31 Stunden pro Monat in sinnlosen Meetings: Die teuerste Gewohnheit der Arbeitswelt
Benedikt Langer
7 Min. Lesezeit 31 Stunden pro Monat verbringt eine durchschnittliche Fachkraft in Meetings die sie ...
Zum Beitrag
7 Min. Lesezeit
Durchschnittlich 275 SaaS-Anwendungen nutzt ein mittelständisches Unternehmen. Bei Großkonzernen sind es über 2.000. Das Problem: Ein Drittel davon kennt die IT-Abteilung nicht. Und 70 Prozent der Software-Ausgaben verantworten längst die Fachabteilungen. SaaS-Sprawl ist kein Hygiene-Problem der IT – es ist ein Governance-Versagen, das auf die strategische Agenda gehört.
Das Wichtigste in Kürze
- 275 SaaS-Apps im Durchschnitt: Ein Drittel davon ist Schatten-IT, die ohne IT-Freigabe läuft (Zylo SaaS Management Index 2025).
- 70 Prozent Business-Spend: Fachabteilungen verantworten den Großteil der SaaS-Ausgaben, die IT kontrolliert nur noch 26 Prozent.
- 27 Prozent Cloud-Waste: Über ein Viertel der Cloud-Ausgaben verpufft in ungenutzten Lizenzen und redundanten Tools (Flexera State of the Cloud 2025).
- KI verschärft das Problem: In 25 Prozent der Unternehmen nutzen Beschäftigte private KI-Tools bei der Arbeit (Bitkom, 2025).
- NIS2 macht Governance zur Pflicht: Die persönliche Haftung der Führungsebene gilt auch für unkontrollierte Software-Lieferketten.
Die unsichtbare Explosion: 275 Apps und die IT kennt ein Drittel nicht
Die Zahlen des Zylo SaaS Management Index 2025 zeichnen ein ernüchterndes Bild: Ein durchschnittliches Unternehmen betreibt 275 SaaS-Anwendungen. Bei Großunternehmen ermittelt der Torii SaaS Benchmark Report 2026 sogar 2.191 Applikationen. Und jeden Monat kommen durchschnittlich acht neue hinzu – oft ohne Wissen oder Freigabe der IT-Abteilung.
Was ist SaaS-Sprawl? SaaS-Sprawl bezeichnet die unkontrollierte Ausbreitung von Cloud-Software in Unternehmen. Fachabteilungen beschaffen eigenständig Tools, die weder zentral erfasst noch auf Sicherheit, Compliance oder Redundanz geprüft werden. Das Ergebnis: überlappende Funktionen, ungenutzte Lizenzen und blinde Flecken in der IT-Governance.
Mehr als ein Drittel aller Unternehmensanwendungen sind laut Zylo Schatten-IT. 67 Prozent der IT-Verantwortlichen nennen unkontrollierte Beschaffung durch Fachabteilungen als ihr größtes SaaS-Problem. Und das ist keine Frage mangelnder Disziplin in der IT – es ist ein strukturelles Governance-Defizit, das seinen Ursprung auf C-Level hat.
Das Muster ist immer gleich: Eine Fachabteilung braucht ein neues Tool. Die offizielle Beschaffung dauert Wochen, die Kreditkarte funktioniert sofort. Innerhalb eines Quartals nutzen 30 Mitarbeiter die Anwendung, laden Kundendaten hoch und integrieren sie in bestehende Prozesse. Die IT erfährt davon – wenn überhaupt – bei der nächsten Kostenprüfung.
70 Prozent der Ausgaben laufen an der IT vorbei
Die Machtverschiebung bei Software-Beschaffung ist bereits vollzogen. Fachabteilungen verantworten heute 70 Prozent der SaaS-Ausgaben. Die IT-Abteilung kontrolliert nur noch 26 Prozent. Der Rest verteilt sich auf Shared Services und Procurement. Diese Verschiebung ist nicht per se problematisch – Fachabteilungen kennen ihre Bedürfnisse am besten. Problematisch wird sie ohne zentrale Sichtbarkeit.
Quellen: Zylo SaaS Management Index 2025, Flexera State of the Cloud 2025
Die Konsequenz: Zwischen 51 und 53 Prozent aller SaaS-Lizenzen werden innerhalb von 30 Tagen nach Kauf nicht genutzt (Zylo, 2025). Gleichzeitig steigen die Ausgaben für KI-native SaaS-Anwendungen um 108 Prozent gegenüber dem Vorjahr. Unternehmen geben also immer mehr Geld für Software aus, die sie nicht überblicken, nicht vollständig nutzen und nicht zentral steuern.
Für den CFO bedeutet das: Ein Viertel der Cloud-Ausgaben liefert keinen messbaren Gegenwert. Für den CIO bedeutet es: Die Angriffsfläche wächst mit jeder ungenehmigten App. Für die Führungsebene bedeutet es: Beide Probleme sind seine Verantwortung.
KI beschleunigt den Wildwuchs
Die Verbreitung generativer KI-Tools hat das Schatten-IT-Problem in eine neue Dimension getrieben. Eine Bitkom-Studie vom Oktober 2025 (n=604 Unternehmen ab 20 Beschäftigten) zeigt: In 8 Prozent der Unternehmen ist die Nutzung privater KI-Tools am Arbeitsplatz weit verbreitet – doppelt so viele wie 2024. In weiteren 17 Prozent gibt es Einzelfälle. Und 17 Prozent wissen es schlicht nicht, gehen aber davon aus.
Gleichzeitig stellen erst 26 Prozent der Unternehmen ihren Beschäftigten offiziellen Zugang zu generativer KI bereit. Die Lücke zwischen Nachfrage und Angebot füllt die Schatten-IT. ChatGPT, Google Gemini, Claude – die Tools sind einen Browser-Tab entfernt. Beschäftigte laden Kundendaten, Vertragsentwürfe und interne Strategiepapiere in externe KI-Dienste, ohne dass die IT davon erfährt. Jede dieser Aktionen ist ein potenzieller Datenabfluss.
Uri Haramati, Mitgründer des SaaS-Management-Anbieters Torii, fasst die Dynamik zusammen: KI habe die Schatten-IT nicht erfunden, aber ihre Geschwindigkeit und Reichweite massiv erhöht (CIO Dive, März 2026). Was früher einzelne Marketing-Tools oder Projektmanagement-Apps betraf, sind heute KI-Assistenten, die mit Unternehmensdaten arbeiten – ohne dass die IT weiß, welche Daten wohin fließen.
NIS2 und DORA machen SaaS-Governance zur Pflicht
Die regulatorische Landschaft hat sich 2025 und 2026 grundlegend verändert. Mit der Umsetzung des EU AI Act und der Durchsetzung von DORA und NIS2 haftet der Vorstand persönlich für die Cybersecurity-Governance seines Unternehmens. Das schließt die Software-Lieferkette explizit ein.
Konkret: NIS2 verpflichtet Leitungsorgane, Cybersecurity-Risikomanagementmaßnahmen zu genehmigen und zu überwachen. Bei grober Fahrlässigkeit drohen persönliche Bußgelder und temporäre Berufsverbote. Wer als Vorstand nicht weiß, welche 275 SaaS-Anwendungen im Unternehmen laufen – und welche davon Zugriff auf sensible Daten haben – hat ein Problem, das kein IT-Leiter für ihn lösen kann.
DORA verschärft die Anforderungen für den Finanzsektor zusätzlich: Jeder IKT-Drittanbieter muss im Register erfasst, bewertet und überwacht werden. Ein SaaS-Tool, das die Compliance-Abteilung für Vertragsmanagement nutzt, fällt genauso darunter wie die zentrale ERP-Plattform. Wer kein vollständiges SaaS-Inventar hat, kann die DORA-Anforderungen nicht erfüllen.
„Die Unternehmen sollten KI-Wildwuchs vermeiden und der Entwicklung einer Schatten-KI vorbeugen. Dazu müssen sie klare Regeln für den KI-Einsatz aufstellen und ihren Beschäftigten KI-Technologien zur Verfügung stellen.“
Dr. Ralf Wintergerst, Bitkom-Präsident (Bitkom Pressemitteilung, Oktober 2025)
Was Wintergerst für KI fordert, gilt für SaaS insgesamt: Wer seinen Beschäftigten keine genehmigten Werkzeuge bereitstellt, darf sich nicht wundern, wenn sie sich selbst helfen. Die Verantwortung dafür liegt nicht bei der IT-Abteilung – sie liegt beauf C-Level, der die Governance-Struktur verantwortet.
Was der Vorstand jetzt entscheiden muss
SaaS-Governance ist keine IT-Initiative, die der CIO eigenständig umsetzen kann. Sie erfordert Entscheidungen auf Board-Level:
1. Transparenz schaffen: Ohne vollständige Sichtbarkeit gibt es keine Governance. Der Vorstand muss ein SaaS-Inventar beauftragen, das alle Anwendungen erfasst – auch die, die niemand bestellt hat. Tools wie Zylo, Torii oder Productiv automatisieren die Erkennung. Die Capacity Tax – der Anteil der IT-Kapazität, der in Verwaltung statt Innovation fließt – liegt typischerweise zwischen 25 und 40 Prozent. Das ist die Kennzahl, die den CFO überzeugt.
2. Beschaffungsregeln definieren: Der Vorstand muss entscheiden, wer Software kaufen darf und unter welchen Bedingungen. Das bedeutet nicht, jede App zentral zu genehmigen. Es bedeutet, klare Schwellenwerte zu setzen: Ab welchem Ausgabenvolumen greift die zentrale Prüfung? Welche Datenkategorien erfordern eine Sicherheitsbewertung? Welche Compliance-Standards sind nicht verhandelbar?
3. KI-Zugang offiziell bereitstellen: Die 26-Prozent-Lücke bei der KI-Bereitstellung ist eine Einladung zur Schatten-IT. Wer den Beschäftigten geprüfte, datenschutzkonforme KI-Tools anbietet, reduziert den Anreiz für private Alternativen. Das ist keine Technologie-Entscheidung – es ist eine Risikomanagement-Entscheidung.
4. Verantwortlichkeiten klären: Wer auf C-Level trägt die Gesamtverantwortung für SaaS-Governance? Die Erfahrung zeigt: Ohne klaren Owner versandet jede Initiative. Ein SaaS-Board mit Vertretern aus IT, Finance und den größten Fachabteilungen schafft die nötige Verbindlichkeit.
Die Gegenposition ist berechtigt: Zu strenge Governance bremst Innovation. Fachabteilungen, die monatelang auf IT-Freigaben warten, werden weiterhin eigene Wege gehen. Die Lösung liegt nicht in Kontrolle, sondern in Steuerung – ein Governance-Rahmen, der schnelle Beschaffung ermöglicht, aber Sichtbarkeit und Compliance sicherstellt.
Fazit
SaaS-Sprawl ist die stille Erosion der IT-Governance. 275 Apps, 70 Prozent Business-Spend, 27 Prozent Waste – und ein Vorstand, der für alles haftet, was er nicht kennt. NIS2 hat die Spielregeln geändert: Unwissenheit schützt nicht mehr vor Haftung. Der erste Schritt ist kein Technologie-Projekt, sondern ein Board-Beschluss: Welche Software läuft in diesem Unternehmen, wer hat sie bestellt und wer verantwortet sie? Wer diese Frage nicht beantworten kann, hat ein strategisches Problem.
Häufige Fragen
Was kostet SaaS-Sprawl ein durchschnittliches Unternehmen?
Laut Flexera State of the Cloud 2025 verschwenden Unternehmen durchschnittlich 27 Prozent ihrer Cloud-Ausgaben. Bei einem SaaS-Budget von 5 Millionen Euro sind das 1,35 Millionen Euro pro Jahr, die in ungenutzten Lizenzen, redundanten Tools und nicht verwalteten Abonnements verloren gehen. Hinzu kommen indirekte Kosten durch Sicherheitsvorfälle und Compliance-Verstöße.
Wie unterscheidet sich SaaS-Sprawl von klassischer Schatten-IT?
Klassische Schatten-IT betraf hauptsächlich lokale Software-Installationen und private Hardware. SaaS-Sprawl ist schwieriger zu erkennen, weil Cloud-Anwendungen keine lokale Installation erfordern. Ein Marketing-Team kann ein Projektmanagement-Tool per Kreditkarte buchen, ohne dass die IT davon erfährt. Die Skalierung ist sofort, die Kosten wachsen mit und die Daten liegen in einer Cloud-Infrastruktur, die niemand geprüft hat.
Welche Rolle spielt NIS2 bei der SaaS-Governance?
NIS2 verpflichtet Leitungsorgane, Cybersecurity-Risikomanagement zu genehmigen und zu überwachen. Das umfasst auch die Software-Lieferkette. Unkontrollierte SaaS-Anwendungen, die Zugriff auf Unternehmensdaten haben, stellen ein Compliance-Risiko dar. Bei grober Fahrlässigkeit drohen persönliche Haftung, Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes und temporäre Berufsverbote für Vorstände.
Wie schnell lässt sich ein SaaS-Inventar aufbauen?
SaaS-Management-Plattformen wie Zylo, Torii oder Productiv können innerhalb von zwei bis vier Wochen ein erstes Inventar erstellen. Sie analysieren Single-Sign-On-Daten, Finanztransaktionen und Netzwerk-Traffic, um genutzte Anwendungen automatisch zu identifizieren. Der vollständige Aufbau eines SaaS-Governance-Frameworks dauert typischerweise drei bis sechs Monate.
Sollte der CIO oder der CFO SaaS-Governance verantworten?
Beide. Der CIO verantwortet die technische Governance: Sicherheitsprüfung, Datenschutzkonformität und Integration. Der CFO verantwortet die finanzielle Governance: Ausgabentransparenz, Lizenzoptimierung und Budgetkontrolle. In der Praxis funktioniert ein gemeinsames SaaS Board mit Vertretern aus IT, Finance und den größten Fachabteilungen am besten. Die strategische Entscheidung über den Governance-Rahmen selbst gehört auf die strategische Agenda.
Lesetipps der Redaktion
Mehr aus dem MBF Media Netzwerk
Quelle Titelbild: Pexels / Kampus Production (px:8171188)
