SaaS-Provider sind nur für die Infrastruktur und die regelrechte Funktion der Services zuständig, nicht für den Schutz der von einem SaaS erzeugten Daten.
Applikationen in SaaS-Clouds (Software as a Service) zu betreiben ist inzwischen vollkommen normal. Kostensenkungen sind das wichtigste Motiv dafür. Organisationen zahlen gegenüber dem Eigenbetrieb oft weniger, wenn sie diese Betriebsform wählen.
Softwarelieferanten gehen inzwischen dazu über, ihre Programme nur noch für die Lieferung aus der Cloud anzubieten. Sie warten die Applikation genau wie die Hardware, auf der sie läuft, gleichzeitig sorgen sie dafür, dass sie richtig konfiguriert ist. Niemand zweifelt die Vorteile dieses Betriebsmodells an. Doch die Charakteristik Cloud-basierter Applikationen erzeugt bei der IT oft ein falsches Sicherheitsgefühl: Sie glauben fälschlicherweise, dass der Applikations-Provider für den SaaS-Datenschutz zuständig ist und entsprechend alle diesbezüglichen Probleme handhabt.
Das stimmt aber nur teilweise. Wenn eine SaaS-Applikation instabil läuft oder die zugrundeliegende Infrastruktur ausfällt, muss der Provider das Problem lösen. Allerdings ist er normalerweise nicht für die mit der Applikation verbundenen Daten zuständig. Diese Regel gilt schon, seit es die IT-Industrie gibt. Sie wurde akzeptiert, als von Cloud-Services noch keine Rede war.
Man stelle sich vor, dass eine Organisation keine Cloud-SaaS verwendet und ihre gesamte Software On-Premises, also lokal betreibt. Wenn in diesem Fall ein Storage-Array ausfällt und deswegen einige wichtige Dokumente verloren gehen, stellt sich kaum jemand ernsthaft die Frage, ob die Softwareanbieter für den Datenverlust zuständig sind. Sie sind es nämlich schon seit jeher nicht.
Sehr wahrscheinlich funktionieren ja die Anwendungen noch. Nur die Daten, die sie erzeugt haben, sind nicht mehr da. Applikationsanbieter sind dafür zuständig, zu garantieren, dass ihre Software arbeitet wie versprochen. Nicht zuständig sind sie für die Daten der Organisationen, die die Applikationen einsetzen. Der Datenschutz liegt in der Verantwortlichkeit der IT-Spezialisten im Anwenderunternehmen: Sie müssen beispielsweise regelmäßig Backups anlegen.
Dass Applikationen als Softwareservice in der Cloud laufen, ändert daher nichts an der Notwendigkeit, die von den Services erzeugten Daten zu schützen. Unternehmen müssen also genauso für den Schutz ihrer eigenen Daten sorgen, wie in der Zeit, als Anwendungen ausschließlich On-Premises betrieben wurden. Applikationen als SaaS aus der Cloud zu beziehen, bedeutet im Prinzip, Hardware im Rechenzentrum des Cloud-Providers zu mieten und damit die Hardware, das Betriebssystem und die Softwarewartung auszulagern, soweit sie sich auf diese Applikation bezieht. Obwohl die Software auf einem Server andernorts läuft und von jemand anders gewartet wird, sind die Abonnenten noch immer für den Schutz der von ihnen erzeugten Daten zuständig.
Einige Backup-Services sichern die meisten Office-365-Daten, andere sichern zwar Exchange Online, bieten aber für andere Office-365-Apps wie SharePoint Online oder Yammer kaum Schutz.
Leider war der Schutz von durch SaaS erzeugten Daten bisher kompliziert. Bei lokal betriebenen Applikationen bleiben die erzeugten Daten im Allgemeinen da, wo sie einfach gesichert werden können. Bei Applikationen, die als SaaS aus der Cloud bezogen werden, liegen die Daten jedoch oft im Rechenzentrum des Providers und nicht in dem des Serviceabonnenten.
Auf den ersten Blick scheint es unproblematisch, die Daten in der Cloud des SaaS-Providers zu speichern. Schließlich ist Cloud Storage eine breit eingesetzte und zuverlässige Technologie. Es gibt allerdings einen für den Datenschutz wichtigen Unterschied zwischen SaaS- und IaaS-Storage wie Amazon S3: SaaS-Provider eröffnen nämlich ihren Abonnenten normalerweise keinen Zugriff auf Volume-Ebene, sondern nur auf das jeweilige Storage-Bucket, in dem die Volumes lagern. Das kostet typische Backup-Anwendungen ihre Effektivität bei der Sicherung von SaaS-Daten. Es sei denn, eine Backup-Anwendung wurde eigens dafür konzipiert, mit einer spezifischen SaaS-Cloud zusammenzuarbeiten.
Diejenigen, die Saas-Anwendungen verwenden, müssen deshalb zwei wichtige Fragen beantworten: Was passiert, wenn die SaaS-Daten verloren gehen? Und wie kann man die Daten am besten schützen?
Die Wahrscheinlichkeit eines SaaS-Daten-Verlustes
SaaS-Provider bemühen sich sehr, Datenverlusten infolge von Infrastrukturausfällen oder böswilligen Aktivitäten vorzubeugen. Obwohl das so ist, weiß man schon lange, dass Datenverluste auch in einer SaaS-Cloud vorkommen können und vorkommen.
Eine Studie der Aberdeen-Gruppe aus dem Jahr 2013 ergab, dass 32 Prozent der SaaS-Abonnenten schon Datenverluste erlebt haben. Zu den gängigen Ursachen gehören das zufällige Löschen und Überschreiben mit falschen Daten durch Anwender. Überraschend genug sind jedoch die SaaS-Applikationen selbst für einige der Datenverluste verantwortlich, indem sie Daten überschreiben, die nicht überschrieben werden sollen.
Natürlich ist es fast unmöglich, Datenverluste zu diskutieren, ohne auch Faktoren wie Ransomware, Hacker und andere böswillige Aktivitäten zu erwähnen. Die Studie der Aberdeen-Gruppe fand heraus, dass nahezu 20 Prozent aller Datenverluste beim Einsatz von SaaS-Applikationen durch Hacker und allgemein böswillige Aktivitäten verursacht wurden. Andere Befragte nannten aber als Ursache für Datenverluste die Beendigung eines SaaS-Abos, möglicherweise, so vermuteten sie, war der Datenverlust sogar das Resultat der Kündigung oder des versehentlich nicht verlängerten Abos.
Abbildung 1: Ergebnisse der Studie der Aberdeen-Gruppe.
Eine etwas aktuellere Studie von IDG Communications Inc. malt ein noch dunkleres Bild hinsichtlich von Datenverlusten bei der SaaS-Nutzung. Ihr Ergebnis: Erschreckende 58 Prozent der befragten Unternehmen, die SaaS-Anwendungen einsetzen, gaben an, innerhalb den der Umfrage vorangegangenen 12 Monaten Datenverluste mit Bezug auf SaaS erlebt zu haben. Interessanterweise nennen sie dieselben Gründe dafür wie die Studienteilnehmer der Aberdeen Group.
Abbildung 2: Überblick der IDG-Studie.
Eine noch aktuellere Studie, die vom Cloud-Backup-Provider Spanning Cloud Apps LLC finanziert wurde, hat noch problematischere Befunde. Nahezu 80 Prozent der Teilnehmer berichteten nun von SaaS-Datenverlusten dieser oder jener Art innerhalb der vergangenen 12 Monate.
Abbildung 3: Auch das Unternehmen Spanning Cloud Apps führte eine Studie zu SaaS-Daten durch.
Das deutet auf ein Problem, das sich mit der Zeit verschlimmert hat, wobei sicher auch eine Rolle spielt, dass mit den Jahren immer mehr Softwareservices genutzt und mehr Daten erzeugt werden. Zwar untersuchen die drei Studien nicht genau dieselben Arten von Datenverlusten, dennoch lassen sich die individuellen Datenverluste einigen allgemeinen Kategorien zuordnen.
So kann man die Ergebnisse Kategorie für Kategorie überprüfen. Dabei zeigt sich, dass SaaS-Datenverluste einige konsistente Trends aufweisen. Versehentliches Löschen und administrative Fehler sind für den Großteil der Datenverluste verantwortlich.
Abbildung 4: : Ein Vergleich der drei erwähnten Studien im Überblick.
Wegen der Bedeutung von SaaS-Datenverlusten sollte man überlegen, wie sich SaaS-Daten am besten schützen lassen. Seit einigen Jahren gibt es Anbieter von C2C-Backup-Services (Cloud-to-Cloud), die vor Verlusten von SaaS-Daten schützen. Zu den populäreren C2C-Backup-Services gehören:
Axcient Cloud Finder
Barracuda Cloud-to-Cloud-Backup for Office 365
Cloud Ally
Cloud Daddy
Cohesity
Datto SaaS Protection
Iland
Skyvia
Veeam Backup for Microsoft Office 365
Die C2C-Backup-Services unterscheiden sich voneinander. Das erfordert zu evaluieren, welcher Service dem individuellen Bedarf am ehesten entspricht. Am wichtigsten ist die Frage, welche SaaS-Applikationen ein C2C-Backupservice schützen kann. Einige dieser Services konzentrieren sich auf einen bestimmten SaaS-Service wie Office 365, andere können die Daten mehrere SaaS-Applikationen sichern.
Sogar der SaaS-Schutz, den diese Services bieten, ist nicht gleich. Beispielsweise sichern einige Backup-Services die meisten Office-365-Daten, andere sichern zwar Exchange Online, bieten aber für andere Office-365-Apps wie SharePoint Online oder Yammer kaum Schutz.
Bei der Auswahl eines C2C-Backup-Service sollte man immer eine testweise Probenutzung vereinbaren. Wichtig ist es, beim Testen auf die Granularität der Wiederherstellung und die Wiederherstellungsgeschwindigkeit zu achten. Außerdem sollte man berücksichtigen, ob der Backup-Provider die Datenhaltung durch terminliche oder volumenbezogene Grenzwerte limitiert. Sonst sind am Ende Daten, die wiederhergestellt werden müssten, verschwunden, weil der Provider sie für zu alt hielt, um noch nützlich sein zu können.
Wem gehören Saas-Daten?
Zwei der Studien identifizierten als eine der weniger häufigen Ursachen für Datenverluste im Zusammenhang mit dem Zustand des SaaS-Abos. IDG brachte diese Datenverluste in Zusammenhang mit Mitarbeitern, die das Unternehmen verlassen, oder der Deaktivierung von Kundenkonten. Aberdeen beschrieb diese Art von Datenverlust so: „SaaS beendet und Daten verloren“. Beide Studien wiesen darauf hin, dass Datenverluste als Folge der Kündigung oder beim versehentlichen Auslaufen von SaaS-Abos eintreten können.
Deswegen sollten Organisationen das Thema Datenbesitz thematisieren. Wenn SaaS-Provider Daten von Kunden in ihrer eigenen Cloud speichern – ohne ihren Kunden eine Zugriffsmöglichkeit von außerhalb darauf zu eröffnen – gehören die Daten im Prinzip dem SaaS-Provider. Mit Cloud-to-Cloud-Backup allerdings kann man Daten aus einer SaaS-Applikation herausziehen und sie anschließend On-Premises oder in einer Cloud der eigenen Wahl speichern, wo man das Eigentum an ihnen behält. So verliert man nicht alle Daten, wenn das SaaS-Abo endet.
Dabei sollte man darauf achten, ob es Volume-Grenzwerte für die Datentypen gibt, die ein Provider in seine Backups einschließt. Das ist bei neueren Angeboten kein Problem mehr. Doch einige C2C-Backup-Provider der ersten Generation überspringen bei der Sicherung Videos und andere voluminöse Dateien, um Bandbreite zu sparen.
Schließlich sollte man nach Referenzen fragen oder online danach suchen. Haben Anwender im Allgemeinen gute Erfahrungen gemacht? Oder hat der Service sie im Stich gelassen, als sie Unterstützung dringend gebraucht hätten?
