SaaS-Drittlösungen: Compliance-Herausforderungen bewältigen
Die Einhaltung von Richtlinien zur Datenaufbewahrung ist für Unternehmen unerlässlich, denn sie sorgt dafür, dass wertvolle Informationen sicher gespeichert und Branchenvorschriften – egal wie komplex sie sind – eingehalten werden. Diese Governance-Frameworks legen fest, wie Unternehmen sensible Daten verwalten – von deren Erstellung und aktiver Nutzung bis hin zur Archivierung oder Vernichtung.
Heute verlassen sich viele Unternehmen auf SaaS-Anwendungen wie Microsoft 365, Salesforce und Google Workspace. Die Verlagerung von Prozessen und Daten in die Cloud hat jedoch eine gefährliche Lücke in die Zuverlässigkeit der Datenaufbewahrung gerissen, denn die standardmässigen Aufbewahrungsfunktionen der Drittanbieter entsprechen häufig nicht den Compliance-Anforderungen oder Datenschutzzielen. Das führt zu einer erheblichen Gefährdung von Unternehmen, die fälschlicherweise davon ausgehen, dass ihre SaaS-Anbieter ihre Aufbewahrungspflichten vollständig erfüllen.
Warum Datenaufbewahrungsrichtlinien in SaaS-Umgebungen wichtig sind
Helfen können effektive Richtlinien zur Datenaufbewahrung. Sie regeln den gesamten Lebenszyklus geschäftskritischer Informationen und legen klare Richtlinien für die Aufbewahrung fest – inklusiv Zeitrahmen, Speichermethoden und Löschprotokollen. Diese Richtlinien bilden ein Governance-Framework, das Unternehmen hilft, sich vor Compliance-Verstössen oder unerwarteten Datenverlusten zu schützen. Und das ist gar nicht so einfach, denn SaaS-Plattformen haben mit ihrer Komplexität die Datenmanagementlandschaft grundlegend verändert und neue Herausforderungen im Umgang mit den Daten mit sich gebracht. Wenn sich beispielsweise sensible Informationen in anbieterkontrollierten Cloud-Umgebungen und nicht vor Ort befinden, greifen herkömmliche Ansätze für die Data Governance zu kurz. Die Tatsache, dass sich SaaS-Daten vielfach an verschiedenen Orten befinden, manchmal nur eingeschränkt transparent und kontrollierbar sind, bringt erhebliche Schwierigkeiten für die Aufrechterhaltung konsistenter, konformer Aufbewahrungspraktiken mit sich.
Diese Herausforderung ist vor allem für Unternehmen in stark regulierten Branchen, mit strengen Compliance-Anforderungen sehr gross. Gesundheitsdienstleister etwa, die sich mit HIPAA-Anforderungen auseinandersetzen, Finanzinstitute, die sich an die FINRA-Vorschriften (in der Schweiz: FINMA) halten, und globale Unternehmen, die der DSGVO unterliegen, sehen sich mit spezifischen Compliance-Anforderungen konfrontiert, die von den standardmässigen SaaS-Einstellungen für die Anbieterbindung häufig nicht angemessen erfüllt werden. Diese Vorschriften erfordern in der Regel längere Aufbewahrungsfristen, detailliertere Kontrollmechanismen und robustere Audit-Funktionen als bei den meisten SaaS-Anwendungen üblich, wodurch eine kritische Lücke entsteht, die sofortige Aufmerksamkeit erfordert.
Anbieterspezifische Herausforderungen kennen, verstehen und umsetzen
Microsoft 365
Trotz des robusten Funktionsumfangs sollte man sich bewusst machen, dass die Datenaufbewahrung von Microsoft 365 begrenzt ist. Die Plattform hat Aufbewahrungseinschränkungen speziell für Exchange Online- und SharePoint-Daten, sodass möglicherweise nicht alle Compliance-Anforderungen von Unternehmen erfüllt werden.
Salesforce
Salesforce-Umgebungen bringen ihre ganz eigenen Herausforderungen mit sich. Unternehmen, die sich ausschließlich auf native Salesforce-Funktionen verlassen, sehen sich häufig mit erheblichen Compliance-Lücken konfrontiert, die sich aus den begrenzten Backup-Optionen der Plattform ergeben, die im Wesentlichen auf eine grundlegende „Papierkorb“-Funktion beschränkt sind, die nicht zu echten Aufbewahrungsmanagementfunktionen passt.
Google Workspace
In Google Workspace-Umgebungen gelten besondere Einschränkungen bei der Aufbewahrung für Gmail-Kommunikation, Drive-Dokumenten und Tabellendaten. Das wirkt sich vor allem auf verteilte Arbeitsszenarien aus, in denen geschäftskritische Informationen ständig erstellt und für Remote-Teams freigegeben werden. Google bietet zwar Aufbewahrungsfunktionen über Google Vault an, aber diese sind nicht identisch mit der Einhaltung von Datenschutzbestimmungen und eDisovery-Zwecken.
Es braucht eine umfassende Datenaufbewahrungsstrategie für SaaS-Anwendungen
Diese Beispiele zeigen: IT-Experten benötigen systematische Anleitungen und speziell entwickelte Tools zur Identifikation und Bewertung von Aufbewahrungslücken in SaaS-Umgebungen. Bei dieser Bewertung sollten die nativen Aufbewahrungsfunktionen jeder SaaS-Plattform im Hinblick auf die spezifischen regulatorischen Verpflichtungen des Unternehmens und die etablierten Data-Governance-Richtlinien gründlich untersucht werden.
Die zuverlässige Aufbewahrung ist ein wichtiges Element des Datenmanagements, das zwei Bedeutungsebene hat: Die eine bezieht sich auf die Aufbewahrung, d. h. den Zeitraum, in dem Sicherungsdaten in einer dedizierten Sicherungslösung gespeichert werden. Die andere bezieht sich darauf, wie lange eine Plattform wie Microsoft 365 oder andere primäre SaaS-Tools gelöschte Daten aufbewahren, bevor sie gelöscht werden. Die Verbindung zwischen diesen beiden Definitionen wird oft übersehen und unterstreicht den dringenden Bedarf an einer umfassenden Backup-Lösung, wie z.B. Arcserve SaaS Backup. Diese Lösung hilft diese Lücke zu schliessen, indem sie die Aufbewahrung aus der Backup-Perspektive sicher verwaltet. Es wird sichergestellt, dass gelöschte Daten weit über die Grenzen der Aufbewahrungsrichtlinie eines SaaS-Anbieters hinaus geschützt sind, was sowohl Sicherheit als auch ein leistungsstarkes Sicherheitsnetz für ein Unternehmen bietet. Arcserve SaaS Backup ist eine umfassende Cloud-native Cloud-to-Cloud-Backup-Lösung und kann in SaaS-Anwendungs-Clouds wie Microsoft Office 365, Entra ID, Microsoft Dynamics 365, Salesforce, Google Workspace und Zendesk gehostet werden.
