Sie sind hier: Startseite » Markt » Tipps und Hinweise

Nutzung von As-a-Service und der Cloud


SaaS-Datensicherheit mit geteilter Verantwortung für Datensicherheit in der Cloud – Hycu erläutert die drei häufigsten Fehler
Umgang mit der Grauzone: Datenverantwortung bei SaaS - Modelle der geteilten Verantwortung (Shared responsibility) verstehen und kritische Fehler beim Schutz von Software-as-a-Service (SaaS)-Daten vermeiden


Von Angela Heindl-Schober, Senior Vice President bei Hycu

Viele Unternehmen verlieren den Überblick darüber, wie viele As-a-Service-Anwendungen sie aktuell nutzen. XaaS-Anwendungen, einschließlich SaaS, gehen über Microsoft 365 hinaus. XaaS umfasst alle Cloud Computing-Plattformen und alle ihnen zugrundeliegenden Dienste. Nutzer im Unternehmen sind in der Regel die Marketingorganisation, das Vertriebsteam, die Finanzabteilung und weitere Teams.

Das durchschnittliche mittelständische Unternehmen hat weit über 200 SaaS-Anwendungen im Einsatz, so einige Studien. Von "Digital Native"-Unternehmen bis hin zu "Fortune 500"-Unternehmen ist dies die Realität – und das offensichtliche Problem. Die folgende Abbildung ist ein Beispiel für den Tech-Stack, wie er bei vielen Unternehmen vorzufinden ist. Darin sind nicht alle Cloud-Dienste und As-a-Service-Anwendungen enthalten, die mit einer bestimmten Produktionsanwendung verbunden sind.

Es gibt viele Gründe, warum die Nutzung von SaaS-Anwendungen so beliebt ist. SaaS-Anwendungen bieten Skalierbarkeit und Flexibilität. Sobald Unternehmen eine SaaS-Anwendung abonniert haben, müssen sie sich nicht mehr um die Verwaltung vor Ort, das Patchen oder die Aktualisierung der Server- und Rechenzentrumsversionen kümmern. Die User besuchen die URL, melden sich an und nutzen die Anwendung. Einfacher geht es wirklich nicht. Natürlich gibt es viele SaaS-Anwendungen, die kostenlos verfügbar sind und die Kunden mit Upgrade-Funktionen ködern, die sie vielleicht brauchen oder auch nicht, aber das ist ein anderes Thema.

Die Einfachheit von SaaS hat jedoch zu einem massiven Missverständnis geführt. Viele Unternehmen gehen davon aus, dass sie nicht für die Sicherheit verantwortlich sind und sich daher auch nicht um Datensicherung, Compliance, Backup etc. kümmern müssen. Das ist ein weit verbreitetes Missverständnis, das auch riskant ist. Daher gilt es, zu verstehen, welche Verantwortung ein Unternehmen als Geschäftskunde bei einer Cloud- oder SaaS-Anwendung oder einem SaaS hat.

Der Anbieter ist für das System verantwortlich, nicht der Kunde.
Ein Beispiel wäre Jira Software, eine Atlassian-Anwendung und eine der meistgenutzten Anwendungen der Welt. Einmal heruntergeladen oder als Server- und Rechenzentrums-Edition gehostet, wird Jira hauptsächlich in der Atlassian Cloud verwendet. Jira wäre also das System und Atlassian dessen Eigentümer und alleiniger Verantwortlicher. Das bedeutet, dass der Eigentümer die gesamte Infrastruktur und Sicherheit verwaltet, den Betrieb am Laufen und das System sicher und geschützt hält.

Der Kunde ist für sein Konto und seine Daten verantwortlich, nicht der Cloud-Anbieter.
Eine gute Analogie, um ein System und die gemeinsame Verantwortung des Kunden zu verstehen, ist ein Parkhaus. Wenn ein Autofahrer einen Parkplatz sucht, fährt er in ein Parkhaus, bezahlt und kann dann parken. Das Parkhaus ist dafür verantwortlich, dass die Gebäudetechnik funktioniert und die Zugänglichkeit gewährleistet ist. Was ist aber mit dem Auto, wenn es zerkratzt wird, wenn jemand einbricht oder einsteigt, weil es nicht abgeschlossen war, und etwas stiehlt? Dafür ist nicht das Parkhaus verantwortlich, sondern der Autobesitzer selbst.

Das Parkhaus ist das System, das Auto sind die Daten. Das bedeutet, dass Unternehmen verantwortlich sind für:
>> Wiederherstellung von Daten/Konfigurationen, die verloren gegangen sind (gelöscht, beschädigt, verschlüsselt etc.).
>> Regelmäßige Erstellung von Backups und sicheren Kopien der eigenen Daten.
>> Erfüllung der Compliance-Anforderungen für das eigene Unternehmen (NIS2, DORA etc.).
>> Sicherung des Zugangs und der Berechtigungen innerhalb des eigenen Unternehmens.

Obwohl dies ein einfaches Modell ist, wissen die meisten IT-Administratoren und Anwendungsbesitzer nicht, dass es existiert. Aus diesem Grund gibt es immer wieder die gleichen drei kritischen Fehler, die Unternehmen machen:

Fehler Nr. 1: Die Annahme, dass der SaaS-Anbieter die Daten wiederherstellen wird.
Datenverluste sind vorprogrammiert, ganz gleich, welche Anwendung Unternehmen nutzen. Versehentliches Löschen, Bugs, Beschädigungen und sogar Bedrohungen durch Insider sind an der Tagesordnung. Die erste Reaktion der Kunden ist in der Regel die Annahme, dass sie den SaaS-Anbieter bitten können, ihre Daten wiederherzustellen. Natürlich werden die meisten SaaS-Anbieter versuchen zu helfen, aber die Realität ist, dass sie dies für ihre Kunden oft nicht machen können. In allen Shared-Responsibility-Modellen weisen die Anbieter ausdrücklich darauf hin, dass die Datensicherung und die Wiederherstellung verlorener Daten anhand von Kunden-Backups erfolgen muss.

Fehler Nr. 2: Annahme, dass Backups auf Systemebene auch eigene Backups sind.
Ja, Cloud-Plattformen und SaaS-Anwendungen bewahren ihre Backups auf. Dabei handelt es sich jedoch um Backups auf Systemebene, die für Disaster Recovery und Datenverlustszenarien innerhalb ihrer Infrastruktur verwendet werden. Diese Sicherungen sind für Wiederherstellungen auf Mieterebene nicht zugänglich. Die Cloud-Plattform verfügt zwar über Hochverfügbarkeit auf Systemebene, Disaster Recovery und Backups, um sicherzustellen, dass der Zugang und die Daten intakt sind. Hat jedoch einer der eigenen Administratoren des Kunden versehentlich Daten gelöscht, liegt dies in der eigenen Verantwortung des SaaS-Kunden. Salesforce beispielsweise führt Backups auf Systemebene durch, ergreift aber auch direkte Maßnahmen, um die Kunden über die Bedeutung der Datensicherung zu informieren.

Fehler Nr. 3: Datenaufbewahrung und Compliance nicht ernst nehmen.
Zurück zur Analogie mit dem Parkhaus: Im Falle eines Unfalls oder aufgrund gesetzlicher Bestimmungen müssen Autobesitzer ihr Auto versichern und können sich nicht auf die Versicherung des Parkhauses verlassen. Das Gleiche gilt für die Einhaltung von Vorschriften. Unternehmen können sich nicht auf SaaS verlassen, wenn sie gesetzliche Vorschriften (z. B. HIPAA) oder von der Regierung unterstützte Richtlinien wie NIS2 und DORA einhalten müssen. Sie müssen selbst die Compliance gewährleisten.

Die NIS2- und DORA-Vorschriften schreiben beispielsweise ausdrücklich vor, dass SaaS-Kunden Backups erstellen, die Wiederherstellung testen und dokumentieren müssen, dass sie alle erforderlichen Schritte durchgeführt haben. Sie können dafür nicht die Backups auf Systemebene verwenden, sondern müssen auf ihre eigenen zurückgreifen. NIS2 schreibt zudem vor, dass kritische Einrichtungen grundlegende Sicherheitsmaßnahmen ergreifen müssen, um bestimmten Formen wahrscheinlicher Cyberbedrohungen zu begegnen.

Was bedeutet das alles?
Unternehmen sollten nicht den Fehler begehen, den viele begehen, bevor es zu spät ist. Sie sollten sicherstellen, dass ihre Daten geschützt sind, dass sie in der Lage sind, Sicherungskopien zu erstellen und im unvermeidlichen Fall einer versehentlichen Löschung oder eines bösartigen Angriffs wiederherzustellen. Am wichtigsten ist es jedoch, zu wissen, was sie in ihrem Datenbestand haben und wie viele SaaS-Anwendungen oder Cloud-Dienste in ihrer Umgebung laufen. Entsprechende Lösungen gibt es – in Form von Data Protection as a Service. (Hycu: ra)

eingetragen: 30.07.24
Newsletterlauf: 09.09.24

Hycu: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps und Hinweise

  • Wie sich Teamarbeit im KI-Zeitalter verändert

    Liefertermine wackeln, Teams arbeiten unter Dauerlast, Know-how verschwindet in der Rente: In vielen Industrieunternehmen gehört der Ausnahmezustand zum Betriebsalltag. Gleichzeitig soll die Zusammenarbeit in Produktion, Qualitätskontrolle und Wartung immer schneller, präziser und vernetzter werden. Wie das KI-gestützt gelingen kann, zeigt der Softwarehersteller Augmentir an sechs konkreten Praxisbeispielen.

  • Vom Workaround zum Schatten-Account

    Um Aufgaben im Arbeitsalltag schneller und effektiver zu erfüllen, ist die Suche nach Abkürzungen Gang und Gebe. In Kombination mit dem technologischen Fortschritt erreicht die Effizienz menschlicher Arbeit so immer neue Höhen und das bringt Unternehmen unwissentlich in eine Zwickmühle: Die zwischen Sicherheit und Produktivität. Wenn ein Mitarbeiter einen Weg findet, seine Arbeit schneller oder besser zu erledigen, die Bearbeitung von Zugriffsanfragen durch die IT-Abteilung aber zu lange dauert oder zu kompliziert ist, dann finden Mitarbeiter oftmals "kreative" Lösungen, um trotzdem weiterarbeiten zu können. Diese "Workarounds" entstehen selten aus böser Absicht. Allerdings stellen sie gravierende Sicherheitslücken dar, denen sich viele Beschäftigte und Führungskräfte nicht bewusst sind.

  • KI in der Cloud sicher nutzen

    Keine Technologie hat die menschliche Arbeit so schnell und weitreichend verändert wie Künstliche Intelligenz. Dabei gibt es bei der Integration in Unternehmensprozesse derzeit keine Tür, die man KI-basierter Technologie nicht aufhält. Mit einer wachsenden Anzahl von KI-Agenten, LLMs und KI-basierter Software gibt es für jedes Problem einen Anwendungsfall. Die Cloud ist mit ihrer immensen Rechenleistung und Skalierbarkeit ein Motor dieser Veränderung und Grundlage für die KI-Bereitstellung.

  • Clever skalieren auf Basis bestehender Strukturen

    Da Generative AI zunehmend Teil unseres Alltags wird, befinden wir uns in einer KI-Phase, die sich durch außerordentliche Fähigkeiten und enormen Konsum auszeichnet. Was anfangs auf einer theoretischen Ebene stattgefunden hat, ist inzwischen messbar - und zwar bis zur kleinsten Einheit. Aktuelle Untersuchungen von Mistral AI und Google deuten darauf hin, dass die Folgen einer einzigen Interaktion vernachlässigbar sind: Bruchteile eines Watts, einige Tropfen Wasser und ein Kohlenstoffausstoß, der etwa dem entspricht, was beim Streamen eines Videos unter einer Minute verbraucht wird.

  • Von Cloud-First zu Cloud-Smart

    Die zunehmende Vernetzung von IT- und OT-Systemen bedeutet für die Fertigungsindustrie neue Sicherheitsrisiken. Ein moderner Cloud-Smart-Ansatz verbindet Innovation mit effektiven Sicherheitslösungen, um diesen Herausforderungen gerecht zu werden. Die industrielle Digitalisierung stellt die Fertigungsindustrie heute vor neue Herausforderungen - insbesondere in puncto Sicherheit.

  • Technik statt Vertrauen

    Die andauernden Turbulenzen in den USA seit Amtsantritt von Donald Trump, die konsequente Kürzung von Mitteln für Datenschutz und die Kontrolle staatlicher Überwachungsprogramme verdeutlichen: Wer als Behörde oder Institution höchste Datensicherheit garantieren muss, kann nicht auf US-amerikanische Unternehmen oder deren europäische Töchter setzen.

  • Risiko von SaaS-zu-SaaS-Integrationen

    Ein SaaS-Sicherheitsalbtraum für IT-Manager in aller Welt wurde kürzlich wahr: Hacker nutzten legitime OAuth-Tokens aus der Drift-Chatbot-Integration von Salesloft mit Salesforce, um unbemerkt Kundendaten von der beliebten CRM-Plattform zu exfiltrieren. Der ausgeklügelte Angriff deckt einen kritischen toten Winkel auf, von dem die meisten Sicherheits-Teams nicht einmal wissen, dass sie von ihm betroffen sind.

  • Kostenfallen erkennen und vermeiden

    Remote Work, Cloud Computing und mobile Endgeräte haben die Arbeitswelt grundlegend verändert. Mitarbeiter erwarten heute, von überall aus auf ihre Anwendungen und Daten zugreifen zu können. Virtuelle Desktop-Lösungen machen diese Flexibilität möglich, indem sie Desktop-Umgebungen und Anwendungen über das Netzwerk eines Unternehmens bereitstellen. Doch der Markt für solche Lösungen ist komplex und vielfältig. IT-Entscheider stehen vor der Herausforderung, aus dem Angebot die passende Lösung zu identifizieren, die sowohl technische Anforderungen als auch wirtschaftliche Ziele erfüllt.

  • Übergang in die neue Systemlandschaft

    Der Umstieg auf SAP S/4HANA ist bei vielen Unternehmen bereits in vollem Gange oder steht unmittelbar bevor. Wer in diesem Zusammenhang seine Archivierungsstrategie überdenkt, kann wertvolle Zeit, Kosten und Aufwand sparen. Die Archivierungsexperten von kgs haben zehn zentrale Aspekte zusammengestellt, die dabei helfen, den Übergang in die neue Systemlandschaft effizient und zukunftssicher zu gestalten.

  • Die Zukunft braucht offene KI-Infrastrukturen

    KI ist mehr als ein ominöses Hinterzimmer-Experiment. Die Technologie ist eine treibende Kraft, wenn es um Produkte, Entscheidungen und Nutzererfahrungen über jegliche Wirtschaftsbereiche hinaus geht. Mittlerweile stellen Unternehmen jedoch die Inferenz in den Mittelpunkt ihrer KI-Implementierungen. Hier können die Modelle ihren eigentlichen Mehrwert unter Beweis stellen - unter anderem in Form von Antworten auf drängende Fragen, Vorhersagen und Content-Generierung. Der Anstieg des Inferenz-Bedarfs bringt jedoch eine entscheidende Herausforderung mit sich. Bei Inferenzen handelt es sich nämlich nicht um einzelne Workloads.

Java-basierte Infrastruktur optimieren Funktionsweise des Mailarchivs

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen