Rechnungschaos entlarven: Der 90-Tage-Plan für SaaS

24 April 2026

8 Min. Lesezeit

SaaS-Sprawl ist 2026 in mittelständischen Cloud-Teams keine Theorie mehr, sondern eine spürbare Reibung in der monatlichen Kostenrechnung. Marketing, HR, Vertrieb und einzelne Engineering-Teams kaufen Tools per Kreditkarte, ohne dass IT, Einkauf oder FinOps davon wissen. Wer das systematisch ändern will, braucht keinen Big-Bang, sondern ein 90-Tage-Programm aus drei Bausteinen: Kreditkarten-Mining für Schatten-Käufe, SSO-Log-Abgleich für tatsächliche Nutzung und eine automatische License-Reclaim-Pipeline für ungenutzte Lizenzen. Der Praxischeck zeigt, wie sich das in einem mittelständischen Unternehmen mit 200 bis 2.000 Mitarbeitenden umsetzen lässt.

Das Wichtigste in Kürze

SaaS-Sprawl betrifft 2026 fast jeden Mittelständler. Schätzungen zeigen, dass IT-Abteilungen oft nur 60 bis 70 Prozent der tatsächlich genutzten SaaS-Anwendungen kennen.
Drei Bausteine bringen das Inventory in 90 Tagen auf einen belastbaren Stand: Kreditkarten-Mining, SSO-Log-Abgleich, automatische Lizenz-Wiedergewinnung.
Die Einsparungen liegen typischerweise zwischen 15 und 25 Prozent der jährlichen SaaS-Kosten, ohne Kompromisse bei produktiv genutzten Tools.
FinOps und Procurement müssen gemeinsam steuern. Ein Programm mit nur einer dieser Funktionen verfehlt den Hebel.
Werkzeuge wie Vendr, Tropic, BetterCloud, Productiv oder Zluri liefern den technischen Unterbau, der Erfolg hängt aber an der Prozessdisziplin.

Warum SaaS-Sprawl 2026 spürbarer wird

Was ist SaaS-Sprawl? SaaS-Sprawl beschreibt das unkontrollierte Wachstum von Cloud-Software-Lizenzen und Abonnements in einem Unternehmen, ohne dass die IT-, FinOps- oder Einkaufs-Funktion einen vollständigen Überblick hat. Anwendungen werden durch einzelne Mitarbeitende oder Teams per Kreditkarte gebucht, später auf Firmen-Konten überführt oder bleiben in Schatten-Strukturen. Die Folge sind redundante Lizenzen, ungenutzte Abos, fehlende Volumenrabatte und Compliance-Risiken bei Datenverarbeitung und Identity-Management.

Drei Treiber haben den Effekt 2026 verstärkt. Erstens: KI-Tooling. Jede Fachabteilung will Claude, Gemini, Copilot oder ein spezialisiertes Vertikal-Tool, oft parallel und ohne Abstimmung. Zweitens: konsolidierte Anbieter-Plattformen. Microsoft, Google und Salesforce verkaufen Bündel, die einzelne Tools intern überlagern. Wer nicht aufpasst, bezahlt das gleiche Tool zweimal. Drittens: Mitarbeiter-Wechsel. Jeder Abgang lässt typischerweise zwischen drei und sieben aktive SaaS-Lizenzen zurück, die nie deaktiviert wurden.

Die Größenordnung lässt sich für einen mittelständischen Betrieb gut beziffern. Ein Unternehmen mit 500 Mitarbeitenden gibt für SaaS-Tools im Schnitt zwischen 1,5 und 3,5 Millionen Euro pro Jahr aus. Ein gut geführtes SaaS-Sprawl-Audit holt davon 15 bis 25 Prozent zurück. Das sind 250.000 bis 875.000 Euro pro Jahr, die ohne Tool-Funktionsverlust ins eigene Budget zurückfließen. Die Investition in das 90-Tage-Programm liegt typischerweise im niedrigen sechsstelligen Bereich. Der ROI ist damit innerhalb des ersten Jahres erreichbar.

60-70 %

der genutzten SaaS-Anwendungen sind IT typischerweise bekannt

15-25 %

Einsparpotenzial bei systematischem Audit

90 Tage

Pilot-Phase für ein erstes belastbares Inventory

KENNZAHL

3,5 Millionen Euro

pro Jahr aus. Ein gut geführtes SaaS-Sprawl-Audit holt davo

KENNZAHL

70 Prozent

der tatsächlich genutzten SaaS-Anwendungen kennen. Drei B

KENNZAHL

25 Prozent

der jährlichen SaaS-Kosten, ohne Kompromisse bei produktiv

Baustein 1: Kreditkarten-Mining für Schatten-Käufe

Die einfachste und oft wirkungsvollste Quelle ist die Kreditkarten-Abrechnung. Mitarbeitende kaufen SaaS-Tools auf Firmen-Kreditkarten, häufig im Bereich von 10 bis 200 Euro pro Monat. Wer die letzten 24 Monate Kreditkarten-Abrechnungen systematisch durchsucht, findet Dutzende bis Hunderte von Anbietern, die nirgends in der zentralen IT-Landschaft auftauchen. Tools wie Vendr, Tropic oder Zluri bieten dafür automatisierte Mining-Pfade, die Anbieter-Namen aus Kreditkarten-Buchungen extrahieren und gegen interne SaaS-Datenbanken abgleichen.

Ein typisches Vorgehen sieht so aus: Die Buchhaltung liefert Kreditkarten-Daten der letzten 24 Monate als CSV. Ein Mining-Skript oder ein spezialisiertes Tool gruppiert nach Anbieter, Häufigkeit und Volumen. In zwei bis vier Wochen entsteht eine Liste von 50 bis 300 SaaS-Anbietern. Jeder Anbieter wird einem Verantwortlichen zugeordnet und gegen die zentrale Asset-Datenbank gespiegelt. Doppelbuchungen, eingestellte Tools und Schatten-Lizenzen werden sichtbar. Die Erstreaktion in vielen Häusern ist Überraschung über die Liste-Länge.

Die kulturelle Nebenwirkung ist nicht zu unterschätzen. Wer Kreditkarten-Mining sauber kommuniziert, vermittelt Mitarbeitenden ein Gefühl der Verantwortung, ohne sie als Einkaufs-Sünder zu brandmarken. Eine offene Tonalität „wir wollen die echte Nutzung sehen, nicht euch fangen“ trägt das Programm. Wer mit Misstrauen einsteigt, verliert die Mitwirkung der Fachbereiche und damit den größten Hebel.

„SaaS-Sprawl ist 2026 in mittelständischen Cloud-Teams keine Theorie mehr, sondern eine spürbare Reibung in der monatlichen Kostenrechnung.“

Baustein 2: SSO-Log-Abgleich für tatsächliche Nutzung

Die zweite Datenquelle ist das Single-Sign-On-System. Identity-Provider wie Okta, Microsoft Entra, Google Workspace oder Auth0 protokollieren, welcher Mitarbeitende sich wann an welcher Anwendung anmeldet. Wer diese Logs gegen das Lizenz-Inventar abgleicht, sieht zwei wichtige Muster. Erstens: Tools, die zwar lizenziert, aber selten oder nie genutzt werden. Zweitens: Tools, die intensiv genutzt werden, aber nicht im Lizenz-Inventar stehen, etwa weil sie über Free-Tier-Konten laufen.

Beide Muster führen zu konkreten Maßnahmen. Ungenutzte Lizenzen können in der nächsten Vertrags-Verhandlung reduziert werden, oft mit signifikanten Einsparungen. Free-Tier-Anwendungen mit hoher Nutzung sollten in formelle Lizenz-Verträge überführt werden, sowohl aus Compliance-Gründen als auch zur Datensicherung. Wer diesen Schritt nicht macht, lässt seine kritischen Geschäftsdaten in unkontrollierten Drittsystemen liegen.

Der technische Aufbau ist überschaubar. Eine wöchentliche Datenextraktion aus dem SSO-System, ein Mapping gegen die SaaS-Inventory-Datenbank und ein Dashboard mit Nutzungs-Profilen pro Tool und pro Mitarbeiter-Gruppe reichen aus. Anbieter wie Productiv, BetterCloud und Zluri haben fertige Integrationen für die gängigen IDPs. Wer eine knappe IT-Mannschaft hat, kommt mit einem Standard-Tool schneller zum Ergebnis als mit einer Eigenentwicklung.

Baustein 3: Automatische License-Reclaim-Pipeline

Der dritte Baustein adressiert den Lebenszyklus. Lizenzen, die einer ausgeschiedenen Mitarbeiterin zugeordnet waren, müssen automatisch deaktiviert oder einer anderen Person zugewiesen werden. Lizenzen, die seit 60 Tagen nicht genutzt wurden, sollten automatisch markiert und nach 90 Tagen entzogen werden. Diese Pipeline funktioniert nur, wenn HR, IT und FinOps an einem gemeinsamen Datenmodell arbeiten.

Die typische Architektur kombiniert HR-Stammdaten (Eintritt, Austritt, Position-Wechsel) mit SSO-Aktivität, Lizenz-Inventar und Workflow-Engines wie ServiceNow, Atlassian Jira Service Management oder ähnlichen Tools. Wer das aufbaut, automatisiert die Wiedergewinnung von Lizenzen und reduziert manuelle Steuerung deutlich. In den ersten sechs Monaten lassen sich ohne Mehraufwand zwischen 5 und 15 Prozent der bestehenden Lizenzen reclaimen.

Wichtig ist die Eskalationskette. Eine Lizenz wird nicht ohne Vorwarnung entzogen, sondern mit einer 14-tägigen Karenzfrist und einer Benachrichtigung an die nutzende Person und ihren Vorgesetzten. Wer das nicht beachtet, baut Frustration auf und verliert die Akzeptanz des Programms. Die Disziplin in der Eskalation entscheidet über den Erfolg, mehr als die Reife des Tools.

Was ein gutes SaaS-Sprawl-Audit liefert

Belastbares Inventory aller SaaS-Anwendungen mit Anbieter, Lizenzanzahl und Vertrag
Nutzungs-Profil pro Anwendung und pro Mitarbeiter-Gruppe
Lizenz-Reclaim-Pipeline mit klaren Eskalationsstufen
FinOps-Reporting an Geschäftsführung mit konkreten Einsparpfaden

Was ein SaaS-Sprawl-Audit nicht löst

Kulturelle Probleme bei Einkaufs-Disziplin in Fachbereichen
Sicherheitslücken in einzelnen SaaS-Anbietern
Den Aufbau einer KI-Strategie für die nächsten zwei Jahre
Den Wechsel auf eine konsolidierte Plattform ohne Begleitung

Ein 90-Tage-Programm für FinOps und Procurement

Drei Monate reichen für einen ersten belastbaren Stand. Die folgenden Meilensteine haben sich in mehreren mittelständischen Cloud-Teams als realistischer Rhythmus gezeigt.

Woche 1-2

Set-up. Sponsoring durch Geschäftsführung sichern, Programm-Lead aus FinOps und Procurement benennen, Tool-Auswahl treffen, Datenzugriffe mit Buchhaltung und IT abstimmen.

Woche 3-4

Kreditkarten-Mining. Letzte 24 Monate Kreditkarten-Daten extrahieren, Anbieter aggregieren, Schatten-Käufe identifizieren. Erste Liste an Verantwortliche kommunizieren.

Woche 5-7

SSO-Log-Abgleich. Identity-Provider-Logs mit Lizenz-Inventory abgleichen, Nutzungs-Profile erstellen, Free-Tier-Anwendungen identifizieren. Ergebnisse mit Fachbereichen besprechen.

Woche 8-9

Vertragsanalyse. Bestehende SaaS-Verträge mit Laufzeiten, Kündigungsfristen und Bündelungsoptionen analysieren. Top-10-Verträge für Verhandlungs-Pipeline identifizieren.

Woche 10-11

License-Reclaim-Pipeline. Workflow für ungenutzte Lizenzen aufsetzen, HR-Daten anbinden, Kommunikations-Vorlagen erstellen, erste Reclaim-Welle starten.

Woche 12

Reporting und Roll-out. Einsparpotenzial quantifizieren, Reporting an Geschäftsführung, Folgepfad für die nächsten 6 Monate festlegen, Tool und Prozess in den Regelbetrieb überführen.

Was Cloud-Teams nach den ersten 90 Tagen lernen

Die Erfahrungen aus den ersten Programmen sind in vielen Häusern überraschend ähnlich. Drei Lessons treten besonders hervor. Erstens: Die Liste der gefundenen SaaS-Anbieter ist immer länger als erwartet. Eine Verdopplung der vorab geschätzten Anzahl ist nicht ungewöhnlich. Geschäftsführungen sollten sich auf diese Überraschung einstellen und nicht in den ersten Defensiv-Reflex verfallen.

Zweitens: Die Einsparungen kommen weniger aus Tool-Abschaltungen als aus Volumen-Bündelung. Wer drei Marketing-Tools mit ähnlichen Funktionen hat, verhandelt selten erfolgreich auf Tool-Reduktion, weil Fachabteilungen Lieblings-Werkzeuge verteidigen. Wer hingegen die Vertragslaufzeiten auf einen gemeinsamen Renewal-Punkt bringt und mit jedem Anbieter einen verbesserten Preis verhandelt, holt das Einsparpotenzial systematisch ab.

Drittens: Die kulturelle Wirkung ist mindestens so wertvoll wie die finanzielle. Mitarbeitende, die Teil eines transparenten Programms sind, kaufen in den nächsten Monaten bewusster ein. Sie melden Tools rechtzeitig an, prüfen Free-Tier-Optionen kritischer und akzeptieren formelle Beschaffungs-Wege. Wer das einmal etabliert hat, vermeidet 80 Prozent der zukünftigen Sprawl-Effekte.

Für die Geschäftsführung lohnt eine zusätzliche Beobachtung. SaaS-Sprawl-Audits liefern oft Hinweise auf strukturelle Themen jenseits der Lizenz-Frage. Wenn drei Marketing-Teams unabhängig dieselbe Software gekauft haben, gibt es ein Kommunikations-Problem. Wenn Engineering ständig SaaS-Tools für Aufgaben kauft, die in der internen Plattform fehlen, gibt es ein Plattform-Problem. Die FinOps-Maturity-Diskussion bekommt durch SaaS-Sprawl-Audits eine konkrete Fall-Sammlung. Beides hängt eng zusammen.

Wie das Programm in den Regelbetrieb übergeht

Nach den ersten 90 Tagen entscheidet die Übergangs-Phase über den Langfrist-Erfolg. Drei Bausteine sichern den Regelbetrieb. Erstens: ein dauerhaftes FinOps-Procurement-Forum mit monatlicher Steuerung und einem festen Budget. Zweitens: eine quartalsweise Berichtslinie an die Geschäftsführung mit drei klaren KPIs. Drittens: eine Verankerung in den Beschaffungs-Richtlinien des Hauses, die jeden neuen SaaS-Kauf an einen kurzen, aber verbindlichen Genehmigungs-Workflow bindet.

Ein typischer KPI-Satz für die Geschäftsführungs-Sicht umfasst Anzahl aktiver SaaS-Anwendungen, durchschnittliche Lizenz-Auslastung und SaaS-Kosten als Prozent des IT-Budgets. Diese drei Zahlen reichen für eine schnelle Quartalseinschätzung. Wer eine Trendlinie über vier Quartale aufbauen kann, hat ein belastbares Steuerungsinstrument. Im Mittelstand 2026 ist genau diese Trendlinie das eigentliche Ziel des Programms, nicht ein einmaliger Audit-Bericht.

Eine ergänzende Beobachtung lohnt für die Vorstandskommunikation: Cloud-Teams, die SaaS-Sprawl-Audits routiniert fahren, gewinnen Argumente für die nächste IT-Budget-Verhandlung. Ein dokumentierter Einsparungs-Track ist im CFO-Gespräch wirksamer als jede abstrakte Effizienz-Beteuerung. Wer das Reporting bewusst aufbaut, baut sich einen weichen Hebel für die nächste Investition in Plattform, Tooling oder Talent.

Häufige Fragen

Welche Tools eignen sich für ein erstes SaaS-Sprawl-Audit?

Im Mittelstand sind Zluri, Productiv, BetterCloud und Tropic etablierte Wahl. Vendr fokussiert stärker auf die Verhandlungs-Seite. Wer mit knappen Mitteln startet, kann den ersten Audit auch mit einer Excel-basierten Auswertung der Kreditkarten-Daten und einem manuellen SSO-Log-Abgleich machen.

Wie groß muss das Programm-Team sein?

Ein FinOps-Lead, ein Procurement-Verantwortlicher und eine IT-Schnittstelle reichen für die ersten 90 Tage. Bei größeren Häusern lohnt zusätzlich eine Person aus HR für die Lebenszyklus-Komponente. Externer Support kann sinnvoll sein, ersetzt aber nicht das interne Programm-Team.

Wie verhält sich SaaS-Sprawl zur EU-AI-Act-Compliance?

Eng. KI-haltige SaaS-Anwendungen fallen unter EU AI Act, sobald sie in regulierten Prozessen genutzt werden. Wer kein vollständiges Inventory hat, kann nicht belegen, welche KI-Anwendungen im Haus laufen. Eine SaaS-Sprawl-Inventur ist damit auch ein Compliance-Baustein, nicht nur ein Kostenthema.

Wie häufig sollte ein SaaS-Inventory aktualisiert werden?

Mindestens monatlich automatisiert, mit einem strukturierten Quartals-Review durch FinOps und Procurement. Bei großen Vertrags-Renewals lohnt zusätzlich eine separate Detailanalyse drei Monate vor Verlängerung.

Welche Risiken bringen Schatten-SaaS-Käufe konkret?

Datenschutz-Lücken, weil Datenverarbeitungs-Verträge fehlen. Identity-Risiken, weil Konten ohne SSO laufen. Compliance-Befunde, weil Verträge nicht den Standardklauseln entsprechen. Außerdem fehlende Volumen-Rabatte und Audit-Probleme bei Wirtschaftsprüfern.