tiero - stock.adobe.com
Warum CISOs und CIOs ihren SaaS-Ansatz überdenken müssen
Die Zukunft der modernen Arbeitswelt hängt von der Verfügbarkeit und Funktionalität von SaaS-Lösungen ab – doch der bisherige Ansatz vieler Unternehmen benötigt ein Update.
Viele IT-Sicherheitsverantwortliche, etwa CISOs, stehen derzeit vor zahlreichen drängenden Problemen im Zusammenhang mit der schnellen Einführung von Cloud-basierten Services in Unternehmen. Auch hat sich das Wachstum von Cloud und SaaS mit der „Consumerization“ der Informationstechnologie massiv beschleunigt. Der Begriff (auf deutsch etwa „Konsumerisierung“) beschreibt das Phänomen, dass sich die Unternehmens-IT immer mehr an dem orientiert, was im Consumer-Bereich bereits gang und gäbe ist. Schließlich haben sich Angestellte längst daran gewöhnt, Apps und Dienste aus der Cloud herunterzuladen und zu nutzen, die sie bei ihrer täglichen Arbeit unterstützen – oft jedoch ohne ausdrückliche Genehmigung der IT-Abteilung.
Einen ersten Anhaltspunkt, zumindest für Human Resources, liefert die „2021 ISG Survey on Industry Trends in HR Technology and Service Delivery“ von ISG. Für die Studie befragten die Marktforscher 260 Unternehmen weltweit. 46 Prozent gaben an, dass sie Software as a Service-Plattformen (SaaS) oder eine hybride Lösung für HR nutzen. Im Vergleich dazu waren es bei der Umfrage vor zwei Jahren nur 20 Prozent. Mit Blick auf die Zukunft gaben 57 Prozent der Befragten an, dass sie erwarten, bis 2023 eine abonnementbasierte SaaS- oder Hybridlösung zu nutzen. Ähnliche Zahlen dürften für eine ganze Reihe von Branchen gelten. So zeigt eine Studie der Synergy Research Group vom Januar 2020, dass der Anteil von Software-as-a-Service-Lösungen im Markt für Unternehmenssoftware innerhalb von 10 Jahren von 2 Prozent (2009) auf 23 Prozent (2019) gestiegen ist. Der SaaS-Umsatz erreichte 2019 bereits 101 Milliarden US-Dollar.
Es ist hier wichtig, zu betonen, dass das SaaS-Geschäftsmodell selbst von der Akzeptanz durch die Endanwender abhängt. Es gibt ganze Teams von Ingenieuren und Vermarktern, die diese Plattformen aufbauen, um das „produktgesteuerte Wachstum“ durch kostenlose Testversionen zu fördern, die Kundenbindung zu erhöhen, Benutzereinladungen zu fördern und so weiter Schon vor der Pandemie nutzte eine große Anzahl von Mitarbeitern SaaS-Anwendungen, ohne eine Genehmigung der IT-Abteilung einzuholen - dies dürfte in den Jahren 2020/2021 zugenommen haben.
SaaS-Beschaffung und -Nutzung an der IT vorbei
Laut einer Gartner-Studie machte die Schatten-IT bei großen Unternehmen bereits 2016 satte 30 bis 40 Prozent der gesamten IT-Ausgaben aus. Dies bedeutet, dass fast die Hälfte des IT-Budgets von Unternehmen für Tools ausgegeben wird, die einzelne Teams und Geschäftsbereiche ohne das Wissen der IT-Abteilung kaufen (und nutzen). Viele nicht genehmigte Software-Lösungen und Services sind in ihrer Funktionalität möglicherweise sogar identisch mit den genehmigten Anwendungen, was bedeutet, dass Unternehmen ihr Geld ineffizient ausgeben. Dies wirft die Frage auf, wie sich dies konkret auf den betrieblichen Gesamtumsatz von Betrieben auswirkt. Die Antwort auf diese Frage hängt stark von der Branche ab, aber laut einer Studie von Deloitte Insights geben Unternehmen im Durchschnitt 3,28 Prozent ihres Umsatzes für IT aus. Banken und Wertpapierfirmen geben am meisten aus (7,16 Prozent), Bauunternehmen am wenigsten (1,51 Prozent).
Neben den zusätzlichen Kosten birgt Schatten-IT ein höheres Risiko von IT-Sicherheits- und Compliance-Komplikationen, da die Tools oft nicht ordnungsgemäß überprüft werden. Zu diesen Risiken gehört mangelnde IT-Sicherheit, die zu erfolgreichen Angriffen durch Cyberkriminelle und Datenabfluss führen kann. IT-Teams sind oft nicht in der Lage, die Sicherheit der Software oder der Services zu gewährleisten und kann sie nicht effektiv verwalten sowie Updates durchführen. Gartner prognostiziert, dass bis 2022 ein Drittel der erfolgreichen Angriffe auf Unternehmen auf ihre Schatten-IT-Ressourcen zurückzuführen sein wird. Dies ist besonders erschreckend, wenn man bedenkt, dass kriminelle Attacken auf deutsche Unternehmen jährlich Rekordschäden verursachen. Laut einer Bitkom-Studie aus dem Herbst 2019 entstehen der deutschen Wirtschaft durch Sabotage, Datendiebstahl oder Spionage jährlich ein Gesamtschaden von 102,9 Milliarden Euro – analoge und digitale Angriffe zusammengenommen. Die Schadenssumme in Deutschland hat sich 2020/2021 mehr als verdoppelt (siehe auch Cyberangriffe: Neun von zehn Unternehmen sind betroffen).
„Neben den zusätzlichen Kosten birgt Schatten-IT ein höheres Risiko von IT-Sicherheits- und Compliance-Komplikationen, da die Tools oft nicht ordnungsgemäß überprüft werden.“
Volker Sommer, SailPoint
Doch was können Unternehmen konkret tun, um ihr Risiko zu mindern? Ein erster Schritt kann sein, den eigenen SaaS-Fußabdruck zu verfolgen. Hier geht es nicht nur um die zentralen Unternehmensanwendungen, sondern um sämtliche eingesetzte Lösungen im gesamten Betrieb. In vielen Unternehmen wird dies durch einfache Excel-Tabellen festgehalten – diese Praxis ist verbreitet – allerdings bietet dies keinesfalls vollständige Sichtbarkeit und ist sehr fehleranfällig. Denn die Methode bildet nur einen Bruchteil der Anwendungen ab, die im Unternehmen genutzt werden, und in dem Moment, in dem die Tabelle aktualisiert wird, ist sie somit bereits veraltet. Dieser Ansatz kostet daher wertvolle Zeit und ist im höchsten Maße ineffektiv.
Mit Transparenz Risiken und Kosten in den Griff bekommen
In dieser neuen Ära der IT besteht die einzige Möglichkeit, das moderne Cloud-Unternehmen vollständig zu schützen darin, zunächst alle versteckten SaaS-Anwendungen aufzudecken und im nächsten Schritt die gleichen Governance-Kontrollen anzuwenden, die bereits für die restlichen kritischen Geschäftsanwendungen genutzt werden. Der Ansatz Identity Security kann Firmen dabei helfen, dies zu erreichen, denn Lösungen aus diesem Bereich unterstützen Unternehmen dabei, ihre nicht verwalteten SaaS-Anwendungen zu entdecken und danach die effektiven IT-Sicherheitskontrollen auszuweiten. Hiermit ist sichergestellt, dass nur die richtigen Personen Zugriff auf diese Anwendungen haben. Moderne Lösungen aus dem Bereich Identity Security helfen IT-Teams, alle SaaS-Apps schnell zu finden und sicher zu verwalten – mit der nötigen Transparenz und Intelligenz, um zu verstehen, wer Zugriff hat und wie dieser Zugriff genutzt wird. Außerdem kann der Zugriff entfernt oder verändert werden, falls dieser entweder zu großzügig vergeben wurde oder nicht mehr benötigt wird – beispielweise, wenn ein Mitarbeiter das Unternehmen verlässt. Somit sind Unternehmen nicht nur in der Lage, SaaS-Risiken zu mindern und die Compliance zu verbessern, sondern auch Lizenzkosten zu optimieren und unnötige IT-Ausgaben zu vermeiden.
Um zu zeigen, wie gefährlich ein solcher Ansatz sein kann, betrachten wir ein Beispiel: Der Finanzdirektor eines Unternehmens gibt über eine Cloud-Dateispeicher-App einen Stammordner für externe Parteien frei. Dies ermöglicht versehentlich den Zugriff auf detaillierte Finanzberichte, die niemals öffentlich freigegeben oder geteilt werden würden. Gehälter, Gewinn- und Verlustrechnung, und mehr wurden unbeabsichtigt offengelegt. Darüber hinaus wurden die Dateien, Ordner und Diskussionen der gesamten Finanzabteilung vollständig öffentlich gemacht, anstatt intern und schreibgeschützt zu sein – dadurch wurden Finanzdateien und andere sensible Informationen durch Suchmaschinen indizierbar. Die Frage, die sich hier stellt, ist, wer in einer solchen Situation die Schuld trägt. Die Antwort lautet: Nicht etwa der Finanzdirektor selbst, sondern der CISO und der CIO, denn sie tragen letztlich die Verantwortung für die Übersicht und Verwaltung der Anwendungen.
Ein anderes Beispiel ist eine Situation, in der ein Unternehmen unwissentlich nicht nur eine, sondern fünf (oder mehr) Projektmanagement-Apps außerhalb des Zuständigkeitsbereichs der IT-Abteilung betreibt, die über das gesamte Unternehmen verteilt sind. Dies führte zu massiven, unnötigen Kosten und IT-Sicherheitslücken – denn es wirft Fragen auf wie etwa: „Wie viele sensible Daten wurden wohl in den anderen Apps gespeichert?“. Fälle wie diese sind sehr weit verbreitet und aus Datenschutz- und IT-Security-Perspektive sehr problematisch.
Schatten-IT richtig einordnen
Um solche Probleme von vornherein zu vermeiden, sollten Unternehmen das Thema Schatten-IT ernstnehmen. Es gilt, ein Licht auf die Risiken von Schatten-IT und SaaS-Zugängen zu werfen und einen tieferen Einblick in den vollen Umfang von nicht verwalteten SaaS-Anwendungen zu erhalten. Denn so können Unternehmen jedes Jahr bares Geld einsparen. Durch einen proaktiven Ansatz können Betriebe einen nahtlosen, effektiven Prozess in Gang setzen, bei dem schließlich am Ende die Verwaltung ihrer gesamten SaaS-App-Landschaft steht. Dies fängt allerdings damit an, dass Unternehmen die bisher unbekannten Anwendungen in ihrem Betrieb aufspüren und jede neu entdeckte SaaS-App (und die darin enthaltenen Daten) mit den richtigen Sicherheitskontrollen ausstatten – was dazu beiträgt, Schatten-IT-Probleme im gesamten Unternehmen zu beseitigen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.