SaaS & DSGVO – eine explosive Mischung

Software-as-a-Service ist so etwas wie eine schöne neue Welt, die bei genauerem Hinschauen, doch nicht ganz so einfach und schön ist – vor allem nicht in Hinblick auf die EU Datenschutz Grundverordnung. [...]

Wie man den App-Wildwuchs der Fach-Abteilungen unter Kontrolle behält (c) Pixabay
Wie man den App-Wildwuchs der Fach-Abteilungen unter Kontrolle behält (c) Pixabay

Für Anwender ist es zweifellos eine neue Erfahrung, Anwendungen aus dem Browser heraus oder mit Native Apps auf ihren Arbeitsplätzen und -geräten zu nutzen. Aus Anwendersicht bietet die Cloud Software ohne IT-Ballast. Die Implementierung dieser Software geht einfach und schnell ohne IT-Unterstützung. Daher führen Fachabteilungen SaaS-Software nicht selten autark ein, ohne Kontrolle der IT-Abteilung.

Das bedeutet aus IT-Sicht, dass die Schatten-IT-Quote signifikant zunehmen kann. Und das ist auch gleichzeitig die Kehrseite der Medaille. Gartner-Analysten fassen die Entwicklung so zusammen: „Bis 2019 werden die Kosten für Subskriptionen, bedingt durch die Cloud und die digitale Wirtschaft, die Ausgaben für klassische Lizenzen und die Wartung übersteigen.“ Das Software Asset Management, also die Kontrolle der Ausgaben und die korrekte Lizenzierung von Software, sieht sich konfrontiert mit der Aufgabenstellung, dies auch für die Cloud zu gewährleisten.

Neue Werkzeuge

Das bedeutet, dass für diese Aufgaben neue Werkzeuge eingesetzt werden müssen. Denn die Tools, die heute für ein effektives Vermessen herangezogen werden, werden zunehmend stumpf. Gartner sagt dazu: „Bis 2019 werden die heute genutzten Tools zur technischen Vermessung für SAM zu 90 % nutzlos sein.“ Die Cloud erfordert andere Mechanismen, um etwa festzustellen, welcher Mitarbeiter eine Subskription tatsächlich nutzt und welcher nicht. Auch muss die IT Prozesse bereitstellen, die sicherstellen, dass ihre User Anwendungen sauber nutzen können bzw. die genauso sicherstellen, dass beim Verlassen des Unternehmens, diese Anwendungen nicht mehr für den entsprechenden User bereitstehen.

All diese Problemstellungen betreffen nicht nur das Software Asset Management, sondern in weiterer Folge auch das Service Management. Die Analysten von Gartner sind zu diesem Schluss gekommen: „Bereits 2017 war die Nutzung von SaaS in 75 % aller Unternehmen dominiert von fehlender Kontrolle und Steuerung.“ Es fehlt an Standards, denn die Bereitstellung der Anwendungen liegt in vielen Unternehmen immer noch überwiegend bei den Fachabteilungen. Datenschutzfragen sind nicht ausreichend beantwortet. In der Konsequenz sehen sich Unternehmen zunehmend konfrontiert mit:

  • Fragestellungen des Kostenmanagements
  • Notwendigkeit der Prozessabbildung
  • Aufgabe der technischen Bereitstellung und Rücknahme von Services
  • Sicherstellung der Einhaltung der Datenschutzrichtlinien

Kritischer Datenschutz

Die Umsetzung der DSGVO muss am 25. Mai 2018 abgeschlossen sein. Immer noch sind viele Unternehmen noch nicht so weit. Sie müssen sich auf die folgenden Fragen konzentrieren und vor allem auch dokumentieren:

  • Welche Software aus der Cloud ist im Unternehmen im Einsatz?
  • Wo werden die Daten physisch gespeichert?
  • Welche Prozesse und Verfahren verwenden diese Cloud-Anwendungen?
  • Werden personenbezogene Daten in der Cloud gespeichert?
  • Wenn ja, aus welchem Grund?
  • Wer hat welche Zugriffsrechte?

Die wenigsten Unternehmen werden das ohne externen Partner, der einen Blick von außen auf die Situation wirft, zufriedenstellend bewältigen. Hier ist es unumgänglich mit dem obligatorischen Datenschutzbeauftragten zusammen zu arbeiten.

Dazu kommt: In Hinblick auf die Cloud erhält die Speicherung von personenbezogenen Daten eine ganz neue Bedeutung. Unternehmen, die die Zugänge zu diesen Daten nicht unter Kontrolle haben, gehen hohe Risiken ein. Alle betroffenen Prozesse müssen identifiziert und dann in Hinblick auf die DSGVO qualifiziert werden. Das betrifft nicht nur die Speicherung, sondern auch das Löschen oder Ändern von Daten. Datenzugriffe müssen kontrolliert werden, die Nachvollziehbarkeit von Manipulationen muss gewährleistet sein. Denn auch das unberechtigte Ändern oder Löschen von personenbezogenen Daten kann einen Verstoß gegen die Verordnung darstellen. Es gilt, einerseits Dokumentations-, Archiv- und Aufbewahrungspflichten sowie -fristen zu beachten, andererseits die Art der Daten: wirtschaftliche Daten, Fiskaldaten und personenbezogene Daten.

Die Cloud birgt eine enorme Vielfalt an Anwendungen, reine Cloud-Anwendungen genauso wie hybride Lösungen. Die Komplexität nimmt zu und bringt unterschiedliche Herausforderungen mit sich.

Herausforderungen für die Endanwender

Mancher Arbeitnehmer ist mit diesen Themen überfordert. Vor allem weniger IT-affine Mitarbeiter haben Schwierigkeiten, die zunehmende Anzahl an Internetadressen und Login-Daten sicher zu verwalten und im Arbeitsalltag schnell nutzen zu können. Damit erhöht sich der Druck auf die IT, einen einfachen Einstieg für möglichst alle Anwendungen anzubieten und sich um die Informationssicherheit und den Datenschutz zu kümmern. Auch die Kosten muss die IT im Auge behalten und natürlich auch dafür sorgen, dass keine Lizenzverletzungen passieren, indem personenbezogene Zugänge von ganzen Abteilungen verwendet werden.

  • Endanwender haben (zu) viele Passwörter
  • Jede Applikation bedeutet eine neue URL
  • Applikation und Daten sind verstreut

Herausforderungen für die IT

Aus IT-Sicht ist es von enormer Bedeutung, Prozesse bereitzustellen, die so attraktiv sind, dass die Fachabteilungen einen Mehrwert erhalten, wenn sie diese Anwendungen in die Obhut der IT geben. Hier gilt es, entsprechende Standards zu etablieren. Dabei muss natürlich die bestehende IT-Landschaft berücksichtigt werden. Die IT muss dafür Sorge tragen, dass eine zentrale Steuerung auf Applikationen und Ressourcen vorhanden ist. Das ist z. B. beim On- und Offboarding von Mitarbeitern sehr wichtig. Im Idealfall ist dies ein automatisierter Prozess. Auch die Gefahr der Überlizenzierung muss die IT vermeiden, indem sie Prozesse schafft, mit denen Lizenzen bedarfsgerecht vergeben werden können.

  • Prozessstandards für Cloud-Anwendungen etablieren und Schatten-IT vermeiden
  • Daten und Prozesse in die bestehende Infrastruktur integrieren
  • Den Vorgang ausscheidender Mitarbeiter verlässlich automatisieren
  • Rollenbasierte Zugriffe auf Applikationen sicherstellen
  • Latente Gefahr der Überlizenzierung adressieren

Herausforderungen für das Unternehmen

*) Der Autor Torsten Boch ist Senior Product Manager bei Matrix42. (c) Matrix42

Dementsprechend muss bei der Einführung einer Software – auch bei Software aus der Cloud – überlegt werden, wo was in welcher Ausprägung gespeichert wird und wie Daten gelöscht werden können. Modernes Cloud Software Asset Management unterstützt dabei, diese Fragen zu beantworten und zu helfen, dass DSGVO-konform gearbeitet wird.

  • Governance & Compliance sicherstellen
  • EU DSGVO Konformität gewährleisten
  • Risiko- und Kostenmanagement etablieren

Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*