Checkliste zur SaaS-Anbieter-Wahl

15 Punkte zur Provider-Orientierung

07.02.2013

Von

Werner Kurzlechner lebt als freier Journalist in Berlin und beschäftigt sich mit Rechtsurteilen, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.

Alle Posts des Autors Email:

Vom Notstrom im Rechenzentrum bis hin zur nutzerbasierten Preisstruktur – die Experton Group verrät, was bei der Auswahl von SaaS-Anbietern zu beachten ist.

Hinweis von Experton-Analyst Luis Praxmarer: Seine Liste umfasst "viele, aber nicht alle wichtigen Merkmale eines potenziellen SaaS-Partners".

Die Experton Group hat für Software-as-a-Service (SaaS) eine Checkliste zusammengestellt, die Anwendern Orientierung geben soll. „Für CIOs sollte SaaS eine geschäftliche Entscheidung sein“, so Analyst Luis Praxmarer. Ein SaaS-Anbieter müsse ein paar Grundanforderungen erfüllen, um in die Wahl zu kommen.

Die Experton-Liste umfasse viele, aber nicht alle wichtigen Merkmale eines potenziellen SaaS-Partners. „In den meisten Fällen sollte die Antwort vom Anbieter positiv beantwortet werden“, so Praxmarer. Dies hänge allerdings auch vom jeweiligen Anwenderunternehmen und dem angebotenen Service beziehungsweise Produkt ab. „Je nach Land und den gesetzlichen Vorgaben kommen unter Umständen weitere Fragen hinzu“, so der Analyst weiter.

15 Punkte zur Orientierung
Vom Notstrom im Rechenzentrum bis hin zur nutzerbasierten Preisstruktur – die Experton Group verrät, was bei der Auswahl von SaaS-Anbietern zu beachten ist.
Punkt 15:
Im Grundpreis sollten auch Leistungen wie Implementierung, Integration und Einrichten inbegriffen sein. Die Preisstruktur ist bestenfalls nutzerbasiert, die Mindestvertragslaufzeit ein Jahr. Auch nach Volumenverträgen sei zu fragen, so Experton.
Punkt 1:
Zur Stabilität der Umgebung und Hochverfügbarkeit ist laut Experton danach zu fragen, ob der Anbieter mit gehostetem oder eigenem Rechenzentrum arbeitet. Wesentlich ist außerdem die Skalierbarkeit der Anlage, die Stromversorgung auch im Notfall sowie die Notfallbeleuchtung. Außerdem ist abzuklopfen, ob der SaaS-Anbieter mit einem oder mehreren Netzwerkbetreibern zusammenarbeitet.
Punkt 2:
Kreist die physische Sicherheit um Fragen nach Zugangskontrollen, Kameraüberwachung und Intrusion Detection im Rechenzentrum, ...
Punkt 3:
... ist bei der Systemsicherheit nach SAS 70 Type II-Zertifizierung sowie PCI- und HIPPA-Kompatibilität zu fragen.
Punkt 4:
"Bietet der SaaS-Anbieter ausreichende Kontrollen der Datensicherheit/Datentrennung? Welche Art von Kontrollen?", lauten von Praxmarer formulierte Fragen zur Datentrennung. Eine weitere: "Ist der Zugriff auf Kundendaten auf erfahrene, überprüfte SaaS-Administratoren beschränkt?"
Punkt 5:
Beim Datenmanagement ist unter anderem auf Verschlüsselung und Archivierung zu achten, ...
Punkt 6:
... bei Business Continuity und Disaster Recovery darauf, ob die Leistungen Teil des Grundpaketes sind und ob Daten und Services im Rahmen der jeweiligen Unternehmens-Parameter wiederhergestellt werden können.
Punkt 7:
Beim Identitätsmanagement sollten Single Sign-on und Integration mit Active Directory im Mittelpunkt des Interesses stehen.
Punkt 8:
Auf permanente Verfügbarkeit ist ebenso zu achten wie auf schnelle und den Anforderungen entsprechende Antwortzeiten. "Wird die Verarbeitungsumgebung aktiv überwacht?", ist laut Experton ebenfalls eine Schlüsselfrage. An Ressourcen und Unterstützung gibt es im Idealfall einen dedizierten Betreuer für das Unternehmen sowie Berater für Integration und Anpassung.
Punkt 9:
Über Upgrades, Patches und Wartungsarbeiten sollten Kunden am besten vorab informiert werden, wobei auch ein Augenmerk auf den Kommunikationsweg gelegt werden sollte. Überdies sollte der Anbieter über einen Change Management Prozess verfügen.
Punkt 10:
Darüber hinaus sollte sich der Anbieter an einen Architektur-Framework halten und Projekte auf Basis einer Standard-Methodik managen. ...
Punkt 11:
... Dokumentation und Kommunikation formellen Prozesse für das Change, Problem- und Incident Management sind ebenso wichtig, ...
Punkt 12:
... wie der Vorgaben, Regeln, Richtlinien und Abläufe.
Punkt 13:
Nutzerfreundliche Standard-APIs und direkter Zugriff auf die Daten für den Kunden sind wesentliche Punkte im Bereich der Integration. sollten auf Basis einer durchgängigen Performance angeboten werden – mit Gutschriften, falls die Vorgaben nicht erfüllt werden. Regelmäßige Treffen mit dem Dienstleister zum SLA-Prozess sind ebenso wünschenswert wie Eskalations- und Benachrichtigungs-Prozesse.
Punkt 14:
Indikatoren für die Stabilität eines Anbieters sind die Jahre im Business, Gewinne, Besitzverhältnisse und Mitarbeiterzahl. Zu fragen ist laut Praxmarer ebenfalls nach einer Roadmap für die Produkt- und Serviceentwicklung. "Bittet der SaaS-Anbieter seine Kunden um ihr Feedback, um diesen Input in die Roadmap einfließen zu lassen?", lautet eine Leitfrage.

Von Stabilität bis Gesamtbetriebskosten

Abzuklopfen sind laut Experton insgesamt 15 Themengebiete: Stabilität der Umgebung und Hochverfügbarkeit, physische Sicherheit, Systemsicherheit, Datentrennung, Datenmanagement, Business Continuity & Disaster Recovery, Identitätsmanagement, Service Desk Support, Ressourcen und Unterstützung, Benachrichtigungen und formale Prozesse bei Serviceunterbrechungen und Störungen, „Vorgaben, Regeln, Richtlinien, Abläufe“, Integration, Service Level Agreements (SLAs), Stabilität des SaaS-Anbieters sowie Gesamtbetriebskosten.

Zur Stabilität der Umgebung und Hochverfügbarkeit ist laut Experton danach zu fragen, ob der Anbieter mit gehostetem oder eigenem Rechenzentrum arbeitet. Wesentlich ist außerdem die Skalierbarkeit der Anlage, die Stromversorgung auch im Notfall sowie die Notfallbeleuchtung. Außerdem ist abzuklopfen, ob der SaaS-Anbieter mit einem oder mehreren Netzwerkbetreibern zusammenarbeitet.

Kreist die physische Sicherheit um Fragen nach Zugangskontrollen, Kameraüberwachung und Intrusion Detection im Rechenzentrum, ist bei der Systemsicherheit nach SAS 70 Type II-Zertifizierung sowie PCI- und HIPPA-Kompatibilität zu fragen.

Support sollte immer verfügbar sein

„Bietet der SaaS-Anbieter ausreichende Kontrollen der Datensicherheit/Datentrennung? Welche Art von Kontrollen?“, lauten von Praxmarer formulierte Fragen zur Datentrennung. Eine weitere: „Ist der Zugriff auf Kundendaten auf erfahrene, überprüfte SaaS-Administratoren beschränkt?“

Beim Datenmanagement ist unter anderem auf Verschlüsselung und Archivierung zu achten, bei Business Continuity und Disaster Recovery darauf, ob die Leistungen Teil des Grundpaketes sind und ob Daten und Services im Rahmen der jeweiligen Unternehmens-Parameter wiederhergestellt werden können. Beim Identitätsmanagement sollten Single Sign-on und Integration mit Active Directory im Mittelpunkt des Interesses stehen.

Der Service Desk Support sollte mehrere Kontaktmöglichkeiten beinhalten – also Telefon, E-Mail und mehr. Auf permanente Verfügbarkeit ist ebenso zu achten wie auf schnelle und den Anforderungen entsprechende Antwortzeiten. „Wird die Verarbeitungsumgebung aktiv überwacht?“, ist laut Experton ebenfalls eine Schlüsselfrage. An Ressourcen und Unterstützung gibt es im Idealfall einen dedizierten Betreuer für das Unternehmen sowie Berater für Integration und Anpassung.

Über Upgrades, Patches und Wartungsarbeiten sollten Kunden am besten vorab informiert werden, wobei auch ein Augenmerk auf den Kommunikationsweg gelegt werden sollte. Überdies sollte der Anbieter über einen Change Management Prozess verfügen.

Darüber hinaus sollte sich der Anbieter an einen Architektur-Framework halten und Projekte auf Basis einer Standard-Methodik managen. Dokumentation und Kommunikation der Vorgaben, Regeln, Richtlinien und Abläufe sind ebenso wichtig wie formelle Prozesse für das Change, Problem- und Incident Management.

Auf SLA-Gutschriften pochen!

Nutzerfreundliche Standard-APIs und direkter Zugriff auf die Daten für den Kunden sind wesentliche Punkte im Bereich der Integration. SLAs sollten auf Basis einer durchgängigen Performance angeboten werden – mit Gutschriften, falls die Vorgaben nicht erfüllt werden. Regelmäßige Treffen mit dem Dienstleister zum SLA-Prozess sind ebenso wünschenswert wie Eskalations- und Benachrichtigungs-Prozesse.

Indikatoren für die Stabilität eines Anbieters sind die Jahre im Business, Gewinne, Besitzverhältnisse und Mitarbeiterzahl. Zu fragen ist laut Praxmarer ebenfalls nach einer Roadmap für die Produkt- und Serviceentwicklung. „Bittet der SaaS-Anbieter seine Kunden um ihr Feedback, um diesen Input in die Roadmap einfließen zu lassen?“, lautet eine Leitfrage. „Wird potenziellen Kunden eine Testversion der Services/Software zur Verfügung gestellt?“ Anhaltspunkte liefert ferner die Frage nach einem Angebot dedizierter Umgebungen oder Shared-Umgebungen, die von den Kunden gemeinsam genutzt werden.

Im Grundpreis sollten auch Leistungen wie Implementierung, Integration und Einrichten inbegriffen sein. Die Preisstruktur ist bestenfalls nutzerbasiert, die Mindestvertragslaufzeit ein Jahr. Auch nach Volumenverträgen sei zu fragen, so Experton.

Die vollständige Checkliste ist bei Experton erhältlich.

Dieser Artikel basiert auf einem Beitrag der CW-Schwesterpublikation CIO.de. (mhr)

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren