Software-as-a-Service

Software as a Service, kurz SaaS ist ein Modell zur Bereitstellung von Software über das Internet. Die angebotene Software ist speziell für den Einsatz als Webapplikation entwickelt und der Anbieter stellt diese nicht nur zur Verfügung, er ist auch für die Wartung und die Administration zuständig. Der Kunde nutzt die Anwendung über das Internet ohne sie zu besitzen, d.h. er bezahlt für die Nutzung der Anwendung, ohne diese zu kaufen. Je nach Anbieter können unterschiedliche Abrechnungsmodelle zum Einsatz kommen. Am meisten verbreitet ist eine Abrechnung pro Nutzer.

Ein wichtiger Faktor für SaaS-Lösungen ist der Einsatz von AJAX. SaaS-Lösungen geben dem Kunden das Gefühl mit einer Desktopanwendung zu arbeiten. Um das zu erreichen, ist die Verwendung der AJAX-Technologie notwendig.

Zu den Stärken des SaaS-Modells gehören die Flexibilität und Verfügbarkeit. Die Mitarbeiter eines Unternehmen können weltweit auf die Anwendungen und Daten zugreifen, was die Mobilität erhöht. Außerdem kann das Unternehmen jede Anwendung, die nicht mehr benötigt wird (zum Beispiel wenn ein Mitarbeiter aus dem Unternehmen ausscheidet oder ein Geschäftsfeld schließt), kündigen. Bei der Nutzung von SaaS-Angeboten können die Unternehmen außerdem die eigene IT-Infrastruktur minimieren. Für die Arbeit benötigt der Nutzer nur noch einen Browser. Die SaaS-Anwendungen sind auf eine einfache und leichte Bedienung ausgelegt, so dass die Akzeptanz bei den Benutzern hoch ist. Ein weiterer Vorteil betrifft die Datensicherung. Da die Speicherung der Daten auf dem Server des SaaS-Anbieter stattfindet, ist dieser auch für die Datensicherung (Backup) verantwortlich. Beim Einsatz von SaaS-Anwendungen entfällt die Notwendigkeit von lokalen Softwareupdates, da die Anwendung bei jeder Anmeldung neu vom Server geladen wird. Außerdem profitieren die Kunden von dem bereits verfügbaren Sicherheits-Know-How auf der Seite des SaaS-Anbieters. Mit SaaS haben auch kleine, nicht finanzkräftige Unternehmen die Möglichkeit, „Profisoftware“ zu benutzen.

Zu den Schwächen des SaaS-Modells nennen die Unternehmen in erster Linie die Abhängigkeit vom SaaS-Anbieter während der Vertragslaufzeit. Außerdem ist eine Abhängigkeit von einer funktionierenden Internetanbindung gegeben. Ein weiterer Punkt ist, dass der Kunde weniger Kontrolle über den Updateprozess hat. Trotz der beschriebenen Vorzüge von AJAX, kommt mit dem Einsatz von JavaScript aber auch eine Schwachstelle zum Tragen, denn JavaScript kann ein Sicherheitsrisiko darstellen.

Da es sich bei SaaS-Anwendungen um Webanwendungen handelt, ist es kein Problem, andere Applikationen zu integrieren. SaaS ist eine serviceorientierte Plattform und bietet Web Services in Form einer API an. Das bedeutet, dass Schnittstellen vereinheitlicht werden, um so die Möglichkeit zu schaffen, Anwendungen verschiedener Herkunft miteinander zu verknüpfen. Mit Hilfe von Web Services können Webanwendungen miteinander kommunizieren. Außerdem bieten diese SaaS-Anwendungen dem Kunden die Möglichkeit, seine Arbeitsumgebung über sogenannte Metadaten anzupassen.

SaaS ist der Nachfolger von Application Service Provider (ASP) und unterscheidet sich in einigen Punkten vom Vorgänger. Das ASP-Modell war im Gegensatz zum SaaS-Modell nicht mandantenfähig. Diese Architekturunterschiede haben in der Praxis einige Auswirkungen. Beim ASP steht jedem Kunden eine eigene Plattform zur Verfügung (1:1-Beziehung). Bei SaaS hingegen betreibt der Anbieter eine Plattform für alle Kunden (1:n-Beziehung), so dass zum Beispiel bei einem Softwareupdate die Arbeit nur einmal getätigt werden muss und nicht für jeden Kunden getrennt. Außerdem waren die ASP Lösungen in der Regel nicht für die Benutzung im Webbrowser konzipiert. Häufig wurde den ASP-Lösungen (meistens wurde Standard Software verwendet) erst im nachhinein die Möglichkeit eingebaut, sie im Browser zu benutzen oder es wurde ganz darauf verzichtet, weil die Anwendungen auch über Terminalserver genutzt werden konnten. Auch das ist bei SaaS-Angeboten anders. Diese sind speziell für den Einsatz im Web konzipiert und eine andere Art der Nutzung ist, zumindest bei „echten“ SaaS-Angeboten, von vorne herein ausgeschlossen. Gegenüber dem ASP-Modell ist SaaS weitergehender auf die Integration mit anderen Verfahren/Applikationen eingestellt und kann so auch den Ansatz einer Serviceorientierte Architektur (SOA) besser unterstützen. Ein Unternehmen könnte so auf "Mietbasis" seine Arbeitsabläufe/Prozesse durchgängiger gestalten. Ein Grund für das Scheitern des ASP-Modells sind die Kosten. Bei ASP-Lösungen waren sie oft höher als die vergleichbaren Kosten bei Inhouse-Lösungen. Dies hat nicht nur etwas mit den schon genannten Wartungskosten zu tun. Zu der Zeit waren auch die Kosten für die Internetnutzung im Vergleich zu heute hoch. Beim SaaS-Modell ist das anders.

Eng im Zusammenhang mit der Entwicklung von SaaS steht AJAX. Mit AJAX wurde es möglich, dem Kunden eine Webanwendung anzubieten, die sich wie eine Desktopanwendung anfühlt. Da erst 2005 alle gängigen Browser den XMLHttpRequest unterstützten, ist das die Zeit, in der AJAX und SaaS an Bedeutung gewannen.

Studien bzw. Umfragen zeigen deutlich, dass die Unternehmen aus Gründen der Sicherheit mit SaaS-Angeboten noch sehr vorsichtig sind bzw. SaaS-Angebote noch nicht im Einsatz haben. Da viele Unternehmen derzeit noch ausreichend mit gekaufter Software versorgt sind, mussten sie sich noch nicht mit Alternativen beschäftigen, was auch den niedrigen Bekanntheitsgrad erklärt. Das wird sich in den nächsten Jahren ändern. Die SaaS-Anbieter tun im Moment viel, um die Unternehmen mit ihrem Angebot zu erreichen. Wichtig ist, dass auch die Bedenken in Bezug auf die Sicherheit aus dem Weg geräumt werden können.

• Salesforce.com
• myfactory
• Skip5

Da die SaaS-Anwendungen mit AJAX programmiert werden, gelten für SaaS die gleichen Risiken, wie für JavaScript. Diese Probleme lassen sich jedoch umgehen, indem ein Browser in einer abgeschotteten Umgebung benutzt wird, also in einer Umgebung, in der nur der Browser läuft und kein ungesicherter Zugang zum Internet möglich ist. Wenn dieser Browser dann noch über eine verschlüsselte Verbindung oder einem Virtual Private Network den Zugang zum SaaS-Anbieter herstellt, der seinerseits sein System auch abgesichert hat, sind die möglichen Angriffspunkte minimiert. Der Vorteil einer VPN-Verbindung ist, dass beide Seiten vor dem Aufbau einer Verbindung den Schlüssel vereinbaren müssen und es sich somit nicht um einen öffentlichen Schlüssel handelt. Bei einem SSL-Zertifikat muss der Nutzer auf die Echtheit vertrauen. Bei einem Zertifikat kann der öffentliche Schlüssel direkt zwischen den Kommunikationspartnern ausgetauscht werden. Der öffentliche Schlüssel wird dann durch eine Signatur vor Veränderungen geschützt. Diese Signaturen werden zum Beispiel von Firmen wie VeriSign (Zertifizierungsstelle) ausgestellt. Bei einer Signatur erzeugt der Sender mit Hilfe einer Hash-Funktion eine Prüfsumme und verschlüsselt diese dann mit seinem privaten Schlüssel. Eine Signatur ist also eine verschlüsselte Prüfsumme.

Für Unternehmen, die ihre Daten auf dem Server eines SaaS-Anbieters speichern, ändert sich fast nichts. Auch wenn die Daten nicht mehr im eigenen Unternehmen gespeichert sind, bleibt das Unternehmen „Herr der Daten“. Das bedeutet auch, dass das Unternehmen die datenschutzrechtlichen Vorschriften im vollen Umfang beachten muss und die volle Verantwortung bezüglich der Zulässigkeit der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten trägt. Da in diesem Fall das Unternehmen dem SaaS-Anbieter seine Daten anvertraut, schreibt das Datenschutzgesetz vor, dass der SaaS-Anbieter sorgfältig auszuwählen ist. In der Praxis sichert sich das Unternehmen durch einen Vertrag mit dem SaaS-Anbieter ab, indem es den SaaS-Anbieter zur Einhaltung der Datenschutzvorschriften verpflichtet. Die vom Bundesdatenschutzgesetz vorgeschriebenen technischen und organisatorischen Maßnahmen, wie zum Beispiel die Zugriffskontrolle oder auch die Verfügbarkeitskontrolle, die die Daten vor Zerstörung oder Verlust schützen soll, müssen beiden Seiten einhalten. Um den Datenschutz zu sicherzustellen, muss immer auch die Datensicherheit gewährleistet sein. Außerdem muss geprüft werden, ob das Bundesdatenschutzgesetz die Auslagerung der Daten in das Land erlaubt, in dem der SaaS-Anbieter ansässig ist.

Jedes Unternehmen hat ein Interesse daran, die Daten vor Verletzung der Vertraulichkeit und oder Integrität zu schützen, die etwas mit dem Geschäftsbetrieb zu tun haben. Diese Daten sind zwar nicht gesetzlich geschützt, für ein Unternehmen aber von großer Bedeutung. Zu diesen schützenswerten Daten können, natürlich abhängig von der Branche, zum Beispiel auch Firmengeheimnisse in Form von Bauplänen oder Rezepturen, Einkaufspreise, Sicherheitspläne, Sicherheitsstrukturen, Verträge (zum Beispiel mit dem Wachdienst), Listen mit Informationen, welche Waren im Lager sind usw. gehören. Die Gesamtheit der vertraulichen Daten ist sehr groß. Und alle diese Daten sind bei der Nutzung von SaaS-Anwendungen hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität zu schützen.

Mit SaaS und der Nutzung der AJAX-Technologie ist es möglich, dem Kunden eine Software über das Internet anzubieten, die sich wie eine Desktopanwendung anfühlt. Da es sich bei Saas-Anwendungen um Webanwendungen handelt, ist die Integration von anderen Applikationen möglich. Der Kunde benötigt für die Nutzung eines SaaS-Angebots nur noch einen Browser und einen Internetzugang. Die Software wird vom SaaS-Anbieter bereitgestellt und die Daten werden auf dem Server des SaaS-Anbieters gespeichert. So sind die Daten und die Software weltweit erreichbar. Außerdem entfällt für das Unternehmen die Datensicherung. Hierfür ist der SaaS-Anbieter verantwortlich. Regelmäßige Updates entfallen für das Unternehmen ebenfalls, da bei jeder Nutzung der SaaS-Anwendung die Software neu geladen wird. Die klassischen Release-Zyklen von Softwareprodukten entfallen beim SaaS-Angebot, da Korrekturen schnell vorgenommen werden können und das Unternehmen immer mit dem aktuellen Stand der Anwendung arbeiten kann. Durch passende Sicherheitsmaßnahmen beim Unternehmen, beim SaaS-Anbieter und bei der Konfiguration der Internetverbindung, können Datenschutz und Datensicherheit gewährleistet werden. Das SaaS-Modell nehmen die Unternehmen noch nicht als Alternative zum klassischen Softwarekauf wahr. Trotzdem fangen große Firmen wie zum Beispiel Microsoft und Google an, den Kunden SaaS-Angebote zu unterbreiten oder bestehende Angebote auszubauen, d.h. sie rüsten sich für die Zukunft und setzten darauf, dass dieser Marktanteil wächst. Informationen in der Presse tragen das SaaS-Modell an die Kunden heran und es ist nur eine Frage der Zeit, bis ein Großteil der Unternehmen über SaaS Bescheid weiß. Die Sicherheitsbedenken der Kunden kann der SaaS-Anbieter nur durch gezielte Aufklärung und Gütesiegel abbauen. Professionelle und seriöse SaaS-Anbieter versuchen das bereits. SLA begrenzen das Risiko für den Kunden und den SaaS-Anbieter auf ein Minimum. Der Datenschutz und die Datensicherheit müssen sowohl vom Kunden als auch vom SaaS-Anbieter gewährleistet sein. Hier ändert sich für den Kunden nichts. Wichtig ist nur, dass der Kunde einen Anbieter findet, der seinen Bedürfnissen entspricht und dem er vertraut. Wenn das alles gewährleistet ist, stellt SaaS kein größeres Risiko dar als eine Inhouse Lösung.

• Deutschsprachiges SaaS-Informationsportal
• Artikel über SaaS von Andreas von Gunten
• Trendbarometer Verbreitung von SaaS in den Unternehmen
• Abschlussarbeit zum Thema Software as a Service im Unternehmen und den Aspekten Datenschutz und Datensicherheit