- Die Total Cost of Ownership (TCO) einer Compliance-Software umfasst weit mehr als die Lizenzgebühr: Einrichtung, Schulung, Migration, Wartung, Support und Opportunitätskosten gehören in jede seriöse Kalkulation.
- SaaS-Tools mit Seat-Pricing werden mit wachsender Nutzerzahl teuer. Bei 100 Mitarbeitern und 50-200 Euro pro Seat landen Unternehmen bei 60.000 bis 240.000 Euro über fünf Jahre - ohne Add-ons und Preiserhöhungen.
- Self-Hosted-Lösungen haben höhere Anfangsinvestitionen, aber planbare laufende Kosten. ISMS Lite kostet als Abo 2.500 Euro über fünf Jahre oder einmalig 2.500 Euro - unabhängig von der Nutzerzahl.
- Der Break-Even zwischen SaaS und Self-Hosted liegt je nach Anbieter bereits nach 6 bis 18 Monaten. Je mehr Nutzer und je länger die Laufzeit, desto deutlicher fällt der Kostenvorteil zugunsten Self-Hosted aus.
- Neben den reinen Kosten spielt Datensouveränität eine wachsende Rolle: Self-Hosted-Lösungen halten sensible ISMS-Daten im eigenen Netz und eliminieren Abhängigkeiten von Drittanbietern.
Warum der Listenpreis lügt
Die meisten Vergleiche von Compliance-Software beginnen und enden bei der monatlichen Lizenzgebühr. 29 Euro pro User und Monat klingt überschaubar. 199 Euro pro User und Monat klingt nach Enterprise. Aber beide Zahlen sagen fast nichts darüber aus, was die Software über ihre tatsächliche Nutzungsdauer kosten wird.
Die Total Cost of Ownership (TCO) einer ISMS-Software umfasst alles, was du aufwenden musst, damit das Tool seinen Zweck erfüllt: Einrichtung, Datenmigration, Schulung der Nutzer, laufende Administration, Support-Tickets, Upgrades, Integrationsaufwand und die Kosten, die entstehen wenn du den Anbieter wechseln willst. Bei SaaS-Modellen kommen jährliche Preisanpassungen, kostenpflichtige Add-ons und das Risiko eines Vendor Lock-in dazu. Bei Self-Hosted-Lösungen stehen Serverkosten, Wartung und Updates auf der Rechnung.
Dieser Artikel rechnet beide Modelle für ein typisches mittelständisches Unternehmen mit 100 Mitarbeitern über fünf Jahre durch. Mit konkreten Zahlen, nicht mit Marketing-Versprechen.
Was in eine TCO-Berechnung gehört
Bevor wir rechnen, müssen die Kostenkategorien klar sein. Eine ehrliche TCO-Berechnung für ISMS-Software enthält mindestens diese Posten:
Direkte Kosten
Lizenz- oder Abogebühren: Der offensichtlichste Posten. Bei SaaS als monatliche oder jährliche Gebühr pro User (Seat) oder pro Paket. Bei Self-Hosted als Einmalkauf, Jahresabo oder beides.
Einrichtung und Onboarding: Die Kosten für die initiale Konfiguration. Bei SaaS übernimmt das oft der Anbieter (manchmal gegen Aufpreis), bei Self-Hosted kommt die Installation auf dem eigenen Server dazu.
Datenmigration: Wenn du von Excel, SharePoint oder einem anderen Tool umsteigst, kostet die Migration Zeit. Bestehende Risikobewertungen, Maßnahmen, Richtlinien und Audit-Ergebnisse müssen übertragen werden.
Schulung: Die Nutzer müssen das Tool lernen. Das kostet interne Arbeitszeit und gegebenenfalls externe Trainer oder Workshops.
Laufende Kosten
Support und Wartung: SaaS-Anbieter inkludieren Basis-Support oft im Preis, aber Premium-Support (schnelle Reaktionszeiten, dedizierter Ansprechpartner) kostet extra. Bei Self-Hosted fallen Wartungsverträge oder Support-Stunden an.
Updates und Upgrades: Bei SaaS sind Updates inkludiert, allerdings hast du keinen Einfluss auf den Zeitpunkt oder den Umfang. Bei Self-Hosted musst du Updates selbst einspielen, hast aber die Kontrolle über das Tempo.
Serverkosten (nur Self-Hosted): Hosting, Strom, Backup, Monitoring. Ob auf eigener Hardware oder einem virtuellen Server bei einem Hoster, die Infrastruktur kostet Geld.
Administration: Jemand muss das Tool pflegen. Nutzer anlegen und sperren, Berechtigungen verwalten, Konfigurationen anpassen. Das ist interner Aufwand, der selten in Vergleichen auftaucht.
Versteckte Kosten
Preiserhöhungen: SaaS-Anbieter erhöhen die Preise regelmäßig. Im Compliance-Markt sind 5-15 % jährliche Steigerung keine Seltenheit. Nach fünf Jahren zahlst du unter Umständen 30-50 % mehr als im ersten Jahr.
Add-ons und Premium-Features: Viele SaaS-Tools bieten Kernfunktionen im Basispaket und verkaufen erweiterte Features separat. API-Zugang, erweiterte Berichtsfunktionen, Audit-Log-Export, SSO-Integration oder zusätzliche Frameworks sind häufige Upselling-Kandidaten.
Vendor Lock-in: Wenn du nach drei Jahren wechseln willst, wie leicht kommst du an deine Daten? Proprietäre Formate, fehlende Export-Funktionen und die Abhängigkeit von der Plattform erzeugen Wechselkosten, die bei der Erstentscheidung kaum jemand einkalkuliert.
Opportunitätskosten: Zeit, die dein Team mit Tool-Problemen verbringt, statt produktiv am ISMS zu arbeiten. Ausfälle, Performanceprobleme oder fehlende Funktionen, die Workarounds erfordern.
Das SaaS-Modell: Seat-Pricing und seine Tücken
Die meisten Cloud-ISMS-Tools nutzen ein Seat-basiertes Preismodell. Du zahlst pro Nutzer und Monat. Das klingt fair, denn du zahlst nur für das, was du nutzt. In der Praxis hat dieses Modell einige Eigenschaften, die sich im Mittelstand schnell summieren.
Wie Seat-Pricing funktioniert
Ein typisches Compliance-SaaS-Tool hat drei bis vier Preisstufen:
| Stufe | Preis pro Seat/Monat | Enthaltene Features |
|---|---|---|
| Starter | 29-49 € | Grundfunktionen, 1 Framework, Basis-Reports |
| Professional | 59-99 € | Mehrere Frameworks, Audit-Management, API |
| Enterprise | 149-199 € | Alles, SSO, dedizierter Support, SLA |
Die Preise beziehen sich auf Named Users, also benannte Nutzer mit eigenem Account. Im ISMS-Kontext brauchst du nicht nur den ISB und die IT-Leitung, sondern auch Risikoeigner, Maßnahmenverantwortliche und gegebenenfalls Auditoren. In einem Unternehmen mit 100 Mitarbeitern sind das schnell 10 bis 30 aktive Nutzer.
Die Wachstumsfalle
Das Problem mit Seat-Pricing zeigt sich beim Wachstum. Wenn dein Unternehmen von 100 auf 150 Mitarbeiter wächst, steigt auch die Zahl der ISMS-Nutzer. Neue Abteilungsleiter als Risikoeigner, neue Teamleads als Maßnahmenverantwortliche, neue Standorte mit lokalen Ansprechpartnern. Die Software skaliert, aber die Kosten skalieren mit.
Und hier kommt der psychologische Effekt: Teams beginnen den Zugang zu rationieren. Statt allen relevanten Personen einen Account zu geben, teilen sich drei Risikoeigner ein Login. Das untergräbt die Nachvollziehbarkeit, die ein ISMS gerade herstellen soll. Wer hat wann welche Risikobewertung freigegeben? Mit geteilten Accounts ist diese Frage nicht mehr beantwortbar.
Versteckte Kosten im SaaS-Modell
Jährliche Preiserhöhungen: SaaS-Anbieter im B2B-Compliance-Bereich erhöhen ihre Preise typischerweise um 5-15 % pro Jahr. Das ist kein Geheimnis, steht aber selten im Angebotsvergleich. Auf der Pricing-Page steht der Einstiegspreis, nicht der Preis im Jahr fünf.
Add-ons als Umsatztreiber: Ein verbreitetes Muster bei größeren Compliance-Plattformen:
- Basis-Framework (z. B. ISO 27001) inklusive, weitere Frameworks (NIS2, TISAX, SOC 2) gegen Aufpreis
- API-Zugang erst ab der Professional-Stufe
- SSO/SAML-Integration nur im Enterprise-Tarif
- Erweiterte Reports und Dashboards als Premium-Feature
- Dedizierter Support oder garantierte Reaktionszeiten als kostenpflichtiges Add-on
- Audit-Trail-Export nur gegen Aufpreis
Einzeln wirken diese Posten überschaubar. In Summe können sie 30-60 % auf den Basispreis aufschlagen.
Vendor Lock-in als strategisches Risiko: Je länger du ein SaaS-Tool nutzt, desto tiefer sind deine Daten in dessen Strukturen verankert. Risikobewertungen, Maßnahmenpläne, Audit-Ergebnisse, Richtlinienversionierungen. Wenn du nach drei Jahren wechseln willst, stehst du vor der Frage: Exportiert das Tool meine Daten in einem brauchbaren Format? Die Antwort ist oft ernüchternd. CSV-Exporte mit Informationsverlust, keine Relationen zwischen Datensätzen, proprietäre Feldformate. Die tatsächlichen Wechselkosten (Datenmigration, Neuaufbau von Strukturen, erneute Einarbeitung) liegen leicht bei 10.000-30.000 Euro an internem und externem Aufwand.
Das Self-Hosted-Modell: Kontrolle hat ihren Preis
Self-Hosted bedeutet, dass die Software auf deiner eigenen Infrastruktur läuft. Das kann ein physischer Server im Serverraum sein, eine VM bei einem Hosting-Provider oder ein Container in deiner Private Cloud. Du hast die volle Kontrolle über die Daten, die Konfiguration und den Betrieb.
Die Kostenstruktur
Self-Hosted-Software hat eine andere Kostenverteilung als SaaS. Die Anfangsinvestition ist höher, die laufenden Kosten sind niedriger und vor allem planbarer.
Einmalige Kosten:
| Posten | Typische Kosten |
|---|---|
| Lizenz (Einmalkauf oder erstes Jahresabo) | 500-5.000 € |
| Server-Setup und Installation | 200-1.000 € |
| Initiale Konfiguration und Datenmigration | 500-2.000 € |
| Schulung (intern) | 500-1.000 € |
| Gesamt Erstinvestition | 1.700-9.000 € |
Laufende jährliche Kosten:
| Posten | Typische Kosten/Jahr |
|---|---|
| Server/Hosting (VPS oder eigene Infra) | 120-600 € |
| Wartung und Updates (interner Aufwand) | 300-800 € |
| Backup und Monitoring | 60-200 € |
| Support/Wartungsvertrag (optional) | 0-500 € |
| Gesamt laufend/Jahr | 480-2.100 € |
Vorteile der Planbarkeit
Der größte Vorteil des Self-Hosted-Modells ist die Kostenplanbarkeit. Dein Server kostet im Jahr fünf dasselbe wie im Jahr eins (oder weniger, weil Hosting-Preise tendenziell sinken). Die Lizenz ist bezahlt oder folgt einem fixen Jahrespreis ohne Seat-Abhängigkeit. Und wenn dein Unternehmen wächst, steigen die Kosten nicht linear mit.
Ein Self-Hosted-Tool mit Flat-Rate-Lizenz kostet für 30 Nutzer genauso viel wie für 130 Nutzer. Das ist ein fundamentaler Unterschied zum Seat-Modell.
Worauf du achten musst
Self-Hosted ist kein Selbstläufer. Du brauchst jemanden, der den Server betreibt, Updates einspielt und Backups überwacht. In einem Unternehmen mit 100 Mitarbeitern hat die IT-Abteilung in der Regel die Kompetenz dafür, denn die gleiche Abteilung betreibt auch Fileserver, Intranet und andere interne Anwendungen. Trotzdem ist es ehrlich, diesen Aufwand in die Kalkulation einzubeziehen.
Updates sind ein zweischneidiges Schwert. Du bestimmst selbst, wann du aktualisierst, was gut ist, wenn du Change-Management ernst nimmst. Aber du musst auch aktiv werden, statt dich auf automatische Updates zu verlassen. Ein guter Self-Hosted-Anbieter macht es dir leicht: klare Update-Anleitungen, getestete Migrationspfade und eine transparente Changelog-Kommunikation.
Rechenbeispiel: 100 Mitarbeiter über 5 Jahre
Jetzt wird es konkret. Wir rechnen drei Szenarien für ein Unternehmen mit 100 Mitarbeitern, das 20 aktive ISMS-Nutzer braucht (ISB, IT-Leitung, 5 Abteilungsleiter als Risikoeigner, 8 Maßnahmenverantwortliche, 2 Auditoren, 2 Geschäftsführer, 1 DSB).
Szenario A: Mittelklasse-SaaS (79 €/Seat/Monat)
Ein etablierter Anbieter im DACH-Raum mit Professional-Tarif:
| Posten | Jahr 1 | Jahr 2 | Jahr 3 | Jahr 4 | Jahr 5 | Gesamt |
|---|---|---|---|---|---|---|
| Lizenz (20 Seats × 79 €/M) | 18.960 € | 18.960 € | 18.960 € | 18.960 € | 18.960 € | 94.800 € |
| Preiserhöhung (8 %/Jahr kumuliert) | - | 1.517 € | 3.153 € | 4.920 € | 6.830 € | 16.420 € |
| Onboarding-Paket | 3.000 € | - | - | - | - | 3.000 € |
| SSO Add-on | 2.400 € | 2.400 € | 2.400 € | 2.400 € | 2.400 € | 12.000 € |
| NIS2-Framework Add-on | 1.200 € | 1.200 € | 1.200 € | 1.200 € | 1.200 € | 6.000 € |
| Interne Schulung und Admin | 2.000 € | 800 € | 800 € | 800 € | 800 € | 5.200 € |
| Jahreskosten | 27.560 € | 24.877 € | 26.513 € | 28.280 € | 30.190 € | 137.420 € |
Fünf-Jahres-TCO: 137.420 Euro
Und das ist der optimistische Fall. Wir haben keine zusätzlichen Seats eingerechnet (was bei Unternehmenswachstum realistisch ist), keinen Premium-Support und keine weiteren Framework-Add-ons.
Szenario B: Enterprise-SaaS (149 €/Seat/Monat)
Ein internationaler Anbieter mit umfangreichem Feature-Set:
| Posten | Jahr 1 | Jahr 2 | Jahr 3 | Jahr 4 | Jahr 5 | Gesamt |
|---|---|---|---|---|---|---|
| Lizenz (20 Seats × 149 €/M) | 35.760 € | 35.760 € | 35.760 € | 35.760 € | 35.760 € | 178.800 € |
| Preiserhöhung (10 %/Jahr kumuliert) | - | 3.576 € | 7.510 € | 11.832 € | 16.579 € | 39.497 € |
| Implementation Service | 8.000 € | - | - | - | - | 8.000 € |
| Premium Support | 4.800 € | 4.800 € | 4.800 € | 4.800 € | 4.800 € | 24.000 € |
| Interne Schulung und Admin | 3.000 € | 1.000 € | 1.000 € | 1.000 € | 1.000 € | 7.000 € |
| Jahreskosten | 51.560 € | 45.136 € | 49.070 € | 53.392 € | 58.139 € | 257.297 € |
Fünf-Jahres-TCO: 257.297 Euro
Bei diesem Preispunkt stellt sich die Frage, ob ein mittelständisches Unternehmen mit 100 Mitarbeitern diese Investition gegenüber der Geschäftsführung rechtfertigen kann. Und ob der Funktionsumfang den Aufpreis gegenüber schlankeren Lösungen tatsächlich wert ist.
Szenario C: Self-Hosted mit ISMS Lite
ISMS Lite als Self-Hosted-Lösung mit zwei Preisoptionen: ab 500 Euro pro Jahr oder als Einmalkauf für 2.500 Euro. Wir rechnen beide Varianten.
Variante C1: Jahresabo (500 €/Jahr)
| Posten | Jahr 1 | Jahr 2 | Jahr 3 | Jahr 4 | Jahr 5 | Gesamt |
|---|---|---|---|---|---|---|
| Lizenz (Jahresabo, flat) | 500 € | 500 € | 500 € | 500 € | 500 € | 2.500 € |
| Server (VPS, z. B. Hetzner) | 180 € | 180 € | 180 € | 180 € | 180 € | 900 € |
| Installation und Einrichtung | 500 € | - | - | - | - | 500 € |
| Datenmigration (aus Excel/SharePoint) | 800 € | - | - | - | - | 800 € |
| Interne Schulung | 600 € | 200 € | 200 € | 200 € | 200 € | 1.400 € |
| Wartung und Updates (intern) | 300 € | 300 € | 300 € | 300 € | 300 € | 1.500 € |
| Backup und Monitoring | 120 € | 120 € | 120 € | 120 € | 120 € | 600 € |
| Jahreskosten | 3.000 € | 1.300 € | 1.300 € | 1.300 € | 1.300 € | 8.200 € |
Fünf-Jahres-TCO: 8.200 Euro
Variante C2: Einmalkauf (2.500 €)
| Posten | Jahr 1 | Jahr 2 | Jahr 3 | Jahr 4 | Jahr 5 | Gesamt |
|---|---|---|---|---|---|---|
| Lizenz (Einmalkauf) | 2.500 € | - | - | - | - | 2.500 € |
| Server (VPS) | 180 € | 180 € | 180 € | 180 € | 180 € | 900 € |
| Installation und Einrichtung | 500 € | - | - | - | - | 500 € |
| Datenmigration | 800 € | - | - | - | - | 800 € |
| Interne Schulung | 600 € | 200 € | 200 € | 200 € | 200 € | 1.400 € |
| Wartung und Updates (intern) | 300 € | 300 € | 300 € | 300 € | 300 € | 1.500 € |
| Backup und Monitoring | 120 € | 120 € | 120 € | 120 € | 120 € | 600 € |
| Jahreskosten | 5.000 € | 800 € | 800 € | 800 € | 800 € | 8.200 € |
Fünf-Jahres-TCO: 8.200 Euro
Beide Varianten landen bei identischen Fünf-Jahres-Kosten. Der Unterschied liegt im Cashflow: Das Abo verteilt die Kosten gleichmäßiger, der Einmalkauf konzentriert sie im ersten Jahr.
Die Gegenüberstellung
Alle vier Szenarien nebeneinander:
| Kennzahl | SaaS Mittelklasse | SaaS Enterprise | ISMS Lite Abo | ISMS Lite Kauf |
|---|---|---|---|---|
| 5-Jahres-TCO | 137.420 € | 257.297 € | 8.200 € | 8.200 € |
| Kosten pro Monat (Durchschnitt) | 2.290 € | 4.288 € | 137 € | 137 € |
| Kosten pro Nutzer/Monat (effektiv) | 115 € | 214 € | 7 € | 7 € |
| Preisänderungsrisiko | Hoch (8-10 %/Jahr) | Hoch (10-15 %/Jahr) | Keins (Flat) | Keins (Einmal) |
| Seat-Abhängigkeit | Ja | Ja | Nein | Nein |
| Vendor Lock-in | Hoch | Sehr hoch | Niedrig | Niedrig |
| Datensouveränität | Cloud des Anbieters | Cloud des Anbieters | Eigener Server | Eigener Server |
Der Faktor zwischen Mittelklasse-SaaS und ISMS Lite beträgt rund 17x. Zwischen Enterprise-SaaS und ISMS Lite liegt Faktor 31x. Selbst wenn man die Self-Hosted-Kosten großzügig nach oben korrigiert (teurerer Server, externer Support), bleibt der Unterschied eine Größenordnung.
Die Break-Even-Analyse
Ab welchem Zeitpunkt ist Self-Hosted günstiger als SaaS? Die Antwort hängt vom SaaS-Preis ab, aber der Break-Even kommt schneller als viele erwarten.
ISMS Lite Abo vs. Mittelklasse-SaaS
Die kumulierten Kosten im Vergleich:
| Zeitpunkt | SaaS kumuliert | ISMS Lite kumuliert | Differenz |
|---|---|---|---|
| Monat 3 | 6.890 € | 3.000 € | 3.890 € |
| Monat 6 | 12.480 € | 3.325 € | 9.155 € |
| Monat 12 | 27.560 € | 3.000 € | 24.560 € |
| Monat 24 | 52.437 € | 4.300 € | 48.137 € |
| Monat 36 | 78.950 € | 5.600 € | 73.350 € |
Der Break-Even liegt rechnerisch im ersten Monat. Schon die Erstinvestition von 3.000 Euro für ISMS Lite (inklusive Setup und Migration) liegt unter den monatlichen Kosten des SaaS-Tools ab Monat 3. Die Schere geht danach nur weiter auseinander.
Was wenn SaaS günstiger wäre?
Fairerweise gibt es SaaS-Angebote mit Team- oder Company-Pricing statt reinem Seat-Pricing. Manche Anbieter bieten Pakete für kleine Teams (z. B. 5 Seats) ab 200-500 Euro pro Monat. Selbst bei einem solchen Paket mit 300 Euro pro Monat (3.600 Euro pro Jahr) wäre der Break-Even gegenüber ISMS Lite nach etwa zwei Jahren erreicht. Und das ohne Preiserhöhungen oder Add-ons einzurechnen.
Kosten, über die niemand spricht
Jenseits der harten Zahlen gibt es Kostenfaktoren, die sich schwer beziffern lassen, die aber die Entscheidung maßgeblich beeinflussen.
Datensouveränität als Kostenfaktor
Bei SaaS liegen deine ISMS-Daten auf der Infrastruktur eines Drittanbieters. Das umfasst Risikoanalysen mit detaillierten Beschreibungen deiner Schwachstellen, Maßnahmenpläne die deine Sicherheitsarchitektur offenlegen, Audit-Berichte mit Feststellungen und Abweichungen und Notfallpläne mit internen Kontaktdaten und Wiederanlaufprozeduren. Diese Daten sind hochsensibel. Sie beschreiben im Detail, wo dein Unternehmen verwundbar ist und wie du dich schützt. Bei Self-Hosted bleiben diese Daten auf deinem Server, in deinem Netz, unter deiner Kontrolle. Das ist kein Luxus, sondern eine logische Konsequenz aus dem, was du mit dem ISMS schützen willst. Tools wie ISMS Lite laufen vollständig auf deiner Infrastruktur und übertragen keine Daten an externe Server.
Abhängigkeit vom Anbieter
Was passiert, wenn dein SaaS-Anbieter den Betrieb einstellt, von einem Konkurrenten übernommen wird oder die Preise verdoppelt? Du stehst vor der Wahl: Zahlen oder migrieren. Migration unter Zeitdruck ist teuer und riskant. Bei Self-Hosted hast du die Software und deine Daten. Selbst wenn der Hersteller morgen schließt, läuft dein System weiter. Du hast die Installation, die Datenbank und die Exportmöglichkeiten. Das gibt dir Verhandlungsmacht, die ein SaaS-Kunde nicht hat.
Compliance-Anforderungen an die Software selbst
NIS2 und ISO 27001 stellen zunehmend Anforderungen an die Lieferkettensicherheit. Ein SaaS-Tool ist ein Dienstleister im Sinne des ISMS. Du musst den Anbieter bewerten, einen AVV abschließen, seine Sicherheitsmaßnahmen prüfen und das alles regelmäßig wiederholen. Bei Self-Hosted fällt dieser Aufwand weg, weil du die Datenverarbeitung nicht an einen Dritten auslagerst. Das spart nicht nur Geld, sondern vereinfacht auch die ISMS-Dokumentation.
Der wahre Preis von Seat-Rationierung
Wenn das Tool pro Nutzer kostet, werden Unternehmen kreativ bei der Frage, wer wirklich einen Account braucht. Das Ergebnis: Der ISB pflegt die Risikobewertungen allein, statt die Risikoeigner direkt einzubinden. Maßnahmenverantwortliche bekommen ihre Aufgaben per E-Mail statt im Tool. Audit-Feststellungen werden in separaten Dokumenten getrackt, weil der Auditor keinen Seat hat.
Die Ironie: Du kaufst ein Tool, um dein ISMS zu digitalisieren, und endigst mit einem Hybrid aus Tool und manuellem Prozess, weil du Seats sparst. Das untergräbt den gesamten Zweck der Software und kostet am Ende mehr, als die gesparten Seats wert sind. In ISMS Lite gibt es keine Seat-Beschränkung. Jeder der im ISMS eine Rolle hat, bekommt einen Account, ohne dass die Kosten steigen.
Die richtige Frage stellen
Die Frage "SaaS oder Self-Hosted?" ist eigentlich die falsche Frage. Die richtige Frage lautet: Welches Deployment-Modell passt zu meinem Unternehmen, meinem Budget und meinen Compliance-Anforderungen?
Wann SaaS trotzdem Sinn macht
SaaS ist nicht per se schlecht. Es gibt Szenarien, in denen ein SaaS-Tool die bessere Wahl ist:
- Kein internes IT-Know-how: Wenn du keine IT-Abteilung hast, die einen Server betreiben kann (selten bei 100+ Mitarbeitern, aber möglich)
- Schneller Start ohne Infrastruktur: Wenn du innerhalb von Tagen produktiv sein musst und keine Zeit für Server-Setup hast
- Integrationsanforderungen: Wenn du tiefe Integrationen mit anderen SaaS-Tools brauchst, die nur über deren Cloud-APIs funktionieren
- Kein Interesse am Betrieb: Wenn die Geschäftsführung entscheidet, dass der Betrieb eigener Software nicht zur Kernkompetenz gehört
Wann Self-Hosted die bessere Wahl ist
- Datensouveränität ist Priorität: Wenn ISMS-Daten das Unternehmensnetz nicht verlassen dürfen
- Budget ist begrenzt: Wenn die TCO-Differenz von Faktor 10-30x den Ausschlag gibt
- Langfristige Planung: Wenn du Planungssicherheit über fünf Jahre brauchst statt jährlicher Preisüberraschungen
- Unabhängigkeit von Drittanbietern: Wenn du den Vendor-Lock-in-Effekt minimieren willst
- Bestehende Infrastruktur: Wenn du bereits Server betreibst und die Marginalkosten für eine weitere Anwendung gering sind
Für die Mehrheit der mittelständischen Unternehmen mit 50 bis 500 Mitarbeitern treffen die meisten Punkte in der zweiten Liste zu.
Checkliste: TCO-Kalkulation für deine Evaluation
Wenn du gerade Compliance-Software evaluierst, nutze diese Checkliste um die TCO vollständig zu erfassen:
- Lizenzkosten für die tatsächlich benötigte Nutzeranzahl ermitteln (nicht nur den ISB, sondern alle ISMS-Rollen)
- Preiserhöhungsklauseln im Vertrag prüfen (gibt es eine Deckelung?)
- Alle benötigten Add-ons identifizieren und einpreisen (Frameworks, SSO, API, Reports)
- Onboarding- und Migrationskosten abfragen (pauschal oder nach Aufwand?)
- Internen Schulungsaufwand schätzen (Stunden × interner Stundensatz)
- Jährlichen Administrationsaufwand kalkulieren (Nutzerverwaltung, Konfiguration)
- Bei Self-Hosted: Serverkosten und internen Wartungsaufwand realistisch ansetzen
- Wechselkosten ermitteln: Was kostet eine Migration weg vom Anbieter?
- Export-Funktionalität prüfen: Kann ich meine Daten vollständig und strukturiert exportieren?
- Vertragslaufzeit und Kündigungsfristen prüfen
- Referenzkunden des Anbieters nach realen Gesamtkosten fragen
Häufige Fehler bei der Tool-Auswahl
Nur auf den Einstiegspreis schauen: Der Preis auf der Website ist der niedrigste. Konfiguriere das Tool so, wie du es tatsächlich brauchst, und rechne mit der realen Nutzerzahl.
Seat-Bedarf unterschätzen: Die meisten Unternehmen unterschätzen, wie viele Personen im ISMS aktiv sein müssen. Plane mit 15-25 % der Belegschaft als potenzielle Nutzer, nicht nur mit dem ISB und zwei IT-Admins.
Wachstum ignorieren: Wenn dein Unternehmen in fünf Jahren 50 % mehr Mitarbeiter hat, kosten Seats bei SaaS 50 % mehr. Self-Hosted mit Flat-Rate nicht.
Datensouveränität als Nice-to-have behandeln: Deine ISMS-Daten beschreiben deine Schwachstellen. Behandle die Frage, wo diese Daten liegen, mit derselben Sorgfalt wie die Daten selbst.
Die Geschäftsführung nur die Monatsrate sehen lassen: Wenn du der IT-Sicherheit der Geschäftsführung das Budget präsentierst, zeige die Fünf-Jahres-TCO. Monatliche Seat-Kosten wirken harmlos, die Fünf-Jahres-Summe nicht.
Fazit
Die Wahl zwischen SaaS und Self-Hosted ist keine ideologische Frage. Es ist eine Rechnung. Und wenn du diese Rechnung ehrlich anstellst, mit allen Kostenfaktoren über einen realistischen Zeitraum, fällt das Ergebnis für die meisten mittelständischen Unternehmen eindeutig aus. Self-Hosted-Lösungen mit Flat-Rate-Preismodell sind nicht nur günstiger, sondern geben dir die Kontrolle über deine sensibelsten Daten zurück.
Das bedeutet nicht, dass jedes SaaS-Tool schlecht ist. Es bedeutet, dass du die Gesamtkosten kennen solltest, bevor du unterschreibst. Und dass "29 Euro pro Seat" über fünf Jahre eine ganz andere Zahl ergibt, als es auf der Pricing-Page aussieht.
Weiterführende Artikel
- Self-Hosted vs. Cloud: Datensouveränität bei Compliance-Software
- Was kostet ein ISMS? Budget, Aufwand und ROI realistisch einschätzen
- Build vs. Buy: Eigenentwicklung oder fertige Lösung für ISMS-Prozesse
- ISMS-Software auswählen: Worauf es bei der Evaluation ankommt
- ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern