Sie sind hier: Startseite » Markt » Tipps und Hinweise

Nutzung von As-a-Service und der Cloud


SaaS-Datensicherheit mit geteilter Verantwortung für Datensicherheit in der Cloud – Hycu erläutert die drei häufigsten Fehler
Umgang mit der Grauzone: Datenverantwortung bei SaaS - Modelle der geteilten Verantwortung (Shared responsibility) verstehen und kritische Fehler beim Schutz von Software-as-a-Service (SaaS)-Daten vermeiden


Von Angela Heindl-Schober, Senior Vice President bei Hycu

Viele Unternehmen verlieren den Überblick darüber, wie viele As-a-Service-Anwendungen sie aktuell nutzen. XaaS-Anwendungen, einschließlich SaaS, gehen über Microsoft 365 hinaus. XaaS umfasst alle Cloud Computing-Plattformen und alle ihnen zugrundeliegenden Dienste. Nutzer im Unternehmen sind in der Regel die Marketingorganisation, das Vertriebsteam, die Finanzabteilung und weitere Teams.

Das durchschnittliche mittelständische Unternehmen hat weit über 200 SaaS-Anwendungen im Einsatz, so einige Studien. Von "Digital Native"-Unternehmen bis hin zu "Fortune 500"-Unternehmen ist dies die Realität – und das offensichtliche Problem. Die folgende Abbildung ist ein Beispiel für den Tech-Stack, wie er bei vielen Unternehmen vorzufinden ist. Darin sind nicht alle Cloud-Dienste und As-a-Service-Anwendungen enthalten, die mit einer bestimmten Produktionsanwendung verbunden sind.

Es gibt viele Gründe, warum die Nutzung von SaaS-Anwendungen so beliebt ist. SaaS-Anwendungen bieten Skalierbarkeit und Flexibilität. Sobald Unternehmen eine SaaS-Anwendung abonniert haben, müssen sie sich nicht mehr um die Verwaltung vor Ort, das Patchen oder die Aktualisierung der Server- und Rechenzentrumsversionen kümmern. Die User besuchen die URL, melden sich an und nutzen die Anwendung. Einfacher geht es wirklich nicht. Natürlich gibt es viele SaaS-Anwendungen, die kostenlos verfügbar sind und die Kunden mit Upgrade-Funktionen ködern, die sie vielleicht brauchen oder auch nicht, aber das ist ein anderes Thema.

Die Einfachheit von SaaS hat jedoch zu einem massiven Missverständnis geführt. Viele Unternehmen gehen davon aus, dass sie nicht für die Sicherheit verantwortlich sind und sich daher auch nicht um Datensicherung, Compliance, Backup etc. kümmern müssen. Das ist ein weit verbreitetes Missverständnis, das auch riskant ist. Daher gilt es, zu verstehen, welche Verantwortung ein Unternehmen als Geschäftskunde bei einer Cloud- oder SaaS-Anwendung oder einem SaaS hat.

Der Anbieter ist für das System verantwortlich, nicht der Kunde.
Ein Beispiel wäre Jira Software, eine Atlassian-Anwendung und eine der meistgenutzten Anwendungen der Welt. Einmal heruntergeladen oder als Server- und Rechenzentrums-Edition gehostet, wird Jira hauptsächlich in der Atlassian Cloud verwendet. Jira wäre also das System und Atlassian dessen Eigentümer und alleiniger Verantwortlicher. Das bedeutet, dass der Eigentümer die gesamte Infrastruktur und Sicherheit verwaltet, den Betrieb am Laufen und das System sicher und geschützt hält.

Der Kunde ist für sein Konto und seine Daten verantwortlich, nicht der Cloud-Anbieter.
Eine gute Analogie, um ein System und die gemeinsame Verantwortung des Kunden zu verstehen, ist ein Parkhaus. Wenn ein Autofahrer einen Parkplatz sucht, fährt er in ein Parkhaus, bezahlt und kann dann parken. Das Parkhaus ist dafür verantwortlich, dass die Gebäudetechnik funktioniert und die Zugänglichkeit gewährleistet ist. Was ist aber mit dem Auto, wenn es zerkratzt wird, wenn jemand einbricht oder einsteigt, weil es nicht abgeschlossen war, und etwas stiehlt? Dafür ist nicht das Parkhaus verantwortlich, sondern der Autobesitzer selbst.

Das Parkhaus ist das System, das Auto sind die Daten. Das bedeutet, dass Unternehmen verantwortlich sind für:
>> Wiederherstellung von Daten/Konfigurationen, die verloren gegangen sind (gelöscht, beschädigt, verschlüsselt etc.).
>> Regelmäßige Erstellung von Backups und sicheren Kopien der eigenen Daten.
>> Erfüllung der Compliance-Anforderungen für das eigene Unternehmen (NIS2, DORA etc.).
>> Sicherung des Zugangs und der Berechtigungen innerhalb des eigenen Unternehmens.

Obwohl dies ein einfaches Modell ist, wissen die meisten IT-Administratoren und Anwendungsbesitzer nicht, dass es existiert. Aus diesem Grund gibt es immer wieder die gleichen drei kritischen Fehler, die Unternehmen machen:

Fehler Nr. 1: Die Annahme, dass der SaaS-Anbieter die Daten wiederherstellen wird.
Datenverluste sind vorprogrammiert, ganz gleich, welche Anwendung Unternehmen nutzen. Versehentliches Löschen, Bugs, Beschädigungen und sogar Bedrohungen durch Insider sind an der Tagesordnung. Die erste Reaktion der Kunden ist in der Regel die Annahme, dass sie den SaaS-Anbieter bitten können, ihre Daten wiederherzustellen. Natürlich werden die meisten SaaS-Anbieter versuchen zu helfen, aber die Realität ist, dass sie dies für ihre Kunden oft nicht machen können. In allen Shared-Responsibility-Modellen weisen die Anbieter ausdrücklich darauf hin, dass die Datensicherung und die Wiederherstellung verlorener Daten anhand von Kunden-Backups erfolgen muss.

Fehler Nr. 2: Annahme, dass Backups auf Systemebene auch eigene Backups sind.
Ja, Cloud-Plattformen und SaaS-Anwendungen bewahren ihre Backups auf. Dabei handelt es sich jedoch um Backups auf Systemebene, die für Disaster Recovery und Datenverlustszenarien innerhalb ihrer Infrastruktur verwendet werden. Diese Sicherungen sind für Wiederherstellungen auf Mieterebene nicht zugänglich. Die Cloud-Plattform verfügt zwar über Hochverfügbarkeit auf Systemebene, Disaster Recovery und Backups, um sicherzustellen, dass der Zugang und die Daten intakt sind. Hat jedoch einer der eigenen Administratoren des Kunden versehentlich Daten gelöscht, liegt dies in der eigenen Verantwortung des SaaS-Kunden. Salesforce beispielsweise führt Backups auf Systemebene durch, ergreift aber auch direkte Maßnahmen, um die Kunden über die Bedeutung der Datensicherung zu informieren.

Fehler Nr. 3: Datenaufbewahrung und Compliance nicht ernst nehmen.
Zurück zur Analogie mit dem Parkhaus: Im Falle eines Unfalls oder aufgrund gesetzlicher Bestimmungen müssen Autobesitzer ihr Auto versichern und können sich nicht auf die Versicherung des Parkhauses verlassen. Das Gleiche gilt für die Einhaltung von Vorschriften. Unternehmen können sich nicht auf SaaS verlassen, wenn sie gesetzliche Vorschriften (z. B. HIPAA) oder von der Regierung unterstützte Richtlinien wie NIS2 und DORA einhalten müssen. Sie müssen selbst die Compliance gewährleisten.

Die NIS2- und DORA-Vorschriften schreiben beispielsweise ausdrücklich vor, dass SaaS-Kunden Backups erstellen, die Wiederherstellung testen und dokumentieren müssen, dass sie alle erforderlichen Schritte durchgeführt haben. Sie können dafür nicht die Backups auf Systemebene verwenden, sondern müssen auf ihre eigenen zurückgreifen. NIS2 schreibt zudem vor, dass kritische Einrichtungen grundlegende Sicherheitsmaßnahmen ergreifen müssen, um bestimmten Formen wahrscheinlicher Cyberbedrohungen zu begegnen.

Was bedeutet das alles?
Unternehmen sollten nicht den Fehler begehen, den viele begehen, bevor es zu spät ist. Sie sollten sicherstellen, dass ihre Daten geschützt sind, dass sie in der Lage sind, Sicherungskopien zu erstellen und im unvermeidlichen Fall einer versehentlichen Löschung oder eines bösartigen Angriffs wiederherzustellen. Am wichtigsten ist es jedoch, zu wissen, was sie in ihrem Datenbestand haben und wie viele SaaS-Anwendungen oder Cloud-Dienste in ihrer Umgebung laufen. Entsprechende Lösungen gibt es – in Form von Data Protection as a Service. (Hycu: ra)

eingetragen: 30.07.24
Newsletterlauf: 09.09.24

Hycu: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps und Hinweise

  • Integration von Cloud-Infrastrukturen

    Cloud-Technologien werden zum Schlüsselfaktor für Wachstum und verbesserte Skalierbarkeit über das Kerngeschäft hinaus - auch bei Telekommunikationsanbietern (Telcos). Auch hier ist der Wandel zur Nutzung von Produkten und Dienstleistungen "On-Demand" im vollen Gange, sodass Telcos ihre Geschäftsmodelle weiterentwickeln und zunehmend als Managed-Service-Provider (MSPs) und Cloud-Service-Provider (CSPs) auftreten.

  • Acht Einsatzszenarien für Industrial AI

    Artificial Intelligence (AI) entwickelt sich zunehmend zur Schlüsselressource für die Wettbewerbsfähigkeit der deutschen Industrie. Doch wie weit ist die Branche wirklich? Laut einer aktuellen Bitkom-Befragung setzen bereits 42?Prozent der Industrieunternehmen des verarbeitenden Gewerbes in Deutschland AI in ihrer Produktion ein - ein weiteres Drittel (35?Prozent) plant entsprechende Projekte.

  • Ausfallkosten nur Spitze des Eisbergs

    Ungeplante Ausfälle in Rechenzentren sind seltener geworden, doch wenn sie eintreten, können sie verheerende Folgen haben. Laut der Uptime Institute Studie 2023 meldeten 55 Prozent der Betreiber in den vorangegangenen drei Jahren mindestens einen Ausfall - jeder zehnte davon war schwerwiegend oder kritisch. Zu den Ursachen gehören unter anderem Wartungsmängel, die sich mit einer strukturierten Instandhaltungsstrategie vermeiden lassen.

  • GenAI mächtig, aber nicht immer notwendig

    Jetzt auf den Hype rund um KI-Agenten aufzuspringen, klingt gerade in Zeiten des Fachkräftemangels für Unternehmen verlockend. Doch nicht alles, was glänzt, ist Gold. Viele Unternehmen investieren gerade in smarte Assistenten, Chatbots und Voicebots - allerdings scheitern einige dieser Projekte, ehe sie richtig begonnen haben: Schlecht umgesetzte KI-Agenten sorgen eher für Frust als für Effizienz, sowohl bei Kunden als auch bei den eigenen Mitarbeitern. Dabei werden immer wieder die gleichen Fehler gemacht. Besonders die folgenden drei sind leicht zu vermeiden.

  • Konsequent auf die Cloud setzen

    In der sich stetig wandelnden digitalen Welt reicht es nicht aus, mit den neuesten Technologien nur Schritt zu halten - Unternehmen müssen proaktiv handeln, um Innovationsführer zu werden. Entsprechend der neuen Studie "Driving Business Outcomes through Cost-Optimised Innovation" von SoftwareOne können Unternehmen, die gezielt ihre IT-Kosten optimieren, deutlich besser Innovationen vorantreiben und ihre Rentabilität sowie Markteinführungsgeschwindigkeit verbessern.

  • Fünf Mythen über Managed Services

    Managed Services sind ein Erfolgsmodell. Trotzdem existieren nach wie vor einige Vorbehalte gegenüber externen IT-Services. Der IT-Dienstleister CGI beschreibt die fünf hartnäckigsten Mythen und erklärt, warum diese längst überholt sind.

  • Datenschutz als Sammelbegriff

    Die Cloud hat sich längst zu einem neuen IT-Standard entwickelt. Ihr Einsatz bringt allerdings neue Herausforderungen mit sich - insbesondere im Hinblick auf geopolitische Risiken und die Gefahr einseitiger Abhängigkeiten. Klar ist: Unternehmen, Behörden und Betreiber kritischer Infrastrukturen benötigen eine kompromisslose Datensouveränität. Materna Virtual Solution zeigt, welche zentralen Komponenten dabei entscheidend sind.

  • Google Workspace trifft Microsoft 365

    Die Anforderungen an den digitalen Arbeitsplatz wachsen ständig. Wie können Unternehmen mit der Zeit gehen, ohne auf Sicherheit verzichten zu müssen? Eine Antwort könnte sein, Google Workspace an die Seite der Microsoft-365-Umgebung zu stellen. Welche Möglichkeiten eröffnet diese Kombination?

  • NIS2 trifft auf SaaS-Infrastruktur

    Die NIS2 (Network Information Security Directive)-Richtlinie zur Sicherheit von Netzwerken setzt neue Maßstäbe für die Cybersicherheit. Sie ist bekanntlich für öffentliche und private Einrichtungen in 18 Sektoren bindend, die entweder mindestens 50 Beschäftigte haben oder einen Jahresumsatz und eine Jahresbilanz von mindestens 10 Millionen Euro.

  • Sicher modernisieren & Daten schützen

    Viele Unternehmen haben die Cloud-Migration ihrer SAP-Landschaften lange Zeit aufgeschoben. ERP-Anwendungslandschaften, sind über viele Jahre hinweg gewachsen, die Verflechtungen vielfältig, die Datenmengen enorm und die Abhängigkeit der Business Continuity von diesen Systemen gigantisch. Dennoch: Der Druck zur ERP-Modernisierung steigt und viele Unternehmen werden 2025 das Projekt Cloud-Migration mit RISE with SAP angehen.

Java-basierte Infrastruktur optimieren Funktionsweise des Mailarchivs

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen