Mittelständische Unternehmen nutzen längst deutlich mehr SaaS-Anwendungen als ihre Sicherheitsteams im Blick haben. Klassische Schutzlösungen wie Microsoft Purview stoßen dabei schnell an ihre Grenzen, aber spezialisierte Alternativen sind für viele Betriebe schlicht unerschwinglich. Eine Gefahr für die Datensicherung.
Mit jeder neuen SaaS-Anwendung wächst die Sicherheitslücke: Blinde Flecken führen aber zu Defiziten bei der Datensicherung und bringen mittelständische Unternehmen in größte Gefahr.
In mittelständischen Unternehmen sieht die IT-Sicherheitsarchitektur oft verblüffend ähnlich aus: Microsoft 365 als Kernsystem, ergänzt durch eine Teilabdeckung mit Purview, vielleicht Defender – und im letzten Audit-Fragebogen ein Häkchen gesetzt bei „Datensicherung“.
Die Realität des tatsächlich genutzten Software-Ökosystems sieht jedoch anders aus. Confluence, Salesforce, Box, GitHub, Jira, Slack, Workday, Notion, Zendesk, DocuSign und Asana sind längst fester Bestandteil des Arbeitsalltags. Dazu kommen zahlreiche abteilungsspezifische Tools, deren Genehmigung in der IT-Abteilung kaum noch jemand nachvollziehen kann. Genau dort aber liegen heute die sensiblen Unternehmensdaten. Für die meisten Sicherheitsteams im Mittelstand ist das gleichbedeutend mit einem blinden Fleck.
Was Purview kann und was nicht
Zu diesem Befund gelangt auch der Backup- und Recovery-Spezialist Hycu, der die Möglichkeiten und Grenzen von Microsoft Purview analysiert hat. Das Fazit: Purview ist ein solides Werkzeug für seinen eigentlichen Zweck als Data-Governance- und DLP-Schicht innerhalb von Microsoft 365. Mit der entsprechenden Lizenzstufe, in der Regel E5 oder ein separates Compliance-Add-on, lassen sich Daten in SharePoint, OneDrive, Exchange und Teams klassifizieren sowie DLP-Richtlinien erstellen.
Doch die Salesforce-Pipeline beispielsweise erfasst Purview nicht. Wer dauerhaft Zugriff auf den Box-Ordner hat, in dem die Finanzabteilung ihre Quartalsprognosen ablegt, bleibt im Verborgenen. HR-, Recruiting- und Support-Tools sowie Dutzende weiterer Speicherorte sensibler Daten liegen außerhalb des Sichtfelds. Das wäre kein Problem, wenn Unternehmensdaten ausschließlich in Microsoft 365 gespeichert wären. Doch das sind sie längst nicht mehr.
Der typische Mittelstands-Stack
Ein Unternehmen mit 500 bis 3.000 Mitarbeitern betreibt durchschnittlich zwischen 50 und 200 SaaS-Anwendungen. Ein erheblicher Teil davon enthält hochsensible Informationen: Kundendaten, Finanzkennzahlen, Quellcode, Personalakten, Gesundheitsdaten, Verträge und Zugangsdaten. Da SaaS-Applikationen primär auf Zusammenarbeit ausgelegt sind und nicht auf minimale Zugriffsrechte, sind diese Daten standardmäßig weit zugänglicher, als den Verantwortlichen bewusst ist. Zugleich sind sie für die vorhandenen Sicherheitswerkzeuge unsichtbar und ihr Umfang sowie ihre Sensibilität wachsen von Quartal zu Quartal.
Geplant war das in den seltensten Fällen. Entstanden ist die Lage, weil Fachabteilungen neue Tools schneller beschaffen, als die IT-Sicherheit sie erfassen kann. Und weil die Governance von Nicht-Microsoft-Lösungen organisatorisch häufig im Niemandsland liegt.
Speziallösungen überfordern den Mittelstand
Die naheliegende Antwort auf dieses Problem lautet Data Security Posture Management (DSPM). Diese Plattformen sind darauf ausgelegt, Daten in SaaS-, IaaS- und unstrukturierten Speicherumgebungen zu erkennen, zu klassifizieren und zu verwalten. Das Grundproblem: Entwickelt wurden sie für Großkonzerne mit sechsstelligen Budgets, dedizierten Datensicherheitsteams und der organisatorischen Kapazität für aufwändige Implementierungsprojekte.
Die Lizenzkosten beginnen bei den meisten DSPM-Plattformen im mittleren sechsstelligen Jahresbereich – für viele mittelständische Sicherheitsbudgets entspricht das dem Gesamtvolumen des Tool-Etats. Hinzu kommt der Integrationsaufwand: Jede SaaS-Anwendung erfordert einen eigenen Konnektor, jeder Konnektor benötigt Zugangsdaten und Berechtigungen, jede Berechtigungsanfrage eine Sicherheitsprüfung. Ein kleines IT-Team kann schlicht kein Quartal damit verbringen, Schnittstellen einzurichten. Und selbst nach der Implementierung produzieren DSPM-Lösungen Befunde, die eine aufwändige Triage erfordern. Das sind alles Kapazitäten, die im Mittelstand kaum vorhanden sind. Dort ist häufig eine einzige Person für Sicherheitsfragen zuständig, die gleichzeitig das Identitätsmanagement betreut, Server patcht und das Phishing-Schulungsprogramm verantwortet.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Das Ergebnis ist ein strukturelles Dilemma: Mittelständische Unternehmen zahlen entweder für Enterprise-Lösungen, die sie nicht ausschöpfen können, oder sie verzichten ganz darauf.
Reale Vorfälle statt hypothetischer Szenarien
Das Risiko ist dabei alles andere als abstrakt. Immer wieder zeigen sich dieselben Muster: Ein externer Auftragnehmer behält nach seinem Ausscheiden monatelang Zugriff auf Salesforce, weil niemand eine systematische Deaktivierungsroutine für Nicht-SSO-Anwendungen pflegt. Ein Mitarbeiter exportiert eine Kundenliste aus HubSpot in sein privates Google Drive mit dem Hinweis, lediglich offline arbeiten zu wollen. Ein scheidender Vertriebsmitarbeiter lädt kurz vor seinem letzten Arbeitstag drei Jahre Kundendaten aus einer Sales-Intelligence-Plattform herunter. Oder ein falsch konfigurierter Box-Ordner mit Compliance-Nachweisen bleibt über mehr als ein Jahr für jeden zugänglich, der den entsprechenden Link besitzt.
Keiner dieser Fälle würde in Purview sichtbar werden. Im SIEM würden sie ohne aufwändige individuelle Konfigurationen ebenfalls nicht auftauchen. Und in bestehenden DSPM-Lösungen blieben sie häufig ebenfalls verborgen, weil die betroffenen Unternehmen die Bereitstellung für die jeweilige SaaS-Anwendung finanziell nie umsetzen konnten. Es handelt sich nicht um theoretische Angriffsszenarien, sondern um reale Vorfälle, mit denen mittelständische Unternehmen still und leise zu kämpfen haben.
Die Schutzlücke bleibt bestehen, weil das klassische DSPM-Modell wirtschaftlich nicht tragfähig ist. Scanner für jede SaaS-Anwendung zu entwickeln, Konnektoren zu pflegen, API-Limits zu handhaben und Daten im großen Maßstab zu klassifizieren. Das ist kostenintensive Entwicklungsarbeit, die sich in entsprechenden Preisen niederschlägt. Mittelständische Käufer bleiben außen vor, während Anbieter sich auf lukrativere Großkundengeschäfte konzentrieren.
Derweil wächst der SaaS-Fußabdruck ungebremst weiter. Jede neue Abteilungsanwendung, jede Unternehmensübernahme, jeder spontane Tool-Kauf fügt eine weitere Insel sensibler Daten hinzu, die niemand systematisch überwacht. Die Lücke schließt sich nicht – sie wächst stattdessen.
Sicherheitsteams im Mittelstand sind sich dieser Lage bewusst. Sie stecken jedoch fest zwischen Lösungen, die für andere Zielgruppen konzipiert und bepreist wurden, und einem Problem, das sich verschärft. Viele haben sich damit arrangiert, wie Unternehmen generell mit Risiken umgehen, deren Behebung sie sich nicht leisten können: dokumentieren, abwarten, weitermachen. Microsoft Purview allein löst dieses Problem nicht – und eine bezahlbare Alternative ist für den Großteil des Mittelstands bislang nicht in Sicht.