IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

TürenDer Einkauf von Software-as-a-Service unterscheidet sich grundlegend von dem herkömmlicher Software – darum sollten IT-Verantwortliche beim SaaS-Einkauf entsprechend vorgehen. Hier ein paar Hinweise für die Praxis.

Das SaaS-Geschäft wächst und wächst. Und das bedeutet auch: Immer mehr IT-Verantwortliche hierzulande mieten Anwendungen als Dienste, statt sie als Stand-alone-Software einzukaufen und selbst zu installieren. Das verlangt nach neuen, grundsätzlich anders angelegten Auswahl- und Entscheidungsabläufen.

Dies trifft selbstverständlich weniger auf die Vorauswahl möglicher Dienste zu – hier dürften Features und Kosten ähnlich ausschlaggebend sein wie beim Software-Kauf. Doch spätestens bei der endgültigen Entscheidung für einen bestimmten SaaS-Dienst reichen reine Leistungs- oder Preiskriterien allein nicht mehr aus: Die Verantwortlichen sollten unbedingt auch die dem SaaS zugrundeliegenden technischen und wirtschaftlichen Gegebenheiten beim Dienstanbieter mitberücksichtigen. Maßgeblich für den Erfolg eines SaaS-Vorhabens ist schließlich nicht allein, was ein neuer Dienst alles kann und was er kostet. Sondern auch und gerade, was der SaaS-anbietende Service Provider kann und leistet.

SaaS-Dienstleister als Geschäftspartner

Eigentlich versteht sich das von selbst: Wer den Betrieb einer mehr- oder weniger geschäftskritischen Software „außer Haus“ verlagert und dem zuständigen Dienstleister zudem die Verantwortung für sämtliche darin gespeicherten Daten überträgt, geht eine umfassende Geschäftsbeziehung ein (die in Abhängigkeit des Einsatzszenarios sogar geschäftskritisch sein kann).

Das wiederum bedeutet, dass nicht nur die Software selbst, sondern auch der Geschäftspartner in möglichst jeder Hinsicht fehlerfrei und risiko-arm „laufen“ muss, wenn die Partnerschaft erfolgreich sein soll. Denn was passiert, wenn Mitarbeiter des fachlich sehr geeigneten Anbieters einen Verwaltungs-Fehler machen und Daten beschädigen? Was, wenn sie eine Sicherheitslücke übersehen und Hacker ins System eindringen? Oder was, wenn der Anbieter seinen Zahlungsverpflichtungen nicht nachkommen kann und gar Insolvenz anmelden muss? Dann hat der SaaS-Kunde das Nachsehen.

Vor der Entscheidung: Umfassende „Due Dilligence“

Derartige Szenarien mögen – noch – unwahrscheinlich klingen (immerhin stehen wir noch am Anfang der Cloud- und SaaS-Nutzung). Doch sie zeigen bestens auf, worum es wirklich geht: Wer SaaS-Dienste mit der gebotenen Umsicht wählen will, sollte so vorgehen, wie bei der Auswahl jedes anderen strategisch bedeutsamen Lieferanten auch.

Im besten Falle setzt der oder die IT-Verantwortliche dabei auf eine umfängliche „Due Dilligence“, also eine Überprüfung aller für das eigene Unternehmen wichtigen Einflussgrößen auf Geschäfts- und Lieferfähigkeit des Dienstanbieters. Das mag aufwändig erscheinen und kaum umsetzbar (vor allem, wenn Fachbereiche SaaS selbst beschaffen) – doch dieser Eindruck täuscht.

Wir haben mit einer sehr großen Zahl SaaS-Anwenderunternehmen gesprochen und deren Anforderungen und Auswahlkriterien in vielen, vielen Projekten überprüft und verglichen. So haben wir herausgefunden, dass wir sehr wohl einen praktisch handhabbaren „Due Dilligence“-Rahmen für die Überprüfung, die Bewertung und den Vergleich von SaaS-Anbietern entwickeln können.

Die vier wichtigsten Provider-Merkmale

Tatsächlich konnten wir sämtliche Anforderungen und Bedarfe der Unternehmen, mit denen wir arbeiten, in ein System aus vier Haupt-Einflussgrößen übersetzen, die sich wiederum aus Unterkriterien zusammensetzen. Alle diese wurden in Prüfkriterien für eine strukturierte Bewertung übersetzt, die wir zur Grundlage unserer eigenen Rating-App gemacht haben (vgl. Bild) und als Datengerüst Unternehmen für ihre eigene Bewertung und Gewichtung zur Verfügung stellen.

ASCAMSO SaaS-Rating-Structure

Bild: Das ASCAMSO-SaaS-Rating-Modell mit Haupt- und Unterkriterien einschl. unserer Standard-Gewichtung (d.h. Bedeutung für ein Rating auf App.Ascamso.com)

Die vier von uns identifizierten Dimensionen, die wir zur Verwendung empfehlen, sind:

– Information Security

Unter dieser Dimension untersuchen wir die drei zentralen Ausprägungen der Informationssicherheit: Integrität, Vertraulichkeit und Verfügbarkeit. Ein erster guter Indikator für entsprechende Maßnahmen ist natürlich das Vorhandensein von Zertifikaten wie dem nach ISO 27017. Um die Sicherheit des Zugangs zu den im SaaS verwalteten Daten prüfen zu können, kann zudem die von einem Dienst über dessen gesamte Architektur hinweg genutzten Verschlüsselungs- und Key-Management-Verfahren geprüft werden. Aber auch die Verwaltungsabläufe eines Dienstanbieters und – im Falle außereuropäischer Dienste – Vertragsmerkmale wie ein „EU Model Clause“ oder Compliance-Richtlinen geben Aufschluss über dessen Vertrauenswürdigkeit. Wir prüfen für unsere Kunden überdies auch die Back-up und Wiederherstellungsstrategien von Providern und berücksichtigen überdies das mit einem Dienst bereitgestellte Rechtesystem.

– Connectivity

Zu dieser Kategorie gehören alle Dienst- und Anbietermerkmale, die den Zugriff auf den SaaS-Dienst sowie die darin enthaltenen Daten beeinflussen, einschließlich derer, die das Migrieren, Kopieren oder auch Abziehen und Löschen von Daten erlauben (oder nicht): APIs, Import- und Export-Features sowie entsprechende Beschränkungen. Schließlich wäre eine vertrauliche Speicherung ab dann nutzlos, wenn ein Export der Daten nur per unverschlüsseltem CSV-Download angeboten würde. Derartige Gesichtspunkte können meist nur durch Ausprobieren vollumfänglich bewertet werden – unsere Analysten erheben sie deshalb anhand der Dokumentation, durch Anbieter-Interviews und mittels Testläufen.

– Service Performance

Diese Kategorie mag auf den ersten Blick verwirrend erscheinen. Doch die Möglichkeit, einen SaaS in den Help-Desk der Unternehmens-IT zu integrieren, entscheidet fast immer über die Akzeptanz (oder Ablehnung) des Dienstes. Deshalb ist es unerlässlich, die entsprechenden Unterkategorien – Service-Level-Agreements, Umfang des Kundendienstes, Usability sowohl des Dienstes selbst als auch aller dazugehörigen Verwaltungs-, Support- und Self-Service-Features – zu prüfen und in eine Entscheidung mit einzubeziehen. Die entsprechenden Prüfungen können umfänglich ausfallen, trotzdem sollte niemand darauf verzichten.

– Provider „Restainability“

Zum Schluss das Kaufmännische: In der Kategorie „Provider Restainability“ bündeln wir überwiegend betriebswirtschaftliche und finanzielle Merkmale, die darüber Aufschluss geben, als wie zuverlässig ein SaaS-Anbieter als Geschäftspartner einzustufen ist. Unser Kunstbegriff beschreibt dabei, worum es geht: Wir prüfen die Nachhaltigkeit von Geschäftsmodell und den Niederschlag der Strategie in der Positionierung und dem Vertriebsmodell des Unternehmens. Denn das zeigt, wie wahrscheinlich das Unternehmen nachhaltig wachsen und dadurch langfristig bestehen kann („Sustainability“). Zum anderen bewerten wir die Investoren bzw. die Finanzierung des Providers, seine gegenwärtige Position im Markt, die Zahl seiner Kunden, seine Referenzen und Ähnliches. Das ermöglicht eine Einschätzung darüber, ob das Unternehmen auch kurzfristig eintretende Rückschläge und Krisen zu überbrücken („Resilience“). Als Grundlage hierfür eignen sich die Durchsicht von Geschäftsberichten, das Auswerten betriebswirtschaftlicher Kennzahlen, das Bewerten bestehender Partnerschaften oder sogar Gespräche mit Mitgliedern der Geschäftsführung.

Fazit

Der hier – nur in Kürze – vorgestellte Bewertungsrahmen hat sich in der Praxis bereits vielfach bewährt und ist sehr zu empfehlen. In Fällen, in denen die mit dem Einkauf betrauten Personen, die Kapazität oder das erforderliche Know-how nicht haben bzw. nicht auf die Einkaufsentscheidung verwenden wollen, empfehlen wir natürlich den Einsatz von Rating-Werkzeugen wie unseren Rating Cards oder das Hinzuziehen unseres Architect-on-Demand-Modells.

Jan Thielscher ist Gründer und Geschäftsführer der Cloud-Service-Benchmarking- und Brokerage-Plattform ASCAMSO.

www.ascamso.com/de
 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet