VERANSTALTUNGEN

Developer Week 2018
25.06.18 - 28.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

TürenDer Einkauf von Software-as-a-Service unterscheidet sich grundlegend von dem herkömmlicher Software – darum sollten IT-Verantwortliche beim SaaS-Einkauf entsprechend vorgehen. Hier ein paar Hinweise für die Praxis.

Das SaaS-Geschäft wächst und wächst. Und das bedeutet auch: Immer mehr IT-Verantwortliche hierzulande mieten Anwendungen als Dienste, statt sie als Stand-alone-Software einzukaufen und selbst zu installieren. Das verlangt nach neuen, grundsätzlich anders angelegten Auswahl- und Entscheidungsabläufen.

Dies trifft selbstverständlich weniger auf die Vorauswahl möglicher Dienste zu – hier dürften Features und Kosten ähnlich ausschlaggebend sein wie beim Software-Kauf. Doch spätestens bei der endgültigen Entscheidung für einen bestimmten SaaS-Dienst reichen reine Leistungs- oder Preiskriterien allein nicht mehr aus: Die Verantwortlichen sollten unbedingt auch die dem SaaS zugrundeliegenden technischen und wirtschaftlichen Gegebenheiten beim Dienstanbieter mitberücksichtigen. Maßgeblich für den Erfolg eines SaaS-Vorhabens ist schließlich nicht allein, was ein neuer Dienst alles kann und was er kostet. Sondern auch und gerade, was der SaaS-anbietende Service Provider kann und leistet.

SaaS-Dienstleister als Geschäftspartner

Eigentlich versteht sich das von selbst: Wer den Betrieb einer mehr- oder weniger geschäftskritischen Software „außer Haus“ verlagert und dem zuständigen Dienstleister zudem die Verantwortung für sämtliche darin gespeicherten Daten überträgt, geht eine umfassende Geschäftsbeziehung ein (die in Abhängigkeit des Einsatzszenarios sogar geschäftskritisch sein kann).

Das wiederum bedeutet, dass nicht nur die Software selbst, sondern auch der Geschäftspartner in möglichst jeder Hinsicht fehlerfrei und risiko-arm „laufen“ muss, wenn die Partnerschaft erfolgreich sein soll. Denn was passiert, wenn Mitarbeiter des fachlich sehr geeigneten Anbieters einen Verwaltungs-Fehler machen und Daten beschädigen? Was, wenn sie eine Sicherheitslücke übersehen und Hacker ins System eindringen? Oder was, wenn der Anbieter seinen Zahlungsverpflichtungen nicht nachkommen kann und gar Insolvenz anmelden muss? Dann hat der SaaS-Kunde das Nachsehen.

Vor der Entscheidung: Umfassende „Due Dilligence“

Derartige Szenarien mögen – noch – unwahrscheinlich klingen (immerhin stehen wir noch am Anfang der Cloud- und SaaS-Nutzung). Doch sie zeigen bestens auf, worum es wirklich geht: Wer SaaS-Dienste mit der gebotenen Umsicht wählen will, sollte so vorgehen, wie bei der Auswahl jedes anderen strategisch bedeutsamen Lieferanten auch.

Im besten Falle setzt der oder die IT-Verantwortliche dabei auf eine umfängliche „Due Dilligence“, also eine Überprüfung aller für das eigene Unternehmen wichtigen Einflussgrößen auf Geschäfts- und Lieferfähigkeit des Dienstanbieters. Das mag aufwändig erscheinen und kaum umsetzbar (vor allem, wenn Fachbereiche SaaS selbst beschaffen) – doch dieser Eindruck täuscht.

Wir haben mit einer sehr großen Zahl SaaS-Anwenderunternehmen gesprochen und deren Anforderungen und Auswahlkriterien in vielen, vielen Projekten überprüft und verglichen. So haben wir herausgefunden, dass wir sehr wohl einen praktisch handhabbaren „Due Dilligence“-Rahmen für die Überprüfung, die Bewertung und den Vergleich von SaaS-Anbietern entwickeln können.

Die vier wichtigsten Provider-Merkmale

Tatsächlich konnten wir sämtliche Anforderungen und Bedarfe der Unternehmen, mit denen wir arbeiten, in ein System aus vier Haupt-Einflussgrößen übersetzen, die sich wiederum aus Unterkriterien zusammensetzen. Alle diese wurden in Prüfkriterien für eine strukturierte Bewertung übersetzt, die wir zur Grundlage unserer eigenen Rating-App gemacht haben (vgl. Bild) und als Datengerüst Unternehmen für ihre eigene Bewertung und Gewichtung zur Verfügung stellen.

ASCAMSO SaaS-Rating-Structure

Bild: Das ASCAMSO-SaaS-Rating-Modell mit Haupt- und Unterkriterien einschl. unserer Standard-Gewichtung (d.h. Bedeutung für ein Rating auf App.Ascamso.com)

Die vier von uns identifizierten Dimensionen, die wir zur Verwendung empfehlen, sind:

– Information Security

Unter dieser Dimension untersuchen wir die drei zentralen Ausprägungen der Informationssicherheit: Integrität, Vertraulichkeit und Verfügbarkeit. Ein erster guter Indikator für entsprechende Maßnahmen ist natürlich das Vorhandensein von Zertifikaten wie dem nach ISO 27017. Um die Sicherheit des Zugangs zu den im SaaS verwalteten Daten prüfen zu können, kann zudem die von einem Dienst über dessen gesamte Architektur hinweg genutzten Verschlüsselungs- und Key-Management-Verfahren geprüft werden. Aber auch die Verwaltungsabläufe eines Dienstanbieters und – im Falle außereuropäischer Dienste – Vertragsmerkmale wie ein „EU Model Clause“ oder Compliance-Richtlinen geben Aufschluss über dessen Vertrauenswürdigkeit. Wir prüfen für unsere Kunden überdies auch die Back-up und Wiederherstellungsstrategien von Providern und berücksichtigen überdies das mit einem Dienst bereitgestellte Rechtesystem.

– Connectivity

Zu dieser Kategorie gehören alle Dienst- und Anbietermerkmale, die den Zugriff auf den SaaS-Dienst sowie die darin enthaltenen Daten beeinflussen, einschließlich derer, die das Migrieren, Kopieren oder auch Abziehen und Löschen von Daten erlauben (oder nicht): APIs, Import- und Export-Features sowie entsprechende Beschränkungen. Schließlich wäre eine vertrauliche Speicherung ab dann nutzlos, wenn ein Export der Daten nur per unverschlüsseltem CSV-Download angeboten würde. Derartige Gesichtspunkte können meist nur durch Ausprobieren vollumfänglich bewertet werden – unsere Analysten erheben sie deshalb anhand der Dokumentation, durch Anbieter-Interviews und mittels Testläufen.

– Service Performance

Diese Kategorie mag auf den ersten Blick verwirrend erscheinen. Doch die Möglichkeit, einen SaaS in den Help-Desk der Unternehmens-IT zu integrieren, entscheidet fast immer über die Akzeptanz (oder Ablehnung) des Dienstes. Deshalb ist es unerlässlich, die entsprechenden Unterkategorien – Service-Level-Agreements, Umfang des Kundendienstes, Usability sowohl des Dienstes selbst als auch aller dazugehörigen Verwaltungs-, Support- und Self-Service-Features – zu prüfen und in eine Entscheidung mit einzubeziehen. Die entsprechenden Prüfungen können umfänglich ausfallen, trotzdem sollte niemand darauf verzichten.

– Provider „Restainability“

Zum Schluss das Kaufmännische: In der Kategorie „Provider Restainability“ bündeln wir überwiegend betriebswirtschaftliche und finanzielle Merkmale, die darüber Aufschluss geben, als wie zuverlässig ein SaaS-Anbieter als Geschäftspartner einzustufen ist. Unser Kunstbegriff beschreibt dabei, worum es geht: Wir prüfen die Nachhaltigkeit von Geschäftsmodell und den Niederschlag der Strategie in der Positionierung und dem Vertriebsmodell des Unternehmens. Denn das zeigt, wie wahrscheinlich das Unternehmen nachhaltig wachsen und dadurch langfristig bestehen kann („Sustainability“). Zum anderen bewerten wir die Investoren bzw. die Finanzierung des Providers, seine gegenwärtige Position im Markt, die Zahl seiner Kunden, seine Referenzen und Ähnliches. Das ermöglicht eine Einschätzung darüber, ob das Unternehmen auch kurzfristig eintretende Rückschläge und Krisen zu überbrücken („Resilience“). Als Grundlage hierfür eignen sich die Durchsicht von Geschäftsberichten, das Auswerten betriebswirtschaftlicher Kennzahlen, das Bewerten bestehender Partnerschaften oder sogar Gespräche mit Mitgliedern der Geschäftsführung.

Fazit

Der hier – nur in Kürze – vorgestellte Bewertungsrahmen hat sich in der Praxis bereits vielfach bewährt und ist sehr zu empfehlen. In Fällen, in denen die mit dem Einkauf betrauten Personen, die Kapazität oder das erforderliche Know-how nicht haben bzw. nicht auf die Einkaufsentscheidung verwenden wollen, empfehlen wir natürlich den Einsatz von Rating-Werkzeugen wie unseren Rating Cards oder das Hinzuziehen unseres Architect-on-Demand-Modells.

Jan Thielscher ist Gründer und Geschäftsführer der Cloud-Service-Benchmarking- und Brokerage-Plattform ASCAMSO.

www.ascamso.com/de
 

GRID LIST
Tb W190 H80 Crop Int Def4294cf47182d57a9356b883ae5df4

Dos & Don‘ts: Hinweise für die Migration in die Cloud

In der Cloud arbeitet es sich effizienter – sie ist skalierbar, flexibel und spart…
Wolke mir Schlüssel

Die 3 Schlüsseltechnologien einer Multi-Cloud-Strategie

Multi-Cloud-Konzepte sind auf dem Vormarsch, da Unternehmen mehr Auswahl über den besten…
Bruno Teuber

Wer hätte das gedacht: Wie Deutschland zum Land der Cloud wurde

Datenschutz, Cyber Security, der Schutz von geistigem Eigentum aber auch freier Handel…
Tb W190 H80 Crop Int 0b95bc097bef65af75b1c9f13dac9d6b

Multi-Tenancy: Sichere Datenisolierung für die Cloud-Computing-Ära

Multi-Tenancy (Mandantenfähigkeit) ist einer der Eckpfeiler einer…
Multi Cloud

Multi-Cloud-Checkliste: Die Top 5 Herausforderungen

Die Multi-Cloud ist in immer mehr Unternehmen Realität. Das Handling mehrerer Cloud…
Tb W190 H80 Crop Int C5a8e17f0f2e2eea6a2727b26bf35664

Banken und die Cloud: Eine verkannte Chance

Viele große Geldinstitute schrecken noch davor zurück, Teile ihrer digitalen…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security