Sie sind hier: Startseite » Markt » Tipps und Hinweise

Nutzung von As-a-Service und der Cloud


SaaS-Datensicherheit mit geteilter Verantwortung für Datensicherheit in der Cloud – Hycu erläutert die drei häufigsten Fehler
Umgang mit der Grauzone: Datenverantwortung bei SaaS - Modelle der geteilten Verantwortung (Shared responsibility) verstehen und kritische Fehler beim Schutz von Software-as-a-Service (SaaS)-Daten vermeiden


Von Angela Heindl-Schober, Senior Vice President bei Hycu

Viele Unternehmen verlieren den Überblick darüber, wie viele As-a-Service-Anwendungen sie aktuell nutzen. XaaS-Anwendungen, einschließlich SaaS, gehen über Microsoft 365 hinaus. XaaS umfasst alle Cloud Computing-Plattformen und alle ihnen zugrundeliegenden Dienste. Nutzer im Unternehmen sind in der Regel die Marketingorganisation, das Vertriebsteam, die Finanzabteilung und weitere Teams.

Das durchschnittliche mittelständische Unternehmen hat weit über 200 SaaS-Anwendungen im Einsatz, so einige Studien. Von "Digital Native"-Unternehmen bis hin zu "Fortune 500"-Unternehmen ist dies die Realität – und das offensichtliche Problem. Die folgende Abbildung ist ein Beispiel für den Tech-Stack, wie er bei vielen Unternehmen vorzufinden ist. Darin sind nicht alle Cloud-Dienste und As-a-Service-Anwendungen enthalten, die mit einer bestimmten Produktionsanwendung verbunden sind.

Es gibt viele Gründe, warum die Nutzung von SaaS-Anwendungen so beliebt ist. SaaS-Anwendungen bieten Skalierbarkeit und Flexibilität. Sobald Unternehmen eine SaaS-Anwendung abonniert haben, müssen sie sich nicht mehr um die Verwaltung vor Ort, das Patchen oder die Aktualisierung der Server- und Rechenzentrumsversionen kümmern. Die User besuchen die URL, melden sich an und nutzen die Anwendung. Einfacher geht es wirklich nicht. Natürlich gibt es viele SaaS-Anwendungen, die kostenlos verfügbar sind und die Kunden mit Upgrade-Funktionen ködern, die sie vielleicht brauchen oder auch nicht, aber das ist ein anderes Thema.

Die Einfachheit von SaaS hat jedoch zu einem massiven Missverständnis geführt. Viele Unternehmen gehen davon aus, dass sie nicht für die Sicherheit verantwortlich sind und sich daher auch nicht um Datensicherung, Compliance, Backup etc. kümmern müssen. Das ist ein weit verbreitetes Missverständnis, das auch riskant ist. Daher gilt es, zu verstehen, welche Verantwortung ein Unternehmen als Geschäftskunde bei einer Cloud- oder SaaS-Anwendung oder einem SaaS hat.

Der Anbieter ist für das System verantwortlich, nicht der Kunde.
Ein Beispiel wäre Jira Software, eine Atlassian-Anwendung und eine der meistgenutzten Anwendungen der Welt. Einmal heruntergeladen oder als Server- und Rechenzentrums-Edition gehostet, wird Jira hauptsächlich in der Atlassian Cloud verwendet. Jira wäre also das System und Atlassian dessen Eigentümer und alleiniger Verantwortlicher. Das bedeutet, dass der Eigentümer die gesamte Infrastruktur und Sicherheit verwaltet, den Betrieb am Laufen und das System sicher und geschützt hält.

Der Kunde ist für sein Konto und seine Daten verantwortlich, nicht der Cloud-Anbieter.
Eine gute Analogie, um ein System und die gemeinsame Verantwortung des Kunden zu verstehen, ist ein Parkhaus. Wenn ein Autofahrer einen Parkplatz sucht, fährt er in ein Parkhaus, bezahlt und kann dann parken. Das Parkhaus ist dafür verantwortlich, dass die Gebäudetechnik funktioniert und die Zugänglichkeit gewährleistet ist. Was ist aber mit dem Auto, wenn es zerkratzt wird, wenn jemand einbricht oder einsteigt, weil es nicht abgeschlossen war, und etwas stiehlt? Dafür ist nicht das Parkhaus verantwortlich, sondern der Autobesitzer selbst.

Das Parkhaus ist das System, das Auto sind die Daten. Das bedeutet, dass Unternehmen verantwortlich sind für:
>> Wiederherstellung von Daten/Konfigurationen, die verloren gegangen sind (gelöscht, beschädigt, verschlüsselt etc.).
>> Regelmäßige Erstellung von Backups und sicheren Kopien der eigenen Daten.
>> Erfüllung der Compliance-Anforderungen für das eigene Unternehmen (NIS2, DORA etc.).
>> Sicherung des Zugangs und der Berechtigungen innerhalb des eigenen Unternehmens.

Obwohl dies ein einfaches Modell ist, wissen die meisten IT-Administratoren und Anwendungsbesitzer nicht, dass es existiert. Aus diesem Grund gibt es immer wieder die gleichen drei kritischen Fehler, die Unternehmen machen:

Fehler Nr. 1: Die Annahme, dass der SaaS-Anbieter die Daten wiederherstellen wird.
Datenverluste sind vorprogrammiert, ganz gleich, welche Anwendung Unternehmen nutzen. Versehentliches Löschen, Bugs, Beschädigungen und sogar Bedrohungen durch Insider sind an der Tagesordnung. Die erste Reaktion der Kunden ist in der Regel die Annahme, dass sie den SaaS-Anbieter bitten können, ihre Daten wiederherzustellen. Natürlich werden die meisten SaaS-Anbieter versuchen zu helfen, aber die Realität ist, dass sie dies für ihre Kunden oft nicht machen können. In allen Shared-Responsibility-Modellen weisen die Anbieter ausdrücklich darauf hin, dass die Datensicherung und die Wiederherstellung verlorener Daten anhand von Kunden-Backups erfolgen muss.

Fehler Nr. 2: Annahme, dass Backups auf Systemebene auch eigene Backups sind.
Ja, Cloud-Plattformen und SaaS-Anwendungen bewahren ihre Backups auf. Dabei handelt es sich jedoch um Backups auf Systemebene, die für Disaster Recovery und Datenverlustszenarien innerhalb ihrer Infrastruktur verwendet werden. Diese Sicherungen sind für Wiederherstellungen auf Mieterebene nicht zugänglich. Die Cloud-Plattform verfügt zwar über Hochverfügbarkeit auf Systemebene, Disaster Recovery und Backups, um sicherzustellen, dass der Zugang und die Daten intakt sind. Hat jedoch einer der eigenen Administratoren des Kunden versehentlich Daten gelöscht, liegt dies in der eigenen Verantwortung des SaaS-Kunden. Salesforce beispielsweise führt Backups auf Systemebene durch, ergreift aber auch direkte Maßnahmen, um die Kunden über die Bedeutung der Datensicherung zu informieren.

Fehler Nr. 3: Datenaufbewahrung und Compliance nicht ernst nehmen.
Zurück zur Analogie mit dem Parkhaus: Im Falle eines Unfalls oder aufgrund gesetzlicher Bestimmungen müssen Autobesitzer ihr Auto versichern und können sich nicht auf die Versicherung des Parkhauses verlassen. Das Gleiche gilt für die Einhaltung von Vorschriften. Unternehmen können sich nicht auf SaaS verlassen, wenn sie gesetzliche Vorschriften (z. B. HIPAA) oder von der Regierung unterstützte Richtlinien wie NIS2 und DORA einhalten müssen. Sie müssen selbst die Compliance gewährleisten.

Die NIS2- und DORA-Vorschriften schreiben beispielsweise ausdrücklich vor, dass SaaS-Kunden Backups erstellen, die Wiederherstellung testen und dokumentieren müssen, dass sie alle erforderlichen Schritte durchgeführt haben. Sie können dafür nicht die Backups auf Systemebene verwenden, sondern müssen auf ihre eigenen zurückgreifen. NIS2 schreibt zudem vor, dass kritische Einrichtungen grundlegende Sicherheitsmaßnahmen ergreifen müssen, um bestimmten Formen wahrscheinlicher Cyberbedrohungen zu begegnen.

Was bedeutet das alles?
Unternehmen sollten nicht den Fehler begehen, den viele begehen, bevor es zu spät ist. Sie sollten sicherstellen, dass ihre Daten geschützt sind, dass sie in der Lage sind, Sicherungskopien zu erstellen und im unvermeidlichen Fall einer versehentlichen Löschung oder eines bösartigen Angriffs wiederherzustellen. Am wichtigsten ist es jedoch, zu wissen, was sie in ihrem Datenbestand haben und wie viele SaaS-Anwendungen oder Cloud-Dienste in ihrer Umgebung laufen. Entsprechende Lösungen gibt es – in Form von Data Protection as a Service. (Hycu: ra)

eingetragen: 30.07.24
Newsletterlauf: 09.09.24

Hycu: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Tipps und Hinweise

  • Leitfaden für eine erfolgreiche DRaaS-Auswahl

    Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines Datenverlusts schnell wiederherzustellen. Allerdings sollte man im Vorfeld eine gründliche Marktanalyse durchführen und sich über die Funktionsweise und Kosten der verschiedenen Lösungen informieren.

  • ERP-Software muss ein Teamplayer sein

    So wichtig ERP-Systeme auch sind, bei der Auswahl der richtigen Lösung und Anbieter gibt es für Unternehmen eine Reihe von Aspekten zu beachten - schließlich bringen nur passgenaue und ausgereifte Systeme auch die erwünschten Vorteile. IFS erklärt, worauf es bei der Suche ankommt.

  • Grundlage für zukunftssichere Rechenzentren

    Rechenzentren sind das Rückgrat unserer digitalen Welt. Betreiber dieser Infrastrukturen stehen dabei vor immensen Herausforderungen: Sie müssen nicht nur den ununterbrochenen Betrieb und höchste Sicherheitsstandards sicherstellen, sondern auch strengere Umwelt- und Effizienzkriterien einhalten.

  • Cloud-basierte Tests

    Mit der Digitalisierung steigt das Datenvolumen und der Energieverbrauch. Daher stehen Unternehmen jetzt vor der Herausforderung, ihre IT nachhaltiger zu gestalten. Auch das Qualitätsmanagement kann dazu einen wertvollen Beitrag leisten, indem es den CO2-Fußabdruck von Software verringert.

  • Was ist der richtige Cloud-Speicher für KMU?

    Verschiedene Arten von Unternehmen haben unterschiedliche IT-Anforderungen. So haben kleine und mittelständische Unternehmen natürlich nicht die gleichen Anforderungen wie große internationale Unternehmen.

  • ITAM on-premises versus Software-as-a-Service

    IT Asset Management (ITAM) schafft die Basis für Cybersecurity, Kostenkontrolle und effizientes IT-Management. Doch vor allem im Mittelstand fehlen häufig Manpower und Expertise, eine ITAM-Lösung inhouse zu betreiben. Software-as-a-Service-Angebote versprechen Abhilfe.

  • Steigende Gefahr aus der Cloud?

    Cloud Computing hat sich in den letzten Jahren als zentrales Element der digitalen Transformation etabliert. Unternehmen jeder Größe nutzen Cloud-Dienste, um ihre IT-Infrastruktur flexibler und effizienter zu gestalten.

  • Private AI verfolgt einen Plattform-Ansatz

    Der Einzug der generativen KI (GenAI) in die breite Öffentlichkeit hat das KI-Wachstum in Unternehmen vergangenes Jahr beschleunigt. Motiviert durch Wettbewerbsdruck und potenzielle Vorteile forcieren Unternehmen und Regierungen ihre KI-Strategie.

  • Mangelnde Vorbereitung auf SaaS-Ausfälle

    Der Hycu State of SaaS Resilience 2024 Report deckte zuletzt kritische Datensicherungslücken auf, da 70 Prozent der Unternehmen Datenverluste erleiden. Trotzdem verlassen sich 60 Prozent immer noch auf ihre Software-as-a-Service (SaaS)-Anbieter, um sich zu schützen, und setzen sich damit weiteren Risiken aus.

  • KI gewinnbringend einsetzen

    Das KI-Potenzial ist praktisch unerschöpflich. Doch um es richtig zu nutzen und daraus echte Wettbewerbsvorteile zu generieren, muss vorab die Bereitschaft des Unternehmens dafür geklärt werden. Der IT-Dienstleister CGI erklärt, warum der Readiness-Check so wichtig ist, was er genau analysiert und was mit den daraus gewonnenen Erkenntnissen passiert.

Java-basierte Infrastruktur optimieren Funktionsweise des Mailarchivs

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen