Sie sind hier: Startseite » Markt » Tipps und Hinweise

Nutzung von As-a-Service und der Cloud


SaaS-Datensicherheit mit geteilter Verantwortung für Datensicherheit in der Cloud – Hycu erläutert die drei häufigsten Fehler
Umgang mit der Grauzone: Datenverantwortung bei SaaS - Modelle der geteilten Verantwortung (Shared responsibility) verstehen und kritische Fehler beim Schutz von Software-as-a-Service (SaaS)-Daten vermeiden


Von Angela Heindl-Schober, Senior Vice President bei Hycu

Viele Unternehmen verlieren den Überblick darüber, wie viele As-a-Service-Anwendungen sie aktuell nutzen. XaaS-Anwendungen, einschließlich SaaS, gehen über Microsoft 365 hinaus. XaaS umfasst alle Cloud Computing-Plattformen und alle ihnen zugrundeliegenden Dienste. Nutzer im Unternehmen sind in der Regel die Marketingorganisation, das Vertriebsteam, die Finanzabteilung und weitere Teams.

Das durchschnittliche mittelständische Unternehmen hat weit über 200 SaaS-Anwendungen im Einsatz, so einige Studien. Von "Digital Native"-Unternehmen bis hin zu "Fortune 500"-Unternehmen ist dies die Realität – und das offensichtliche Problem. Die folgende Abbildung ist ein Beispiel für den Tech-Stack, wie er bei vielen Unternehmen vorzufinden ist. Darin sind nicht alle Cloud-Dienste und As-a-Service-Anwendungen enthalten, die mit einer bestimmten Produktionsanwendung verbunden sind.

Es gibt viele Gründe, warum die Nutzung von SaaS-Anwendungen so beliebt ist. SaaS-Anwendungen bieten Skalierbarkeit und Flexibilität. Sobald Unternehmen eine SaaS-Anwendung abonniert haben, müssen sie sich nicht mehr um die Verwaltung vor Ort, das Patchen oder die Aktualisierung der Server- und Rechenzentrumsversionen kümmern. Die User besuchen die URL, melden sich an und nutzen die Anwendung. Einfacher geht es wirklich nicht. Natürlich gibt es viele SaaS-Anwendungen, die kostenlos verfügbar sind und die Kunden mit Upgrade-Funktionen ködern, die sie vielleicht brauchen oder auch nicht, aber das ist ein anderes Thema.

Die Einfachheit von SaaS hat jedoch zu einem massiven Missverständnis geführt. Viele Unternehmen gehen davon aus, dass sie nicht für die Sicherheit verantwortlich sind und sich daher auch nicht um Datensicherung, Compliance, Backup etc. kümmern müssen. Das ist ein weit verbreitetes Missverständnis, das auch riskant ist. Daher gilt es, zu verstehen, welche Verantwortung ein Unternehmen als Geschäftskunde bei einer Cloud- oder SaaS-Anwendung oder einem SaaS hat.

Der Anbieter ist für das System verantwortlich, nicht der Kunde.
Ein Beispiel wäre Jira Software, eine Atlassian-Anwendung und eine der meistgenutzten Anwendungen der Welt. Einmal heruntergeladen oder als Server- und Rechenzentrums-Edition gehostet, wird Jira hauptsächlich in der Atlassian Cloud verwendet. Jira wäre also das System und Atlassian dessen Eigentümer und alleiniger Verantwortlicher. Das bedeutet, dass der Eigentümer die gesamte Infrastruktur und Sicherheit verwaltet, den Betrieb am Laufen und das System sicher und geschützt hält.

Der Kunde ist für sein Konto und seine Daten verantwortlich, nicht der Cloud-Anbieter.
Eine gute Analogie, um ein System und die gemeinsame Verantwortung des Kunden zu verstehen, ist ein Parkhaus. Wenn ein Autofahrer einen Parkplatz sucht, fährt er in ein Parkhaus, bezahlt und kann dann parken. Das Parkhaus ist dafür verantwortlich, dass die Gebäudetechnik funktioniert und die Zugänglichkeit gewährleistet ist. Was ist aber mit dem Auto, wenn es zerkratzt wird, wenn jemand einbricht oder einsteigt, weil es nicht abgeschlossen war, und etwas stiehlt? Dafür ist nicht das Parkhaus verantwortlich, sondern der Autobesitzer selbst.

Das Parkhaus ist das System, das Auto sind die Daten. Das bedeutet, dass Unternehmen verantwortlich sind für:
>> Wiederherstellung von Daten/Konfigurationen, die verloren gegangen sind (gelöscht, beschädigt, verschlüsselt etc.).
>> Regelmäßige Erstellung von Backups und sicheren Kopien der eigenen Daten.
>> Erfüllung der Compliance-Anforderungen für das eigene Unternehmen (NIS2, DORA etc.).
>> Sicherung des Zugangs und der Berechtigungen innerhalb des eigenen Unternehmens.

Obwohl dies ein einfaches Modell ist, wissen die meisten IT-Administratoren und Anwendungsbesitzer nicht, dass es existiert. Aus diesem Grund gibt es immer wieder die gleichen drei kritischen Fehler, die Unternehmen machen:

Fehler Nr. 1: Die Annahme, dass der SaaS-Anbieter die Daten wiederherstellen wird.
Datenverluste sind vorprogrammiert, ganz gleich, welche Anwendung Unternehmen nutzen. Versehentliches Löschen, Bugs, Beschädigungen und sogar Bedrohungen durch Insider sind an der Tagesordnung. Die erste Reaktion der Kunden ist in der Regel die Annahme, dass sie den SaaS-Anbieter bitten können, ihre Daten wiederherzustellen. Natürlich werden die meisten SaaS-Anbieter versuchen zu helfen, aber die Realität ist, dass sie dies für ihre Kunden oft nicht machen können. In allen Shared-Responsibility-Modellen weisen die Anbieter ausdrücklich darauf hin, dass die Datensicherung und die Wiederherstellung verlorener Daten anhand von Kunden-Backups erfolgen muss.

Fehler Nr. 2: Annahme, dass Backups auf Systemebene auch eigene Backups sind.
Ja, Cloud-Plattformen und SaaS-Anwendungen bewahren ihre Backups auf. Dabei handelt es sich jedoch um Backups auf Systemebene, die für Disaster Recovery und Datenverlustszenarien innerhalb ihrer Infrastruktur verwendet werden. Diese Sicherungen sind für Wiederherstellungen auf Mieterebene nicht zugänglich. Die Cloud-Plattform verfügt zwar über Hochverfügbarkeit auf Systemebene, Disaster Recovery und Backups, um sicherzustellen, dass der Zugang und die Daten intakt sind. Hat jedoch einer der eigenen Administratoren des Kunden versehentlich Daten gelöscht, liegt dies in der eigenen Verantwortung des SaaS-Kunden. Salesforce beispielsweise führt Backups auf Systemebene durch, ergreift aber auch direkte Maßnahmen, um die Kunden über die Bedeutung der Datensicherung zu informieren.

Fehler Nr. 3: Datenaufbewahrung und Compliance nicht ernst nehmen.
Zurück zur Analogie mit dem Parkhaus: Im Falle eines Unfalls oder aufgrund gesetzlicher Bestimmungen müssen Autobesitzer ihr Auto versichern und können sich nicht auf die Versicherung des Parkhauses verlassen. Das Gleiche gilt für die Einhaltung von Vorschriften. Unternehmen können sich nicht auf SaaS verlassen, wenn sie gesetzliche Vorschriften (z. B. HIPAA) oder von der Regierung unterstützte Richtlinien wie NIS2 und DORA einhalten müssen. Sie müssen selbst die Compliance gewährleisten.

Die NIS2- und DORA-Vorschriften schreiben beispielsweise ausdrücklich vor, dass SaaS-Kunden Backups erstellen, die Wiederherstellung testen und dokumentieren müssen, dass sie alle erforderlichen Schritte durchgeführt haben. Sie können dafür nicht die Backups auf Systemebene verwenden, sondern müssen auf ihre eigenen zurückgreifen. NIS2 schreibt zudem vor, dass kritische Einrichtungen grundlegende Sicherheitsmaßnahmen ergreifen müssen, um bestimmten Formen wahrscheinlicher Cyberbedrohungen zu begegnen.

Was bedeutet das alles?
Unternehmen sollten nicht den Fehler begehen, den viele begehen, bevor es zu spät ist. Sie sollten sicherstellen, dass ihre Daten geschützt sind, dass sie in der Lage sind, Sicherungskopien zu erstellen und im unvermeidlichen Fall einer versehentlichen Löschung oder eines bösartigen Angriffs wiederherzustellen. Am wichtigsten ist es jedoch, zu wissen, was sie in ihrem Datenbestand haben und wie viele SaaS-Anwendungen oder Cloud-Dienste in ihrer Umgebung laufen. Entsprechende Lösungen gibt es – in Form von Data Protection as a Service. (Hycu: ra)

eingetragen: 30.07.24
Newsletterlauf: 09.09.24

Hycu: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Tipps und Hinweise

  • Wirksamkeit von KI-Lösungen

    Die Vorteile der generativen KI sind in den letzten Jahren immer deutlicher geworden. Unternehmen erzielten nicht nur wertvolle Produktivitäts- und Effizienzsteigerungen, sie verbesserten auch die Arbeitsmoral, indem sie den Zeitaufwand für einfache Aufgaben reduzierten.

  • SaaS-Backup-Lösung für Microsoft 365 & Co.

    Nach Angaben von Microsoft nutzen weltweit mehr als 85 Millionen Menschen Microsoft 365. Die bekannte Office Suite bietet seinen Anwendern wichtige Software-as-a-Service (SaaS)-Funktionen wie E-Mail, Dateispeicherung oder Kollaborationsanwendungen

  • Java bleibt IT-Alltag

    Java gibt es seit 1995. Hat die Technologie bald ausgedient? Auf keinen Fall! Tatsächlich wird die Programmiersprache ihre führende Rolle behaupten - und sogar noch an Bedeutung gewinnen.

  • Risiken für SaaS-Daten

    Statista zufolge nutzen 70 Prozent der Unternehmen mit bis zu 500 Mitarbeitern (Software-as-a-Service) SaaS beziehungsweise auf Cloud Computing basierende Anwendungssoftware. Insgesamt haben durchschnittlich über alle Branchen und Unternehmensgrößen hinweg 56 Prozent der Unternehmen weltweit SaaS-Anwendungen eingeführt. Die Chancen, zu den Profiteuren dieser Cloud-Dienstleitungen zu gehören, stehen also gut.

  • Digitale Technologien im Kundenservice

    In der heutigen Geschäftswelt wird der Kundenservice immer mehr zum entscheidenden Wettbewerbsvorteil. Unternehmen, die ihren Serviceprozess optimieren, profitieren nicht nur von einer höheren Kundenzufriedenheit, sondern auch von gesteigerter Effizienz und neuen Umsatzpotenzialen. Doch der Weg dahin ist voller Herausforderungen.

  • Unternehmensweite Gen-AI-Projekte

    Viele Unternehmen beschäftigen sich bereits mit generativer KI (Gen-AI) und versuchen, damit die Produktivität zu steigern und die Benutzererfahrung zu verbessern. Fast drei Viertel der Unternehmen haben laut Accenture Künstliche Intelligenz zu ihrer obersten digitalen Investitionspriorität für 2024 gemacht.

  • Bandbreite der CNAPP-Funktionen verstehen

    Da sich viele Unternehmen von der zunehmenden Komplexität einer Cloud Computing-Lösung überfordert fühlen, haben sich Cloud Native Application Protection Platforms (CNAPP) zur Gewährleistung einer umfassenden und optimierten IT-Sicherheit etabliert.

  • Unternehmensweite Gen-AI-Projekte

    Laut der AWS-Umfrage verwenden etwa 45 Prozent der Unternehmen Gen-AI-Tools, um den Kundensupport zu verbessern, hauptsächlich durch den Einsatz von Chatbots. Zwischen 35 Prozent und 40 Prozent dieser Führungskräfte geben auch an, dass ihre Unternehmen diese Tools nutzen, um die persönliche Produktivität zu steigern oder die Softwareentwicklung zu beschleunigen (in Form von Code-Assistenten), und weitere 32 Prozent für Vertrieb und Marketing (für personalisierte Kampagnen und Angebote).

  • Einfacher Zugang zu Expertenwissen

    Muss man denn alles selber machen? In Sachen Cybersecurity war das bis vor Kurzem noch so. Heute spricht allerdings viel dafür, Teile der IT-Sicherheit an externe Dienstleister auszulagern. Ontinue, Expertin für Managed Extended Detection and Response (MXDR), nennt die fünf wichtigsten Gründe.

  • Java-basierte Infrastruktur optimieren

    Unternehmen verlagern zunehmend Workloads in die Cloud. Doch bei allen Vorteilen entpuppt sich die neue Umgebung oft als Kostenfalle. Die meisten Unternehmen zahlen für Ressourcen, die sie gar nicht nutzen. Das hat verschiedene Gründe. CIOs müssen sicherstellen, dass Applikationen in der Cloud performant funktionieren und eine gute Nutzererfahrung bieten.

Java-basierte Infrastruktur optimieren Funktionsweise des Mailarchivs

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen