Application Management Services Erfolgreiche Auslagerung von Anwendungen

Anbieter zum Thema

NTT Europe Ltd., Germany

d.velop AG

xSuite Group GmbH

Yorizon GmbH & Co. KG

Ob Application Management Services oder Software-as-a-Service – bei der Auslagerung von Anwendungen und Dienstleistungen kommen Cybersecurity und Datenschutz oftmals zu kurz. Zwischengeschaltete Tools wie das SaaS Security Posture Management erhöhen die Sicherheit. 

Die Auslagerung eigener, teils kritischer Geschäftsprozesse, hat sich im Firmenumfeld längst als gängige Praxis etabliert. Nicht wenige Firmen legen dabei eine gewisse Sorglosigkeit an den Tag, wenn es um Cybersecurity und Datenschutz geht. Besonders im beliebten SaaS-Bereich, quasi der Bezug von Application Management Services (AMS) durch Drittanbieter, zeigen sich zahlreiche Blindspots auf der Sicherheitslandkarte.

Auslagerung von Application Management Services

Die Probleme beginnen früh: Die Auslagerung von Application Management Services sind meist Business-getriebene Vorgänge, die Unternehmen eher unter Sales und Geschwindigkeitsaspekten als unter dem Gesichtspunkt der Cybersecurity abwickeln. Entscheidende Informationen zu Funktionalitäten, Sicherheit und Datenschutz werden dabei, wenn überhaupt, nur einmal erhoben – eine Momentaufnahme inmitten sich schnell wandelnder Technologien und Prozesse. Schon mit dem nächsten Update kann dieser Wissensstand damit veraltet sein und neue, automatisch freigeschaltete Funktionen und deren Standardkonfiguration einer SaaS-Anwendung können gegen interne Governance-Vorgaben verstoßen oder die gewünschte Sicherheit verringern.

Ist die IT nicht umfänglich in Auslagerungsprozesse involviert, sind entsprechende Lösungen oft auch nicht mit zentralen Sicherheits- und Identitätsmanagementsystemen verbunden – etwa mit einem IDP (Identity Provider), um wichtige Funktionen wie Single Sign-On, Multi-Faktor-Authentifizierung oder Conditional Access zur Verfügung zu stellen. Als Konsequenz summieren sich potenzielle Schwachstellen bis hin zu eklatanten Sicherheitslücken und Datenschutzverstößen.

Vertrauen ist gut, Posture Management ist besser

Die Gleichung ist in der Theorie einfach: Wer seine Anwendungen auslagert, muss seine IT-Security entsprechend angleichen. In der Praxis benötigen Unternehmen dafür neue Prozesse bei der Auslagerung – allen voran die Einbeziehung von Security-Experten bei der Auswahl neuer Dienste und Lösungen.

Auch von großer Bedeutung: Statt die ausgelagerten Services nur einmalig oder im Rahmen von jährlichen Audits auf ihre Übereinstimmungen mit den eigenen Regulatorien und der Konfiguration hin zu überprüfen, müssen Unternehmen zu einer zyklischen Abfrage übergehen. Dafür bietet sich ein effektives SSPM (SaaS Security Posture Management) in Form von automatisierten, zwischengeschalteten Sicherheits-Tools an. Sie überwachen SaaS-Dienste, identifizieren Änderungen und übergeben Anomalien an das verknüpfte SIEM (Security Information and Event Management).

Auf Basis der übermittelten Erkenntnisse und vorkorrelierten Informationen können Unternehmen mit Analysten im SOC (Security Operations Center) entsprechende Gegenmaßnahmen einleiten. Ebenfalls entscheidend ist die Integration der SaaS-Lösungen an das Identitätsmanagement und die Verwaltung der Zugriffsrechte von Nutzern im eigenen PAM (Privileged Access Management) – schließlich besitzen ausgelagerte Dienste und Anwendungen auch Administratoren mit zahlreichen Privilegien.

Das Ziel ist klar: Unternehmen benötigen ein neues Framework für den Umgang mit ausgelagerten Diensten und extern gehosteten Anwendungen. Sie müssen nach den gleichen Kriterien angebunden und überwacht werden, wie es bei allen anderen Komponenten der IT-Landschaft schon lange die Regel ist.

Digitalisierungsstrategie

Transformation: Warum die Cloud dabei so wichtig ist