CyberArk Glossary >

SaaS (Software-as-a-Service)

Software-as-a-Service (SaaS) ist ein Modell für Software-Lizenzierung und -Vertrieb, bei dem ein Dienstleister Anwendungen hostet und dem Kunden über das Internet zur Verfügung stellt. SaaS wird auch als „On-Demand-Software“, „gehostete Software“ und „webbasierte Software“ bezeichnet und ist eine der drei Hauptkomponenten des Cloud Computing – eines der grundlegenden Elemente der digitalen Transformation. Weitere Komponenten des Cloud Computing sind Infrastructure-as-a-Service (IaaS) und Platform-as-a-Service (PaaS).

Die meisten SaaS-Angebote basieren auf einer mandantenfähigen Architektur. Das bedeutet, dass allen Benutzern eine einzige Version der Anwendung zur Verfügung gestellt wird. Für eine optimale Funktionalität und ein Höchstmaß an Komfort können die Kunden ihre Konfigurationseinstellungen ändern und Teile der Software an ihre jeweiligen Anwendungsfälle anpassen, die dann mit Upgrades auf dem neusten Stand gehalten werden. Die Benutzer können jedoch nicht in die gemeinsame, zugrundeliegende Infrastruktur oder den Code von SaaS-Anwendungen eingreifen.

Beispiele für SaaS

Es gibt zwei grundlegende Arten von SaaS: vertikales SaaS und horizontales SaaS.

  • Vertikales SaaS. Bedient einen branchenspezifischen Bedarf, wie zum Beispiel Software für elektronische Krankenakten (EMR) im Gesundheitswesen oder Software für das Finanzmanagement von Banken oder Versicherungen.
  • Horizontales SaaS. Bedient einen branchenübergreifenden Bedarf, wie zum Beispiel E-Mail- und Kollaborationssoftware, Human Resource Management (HRM) Software, Customer Relationship Management (CRM) Software, Enterprise Resource Planning (ERP) Software und Cyber-Sicherheitssoftware.

 Vorteile von SaaS

  • Kosteneinsparungen. SaaS-Modelle werden als Pay-as-you-go-Abonnements verkauft, wodurch Unternehmen Bereitstellungskosten wie Lizenz- und Installationsgebühren minimieren können. Stattdessen können sie mit einem kleinen Investitions- und Abonnementplan beginnen und dann bei Bedarf skalieren, um weitere Benutzer und Anwendungsfälle abzudecken.
  • Benutzerfreundlichkeit. Anstatt manueller Installation und Instandhaltung können Benutzer auf SaaS-Anwendungen über einen Webbrowser oder ein Thin-Client-Terminal zugreifen – unabhängig vom Gerät oder Standort. Der SaaS-Anbieter gewährleistet die Verfügbarkeit, Leistung, laufende Wartung, Updates und Patches sowie die Sicherheit der Cloud selbst.
  • Betriebseffizienz. Da die Anwendungen in der Cloud gehostet werden, können interne Teams zeitintensive Aufgaben im Zusammenhang mit dem Infrastrukturmanagement beseitigen und sich auf ihr Kerngeschäft konzentrieren. Darüber hinaus erfordert SaaS nur wenig bis gar keine Rechen- oder Speicherleistung seitens der Benutzerorganisation, wodurch weitere Ressourcen eingespart werden.
  • SaaS-Dienste lassen sich leicht nach oben oder unten skalieren und zusätzliche Funktionen können bei Bedarf zugeschaltet werden. Davon profitieren beispielsweise konjunkturabhängige Firmen, Unternehmen auf Wachstumskurs und Organisationen, die angesichts neuer Anforderungen und Budgets zurückskalieren müssen.
  • Integrationsfähigkeit. Die Popularität von SaaS-Angeboten in Verbindung mit der Standardisierung der API-Technologie hat zu einer Welle von Integrationen und „Mashups“ geführt, die Daten, Präsentation und Funktionen aus mehreren Diensten kombinieren, um den sich kontinuierlich weiterentwickelnden Kundenanforderungen gerecht zu werden und erstklassige Lösungen für Cloud-Sicherheit bieten zu können.

Sicherheitsprobleme bei SaaS

Eine CyberArk-Umfrage von 2019 unter mehr als 1.000 Unternehmen weltweit ergab, dass die Sicherheit der häufigste Grund für den Umzug in die Cloud ist. Darüber hinaus ist mehr als ein Drittel der Befragten der Ansicht, dass die Risikobelastung hinsichtlich Informationssicherheit gänzlich oder teilweise vom Cloud-Anbieter getragen wird.

SaaS-Anbieter konzentrieren sich zwar auf die Sicherheit in der Cloud-Infrastruktur, geben aber auch offen zu, dass sie nur eine Teillösung anbieten können, und setzen daher auf eine Zusammenarbeit beim Thema Sicherheit. So verfolgt zum Beispiel Microsoft ein Modell der gemeinsamen Verantwortung, bei dem die Sicherheitsaufgaben zwischen dem Cloud-Anbieter und dem Cloud-Kunden aufgeteilt werden. Microsoft weist darauf hin, dass der Cloud-Kunde unabhängig von der Art der Cloud-Bereitstellung immer für die Wahrung der Sicherheit seiner Daten und Identitäten, seiner On-Premise-Ressourcen und der von ihm kontrollierten Cloud-Komponenten verantwortlich ist.

Die National Security Agency (NSA) in den USA hat zudem Leitlinien zur Aufteilung der Verantwortlichkeiten für die Sicherheit in der Cloud herausgegeben.

In einer Richtlinie vom Januar 2020 stellt die NSA fest, dass „[Cloud service providers (CSPs)] für die Sicherung der Cloud-Infrastruktur sowie für die Implementierung logischer Kontrollen zur Trennung von Kundendaten verantwortlich sind. Die Administratoren von Unternehmen sind in der Regel für die Konfiguration der Sicherheit auf Anwendungsebene (zum Beispiel Zugriffskontrollen für Daten) zuständig. Viele CSPs bieten Tools zur Konfiguration der Cloud-Sicherheit sowie Überwachungssysteme, aber Cloud-Kunden sind dennoch für die Konfiguration des Dienstes entsprechend den betrieblichen Sicherheitsanforderungen verantwortlich.“

Im Falle einer Datenschutzverletzung wird das Kundenunternehmen zur Verantwortung gezogen und muss Regulierungsbehörden, Kunden und anderen Stakeholdern Rede und Antwort stehen – nicht der Cloud-Anbieter. Daher sollten Unternehmen diese Aufteilung der Verantwortung genau prüfen und Maßnahmen ergreifen, um den privilegierten Zugriff auf sensible Daten und Informationen zu schützen, die in SaaS-Anwendungen und anderen Cloud-Umgebungen gespeichert sind.

Erfahren Sie mehr über SaaS