Bei der Auswahl eines SaaS Anbieters ist es extrem wichtig auf dessen Marktdurchdringung zu achten.

• Basiert sein altes Geschäftsmodell nicht auf SaaS und er bietet auf Basis einer vielleicht alten Architektur nun SaaS Dienste an.
• Fragen Sie expliziet nach Nutzern, die den Services aktiv und produktiv einsetzen.
• Prüfen Sie die Innovationszyklen und wo hat der Anbieter Alleinstellungsmerkmale gegenüber dem Wettbewerb.

Beim Einsatz von Betriebsarten wie SaaS gilt extreme Vorsicht beim Umgang mit Daten und der Informationssicherheit. Wenn Sie personenbezogene Daten speichern oder Geheimhaltungsvereinbarungen mit ihren eigenen Kunden haben müssen diese komplett geprüft und überarbeitet werden. DSGVO ( Data processor, Data owner ) klären. Und auf jeden Falle den Datenschutzverantwortlichen mit hinzuziehen. Eine Missachtung kann empfindliche Strafen mit sich ziehen.

Sicherheit und Informationsschutz haben bei der Auswahl den grüßten Einfluss in der Entscheidungsfindung bei Kunden wenn es um die Fragestellung geht Cloud oder nicht Cloud. Zurecht. Es geht nicht nur um Daten und Infromationen sondern auch um ihre Know How, Intelectual Properties und vor allem um Geheimhaltung und Wettberwerbsvorteilen. Wenn in der Vergangenheit vielleicht alle ihre Daten im Haus waren so lag die Verantowortung meistens bei der IT sich über Themen wie Zugriffschutz ( Identitätsmanagement ), Firewall, Monitoring, Backup usw zu kümmern.

In einer zunehmend digitalisierten Welt benötigen sie auch als Unternehmen neue Rollen und Kompetenzen um sich den Anforderungen zu stellen. Etablieren sie im Unternehmen ein ISMS ( Informations Sicherheits Management System ).

Denn eines ist sicher. Auch große Anbieter sind vor Datenverlusten nicht verschont, deshalb ist es nicht die Frage ob was passiert sondern wann und wie gehe ich dann vor oder noch zielführender, was kann im Vorfeld getan werden um den Schaden klein zu halten.

• Unternehmen die Sicherheit versprechen aber nicht im Detail beschreiben wie sind unseriös
• Gute Beratung bedeutet auch sie auf defizite hinzuweisen im Umgang mit diesen Technoligien.
• Zertifizierungen wie ( ISO27001, BSI C5, TISAX ) gehören zu absoluten Grundausstattung der Anbieter. Prüfen Sie wann der Anbieter die erste Zertifizierung erlangt hat.
• Zertifizierungen haben den Vorteil, dass bei der Integration dieser Clouddienste in die eigene Systemlandschaft der Zertifizierungsaufwand geringer gehalten werden kann.
• Wichtig. Eine Zertifizierung ist eine hinreichende Bedingung für Sicherheit. Eine notwendige Bedingung ist, dass jeder Mitarbeiter sich mit dem Thema identifiziert.
• Prüfen sie genau welchen Bereich die Zertifizierung einschließt innerhalb der Serviceleistungen. ( SaaS, PaaS, IaaS ). Ein SaaS Anbieter, die ihre Lösungen auf AWS hosten, die alle Zertifizierungen haben, ist deshalb noch lange nicht selbst zertifiziert.
• Achten Sie auf den Standort der Server. Gerade im Umfeld von Finanzdienstleistungen, Steuerrechtlichen, Vertraglichen relvanten Themen ( GOBS ) ist ein Serverstandort Deutschland zwingend erforderlich.
• Verschlüsseln Sie immer ihre Daten mit Privaten Keys. Im Fall eines Datenverlustes sind die Daten unbrauchbar.

Bei SaaS Cloudservices haben sie immer die Fragestellung der Exit-Strategie. Wie komme ich an meine Daten wenn ich den Dienst kündige oder der Anbieter den Service einstellt. Was in vielen Fällen im SaaS Umfeld der Fall sein kann wenn die Lösung für den Hersteller auf Dauer nicht lohnenswert ist. 

Je nach Art der Anwendung sind die Informationsmodelle und Architekturen derart komplex, dass sie davon ausgehen können nicht ohne Verlußt einen Ausstieg durchführen zu können.

Die größtere Herausforderung wird sein, wie sie an die Informationszusammenhänge wieder kommen. Ein Download mit ein paar Millionen Dateien stellen noch lange nicht die Information da, die sie über die Jahre auf einer Collaborations Plattform zusammengetragen haben oder durch erweiterte Funktionen wie AI angeboten wurden. Hier sei auch nochmal die Frage sensibilisiert. Bei der Auswahl einer SaaS Lösung will ich eigene Kompetenzen entwicklen in dem Bereich oder wollen sie sich auf die Innovationskraft des Herstellers verlassen.

Ein Datenmodell im PLM Umfeld mit komplexen Produkt- und Funktionsstrukturen sind somit nur dann überführbar, wenn das Unternehmen eine API anbieten, die eine Migration ermöglicht.

• Achten Sie auf eine gute Konnektivität ( API, Integrationen, 3rd Party iPaaS Module )
• Überlegen sie sich welche Daten und Infromationen bei ihnen essentielle Business Objekte sind, die bei einer Exitstrategie unentberlich sind.
• Achten sie darauf welche Kosten bei der Verwendung der API enstehen.
  • Kosten für den Zugriff auf Informationen ( Credits )
  • Entwicklung eigener Services und z.B. Apps und die vertraglichen Bedingungen des Herstellers bei der Bereitstellung.
  • Vertriebsmodelle ( Community Edition, Enterprise Services etc. )
• Gibt es viele Communities, Repositories ( GitHUB ). Eine starke Community ist extrem wichtig um eigene Innovationen voranzubringen.
• Gerade bei Opensource Lösungen haben Sie keine Probleme die Software als SaaS zu beziehen. Bei einem Exit können Sie die ganze Umgebung einfach selbst weiterbetreiben. Bei Kommerziellen Closed Code Anbietern sieht das natürlich anders aus.
• Prüfen sie bei der integration, dass der Lebenszyklus des Produktes harmonisiert mit ihren bestehenden Anwendungen. Gerade im Hybridumfeld ist es extrem hinderlich wenn nach eine Releaswechsel inkompatbiltäten entstehen.
• Prüfen Sie die Dokumentation der Software insbesondere der Webservices API. An der Dokumentation erkennen sie sehr gut wie die Entwicklung arbeitet. Heute müssen Dokumentationen in Echtzeit zum Releasestand als Onlineversion zur Verfügung stehen. Saubers Userinterfache, gute Suche, aktuelles Wissensmanagement sind die Mindestanfordeungen. Handbücher, PDFs, haben da nichts mehr verloren.

In einem Service Level Agreement ist unter anderem die Verfügbarkeit Services abgesichert.

• Prüfen sie das Level der Verfügbarkeit üblich ist 99,5% ( 24h/7T )
• Prüfen sie was für Entschädigungen gestaffelt beschrieben und definiert sind wenn die Verfügbarkeit nicht erreicht wird. Beispiel 99,4% – 10% Rückerstattung
• Lassen sie am besten den SLA von einer Rechtsberatung im IT Umfeld prüfen.
• Sichern sie darüber hinaus auch ab, wie die Verfügbarkeit bei höherer Gewalt ist.
• Backup und Disasterrecovery was Bestandteil der ISMS des Anbieters ist unbedingt nochmal gegenprüfen.
• Antwortzeiten im Support und Fehlerfall.
• Release und Updatezyklen des Herstellers. Kann ein Update auch ausgesetzt werden.
• In modernen IT-Cloud Architekturen merken sie es nicht wenn Aktualisierungen stattfinden. Achten Sie auf Hinweise, wenn der Hersteller sogenannte Updates und damit einhergehende Nichterreichbarkeit aus der Verfügbarkeit mit 99,5% herausnimmt. Das deutet meistens auf eine Downzeit wärend der Aktualisierung.
• Achten Sie unbedingt auf die Betriebsarten. Echte SaaS Lösungen sollten ausschließlich genau so auf einer Webapplikation laufen wie z.B. auf einer Anwendung onPremises. Sobald es hier aber zu unklarheiten kommt, kann die Absicherung der Verfügbarkeit für sogenannte Hybrid Arbeitsweisen ausgeschlossen werden. Achten sie da unbedingt auf die Bestimmungen des Hersteller.  

Klären Sie auf jeden Fall wie das Monitoring beim Hersteller aussieht. Sie benötigen auf jeden Falle eine saubere Metrik über die Laufzeit und die Latenzzeiten auf verschiedene Endpunkte und Services. Und eine Benachrichtigung wenn der Service nicht zur Verfügung steht. Auch sollten sie absichern wir die ankündigung bei größen Änderungen und Aktualisierungen kommuniziert wird. Wenn ihnen kein Monitoring zur Verfügung steht haben sie ien Problem des Nachweises um entschädigungen einzufordern.

Fragen sie welche Architektur der Anbieter einsetzt. Diese muss nicht bis in letzte Detail kommuniziert sein. Wenn sie jedoch den Verdacht haben, dass der Hersteller zu wenig bekannt gibt sollten sie genauer nachfragen.

Fragen könnten sein :

• Welche Betriebssysteme setzen sie ein
• Einsatz von Applikationsservern  ( TomEE etc )
• Wie werden die Cloud Anwendungen deployed
• Wie sieht es aus mit DevSecOps
• Welche IaaS wird verwendet
• Einsatz von speziellen Frameworks
• Programiersprachen Frontend Angular, React etc.
• Welche Protokolle stehen zur Verfügung ( RSync, WebDAV … )
• Skalierbarkeit
• Anbindung des IaaS und CDN Performance weltweit.

Ist die Architektur bereit für ihre eigenen Geschäftsmodelle und deren Informationsintegration. Smarte Produkte, IoT, Digitale Dienstleistungen.

Die IT-Architektur muss ihnen in Zukunft die bestmöglche Unterstützung ihrer Prozesse und Strategie bieten um ihre Innvoationen und Wettbewerbsvorteile zu sichern. Begrenzt die Technoligie das haben sie langfristig ein Problem.

Denke sie beim Einsatz von SaaS immer über eine vertragliche Absicherung der Services nach.

Folgende Punkte müssen geklärt sein :

• Absicherung gegen Abkündigung der SaaS Lösungen
• Wie lange ist der Zeitraum von Bekanntgabe bis EOL.
• Kosten für Bereitstellung der Daten bei Beendigung der Nutzung
• Zukünftige Preisentwicklungen ( Vergleichen sie am besten was in der Vergangenheit passiert ist )
• Rechnungsstellung und Automatisierung
• Laufzeiten und Abrechnungsmodelle ( Pay As Use, Minütlich – Jährlich )
• Kündigungsfristen