Wer ist verantwortlich für die Sicherheit der Daten in der Cloud – der SaaS-Anbieter oder das Unternehmen?

Dies ist eine wichtige Frage, die viele Unternehmen vor immer größere Herausforderungen stellt. Ich verspreche Ihnen: Je nachdem, wen Sie im Unternehmen fragen, werden andere zur Verantwortung gezogen: Die Rechtsabteilung, Risk & Compliance, der CISO oder doch allein der Geschäftsinhaber?

Die Vorteile von SaaS-Anwendungen in der Cloud liegen auf der Hand: mobiler Support, Steuerung über Dashboards und vor allem niedrigere Kosten. Unternehmen müssen diese Vorteile ausnutzen, wenn sie wirtschaftlichen Erfolg haben und wachsen wollen.

Die Sicherheitsfrage darf man aber dennoch nicht ausblenden. Für den SaaS-Anbieter scheint die Antwort klar: „Ihre Daten sind in unseren Rechenzentren sehr sicher“. Das befreit Unternehmen aber nicht von der Pflicht, zwei Dinge zu überprüfen: Was sind die sensiblen Daten des Unternehmens? Welchen gesetzlichen oder regulatorischen Verpflichtungen muss ich nachkommen, um die verschiedensten Anforderungen zur Compliance von Daten einzuhalten? Das muss Ihnen klar sein, bevor Sie Ihre sensible Daten in eine SaaS-Umgebung migrieren lassen und bevor diese nicht mehr unter Ihrer – zumindest nicht mehr unter ihrer alleinigen – Kontrolle sind.

SaaS-Anbieter müssen ihrerseits  verstehen, dass es nicht allein um die physikalische Sicherheit der Daten in der Cloud geht, sondern um die Compliance der Daten. Nicht nur die Verfügbarkeit, sondern vor allem der Schutz der Informationen vor dem unberechtigten Zugriff durch Dritte spielt eine immer größere Rolle. Und weil das Unternehmen diese Verpflichtung etwa seinen Kunden, Partnern und Mitarbeiten gegenüber eingegangen ist, bleibt diese Verantwortung beim Unternehmen und geht nicht auf den Software-as-a-Service-Anbieter über.

Gerade bei SaaS-Anwendungen wie Office 365, Salesforce, ServiceNow oder anderen spielt dieser Schutz ihrer Daten eine große Rolle. Mit Verschlüsselungs-Gateways haben Unternehmen weiterhin die Schlüssel für den Zugriff auf ihre Daten in ihrer Hand und können der Verantwortung für Compliance gerecht werden. Zugleich funktionieren alle Geschäftsprozesse weiter ohne jegliche Beeinträchtigung und die Möglichkeiten von Cloud und Saas werden vollständig ausgenutzt.

Ravi Pather
Senior Vice President, Global Sales
ravi.pather@eperi.de