Sie sind hier: Startseite » Fachartikel » Hintergrund

Versteckte Risiken bei SaaS


Home Office und die Zunahme von SaaS
Die steigende Nutzung von SaaS wird zu einem Hardware- und Software-Problem


Mark Lillywhite, Senior Solutions Consultant bei Snow Software

Infolge der COVID-19-Maßnahmen fokussieren Führungskräfte sich auf die Aufrechterhaltung der Mitarbeiterproduktivität –dabei bleibt wenig Zeit für das erforderliche Maß an Sorgfalt, das gewöhnlich angewandt wird. Leider ist dies die Realität in der Welt, in der wir gerade leben, aber in absehbarer Zukunft sitzen wir alle im selben Boot. Die Auswirkungen unserer gegenwärtigen Normalität sind sehr unterschiedlich. Wie ein Unternehmen darauf reagieren musste, hing stark davon ab, wie dieses vor der aktuellen Krise gearbeitet hat. Einige Unternehmen waren bereits in hohem Maße mobil und mussten lediglich die verbleibenden Büro-Mitarbeiter dazu in die Lage versetzen. Andere Unternehmen mussten ihre Arbeitsweise völlig umstellen und manchmal die Mitarbeiter auffordern, Laptops zu kaufen, weil die Unternehmensressourcen begrenzt waren und die Schwierigkeiten in der globalen Gerätelieferkette zu groß waren.

Unabhängig davon, wie die Situation vor COVID-19 aussah, hat die neue Realität zu einem ungeplanten Anstieg des Einsatzes von SaaS (Software-as-a-Service) geführt, was Bedenken bei den IT-Entscheidungsträgern hervorrief. Die Sorge ist berechtigt, aber es gibt einen Weg, die mit dem Anstieg der SaaS-Nutzung verbundenen Risiken zu bewältigen und zu verhindern. Wenn wir die Herausforderungen aufschlüsseln, lassen sich typische Themen und Lösungen erkennen.

Ausbreitung von SaaS
Die Aufgabe des IT-Teams besteht darin, die Ordnung im Technologie-Ökosystem aufrechtzuerhalten und sicherzustellen, dass die richtigen Ressourcen zur Verfügung stehen;so können die Mitarbeiter ihre Arbeit erledigen, während das Geschäft am Laufen bleibt. Im gegenwärtigen Klima konzentrieren sich Unternehmen und ihre Mitarbeiter darauf, auf bestmögliche Weise zu arbeiten - mit den richtigen Werkzeugen oder auch nicht. Infolgedessen sehen sich viele IT-Teams mit einer Vielzahl potenziell riskanter Szenarien konfrontiert:

>> Die Abteilungen kaufen Software und erwarten, dass die IT-Teams die Rechnung bezahlen. Dies geschieht natürlich auch in den besten Zeiten, aber Führungskräfte stehen heute mehr denn je unter Druck, ihre Teams zu unterstützen.

>> Mitarbeiter abonnieren SaaS-Anwendungen ohne Genehmigung der IT-Abteilung. Die Ausgaben sind unkontrolliert, zudem sind alle sensiblen Daten, die in diesen Anwendungen gespeichert sind, nicht rückverfolgbar und könnten zu einer potenziellen Sicherheitsverletzung führen.

>> Mitarbeiter melden sich für kostenlose Testversionen an, ohne Rücksicht auf die Sicherheit und mit wenig Rücksicht darauf, wie sie die Daten aus der Anwendung herausbekommen, wenn die kostenlose Testphase vorbei ist.

>> Die Einhaltung von Compliance ist ans Ende der Liste gerutscht, entweder weil die Bedenken nicht vollständig verständlich sind oder weil die Mitarbeiter aus ihrer Routine heraus sind.

Schaffen einer neuen Normalität
Die steigende Nutzung von SaaS wird zu einem Hardware- und Software-Problem. Nun, da die anfänglichen Auswirkungen und Veränderungen hoffentlich nachlassen, ist es an der Zeit, eine neue Grundlage für die IT zu schaffen. Das bedeutet, dass IT-Teams Folgendes tun sollten:

• >> alle neuen Geräte identifizieren und auflisten, die Mitarbeiter gekauft haben, um von zu Hause aus zu arbeiten,
• >> mit den Mitarbeitern zusammenarbeiten, um sicherzustellen, dass alle Geräte, alte und neue, mit der neuesten Software aktualisiert werden,
• >> neue Software und SaaS-Anwendungen identifizieren, die von den Mitarbeitern verwendet werden, und eine Due-Diligence-Prüfung hinsichtlich Kosten und Sicherheit durchführen,
• >> eine Liste von SaaS-Tools und -Anwendungen, die zur Nutzung durch die Mitarbeiter genehmigt sind, erstellen und herausgeben, um Compliance zu gewährleisten

Wenn die IT-Teams erst einmal ein Gespür für die neue Landschaft haben, müssen sie sich tiefer in die verwendeten SaaS-Anwendungen einarbeiten. Wenn sie neue Anbieter im Softwareportfolio entdecken, lässt sich die folgende Checkliste mit Fragen verwendet, um potenzielle Risiken im Zusammenhang mit der Software zu verstehen:

• >> Wem gehören die Daten, die in die Anwendung eingegeben werden?
• >> Wie werden die Daten separiert und geschützt?
• >> Wer hat Zugriff auf diese Daten?
• >> Wie wird die Identität überprüft?
• >> Welcher Sicherungs- und Wiederherstellungsprozess existiert und wann wurde er zuletzt getestet?
• >> Was passiert, wenn es einen Datensicherheitsvorfall gibt?
• >> Was passiert, wenn der Vertrag endet?

Versteckte Risiken bei SaaS
Zwar sind SaaS-Anwendungen vom ersten Tag an einfach zu erwerben und zu nutzen - es kann jedoch eine Herausforderung sein, solche Anwendungen nicht mehr zu nutzen. Sobald die neuen SaaS-Anwendungen, die von den Mitarbeitern eingesetzt werden, identifiziert sind, müssen die IT-Teams alle potenziellen Risiken untersuchen und minimieren.

Nicht alle Gefährdungen sind schädlich. Wenn wir zum Beispiel Zoom nehmen, können Benutzer das Videokonferenz-Tool bis zu 40 Minuten pro Anruf kostenlos nutzen. Wenn die Nutzung von Zoom jedoch in der Unternehmenskultur verankert wird, stehen die Chancen ziemlich gut, dass das Unternehmen in einem Jahr den Kauf in Erwägung zieht. Allerdings hat Zoom in letzter Zeit Probleme mit der Sicherheit und dem Datenschutz erfahren; und obwohl das Unternehmen sehr aktiv versucht hat, diese Probleme schnell zu lösen, hat z.B. Landesdatenschutzbeauftragte von Baden-Württemberg, Stefan Brink, Schulen aufgefordert, im digitalen Unterricht auf das Programm Zoom zu verzichten.

Wenn man sichzudem Box oder Dropbox oder sogar Microsoft-Teams ansieht– es ist schwierig, Daten aus diesen Plattformen wieder herauszubekommen. Dies ist nichts, das die Benutzer im Voraus in Betracht ziehen. Der Ausstieg aus dieser Art von SaaS-Vereinbarungen kann knifflig sein, daher sollten IT-Leiter die AGBs sorgfältig lesen.

Freie Versionen von SaaS-Anwendungen haben auch potenzielle Probleme mit der Datenhoheit. Während die Datenschutzgrundverordnung eine spezielle Klausel enthält, die ein Recht auf die Beantragung der Datenlöschung vorschreibt, machen einige Anbieter deutlich, dass die Datenlöschung nur für die bezahlten Abonnements gilt. Dies könnte Unternehmen am Ende vor schmerzhafte Compliance-Probleme stellen.

Diese merkwürdigen und unkontrollierbaren Umstände, in denen wir uns befinden, sind im Moment für jeden eine Herausforderung, sowohl persönlich als auch beruflich. Die oberste Priorität der Führungskräfte ist es, und das zu Recht, das Geschäft am Laufen zu halten. Obwohl kurzfristige Ziele derzeit im Mittelpunkt stehen, müssen die Unternehmen auch die Langfristigkeit im Auge behalten. SaaS-Anwendungen sind ein großartiges Werkzeug, um Mitarbeitern zu helfen, von überall aus so produktiv wie möglich zu sein, aber IT-Teams sollten im Auge behalten, welche Tools verwendet werden, sowohl neue als auch alte, und dabei nicht vergessen, dass es so etwas wie ein kostenloses Mittagessen nicht gibt.
(Snow Software: ra)

eingetragen: 08.06.20
Newsletterlauf: 26.09.20

Snow Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • Datensicherheit auf mehreren Ebenen

    Unternehmen verlassen sich bei der Verwaltung und Bereitstellung ihrer Daten zunehmend auf Cloud-Dienstleistungen. Dadurch müssen sich die Datenverantwortlichen zunehmend mit der nötigen Datensicherheit und -integrität auseinandersetzen.

  • Schock über die Cloud-Rechnung?

    Die Relevanz von Cloud Computing-Technologie hat im vergangenen Jahrzehnt rasant zugenommen und damit auch die Anzahl an Geschäftsprozessen und Services, die Unternehmen in die Cloud auslagern. Viele Unternehmen verfolgen dabei einen "Cloud first"-Ansatz als zentralen Bestandteil ihrer digitalen Transformationsbemühungen.

  • Einführung in CRaaS

    In der Datenwelt findet ein Sicherheitswettlauf statt. Mit dem Fortschritt der Technologie entwickeln sich aber auch die Waffen und Taktiken der Cyberkriminellen weiter. Unternehmen müssen deshalb ständig ihre Performance optimieren und bessere Methoden entwickeln, um sich vor neuen Attacken und Angriffsmethoden zu schützen.

  • Wenn das Flussdiagramm in die Cloud zieht

    Business-Process-Management (BPM) hat in den letzten Jahren eine steile Weiterentwicklung hingelegt. Das Dokumentationstool von einst, dessen Zweck vorwiegend darin bestand, eine möglichst große Zahl von Prozessen präzise zu visualisieren, hat sich zu einer vielseitig vernetzbaren Technologie entwickelt, die Geschäftsprozesse systemübergreifend analysiert und überwacht, mit dem Ziel Optimierungspotenziale zu nutzen.

  • Kenntnisse über AWS-Cloud-Mechanismen

    Das Sysdig Threat Research Team entdeckte kürzlich eine ausgeklügelte Cloud-Operation, genannt Scarleteel, welche in einer Kundenumgebung, zum Diebstahl geschützter Daten führte. Der Angreifer nutzte eine containerisierte Arbeitslast aus und verschaffte sich so Zugang zu einem AWS-Konto, um geschützte Software und Anmeldeinformationen zu stehlen.

  • Den richtigen Cloud-Service-Anbieter auswählen

    Vorschriften zur Datenhoheit, wie der Data Governance Act in Europa, können für Unternehmen eine Herausforderung darstellen. Eine der Hauptschwierigkeiten besteht darin, den Überblick darüber zu behalten, wo Daten gespeichert sind. Zudem müssen Unternehmen sicherstellen, dass die Speicherung mit den lokalen Datenschutzbestimmungen übereinstimmt.

  • Compliance vs. oder sogar mit IT-Sicherheit?

    Kleine und mittelständische Unternehmen (KMU) sehen sich seit Jahren mit Cyberattacken konfrontiert, die vor allem auf ihre Daten abzielen. In den letzten Jahren hat sich diese Perspektive dahingehend geändert, dass sie sich mit immer mehr Ransomware-Bedrohungen auseinandersetzen müssen. Beispiele dafür lassen sich so viele finden, dass sie nicht einzeln erwähnt werden müssen, allerdings sind in jüngster Zeit bereits Fahrradhersteller, Chemieproduzenten oder Nachrichtenmagazine darunter zu finden.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things.

  • Mit richtiger Unterstützung zum MSSP-Erfolg

    Auch kleine und mittlere Unternehmen (KMU) benötigen heute eine ganzheitliche IT-Sicherheitsstrategie, inklusive einer 24/7-Überwachung durch ein Security Operations Center (SOC). Sie verfügen aber meist nicht über die nötigen personellen und finanziellen Ressourcen, um diese Aufgabe selbst zu stemmen. Mit den richtigen Managed-Security-Angeboten schließen Reseller diese Lücke.

  • Keine Bestnoten für Deutschlands Rechenzentren

    Rechenzentren werden geplant, gebaut, in Betrieb genommen und dann viele Jahre lang mehr oder minder unverändert genutzt. Doch die Anforderungen der betreibenden Unternehmen, die technologischen Möglichkeiten und die gesetzlichen Rahmenbedingungen ändern sich im Laufe der Zeit. Um böse Überraschungen zu verhindern, Kosten zu sparen und Risiken zu vermeiden, ist es notwendig, Defizite in Bestandsrechenzentren zu entfernen und Optimierungspotentiale zu nutzen. Hierzu sollten Rechenzentren regelmäßig einer ganzheitlichen Betrachtung unterzogen werden.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen