Wir leben im digitalen Zeitalter - und ohne Clouds bzw. SaaS wäre dies nicht möglich. Schließlich müssen die enormen Datenmengen, die erzeugt werden, auch irgendwo gespeichert werden, ohne dass man dafür riesige (Speicher-)Geräte oder Server benötigt.
In diesem Artikel, der auf dem entsprechenden Blog-Beitrag von Rewind, einem Backup-Service für Saas-Plattformen, basiert, geht es zunächst darum zu erklären, was eine Cloud ist und was SaaS bedeutet. Anschließend wird das Shared Responsibility-Modell, was ein Bestandteil von SaaS-Plattformen ist, erläutert und was es konkret für Deine SaaS- und Cloud Computing-Apps bedeutet.
Die Bedeutung der Cloud
Für Privatpersonen mag die Nutzung einer Cloud relativ neu sein. Im geschäftlichen bzw. unternehmerischen Bereich ist die Cloud-Nutzung tatsächlich nichts Neues, sie findet schon seit Mitte der 1990er Jahre Anwendung. In den letzten Jahren jedoch haben sich Unternehmen aller Größenordnungen der Cloud verstärkt zugewandt, sodass sie stark an Bedeutung gewann - und auch gewinnen wird.
Laut einer 2020 durchgeführten Umfrage unter 250 IT-Fachleuten haben mehr als 80 % der Befragten ihre Cloud-Nutzung insgesamt erhöht. Die IDG-Umfrage 2020 zum Thema Cloud-Nutzung ergab, dass 59 % der Befragten innerhalb der nächsten 18 Monate den Großteil ihrer digitalen Assets in der Cloud haben werden. Und laut Gartner werden die weltweiten Ausgaben für Cloud-Services im Jahr 2021 um 18,4 % steigen, wobei das Wachstum bis 2024 anhalten wird.
Alle Branchen, vom Gesundheitswesen über das Baugewerbe und die Buchhaltung bis hin zu den Behörden, nutzen bereits die Cloud oder werden noch damit beginnen. Denn die von ihnen erzeugten Datenmengen wachsen in rasantem Tempo.
Die Bequemlichkeit der Cloud hat jedoch ihren Preis: SaaS-Kund:innen sind einem Risiko ausgesetzt, das regelmäßig negative Schlagzeilen produziert: Das Risiko, dass sensible Daten verloren gehen. Dieses Risiko resultiert aus einem allgemeinen Missverständnis darüber, wie Cloud-Computing funktioniert.
Wie funktioniert Cloud-Computing?
Es ist eine weit verbreitete Meinung, dass etwas, das sich "in der Cloud" befindet, auch immer dort ist. Das liegt wahrscheinlich daran, dass sich Menschen mittlerweile bei allem auf die Cloud verlassen; sowohl beruflich als auch privat. Die Cloud wird mit unseren Telefonen, Computern und mobilen Geräten synchronisiert - mit fast jedem Gerät, das wir benutzen. Dropbox, Microsoft 365, Google Drive: Diese Dinge sind immer verfügbar und begleiten uns überall hin. Fakt ist jedoch: Daten in der Cloud zu speichern, bedeutet nicht, dass sie sich immer dort befinden.
Zunächst sollte vielleicht erläutert werden, wie Cloud-Computing funktioniert. Vor nicht allzu langer Zeit wurden wichtige Geschäftsdaten vor Ort On-premise gespeichert, also auf physischen Geräten vor Ort wie PCs; bei besonders großen Unternehmen gar in großen Serverräumen. In dieser Infrastruktur vor Ort lief alles, was ein Unternehmen in Bezug auf seine Netzwerke benötigte.
Was bedeuten IaaS, PaaS und SaaS?
Riesige Serverräume sind immer noch üblich. Was sich geändert hat, ist, wem diese Server gehören. Der Aufbau und die Wartung dieser Art von Infrastruktur sind teuer. Diese Aufgabe einem externen Unternehmen zu überlassen kann sich unter dem Strich als günstiger erweisen. Als das Internet eine immer wichtiger Rolle in unserem Leben annahm, unser Zeitalter sich immer mehr digitalisierte und der Informationsfluss schneller wurde, begannen die Unternehmen, noch mehr ihrer IT- und Softwareanforderungen auszulagern. Diese Entwicklung hat zu verschiedenen Optionen für Unternehmen geführt. Zu diesen Optionen gehören Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS).
IaaS
Bei IaaS verwaltet das Unternehmen, das die Cloud bereitstellt, die gesamte physische Infrastruktur. Die Kund:innen (oder Nutzer:innen) haben dann Zugang zu diesem Netz, das im Wesentlichen als Erweiterung ihrer eigenen Rechenzentrumsinfrastruktur fungiert. IaaS ist mit vielen Vorteilen verbunden; beispielsweise mit der Möglichkeit, Workloads (ein Workload ist eine Anwendung oder ein Dienst, die oder der in der Cloud bereitgestellt wird) schneller, einfacher, flexibler und kosteneffizienter zu gestalten. Man denke dabei an Amazon Web Services, Microsoft Azure, Google Cloud und andere. In den meisten Fällen wird IaaS von Unternehmen genutzt, die ihre eigene Software entwickeln.
PaaS
PaaS bedeutet im Wesentlichen, dass Drittanbieter die IT-Infrastruktur verwalten, aber Entwickler:innen Zugang zu einem Framework gewähren, in dem sie maßgeschneiderte Anwendungen erstellen können. Viele Unternehmen bieten sowohl PaaS als auch IaaS an; es gibt aber auch Unternehmen wie Heroku, Netlify und Elastic Beanstalk, die nur PaaS anbieten.
SaaS
Und schließlich gibt es noch SaaS, die Art von Online-Software, mit der die meisten Menschen vertraut sind. Nach der letzten Zählung gibt es heute weltweit über 18.000 SaaS-Unternehmen, darunter auch Shopify. Die meisten SaaS-Anwendungen können direkt von einem Webbrowser aus ausgeführt werden, ohne dass Downloads oder Installationen erforderlich sind; wie man dies eben auch von Shopify kennt. Einige SaaS-Plattformen erfordern jedoch Plugins (das ist vor allem bei WooCommerce der Fall). Jahrzehntelang führten Unternehmen ihre Software auf ihren eigenen Computern aus, die auf ihren Desktops oder Servern gehostet wurden. Mit Online-Software entfiel die Notwendigkeit, Anwendungen auf einzelnen Computern zu installieren und auszuführen.
Im Umkehrschluss bedeutet dies aber auch: Du bist nicht im Besitz der Software, Du mietest sie. Das gilt auch für alle Server. Und wenn Unternehmen die Server, auf denen ihre Software läuft, nicht mehr besitzen oder kontrollieren, haben sie auch nicht mehr die volle Kontrolle über ihre Daten. Mit anderen Worten: Sie besitzen keine physische Kopie dieser Daten. Wenn Du also über keine Kopie verfügst, kannst Du nichts wiederherstellen, wenn etwas verloren geht. Und das kann auch der SaaS-Anbieter nicht. Und hier kommt das Shared Responsibility-Modell ins Spiel.
Wie funktioniert das Shared Responsibility-Modell?
Es ist ein Aspekt des Cloud-Computings, über den selten gesprochen wird und den viele möglicherweise auch nicht kennen, der aber dramatische Auswirkungen haben kann. Es legt fest, wo die Sorgfaltspflicht des Cloud-Anbieters endet und die der:des Kund;in beginnt. Und unabhängig davon, ob Du IaaS, PaaS oder SaaS nutzt - das Shared Responsibility-Modell ist immer ein Bestandteil von diesen Services, auch wenn die Konsequenzen jeweils unterschiedlich sind.
Wenn man alle Services nebeneinander abbildet, kann man sehen, wo die Verantwortung des Anbieters endet und wo die der Nutzer:innen beginnt:
Bei IaaS und PaaS müssen die Kund:innen für viel mehr Dinge geradestehen. Bei SaaS ist die Zahl an Verpflichtungen am geringsten, aber Daten und Benutzer:innenzugriff/Sicherheit sind in allen Bereichen gleich.
Unabhängig davon, ob man vor Ort On-premise nutzt, was eine hohe Summe kostet oder ob Du 99 Euro pro Monat für eine App bezahlst: Softwarekund:innen sind immer dafür verantwortlich, dass ihre Daten geschützt sind. Das ist der Kernpunkt des Shared Responsibility-Modells. Du und der SaaS-Anbieter (wie eben Shopify) tragen gemeinsam die Verantwortung für den Schutz Deiner Daten.
Warum können Saas-Tools Deine Daten nicht schützen?
Das ist eine häufig gestellte Frage. Warum fügen Software-as-a-Service-Unternehmen nicht einfach den letzten "Schutzschild" hinzu? Warum können sie die Daten nicht einfach speichern? Hier muss man jedoch unterscheiden: Sie "speichern" die Daten zwar - aber sie tun dies nur in einem Format, das für sie sinnvoll ist.
Alle neuen Daten oder Inhalte, die Du erstellst, werden auf den Servern des von Dir verwendeten SaaS-Tools gehostet. Diese Daten werden mit allen Nutzer:innen des besagten Tools in einen Topf geworfen. Du siehst alle Kund:inneninformationen, Berichte, Projektpläne, Jahresabschlüsse oder andere Funktionen, für die Du dieses spezielle SaaS-Tool verwendest. Auf der anderen Seite sieht der SaaS-Anbieter im Wesentlichen dies:
Alle Deine Daten werden mit denen aller anderen Kund:innen in einen Topf geworfen; unabhängig davon, ob die Anbieter eintausend oder eine Million Kund:innen haben. Es ist wie ein Meer voller Computercodes. Und wenn Du Daten verlierst, glichen die Suche und Wiederherstellung der Suche nach einer Nadel im Heuhaufen.
Aus diesem Grund fügen die großen SaaS-Plattformen in ihren Allgemeinen Geschäftsbedingungen Bestimmungen und Einschränkungen für die Wiederherstellung von Daten hinzu. Bei Shopify gilt folgendes:
Und in GitHub heißt es:
Egal welches Tool bzw. welche Plattform Du nutzt - ob Trello, Zendesk, Salesforce usw. - das Shared Responsibility-Modell ist immer präsent. Es liegt an Dir, der:dem Benutzer:in, zu verstehen, welche Daten gefährdet sind und wie man sie schützt.
Datenschutz = Unternehmensschutz
Die heutigen technischen Systeme sind ein wesentlicher Bestandteil einer modernen Belegschaft. Es ist nicht ungewöhnlich, dass Dutzende oder sogar Hunderte verschiedener SaaS-Tools in irgendeiner Form zusammenarbeiten. Dabei spielt es auch keine Rolle, in welchem Team Du tätig bist. Ob Vertrieb, Entwicklung, Finanzen, Customer Success oder Marketing - mit Sicherheit arbeitest Du jeden Tag mit Online-Software. Und mit jeder Woche, die verstreicht, bist Du mehr und mehr auf die Daten in diesen Tools angewiesen.
Man denke dabei an sämtliche Daten und Inhalte, die in all diesen Tools gespeichert werden. Man denke an all die Möglichkeiten, wie diese Daten dabei helfen, ein Unternehmen zu führen. Du triffst Entscheidungen über Ressourcen, Investitionen und strategische Fahrpläne. Möglicherweise verwendest Du SaaS-Tools, um alle Deine Kund:innendaten oder Vertriebskontakte zu speichern. Im Grunde genommen sind Deine Daten Dein Unternehmen. Wie groß ist aber die Wahrscheinlichkeit, dass all diese wichtigen Daten verlorengehen?
Laut einem Report von Oracle und dem Analyse-Unternehmen ESG machten 49 % der Unternehmen, die an der Studie teilnahmen, die Verwirrung um das Shared Responsibility-Modell für den Datenverlust verantwortlich. Eine von Rewind durchgeführte Umfrage ergab, dass 40 % der SaaS-Benutzer:innen bereits Daten verloren haben.
Ob Du also Daten verlierst oder nicht, gleicht einem Münzwurf: Beide Optionen sind wahrscheinlich, keine ist unwahrscheinlich.
Die Auswirkungen dieses Datenverlusts hängen davon ab, wie sehr Du auf diese Tools angewiesen bist. Viele der Daten, die wir alle in SaaS speichern, sind für unseren Alltag unerlässlich. Da die Anwendungen diese Daten nicht wiederherstellen können (wie bereits erwähnt), liegt es an Dir, alles wiederherzustellen. Das kann Stunden, Tage oder sogar Wochen an manueller Arbeit bedeuten, um alles wiederherzustellen. Und das auch nur, wenn Du Kopien der neuesten Daten zur Hand hast. Je nachdem, wie sehr Du darauf angewiesen bist, kann es sich also um ein kleines Ärgernis oder einen großen Notfall handeln.
Wie Datenverluste bei SaaS tatsächlich auftreten
Es gibt eine Reihe von Möglichkeiten, wie diese Daten verloren gehen oder gelöscht werden können. Einige sind schwerwiegend, wie z. B. Datenschutzverletzungen oder Serverausfälle. Wie bereits erwähnt, sind die Cloud-Anbieter für diese Fälle haftbar. Das sind Ereignisse, die alle Nutzer:innen betreffen. Die:der einzelne Nutzer:in hingegen ist mit einer Reihe von Risiken konfrontiert. Hier ist eine kurze Zusammenfassung:
App-Fehler von Drittanbietern
Alle Anwendungen, die man installiert, wie beispielsweise Apps, sind eigentlich nur weitere SaaS-Tools. Gerade für Shopify-Shops stehen im hauseigenen App Store sehr viele Apps zur Verfügung, von denen Händler:innen Gebrauch machen (können); teilweise handelt es sich dabei um Must-haves für das Shop-Management, wie dies beispielsweise bei Apps für Rechnungserstellung der Fall ist.
Einige sind speziell auf die jeweilige Plattform zugeschnitten (Shopify beispielsweise hat auch eigene Apps entwickelt), andere ermöglichen lediglich eine bessere Kommunikation zwischen den vorhandenen Tools. Wenn sie funktionieren, sind sie sehr effizient und leistungsfähig, erleichtern und vereinfachen (Arbeits-)Prozesse und sparen folglich Zeit.
Aber wenn sie es nicht tun, treten Probleme auf. Integrationen von Drittanbietern erfordern in der Regel Lese- und Schreibrechte; d. h. sie können Deine Daten auch ändern, manipulieren oder löschen, wenn sie unsachgemäß verknüpft sind.
Menschliches Versagen
Egal, wie routiniert man dasselbe tut: Fehler passieren. Das liegt in der menschlichen Natur, vor allem in einer schnelllebigen Umgebung. Es ist keine Frage des Ob, sondern des Wann. Und da immer mehr Unternehmen die Cloud und SaaS nutzen, werden die Gelegenheiten, Fehler zu machen, unweigerlich zunehmen.
Böswillige Angriffe und Cyber-Kriminalität
Es gibt zwei Arten von Angriffen: Angriffe von Personen, die Du nicht kennst (Cyber-Kriminelle bzw. Hacker) und Angriffe von Personen, die Dir bekannt sind (Auftragnehmer:innen oder ehemalige Angestellte). Angriffe von Hackern sind am weitesten verbreitet und in der Vergangenheit waren große internationale Unternehmen die Ziele.
Das hat sich dramatisch geändert, vor allem seit dem Beginn der globalen Corona-Pandemie im Jahr 2020; mit teilweise dramatischen Folgen, wie der Hacker-Angriff auf die Uniklinik Düsseldorf es beweist, der sogar zu einem Todesfall führte. Ransomware, Phishing-Angriffe und Malware sind nach wie vor weit verbreitet; und SaaS-Benutzer:innen sind nur einen Fehltritt davon entfernt, dass ihre Daten gekapert oder vernichtet werden.
Und das passiert häufiger, als man denkt. Eine von Verizon durchgeführte Studie über Datenschutzverletzungen im Jahr 2020 ergab, dass fast 1 von 3 (28 %) Opfern ein kleines oder mittelständisches Unternehmen war.
CSV-Dateien
Eine Comma Separated Values-Datei, auch CSV-Datei genannt, ist eine reine Textdatei, die Tabellendaten und Tabellenkalkulationen enthält. Sie sind einfach zu erstellen und können verwendet werden, um große Datenmengen in ein Tool zu importieren. Nicht alle SaaS-Tools erlauben die Verwendung von CSV-Dateien, aber viele tun es. Aber genau wie Menschen können auch diese Dokumente versehentlich Dinge kaputt machen. Hier ist ein Beispiel aus erster Hand von einem E-Commerce-Unternehmen, das Tausende von Dateien verloren hat, nachdem es versucht hatte, mit einer CSV-Datei große Mengen an Daten zu ändern.
Die Wahrscheinlichkeit, dass diese Dinge passieren, ist relativ. Aber die Wahrscheinlichkeit, dass SaaS-Nutzer:innen Daten verlieren, ist viel höher als die, dass SaaS-Plattformen Daten verlieren. Damit schließt sich der Kreis zu der Frage, warum die Haftung in den Nutzungsbedingungen eingeschränkt wird und warum das Verständnis des Shared Responsibility-Modells für Dein Unternehmen so wichtig ist.
Wie Du Deine SaaS-Daten schützen kannst
Im Wesentlichen geht es um zwei Dinge. Erstens musst Du sicherstellen, dass Du den Benutzer:innenzugriff und die Berechtigungen streng regelst. Zweitens benötigst Du eine Backup-Strategie. Wenn Du Dir ansiehst, wo die gemeinsame Verantwortung für SaaS-Benutzer:innen anfängt und aufhört, sind dies die beiden Bereiche, mit denen sich die Benutzer:innen befassen müssen. Wenn Du diese in Deinem Unternehmen einführst, sinkt die Wahrscheinlichkeit, dass wichtige Daten verloren gehen, drastisch. Du wirst Dich mehr auf Deine Arbeit konzentrieren können, anstatt sich mit der stressigen Herausforderung eines Datenverlustes zu beschäftigen.
Rewind bietet diesbezüglich automatische Lösungen für die Daten-Backups und -wiederherstellung, die Du einfach einrichten kannst. Die Anwendungen lassen sich direkt in Deine SaaS-Plattform integrieren, so dass Du einzelne Daten oder Deinen gesamten Datensatz wiederherstellen kannst. Mehr darüber erfährst Du auf Rewind.
Bildquellen: Rewind
