SaaS und Compliance – die Zügel in die Hand nehmen

Foto: Thomas Boch ist Senior Product Manager bei Matrix42. Foto: Thomas Boch ist Senior Product Manager bei Matrix42. Foto: Matrix42

Klassisches Software-Asset-Management ist nicht mehr gut genug – schuld daran ist die Cloud. Von Torsten Boch, Senior Product Manager bei Matrix42.

Die Cloud ist allgegenwärtig in den Unternehmen. Das stellt Unternehmen vor völlig neue Herausforderungen, denen viele entweder ahnungslos oder ratlos gegenüberstehen. Laut Gartner wird das signifikante Wachstum der Cloud bis 2017 dazu führen, dass in 75 % der Organisationen von den Mitarbeitern Software-as-a-Service-Anwendungen (SaaS) ohne Genehmigung und Kontrolle durch das Unternehmen genutzt werden. Es ist also offensichtlich, dass die Cloud die Unternehmen vor immense Herausforderungen stellt und dass es gefährlich wäre, die Zügel schleifen zu lassen.

So komfortabel es für die Benutzer ist, Software aus dem Web zu nutzen, es ist auch mit Nachteilen verbunden. Im Browser meldet sich der User nicht mit einem Single-Sign-on an. Das heißt, er muss für jede SaaS-Anwendung, die er nutzt, die Login-Daten parat haben und eine Vielzahl von Internetadressen, Usernamen und Passwörtern verwalten. Wendet er sich bei Problemen an den IT-Support, kann dieser oft gar nicht helfen. Da der Zugriff auf die jeweilige Software individuell erfolgt und nicht von der IT des Unternehmens gesteuert und autorisiert wird, lauern viele Risiken im Verborgenen – zum Beispiel mögliche Vertragsbrüche oder Verstöße gegen den Datenschutz.

Audit-Risiko wird unterschätzt

Viele Unternehmen glauben, SaaS-Anwendungen seien in Bezug auf Unterlizenzierung sicher. Dem ist nicht so. Die Software läuft beim Hersteller, der dadurch einen genauen Überblick hat, wie die Anwendung genutzt wird und somit auch Missbräuche sofort erkennt – beispielsweise die gemeinschaftliche Nutzung eines personifizierten Zugangs durch mehrere Kollegen. Auch im Fall einer subskriptionsbasierenden Nutzung einer SaaS-Lösung kann es also sein, dass der Hersteller das Unternehmen aufsucht, um mit ihm das Gespräch über eine vertragskonforme Nutzung zu suchen. Die Situation hat gravierende Auswirkungen auf das Software Asset Management (SAM) und das Lizenzmanagement: weg vom reinen Zählen installierter Anwendungen hin zur Kontrolle sowie Messung der tatsächlichen Nutzung. Unter Berücksichtigung der Cloud sind Kostenoptimierungen, Missbrauchsprävention und die Vermeidung von finanziellen Risiken nur über eine verbrauchsbasierte Analyse möglich.

In der Konsequenz sieht Gartner innerhalb der nächsten drei Jahre die klassischen SAM-Tools nutzlos werden. Ein SAM-Tool, das die SaaS-Welt beherrscht, besteht aus drei Elementen:

1. Integration einer Identity & Access Management-Lösung:. Eine effektive Kontrolle ist nur möglich, wenn der Zugang zur SaaS-Anwendung »gekapselt« wird. Das heißt, der Anwender kennt sein eigenes Passwort nicht. Der Anwender profitiert, weil er sich nicht Unmengen von Logins merken muss und er die Anwendungen unternehmenskonform nutzen kann.

2. Automatische Account-Bereitstellung: Eine gekapselte Integration ist praktisch nur dadurch erreichbar, dass die Bereitstellung der Zugänge automatisiert geschieht. Eine manuelle Integration wäre nicht nur aufwendig  sondern auch fehleranfällig.

3. Nutzung eines zentralen Applikationsportals sowie Einsatz von Reports und Dashboards: Alle SaaS-Anwendungen sollten dem Anwender in einem zentralen Applikationsportal angeboten werden – sein Startmenü für die Cloud, sozusagen. Damit weiß er immer, wo er seine Anwendungen findet. Die Kostenverantwortlichen wiederum profitieren von einer zentralisierten Auswertung mit Kennzahlen und Nutzungsprofilen.

back to top