Kostenrisiko Software-as-a-Service (SaaS) - Warum SAM nur als Prozess funktioniert

Autor: Torsten Boch

Die IT aus der Steckdose – nie war es so verlockend 

Das Software-as-a-Service-Anwendungen wie Pilze aus dem Boden geschossen sind, ist nicht neu. Die Anwendungen aus der Cloud bieten genau die Vorteile, die sich viele Mitarbeiter von ihrer IT wünschen: Es gibt eine Flut an maßgeschneiderten Apps, alles ist schnell und vor allem einfach verfügbar. Dazu ist der Zugang von jedem Gerät möglich. Wozu auf die IT warten, wenn E-Mail-Adresse und Kreditkarte ausreichen, um auf Knopfdruck die Tools zu erhalten, um einfacher und effektiver arbeiten zu können? 

Nicht alles was glänzt, ist Gold  

Klingt verlockend und aus Sicht der Mitarbeiter auch nachzuvollziehen. Nur so bequem die IT aus der Steckdose auch ist, sie hat auch nicht geringe Risiken:

• Die Beschaffung erfolgt an der IT vorbei 
• Der Zugang ist von jedem Gerät möglich, auch außerhalb des geschützten Netzwerks 
• Die Zugangsdaten werden nicht zentral verwaltet und verletzen daher den Datenschutz  
• Die Bereitstellung sowie Rücknahme von Cloud-Apps erfolgt manuell und ist fehleranfällig 
• Eine Kostenoptimierung ist ohne Wissen über die tatsächliche Nutzung nicht möglich 

Werden Cloud-Anwendungen an der IT vorbei beschafft, wächst in den Fachabteilungen ein bunter Strauß an Apps, Systemen und Cloud-Instanzen, die unter Security-, Compliance- und finanziellen Lizenz-Risiken IT-seitig nicht mehr zu beherrschen ist.  Die IT hat kein Wissen und damit auch keine Kontrolle über die Zugangsdaten und die Zugriffe auf Webanwendungen.

Dazu kommt: Niemand weiß, ob solche SaaS-Anwendungen sicher sind, ob eine Multi-Faktor-Authentifizierung zum Einsatz kommen kann oder wer welche Daten in der Cloud unverschlüsselt abgelegt hat. Hinzu kommt: Werden Anwendungen an der IT vorbei beschafft, bleiben sie bei der Inventarisierung oft unerkannt und verpassen so wichtige Sicherheitschecks.

Ein nicht zu unterschätzender Faktor sind negative Auswirkungen auf die Standardisierung der Geschäftsprozesse. Solche laufen nur wie am Schnürchen, wenn es einheitliche Vorgänge gibt, die voraussetzen, dass die beteiligten Abteilungen die gleichen Applikationen nutzen. Wenn gleich mehrere Abteilungen aber unterschiedliche Technologien wie SaaS- Applikationen für ähnliche Anwendungsfälle nutzen, ist es vorbei damit. 

SaaS ist kein Freifahrtschein

Neben der Security kommt auch noch die fehlende Lizenz-Compliance ins Spiel. Im Unterschied zu herkömmlichen On-Premises Software geht es bei SaaS nicht mehr primär um die Frage, ob genügend Lizenzen vorhanden sind. Entscheidender sind neben der Analyse der Zugriffe eher die Fragen der Nutzung und Kostenkontrolle: Wer autorisiert die Budgets, wer sorgt dafür, dass nicht mehr benötigte Zugänge deaktiviert werden? Wann laufen welche Abos ab? Bleibt ein Mitarbeiter in der SaaS-Anwendung automatisch registriert, auch wenn er diese nicht nutzt? 

Wo Schatten ist, ist auch Licht – so wird die Cloud kontrollierbar 

Flexibilität und Geschwindigkeit sind die wichtigsten Trümpfe bei jedem Cloud-Angebot. Doch wie kann eine IT-Organisation ein attraktives Cloud Service Portfolio gestalten, womit Mitarbeiter genau das bekommen, das sie für ihre tägliche Arbeit benötigen? Und wie kann die Cloud-Nutzung kontrollierbar und lizenzrechtlich konform gestaltet werden? Mit welchen Instrumenten kann ich SaaS Kosten optimieren? 

Effektives SaaS Management hat hier gleich mehrere Aspekte. Die EINE, allumfassende Lösung gibt es nicht. Eine Software Asset Management-Lösung für SaaS funktioniert hier nur im perfekten Zusammenspiel mit mehreren Disziplinen, die wir hier kurz aufführen. 

Software Governance – ohne Spielregeln geht es nicht 

Die Software Governance ist ein Teilbereich der IT-Governance und gibt Richtlinien für die Auswahl, die Beschaffung und den Einsatz von Unternehmenssoftware vor. Für die Einhaltung von Saas Compliance kann das heißen, dass Mitarbeiter die komplette Verantwortung für die auf ihren Rechnern installierte Software übernehmen müssen oder das nicht genutzte Software automatisch nach 90 Tagen de-provisioniert wird. 

Kontrollierte Bereitstellung über einen zentralen Service Catalog 

Damit die IT jederzeit die Kontrolle über installierte Anwendungen und Log-Ins hat, empfiehlt sich der Einsatz eines Service Kataloges. Dieser fungiert wie ein Enterprise App Store, wo alle verfügbaren und unter Sicherheitsaspekten geprüften SaaS Apps bereitgestellt, genehmigt und verrechnet werden. Im Backend erfolgt im Falle einer Bereitstellung ein automatisiertes Change-Management sowie ein Update der Lizenzbilanz. 

Auf die Nutzung kommt es an – Zentrales Vertragsmanagement wird entscheidend 

Ähnlich wie beim Szenario der klassischen Überlizenzierung erzeugen Saas Apps, die nicht oder nur sporadisch genutzt werden, einen nicht geringen Anteil an vermeidbaren IT-Ausgaben.  

Um das Kosten- und Ausgabenmanagement zu optimieren, braucht es Einblick in die Nutzung der jeweiligen SaaS-Services. Es empfiehlt sich daher, vor einem Vertragsabschluss zu gewährleisten, dass Cloud-Anbieter transparent Nutzungsdaten und Kostenberichte zur Verfügung stellen. Diese können in eine zentrale Cloud Cost Management-Lösung überführt werden, welche flexible Vertragsanpassungen erlauben.  

Fazit 

Bei Software-as-a-Service geht es nicht mehr um das reine Zählen der Lizenzen. Vielmehr geht es neben technischen Fragen des Zugangs- und Berechtigungsmanagement und der Security primär um die Themen Nutzung, Kostenkontrolle und Vertragsmanagement. Ein heutiges Software Asset Management muss die kompletten Prozesse der Softwareauswahl, -beschaffung, Genehmigung, Asset-Inventarisierung, Verrechnung und Nutzungsanalyse abdecken, um jederzeit Risiken und Optimierungspotentiale bei Cloud-Anwendungen und -Verträgen aufzeigen zu können. 

Optimieren Sie Ihr Software Asset Management. Es zahlt sich aus.