Was als Leasing bei Fahrzeugen längst Alltag ist, hilft auch in der Informationstechnik, die Kosten zu senken. Unternehmen, die Software auf Zeit mieten, anstatt sie zu kaufen, verwandeln Fixkosten in variable Ausgaben und reagieren zudem deutlich schneller auf Veränderungen. Sehr viel effizienter lassen sich die eigenen Geschäftsprozesse mit Hilfe des Web-basierenden Software-Mietmodells "Software-as-a-Service" (SaaS) unterstützen.
Das Prinzip dieser Lösung ist sehr einfach: Unternehmen greifen per Internet auf die benötigten Programme zu, die auf den Servern des Anbieters im Rechenzentrum installiert sind, und können Anwendungen "schlüsselfertig" nutzen, ohne eine Installation auf dem eigenen Rechner vorzunehmen. Für den Betrieb sind lediglich ein Web-Browser sowie ein Internet-Zugang nötig. Bezahlen müssen die Nutzer dabei nur, was sie tatsächlich beziehen. Die monatlichen Gebühren decken bereits die Kosten für die IT-Infrastruktur beim Dienstleister, Upgrades und neue Versionen ab.
On-Demand-Lösungen helfen sparen
Eine On-Demand- oder SaaS-Lösung ist nicht nur kostengünstiger, sie lässt sich auch schneller im Unternehmen einführen. Durch den modularen Aufbau lassen sich Funktionen relativ einfach erweitern und anpassen. Ein Unternehmen kann sich in einer Art Baukastensystem alle relevanten Produkte auswählen. Zusammengesetzt ergeben diese dann ein System beziehungsweise eine ganzheitliche Lösung. Selbst eine bereits vorhandene IT-Landschaft ist schnell angebunden. Der Anbieter kümmert sich dabei auch um die Wartung, während sich die SaaS-nutzenden Unternehmen voll auf ihr Kerngeschäft konzentrieren können. Weitere Investitionen in eigene Hard- und Software, Netz oder IT-Experten entfallen.
Somit steht fest: SaaS-Anwendungen lohnen sich gerade für kleinere und mittelständische Unternehmen. Entscheidend dabei ist, dass eine Unternehmenslösung über das technische Potenzial für heutige und künftige Geschäftsanforderungen verfügt. Außerdem sollte sie flexibel genug sein, damit sie sich an wechselnde Bedingungen und an das Unternehmenswachstum anpassen lässt.
Worauf Sie bei der Wahl des richtigen SaaS-Anbieters achten sollten, zeigt die folgende Checkliste.
Sicherheit
Wer SaaS-Lösungen nutzt, muss sich unter dem Aspekt der Sicherheit immer folgende Frage stellen: Wie sicher und zuverlässig ist das Rechenzentrum, in dem die Unternehmensdaten auf Hochleistungsrechnern lagern? Um zu ermitteln, ob die Daten dort auch absolut sicher vorgehalten werden, sollten Interessenten prüfen, ob ein stabiler Betrieb des Rechenzentrums durch den SaaS-Anbieter gewährleistet wird.
Kriterien für eine solche Prüfung der Betriebssicherheit sind:
-
Weniger ist mehr: Je weniger weitere Dienstleister in die Datenverwaltung und -speicherung eingebunden sind, desto besser. Im besten Fall arbeitet der SaaS-Anbieter mit einem eigenen Rechenzentrum. Ein Pluspunkt in Zeiten der Energiewende ist ein "grünes Rechenzentrum", welches beispielsweise auf solargekühlte Serverräume setzt.
-
Doppelt hält besser: Moderne Rechenzentren stellen eine hochredundante Infrastruktur bereit, in der Server mit minimalen Ausfallzeiten arbeiten können. Das heißt: Sämtliche für den Betrieb benötigte Anlagen sind mehrfach vorhanden. Fällt eines der Systeme aus, springt das andere ein und gewährleistet so, dass Daten jederzeit verfügbar und sicher sind. Solche Redundanz- und Sicherheitsmaßnahmen können sich kleine Unternehmen gar nicht leisten.
-
Stromversorgung: Einen wichtigen Faktor stellt zudem die Stromversorgung dar, die auch im Notfall gewährleistet sein muss. Um auf Nummer sicher zu gehen, sollte eine Notstromversorgung vorhanden sein.
-
Verfügbarkeit: Das IT-System und seine Daten müssen zu jedem geplanten Zeitpunkt erreichbar sein und Prozesse in angemessener Zeit ausführen können. Eine permanente Datensicherung sollte durch automatische Backups sichergestellt werden.
Ein entscheidender Faktor ist ferner die physische Sicherheit des Rechenzentrums. Wie sicher Daten im sind, hängt auch vom Gebäude ab. Hier spielen folgende Aspekte eine wichtige Rolle:
-
Zugangskontrolle: Das Rechenzentrum muss durch eine Zugangskontrolle gesichert sein. Chipkarten oder ein PIN-System an der Eingangstür sollten nur autorisierten Personen den Zutritt erlauben.
-
Protokoll: Ein solches Zugangskontrollsystem sollte gleichzeitig dokumentieren, wer zu welchem Zeitpunkt das Rechenzentrum betreten hat. Eine Liste mit den Zutrittsdaten sollte einmal monatlich überprüft werden, um Unregelmäßigkeiten zu erkennen.
-
Videosicherheit: Gemäß dem Motto "Vertrauen ist gut, Kontrolle ist besser" gehen Rechenzentrumsbetreiber auf Nummer sicher, wenn sie an kritischen Orten Videokameras installieren. So werden alle Aktivitäten im und rund um das Rechenzentrum genau dokumentiert.
Tipp: Am besten achtet man nicht nur darauf, ob der SaaS-Anbieter alle diese Kriterien erfüllt, sondern auch, ob sie in regelmäßigen Abständen von einem unabhängigen Experten überprüft werden.
Unter Sicherheitsaspekten ist das Augenmerk aber nicht nur auf den Betrieb und das Gebäude zu richten, sondern auch auf das IT-System des SaaS-Providers. Hier sind folgende Punkte zu beachten:
-
Spionageabwehr: Auch die IT-Systeme müssen durch den SaaS-Anbieter vor unbefugter Systemnutzung, dem Ausspionieren oder Verfälschen von Daten geschützt werden.
-
Sicherheitsstandards: Deutschland hat sehr strikte gesetzliche Vorgaben in Sachen Datenschutz und Datensicherheit. Ein wichtiges Kriterium für die Wahl des Anbieters ist deshalb die Einhaltung der deutschen und damit weltweit strengsten Sicherheitsstandards. Damit diese erfüllt werden, müssen Datenspeicherung und der Gerichtsstand in Deutschland sein. Das ist gewährleistet, wenn das Rechenzentrum auf deutschem Boden steht. Kunden sind gut beraten, den Ort der technischen Verarbeitung von personenbezogenen Daten vertraglich zu vereinbaren.
-
Zertifizierung: Die Sicherheitsvorkehrungen des Rechenzentrums sollten der ISO-27001-Zertifizierung (siehe Glossar) entsprechen. Auch die sogenannte SAS-70-Type-II-Zertifizierung gibt Aufschluss über die Systemsicherheit. Sie bescheinigt, dass ein Unternehmen über ein funktionierendes Kontrollsystem verfügt und gewährleistet ist, dass die Verarbeitung und das Hosting der Kundendaten sicher und geschützt erfolgt.
Tipp: Fragen Sie den Anbieter, welche Zertifikate er vorzuweisen hat. Ist er Mitglied in Initiativen wie "Cloud Services Made in Germany" oder "EuroCloud Deutschland" ist das ein weiterer Pluspunkt. Damit wird bestätigt, dass Daten innerhalb Deutschlands gespeichert werden und der Anbieter sich an die deutschen Gesetze hält.
Datenschutz und Disaster Recovery
Datenschutz
Die Daten eines Unternehmens sind ein wertvolles Gut. Einen besonders hohen Stellenwert hat der Schutz der personenbezogenen Daten. Für Kunden stellt sich daher die Frage nach der Datentrennung im Rechenzentrum. Hier gilt es, folgende Kriterien zu beachten:
-
Verschlüsselung: Bei der Übertragung ist die Verschlüsselung der Daten für den SaaS-Anbieter zwingend vorgeschrieben. Die Erfüllung der Bankenstandards ist ein Muss.
-
Datentrennung: Für die klare Trennung zwischen den gespeicherten Daten verschiedener Unternehmen sollte zudem gesorgt sein. Sämtliche Kundendaten sind separat von den Daten anderer Unternehmen aufzubewahren. Im besten Fall sorgt ein ausgeklügeltes Sicherheitssystem für diese Datentrennung. Auch hier kann man sich an einem Zertifikat orientieren: TCSEC (Trusted Computer System Evaluation Criteria) ist ein von der US-Regierung herausgegebener Standard für die Bewertung und Zertifizierung der Sicherheit von Computersystemen.
-
Rechte-Management: Ein zuverlässiges Management der Rechte sowie auf Rollen basierende Sicherheitseinstellungen gewährleisten, dass die Daten innerhalb des Unternehmens in die richtigen Hände gelangen und nur berechtigten Personen zugänglich sind. Es ist unter diesem Aspekt darauf zu achten, dass nur ein kleiner und entsprechend geschulter Personenkreis beim SaaS-Anbieter auf Kundendaten zugreifen kann.
Tipp: Bietet der SaaS-Provider von Kunden gemeinsam genutzte Umgebungen (sogenannte Shared-Umgebungen) an, ist dies im Fall von besonders sensiblen Unternehmensdaten eher kritisch. Es ist darauf zu achten, dass der Anbieter der Wahl "dedizierte" Umgebungen für Daten zur Verfügung stellt: Hier werden sämtliche Kundendaten separat von den Informationen anderer Unternehmen gespeichert.
Disaster Recovery
Weitere elementare Auswahlkriterien sind Business Continuity und Disaster Recovery - mit anderen Worten: Sind Daten auch im Krisenfall sicher?
Der Ausfall eines Rechenzentrums ist durchaus als Gefährdung für das Unternehmen zu sehen, denn im schlimmsten Fall können geschäftskritische Daten verloren gehen. Nutzt ein Betrieb zum Beispiel ein Warenwirtschaftsprogramm als SaaS-Anwendung und das Rechenzentrum des Anbieters fällt aus, steht auch beim Kunden die Arbeit still. Der SaaS-Anbieter sollte also für alle denkbaren Probleme einen Plan B parat haben, um im Ernstfall schnell reagieren zu können. Bedacht werden müssen Datenschutzproblematiken, Notfallpläne für den Netzausfall und wie man im Falle einer Insolvenz des Dienstleisters an die gespeicherten Daten gelangt.
-
Disaster Recovery: Disaster Recovery ist eine Art Versicherung, um im Notfall Daten zu schützen. Der Begriff bezeichnet Rettungsmaßnahmen, die nach einer Panne in der Informationstechnik eingeleitet werden. Dazu zählt sowohl die Datenwiederherstellung als auch das Ersetzen nicht mehr benutzbarer Infrastruktur und Hardware.
-
Business-Continuity-Management: Unter Business-Continuity-Management (BCM) ist ein unternehmensweiter Ansatz zu verstehen, mit dem sichergestellt werden soll, dass die kritischen Geschäftsfunktionen im Fall interner oder externer Ereignisse aufrechterhalten oder zeitgerecht wiederhergestellt werden können. Es ist zu prüfen, dass der SaaS-Anbieter über einen Plan verfügt, der im Ernstfall greift.
-
Replikation: Eine weitere wichtige Frage ist, ob Daten im Ernstfall an einen anderen Standort übertragen werden. Eine solche Replikation reduziert das Datenverlustrisiko und ermöglicht im Fall von geplanten oder ungeplanten Ausfällen und Notfällen die Ausführung kritischer Anwendungen von einem anderen Standort aus.
Tipp: Achten Sie darauf, dass diese Leistungen Teil des Grundpakets und in dessen Kosten enthalten sind - sonst kann es im Zweifelsfall teuer werden.
Support, Softwareintegration und Service-Level-Agreements
Support
Bei der Nutzung von SaaS-Lösung ist es für Anwender fundamental, immer Ansprechpartner für den Support zu haben.
-
Hilfestellung: Der Erfolg einer Anwendung steht und fällt mit den Nutzern. Damit bei Fragen oder Problemen geholfen werden kann, sollte ein SaaS-Anbieter über einen guten Support verfügen. Der Kundenservice sollte im Idealfall mehrere Kontaktmöglichkeiten beinhalten - also Telefon, E-Mail, Live-Chat und mehr. Auf permanente Verfügbarkeit ist ebenso zu achten wie auf schnelle und den Anforderungen entsprechende Antwortzeiten.
Tipp: Video-Tutorials, die einen Überblick über die Funktionsweise der Web-Anwendungen geben, bieten eine gute Ergänzung zum klassischen Support.
Wenn dem Anwender mal ein Projekt über den Kopf wächst, ist es hilfreich zu wissen, dass der SaaS-Spezialist auch über Ressourcen zur Beratung und Unterstützung verfügt.
-
Berater-Know-how: Um eine SaaS-Anwendung optimal nutzen zu können, sind nicht nur maßgeschneiderte IT-Lösungen, sondern auch Services unabdingbar. Gerade bei komplexen Projekten ist die Hilfe eines erfahrenen Beraters sinnvoll, der im günstigsten Fall beim Anbieter angefragt werden kann.
Tipp: Achten Sie darauf, ob auf Wunsch ein dedizierter - also Ihrem Unternehmen fest zugeteilter Betreuer zur Verfügung steht. Das erleichtert die Zusammenarbeit und hilft, Prozesse zu verbessern.
Zum guten Stil eines SaaS-Lieferanten gehört auch, dass er Kunden im Fall von Serviceunterbrechungen und Störungen rechtzeitig und schnell über bevorstehende Wartungsarbeiten und Komplikationen informiert.
-
Informationspflicht: Das wartungsfreie Rechenzentrum muss erst noch erfunden werden. Deshalb ist es wichtig, dass der SaaS-Anbieter rechtzeitig über geplante Wartungsarbeiten informiert. Gleiches gilt natürlich auch, wenn Upgrades ins Haus stehen.
Tipp: Ein guter SaaS-Anbieter informiert unaufgefordert über Komplikationen.
Softwareintegration und Service-Level-Agreements
Ein weiteres, wesentliches Kriterium bei der Auswahl eines SaaS-Anbieters sollte sein, dass der Kunde Software individuell einstellen und anpassen kann. Außerdem sollten auch Personen, die nicht IT-affin sind, die Software beziehungsweise das Programm verstehen. Die neue Software sollte man zudem ohne Probleme in andere Anwendungen integrieren können.
-
Softwarekompatibilität: Möchten eine Firma mehrere Softwareprodukte nutzen, also beispielsweise neben einem Programm für das Projekt-Management auch eines für Warenwirtschaft, sollten die IT-Verantwortlichen darauf achten, dass die Programme miteinander verknüpft werden können, ohne dass viel Arbeit investiert werden muss. Im Idealfall werden Daten nahtlos von einem Programm zum anderen übertragen. Damit können kleine und mittelständische Unternehmen eine perfekt funktionierende Softwarekombination nutzen, die stetig mit deren Ansprüchen mitwachsen kann.
Tipp: Das Tüpfelchen auf dem i ist, wenn auch Programme von anderen SaaS-Anbietern leicht und kostengünstig integriert werden können.
Ein unerlässlicher Punkt bei der SaaS-Entscheidung ist die Qualität der angebotenen Leistungen und deren vertragliche Zusicherung. Als Bestandteile von Dienstleistungsverträgen regeln Service-Level-Agreements, in welcher Qualität ständige oder wiederkehrende Services zu erbringen sind - und was passiert, wenn diese Qualität zu wünschen übrig lässt.
-
Service-Level-Agreements: Der Begriff Service Level Agreement (SLA) oder Dienstgütevereinbarung (DGV) bezeichnet eine Vereinbarung zwischen Auftraggeber und Dienstleister zur Qualitätsbestimmung der Dienstleistungen. Ziel ist es, die Kontrollmöglichkeiten für den Auftraggeber transparent zu machen, indem zugesicherte Leistungseigenschaften wie etwa Leistungsumfang, Reaktionszeit und Schnelligkeit der Bearbeitung genau beschrieben werden. Dafür wird ein Vertrag aufgesetzt, der unter anderem die folgenden wichtigen Punkte regelt:
-
Performance: Der SaaS-Anbieter ermöglicht, dass die Software rund um die Uhr, also sieben Tage in der Woche, 24 Stunden am Tag genutzt werden kann. Die sogenannte Mindestverfügbarkeit, also die Zeit, in der die Software mindestens zur Verfügung steht, sollte im Jahresdurchschnitt nicht unter 99 Prozent liegen.
-
Verfügbarkeit des Supports: Hier gilt es festzuschreiben, wann und wie der Support des Anbieters zu erreichen ist.
-
Installation: Dieser Punkt definiert, wer für die Installation des Programms oder der Programme verantwortlich ist und die Kosten für die Einrichtung trägt.
-
Rechtliche Fragen: Hier muss eine Regelung erfolgen, wer etwa bei einem Ausfall, bei Datenverlust oder bei Datendiebstahl haftet.
-
Datenspeicherung: In diesem Vertragspunkt wird verankert, wo und wie die Daten gespeichert werden.
Tipp: Fragen Sie Ihren Anbieter, ob Sie Gutschriften erhalten, falls einer der vertraglich geregelten Punkte oder Vorgaben nicht eingehalten wird. Gutschriften sollten in der vertraglichen Vereinbarung ebenfalls festgehalten werden.
Kostenkontrolle
Damit Kunden nicht die Katze im Sack kaufen, sollten sie im Vorfeld die Preise des Wunschanbieters genau in Augenschein nehmen. Im Vorfeld ist unbedingt zu prüfen, ob der Vertrag einen zeitnahen Auf- und Abbau von Kapazitäten erlaubt und ob die vertragliche Preisgestaltung die erwünschten Kosteneinsparungen bringt. Im Grundpreis sollten neben der Softwarelizenz auch Leistungen wie Implementierung, Integration und Einrichtung inbegriffen sein. Sind sie das nicht, muss der Anbieter auf alle Fälle vor Vertragsabschluss danach gefragt werden.
Und dann stellt sich auch noch die Frage, ob eine Abrechnung nach Volumen oder Nutzeranzahl besser ist.
Abrechnungsmodelle: Bei der Preisstruktur gibt es im Wesentlichen zwei unterschiedliche Abrechnungsmodelle.
-
Nutzerbasiert: Die Preisstruktur ist nutzerbasiert, das heißt, es wird je Nutzer, der die Applikation pro Monat benutzt, eine feste Pauschale abgerechnet. Das hat den Vorteil, dass Unternehmen beispielsweise im Saisongeschäft Geld einsparen können.
-
Volumenabhängig: Die Abrechnung erfolgt nach dem verbrauchten Datenvolumen. Für Betriebe, die große Datenmengen ins Rechenzentrum auslagern wollen, ist die nutzerbasierte Abrechnung empfehlenswert.
-
Tipp: Je kürzer die Mindestvertragslaufzeit, desto besser. Das gibt Ihnen eine faire Chance, das Mietverhältnis zu beenden, sollten die Programme nicht den Ansprüchen gerecht werden. (pg)