dringen können.

Heute erkennen viele Unternehmen die Herausforderungen, die SaaS für ein Unternehmen mit sich bringt, aber sie sind sich nicht bewusst, dass diese Herausforderungen so groß sind. Es ist fast so, als würde man in der Zeit zurückgehen, als Software noch traditionell auf PCs installiert wurde und Unternehmen wenig Wissen und Einblick hatten, weil die Mitarbeiterinnen und Mitarbeiter Software auf eigene Faust installierten und es keinen zentralen Einblick gab.

In den letzten zwei Jahrzehnten sind Software Asset Management (SAM) und IT Asset Management (ITAM) in Unternehmen gereift und haben auf ein zentrales Modell hingearbeitet, bei dem es einen zentralen Einblick und eine zentrale Verwaltung gibt. Aber jetzt, mit der Einführung von SaaS, scheint es, als ob die Unternehmen einen Schritt zurück in die Vergangenheit machen. Ein Schritt zurück, den ein Unternehmen eigentlich nicht machen muss! Bei der Implementierung von ITAM verfügt ein Unternehmen über integrierte Rahmenwerke mit zugrunde liegenden Prozessen, die zusammenhängende Aufgaben und Verantwortlichkeiten darstellen. Nur der Umfang dieser Prozesse und Aufgaben sowie die Verantwortlichkeiten müssen erweitert werden, damit sie auch SaaS einschließen.

Um dies ordnungsgemäß zu bewerkstelligen, wäre es ratsam, dass die für die SaaS-Verwaltung verantwortliche Person einen Sitz in der Vorstandsetage einnimmt und in einer Position ist, in der sie auch Entscheidungen treffen kann.

Irrglaube 2: SaaS ist kein Problem, unsere IT-Ausgaben werden ohnehin sinken.

Generell lässt sich feststellen, dass die IT-Ausgaben heutzutage mit den Menschen, dem Service und den Anschaffungen von Hardware, Software und der Cloud zusammenhängen. Im Durchschnitt entfallen etwa 65 % auf On-Premise-Software. Das bedeutet, dass 35 % der IT-Ausgaben auf die Cloud entfallen: Platform as a Service, Infrastructure as a Service und Software as a Service.

Insbesondere SaaS verzeichnet einen rasanten Anstieg. Aufgrund der digitalen Transformation sind viele Unternehmen gezwungen, SaaS-Anwendungen einzusetzen. Genau hier zeigt sich die Notwendigkeit, die IT-Ausgaben zu steuern. Denn wie stellen Sie sicher, dass Sie nicht nur Einblick in die bereits erwähnten 65 %, sondern auch in die 35 % der Ausgaben für die Cloud haben?

27 % der IT-Ausgaben werden vom Unternehmen selbst verwaltet. Da dies normalerweise nicht transparent ist, besteht die Gefahr, dass weder das Unternehmen noch die IT-Abteilung die Kosten kennen, die mit der Nutzung von SaaS-Anwendungen verbunden sind.

Dies ist ein hoher Prozentsatz und auch die absoluten Zahlen sind beträchtlich. Viele Unternehmen sind sich des Ausmaßes nicht voll bewusst. Betrachten wir die traditionellen IT-Kosten: Sie gehen zurück, weil sie verwaltet werden. Gleichzeitig werden diese IT-Kosten auf die Unternehmen verlagert, weil die Unternehmen Flexibilität verlangen. Die Skalierung von IT-Diensten und SaaS ist von Natur aus sehr einfach. Aber ohne einen Kontrollmechanismus können diese Kosten nicht mehr kontrolliert werden. Das Unternehmen entscheidet selbst, ohne einen vollständigen Überblick über die Dinge zu haben. Und es gibt niemanden, der das Gesamtbild im Auge behält.

Governance, Zentralisierung und Standardisierung

Es besteht also ein Bedarf an Governance und Zentralisierung in der Organisation. Es muss jemanden geben, der in erster Linie für den Kauf dieser Art von Anwendungen verantwortlich ist und inwieweit diese mit den für das Unternehmen geltenden Standards kompatibel sind.

Darüber hinaus muss diese Person nicht nur einen Einblick in die Anschaffung, sondern auch in die Nutzung der SaaS-Anwendungen haben und wissen, welche Funktionen und Merkmale sie haben und wofür sie genutzt werden. Werden sie alle genutzt und ist eine weitere Optimierung möglich? Solche Entscheidungen können nur dann getroffen werden, wenn dies von einer zentralen Stelle und von einer zentralen IT-Infrastruktur geschieht. Leider gibt es in vielen Organisationen eine Vielzahl von Insellösungen. Sie funktionieren zwar perfekt, aber da sie nicht immer richtig miteinander verbunden sind, ist es sehr schwierig, das richtige (unternehmensweite) Gesamtbild zu erhalten. Dies ist ein perfektes Beispiel dafür, warum die IT die Zügel wieder in die Hand nehmen muss. Vor allem, wenn es um diesen Teil des IT-Managements geht. Letzten Endes ist SaaS die gleiche Software, die nur über ein anderes Medium bereitgestellt wird. Das bedeutet, dass alle IT-Prozesse und Prozesse rund um die Verwaltung von Assets auch für die Verwaltung von SaaS perfekt geeignet sind, genau wie für den Rest der Cloud.

Zukunftssicher

Die Nutzung von SaaS hat sich stark beschleunigt. Es ist zu erwarten, dass der Anteil der SaaS-Anwendungen im kommenden Jahr um weitere 15 bis 25 % zunehmen wird. Dies eröffnet die Möglichkeit zur Kostenreduzierung. Vor allem, wenn man das Gesamtbild globaler IT-Ausgaben in dreistelliger Millionenhöhe, vielleicht sogar in Milliardenhöhe betrachtet. Eine IT-Ausgabe, die mit der Größe des Unternehmens wächst. Daher wird die Kostenvermeidung in Zukunft für Unternehmen noch wichtiger werden.

Irrglaube 3: SaaS ist kein Problem, wir können nicht nicht konform sein.

Bei herkömmlichem SaaS, wie wir es alle kennen, hat die Benutzerin oder der Benutzer Zugriff auf die Software und die Unternehmen zahlen pro User für diesen Zugriff. So sehen die meisten Menschen SaaS und das ist auch der große Fallstrick.

Alle großen Anbieter verlagern ihre On-Premise-Produkte in die Cloud und erfinden damit auch neue Berechnungsmechanismen oder Metriken. Als Endnutzerorganisation haben Sie unbegrenzten Zugang zur Software. Aber basierend auf der genutzten Funktionalität oder dem Volumen werden Organisationen irgendwann anfangen, zu zahlen.

Ein gutes Beispiel ist Microsoft Office 365. Die meisten Unternehmen nutzen es heute mit maximaler Flexibilität. Es gibt verschiedene Abonnementtypen mit den entsprechenden Diensten. Bei den größeren Abonnements erhalten Unternehmen allgemeine Dienste, die für die gesamte Belegschaft gelten. Nehmen wir an, dass eine Organisation zur Hälfte nach einem E1-E3-Profil und zur Hälfte nach einem E5-E7-Profil lizenziert ist.

Der Unterschied zwischen diesen beiden Profilen ist finanzieller Natur. Aber die Dienste, die für die höheren Profile ausgestellt werden, gelten auch für die niedrigeren Profile. In dem Moment, in dem Sie diese Funktionen einschalten, gelten sie also für die gesamte Belegschaft und Sie sind eigentlich schon nicht mehr konform. Sie könnten gezwungen sein, auch die niedrigeren Profile auf die höheren umzustellen. Da es sich um einen Dienst handelt, ist es nur ein Kästchen, das angekreuzt wird. Ein Verwalter schaltet es ein, ohne zu wissen, welche finanziellen Komplikationen es mit sich bringt.

In der Praxis sieht man auch, dass dieses Häkchen eine Art All-you-can-eat-Konzept bedeuten kann. Oft werden bestimmte Funktionalitäten zwar angekreuzt, aber im Tagesgeschäft gar nicht genutzt. Deshalb ist es auf der anderen Seite auch wünschenswert, dass wir nach dem abgerechnet werden, was wir tatsächlich nutzen. Hier zeigt sich der enorme Nutzen für Unternehmen, die nicht nur den Teil der Einhaltung der Vorschriften im Blick haben, sondern auch die Nutzung. Die Unternehmen müssen sicherstellen, dass die Nutzung tatsächlich auf die vereinbarten Lizenzen abgestimmt ist. Hier liegt für viele Unternehmen heute ein enormes Kosteneinsparungspotenzial.

Es ist alles eine Frage des Bewusstseins. Unternehmen müssen sich der Existenz von SaaS und der Nutzung von SaaS innerhalb ihrer eigenen Organisation bewusst werden und entsprechend handeln. Wenn die Einsicht vorhanden ist, was in gewissem Maße bereits der Fall ist, ist es möglich, die SaaS-Ausgaben in den Griff zu bekommen und die Einhaltung der Vorschriften zu gewährleisten.

Irrglaube 4: SaaS ist kein Problem, die SaaS-Anwendungen werden vom Unternehmen verwaltet.

Das Fehlen eines IT-Managements (oder genauer gesagt, eines zentralen IT-Managements) bringt verschiedene Herausforderungen mit sich. Nehmen wir zum Beispiel das Onboarding und Offboarding: Neue Mitarbeiterinnen und Mitarbeiter kommen ins Unternehmen und benötigen Zugang zu bestimmten Anwendungen, um ihre Arbeit erledigen zu können. In den meisten Unternehmen ist dies normalerweise sehr gut organisiert.

Aber in dem Moment, in dem eine Person das Unternehmen verlässt und der Offboarding-Prozess durchgeführt werden muss, gibt es nicht immer eine Möglichkeit, ihr oder ihm den Zugriff auf Anwendungen zu entziehen. Und oft genug hat eine ehemalige Mitarbeiterin oder ein ehemaliger Mitarbeiter noch lange nach ihrem oder seinem Ausscheiden aus dem Unternehmen Zugriff auf bestimmte Anwendungen.

Man bedenke, dass nur 30 % der Unternehmen tatsächlich einen Prozess für das Offboarding haben, der auch SaaS einschließt. Das bedeutet, dass 70 % der Unternehmen dies nicht tun! Diese Tatsache stellt eine Sicherheitslücke dar, da auf unternehmenssensible und persönliche Informationen immer noch zugegriffen werden kann, auch wenn die Person das Unternehmen verlassen hat. Darüber hinaus sollten Unternehmen bedenken, dass dies auch verschiedenste Arten von Verstößen gegen die DSGVO mit sich bringt.

Viele Unternehmen verfügen über einen Prozess, der es der IT-Abteilung ermöglicht, diesen Offboarding-Prozess ordnungsgemäß zu organisieren, z. B. durch die Verwendung von Single-Sign-On (SSO). Allerdings bietet das Single-Sign-On eine Flexibilität, die möglicherweise nicht mit dem übereinstimmt, was Sie eigentlich transparent machen wollen. Mit Single-Sign-On ist es beispielsweise möglich, den Zugang bestimmter Personen zu einer bestimmten Anwendung zu sperren. Es kann aber auch sein, dass nicht alle im Unternehmen genutzten SaaS-Anwendungen überhaupt mit den SSO-Anwendungen kompatibel sind – wie Octa oder Active Directory.

Weitere Herausforderungen ergeben sich bei bestimmten SaaS-Anwendungen, die häufig gekauft und genutzt werden und sehr leicht zugänglich sind, aber gewisse Risiken mit sich bringen, wenn der Prozess nicht richtig organisiert ist. Denken Sie an Anwendungen wie Dropbox, Box oder Google Drive. Alles Anwendungen, die es letztlich ermöglichen, dass ehemalige Mitarbeiterinnen und Mitarbeiter weiterhin Zugang zu dieser Anwendung haben. Einige Studien besagen sogar, dass rund 86 % der ehemaligen Mitarbeiterinnen und Mitarbeiter noch Zugriff auf mindestens eine SaaS-Anwendung haben!

Sicherheitsrisiken oder Sicherheitsverstöße können sich sehr negativ auf Ihren Ruf auswirken, vor allem, wenn Sie nicht über einen ordnungsgemäßen Offboarding-Prozess verfügen und sensible Informationen auf diese Weise nach außen gelangen. Die Zahl der Datenlecks in den letzten Monaten hat gezeigt, dass es sehr wichtig ist, sicherzustellen, dass alle Aspekte der Verwaltung von SaaS-Anwendungen richtig organisiert sind. Aber auch wenn man immer wieder von Daten- oder Sicherheitslecks hört, scheinen sich Unternehmen ihrer eigenen Schwachstellen nicht bewusst zu sein. Für die externe Sicherheit wurde mit Firewalls, Zugangskontrollen u. Ä. gesorgt, aber versehentliche Lecks innerhalb des Unternehmens werden oft nicht ausreichend beleuchtet.

Da IT-Sicherheit in vielen Fällen zu einem Sammelbegriff geworden ist, ist es für die Geschäftsleitung unmöglich, alle Aspekte der Sicherheit in ihre strategischen Pläne einzubeziehen. Es ist wichtig, dass in der gesamten Organisation das Wissen über die Verwaltung von SaaS-Anwendungen und die damit verbundenen Herausforderungen wächst.

Irrglaube 5: SaaS ist kein Problem, unsere Daten sind sicher gespeichert.

Dies ist ein Irrglaube, der in vielen Unternehmen sehr häufig anzutreffen ist und eng mit dem Irrglauben 4 verbunden ist: »SaaS ist kein Problem, die SaaS-Anwendungen werden vom Unternehmen verwaltet.«

Wenn man sich mit dem Thema IT-Sicherheit befasst, sind sehr viele Aspekte zu berücksichtigen. Der Schwerpunkt liegt normalerweise auf der Sicherheit aus der Sicht der ISO 27001, d. h. auf der sicheren Verwaltung und Speicherung von Daten. Aber aus der Sicht der Endnutzerinnen und -nutzer gibt es noch viele andere Aspekte zu berücksichtigen. Aus der Perspektive der Datenschutzgrundverordnung (EU-DSGVO) stellen sich zum Beispiel zusätzliche Fragen:

  • Dürfen wir die Daten dort speichern, wo sie derzeit gespeichert sind?
  • Liegt dieser Ort außerhalb oder innerhalb der EU?
  • Wenn dieser Ort innerhalb der EU liegt, haben wir dann eine Vereinbarung über die Datenverarbeitung abgeschlossen?

Bei On-Premise-Software gibt es in der Regel kontrollierte Prozesse, die Rechtsabteilung ist involviert und hat einen klaren Überblick über alle Bedingungen und die Datenverarbeitung ist ein fester Punkt auf der Liste der zu verwaltenden Aspekte geworden.

Bei Cloud-Anwendungen jedoch werden diese sehr wichtigen Aspekte oft nicht berücksichtigt. Ein Beispiel: der Kauf. Wenn das Unternehmen diesen selbst via Kreditkarte tätigt, werden die Standardprozesse umgangen.

Denken Sie zum Beispiel an den Lizenzvertrag. Bei SaaS-Anwendungen sind die Benutzerrechte, die der Hersteller zur Verfügung stellt, nicht in einem Dokument festgehalten, sondern es handelt sich um eine durchklickbare Lizenz, die von den wenigsten aufmerksam gelesen wird. Oftmals scrollen die Mitarbeiterinnen und Mitarbeiter nach unten, setzen ein Häkchen in das Kästchen »Ich stimme zu« und klicken auf »OK«. Von diesem Moment an ist nicht klar, was mit ihren Daten geschieht. Schließlich gibt es inzwischen viele Unternehmen, die die Weiterverwendung von Daten zu ihrem Geschäft gemacht haben.

Bei der Nutzung von SaaS-Anwendungen ist es wichtig, zu bedenken, wie einfach es manchmal ist, Daten zu exportieren und wie einfach es ist, diese Daten öffentlich zu machen. Darüber hinaus entstehen Risiken, wenn geschäftskritische Informationen und geistiges Eigentum in der Cloud gespeichert werden und ehemalige Mitarbeiterinnen oder Mitarbeiter auch nach ihrem Ausscheiden aus dem Unternehmen Zugang zu bestimmten Anwendungen haben (siehe Irrtum Nr. 4). Ohne ein formelles Verfahren zum Entzug des Zugriffs können sie Daten wiederverwenden und von diesem Moment an liegt die Kontrolle über die Daten nicht mehr in den Händen des Unternehmens.

Diese schwerwiegenden Risiken können durch bestehende Prozesse abgedeckt werden: durch Einbeziehung der Rechtsabteilungen und Lizenz- und Vertragsmanager, die die Lizenzen tagtäglich verwalten. Aber schlussendlich funktionieren diese Prozesse nur dann effektiv, wenn sie unternehmensweit kommuniziert werden, bekannt sind und ordnungsgemäß ausgeführt werden. Die Möglichkeiten sind vorhanden, vergessen Sie nicht, diese zu nutzen, nur weil es sich um SaaS-Anwendungen und nicht um On-Premise-Anwendungen handelt.

Quelle: Dennis Montanje (Geschäftsführer, Softline Solutions Northern Europe), Robert Jonkman (Major Account Manager Flexera), Paul van Liempt (Niederländischer Journalist)

| Tags: Software as a Service (SaaS), Software Asset Management, Cloud, Platform as a Service (PaaS), Infrastructure as a Service (IaaS), Microsoft Office 365