SaaS im MittelstandDie sichersten Anwendungen im Unternehmen

SaaS wächst, weil Anwender zunehmend von den Vorteilen überzeugt sind und deswegen Teile ihre Anwendungslandschaft an entsprechende Anbieter auslagern. Laut Analysen der Experton Group soll der Markt in Deutschland für solche Services von 418 Millionen Euro in diesem Jahr bis zum Jahr 2012 auf 660 Millionen Euro wachsen. Die durchschnittliche Wachstumsrate: stolze 40,9 Prozent. Viele mittelständische Unternehmen zögern aber noch oder schrecken gar vor dem neuen Service-Angebot zurück. Dabei können gerade sie von den Vorteilen profitieren.

Mit SaaS installieren sie keine Programme mehr, sondern greifen via Browser und Internet auf ihre Anwendung zu. Dadurch entfallen Aufwände für Wartung, zusätzliche Hardware oder Upgrades. SaaS-Anwender können sofort starten, ohne auf die Implementierung und Tests einer Lösung warten zu müssen – das hat der SaaS-Anbieter bereits für sie erledigt. Neue Service-Packs spielen SaaS-Anbieter nach erfolgreicher Testphase mit Vorankündigung ein, sodass ihre Kunden immer mit den neuesten und besten Versionen arbeiten.

Performance, Verlässlichkeit und Skalierbarkeit sind in einem sehr hohen Standard garantiert. SaaS-Anbieter offerieren eine IT-Infrastruktur aus den besten Komponenten führender Hersteller. Der Aufwand, der hier im Sinne von Performance und Verfügbarkeit betrieben wird, übersteigt die Möglichkeiten einer Mittelstands-IT bei Weitem.

Die Applikationen arbeiten beim SaaS-Modell in einem hochverfügbaren Rechenzentrum mit redundant ausgelegten Servern, die auch bei einem Hardware-Ausfall den unterbrechungsfreien Betrieb garantieren. Darüber hinaus ist nicht nur die Verfügbarkeit der Server, sondern auch der Stromversorgung sichergestellt. Wollte ein Mittelständler dieses Niveau bieten, müsste er ein ebenso ausgestattetes Rechenzentrum bauen und mit Spezialisten betreiben.

Im SaaS-Rechenzentrum überwachen Spezialisten den Betrieb der Software rund um die Uhr und sind via Telefon und E-Mail erreichbar. Für das Monitoring werden Spezialwerkzeuge eingesetzt, die proaktiv arbeiten und Trendverläufe verdeutlichen. Dadurch lassen sich ungünstige Entwicklungen im Vorfeld erkennen und somit vermeiden, bevor sie Schaden anrichten können.

SaaS arbeitet in der Regel mit zwei Systemen:

1. einem Produktionssystem für die tägliche Arbeit und
2. einem Testsystem, auf dem der Kunde Änderungen an seiner Lösung testen kann, bevor sie in das Produktivsystem übernommen werden.

Denn die Oberklasse der SaaS-Anbieter gestattet es ihren Kunden, eigene Konfigurationen der Software aufzuspielen, auch wenn sie im SaaS-Modell arbeiten. Kunden können dann flexibel das Datenmodell erweitern, neue Datenfelder, Prozesse und Workflows einbringen, die über den Standard hinausgehen. Die Struktur der Software sorgt dafür, dass die Anwendung dabei immer upgrade-fähig bleibt. Somit sind Individualisierungen möglich, die unternehmensspezifische Besonderheiten abbilden, ohne den Architektur-Standard zu verletzen.

Solch ein Vorgehen ist besonders wichtig bei Lösungen beispielsweise für das Projekt- und Portfolio-Management (PPM). Hier zeigt die Praxis, dass nach rund einem Jahr Betrieb keine PPM-Lösung mehr der Originalversion des Herstellers entspricht.

Warum also zögert der Mittelstand, wenn doch die Vorteile offensichtlich sind? Fragt man Vertreter dieser Unternehmen nach ihren Vorbehalten, so nennen sie an erster Stelle ihre Sorge um die Sicherheit der Daten, die sie dem SaaS-Anbieter anvertrauen. Diese Bedenken lassen sich jedoch leicht ausräumen.

Der Versand der Daten an das SaaS-Rechenzentrum geschieht im Standard verschlüsselt über gesicherte Leitungen, wie sie zum Beispiel auch beim Online-Banking genutzt werden. Wer höhere Sicherheitsanforderungen hat, kann den Datenverkehr durch weitere Maßnahmen zusätzlich absichern.

Die erste Station, die der Anwender mit seinen verschlüsselten Daten in Richtung SaaS-Rechenzentrum erreicht, ist ein Rechner, der quasi im „Vorzimmer“ des Rechenzentrums steht. Er kontrolliert den gesamten Datenverkehr und filtert alle Daten aus, die nicht den vorher festgelegten Sicherheitsregeln entsprechen. Damit ist die Verbindung zwischen Kunde und SaaS-Anbieter mindestens genauso gut abgesichert wie die interne Kommunikation innerhalb des Unternehmens.

Zudem sorgt der SaaS-Anbieter auch dafür, dass die Daten regelmäßig gesichert werden – beispielsweise per wöchentlichem Full- und täglichem Differenz-Backup. Auch die Arbeit mit gespiegelten Datenbanken ist möglich, weil der SaaS-Anbieter entsprechende Werkzeuge und Experten bereitstellt. Nicht zuletzt testet das SaaS-Rechenzentrum regelmäßig auch in Recovery (Wiederherstellungs)-Läufen, ob die Daten im Fehlerfall wiederherstellbar sind – ein Service, den selbst manche Großunternehmen manchmal nur lax durchführen.

Dass SaaS-Anbieter bewährte Werkzeuge wie verschlüsselte Verbindungen, Antivirenlösungen und Firewalls einsetzen, ist eine Selbstverständlichkeit.

Eine viel größere Rolle als die Absicherung der Datenleitung spielt das Management der Zugriffsrechte. So sind die Datenskandale der letzten Zeit nicht darauf zurückzuführen, dass Hacker eine Internetleitung und den Datenverkehr angezapft haben. Vielmehr haben sich Personen – oft eigene Mitarbeiter – physisch Zugang zu den Daten verschafft und beispielsweise Kundendateien kopiert, um sie dann an Dritte zu verkaufen.

Die Zugriffe der Anwender und auch der Administratoren müssen geregelt, überwacht und protokolliert werden. Und genau das macht der SaaS-Anbieter äußerst penibel – im Gegensatz zu vielen mittelständischen Unternehmen.

Im SaaS-Modell ist der physische Zugang zu den Servern mehrfach abgesichert. Dieses Vorgehen stellt sicher, dass nur berechtigte Mitarbeiter des Kunden und Administratoren des Anbieters auf die Daten zugreifen können, für die sie eine Berechtigung besitzen. Alle Arten der Authentifizierung von Passwörtern über Chipkarten bis hin zu biometrischen Scans sind in Kombination untereinander einsetzbar. Die Qualität der Passwörter ist einstellbar und wird überwacht. Damit sind die Zugriffe auf Daten beim SaaS-Anbieter in der Regel besser gesichert als in der IT-Abteilung eines mittelständischen Unternehmens.

Die besten SaaS-Anbieter beauftragen zudem unabhängige Firmen, jede Woche Hacker-Angriffe zu simulieren und elektronisch in das Rechenzentrum einzubrechen. Nur wenn sie keinen Erfolg haben, darf das Rechenzentrum weiterarbeiten. Schließlich sorgen auch Audits von unabhängigen Auditoren dafür, dass Sicherheitsmaßnahmen nicht nur implementiert sind, sondern auch tatsächlich greifen.

Addiert man alle diese Faktoren, so ist die Sicherheit im SaaS-Modell für Mittelständler größer als der Betrieb in der eigenen kleinen, chronisch unterbesetzten IT-Abteilung. Das SaaS-Rechenzentrum trifft mehr und bessere Sicherheitsvorkehrungen als ein klassischer Mittelständler. Und das zum Festpreis. Anwendungen, die ein Mittelständler im SaaS-Modell betreiben lässt, sind damit die sichersten in seinem Unternehmen.

[Bild: Fotolia.com]