SaaS als Risiko für Geschäftsdaten: Die Gefahr lauert im Verborgenen

Warum unbekannte SaaS-Tools ein erhebliches Risiko für die Daten darstellen – und wie Unternehmen Abhilfe schaffen können. [...]

Angela Heindl-Schober, Senior Vice President Global Marketing bei HYCU. (Quelle: HYCU, Inc.)

Aktuelle Studien und Reports heben immer wieder Cyberangriffe als eine der größten Bedrohungen für Unternehmen hervor. Ob nun aber Ransomware, Angriffe auf kritische Infrastrukturen oder Identitätsdiebstahl die gefährlichste Form von Cyberbedrohungen sind – darüber streiten sich die Experten.

Spannend ist jedoch auch die Frage, wo aktuell der größte blinde Fleck in Sachen Datensicherheit bei den meisten Unternehmen liegt. Welche Sicherheitslücke ist in den meisten Unternehmen zu finden, ohne dass diese den Unternehmen bewusst ist?

Immer mehr Experten sind sich darin einig, dass ungeschützte SaaS-Tools und die darin verarbeiteten Daten in den allermeisten Fällen nicht berücksichtigt werden. Dafür gibt es zwei Gründe: Die meisten Unternehmen wissen gar nicht, dass sie für die Datensicherheit bei SaaS-Anwendungen selbst verantwortlich sind und es sind viele SaaS-Tools im Einsatz, von denen die IT-Abteilung schlicht nichts weiß.

Eine der dringlichsten Sicherheitsherausforderungen liegt im Bereich Software as a Service (SaaS). SaaS hat die Arbeitsweise von Unternehmen verändert und bietet kostengünstige, skalierbare und leicht zu implementierende Lösungen. Von CRM-Tools bis hin zu ERP-Systemen haben sich SaaS-Anwendungen tief in die Struktur moderner Geschäftsprozesse eingebettet. Der Komfort bringt jedoch auch Bedenken hinsichtlich der Datensicherheit mit sich.

Da Unternehmen immer mehr ihrer kritischen Daten den Cloud-Anwendungen von Drittanbietern anvertrauen, müssen sie sicherstellen, dass diese Daten vor Verletzungen, Verlust und unbefugtem Zugriff geschützt bleiben. Abgesehen von den offensichtlichen Sicherheitsbedrohungen stellt sich die Frage nach der Datenhoheit, der Einhaltung der sich ständig weiterentwickelnden Datenschutzbestimmungen und der Komplexität der Zugriffsverwaltung für unterschiedliche Benutzergruppen. Es geht also nicht nur darum, die Vorteile von SaaS zu nutzen, sondern auch darum, die Unantastbarkeit und Sicherheit der geschäftskritischen Daten zu gewährleisten.

Laut einer Studie von LeanIX ist jedoch bis zu 50 Prozent der SaaS-Landschaft den Unternehmen unbekannt und wird nicht zentral verwaltet. Kompromittierte Unternehmens­daten und Sicherheits­infor­ma­tionen sind mit 79 Prozent die beiden am häufigsten genannten Risiken, denen sich Unternehmen beim Einsatz nicht autorisierter Technologien stellen müssen.

75 Prozent der befragten IT-Experten gehen davon aus, dass die Schatten-IT bis zum Jahr 2025 zum noch größeren Problem werden wird, wenn Unternehmen dieses Problem nicht rechtzeitig angehen. 77 Prozent der IT-Experten sind jedoch der Meinung, dass ihre Unternehmen von Lösungen zur Verwaltung der Schatten-IT profitieren könnte.

Weltweit sind mehr als 23.000 SaaS-Anwendungen im Einsatz und im Schnitt nutzt ein mittelständisches Unternehmen 217 SaaS-Anwendungen. Ebenfalls brisant: Bis 2031 werden mehr als 52 % der erfolgreichen Ransomware-Angriffe über SaaS-Anwendungen erfolgen.

Das Sicherheitsdilemma von SaaS

SaaS bietet ein passendes Werkzeug für jeden Geschäftsbedarf, und das alles mit dem Komfort benutzerfreundlicher, spielerischer Schnittstellen. Hinter dieser oberflächlichen Einfachheit verbirgt sich jedoch ein komplexes Labyrinth von Datensicherheitsproblemen. Das SaaS-Universum hat trotz all seiner Vorteile eine Reihe kritischer Probleme hervorgebracht, die zusammengenommen ein gewaltiges Datensicherheitsdilemma darstellen.

Das digitale Zeitalter hat den Unternehmen eine Fülle von Tools und Plattformen beschert, vor allem SaaS-Anwendungen, die ihre Produktivität steigern, Prozesse rationalisieren und die Zusammenarbeit fördern sollen. Diese Fortschritte, so transformativ sie auch sein mögen, haben eine Kehrseite. Je mehr die Unternehmen ihre Daten auf verschiedene Plattformen aufteilen, desto anfälliger werden sie. Diese Streuung der Daten macht sie zu einem verlockenden Ziel vor allem für Ransomware-Angreifer.

Im Gegensatz zu herkömmlichen lokalen Infrastrukturen sind die Daten bei SaaS-Plattformen über eine Vielzahl von Online-Diensten verstreut, von denen jeder in seiner eigenen, in sich geschlossenen Umgebung arbeitet. Die Daten sind vergleichbar mit einer Schafherde, die nicht mehr sicher in einer einzigen umzäunten Weide eingepfercht ist, sondern frei über eine weite, mitunter gefährliche Landschaft streift.

Das exponentielle Wachstum von SaaS-Anwendungen in den letzten Jahren hat diese Landschaft für Cyberkriminelle noch verlockender gemacht. Diese Plattformen, die auf Benutzerfreundlichkeit und Skalierbarkeit ausgelegt sind, geben der Benutzerfreundlichkeit oft den Vorrang vor strengen Sicherheitsmaßnahmen, zumindest in ihren Standardkonfigurationen.

Im SaaS-dominierten Geschäftsalltag ist die unkontrollierte Benutzerakzeptanz für viele Unternehmen zu einem großen Problem geworden. Der einfachste Weg wäre es, strenge Kontrollen einzuführen oder Entscheidungen von oben durchzusetzen, aber das könnte die Innovationskraft ausbremsen. Ein ausgewogenerer Ansatz besteht darin, eine Kultur des Sicherheitsbewusstseins zu fördern, in der sich die Teams sowohl befähigt als auch verantwortlich fühlen.

Das unverstandene Modell der geteilten Verantwortung

In den letzten Jahren ist das Cloud-Ökosystem immer weitergewachsen – und damit auch die Komplexität der damit verbundenen Sicherheitsherausforderungen. Ein besonderes Problem ist die Abgrenzung der Verantwortlichkeiten für die Datensicherheit in SaaS-Umgebungen. Die Rolle und die Verantwortung eines Anbieters in diesem Nutzungsmodell sind zu einem Thema geworden, über das viel diskutiert wird und das zuweilen für Verwirrung sorgt.

SaaS-Anbieter präsentieren sich oft als Bastionen der Sicherheit, mit einer Reihe von beeindruckenden Zertifizierungen und Compliance-Emblemen. Dies ist zwar zu begrüßen, stellt aber keineswegs eine absolute Garantie gegen Cyberbedrohungen dar. Unternehmen, die mit den Feinheiten der Cloud-Sicherheit weniger vertraut sind, könnten ein falsches Gefühl der Sicherheit vermittelt bekommen.

So könnten sie die Sicherheit der Plattform mit einem umfassenden Schutz der Daten, als Data Protection bezeichnet, verwechseln. Eine solche Annahme kann fatale Folgen haben. Daher ist es für Unternehmen von größter Wichtigkeit, das Modell der geteilten Verantwortung zu definieren und zu verstehen. Während die Anbieter für die Sicherheit der Plattform sorgen, müssen die Unternehmenskunden und deren Benutzer die Sicherheit und Integrität ihrer Daten durch bewährte Verfahren, angemessene Zugriffskontrollen und regelmäßige Audits gewährleisten.

Bei der Bewältigung des komplexen Rätsels der SaaS-Datensicherheit müssen Unternehmen proaktiv, anspruchsvoll und umfassend vorgehen. Es geht nicht nur darum, sicherzustellen, dass die Anbieter angemessene Maßnahmen ergriffen haben, sondern auch darum, die Schwachstellen im eigenen Geschäftsbetrieb zu erkennen und diese konsequent zu beseitigen. Um Risiken zu minimieren, müssen sich Unternehmen weiterentwickeln und sicherstellen, dass ihre Datenschutzstrategien ganzheitlich und anpassungsfähig sind.

Visualisierung und Schutz verstreuter Daten ist schwierig

Unternehmen agieren heute in einer Multi-Cloud-Welt mit weit verstreuten Datensilos. Diese Streuung der Daten macht die Visualisierung und den Schutz erheblich schwieriger. Jede neue SaaS-Plattform, die dem Ökosystem hinzugefügt wird, vergrößert die Zersplitterung, was die Aufgabe der Datensicherheit weiter erschwert. Verschiedene Anbieter bieten Schutz für UNIX, Nutanix, Windows und VMware, aber keine einzige Plattform konnte bislang alles abdecken.

Dutzende von verschiedenen Backup-Produkten einzusetzen, ist eine Verschwendung von Ressourcen. Die bessere Lösung ist eine einheitliche Plattform zum Schutz von Daten in On-Premises-, Public-Cloud- und SaaS-Umgebungen mit gleichwertigen Support-Levels.

Erst wenn bekannt ist, welche SaaS-Tools im Unternehmen wirklich genutzt werden, ist es möglich, für alle diese Anwendungen Backup und Recovery und damit umfassende Data Protection zu ermöglichen. Herkömmliche Methoden zum Schutz von Daten auf einigen wenigen zentralen Servern erweisen sich in einer Zeit, in der Daten über eine Vielzahl von SaaS-Plattformen verstreut sind, als unzureichend.

Das Problem liegt nicht nur in der schieren Anzahl der SaaS-Dienste, sondern auch in den einzigartigen Datenschutzanforderungen jedes Dienstes. Jede SaaS-Anwendung verfügt über eigene Datenstrukturen, eine eigene Benutzerrechteverwaltung und eigene Mechanismen für die Datenübertragung und -speicherung. Die Entwicklung einer maßgeschneiderten Data-Protection-Lösung für jeden dieser Dienste ist aus praktischer Sicht eine Herkulesaufgabe.

Selbst wenn es solche maßgeschneiderten Lösungen gäbe, wäre deren Verwaltung logistisch kaum zu stemmen. Erforderlich ist stattdessen eine Data-Protection-Plattform, die sich über die riesige Landschaft der SaaS-Dienste erstreckt, ohne den Schutz der Daten zu einer unüberwindbaren Aufgabe zu machen.

Ein neuer Ansatz der SaaS Data Protection

Gefragt ist ein innovativer, anpassungsfähiger und nutzerzentrierter Ansatz für Data Protection. Neue Lösungen dieser Art gibt es bereits. Sie helfen IT-Teams, zu erkennen, welche SaaS-Tools im Unternehmen wirklich eingesetzt werden – also über jene „offiziellen“ hinaus, von denen die IT-Abteilung weiß. Ein CEO eines Unternehmens will nicht für tausend Leute denken, sondern tausend Leute für ihn denken lassen. Bezogen auf SaaS ist der Ansatz daher nicht, eine Data-Protection-Lösung für Tausende von SaaS-Integrationen zu entwickeln, sondern eine Plattform zu schaffen, auf der sich diese zahlreichen SaaS-Dienste problemlos integrieren lassen.

HYCU hat mit R-Cloud die weltweit erste Entwicklungsplattform für Data Protection auf den Markt gebracht, die genau auf dieser Prämisse aufbaut – und damit die scheinbar unmögliche Aufgabe der Datensicherung für 17.000 SaaS-Dienste in Angriff genommen.

Durch die Entwicklung einer Plattform, die eine einfache Integration mit jedem SaaS-Dienst ermöglicht, versetzt diese Lösung Unternehmen in die Lage, ihre Daten zu sichern und zu schützen, unabhängig von der Kombination der von ihnen genutzten Dienste. Unternehmen brauchen zudem eine Möglichkeit, all diese Daten zu verwalten und sie in einer klaren und kohärenten Weise zu visualisieren, weshalb HYCU den so genannten R-Graph in R-Cloud integriert hat.

R-Graph bietet eine anschauliche visuelle Darstellung aller SaaS-Dienste, die im Unternehmen im Einsatz sind, ähnlich wie ein Baum. Jeder Zweig des Baumes steht für eine andere Abteilung, und jedes Blatt für einen bestimmten SaaS-Dienst im Unternehmen. Mit R-Graph erhalten Sicherheitsverantwortliche einen Überblick über die SaaS-Umgebung aus der Vogelperspektive.

Jeder Dienst wird automatisch erkannt, in der Baumstruktur abgebildet und als geschützt oder ungeschützt gekennzeichnet. Für die geschützten Dienste sind alle zugehörigen Richtlinien sichtbar. Bei den ungeschützten Diensten können Administratoren per Mausklick eine Marketplace-Integration hinzufügen, um alle Daten zu sichern und wiederherzustellen.

Sichere Daten in der SaaS-Landschaft – ein lösbares Dilemma

Das Ergebnis ist eine umfassende und dennoch unkomplizierte Lösung, die nicht nur alle kritischen Daten der SaaS-Anwendungen sammelt, sondern auch eine neutrale Basis für den Schutz bietet. Somit lassen sich alle SaaS-Daten auf einer einzigen Oberfläche visualisieren, verwalten und schützen.

Dieser Ansatz hat sich bereits als effektiv erwiesen, das Dilemma der SaaS Data Protection zu lösen. Die Komplexität der SaaS-Umgebung wird reduziert, damit Unternehmen ihre Datenschutzanforderungen mühelos verwalten können. Data Protection der dritten Generation sollte schlank, modern und zukunftssicher sein und sich ständig weiterentwickeln – genau wie die SaaS-Landschaft, die es zu schützen gilt.

*Angela Heindl-Schober ist Senior Vice President Global Marketing bei HYCU.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*