Daten im toten Winkel Datensicherheit: Warum Microsoft Purview nur die halbe Miete ist

Quelle: Pressemitteilung 4 min Lesedauer

Anbieter zum Thema

Mittelständische Unternehmen nutzen längst deutlich mehr SaaS-Anwendungen als ihre Sicherheitsteams im Blick haben. Klassische Schutzlösungen wie Microsoft Purview stoßen dabei schnell an ihre Grenzen, aber spezialisierte Alternativen sind für viele Betriebe schlicht unerschwinglich. Eine Gefahr für die Datensicherung.

Mit jeder neuen SaaS-Anwendung wächst die Sicherheitslücke: Blinde Flecken führen aber zu Defiziten bei der Datensicherung und bringen mittelständische Unternehmen in größte Gefahr.(Bild: ©  Rawf8 - stock.adobe.com)
Mit jeder neuen SaaS-Anwendung wächst die Sicherheitslücke: Blinde Flecken führen aber zu Defiziten bei der Datensicherung und bringen mittelständische Unternehmen in größte Gefahr.
(Bild: © Rawf8 - stock.adobe.com)

In mittelständischen Unternehmen sieht die IT-Sicherheitsarchitektur oft verblüffend ähnlich aus: Microsoft 365 als Kernsystem, ergänzt durch eine Teilabdeckung mit Purview, vielleicht Defender – und im letzten Audit-Fragebogen ein Häkchen gesetzt bei „Datensicherung“.

Die Realität des tatsächlich genutzten Software-Ökosystems sieht jedoch anders aus. Confluence, Salesforce, Box, GitHub, Jira, Slack, Workday, Notion, Zendesk, DocuSign und Asana sind längst fester Bestandteil des Arbeitsalltags. Dazu kommen zahlreiche abteilungsspezifische Tools, deren Genehmigung in der IT-Abteilung kaum noch jemand nachvollziehen kann. Genau dort aber liegen heute die sensiblen Unternehmensdaten. Für die meisten Sicherheitsteams im Mittelstand ist das gleichbedeutend mit einem blinden Fleck.

Was Purview kann und was nicht

Zu diesem Befund gelangt auch der Backup- und Recovery-Spezialist Hycu, der die Möglichkeiten und Grenzen von Microsoft Purview analysiert hat. Das Fazit: Purview ist ein solides Werkzeug für seinen eigentlichen Zweck als Data-Governance- und DLP-Schicht innerhalb von Microsoft 365. Mit der entsprechenden Lizenzstufe, in der Regel E5 oder ein separates Compliance-Add-on, lassen sich Daten in SharePoint, OneDrive, Exchange und Teams klassifizieren sowie DLP-Richtlinien erstellen.

Doch die Salesforce-Pipeline beispielsweise erfasst Purview nicht. Wer dauerhaft Zugriff auf den Box-Ordner hat, in dem die Finanzabteilung ihre Quartalsprognosen ablegt, bleibt im Verborgenen. HR-, Recruiting- und Support-Tools sowie Dutzende weiterer Speicherorte sensibler Daten liegen außerhalb des Sichtfelds. Das wäre kein Problem, wenn Unternehmensdaten ausschließlich in Microsoft 365 gespeichert wären. Doch das sind sie längst nicht mehr.

Der typische Mittelstands-Stack

Ein Unternehmen mit 500 bis 3.000 Mitarbeitern betreibt durchschnittlich zwischen 50 und 200 SaaS-Anwendungen. Ein erheblicher Teil davon enthält hochsensible Informationen: Kundendaten, Finanzkennzahlen, Quellcode, Personalakten, Gesundheitsdaten, Verträge und Zugangsdaten. Da SaaS-Applikationen primär auf Zusammenarbeit ausgelegt sind und nicht auf minimale Zugriffsrechte, sind diese Daten standardmäßig weit zugänglicher, als den Verantwortlichen bewusst ist. Zugleich sind sie für die vorhandenen Sicherheitswerkzeuge unsichtbar und ihr Umfang sowie ihre Sensibilität wachsen von Quartal zu Quartal.

Geplant war das in den seltensten Fällen. Entstanden ist die Lage, weil Fachabteilungen neue Tools schneller beschaffen, als die IT-Sicherheit sie erfassen kann. Und weil die Governance von Nicht-Microsoft-Lösungen organisatorisch häufig im Niemandsland liegt.

Speziallösungen überfordern den Mittelstand

Die naheliegende Antwort auf dieses Problem lautet Data Security Posture Management (DSPM). Diese Plattformen sind darauf ausgelegt, Daten in SaaS-, IaaS- und unstrukturierten Speicherumgebungen zu erkennen, zu klassifizieren und zu verwalten. Das Grundproblem: Entwickelt wurden sie für Großkonzerne mit sechsstelligen Budgets, dedizierten Datensicherheitsteams und der organisatorischen Kapazität für aufwändige Implementierungsprojekte.

Die Lizenzkosten beginnen bei den meisten DSPM-Plattformen im mittleren sechsstelligen Jahresbereich – für viele mittelständische Sicherheitsbudgets entspricht das dem Gesamtvolumen des Tool-Etats. Hinzu kommt der Integrationsaufwand: Jede SaaS-Anwendung erfordert einen eigenen Konnektor, jeder Konnektor benötigt Zugangsdaten und Berechtigungen, jede Berechtigungsanfrage eine Sicherheitsprüfung. Ein kleines IT-Team kann schlicht kein Quartal damit verbringen, Schnittstellen einzurichten. Und selbst nach der Implementierung produzieren DSPM-Lösungen Befunde, die eine aufwändige Triage erfordern. Das sind alles Kapazitäten, die im Mittelstand kaum vorhanden sind. Dort ist häufig eine einzige Person für Sicherheitsfragen zuständig, die gleichzeitig das Identitätsmanagement betreut, Server patcht und das Phishing-Schulungsprogramm verantwortet.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Das Ergebnis ist ein strukturelles Dilemma: Mittelständische Unternehmen zahlen entweder für Enterprise-Lösungen, die sie nicht ausschöpfen können, oder sie verzichten ganz darauf.

Reale Vorfälle statt hypothetischer Szenarien

Das Risiko ist dabei alles andere als abstrakt. Immer wieder zeigen sich dieselben Muster: Ein externer Auftragnehmer behält nach seinem Ausscheiden monatelang Zugriff auf Salesforce, weil niemand eine systematische Deaktivierungsroutine für Nicht-SSO-Anwendungen pflegt. Ein Mitarbeiter exportiert eine Kundenliste aus HubSpot in sein privates Google Drive mit dem Hinweis, lediglich offline arbeiten zu wollen. Ein scheidender Vertriebsmitarbeiter lädt kurz vor seinem letzten Arbeitstag drei Jahre Kundendaten aus einer Sales-Intelligence-Plattform herunter. Oder ein falsch konfigurierter Box-Ordner mit Compliance-Nachweisen bleibt über mehr als ein Jahr für jeden zugänglich, der den entsprechenden Link besitzt.

Keiner dieser Fälle würde in Purview sichtbar werden. Im SIEM würden sie ohne aufwändige individuelle Konfigurationen ebenfalls nicht auftauchen. Und in bestehenden DSPM-Lösungen blieben sie häufig ebenfalls verborgen, weil die betroffenen Unternehmen die Bereitstellung für die jeweilige SaaS-Anwendung finanziell nie umsetzen konnten. Es handelt sich nicht um theoretische Angriffsszenarien, sondern um reale Vorfälle, mit denen mittelständische Unternehmen still und leise zu kämpfen haben.

Eine Lücke, die größer wird

Die Schutzlücke bleibt bestehen, weil das klassische DSPM-Modell wirtschaftlich nicht tragfähig ist. Scanner für jede SaaS-Anwendung zu entwickeln, Konnektoren zu pflegen, API-Limits zu handhaben und Daten im großen Maßstab zu klassifizieren. Das ist kostenintensive Entwicklungsarbeit, die sich in entsprechenden Preisen niederschlägt. Mittelständische Käufer bleiben außen vor, während Anbieter sich auf lukrativere Großkundengeschäfte konzentrieren.

Derweil wächst der SaaS-Fußabdruck ungebremst weiter. Jede neue Abteilungsanwendung, jede Unternehmensübernahme, jeder spontane Tool-Kauf fügt eine weitere Insel sensibler Daten hinzu, die niemand systematisch überwacht. Die Lücke schließt sich nicht – sie wächst stattdessen.

Sicherheitsteams im Mittelstand sind sich dieser Lage bewusst. Sie stecken jedoch fest zwischen Lösungen, die für andere Zielgruppen konzipiert und bepreist wurden, und einem Problem, das sich verschärft. Viele haben sich damit arrangiert, wie Unternehmen generell mit Risiken umgehen, deren Behebung sie sich nicht leisten können: dokumentieren, abwarten, weitermachen. Microsoft Purview allein löst dieses Problem nicht – und eine bezahlbare Alternative ist für den Großteil des Mittelstands bislang nicht in Sicht.

(ID:50880680)