Kontakt
Unterstützung
Anmeldung
Atlassian
4 Minuten lesen

SaaS-Datensicherheit mit geteilter Verantwortung in der Cloud aufschließen

Die Verbreitung von As-a-Service (XaaS)-Anwendungen, insbesondere von Software-as-a-Service (SaaS), hat die Abläufe in den Unternehmen in allen Bereichen revolutioniert und übertrifft die ursprünglichen Erwartungen. Von grundlegenden Tools wie Microsoft 365 bis hin zu umfassenden Cloud-Plattformen ist jede Abteilung - vom Marketing bis zum Finanzwesen - heute auf eine Vielzahl miteinander verbundener Dienste angewiesen. Das Verständnis des Modells der geteilten Verantwortung ist entscheidend für den Schutz sensibler Daten innerhalb dieser Ökosysteme und stellt sicher, dass kritische Fehler beim SaaS-Datenschutz vermieden werden.

Geschrieben von
Andy Fernandez
Veröffentlicht am
25. Juni 2024
Auf sozialen Netzwerken teilen

Modelle der geteilten Verantwortung verstehen und kritische Fehler beim SaaS-Datenschutz vermeiden

Schließen Sie die Augen und überlegen Sie, wie viele As-a-Service-Anwendungen Ihr Unternehmen derzeit nutzt. Was wäre, wenn ich Ihnen sagen würde, dass diese Zahl näher an dem 10-fachen Ihrer ursprünglichen Schätzung liegt? Was wäre, wenn ich Ihnen sagen würde, dass es das 20-fache Ihrer ursprünglichen Schätzung ist?

XaaS-Anwendungen einschließlich SaaS gehen über Microsoft 365. Es gilt für Ihre Cloud-Plattformen und alle ihnen zugrunde liegenden Dienste. Es gilt für Ihre Marketing-Organisation, Ihr Vertriebsteam, Ihre Finanzgruppe und so weiter.  

SaaS-Anwendungen - Überall auf einmal!  

Das durchschnittliche mittelständische Unternehmen nutzt weit über 200 SaaS-Anwendungen, und einigen Forschungsberichten zufolge werden sogar 71 % davon außerhalb der IT-Abteilung bezahlt. Für jeden von uns in der IT ist das keine Überraschung. Es ist die Realität. Wir bei HYCU haben dies in unserer eigenen Organisation und bei vielen unserer Kunden und Partner gesehen, von digital nativen Organisationen bis hin zu FORTUNE 500-Unternehmen - die Realität und das offensichtliche Problem sind dieselben. Hier ist ein Beispiel für einen "Tech-Stack", den wir bei vielen Unternehmen sehen. Darin sind nicht alle Cloud-Dienste und As-a-Service-Anwendungen enthalten, die mit einer bestimmten Produktionsanwendung verbunden sind.  

Beispiel Tech Stack

Auseinandersetzung mit der Grauzone: Datenverantwortung bei SaaS

Es gibt viele Gründe, warum die Nutzung von SaaS-Anwendungen so beliebt ist. SaaS-Anwendungen bieten Skalierbarkeit und Flexibilität. Sobald Sie eine SaaS-Anwendung abonniert haben, müssen Sie sich nicht mehr um die Verwaltung vor Ort, das Patchen oder die Aktualisierung der Server-/Rechenzentrumsversionen kümmern. Besuchen Sie die URL, melden Sie sich an und nutzen Sie die Anwendung. Das war's. Einfacher geht es wirklich nicht mehr. Natürlich gibt es viele SaaS-Anwendungen, die Sie kostenlos erhalten und die Sie mit Upgrade-Funktionen ködern, die Sie vielleicht brauchen oder auch nicht, aber das ist ein Thema für einen anderen Tag.

Die Einfachheit von SaaS hat jedoch zu einem massiven Missverständnis geführt. Viele Unternehmen gehen davon aus, dass sie nicht für die Sicherheit verantwortlich sind, dass sie sich also nicht um Datenschutz, Compliance, Backup usw. kümmern müssen. Das ist ein weit verbreitetes Missverständnis und wir verstehen, warum die Leute so denken, aber es ist grundlegend falsch. Und zwar nicht nur falsch, sondern gefährlich. Lassen Sie uns die Gründe dafür aufschlüsseln und genauer erklären, welche Verantwortung Sie bei einer Cloud- oder SaaS-Anwendung oder einem SaaS-Dienst haben.  

Das System - Ihr Anbieter ist für das System verantwortlich, nicht der Mieter (Sie).  

Nehmen wir ein Beispiel, Jira Softwareeine Anwendung Atlassian . Sie ist eine der meistgenutzten Anwendungen der Welt. Sie glauben mir nicht? Fragen Sie einen Ihrer Entwickler oder ein Mitglied Ihres Ingenieurteams! Einmal heruntergeladen oder als Server- und Rechenzentrums-Edition gehostet, wird Jira hauptsächlich in der Atlassian Cloud verwendet. Atlassian Cloud = SaaS.  

Stellen Sie sich nun Jira als das System und Atlassian als dessen Eigentümer und alleinigen Verantwortlichen vor. Das bedeutet, dass Sie als Eigentümer die gesamte Infrastruktur und Sicherheit verwalten, die Lichter am Laufen halten und für die Sicherheit des Systems sorgen.  

Ein automatisch erstelltes Diagramm eines SystemsBeschreibung
Das System - Ihr Anbieter ist für das System verantwortlich, nicht der Mieter (Sie).  

     

Der Mieter - Sie sind für Ihr Konto und Ihre Daten verantwortlich, nicht Ihr Cloud-Anbieter.  

Wenn Sie wie ich ein visueller Lerntyp sind, finden Sie hier eine gute Analogie, um ein System und die gemeinsame Verantwortung der Kunden zu verstehen. Denken Sie an ein Parkhaus. Wenn Sie einen Parkplatz suchen, gehen Sie in ein Parkhaus, bezahlen und können parken. Das Parkhaus ist dafür verantwortlich, dass die Lichter brennen und die Zugänglichkeit gewährleistet ist.  

Aber was ist mit Ihrem Auto? Was ist, wenn es zerkratzt wird, wenn jemand einbricht und etwas stiehlt oder sich auf der Rückbank bedient, weil Sie es unverschlossen gelassen haben? Dafür ist nicht die Werkstatt verantwortlich, sondern Sie selbst.  

Die Werkstatt ist das System, das Auto sind Ihre Daten. Das heißt, Sie sind verantwortlich für:

  • Wiederherstellung verlorener Daten/Konfigurationen (gelöscht, beschädigt, verschlüsselt usw.)
  • Regelmäßige Backups und sichere Kopien Ihrer Daten
  • Erfüllung der Compliance-Anforderungen für Ihr Unternehmen (NIS2, DORA usw.)
  • Sicherung des Zugangs und der Berechtigungen innerhalb Ihres Unternehmens  

Eine weiße Tafel mit Schrift daraufBeschreibung automatisch generiert
Der Mieter - Sie sind für Ihr Konto und Ihre Daten verantwortlich, nicht Ihr Cloud-Anbieter

Obwohl es sich um ein einfaches Modell handelt, wissen die meisten IT-Administratoren und Anwendungseigentümer nicht, dass es existiert. Aus diesem Grund sehen wir die gleichen drei kritischen Fehler, die Unternehmen machen:

Fehler Nr. 1 - Annehmen, dass der SaaS-Anbieter die Daten für Sie wiederherstellen wird.  

Datenverluste sind vorprogrammiert, ganz gleich, welche Anwendung Sie verwenden. Versehentliche Löschungen, Bugs, Beschädigungen und sogar Insider-Bedrohungen sind an der Tagesordnung. In der Regel ist die erste Reaktion des Kunden die Annahme, dass er den SaaS-Anbieter um die Wiederherstellung seiner Daten bitten kann. Natürlich werden die meisten SaaS-Anbieter versuchen zu helfen, aber die Realität ist, dass sie dies nicht für Sie tun können. In allen Shared-Responsibility-Modellen weisen die Anbieter ausdrücklich darauf hin, dass die Datensicherung und die Wiederherstellung von verlorenen Daten anhand von Kunden-Backups erfolgen muss.  

Das folgende Diagramm veranschaulicht die Verantwortungsbereiche zwischen Ihnen und Microsoft
Das folgende Diagramm veranschaulicht die Verantwortungsbereiche zwischen Ihnen und Microsoft

Fehler Nr. 2 - Angenommen, Backups auf Systemebene sind Ihre Backups.    

Ja, Cloud-Plattformen und SaaS-Anwendungen behalten ihre Backups. Dabei handelt es sich jedoch um Backups auf Systemebene, die für die Wiederherstellung im Katastrophenfall und für Datenverlustszenarien innerhalb ihrer Infrastruktur verwendet werden. Diese Sicherungen sind für Wiederherstellungen auf Mieterebene nicht zugänglich.  

Ankommender Hurrikan oder Stromausfall? Keine Sorge, die Cloud-Plattform bietet Hochverfügbarkeit auf Systemebene, Disaster Recovery und Backups, um sicherzustellen, dass Ihr Zugang und Ihre Daten intakt sind.  

Hat einer Ihrer Administratoren versehentlich Daten gelöscht? Das liegt in Ihrer Verantwortung.  

So führt Salesforce beispielsweise Sicherungen auf Systemebene durch, ergreift aber auch direkte Maßnahmen, um die Kunden über die Bedeutung der Datensicherung zu informieren.  

Ein Bildschirmfoto eines ComputersBeschreibung automatisch generiert
Bewährte Praktiken für die Sicherung von Salesforce Daten

 

Fehler Nr. 3: Die Aufbewahrung von Daten und die Einhaltung von Vorschriften werden nicht ernst genommen.

Bleiben wir bei der Analogie mit dem Parkhaus. Im Falle eines Unfalls oder aufgrund gesetzlicher Bestimmungen müssen Sie eine Versicherung für Ihr Auto abschließen; Sie können sich nicht auf die Versicherung des Parkhauses verlassen. Das Gleiche gilt für die Einhaltung von Vorschriften.  

Wenn Sie gesetzliche Vorschriften (z. B. HIPAA) oder behördliche Richtlinien wie NIS2 und DORA einhalten müssen, können Sie sich nicht auf SaaS verlassen, um konform zu sein. Sie müssen compliant sein.

Die NIS2- und DORA-Vorschriften verlangen beispielsweise ausdrücklich, dass Sie Backups erstellen, die Wiederherstellung testen und dokumentieren müssen, dass Sie alle erforderlichen Schritte durchgeführt haben. Sie können dafür nicht die Backups auf Systemebene verwenden, sondern müssen Ihre eigenen verwenden.  

Die NIS2 schreibt vor, dass wesentliche und wichtige Einrichtungen grundlegende Sicherheitsmaßnahmen ergreifen müssen, um bestimmten Formen wahrscheinlicher Cyberbedrohungen zu begegnen.

 

Was bedeutet das alles? Es bedeutet, dass Sie nicht in den Fehler verfallen, den viele machen, bevor es zu spät ist. Stellen Sie sicher, dass Ihre Daten geschützt sind, dass Sie in der Lage sind, Sicherungskopien zu erstellen und im unvermeidlichen Fall einer versehentlichen Löschung oder eines bösartigen Angriffs wiederherzustellen. Am wichtigsten ist es jedoch, zu wissen, was Sie in Ihrem Datenbestand haben. Es ist zwar interessant, genau zu wissen, wie viele SaaS-Anwendungen oder Cloud-Dienste in Ihrer Umgebung laufen, aber oft fängt es damit an, dass man es nicht weiß. Bleiben Sie dran, wenn wir darüber berichten, warum Sie es wissen sollten und wie einfach es sein kann.  

Möchten Sie mehr erfahren?

  • Erweitern Sie Ihre Möglichkeiten mitR-Cloud

Shive Raja Kopfsprung

Andy Fernandez

Direktorin für Produktmanagement

Andy Fernandez ist Direktor für Produktmanagement bei HYCU, einem Unternehmen von Atlassian Ventures. Andys gesamte berufliche Laufbahn konzentrierte sich auf Datensicherung und Disaster Recovery für kritische Anwendungen. Zuvor hatte er Produkt- und GTM-Positionen bei Zerto und Veeam inne. Jetzt konzentriert sich Andy darauf, sicherzustellen, dass Unternehmen kritische SaaS- und Cloud-Anwendungen über ITSM und DevOps schützen. Wenn er nicht gerade an der Datensicherung arbeitet, besucht Andy gerne Live-Konzerte, erkundet die lokalen kulinarischen Orte und geht an den Strand.

Das könnte Sie auch interessieren...

HYCU Extends Patented Application Awareness to SQL Databases in the Public Cloud

Datenschutz als Dienstleistung
Datenschutz als Dienstleistung
December 17, 2024

Salz-Taifun-Reaktion: Die wichtige Rolle des Datenschutzes bei der Eindämmung von Risiken für Dritte

Datenschutz als Dienstleistung
Datenschutz als Dienstleistung
16. Dezember 2024

Die Macht der Partnerschaften nutzen: Wie HYCU eine Vorreiterrolle im Datenschutz einnimmt

Datenschutz als Dienstleistung
Datenschutz als Dienstleistung
10. Dezember 2024

Erleben Sie die SaaS-Datenschutzplattform Nr. 1

Testen Sie HYCU selbst und werden Sie überzeugt.

HYCU kostenlos testen
Demo anfordern
HYCU-Plattform
Visualisieren mit R-GraphAuf HYCU aufbauen
Lösungen zum Schutz von Daten
DatensicherungDatenmigration und MobilitätDisaster RecoveryHybride und Multi-CloudRansomware-SchutzSicherheit und ComplianceAlle unterstützten Technologien anzeigen
Private Cloud & Rechenzentren
NutanixNutanix MineDell PowerProtect Data DomainNetApp ONTAP
As-a-Service
Google WorkspaceEntra IDAlle anzeigen
Anwendungen und Datenbanken
SAP HANAOracleAlle anzeigen
Unternehmen
LeitungDirektoriumKarriereNewsroom
Globale Partner-Programme
Allianz- und TechnologiepartnerManaged Service-AnbieterWiederverkäufer findenWiederverkäuferEmpfehlungsschreibenPartner werdenDeal-Registrierung
Los geht's
Kostenlose TestversionDemo anfordern
Ressourcen
UnterstützungKundengeschichtenNeu bei HYCUInhaltsbibliothekBlogWebinare & VeranstaltungenRansomware & Bereitschaftsberechnung
Folgen Sie
© 2024 HYCU. Alle Rechte vorbehalten.
RechtlichesNutzungsbedingungenDatenschutzbestimmungenDatenschutz-Manager