SaaS in 2 Monaten, der nach einem halben Jahr nicht zusammenbricht

„Können Sie unseren SaaS in 2 Monaten bauen?“ Fünfmal im letzten Jahr gefragt. Die Antwort: kommt drauf an. Fotopast.cloud ging genau 60 Tage nach dem ersten Kickoff-Call in Produktion und läuft seit 18 Monaten ohne größere Rewrites. Andere Projekte, denen wir 2 Monate versprochen hätten, wären innerhalb von 6 Monaten nach Launch als technische Schuld geendet.

Der Unterschied liegt nicht in Teamgröße oder magischen KI-Tools. Er liegt darin, was ins MVP kommt und was bewusst aufgeschoben wird. Fünf Regeln, die wir nutzen.

1. Ein Auth-Flow, nicht fünf

Authentifizierung ist die größte „Stealth“-Arbeit in SaaS. E-Mail/Passwort + Social Login + SSO + Magic Link + MFA = 5 verschiedene Flows × 5 Screens × Tests × Edge Cases. 2 Wochen nur das.

Für Fotopast MVP: nur E-Mail/Passwort + Passwort-Reset. Social Login (Google, Apple) und SSO gingen in Phase 2. Grund — in der ersten Version kommen Nutzer über E-Mail auf der Wildkamera. E-Mail haben sie, Google-Account vielleicht, SSO sicher nicht.

2. Free-Plan mit sinnvollen Limits, null Billing-Code

Stripe-Integration + Subscription-Management + Invoice-Generation + USt-Handling + Dunning = 3-4 Wochen Arbeit. In einem MVP, in dem Sie nicht wissen, welches Pricing hält, verbrannte Zeit.

Fotopast MVP: 1 GB Storage frei pro Nutzer. Null Billing-Code, kein Stripe. Erst nach 3 Monaten Betrieb, als wir echte Usage-Patterns sahen, haben wir Pricing hinzugefügt.

Alternative: manuelle Rechnung über ein Billing-Tool (z. B. Fakturoid) für die ersten 50 Kunden. Nicht elegant, aber null Dev-Tage. Wenn das Geschäft bestätigt, dass Pricing funktioniert, dann automatisieren.

3. Admin-UI für 80 % der Fälle, der Rest über SQL

„Wir brauchen ein Admin-Portal für alles.“ Vielleicht, aber nicht im MVP. Full-CRUD für jede Entity = 4-6 Wochen. Im MVP muss der Kunde (Gründer) können:

• Nutzer hinzufügen/entfernen (Admin-UI)
• Gerätliste sehen (Admin-UI, read-only)
• Daten für Reporting exportieren (Admin-UI)

Was wir NICHT ins Admin-UI gepackt haben: Config editieren, Refunds, Account-Kündigung, Pricing-Updates. Der Gründer hat SQL-Zugang — in den ersten 3 Monaten passiert das 5× pro Monat, nicht 50×. Spart 3 Wochen Entwicklung.

Critical: jede SQL-Änderung vom Admin loggen. Eines Tages löscht jemand etwas Wichtiges, der Audit-Trail rettet Sie.

4. Keine Enterprise-Grade-Multi-Tenant-Isolation

Full Data Isolation per Tenant (Schema-per-Tenant, Encryption Keys per Tenant, Audit-Logs per Tenant) sind 4-8 Wochen Arbeit und nicht nötig, bis ein Enterprise-Kunde sie verlangt.

MVP: Shared-DB, Shared-Tables, eine tenant_id-Spalte in jeder Zeile, vernünftige Indexe. Reicht für die ersten 100 Kunden und alle, die nicht Bank/Healthcare sind. Wenn ein Kunde explizit Data-Isolation will, sind Code-Änderungen in 1-2 Wochen machbar. Baut man das aber proaktiv ins MVP, sind es 4-8 Wochen umsonst.

5. Monitoring ab Tag 1, nicht „wenn Zeit ist“

Das Eine, was nicht aufgeschoben wird: Application Insights / Sentry / irgendein Log-Aggregator ab dem ersten Deployment. 1 Tag Setup. Zahlt sich 10× zurück im ersten Monat, wenn etwas spinnt und Sie keine Ahnung haben was.

Fotopast MVP: Application Insights plus Custom-Dashboard für Schlüsselmetriken (Signups/Tag, hochgeladene Fotos/Tag, Error-Rate). Als in Woche 3 nach Launch Uploads eines Wildkamera-Modells wiederholt fehlschlugen, wussten wir es vor dem Kunden.

Was das in Zahlen bedeutet

Hätte Fotopast Full Auth + Billing + Admin-UI + Multi-Tenant-Isolation + Monitoring ab Tag 1 — 5-6 Monate Arbeit.

Mit pragmatischem Scope-Triage:

• Auth (nur E-Mail/Passwort) — 3 Tage
• Billing (manuell via Fakturoid) — 0 Tage
• Admin-UI (minimal) — 5 Tage
• Multi-Tenant (tenant_id-Spalte) — 1 Tag
• Monitoring (App-Insights-Setup) — 1 Tag

= 10 Tage gespart von den 30-40 einer vollen Version. Plus ein Monat Entwicklungszeit für Core-Funktionalität — Photo-Ingestion, PWA, Device-Management. Dafür existiert das Produkt. Auth/Billing/Admin können Sie nachrüsten, wenn das Produkt sich bewährt hat.

Was auch in 2 Monaten NICHT übersprungen wird

Fünf Dinge, die sich nicht aufschieben lassen, auch wenn es verlockend klingt:

• Automatisierte Tests wenigstens auf Core-Path. Kein 80 % Unit-Test-Coverage, aber Integration-Tests für Signup-Upload-View-Logout.
• CI/CD-Pipeline. Manuelle Deploys in einem 2-Monats-MVP = 2 Tage Arbeit, verseucht in Maintenance-Mode.
• Datenbank-Backups + Disaster-Recovery-Plan. Nicht auf „die Cloud sichert“ vertrauen ohne Restore-Test.
• HTTPS + Security-Header + OWASP-Basics. Null Kosten, ungekappt Risiko.
• Basic-Privacy-Policy + DSGVO-Flow (Right-to-Delete, Datenexport). Günstig im MVP, teuer ex post.

Der grundlegende Punkt

„Schnell bauen und später refactoren“ ist ein gefährlicher Slogan. Aber „MVP mit bewusst aufgeschobenen Teilen und klarem Plan, wie sie ergänzt werden“ ist eine andere Geschichte.

Der Unterschied ist, ob Sie wissen, was Sie aufschieben, und warum. Fotopast.cloud in 2 Monaten stand nicht im Widerspruch zu „solider Architektur“. Es war eine bewusste Architektur dessen, was in 60 Tage passt, mit dokumentiertem Phase-2-Plan.