Die Nutzung einer Software ohne Lizenzkauf, bei der die Nutzung als Dienstleistung eingekauft und dafür eine Nutzungsgebühr bezahlt wird, bezeichnet man als SaaS-Modell. Die Software wird nicht auf Servern im eigenen Unternehmen genutzt, sondern in einem Rechenzentrum gehostet. Zur Anwendung benötigt der Anwender lediglich einen internetfähigen Computer. Der Aufruf der Software erfolgt über einen Webbrowser. Die finanzielle Belastung bei der Implementierung fällt nicht punktuell am Investitionsbeginn an, sondern verteilt sich planbar und gleichmäßig über die Nutzungszeit. Während beim Lizenzkauf – je nach Anzahl der benötigten Lizenzen – eine hohe Investitionssumme die Liquidität belastet, fällt beim SaaS-Modell diese „Startinvestition“ (von nicht selten 5- bis 6-stelligen Beträgen) weg. Unternehmen in der Start-up-Phase, bei denen der Investitionsbedarf hoch, die finanzielle Ausstattung gering und die Nutzung einer passenden Software ein Erfolgs- und Wachstumsfaktor ist, setzen daher häufig auf ein SaaS-Modell. Aber auch etablierte Unternehmen, die ihr Investitionspotenzial optimal einsetzen wollen, können von diesem Modell profitieren.
Beim Lizenzkauf sind es oftmals die Onboarding-Kosten, also die Kosten für Customizing und Schulung der Mitarbeiter, die mit ähnlich hohen (oder höheren) Summen wie der Lizenzkauf selbst zu Buche schlagen. Diese Kosten sind bei SaaS-Modellen geringer, oftmals in den Nutzungsentgelten enthalten oder werden pauschaliert angeboten. Steuerlich betrachtet ist der Lizenzkauf eine Investition, die als Anlagegut aktiviert wird und über die Nutzungsdauer abzuschreiben ist. Beim SaaS-Modell ist das Nutzungsentgelt eine Betriebsausgabe, die im Jahr der Nutzung die Steuerlast mindert. Stellt sich trotz sorgfältiger Auswahl die gewählte Softwarelösung als nicht passend heraus, kann die Nutzung von SaaS-Lösungen kurzfristig – oftmals auch ohne Fristen – gekündigt werden. Es fallen keine weiteren Kosten an.
Um beim Auftauchen von Software-Problemen nicht „allein gelassen“ zu werden, ist der Abschluss eines Service- und Wartungsvertrags nicht nur sinnvoll, sondern oftmals sogar zwingend notwendig. Service-, Wartungs-, Update-, Upgrade und Hotline-Leistungen sind im Nutzungsentgelt von SaaS-Modellen enthalten. Kostenanpassungen erfolgen nur, wenn sich die Anzahl der Nutzer erhöht oder vermindert.
Die IT-Infrastruktur strategisch planen
Bei vielen Lizenzlösungen werden sowohl die Software als auch die Daten auf Servern im eigenen Unternehmen gehostet. Für ein performantes Arbeiten sollte eine leistungsfähige IT-Infrastruktur aus Servern, Netzwerken, Backup-Systemen usw. bestehen. Dabei fallen neben den Aufwendungen für die reine Hardware-Ausstattung selbstverständlich auch Software-Kosten an. Zusammengenommen ist für die Anschaffung je nach Leistungsfähigkeit und -umfang mit einem mittleren bis hohen 5-stelligen Betrag zu kalkulieren.
Bei der eigenen IT-Infrastruktur liegt die Verantwortung für die Erneuerung, die Wartung, den Service, die Administration und die Sicherheit dieser Systeme beim Unternehmen selbst. Dies kann einen entscheidenden Kostenfaktor darstellen. Schmerzhaft deutlich wurde das zu Beginn der Coronazeit für viele Unternehmen, als zahlreiche Mitarbeiter mit erheblichen Investitionen auf das Arbeiten im Homeoffice umgestellt werden mussten. In vielen Unternehmen explodierten in der Zeit sowohl die Anschaffungs- wie auch die Administrationskosten für die IT-Infrastruktur. Anders in Unternehmen, die SaaS-Modelle nutzen. Hier konnten die Mitarbeiter im Prinzip nahtlos mit jedem internetfähigen Gerät vom Homeoffice auf die Software zugreifen.
Eine leistungsstarke IT-Infrastruktur im Umfang eines Rechenzentrums ist im eigenen Unternehmen schon aus Kostengründen nur schwer zu realisieren. Zudem sind die hier garantierten Qualitätsstandards in Bezug auf Systemaktualität, Administration, Verfügbarkeit, Performance und Sicherheit kaum zu gewährleisten. SaaS-Lösungen enthalten diese Kosten in der Regel im Nutzungsentgeld. Im Rechenzentrum werden Backups standardmäßig in hoher Taktung gefahren. Mehrfache, örtlich getrennte Spiegelungen der IT-Infrastruktur und der Daten garantieren den reibungslosen Betrieb auch bei Elementarereignissen wie beispielsweise Sturm, Hochwasser oder Brand. Die Gefahr des Datenverlusts ist daher beim im Rechenzentrum gehosteten SaaSModell eher gering.
Sicherheit der eigenen Daten
Oftmals werden Entscheidungen gegen ein SaaS-Modell aufgrund von Sicherheitsbedenken getroffen. Die Datenhaltung im eigenen Unternehmen scheint vielen Büroinhabern sicherer zu sein. Doch ist das wirklich der Fall?
In Bezug auf Datenverlust oder Datenklau sind mindestens zwei große Themenfelder zu betrachten: Cyberangriffe von Externen, wie beispielsweise Ransomware-Attacken, Datenklau durch Interne oder Externe. Leider nehmen vor allem Ransomware-Attacken auch auf Planungsbüros zu. Bei diesen kriminellen Attacken wird eine durch E-Mail, USB-Stick, Website-Aufruf, Software-Download usw. unbemerkt eingeschleuste Schadsoftware in der eigenen IT-Infrastruktur installiert. Mithilfe dieser kann der Eindringling den Zugriff auf die Daten und die gesamte IT-Infrastruktur verhindern, indem er die eigenen Daten oder den gesamten Zugang zum IT-System verschlüsselt.
Stecken keine politischen oder gesellschaftspolitischen Gründe – was bei Planungsbüros eher selten der Fall ist – hinter der Attacke, fordert der Eindringling ein hohes Lösegeld in Form einer Kryptowährung. Wird das Lösegeld bezahlt, erhält der Geschädigte – wenn es gut läuft – vom Eindringling den Entschlüsselungscode, um seine Daten und Systeme zu entschlüsseln. Wurde früher nur versucht, sehr große Unternehmen mit dieser Methode zu erpressen, zeigt sich aktuell der Trend, dass eher mittelständische oder kleine Unternehmen attackiert werden. Da die IT-Systeme großer Unternehmen meist gut gesichert sind, finden diese Kriminellen in mittelständischen oder kleinen Unternehmen, die nicht so gut sichern, leichte Beute. Dabei sind Lösegeldsummen von 100.000 € und mehr, zahlbar in Bitcoins, keine Seltenheit.
Zum Lösegeld, das aufzubringen ist, führt vor allem der durch den Cyberangriff ausgelöste Stillstand des Unternehmens zu einem immensen Schaden, der ein Vielfaches des Lösegelds betragen kann. Der Stillstand kann – selbst, wenn Lösegeld bezahlt wird – bis zu vier Wochen anhalten.
Hinzuweisen ist ausdrücklich darauf, dass alle mit diesem Thema befassten Institutionen von einer Zahlung der Lösegeldforderung abraten. Selbst bei Bezahlung des Lösegelds ist nicht sichergestellt, dass die Daten tatsächlich wieder entschlüsselt werden können. Weitere Forderungen könnten folgen. Jede Attacke sollte angezeigt werden.
Rechenzentren sind – anders als unternehmenseigene IT-Systeme – nur schwer durch solche Attacken anzugreifen. Sie verfügen über viele Sicherungssysteme mit sehr hohen Standards, die Anomalien sofort erkennen und stoppen können.
Datenklau kann rein theoretisch sowohl durch Interne – Mitarbeiter, Freiberufler usw. – als auch durch Externe wie Eindringlinge, Mitarbeiter des Softwareanbieters oder des Rechenzentrums erfolgen.
Dem Datenklau durch Interne kann man durch eine strukturierte und sinnvolle Rechteverwaltung begegnen. Daten, die für die Tätigkeit des Mitarbeiters nicht notwendig sind, sollte dieser gar nicht erst einsehen können. Moderne Software-Systeme leisten dies. Hier gibt es keine Unterschiede zwischen Lizenzkauf- oder SaaS-Modellen. Beide Modelle sind hier gleichwertig. Beide können in Bezug auf den Datenklau durch Interne gesichert werden. Anders verhält es sich beim Datenklau durch Externe. Auch hier wirken die Sicherungssysteme der Rechenzentren – so, wie bereits beschrieben – viel effizienter als unternehmenseigene. Ungewöhnliche Zugriffe oder Datenbewegungen würden sofort bemerkt und unterbunden werden.
Die Mitarbeiter der Rechenzentren oder des SaaS-Anbieters haben keinen Zugriff auf die Nutzerdaten. Außerdem unterliegen sie strengen Kontroll- und Aufsichtsregeln. Verstöße würden gravierend sanktioniert werden. Eine Analogie verdeutlicht das Prinzip: Jeder verwahrt sein Geldvermögen bei seiner Bank. Keiner würde auf die Idee kommen, mit seinem gesamten Geldvermögen in der Tasche herumzulaufen. Die eigenen Daten, die manchmal noch wertvoller als Bargeld sind, sollte man auch nicht in der eigenen Tasche herumtragen, sondern in einem hochsicheren Rechenzentrum verwahren.
Wer hat die Datenhoheit?
Beim Lizenzkauf-Modell und dem Hosting auf eigenen Servern verfügt man vollumfänglich über die Hoheit über seine Daten. Grundsätzlich ist dies bei SaaS-Lösungen auch gegeben. Allerdings gab es in der Vergangenheit leider Software-Anbieter, die diesem elementaren Prinzip nicht gefolgt sind. Sie haben sich schlicht geweigert, die Daten herauszugeben, oder haben die Herausgabe verzögert.
Deshalb ist es bei der Entscheidung für ein SaaS-Modell wichtig, vor Vertragsschluss Regelungen zu treffen. Die jederzeitige Herausgabe der gesamten eigenen Daten muss bei einem SaaS-Modell vertraglich gesichert werden. Hier ist es sinnvoll, bereits bei Vertragsschluss Regelungen über Kosten, Formate und Reaktionszeiten zu treffen.
Fazit
Wer moderne IT-Systeme mit stets aktueller Software nutzen will, die geringe Ausfallzeiten, hohe Performance und starke Sicherheitsstandards bieten, ist mit einem SaaS-Modell gut bedient. Kosten- und Preistransparenz, jederzeitige Verfügbarkeit und Plattform-Unabhängigkeit werden von Nutzern als Vorteil gewertet und werden künftig dazu führen, dass immer mehr Software-Anwendungen – neben den bereits bestehenden – diesem Modell folgen. Allerdings müssen vor Vertragsschluss alle Aspekte der Datenhoheit geklärt und vertraglich vereinbart werden.
