Schatten-IT, Feature-Bloat & Auto-Renewals: So entgleiten Unternehmen ihre SaaS-Kosten

1 Juli 2025

SaaS wirkt einfach – ist aber oft eine Kosten- und Sicherheitsfalle. Ohne Übersicht über Nutzung, Verträge und Schatten-IT drohen unnötige Ausgaben und Risiken. Wer SaaS wirklich steuern will, kommt an einem modernen Software-Asset-Management nicht vorbei.

„Für SaaS benötigt man kein Software Asset Management.“ Dieser Satz erweist sich in der Praxis schnell als Trugschluss. Dabei scheint Software-as-a-Service zunächst wie das Heilmittel zu komplexen Lizenzmodellen: keine Installationen mehr auf lokalen Systemen, keine komplexen Lizenzmetriken, Wartung und Support sind oft enthalten – stattdessen einfache Subscriptions, monatlich kündbar, schnell aktiviert und fix über die Kreditkarte abgerechnet.

Wer jedoch glaubt, SaaS sei „lizenzfrei“ oder selbstverwaltend, verkennt die Risiken, die sich durch die Verlagerung von Software in die Cloud ergeben. Der Kontrollverlust droht an allen Ecken und die Schatten-IT wächst und wächst.

Denn je stärker Unternehmen auf SaaS setzen, desto größer werden die Herausforderungen im Hinblick auf Transparenz, Kosten und Compliance. Was bisher zentrale IT-Beschaffung und dedizierte Lizenzmanager verwaltet haben, entzieht sich heute zunehmend dem Einfluss klassischer IT- und SAM-Strukturen. Was als „Business-Agilität“ gefeiert wird, birgt in Wahrheit erhebliche Risiken: Verträge laufen unbemerkt weiter, Lizenzen bleiben ungenutzt und sensible Daten liegen in nicht autorisierten Systemen.

Für IT-Verantwortliche ist es folglich wichtiger denn je, das eigene Verständnis von SAM grundlegend zu hinterfragen.

1.     Wie funktioniert SaaS-Discovery?

Klassisches Software-Asset-Management wurde in einer Ära entwickelt, in der Software fest an Hardware gekoppelt war. Die Methodik war klar: Agentenbasierte Inventarisierung erfasste, welche Software auf welchen Geräten installiert war. Diese Daten wurden mit Einkaufshistorien abgeglichen, um sogenannte „Effective License Positions“ (ELPs) zu berechnen – also den Abgleich von Nutzung und Berechtigung. Ziel war es, gegenüber den Softwareherstellern möglichst auditfest aufgestellt zu sein.

Doch dieses Modell basiert auf drei Annahmen, die in der SaaS-Welt schlicht nicht mehr existieren:

  1. Es gibt keine lokalen SaaS-Installationen
    SaaS-Anwendungen werden über den Browser oder dedizierte Webservices bereitgestellt. Die Software hinterlässt keine klassische „Installationsspur“ im System – weder im Dateisystem noch in der Registry. Agentenbasierte Tools, die auf dem Scannen von Geräten basieren, erfassen diese Anwendungen nicht.
  2. Lizenzen sind nicht mehr an Hardware, sondern an Identitäten gebunden.
    Die Lizenzierung erfolgt in der Regel nutzerbasiert – oft granular nach Rolle, Funktionsumfang oder sogar Nutzungsintensität. In der SaaS-Welt benötigt man Einblicke in Anmeldeverhalten, Feature-Nutzung und Mandantenstrukturen – Daten, die nicht aus einem Geräteinventar, sondern aus APIs, SSO-Systemen oder Admin-Konsolen stammen.
  3. Fachbereiche kaufen eigenständig ein – Schatten-IT wird zur Regel
    In vielen Unternehmen nutzen Vertrieb, Marketing oder HR ihre Budgets, um sich direkt mit Tools wie HubSpot, Miro, Canva oder Asana zu versorgen – oft im Rahmen von Testversionen oder günstiger Einzellizenzen – oft ohne dass IT, Einkauf oder Security davon wissen.

    Ein Labyrinth als Symbol für die verworrenen IT Strukturen in Unternehmen

    Der Versuch, sich einen Überblick über eingesetzte IT-Systeme zu verschaffen, gleicht oft einem Labyrinth. Quelle: Unsplash / Susan Q Yin.

Entsprechend führt der Versuch sich ein klares Bild über die eigene SaaS-Landschaft zu verschaffen, schnell in ein Labyrinth aus technischen, organisatiorischen und rechtlichen Unschärfen.  In der Praxis haben sich deshalb zwei komplementäre Herangehensweisen als zielführend erwiesen:

  1. Technische Analyse – die Sicht auf die Nutzung:
    Moderne SaaS-Discovery-Tools setzen auf Integrationen mit SSO-Systemen (z. B. Azure AD, Okta), API-Schnittstellen zu SaaS-Providern oder Netzwerkmonitoring per Proxy. Ziel ist es, Login-Daten, Nutzerzahlen, Funktionsnutzung oder aktivierte Subscriptions zu erfassen – möglichst in Echtzeit.
  2. Finanzielle Analyse – „Follow the Money“:
    Oft beginnt die SaaS-Transparenz dort, wo die Buchhaltung hinschaut: bei Kreditkartenabrechnungen, Dienstleisterrechnungen oder Expense Reports. Wer Ausgaben mit Bezeichnungen wie „Cloud Services“, „Produktivitätstools“ oder gar „Reisekosten“ systematisch analysiert, erkennt häufig Schattenabos, ungeplante Verlängerungen oder redundante Tools.

2.     Warum Rightsizing wichtiger ist als Compliance

SaaS-Lizenzen sind nicht mehr an Installationen gebunden, sondern an das tatsächliche Nutzerverhalten. Die typsiche Software-Compliance gegenüber den Herstellern rückt in den Hintergrund – Kostenfragen werden relevanter denn je. Die zentrale Frage lautet nicht: „Ist das installiert?“, sondern: „Wird es wirklich genutzt – und wenn ja, wie intensiv?“

Typische Risiken entstehen durch fehlende Transparenz: Lizenzen bleiben aktiv, obwohl sie nicht mehr gebraucht werden – das System zählt weiter, die Kosten steigen. Häufig wird vorsorglich zur teureren Variante gegriffen (Feature-Bloat), ohne zu prüfen, ob die Funktionen überhaupt benötigt werden. Und ohne zentrale Übersicht verlängern sich viele Lizenzen automatisch – auch wenn Projekte längst abgeschlossen oder Mitarbeitende das Unternehmen verlassen haben.

Der wirksamste Hebel dagegen: Real Usage Data. Nur wer versteht, wie, wie oft und von wem ein Tool genutzt wird, kann fundierte Entscheidungen treffen:

  • Wer loggt sich wie häufig ein?
  • Welche Funktionen werden tatsächlich verwendet?
  • Gibt es ungenutzte, aber kostenpflichtige Add-ons?
  • Welche Accounts lassen sich zusammenlegen oder kündigen?

 

Das sind die Fragen, die man nun beantworten muss. 

3.     Was ist mit der Sicherheit?

Mit jeder SaaS-Anwendung, die im Unternehmen genutzt wird, verlassen Daten das eigene Netzwerk. Kundendaten, Finanzinformationen, interne Kommunikation – all das liegt nicht mehr auf eigenen Servern, sondern in den Rechenzentren Dritter.

Die fehlende Transparenz ist ein ernstzunehmendes Risiko: DSGVO-Verstöße, verwaiste Zugänge und Schatten-Accounts

Diese Realität fordert für Software-Asset Verantwortliche ein Umdenken. Das Spielfeld hat sich verändert: SAM muss raus aus der Compliance-Ecke und hinein in die strategische Steuerung von IT-Kosten, Nutzung und Risiken. So lassen sich Sicherheit erhöhen, Schatten-IT eindämmen und fundierte Entscheidungen über der Softwarelandschaft treffen.

 

Quelle Titelbild: Unsplash / Christina @ wocintechchat.com

 
SaaS Schatten-IT Software
pArtikel drucken