‹ Zurück Basiswissen Cybersecurity

Software-as-a-Service (SaaS)

August 23, 2022

Was ist Software-as-a-Service (SaaS)?

Software-as-a-Service (SaaS) ist ein cloudbasiertes Bereitstellungsmodell, das Benutzern den Zugriff auf eine Software-Anwendung über ein Gerät mit Internetverbindung ermöglicht.

Beim SaaS-Modell verwaltet ein Drittanbieter alle Aspekte der Software-Anwendung, einschließlich Programmierung, Hosting, Überwachung, Aktualisierung und Sicherheit. Außerdem kümmert er sich um den Kauf und die Wartung der zugehörigen Hardware wie Server und Datenbanken.

Da SaaS-Lösungen über das Internet bereitgestellt werden, müssen Kunden die Software in der Regel weder herunterladen noch installieren, um den Service nutzen zu können. Das bedeutet, dass Benutzer von praktisch überall auf die Anwendung oder auf ihre Daten zugreifen können, sofern eine Internetverbindung vorhanden ist, die Systemanforderungen erfüllt werden und das Sicherheitsprotokoll dies zulässt.

Beispiele für SaaS

Die meisten Internetnutzer greifen regelmäßig auf SaaS-Anwendungen zu, auch wenn ihnen die Bezeichnung nicht bekannt ist. E-Mail-Anwendungen wie Webmail und Outlook sind Beispiele für SaaS. In der Geschäftswelt werden SaaS-Anwendungen oft für routinemäßige geschäftliche Aktivitäten genutzt, z. B. für Online-Meetings und Konferenzanrufe, für den Zugriff auf Kundendatenportale oder Datenbanken, zum Einreichen von Helpdesk- oder Support-Tickets oder zum Erstellen und Bearbeiten von Dokumenten sowie anderen Dateien.

Salesforce sticht als SaaS-Service-Anbieter aus der Masse heraus. Das Unternehmen hat mit der Einführung seiner CRM-Plattform im Jahr 1999 die Kategorie definiert und ein neues Bereitstellungsmodell hervorgebracht, das von etablierten Unternehmen und Start-ups gleichermaßen nachgeahmt wurde. Zu den weiteren bedeutenden SaaS-Anbietern und -Lösungen gehören:

  • Adobe
  • Amazon Web Services (AWS)
  • Atlassian
  • Box
  • Dropbox
  • G Suite
  • Microsoft Office 365
  • SAP
  • ServiceNow
  • Slack
  • Quickbooks
  • Workday
  • Zapier
  • Zendesk
  • Zoom

SaaS, IaaS und PaaS im Vergleich

Vor der detaillierten Beschreibung des SaaS-Modells ist es wahrscheinlich hilfreich, einen Überblick über die beiden anderen wichtigen „As-a-Service“-Optionen für das Cloud-Computing zu geben.

  1. Infrastructure-as-a-Service (IaaS): Ein Cloud-Computing-Modell, bei dem ein externer Cloud-Service-Anbieter (CSP) dem Kunden virtualisierte Computing-Ressourcen wie Server, Datenspeicher und Netzwerkausrüstung auf Bedarfsbasis bereitstellt.
  2. Platform-as-a-Service (PaaS): Dieses Plattform-Bereitstellungsmodell kann erworben und für die Entwicklung, Ausführung und Verwaltung von Anwendungen genutzt werden. Beim Cloud-Plattformmodell verwaltet der PaaS-Lösungsanbieter die von Anwendungsentwicklern genutzte Hardware und Software.

Bereitstellung von SaaS

Bei SaaS-Lösungen erfolgt der Zugriff immer über das Internet. Es gibt aber drei wesentliche Bereitstellungsmodelle:

  1. Mandantenfähiges Modell oder Public Cloud
  2. Einzelmandantenmodell oder Private Cloud
  3. Hybrid Cloud

Mandantenfähiges Modell oder Public Cloud

Die meisten SaaS-Anwendungen werden über die Public Cloud bereitgestellt und von mehreren Kunden oder Mandanten gemeinsam genutzt. Jeder Mandant hat zwar die Kontrolle über sein Konto und seine Daten, die Kunden teilen sich aber die Plattform und Infrastruktur, auf der die Anwendung erstellt und ausgeführt wird. Das Public Cloud-Modell ist tendenziell das erschwinglichste, da die Kosten der Plattform selbst auf mehrere Benutzer verteilt werden. Dieses Modell birgt aber auch mehr Risiken, da jeder Mandant für die Sicherheit seiner Daten und Benutzer verantwortlich ist. Zudem kann die Kompromittierung eines einzigen Kontos die Sicherheit aller SaaS-Benutzer beeinträchtigen.

Einzelmandantenmodell oder Private Cloud

Wie der Name es vermuten lässt, wird die SaaS-Anwendung in einem Einzelmandantenmodell über die Private Cloud bereitgestellt und nur von einem Kunden genutzt. Bei diesem Modell wird die SaaS-Anwendung vom SaaS-Anbieter verwaltet, die Cloud selbst ist jedoch die Aufgabe des Kunden oder eines anderen Drittanbieters. Dieses Modell ist in der Regel zwar deutlich kostspieliger als die öffentliche Option, es kommt aber oft in Unternehmen, Organisationen oder Behörden zum Einsatz, die sensible Informationen wie persönliche Daten, Finanztransaktionen oder geistiges Eigentum verwalten oder speichern. Durch die Nutzung der Private Cloud profitieren diese Unternehmen nicht nur von mehr Kontrolle und Sicherheit für ihre Daten, sondern können auch die relevanten gesetzlichen Vorschriften und Branchenbestimmungen einhalten.

Hybrid Cloud

Unternehmen setzen immer mehr auf Hybrid Cloud-Umgebungen, die Elemente einer Public Cloud, Private Cloud und lokalen Infrastruktur in einer einzigen, gemeinsamen, einheitlichen Architektur kombinieren. Dieses Modell bietet Unternehmen die Möglichkeit, SaaS-Lösungen je nach Anwendungsszenario, Vorliegen sensibler Daten oder regulatorischen Anforderungen in einer Private Cloud oder Public Cloud bereitzustellen. Die Hybrid-Umgebung bietet Unternehmen neben mehr Flexibilität und Kosteneffizienz auch mehr Sicherheit.

WEITERE INFORMATIONEN

Weitere Informationen zu den Unterschieden zwischen Public Cloud-, Private Cloud- und Hybrid Cloud-Bereitstellungen finden Sie in unserem entsprechenden Artikel aus der Reihe „Basiswissen Cybersicherheit“: Public Cloud und Private Cloud im Vergleich

Vorteile von SaaS

Die Beliebtheit von SaaS-Anwendungen ist in den letzten drei Jahrzehnten enorm gestiegen, da sie wichtige Effizienzvorteile für die Belegschaft bieten und Unternehmen aller Größen Kosteneinsparungen ermöglichen. Die wichtigen Vorteile umfassen:

  • Zugriff: Da SaaS-Anwendungen cloudbasiert sind, können Benutzer jederzeit und mit praktisch jedem Gerät mit Internetverbindung (einschließlich Computern, Smartphones oder Tablets) ortsunabhängig darauf zugreifen. Das bedeutet, dass Mitarbeiter Anwendungen bei Bedarf nutzen können – nicht nur dann, wenn sie im Büro sind oder ein bestimmtes Gerät verwenden. Diese verbesserten Zugangsmöglichkeiten sind für alle Unternehmen unentbehrlich, die ihre globale Belegschaft verwalten oder Remote-Arbeit ermöglichen müssen.
  • Kosteneinsparungen: Bei einem SaaS-Modell müssen Unternehmen nicht in die Hardware oder Technologie investieren, die zum Ausführen der Anwendung benötigt wird (z. B. Server oder Datenbanken). Sie sind auch nicht für die Erstellung, Bereitstellung, Verwaltung, Aktualisierung oder Wartung der Anwendung selbst zuständig. Zudem bieten die meisten SaaS-Anwendungen flexible Nutzungsoptionen, die je nach Anforderungen des Unternehmens erweitert oder reduziert werden können. Dadurch werden die Kosten für die Softwarenutzung im Vergleich zum klassischen Enterprise-Software-Modell deutlich reduziert.
  • Benutzerfreundlichkeit: Die meisten SaaS-Anwendungen bieten eine intuitive und benutzerfreundliche Benutzeroberfläche, sodass Benutzer mit unterschiedlichem Technikwissen problemlos damit zurechtkommen.
  • Wartung: Wie bereits erwähnt, ist der SaaS-Anbieter für die Wartung der SaaS-Lösung verantwortlich, einschließlich Aktualisierung, Patch-Installation und Verwaltung der Sicherheitskontrollen. Außerdem kann das SaaS-Unternehmen zentral Software-Updates implementieren, ohne dass Kunden sich um die Konfiguration und das Testen der Endgerätesicherheit oder Kompatibilität kümmern müssen.
  • Skalierbarkeit: Die meisten SaaS-Lösungen sind hochgradig skalierbar und ermöglichen es Unternehmen, Workloads ganz nach Bedarf schnell einzurichten oder zurückzuziehen.
  • Daten und Analysen: Die meisten SaaS-Anwendungen bieten Benutzern Tools für regelmäßige Datenberichte und Analysen. Auf diese Weise erhalten Unternehmen wertvolle Einblicke in die eigene Leistung und geschäftliche Ergebnisse.

Nachteile von SaaS

Das SaaS-Bereitstellungsmodell ist auch mit Herausforderungen verbunden. Bei der Verwendung von SaaS-Anwendungen sollten Kunden Folgendes bedenken:

  • Sicherheit und Datenschutz: Die überwiegende Mehrheit der SaaS-Lösungen wird über ein mandantenfähiges oder Public Cloud-Modell bereitgestellt. Unternehmen sind dadurch gewissen Risiken ausgesetzt, die auf dem Handeln – oder der Untätigkeit – anderer Mandanten basieren. Unternehmen sollten mit ihrem Cybersicherheitspartner zusammenarbeiten, um sicherzustellen, dass sie eine umfassende Sicherheitsstrategie implementiert haben, mit der insbesondere cloudbasierte Assets geschützt werden.
  • Compliance: Viele Unternehmen müssen gesetzliche Vorschriften und Branchenbestimmungen zu Datensicherheit und Datenschutz einhalten. Es liegt in der Verantwortung des Kunden, dafür zu sorgen, dass jedes SaaS-Produkt und dessen Bereitstellungsmethode den jeweiligen Bestimmungen umfassend entsprechen. Unternehmen sollten klare und spezifische Fragen zur Compliance des SaaS-Anbieters stellen und sämtliche Verträge mit einem Rechtsexperten durchgehen.
  • Anpassbarkeit: In puncto Anpassung und Konfiguration von SaaS-Anwendungen wurden dieses Jahr zwar deutliche Fortschritte gemacht, dies kann jedoch sehr komplex und zeitaufwändig sein. Kunden müssen die Flexibilität der Anwendung untersuchen und sicherstellen, dass Anpassungen die Anwendungsleistung oder andere Aspekte der IT-Umgebung nicht beeinträchtigen.

Im Detail: Sicherheit und Datenschutz bei SaaS

Sicherheit und Datenschutz sind für SaaS-Benutzer von zentraler Bedeutung. Mit der zunehmenden Nutzung von SaaS-Anwendungen nehmen auch die Cloud-Sicherheitsrisiken zu. Dazu gehören zum Beispiel:

  • Datenkompromittierungen: Bedrohungsakteure nutzen oft Software-Konfigurationsfehler, kompromittierte Anmeldedaten, übermäßige Kontoberechtigungen oder andere Systemschwachstellen aus, um die SaaS-Anwendung zu kompromittieren. Sobald sie sich Zugang verschafft haben, können die Angreifer auf Daten innerhalb der SaaS-Lösung zugreifen oder die Anwendung nutzen, um in andere Bereiche des Netzwerks vorzudringen.
  • Transparenz: Durch die Verwendung von SaaS-Anwendungen steigt die Komplexität in der IT-Umgebung und es wird für das Sicherheitsteam schwieriger, durchgängige Transparenz zu gewährleisten.
  • Ungeschützte APIs: Eine API ermöglicht es Anwendungen oder Anwendungskomponenten, über das Internet oder ein privates Netzwerk miteinander zu kommunizieren. Mit anderen Worten: Unternehmen nutzen APIs, um Cloud-Services zu verbinden und Daten zu übertragen – intern oder an Partner, Lieferanten, Kunden usw. Risikobehaftete, fehlerhafte und gehackte APIs können zu schwerwiegenden Datenkompromittierungen führen, durch die finanzielle, kundenspezifische, medizinische und sensible Daten offengelegt wurden. Da APIs manche Datentypen in Endpunkte umwandeln, kann eine Richtlinien- oder Berechtigungsänderung die Gefahr eines unbefugten Zugriffs auf mehr Daten erweitern als vom Host beabsichtigt.
  • Dynamische Workloads: Ein Workload besteht aus sämtlichen Prozessen und Ressourcen, die eine Anwendung unterstützen. Man kann also sagen, dass eine Anwendung aus vielen Workloads (z. B. VMs, Container, Kubernetes, Mikroservices, serverlose Funktionen, Datenbanken) besteht. Der Workload umfasst die Anwendung, die in einer Anwendung generierten oder eingegebenen Daten und die Netzwerkressourcen, die der Verbindung zwischen Benutzer und Anwendung dienen. Der unzureichende Schutz all dieser Workloads hat verschiedene Folgen: Die Anwendung und das Unternehmen werden anfällig für Kompromittierungen, die Anwendungsentwicklung wird verlangsamt, die Produktion und Leistung werden beeinträchtigt und das Geschäft wird ausgebremst.
  • Zugriffskontrolle/nicht autorisierter Zugriff: Unternehmen gewähren Mitarbeitern oft mehr Zugriff und Berechtigungen als für ihre Aufgaben eigentlich erforderlich, wodurch identitätsbasierte Bedrohungen zunehmen. Falsch konfigurierte Zugriffsrichtlinien sind häufige Fehler, die bei Sicherheitsprüfungen nicht aufgedeckt werden. Zudem tendieren Unternehmen mit Multi Cloud-Umgebungen dazu, sich auf die standardmäßigen Zugriffskontrollen ihrer Cloud-Anbieter zu verlassen, was in Multi Cloud- oder Hybrid Cloud-Umgebungen zu einem besonderen Problem wird. Aufgrund des privilegierten Zugriffs, der Kenntnis geeigneter Angriffspunkte und der Fähigkeit zum Verwischen von Spuren kann durch interne Bedrohungen großer Schaden entstehen.

Die Zukunft von SaaS

Das SaaS-Modell hat die Art und Weise revolutioniert, wie Unternehmen Geschäfte machen und Personen arbeiten. Immer mehr Unternehmen verlagern ihre lokale IT-Umgebung in die Cloud und setzen dabei auf SaaS-Anwendungen, um alle geschäftlichen Aspekte zu verwalten – einschließlich Kommunikation, Zusammenarbeit der Belegschaft, Datenmanagement, Finanzplanung, Berichterstellung und Compliance.

Für SaaS-Anwendungen werden folgende Weiterentwicklungen erwartet:

  • Nutzung intelligenter Automatisierung wie Technologie für künstliche Intelligenz (KI) und Machine Learning zur Automatisierung routinemäßiger Geschäftsprozesse und Verbesserung der Entscheidungsfindung
  • Erweiterung der Anpassungsoptionen innerhalb des SaaS-Tools
  • Unterstützung komplexerer Anwendungsfälle, darunter auch Nischen- und branchenspezifische Anwendungsszenarien
  • Erweiterung der Möglichkeiten zur Integration oder Kombination von Datenströmen für mehrere Cloud-Service-Anwendungen oder -Systeme

Featured Articles

Featured Image
Was ist eine Cloud-Sicherheitsarchitektur?
Featured Image
Was ist eine Cloud-Sicherheitsanalyse?
Featured Image
Was ist Cloud-Verschlüsselung?