SaaS-Bestände werden erst steuerbar, wenn Einkauf, SSO und Kostenstellen dieselbe Anwendung meinen

SaaS wächst in vielen Unternehmen nicht mehr über große Programme, sondern über viele kleine Entscheidungen. Ein Fachbereich testet ein Tool mit Firmenkarte, ein Team verlängert ein Abo direkt beim Hersteller, ein Produktbereich schaltet zusätzliche Nutzer frei, und die IT sieht davon oft nur einen Ausschnitt. Genau daraus entsteht das typische Problem: Einkauf, Identitätsplattform, Security und Controlling sprechen über „dieselbe“ Anwendung, meinen aber in der Praxis unterschiedliche Verträge, Tenants, Benutzergruppen oder Kostenstellen. Dann fehlt nicht nur Transparenz, sondern echte Steuerbarkeit.

Der Kernfehler liegt selten in einem fehlenden Dashboard. Er liegt darin, dass SaaS-Daten in getrennten Systemen leben. Das FinOps Framework für SaaS beschreibt genau diese Lage: Dezentrale Beschaffung, Kreditkartenausgaben, verschiedene Einkaufswege und verteilte Verantwortungen machen Softwarekosten erst dann belastbar steuerbar, wenn Vertrags-, Nutzungs-, Identitäts- und Kostendaten zusammengeführt werden. Wer nur Rechnungen betrachtet, sieht Geld. Wer nur SSO betrachtet, sieht Logins. Wer nur das Vertragsregister pflegt, sieht Laufzeiten. Für Entscheidungen im Betrieb braucht es aber die Verbindung dieser Sichten.

Warum SaaS-Inventare so oft zu früh als „fertig“ gelten

Viele Organisationen erklären ihr SaaS-Inventar für ausreichend, sobald eine Liste mit Herstellern und Monatskosten existiert. Operativ reicht das nicht. Ein belastbares Inventar muss mindestens fünf Fragen beantworten: Welche Anwendung ist im Einsatz? In welchem Tenant oder in welchen Instanzen? Wer ist fachlich verantwortlich? Über welchen Weg wurde eingekauft? Und welche Nutzer, Gruppen oder Integrationen hängen tatsächlich daran?

Gerade hier zeigen die verfügbaren Quellen die typische Lücke. Das FinOps Framework nennt Finanzdaten, SSO-Logs und CASB-Signale als wichtige Discovery-Quellen für Shadow SaaS. Nudge Security weist zusätzlich darauf hin, dass SSO-Integrationen zwar hochwertige Daten für bekannte Anwendungen liefern, aber längst nicht das gesamte Bild. Laut ihrer Marktbeobachtung landen nur ein Teil der Anwendungen sauber im zentralen SSO, während Fachbereiche, persönliche Registrierungen, Testzugänge und OAuth-Freigaben daneben weiterlaufen. Ein Inventar, das nur auf dem Identitätsprovider basiert, ist deshalb zwar ordentlich gepflegt, aber trotzdem unvollständig.

Warum Einkauf, Identität und Finance zusammengehören

Praktisch wird SaaS-Steuerung erst dann, wenn drei Datenachsen zusammenlaufen. Die erste Achse ist der Einkauf: Vertrag, Laufzeit, Kündigungsfrist, Preismodell, Reseller oder Direktbezug. Die zweite Achse ist Identität und Zugriff: SSO angebunden oder nicht, lokale Konten, privilegierte Admins, Gruppen, OAuth-Scopes und Offboarding-Pfade. Die dritte Achse ist Finance: Kostenstelle, Produktbezug, Showback oder Chargeback, aktive Nutzer und Verbrauchsspitzen.

Ohne diese Verknüpfung entstehen typische Fehlentscheidungen. Ein Vertrag wird automatisch verlängert, obwohl die aktive Nutzung längst gefallen ist. Ein Tool erscheint als „kritisch“, weil viele Rechnungen daran hängen, obwohl nur ein kleiner Teil produktiv genutzt wird. Oder ein Fachbereich kündigt ein Abo, während noch Integrationen, Servicekonten oder historische Datenabhängigkeiten im Betrieb weiterlaufen. Flexera beschreibt dieses Muster treffend: Mehrere Discovery-Methoden, darunter Browser-Signale und Finanzdaten, seien nötig, um sowohl sanktionierte als auch unsichtbar gewachsene SaaS-Nutzung wirklich zu erkennen. Genau das ist die operative Pointe: Kein einzelnes System kennt die Wahrheit allein.

Ein belastbares Betriebsmodell für SaaS-Bestände

Für IT-Management und Service-Verantwortliche bewährt sich ein einfaches Zielbild: Jede relevante SaaS-Anwendung braucht einen Datensatz, der Beschaffung, Identität, Nutzung und Kosten logisch zusammenführt. Dazu gehören mindestens ein fachlicher Owner, ein technischer Owner, die zugeordnete Kostenstelle, das Vertragsende, die Benutzerquelle, der Offboarding-Pfad und eine Aussage zur Kritikalität.

Zusätzlich sollte jede Anwendung in Klassen eingeordnet werden. Das FinOps Framework unterscheidet sinngemäß zwischen zentral wichtigen Kernanwendungen und dem langen Randbereich kleinerer Tools. Diese Trennung ist wichtig, weil nicht jede Anwendung denselben Governance-Aufwand braucht. Große Plattformen verlangen aktive Nutzungsanalysen, Rechteoptimierung, Renewal-Vorbereitung und klare Wirtschaftlichkeitsmetriken. Kleinere Tools brauchen vor allem Sichtbarkeit, Verantwortlichkeit und eine einfache Entscheidung, ob sie bleiben, konsolidiert oder abgeschaltet werden.

Hilfreich ist dabei ein monatlicher Kontrollzyklus mit vier festen Fragen:

• Welche Anwendungen sind neu aufgetaucht und in welchem Kanal wurden sie entdeckt?
• Welche Verträge oder Kreditkartenausgaben laufen in die nächste Verlängerungsphase?
• Wo passen aktive Nutzung, Lizenzmenge und Kostenstelle nicht zusammen?
• Bei welchen Anwendungen fehlen noch Owner, Offboarding-Regeln oder SSO-Anbindung?

Damit wird aus einer statischen Liste ein steuerbarer Prozess.

Woran Teams in der Praxis zuerst scheitern

Die größten Reibungen entstehen selten an der Technik, sondern an Zuständigkeiten. Procurement sieht die kommerzielle Seite, IAM sieht Konten und Gruppen, Security schaut auf Datenzugriffe, und Finance interessiert sich für Kostenstellen und Forecasts. Wenn niemand die Anwendung als ganzes Betriebsobjekt betrachtet, bleiben Lücken zwischen den Teams. Besonders kritisch wird das bei persönlichen Registrierungen mit Firmenadresse, bei kostenlosen Plänen mit späterem Upgrade und bei Tools, die erst über Browsernutzung oder Ausgaben im Spesenprozess sichtbar werden.

Ein zweiter häufiger Fehler ist die Überschätzung von SSO. Nudge Security beschreibt das sehr klar: SSO liefert starke Daten für gemanagte Anwendungen, verfehlt aber viele Anwendungen, die nie angebunden wurden oder über andere Identitätswege laufen. Wer Steuerung nur an SSO koppelt, blendet gerade den Teil aus, der später bei Offboarding, Audit oder Renewal unangenehm wird.

Der dritte Fehler betrifft die finanzielle Sicht. Das FinOps Framework fordert nicht zufällig Showback oder Chargeback sowie die Zuordnung von SaaS-Kosten zu klaren Ownern. Solange Ausgaben unscharf im Zentralbudget liegen, fehlt der operative Druck, redundante Tools abzubauen, ungenutzte Lizenzen einzuziehen oder teure Nutzungsmuster zu hinterfragen.

Was jetzt konkret sinnvoll ist

Wer das Thema sauber aufsetzen will, braucht kein Mammutprojekt, sondern eine brauchbare erste Verbindung der vorhandenen Datenquellen. Ein pragmischer Start besteht darin, die zwanzig teuersten oder kritischsten Anwendungen zu nehmen und pro Anwendung vier Dinge zu prüfen: Vertragspfad, tatsächliche Nutzerquelle, verantwortliche Kostenstelle und dokumentierter Austritts- beziehungsweise Abschaltpfad. Schon diese kleine Übung deckt meist auf, wo Owner fehlen, wo Renewals unvorbereitet anlaufen und wo das zentrale IAM nur einen Teil der Wirklichkeit abbildet.

Im zweiten Schritt sollten neue Anwendungen nicht erst beim Audit, sondern schon beim Onboarding in dieses Modell fallen. Das heißt: keine Freigabe ohne benannten Owner, keine Verlängerung ohne Nutzungsbild, keine produktive Nutzung ohne Klarheit über Identität und Offboarding. So verschiebt sich die Steuerung von nachträglicher Inventur zu laufender Betriebsdisziplin.

Fazit

SaaS wird nicht dadurch steuerbar, dass irgendwo eine Liste existiert. Steuerbar wird es erst, wenn Einkauf, SSO, Security und Kostenstellen dieselbe Anwendung auch wirklich als dasselbe Objekt behandeln. Dafür braucht es ein Inventar, das Verträge, Nutzer, Zugriffe, Kosten und Verantwortung zusammenführt. Genau dann werden Renewal-Entscheidungen besser, Shadow SaaS sichtbarer, Offboarding belastbarer und Budgets ehrlicher. Wer das Thema jetzt operativ fasst, reduziert nicht nur Kosten, sondern auch unnötige Überraschungen im laufenden IT-Betrieb.

Quellen

• FinOps Foundation: FinOps for SaaS
• Flexera: Mitigate Risks with Shadow IT Discovery and Management
• Nudge Security: SaaS discovery tools compared