IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Cloud ComputingKlassisches Software Asset Management ist nicht mehr gut genug – schuld daran ist die Cloud. Das rasante Wachstum der Cloud wird bis 2017 dazu führen, dass in einem Großteil der Organisationen SaaS-Anwendungen ohne Genehmigung und Kontrolle durch das Unternehmen genutzt werden.

Die Cloud ist mittlerweile allgegenwärtig in den Unternehmen. Bei größeren Unternehmen ab 500 Mitarbeitern nutzen bereits 70 % der Anwender Cloud-Lösungen. Das stellt Unternehmen vor völlig neue Herausforderungen, denen viele entweder ahnungslos oder ratlos gegenüber stehen.

Die Cloud-Nutzung steigt und sie steigt schnell. Bereits 2015 wurden pro Unternehmen durchschnittlich 66 verschiedene SaaS-Anwendungen (Software as a Service) eingesetzt. Laut Gartner wird das signifikante Wachstum der Cloud bis 2017 dazu führen, dass in 75 % der Organisationen von den Mitarbeitern SaaS-Anwendungen ohne Genehmigung und Kontrolle durch das Unternehmen genutzt werden. Es ist also offensichtlich, dass die Cloud die Unternehmen vor immense Herausforderungen stellt und dass es gefährlich wäre, die Zügel schleifen zu lassen.

Den bunten Login-Salat verwalten

So komfortabel es für die Benutzer ist, Software aus dem Web zu nutzen, es ist auch mit Nachteilen verbunden. Im Browser meldet sich der User nicht mit einem Single-Sign-On an. Das heißt, er muss für jede SaaS-Anwendung, die er nutzt, die Login-Daten parat haben und eine Vielzahl von Internetadressen, Usernamen und Passwörtern verwalten. Wendet er sich bei Problemen an den IT-Support, kann dieser oft gar nicht helfen. Da der Zugriff auf die jeweilige Software individuell erfolgt und nicht von der IT des Unternehmens gesteuert und autorisiert wird, lauern viele Risiken im Verborgenen – z. B. aus möglichen Vertragsbrüchen oder Verstößen gegen den Datenschutz.

Fast so einfach wie Bleistifte kaufen

Die IT wiederum steht vor der Problematik, dass die Beschaffung von SaaS-Applikationen fast so einfach ist wie Bleistifte kaufen. Der Anwender aus der Fachabteilung braucht kein IT-Know-how, um sich vertraglich an einen Anbieter zu binden und Zugang zu einer Applikation zu bekommen. Sind die Zugänge da, werden eigene Prozesse und Informationen abgebildet und damit die im Unternehmen für die Beschaffung von Software vorgesehenen Prozessstandards umgangen. Und es ist ein Thema für den Help Desk. Denn von der IT wird in jedem Fall erwartet, dass sie bei Problemen den entsprechenden Support leistet.

Compliance, Datenschutz, Kostenrisiko

Die weitaus gravierendsten Probleme entstehen aber im Bereich „Governance & Compliance“. Denn, wie kann das Unternehmen sicherstellen, dass der Umgang mit Cloud-gehosteten Anwendungen so erfolgt, dass der Datenschutz gewährleistet ist? Dazu muss klar sein, wo die Daten liegen. Außerdem ist zu prüfen, ob die Anwendung vertragskonform genutzt wird.

Das Audit-Risiko wird unterschätzt

Viele Unternehmen glauben, SaaS-Anwendungen seien in Bezug auf Unterlizenzierung sicher. Dem ist nicht so. Die Software läuft beim Hersteller, der dadurch einen genauen Überblick hat, wie die Anwendung genutzt wird und somit auch Missbräuche sofort erkennt – beispielsweise die gemeinschaftliche Nutzung eines personifizierten Zugangs durch mehrere Kollegen. Google etwa wird von Gartner bereits zu den Top-10 der auditierenden Softwarehersteller gezählt. Auch im Fall einer subskriptionsbasierenden Nutzung einer SaaS-Lösung kann es also sein, dass der Hersteller das Unternehmen aufsucht, um mit ihm das Gespräch über eine vertragskonforme Nutzung zu suchen. Dementsprechende Audits bergen durchaus hohe finanzielle Risiken für das Unternehmen.

SaaS verändert Software Asset Management

Die Situation hat gravierende Auswirkungen auf das Software Asset Management (SAM) und das Lizenzmanagement. Durch die Cloud verlagern sich die Anforderungen an eine SAM-Lösung: Weg vom reinen Zählen installierter Anwendungen hin zur Kontrolle sowie Messung der tatsächlichen Nutzung. Unter Berücksichtigung der Cloud sind Kostenoptimierungen, Missbrauchsprävention und die Vermeidung von finanziellen Risiken nur über eine verbrauchsbasierte Analyse möglich.

Die klassischen SAM-Tools werden nutzlos

In der Konsequenz sieht Gartner innerhalb der nächsten drei Jahre die klassischen SAM-Tools nutzlos werden - weil sie den Großteil der Anforderungen durch die signifikant gestiegene Nutzung der Cloud nicht mehr erfüllen! Ein SAM-Tool, das die SaaS-Welt beherrscht, besteht aus drei Elementen:

1) Integration einer Identity & Access Management Lösung

Eine effektive Kontrolle ist nur möglich, wenn der Zugang zur SaaS-Anwendung „gekapselt“ wird. Das heißt, der Anwender kennt sein eigenes Passwort nicht. Er muss es nicht kennen und er darf es nicht kennen. Der Anwender profitiert, weil er sich nicht Unmengen von Logins merken muss und er die Anwendungen unternehmenskonform nutzen kann. Das Unternehmen gewinnt, weil so keine Schattenstrukturen entstehen und weil es in die Lage versetzt wird, die vertragskonforme Nutzung der cloudbasierten Software zu kontrollieren. Darüber hinaus stehen jederzeit Informationen zur Verfügung, wie häufig welche Lizenzen genutzt werden und welche womöglich brach liegen und unnütze Kosten erzeugen.

2) Automatische Account-Bereitstellung

Eine gekapselte Integration mit den oben genannten Vorteilen ist praktisch nur dadurch erreichbar, dass die Bereitstellung der Zugänge automatisiert geschieht. Eine manuelle Integration wäre nicht nur aufwändig und völlig ineffizient, sondern auch fehleranfällig. Die Automation umfasst dabei nicht nur die Einrichtung des eigentlichen SaaS-Benutzerkontos inklusive des Passworts und des Browser-Zugangs, sondern auch die Bereitstellung der mobilen App, die ein SaaS-Anbieter üblicherweise für Smartphones oder Tablets bereitstellt. Diese verwenden dieselben Zugänge und müssen entsprechend vorkonfiguriert werden.

3) Nutzung eines zentralen Applikationsportals sowie Einsatz von Reports und Dashboards

Alle SaaS-Anwendungen sollten dem Anwender in einem zentralen Applikationsportal angeboten werden – sein Startmenü für die Cloud, sozusagen. Damit weiß er immer, wo er seine Anwendungen findet. Die Kostenverantwortlichen wiederum profitieren von den Möglichkeiten einer zentralisierten Auswertung mit Kennzahlen und Nutzungsprofilen zur Optimierung der Verträge.

Der gravierende Paradigmenwechsel der Anwendungen aus der Cloud ist alarmierend. Für jedes Unternehmen, das SAM noch nicht implementiert hat – aber auch für alle jene, die sich schon aktiv um ihre Lizenzen kümmern. Denn sowohl die Prozesse, als auch die eingesetzten Tools stehen mit der Cloud auf dem Prüfstand!

Wichtig ist, dass die IT die Zügel in die Hand nimmt, die SaaS-Lösungen im Unternehmen identifiziert, Prozesse schafft, einen Überblick über die Verträge herstellt und den Anwendern einen einfachen sowie einen aus Lizenz- und aus Security-Perspektive sicheren Zugang zu Applikationen zur Verfügung stellt. So gewinnen Anwender, IT und Unternehmen.

Torsten BochTorsten Boch, Senior Product Manager bei Matrix42

www.matrix42.com

 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet