Grundsatz SaaS-Anwendung

Grundsätzlich gehen wir davon aus, dass der Anbieter das SaaS-Modell verstanden hat und entsprechend seine Fachanwendung für diesen Bereich (weiter-)entwickelt hat. Von Anwendungen, die heute noch auf eigene Serverinfrastruktur setzen, ist im KMU-Bereich möglichst abzusehen. Die Gründe sind mannigfaltig, gerne erläutern wir diese im persönlichen Gespräch.

Zwingende Anforderungen

SSO Integration

Single Sign-on (SSO) bedeutet, dass Sie als Benutzer nach einer einmaligen Authentifizierung an ihrem Arbeitsplatz in der Lage sind auf Dienste zuzugreifen, ohne ihre Zugangsdaten persönlich eingeben müssen. Bei SSO wird das Vertrauensverhältnis zwischen dem Serviceanbieter und dem Identitätsdienst (Microsoft) sichergestellt.

 Ihr Vorteil:

• Sichere Anmeldung ohne Passwort
• Nur ein Login erforderlich
• MFA-Anforderung implizit abgedeckt

Zwingende Mehrfaktorauthentifizierung (MFA)

Sollte eine SSO-Integration nicht möglich sein, muss die Anwendung mindestens eine eigene Mehrfaktorauthentifizierung unterstützen. Diese ist mindestens mit einem zweiten Faktor via SMS / E-Mail abgedeckt. Besser sind Integrationen mit gängigen "Authenticator-Apps" wie bspw. Microsoft Authenticator oder Google Authenticator.

Backup

Beim Bezug einer SaaS-Dienstleistung ist nicht garantiert, dass der Anbieter ihre Daten auch automatisch sichert. Erkundigen Sie sich daher beim Anbieter über die vorliegenden Backup Richtlinien und Möglichkeiten, welche für ein Backup zu Verfügung stehen. Ganz wichtig ist die Frage: Wie lange werden Ihre Daten vorgehalten, für wie lange zurück lassen sie sich wiederherstellen?

Datenhaltung

Je nach Art der Daten bestehen rechtliche Anforderungen an den Aufbewahrungsort resp. an die Datenhaltung. Sollten die Daten in einem Rechenzentrum im Ausland gespeichert werden, muss der Dienstleister denselben rechtlichen Anforderungen entsprechen, welcher auch Schweizer Unternehmen unterliegen. Nach aktueller Rechtsprechung unterliegen Daten in der Cloud der Gesetzgebung desjenigen Landes, in dem das Rechenzentrum steht. Führen Sie daher vorgängig ausführliche Abklärungen durch wo ihre Daten abgelegt werden und was das in Bezug auf die Vertraulichkeitspflicht bedeutet. 

Integrationsfähigkeit

Stellen Sie sicher, dass sich die Applikation gut in die bestehende Systemlandschaft integrieren lässt. 

Vermeiden Sie die Bildung von zu vielen Datensilos/Insellösungen.  Als Insellösungen werden Systeme bezeichnet, die nur innerhalb des eigenen Systems wirksam sind und nicht in der Lage sind mit verwandten Systemen zusammenzuwirken. Dadurch werden Sie gezwungen ähnliche Informationen in Diversen verschiedenen Plattformen zu betreuen und müssen versuchen sicherzustellen, dass der Informationsstand überall identisch ist. Das kann zu einem hohen Administrativen aufwand führen.

Ergänzende Anforderungen

API-Schnittstellen

Um später und bei Automatisierungsbemühungen einfacher auf die Lösung zuzugreifen, bietet sie sogenannte API-Schnittstellen an. Damit kann via Automatisierungswerkzeuge wie bspw. Power Automate oder andere Lösungen, welche in der Lage sind, Web-Aufrufe abzusetzen, auf die Lösung zugegriffen werden.

Moderne Add-Ins oder serverbasierender Austausch

Oft "gaukeln" Anwendungen den Evaluierenden vor, sich "optimal in Microsoft 365" zu integrieren - meinen damit aber bspw. ein handgestricktes Outlook Add-In oder sonstige Integrationen und Agenten, die auf Endgeräten angewendet werden müssen. Zum einen haben sich diese Integrationsbausteine in der Vergangenheit oft als sehr instabil und fehleranfällig herausgestellt. Der versprochene Funktionsumfang ist zwar eigentlich vorhanden, oft aber dermassen unzuverlässig im Betrieb, dass er praktisch doch nicht existiert. Zum anderen berücksichtigt diese Integrationsmethode nicht, dass heutzutage oft von mobilen Anwendungen oder aus Webbrowsern auf die Umgebung zugegriffen wird. Moderne Integrationen betten sich also entweder via Webschnittstelle ein (im Bereich Outlook wären das so genannte Office Add-in) oder setzen direkt auf serverbasierter Austausch (siehe auch API-Schnittstellen). Die Plattform von Office wird auch hier näher beschrieben: Office Add-ins platform overview - Office Add-ins | Microsoft Docs 

Integration unterstützt MFA

Zugriffmethoden und Integrationen, die in die Microsoft 365 Plattform integrieren dürfen nicht mehr mit Benutzername / Passwort zugreifen. Dies verletzt die Sicherheitsstandards in hohem Masse, da oft diesen Anwendungen zusätzliche Rechte gewährt werden müssen. Somit landen wir oft im Paradoxon, dass wir alle Anwender zu Zweifaktorauthentifizierung und zusätzlichen Sicherheitsauflagen "verdonnern", die technischen Benutzer aber ohne zweiten Faktor mit erhöhten Rechten auf die Umgebung zugreifen. 

Somit müssen Integrationen und Zugriffe von Fachanwendungen auf Microsoft 365 (und somit den gesamten Benutzerstamm) eine der beiden Methoden unterstützen:

• Azure Enterprise Applications
• Azure App Registrations

Hinweise zum Vorgehen

Bitte beachten Sie, dass die Auswahl eines guten Anbieters Zeit in Anspruch nimmt. Eine Selektion unter Zeitdruck ist der Sache langfristig oft nicht dienlich, da - einmal angeschafft - die Organisation mit dem Werkzeug / der Anwendung leben muss. Oft werden dann bereits getätigte Aufwände und Investitionen in eine Lösung zum - wenn auch schlechten, so doch immer verargumentierten - Hauptgrund, dass die Lösung weiterläuft. Insbesondere Produkte mit hohen Wechselbarrieren (Locked-In-Effekte), stellen eine Sackgasse dar, wenn die Lösung nicht zufriedenstellend funktioniert.

Wenige Lösungen unterstützen alle Punkte vom oben genannten Funktionsaufwand. Dann gilt es abzuschätzen, welche Lösungen künftig das Potenzial besitzen könnten, den Umfang am ehesten zu erreichen. Und auf welche Anforderungen man zugunsten einem aus anderen Gründen favorisierten Anbieter verzichtet.