SaaS-Sicherheit, Cloud-Kosten und NutzungsdatenDie drei zentralen ToDos für die CIO-Checkliste
27. Juli 2021
Für CIOs gibt es viel zu tun: Das Tagesgeschäft muss am Laufen bleiben, die digitale Transformation gilt es anzuschieben und die IT-Ausgaben drücken. In der Zwischenzeit tummeln sich die Mitarbeiter im Home-Office und bauen eigene kleine (und unkontrollierte) IT-Inseln auf. Am deutlichsten zeigt sich das Chaos innerhalb der IT-Assets am Beispiel Cloud und SaaS.
Die Erkenntnis, dass SaaS zentral gemanagt und überwacht gehört, ist nicht wirklich neu. Der Verbreitung von Schatten-IT und in neuer Form der „Rogue SaaS“, hat das trotzdem kein Ende gesetzt. Im Symantec CSTR Report gaben CIOs an, im Durchschnitt 436 Cloud-Anwendungen im Unternehmen zu nutzen. Bei einer genauen Überprüfung kam heraus, dass die Dunkelziffer bei insgesamt 1.807 Apps pro Unternehmen lag und damit viermal höher ist, als von den IT-Verantwortlichen vermutet. Angesichts Corona-Pandemie und der Umstellung auf Home-Office und Digital Workspace liegt die Vermutung nahe, dass sich an dieser Schieflage in den letzten Jahren nichts geändert hat.
Jede SaaS-Anwendung, die zum Software-Ökosystem von Unternehmen stößt, ist zunächst einmal mit einem gewissen Risiko verknüpft. Und jedes Risiko lässt sich auf einen gemeinsamen Nenner zurückführen: Der IT fehlt es an einem ganzheitlichen und aktuellen Einblick in die IT-Infrastruktur – sei es Cloud, On-Premise oder eben SaaS. Drei Themen gehören dabei auf der To-Do-Liste von CIOs ganz nach oben:
SaaS & Sicherheit in Einklang bringen
Es stimmt, dass SaaS das Leben von Anwendern und CIOs in vielen Dingen einfacher gemacht hat. Dazu gehört auf den ersten Blick auch das Thema Sicherheit. In der Regel sind die SaaS-Anbieter für die Sicherheit ihrer Anwendungen verantwortlich und übernehmen neben Updates und Patching auch die Wartung und Instandhaltung. Was bei ihnen jedoch nur bedingt auf der Checkliste steht, ist der Schutz von Kunden- und Anwenderdaten.
In Sachen Datenleaks, unsicheren Passwortrichtlinien, schlecht oder falsch konfigurierten Cloud-Diensten sowie Cyberangriffen rund um Phishing und Kontoübernahmen (Account Takeover ATO) sind also noch genügend Aufgaben für die IT-Sicherheit zu bewältigen. Die Bedrohungslage verschärft sich, führt man sich die Rolle von Mitarbeitern als potenzielle Angriffsvektoren vor Augen. So geht Gartner davon aus, dass im nächsten Jahr 95% der Sicherheitsvorfälle in der Cloud wortwörtlich auf das Konto der Kunden zurückzuführen sein wird.
Single-Sign-On (SSO) ist Teil dieses Problems. Während die einmalige Authentifizierung für mehrere Services für Mitarbeiter unglaublich bequem ist, bleibt das Verfahren anfällig für Angriffe von außen. Einmal ein Passwort erbeutet, hat der Angreifer die Qual der Wahl, durch welche Tür er in IT-Systeme schlüpfen möchte. IT-Verantwortliche sollten sich daher folgende Fragen stellen: Verfügt jeder, der sich bei einer Cloud-Anwendung anmeldet, auch tatsächlich über die entsprechenden Zugriffsrechte? Wie werden die Zugänge ehemaliger Mitarbeiter gemanagt? Was passiert mit Diensten, die nur für zeitlich begrenzte Projekte benötigt wurden? Wie viele File-Sharing-Apps (z. B. Dropbox) laufen entgegen den allgemeinen Richtlinien auf Unternehmensrechnern und Smartphones?
Wer all diese Fragen einfach, schnell und detailliert beantworten kann, hat in Sachen SaaS-Management vieles richtig gemacht. Alle anderen sollten dringend in bessere Managementsysteme investieren. Neuere Lösungen ermöglichen es nicht nur, SaaS hinsichtlich ihrer Compliance zu managen, sondern werfen auch einen Blick auf die tatsächliche Nutzung der Anwendungen und integrieren Software-Vulnerability-Datenbanken, um Sicherheitsschwachstellen zu identifizieren. Die Daten zu IT-Assets werden zentral gesammelt und kontinuierlich aktualisiert, um automatisierte Prozesse sicherzustellen und Passwort- und Unternehmensrichtlinien sowie die SSO-Governance durchzusetzen.
Steigende Kosten und unnötige Ausgaben bremsen
Nach der Sicherheit steht bei vielen CIOs und IT-Verantwortlichen die Optimierung von IT-Ausgaben rot markiert und mit Ausrufezeichen auf der To-Do-Liste. Das hat seinen Grund. Denn rund ein Drittel der getätigten Cloud-Ausgaben entfällt auf Leistungen, die vom Unternehmen gar nicht im vollen Umfang in Anspruch genommen werden. Für ein Unternehmen mit einem IT-Budget von 10 Millionen Euro hieße das, über 3 Millionen ohne effektiven Mehrwert in den Sand zu setzen oder wohl besser in die Wolken zu schießen.
Klar, Einsparungspotentiale bei der IT lassen sich nicht einfach aus dem Hut zaubern. Die Nutzung von Cloud, SaaS & Co. lässt sich jedoch mit den richtigen Tools und Prozessen sehr genau überwachen, so dass IT-Verantwortliche schnell einen vollständigen Einblick über das Kosten-Nutzen-Verhältnis Ihrer Cloud Kosten erhalten. Cloud-Management heißt eben auch, verschiedene Verträge unterschiedlicher Anbieter mit sich kontinuierlich verändernden Preis- und Nutzungsmodellen zu vergleichen und Monatsrechnungen von Cloudanbietern, mit Millionen von Einzelposten und zehntausenden SKUS je Anbieter zu analysieren. Diese Kontrolle wird umso wichtiger, da sich mit dem On-Demand-Modellen der Cloud das Risiko verschoben hat – von einer Unterlizenzierung zu einer Überlizenzierung.
Die Komplexität in Bezug auf Abrechnung und Kosten ist bereits bei einem gut gemanagten SaaS- und Cloud-Portfolio nichts für schwache Nerven. Hinzu kommt, dass trotz aller Bemühungen eines zentralen Ansatzes, Rogue SaaS und Cloud-Sprawl weiter zunimmt. Fehlt es dann an automatisierten Governance-Prozessen können Kosten schnell außer Kontrolle geraten und der viel gepriesene Kostenvorteil der Cloud schmilzt dahin.
Am Bedarf vorbei gekauft: Wert von Nutzungsdaten erkennen
Die Kosten im Auge zu behalten, heißt bei SaaS und Cloud automatisch auch die Nutzungsdaten zu erfassen und zu analysieren. Verpasst es die IT, sich über den Einsatz von Cloud-Anwendungen im Rahmen des Portfolio-Managements schlau zu machen, lassen sich weder Bedarfsprognosen für die Zukunft abgeben noch Kapazitäten anpassen und IT-Budgets planen. Viel wahrscheinlicher ist es, dass unnötig Geld ausgegeben wird, dass an anderer Stelle schmerzlich fehlt.
Zum Selbsttest hier wieder einige Beispielfragen: Für wie viele ehemalige Mitarbeiter fallen Monat für Monat weiter Lizenzgebühren an? Auf einer Skala von 1 bis 10, wie rentabel ist jedes abgeschlossene SaaS-Abo? Wie viele Verträge mit SaaS-Anbietern werden an der IT vorbei abgeschlossen? Wie oft wurden Cloud-Abonnements aufgrund verstrichener Kündigungsfristen automatisch verlängert? Mit welchen aktuellen Aktionspreisen und Rabatten werben AWS, Azure, Google & Co. momentan um bestehende Kunden?
Single-sign-on (SSO) liefert hier keine befriedigenden Antworten. Einfach deshalb, weil die Anmeldung in SaaS nicht automatisch heißt, dass die Anwendung auch tatsächlich genutzt wird. Die von SaaS- und Cloud-Anbietern bereit gestellten Monatsberichte wiederum mögen detailliert Auskunft über die Kosten und Nutzung der einzelnen Dienste geben. Eine echtes Kosten-Nutzen-Verhältnis über alle Anwendungen hinweg liefern sie jedoch nicht. Dafür variiert zum einen der Umfang und der Zeitpunkt der Reportings je nach Anbieter zu sehr. Zum anderen ist die Zusammenführung aller Zahlen sowie ein Vergleich der Vielzahl an unterschiedlichen IT-Assets ohne automatisiertes Tool kaum noch möglich. Automatisieren SaaS- oder Cloudmanagementlösungen gehen hingegen anbieterunabhängig vor und sind so besser positioniert, Optimierungspotential zu erkennen.
Für mehr Durchblick in der Cloud, bei SaaS und der gesamten IT-Infrastruktur brauchen CIOs und ihre Teams keine Brille. Sie brauchen einen Röntgenblick. Erst aus dieser Perspektive lässt sich der ROI einer jeden Anwendung für die jeweiligen Unternehmensinitiativen bestimmen und wenn nötig anpassen. Gerade angesichts der aktuellen Herausforderungen an die IT ist dieser Ansatz der Technology Value Optimization (TVO) so dringend wie nie zuvor.
Marius Dunker ist Vice President DACH Sales bei Flexera.
