Sie sind hier: Startseite » Fachartikel » Hintergrund

Versteckte Risiken bei SaaS


Home Office und die Zunahme von SaaS
Die steigende Nutzung von SaaS wird zu einem Hardware- und Software-Problem


Mark Lillywhite, Senior Solutions Consultant bei Snow Software

Infolge der COVID-19-Maßnahmen fokussieren Führungskräfte sich auf die Aufrechterhaltung der Mitarbeiterproduktivität –dabei bleibt wenig Zeit für das erforderliche Maß an Sorgfalt, das gewöhnlich angewandt wird. Leider ist dies die Realität in der Welt, in der wir gerade leben, aber in absehbarer Zukunft sitzen wir alle im selben Boot. Die Auswirkungen unserer gegenwärtigen Normalität sind sehr unterschiedlich. Wie ein Unternehmen darauf reagieren musste, hing stark davon ab, wie dieses vor der aktuellen Krise gearbeitet hat. Einige Unternehmen waren bereits in hohem Maße mobil und mussten lediglich die verbleibenden Büro-Mitarbeiter dazu in die Lage versetzen. Andere Unternehmen mussten ihre Arbeitsweise völlig umstellen und manchmal die Mitarbeiter auffordern, Laptops zu kaufen, weil die Unternehmensressourcen begrenzt waren und die Schwierigkeiten in der globalen Gerätelieferkette zu groß waren.

Unabhängig davon, wie die Situation vor COVID-19 aussah, hat die neue Realität zu einem ungeplanten Anstieg des Einsatzes von SaaS (Software-as-a-Service) geführt, was Bedenken bei den IT-Entscheidungsträgern hervorrief. Die Sorge ist berechtigt, aber es gibt einen Weg, die mit dem Anstieg der SaaS-Nutzung verbundenen Risiken zu bewältigen und zu verhindern. Wenn wir die Herausforderungen aufschlüsseln, lassen sich typische Themen und Lösungen erkennen.

Ausbreitung von SaaS
Die Aufgabe des IT-Teams besteht darin, die Ordnung im Technologie-Ökosystem aufrechtzuerhalten und sicherzustellen, dass die richtigen Ressourcen zur Verfügung stehen;so können die Mitarbeiter ihre Arbeit erledigen, während das Geschäft am Laufen bleibt. Im gegenwärtigen Klima konzentrieren sich Unternehmen und ihre Mitarbeiter darauf, auf bestmögliche Weise zu arbeiten - mit den richtigen Werkzeugen oder auch nicht. Infolgedessen sehen sich viele IT-Teams mit einer Vielzahl potenziell riskanter Szenarien konfrontiert:

>> Die Abteilungen kaufen Software und erwarten, dass die IT-Teams die Rechnung bezahlen. Dies geschieht natürlich auch in den besten Zeiten, aber Führungskräfte stehen heute mehr denn je unter Druck, ihre Teams zu unterstützen.

>> Mitarbeiter abonnieren SaaS-Anwendungen ohne Genehmigung der IT-Abteilung. Die Ausgaben sind unkontrolliert, zudem sind alle sensiblen Daten, die in diesen Anwendungen gespeichert sind, nicht rückverfolgbar und könnten zu einer potenziellen Sicherheitsverletzung führen.

>> Mitarbeiter melden sich für kostenlose Testversionen an, ohne Rücksicht auf die Sicherheit und mit wenig Rücksicht darauf, wie sie die Daten aus der Anwendung herausbekommen, wenn die kostenlose Testphase vorbei ist.

>> Die Einhaltung von Compliance ist ans Ende der Liste gerutscht, entweder weil die Bedenken nicht vollständig verständlich sind oder weil die Mitarbeiter aus ihrer Routine heraus sind.

Schaffen einer neuen Normalität
Die steigende Nutzung von SaaS wird zu einem Hardware- und Software-Problem. Nun, da die anfänglichen Auswirkungen und Veränderungen hoffentlich nachlassen, ist es an der Zeit, eine neue Grundlage für die IT zu schaffen. Das bedeutet, dass IT-Teams Folgendes tun sollten:

• >> alle neuen Geräte identifizieren und auflisten, die Mitarbeiter gekauft haben, um von zu Hause aus zu arbeiten,
• >> mit den Mitarbeitern zusammenarbeiten, um sicherzustellen, dass alle Geräte, alte und neue, mit der neuesten Software aktualisiert werden,
• >> neue Software und SaaS-Anwendungen identifizieren, die von den Mitarbeitern verwendet werden, und eine Due-Diligence-Prüfung hinsichtlich Kosten und Sicherheit durchführen,
• >> eine Liste von SaaS-Tools und -Anwendungen, die zur Nutzung durch die Mitarbeiter genehmigt sind, erstellen und herausgeben, um Compliance zu gewährleisten

Wenn die IT-Teams erst einmal ein Gespür für die neue Landschaft haben, müssen sie sich tiefer in die verwendeten SaaS-Anwendungen einarbeiten. Wenn sie neue Anbieter im Softwareportfolio entdecken, lässt sich die folgende Checkliste mit Fragen verwendet, um potenzielle Risiken im Zusammenhang mit der Software zu verstehen:

• >> Wem gehören die Daten, die in die Anwendung eingegeben werden?
• >> Wie werden die Daten separiert und geschützt?
• >> Wer hat Zugriff auf diese Daten?
• >> Wie wird die Identität überprüft?
• >> Welcher Sicherungs- und Wiederherstellungsprozess existiert und wann wurde er zuletzt getestet?
• >> Was passiert, wenn es einen Datensicherheitsvorfall gibt?
• >> Was passiert, wenn der Vertrag endet?

Versteckte Risiken bei SaaS
Zwar sind SaaS-Anwendungen vom ersten Tag an einfach zu erwerben und zu nutzen - es kann jedoch eine Herausforderung sein, solche Anwendungen nicht mehr zu nutzen. Sobald die neuen SaaS-Anwendungen, die von den Mitarbeitern eingesetzt werden, identifiziert sind, müssen die IT-Teams alle potenziellen Risiken untersuchen und minimieren.

Nicht alle Gefährdungen sind schädlich. Wenn wir zum Beispiel Zoom nehmen, können Benutzer das Videokonferenz-Tool bis zu 40 Minuten pro Anruf kostenlos nutzen. Wenn die Nutzung von Zoom jedoch in der Unternehmenskultur verankert wird, stehen die Chancen ziemlich gut, dass das Unternehmen in einem Jahr den Kauf in Erwägung zieht. Allerdings hat Zoom in letzter Zeit Probleme mit der Sicherheit und dem Datenschutz erfahren; und obwohl das Unternehmen sehr aktiv versucht hat, diese Probleme schnell zu lösen, hat z.B. Landesdatenschutzbeauftragte von Baden-Württemberg, Stefan Brink, Schulen aufgefordert, im digitalen Unterricht auf das Programm Zoom zu verzichten.

Wenn man sichzudem Box oder Dropbox oder sogar Microsoft-Teams ansieht– es ist schwierig, Daten aus diesen Plattformen wieder herauszubekommen. Dies ist nichts, das die Benutzer im Voraus in Betracht ziehen. Der Ausstieg aus dieser Art von SaaS-Vereinbarungen kann knifflig sein, daher sollten IT-Leiter die AGBs sorgfältig lesen.

Freie Versionen von SaaS-Anwendungen haben auch potenzielle Probleme mit der Datenhoheit. Während die Datenschutzgrundverordnung eine spezielle Klausel enthält, die ein Recht auf die Beantragung der Datenlöschung vorschreibt, machen einige Anbieter deutlich, dass die Datenlöschung nur für die bezahlten Abonnements gilt. Dies könnte Unternehmen am Ende vor schmerzhafte Compliance-Probleme stellen.

Diese merkwürdigen und unkontrollierbaren Umstände, in denen wir uns befinden, sind im Moment für jeden eine Herausforderung, sowohl persönlich als auch beruflich. Die oberste Priorität der Führungskräfte ist es, und das zu Recht, das Geschäft am Laufen zu halten. Obwohl kurzfristige Ziele derzeit im Mittelpunkt stehen, müssen die Unternehmen auch die Langfristigkeit im Auge behalten. SaaS-Anwendungen sind ein großartiges Werkzeug, um Mitarbeitern zu helfen, von überall aus so produktiv wie möglich zu sein, aber IT-Teams sollten im Auge behalten, welche Tools verwendet werden, sowohl neue als auch alte, und dabei nicht vergessen, dass es so etwas wie ein kostenloses Mittagessen nicht gibt.
(Snow Software: ra)

eingetragen: 08.06.20
Newsletterlauf: 26.09.20

Snow Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • Auf dem Weg zum klimaneutralen Rechenzentrum

    ESRS, CSRD, EnEfG … um die verschiedenen gesetzlichen Nachhaltigkeits-Regularien zu erfüllen, benötigen Betreiber von Rechenzentren mehr Transparenz über den Energieverbrauch und die Treibhausgas-Emissionen ihrer IT-Infrastruktur.

  • Dokumentenmanagement und elektronische Signatur

    Damit Unternehmen nicht nur zeitgemäß, sondern auch zukunftsträchtig arbeiten, ist eine Digitalisierung ihrer Geschäftsprozesse unumgänglich. Viele manuelle und behäbige Abläufe lassen sich mit einem digitalen Dokumentenmanagement optimieren. Es gilt, Aufgaben und Dokumente digital zu organisieren und Abläufe so weit wie möglich zu automatisieren.

  • Daten aus der iCloud extrahieren

    Zwölf Jahre ist es her, seit ElcomSoft erstmals iCloud-Backups direkt von Apple herunterladen und die Daten auslesen konnte. Während die einen sagten, dass es keine große Leistung sei, mit dem richtigen Passwort Daten aus einem Online-Backup zu laden, fühlten sich andere in ihrer Auffassung bestätigt, dass Cloud-Speicher ein unkalkulierbares Sicherheitsrisiko seien. Aber beide Sichtweisen waren damals schon stark vereinfacht und sind heute schlicht falsch.

  • Digital Twin der Lieferkette

    Fällt das Wort Lieferkettensorgfaltspflichtengesetz (LkSG), schießt einem meist zeitgleich der Begriff Transparenz in den Kopf. Denn darum geht es doch, oder? Auch! Aber nur Transparenz über die eigene Lieferkette zu erhalten, bringt erstmal wenig. Der Trick ist, zeitgleich eine flexible, optimierte Lieferkette anzustreben - sowohl operativ als auch strategisch.

  • Was bedeutet IT-Automatisierung?

    Eine neue Anwendung zur unternehmensinternen Kommunikation soll auf den PCs aller Mitarbeitenden installiert werden? Eine Routine-Aufgabe für die IT-Abteilung, die das Personal bei einem mittelständischen Unternehmen mit rund 100 Mitarbeitenden manuell umsetzen könnte. Beim Besuch jeder Kollegin und jedes Kollegen am Schreibtisch oder per Remote-Zugriff auf den PC wäre die Applikation, je nach Personalstärke, innerhalb von Stunden überall installiert.

  • Datensicherheit auf mehreren Ebenen

    Unternehmen verlassen sich bei der Verwaltung und Bereitstellung ihrer Daten zunehmend auf Cloud-Dienstleistungen. Dadurch müssen sich die Datenverantwortlichen zunehmend mit der nötigen Datensicherheit und -integrität auseinandersetzen.

  • Schock über die Cloud-Rechnung?

    Die Relevanz von Cloud Computing-Technologie hat im vergangenen Jahrzehnt rasant zugenommen und damit auch die Anzahl an Geschäftsprozessen und Services, die Unternehmen in die Cloud auslagern. Viele Unternehmen verfolgen dabei einen "Cloud first"-Ansatz als zentralen Bestandteil ihrer digitalen Transformationsbemühungen.

  • Einführung in CRaaS

    In der Datenwelt findet ein Sicherheitswettlauf statt. Mit dem Fortschritt der Technologie entwickeln sich aber auch die Waffen und Taktiken der Cyberkriminellen weiter. Unternehmen müssen deshalb ständig ihre Performance optimieren und bessere Methoden entwickeln, um sich vor neuen Attacken und Angriffsmethoden zu schützen.

  • Wenn das Flussdiagramm in die Cloud zieht

    Business-Process-Management (BPM) hat in den letzten Jahren eine steile Weiterentwicklung hingelegt. Das Dokumentationstool von einst, dessen Zweck vorwiegend darin bestand, eine möglichst große Zahl von Prozessen präzise zu visualisieren, hat sich zu einer vielseitig vernetzbaren Technologie entwickelt, die Geschäftsprozesse systemübergreifend analysiert und überwacht, mit dem Ziel Optimierungspotenziale zu nutzen.

  • Kenntnisse über AWS-Cloud-Mechanismen

    Das Sysdig Threat Research Team entdeckte kürzlich eine ausgeklügelte Cloud-Operation, genannt Scarleteel, welche in einer Kundenumgebung, zum Diebstahl geschützter Daten führte. Der Angreifer nutzte eine containerisierte Arbeitslast aus und verschaffte sich so Zugang zu einem AWS-Konto, um geschützte Software und Anmeldeinformationen zu stehlen.

Videoüberwachung als Cloud-nativer Dienst Immer mehr Daten werden in der Cloud geboren

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen