„Due Diligence“ üben

Worauf es bei der SaaS-Anbieter-Auswahl wirklich ankommt

| Autor / Redakteur: Jan Thielscher* / Elke Witmer-Goßner

Funktionsumfang oder Preis ist nur ein Teil der Wahrheit. Um ein SaaS-Angebot umfassend beurteilen zu können, müssen weitere Faktoren berücksichtig werden.
Funktionsumfang oder Preis ist nur ein Teil der Wahrheit. Um ein SaaS-Angebot umfassend beurteilen zu können, müssen weitere Faktoren berücksichtig werden. (Bild: Thinglass, Fotolia)

Der Einsatz von Software-as-a-Service mag dem Kauf normaler Software ähneln – hat damit in Wirklichkeit aber nur äußerst wenig gemein. Tatsächlich entspricht die Entscheidung für einen bestimmten Dienst nämlich viel eher der Auswahl eines langjährigen Geschäftspartners.

Deshalb sollten IT-Verantwortliche entsprechend vorgehen. Eine mögliche Methodik könnte wie folgt aussehen. Um es aber gleich vorwegzunehmen: Features und Kosten spielen – genau wie beim Software-Kauf – natürlich auch bei der SaaS-Auswahl eine Rolle. Allerdings keine ganz so große: Denn erstens nehmen wir natürlich an, dass IT-Verantwortliche oder Fachbereiche grundsätzlich nur Dienste in Erwägung ziehen, die den Bedarf des Geschäftsbetriebs decken. Und zweitens dürften viele der standardisierten Internet-Dienste zumindest in der Mehrzahl der Fälle zu denselben oder sogar zu niedrigeren Kosten zu betreiben sein als ihre Pendants für die On-Site-Installation.

Bei der endgültigen Entscheidung für diesen oder jenen SaaS-Dienst weiß der Kunde selbst am besten, welche Features und Kosten für ihn die richtigen sind. Was er jedoch nicht so einfach selbst beurteilen kann, sind die zugrundeliegenden technischen Eigenschaften des ausgewählten SaaS-Services, die fast genauso wichtig sind. Maßgeblich für den Erfolg eines SaaS-Vorhabens ist nämlich nicht allein, was ein neuer Dienst alles kann und was er kostet. Sondern auch und gerade, was der SaaS-anbietende Service Provider kann und leistet.

Viel mehr als Features und Preise

Eigentlich versteht sich das von selbst. Wer den Betrieb einer mehr- oder weniger geschäftskritischen Software „außer Haus“ verlagert und dem zuständigen Dienstleister zudem die Verantwortung für sämtliche darin gespeicherten Daten überträgt, der kauft nicht einfach ein Stück Software – sondern geht eine umfassende Geschäftsbeziehung ein (die in Abhängigkeit des Einsatzszenarios sogar geschäftskritisch sein kann). Das wiederum bedeutet, dass nicht nur die Software selbst, sondern auch der Geschäftspartner in möglichst jeder Hinsicht fehlerfrei und risikoarm „laufen“ muss, wenn die Partnerschaft erfolgreich sein soll. Denn was passiert, wenn Mitarbeiter des fachlich sehr geeigneten Anbieters einen SaaS-Fehler machen und Daten beschädigen? Was, wenn sie eine Sicherheitslücke übersehen und Hacker ins System eindringen? Oder was, wenn der Anbieter seinen Zahlungsverpflichtungen nicht nachkommen kann und gar Insolvenz anmelden muss? Dann hat der SaaS-Kunde das Nachsehen.

Derartige Szenarien mögen – noch – unwahrscheinlich klingen. Immerhin stehen wir noch am Anfang der Cloud- und SaaS-Nutzung. Doch sie zeigen bestens auf, worum es wirklich geht: Wer SaaS-Dienste mit der gebotenen Umsicht wählen will, sollte so vorgehen, wie bei der Auswahl jedes anderen strategisch bedeutsamen Lieferanten auch. Im besten Falle setzt der oder die IT-Verantwortliche dabei auf eine umfängliche „Due Dilligence“, also einer Überprüfung aller für das eigene Unternehmen wichtigen Einflussgrößen auf Geschäfts- und Lieferfähigkeit des Dienstanbieters. Das mag aufwändig erscheinen und für SaaS-Dienste, insbesondere bei Beschaffung durch die Fachbereiche nicht umsetzbar. Doch der Eindruck täuscht. Wir haben mit inzwischen unzähligen SaaS-Anwenderunternehmen gesprochen und deren Anforderungen und Auswahlkriterien in vielen, vielen Projekten überprüft und verglichen. So haben wir herausgefunden, dass wir sehr wohl einen praktisch handhabbaren „Due Dilligence“-Rahmen für die Überprüfung, die Bewertung und den Vergleich von SaaS-Anbietern entwickeln können.

Vier wichtige Einflussgrößen

Das SaaS-Rating-Modell von Ascamso mit Haupt- und Unterkriterien einschl. der Standard-Gewichtung, d.h. Bedeutung für ein Rating auf App.Ascamso.com.
Das SaaS-Rating-Modell von Ascamso mit Haupt- und Unterkriterien einschl. der Standard-Gewichtung, d.h. Bedeutung für ein Rating auf App.Ascamso.com. (Bild: Ascamso)

Tatsächlich konnten wir sämtliche Anforderungen und Bedarfe der Unternehmen, mit denen wir arbeiten, in ein System aus vier Haupt-Einflussgrößen übersetzen, die sich wiederum aus Unterkriterien zusammensetzen. Alle diese wurden in Prüfkriterien für eine strukturierte Bewertung übersetzt, die wir zur Grundlage unserer eigenen Rating-App gemacht haben und als Datengerüst Unternehmen für ihre eigene Bewertung bzw. Gewichtung zur Verfügung stellen. Die vier von uns identifizierten Dimensionen, die wir zur Verwendung empfehlen, sind:

  • 1. Information Security: Unter dieser Dimension untersuchen wir die drei zentralen Ausprägungen der Informationssicherheit: Integrität, Vertraulichkeit und Verfügbarkeit. Störungen, Ausfälle und fahrlässige oder absichtliche Sicherheits-Verletzungen, ausgelöst von Hacker-Angriffen, bringen die gesamte Informationssicherheit in Gefahr. Ein wichtiger Indikator für das Bemühen um bestmögliche Sicherheit sind Zertifikate wie ISO 27017. Der sichere Zugang zu in einem SaaS verwalteten Daten ist für die Vertraulichkeit der Daten besonders wichtig. Zur Bewertung dieser Größen ziehen wir Technisches wie etwa die von einem Dienst über dessen gesamte Architektur genutzten Verschlüsselungs- und Key-Management-Verfahren zu Rate. Aber wir berücksichtigen natürlich auch die Abläufe der Dienstanbieter und – im Falle außereuropäischer Dienste – ihre EU Model Clause oder ihre Compliance. Zudem prüfen wir im Bereich Integrität die Back-up- und Wiederherstellungsstrategien, welche die Verfügbarkeit der im Dienst abgelegten Daten sicherstellen. Ebenfalls relevant für die Wahrung der Datenintegrität ist das bereitgestellte Rechtesystem.
  • 2. Connectivity: Zu dieser Kategorie gehören alle Dienst- und Anbietermerkmale, die den Zugriff auf den SaaS-Dienst sowie die darin enthaltenen Daten beeinflussen, einschließlich derer, die das Migrieren, Kopieren oder auch Abziehen und Löschen von Daten erlauben (oder nicht): APIs, Import- und Export-Features sowie entsprechende Beschränkungen. Beispielsweise ist eine vertrauliche Speicherung wertfrei, wenn der Export der Daten nur als CSV-Export, der per unverschlüsselter Email zugestellt wird, möglich ist. Diese Aspekte erheben unsere Analysten anhand der Dokumentation bzw. im Dialog mit dem Anbieter oder durch Ausprobieren und halten die Ergebnisse in den Rating Cards fest.
  • 3. Service Performance: Diese Kategorie mag auf den ersten Blick verwirrend erscheinen, jedoch ist die Integrationsfähigkeit in den Help Desk einer Unternehmens-IT ein entscheidender Erfolgsfaktor für die Akzeptanz. Deshalb ist es unerlässlich, die entsprechenden Unterkategorien – Service-Levels-Agreements, Umfang des Kundendienstes, Usability sowohl des Dienstes selbst als auch aller dazugehörigen Verwaltungs-, Support- und Self-Service-Features – zu prüfen und in eine Entscheidung mit einzubeziehen. Die entsprechenden Prüfungen können umfänglich ausfallen, trotzdem sollte niemand darauf verzichten.
  • 4. Provider Restainability: Zum Schluss das Kaufmännische: In der Kategorie „Provider Restainability“ bündeln wir überwiegend betriebswirtschaftliche und finanzielle Merkmale die darüber Aufschluss geben, als wie zuverlässig ein SaaS-Anbieter als Geschäftspartner einzustufen ist. Unser Kunstbegriff beschreibt dabei, worum es geht: Wir prüfen die Nachhaltigkeit von Geschäftsmodell und den Niederschlag der Strategie in der Positionierung bzw. Vertriebsmodell des Unternehmens („Sustainability“). Nur wenn diese Aspekte zusammenpassen, ist auch davon auszugehen, dass das Unternehmen nachhaltig wachsen bzw. bestehen wird. Zum anderen wird die gegenwärtige Position im Markt, Anzahl Kunden, Referenzen, Equity-Position bzw. Investoren, etc. („Reliability“) betrachtet und beurteilt. Als Grundlage hierfür eignen sich die Durchsicht von Geschäftsberichten, das Auswerten betriebswirtschaftlicher Kennzahlen, das Bewerten bestehender Partnerschaften oder sogar Gespräche mit Mitgliedern der Geschäftsführung.

Jan Thielscher, Ascamso.
Jan Thielscher, Ascamso. (Bild: Ascamso)

Der hier – nur in kürze – vorgestellte Bewertungsrahmen hat sich in der Praxis bereits vielfach bewährt und ist sehr zu empfehlen. In Fällen, in denen die mit dem Einkauf betrauten Personen, die Kapazität oder das erforderliche Know-how nicht haben bzw. nicht auf die Einkaufsentscheidung verwenden wollen, empfehlen wir natürlich den Einsatz von Rating-Werkzeugen wie unseren Rating Cards oder das Hinzuziehen unseres Architect-on-Demand-Modells.

* Jan Thielscher ist CEO der Frankfurter Rating-Agentur Ascamso. Gegründet wurde Ascamso als gemeinsames Projekt der Enterprise Architecture Consulting Group (EACG GmbH) mit Wissenschaftlern der TU Darmstadt als Antwort auf das zunehmende Informationsgefälle zwischen Cloud-Service Providern und deren potenziellen Kunden. Durch die Übertragung des Konzepts von Finanz-Rating-Agenturen auf das Cloud Computing will Ascamso mehr Transparenz in den Cloud-Infrastruktur-Markt bringen und Fakten für den Entscheidungsprozess liefern.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44233073 / Hosting und Outsourcing)