Sicherheitskriterien bei der Auswahl von ERP-Systemen

Jan Wollersheim, Christos Konstantinidis und Helmut Krcmar

Bei Auswahl und Anpassung von Software as a Service (SaaS) basierten ERP-Systemen (SaaS-ERP) kann auf bewährte und erprobte Kriterien zurückgegriffen werden. Dieser Beitrag strukturiert exemplarisch ausgewählte Sicherheits- und Risiko-Kriterien (S&R-Kriterien) anhand von fünf Perspektiven. Dabei wird zuerst die Auswahl und im Folgenden die Anpassung von SaaS basierten ERP-Systemen betrachtet.

Auswahl und Anpassung von ERP-Systemen sind aktuelle, stark diskutierte Themen. Beide reihen sich als Schritte nach dem Anforderungsmanagement ein. Die Auswahl beschränkt sich längst nicht mehr auf eine Make-or-Buy-Entscheidung. Spätestens mit dem Einzug von Cloud Computing erweitert sich der Entscheidungsraum um eine Rent-Alternative. Fällt die Entscheidung auf eine SaaS-basierte Lösung, treten neue Herausforderungen bei Auswahl und Anpassung des Systems auf. Es gilt die Brücke zwischen einem durch SaaS bedingten hohen Standardisierungsgrad und einem hohen Grad nötiger Unternehmensspezifität der ERP-Lösung zu schlagen.
SaaS ist ein On-Demand-Bereitstellungskonzept, das Geschäfts- und Privatkunden Zugang zu hochstandardisierten Diensten bzw. mandantenfähigen Anwendungen über das Internet ermöglicht [1]. Eine definitorische Einordnung bieten NIST [2], Hoberg et al. [3] und Böhm et al. [4]. Entgegen zahlreichen Studien, die einen Durchbruch für SaaS-ERP vorhersagen, bleibt ihr Erfolg noch aus. SaaS-ERP weisen eine höhere Spezifität als andere SaaS-Lösungen auf, bedingt durch den hohen Anpassungsbedarf von Unternehmen an ihre ERP-Systeme. Ängste vor zu geringen Anpassungsmöglichkeiten und somit zu geringer Flexibilität erhöhen die Adoptionsunsicherheit und hemmen die SaaS-Nutzung bei Unternehmen. Dennoch planen 18% deutscher Unternehmen SaaS-ERP zu nutzen [5], etwa um bessere Verfügbarkeit und Performance von IT oder erhöhte Datensicherheit zu erreichen. Dies erfordert aber, bestehende Hürden abzubauen – insbesondere S&R-Aspekte [6].
Dieser Beitrag setzt hier an und integriert für Unternehmen relevante S&R-Kriterien mit Auswahl und Anpassung von SaaS-ERP. Zur strukturierten Analyse der Kriterien wird nachfolgend auf 5 Perspektiven zurückgegriffen, die wiederum den an der Entscheidung beteiligten Anspruchsgruppen des Anwenderunternehmens zugeordnet werden (Bild 1). Zur Veranschaulichung wird im Beitrag SAP Business ByDesign (SAP ByD), SAP‘s SaaS-Lösung betrachtet. Sie ist aktuell eine der wenigen, integrierten und kompletten SaaS-Lösungen.

Auswahl von SaaS-ERP
Die Auswahl von SaaS-ERP erfolgt ähnlich zum klassischen als Trichter visualisierten Softwareauswahlprozess. Ausgehend von Marktanalysen (Vorfilter) erfolgt eine Grobevaluation des Angebots (Grobfilter), die in eine Detailevaluierung einzelner Angebote (Feinfilter) mündet [7]. Die Evaluation erfolgt anhand einer Menge von Kriterien unterschiedlicher Perspektiven, eingebracht durch die beteiligten Anspruchsgruppen. Ein Auszug von S&R-Kriterien wird nachfolgend dargestellt, strukturiert anhand der in Bild 1 aufgezeigten fünf Perspektiven. Dabei ist zu beachten, dass aktuelle Definitionen on-demand self-service als Voraussetzung für SaaS betrachten [2, 4] und somit bei der klassischen Beschaffung von ERP-Systemen eingesetzte Konzepte wie RFI und RFP [8] nicht anwendbar sind. Unternehmen sind also auf die am Markt verfügbaren Informationen angewiesen und können evtl. nicht alle relevanten Kriterien bewerten.

[ Wenn Sie den kompletten Beitrag lesen möchten, klicken Sie hier ]

Schlüsselwörter:

Softwareauswahl, Softwareanpassung, ERP, SaaS

Literatur:

[1] Konstantinidis, C., Kienegger, H., Flormann, L., Wittges, H., und Krcmar, H., SAP Business ByDesign - Anpassung und Integration. Bonn 2012.
[2] NIST, The NIST Definition of Cloud Computing - Recommendations of the National Institute of Standards and Technology - Special Publication 800-145. 2011.
[3] Hoberg, P., Wollersheim, J., Böhm, M. und Krcmar, H.,und Krcmar, H., Cloud Computing – Überblick und Herausforderungen für das Controlling. Zeitschrift für Controlling, 2012. 24(6): S. 294-300.
[4] Böhm, M., Leimeister, S., Riedl, C. und
Krcmar, H., Cloud Computing: Outsourcing 2.0 oder ein neues Geschäftsmodell zur Bereitstellung von IT-Ressourcen? Information Management & Consulting, 2009. 24(2): S. 6-14.
[5] KPMG, Cloud Monitor 2012. Düsseldorf 2012.
[6] Benlian, A., Hess, T., und Buxmann, P., Treiber der Adoption SaaS-basierter Anwendungen. Wirtschaftsinformatik, 2009. 51(5): S. 414-428.
[7] Krcmar, H., Informationsmanagement, 5. neu überarb. und erw. Auflage. Berlin [u.a.] 2010.
[8] Meier, B., Auswahl und Einführung eines ERP/CRM-Systems. ERP Management 2012. 8(2): S. 61-62.