Fallstricke beim Einsatz von SaaS

Es ist so simpel und effizient, Software as a Service (SaaS)-Dienste zu nutzen. Damit Firmen möglichst alle Vorteile nutzen und kein böses Erwachen fürchten müssen, sollten sie einige Dinge beachten, angefangen bei der Wahl des Providers, beim Einkauf bis hin zu Risikoanalyse. Worauf genau zu achten ist, erläutert Wolfgang Huber, Vertriebschef Zentraleuropa bei Cohesity, im Interview. [...]

Wolfgang Huber, Vertriebschef Zentraleuropa bei Cohesity (c) Cohesity
Wolfgang Huber, Vertriebschef Zentraleuropa bei Cohesity (c) Cohesity

Das explosionsartige Wachstum von Software as a Service hat die Art und Weise, wie Unternehmen ihr Business organisieren, zum Positiven verändert. Anstatt sich an langfristige und teure Verträge zu binden, haben Unternehmen die Flexibilität, Anwendungsdienste je nach Bedarf zu erweitern oder zu reduzieren. Allerdings müssen IT- und Business-Entscheider einige Fallstricke vermeiden, wenn es darum geht, wie ihre Daten in einer SaaS-Welt gespeichert, aufbewahrt und geschützt werden.

SaaS hat in den vergangenen Jahren in fast allen Branchen ein enormes Wachstum erlebt. Was sind die zentralen Treiber für diesen Boom und wie sehen Sie diese Entwicklung?

Das SaaS-Bereitstellungsmodell, bei dem Software auf Abonnement-Basis lizenziert und zentral gehostet wird, erfreut sich immer größerer Beliebtheit. Das Analystenunternehmen Gartner geht davon aus, dass im Jahr 2025 fast zwei Drittel (65,9 %) der Ausgaben für Anwendungssoftware auf abonnementbasierte Cloud-Angebote entfallen werden. Im Jahr 2022 waren es noch 57,7 Prozent.

Das enorme Wachstum von SaaS hat zu deutlichen Verbesserungen der Geschäftsprozesse geführt. Anstatt sich an langfristige und teure Verträge zu binden, haben Unternehmen jetzt die Flexibilität, Anwendungsdienste je nach Bedarf zu erweitern oder zu reduzieren. Allerdings müssen IT- und Business-Entscheider einige Fallstricke vermeiden. 

Welche Herausforderungen sind zu beachten, wenn Unternehmen ihre Daten in einer SaaS-Welt speichern, aufbewahren und schützen wollen?

Die Daten werden auf einer externen Infrastruktur gespeichert, aber die Verantwortung für den Schutz vor Verlust, menschlichem Versagen oder Infektionen mit Schadsoftware liegt weiterhin bei den Unternehmen. Führungskräfte müssen daher die Bedingungen und Auswirkungen der SaaS-Verträge sorgfältig prüfen, die ihre Unternehmen abschließen. 

Da SaaS als einfache und risikoarme Investition wahrgenommen wird, delegieren jedoch viele Entscheidungsträger den Kaufprozess an Teammitglieder. Häufig übernimmt also ein Angestellter den größten Teil des Auswahlprozesses für einen neuen Service. Laut Gartner erledigen die Entscheidungsträger dann oft nur die letzten 5 bis 10 Prozent des SaaS-Kaufprozesses. 

Zudem haben Unternehmen ihre Daten häufig über eine Vielzahl von SaaS-Anbietern verteilt. Jeder Verantwortliche muss daher wissen, wie die Daten in diesen verteilten Umgebungen gespeichert, aufbewahrt und geschützt werden. Schließlich gelten bei verschiedenen Anbietern auch unterschiedliche Bedingungen und Service Level Agreements.

Was ist bei der Gestaltung von SaaS-Verträgen zu beachten und welche Rolle spielen Anforderungen im Bereich Compliance für Unternehmen dabei?

IT- und Business-Manager müssen sich darüber im Klaren sein, dass der Abschluss eines Vertrags mit einem SaaS-Spezialisten nicht bedeutet, dass sie die Verantwortung für die Speicherung der Daten an den Cloud-Anbieter abgeben. Wenn es um die Einhaltung gesetzlicher Vorschriften geht, muss der Endkunde dafür sorgen, dass die Daten sicher und geschützt sind, nicht der Cloud-Anbieter. Vor allem ist sicherzustellen, dass die genutzten Systeme und Dienste die gesetzlichen Vorschriften einhalten, einschließlich der EU-Datenschutzgrundverordnung (DSGVO).

Ein weiterer wichtiger Punkt ist die Aufbewahrung. Die Daten sind nicht unbedingt so lange beim SaaS-Anbieter gespeichert, wie der Vertrag läuft. Die Richtlinien und Verfahren zur Datenaufbewahrung unterscheiden sich von Anbieter zu Anbieter und von Produktpalette zu Produktpalette erheblich. Während einige Verträge längere Aufbewahrungsfristen vorsehen, werden gelöschte Daten bei einigen Diensten nur 30 Tage lang gespeichert. Dies kann problematisch für die Compliance sein, wenn jemand versehentlich Informationen löscht und das Unternehmen die Daten Monate später benötigt.

Worauf sollten Unternehmen bei der Auswahl von SaaS-Anbietern besonders achten? Besonders in Bezug auf das Thema Security.

Unternehmen können es sich nicht leisten, bei der Datenspeicherung und -aufbewahrung ein Risiko einzugehen. Sie benötigen Mechanismen, die Daten zuverlässig speichern, aufbewahren und sichern. Nur so lassen sie sich im schlimmsten Fall, etwa bei einem Ransomware-Angriff, effizient wiederherstellen. 

Für Manager, die auf Nummer sicher gehen wollen, ist die Zusammenarbeit mit einem speziellen SaaS-Partner für Datensicherheit empfehlenswert. Dieser Anbieter sollte die Prozesse für das Data Management vereinfachen und dabei drei wichtige Sicherheitsfunktionen in einer SaaS-Lösung vereinen: Bedrohungserkennung, Datenklassifizierung und Datenisolierung durch eine Art Cyber-Tresor (Cyber-Vaulting). Gemeinsam können diese Funktionen Kunden dabei helfen, Daten im Falle eines Cyberangriffs zu erkennen, zu schützen und wiederherzustellen.  

Moderne Backup- und Cyber-Vaulting-Dienste unterstützen Unternehmen dabei, die Kosten für den Datenschutz um 70 Prozent oder mehr zu senken. Gleichzeitig gewährleisten sie, dass die Daten in einem virtuellen, streng gesicherten Tresor geschützt, widerstandsfähig und unveränderlich sind. Entsprechend können Unternehmen diese Daten nach einer erfolgreichen Attacke schnell und zuverlässig wiederherstellen.

Welche weiteren Punkte sind wichtig? 

Mit der integrierten Datenklassifizierung können Unternehmen sensible Daten oder personenbezogene Informationen (PII) schneller und genauer erkennen. So lassen sich die Auswirkungen eines Angriffs leichter nachvollziehen und bewerten, insbesondere ob sensible Daten gefährdet sind. Außerdem können sie die Aufbewahrung von Daten zentral steuern und die Einhaltung von Vorschriften gewährleisten. 

Ein SaaS-Partner für Datensicherheit wie Cohesity kann auch Daten ständig auf Ransomware-Bedrohungen und Anomalien überprüfen. Dies gewährleistet, dass Daten über verschiedene Ebenen, Service-Level und Umgebungen hinweg geschützt sind. Mit einer einheitlichen Plattform für das Data Management über alle Anbieter hinweg lässt sich auch sicherstellen, dass SaaS eine vertrauenswürdige, effektive und verwaltbare IT-Lösung ist.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*