logo lineofbiz

Governance Framework für die Cloud-AnwendungenSaaS-Chaos stoppen

31. Juli 2025
Flexera Cloud Canva
Quelle: Canva / Flexera

Die Zahl an SaaS-Anwendungen geht in vielen Unternehmen in die Tausende und übertrifft inzwischen die der On-Premise-Lösungen. Was einst Effizienz versprach, ist heute oft unübersichtlicher Wildwuchs. IT-Teams kämpfen mit Schatten-IT, redundanten Tools, Sicherheitslücken und steigenden Kosten. Ein SaaS Governance Framework bringt Klarheit – und sichert langfristigen Mehrwert.

Geht es um SaaS, stehen IT-Verantwortliche nicht vor einer, sondern vor vielen Fragen: Welche SaaS-Anwendungen sind im Einsatz? Welche sind wirklich nötig? Wer verwaltet sie, wer verlängert die Verträge? Wie steht es mit der Governance-Struktur? Die ehrliche Bestandsaufnahme führt meist zu zwei unangenehmen Erkenntnissen. Erstens: Es sind deutlich mehr Tools im Umlauf als gedacht. Zweitens: Viele Cloud-Anwendungen bleiben ungenutzt.

Laut dem State of the Cloud Report von Flexera investieren 29 % der Unternehmen inzwischen über eine Million US-Dollar pro Monat in die Cloud-Anwendungen. Fast ein Viertel (24%) der Cloud-Ausgaben werfen jedoch nach eigener Einschätzung keinen spürbaren Mehrwert ab.

Gleichzeitig bringt KI und die zunehmende Kommodifizierung von Software die Vormachtstellung von SaaS ins Wanken. Neue, intelligente Entwicklertools machen es so einfach wie nie, maßgeschneiderte Anwendungen zu implementieren, statt für SaaS-Dienste von Drittanbietern zu zahlen. Das schwedische FinTech Klarna zum Beispiel ersetzte im letzten Jahr sein Salesforce CRM mit einem selbstentwickelten KI-System. Insgesamt entfernte das Unternehmen rund 1200 SaaS-Dienste aus seinem Portfolio.

Besonderheiten von SaaS

Angesichts des unkontrollierten Wachstums rückt die Notwendigkeit klarer Governance-Strukturen ins Zentrum. Vor allem was die Verantwortlichkeit angeht, besteht Handlungsbedarf: Oft betreuen IT-Asset-Manager neben klassischen Lizenzen auch SaaS-Anwendungen. Cloud-Teams verorten die Zuständigkeit dagegen im Software Asset Management (SAM).

Gleichzeitig übernehmen FinOps-Teams und Cloud Center of Excellence (CCoE) zunehmend Verantwortung für die Kostenkontrolle. Die Folge: dezentrale Zuständigkeiten und fragmentierte Governance, die sich gleich auf mehrere Bereiche kritisch auswirken.

  • Kosten: Fehlende Transparenz, unklare Zuordnung: Ohne zentrale Übersicht lassen sich SaaS-Kosten kaum zuverlässig planen oder kontrollieren. Budgets bleiben ungenau, Forecasts unsicher. Zusätzlich fällt es vielen Unternehmen schwer, SaaS-Ausgaben klaren Kostenstellen zuzuordnen. In der Buchhaltung wird deshalb häufig strikt zwischen SaaS, IaaS und PaaS getrennt, oft aus rein praktischen Gründen. Mit der zunehmenden Konvergenz von SaaS und FinOps verschwimmen klassische Abgrenzungen. Viele SaaS-Anwendungen erfordern mittlerweile nicht nur Benutzerlizenzen, sondern auch die Erfassung und Abrechnung verbrauchsbasierter Metriken. Dabei können Kosten schnell eskalieren. Anwender bzw. Fachabteilungen brauchen hier Lösungen, um ihre Ausgaben aktiv zu managen und Verträge bei Bedarf flexibel anzupassen, etwa durch dynamisches Tiering.
  • Compliance: Verstöße verhindern; Unternehmen müssen regulatorische Vorgaben beachten – insbesondere im Hinblick auf Datenschutz und Sicherheit. Ohne konkrete Governance wird Compliance allerdings zur Blackbox mit potentiell sowohl rechtlichen als auch finanziellen Folgen. Das gilt vor allem bei SaaS, die häufig von Fachbereichen im Alleingang und außerhalb formaler IT-Prozesse eingeführt werden. Der Einsatz erfolgt meist auf Basis von Funktionalität oder Preis. Themen wie Datenschutz, Datenhoheit, Aufbewahrungsfristen oder die Einhaltung der DSGVO bleiben zunächst außen vor.
  • Sicherheit: Schatten-IT als Schwachstelle; fehlt eine zentrale Steuerung, steigt das Risiko deutlich. Laut Gartner sind Organisationen ohne zentrales SaaS-Management bis 2027 bis zu fünfmal anfälliger für Sicherheitsvorfälle. Schatten-IT ist dabei ein wesentlicher Treiber: Unautorisierte Anwendungen umgehen zentrale Sicherheitsstandards und erhöhen die Angriffsfläche. Oft fehlen dort grundlegende Schutzmechanismen, etwa zur Datenverschlüsselung oder Zugriffskontrolle. Nicht alle SaaS-Anbieter bieten ihren Kunden das gleiche Sicherheitsniveau und Datenhacks und die Kompromittierung von Zugangsdaten sind keine Seltenheit. Umso wichtiger ist es, die eigenen Daten wirksam zu schützen. Doch in der Praxis sind viele SaaS-Anwendungen nicht in Single Sign-On oder ein zentrales Identity- und Access-Management eingebunden. Oft nutzen Anwender sogar persönliche Konten wie Gmail oder Zoom. Die IT steht hier vor einer Aufgabe, die weit über die Anforderungen traditioneller On-Premise-Umgebungen hinausgeht.
  • Betrieb: Fragmentierung bremst Effizienz; ein fragmentierter SaaS-Stack erschwert den operativen Alltag. IT-Teams müssen eine Vielzahl heterogener Tools betreuen. Vertragsverlängerungen werden leicht übersehen, Auto-Renewals führen zu unnötigen Kosten. Bereichsverantwortliche behalten Lizenzen, die andere sinnvoll nutzen könnten. Ohne Standardisierung wählen Fachabteilungen für gleiche Aufgaben verschiedene Lösungen, einzelne Länder oder Abteilungen richten jeweils eigene Portale ein und agieren separat. All das erschwert die Integration und führt zu Medienbrüchen. Auch Nutzer spüren das: Sie finden Tools nicht, müssen lange auf die Bereitstellung von Anwendungen durch die IT warten oder arbeiten in voneinander getrennten Systemen.

Grenzen klassischer Governance-Ansätze

Traditionelle Governance-Modelle stammen meist aus der On-Prem-Welt und stoßen im SaaS-Umfeld an ihre Grenzen. Manuelle Prozesse auf Basis von Excel-Listen oder E-Mail-Absprachen sind weder skalierbar noch geeignet, um eine dynamische, dezentrale SaaS-Landschaft zu steuern. Es fehlt an Echtzeit-Transparenz und Automatisierung.

Die größten Herausforderungen in der Governance liegen oft in der Umsetzung und im laufenden Monitoring. Manche Anwendungen liefern keine ausreichenden Daten, um Ausgaben oder Optimierungspotenziale sinnvoll auszuwerten. Eine effektive Anpassung von Verträgen bleibt dadurch schwierig. Die Implementierung erfolgt häufig lokal, was zu Inkonsistenzen in der Datensynchronisation zwischen Teams oder Regionen führt. Wer den SaaS-Stack frühzeitig gemeinsam mit dem Anbieter plant, kann viele dieser Probleme verschieben – vom eigenen Team hin zum Anbieter, noch bevor sie entstehen.

Solide Governance und ein barrierefreier Zugang, also möglichst wenig Hürden, sind entscheidend, um unkontrolliertes Wachstum zu verhindern. Viele Anbieter setzen heute gezielt auf das ABIT-Modell („Anybody But IT“), um den Verkaufsprozess zu beschleunigen – auf Kosten der Effizienz und häufig am Bedarf der IT vorbei. Unternehmen wiederum setzen auf spezialisierte Einzellösungen, etwa für Kostenkontrolle oder Sicherheit. Diese Tools bieten punktuelle Verbesserungen, liefern aber selten den ganzheitlichen Überblick, der für eine nachhaltige Optimierung nötig ist. Zusätzlich erhöhen sie den Integrationsaufwand und damit die Komplexität im Gesamtsystem.
SaaS-Governance gezielt aufbauen

Ein Governance Framework definiert die Richtlinien, Prozesse und Technologien, mit denen Unternehmen ihre SaaS-Anwendungen steuern. Ziel ist es, den Einsatz mit den Geschäftsanforderungen abzugleichen, Risiken zu minimieren und den ROI zu sichern. Für eine wirksame Umsetzung gilt es, zentrale Grundprinzipien zu beachten:

  • Governance verankern: Effektives SaaS-Management braucht einen klaren Rahmen. Ein funktionsübergreifendes Gremium aus IT, Security, Finanzen, Recht und Fachbereichen entwickelt und verantwortet die Richtlinien.
  • Verantwortlichkeiten klären: Zuständigkeiten für Auswahl, Betrieb, Kosten und Verlängerung müssen eindeutig geregelt sein. Ein zentrales Owner-Modell sorgt für Transparenz und Steuerbarkeit.
  • Richtlinien definieren: Klare Vorgaben zu Auswahl, Beschaffung, Zugriff, Datenhaltung, Sicherheit und Compliance schaffen Orientierung für alle Beteiligten.
  • Genehmigungsprozesse etablieren: Ein standardisierter Prozess für Anforderung und Freigabe neuer Tools hilft, Schatten-IT zu vermeiden und den Überblick zu behalten.
  • Transparenz schaffen: Ein mehrdimensionaler Ansatz – etwa durch Browser-, CASB- und API-Integration – ermöglicht eine vollständige Übersicht über genutzte SaaS-Anwendungen. Eine SaaS Management Platform (SMP) liefert automatisiert zentrale Einblicke.
  • Nutzung analysieren: Regelmäßige Auswertungen zeigen ungenutzte Lizenzen, Redundanzen und Optimierungspotenziale.
  • Workflows automatisieren: Automatisierte Abläufe bei Anträgen, Genehmigungen, Lizenzen und Verlängerungen entlasten Teams. SMPs liefern die nötigen Daten für gezielte Anpassungen.

SaaS-Governance ist kein statisches Konstrukt. Wer Cloud-Anwendungen dauerhaft effizient, sicher und wirtschaftlich betreiben will, muss Richtlinien und Prozesse regelmäßig hinterfragen und anpassen.

Technologische Entwicklungen, etwa durch KI, neue Geschäftsanforderungen oder veränderte Compliance-Vorgaben machen das unverzichtbar. Nur mit einer dynamischen Governance behalten Unternehmen die Kontrolle über ihre SaaS-Landschaft – statt von ihr kontrolliert zu werden.

Leigh Martin ist Senior Director of Product Management bei Flexera.

Flexera

Lesen Sie auch

Female engineer analyzes complex data on multiple computer screens in high tech control room Specialist works, monitoring operation artificial intelligence, facility logistic, server monitor in

Cloud, eigenes Rechenzentrum oder Colocation?

Cloud computing services data storage security solutions for business it infrastructure management online access

Nachhaltige SaaS-Geschäftsmodelle ermöglichen

Eperi GmbH Umfrage US Clouds Vertrauen und Exit

Exit aus bestehenden Strukturen