Der Geltungsbereich endet bei M365. Ihre Daten aber nicht.

Werfen Sie einen Blick in fast jedes mittelständische Unternehmen und Sie werden die gleiche Sicherheitseinrichtung vorfinden: Microsoft 365 mit einem gewissen Maß an Purview-Abdeckung, vielleicht Defender und ein Kästchen neben "Datenschutz" auf dem letzten Audit-Fragebogen.

Werfen Sie dann einen Blick auf den tatsächlichen SaaS-Fußabdruck.

Einfluss. Salesforce. Box. GitHub. Jira. Slack. Workday. Notion. Zendesk. DocuSign. Asana. Eine Handvoll abteilungsspezifischer Tools, an deren Genehmigung sich niemand in der IT-Abteilung erinnert.

Dort befinden sich jetzt sensible Daten. Und für die meisten Sicherheitsteams im Mittelstand ist das ein schwarzes Loch.

Was Purview tatsächlich abdeckt

Purview ist ein vernünftiges Tool für das, was es ist: eine Data Governance- und DLP-Schicht für Microsoft 365. Wenn Sie die richtige Lizenzstufe haben - in der Regel E5 oder das eigenständige Compliance-Add-on - können Sie Daten in SharePoint, OneDrive, Exchange und Teams klassifizieren. Sie können DLP-Richtlinien erstellen. Sie können sehen, wie sich einige Sensibilitätskennzeichnungen ausbreiten.

Purview deckt Ihre Salesforce-Pipeline nicht ab. Es kann Ihnen nicht sagen, wer ständigen Zugriff auf den Box-Ordner hat, in dem die Finanzabteilung die vierteljährlichen Prognosen ablegt. Es sieht nicht das HR-Tool, das Recruiting-Tool, das Support-Tool oder das Dutzend anderer Orte, an denen sensible Daten gespeichert sind.

Wenn Ihre Daten nur bei Microsoft liegen würden, wäre das in Ordnung. Ihre Daten befinden sich aber nicht nur in Microsoft 365.

Der echte Mittelstands-Stack

Ein typisches Unternehmen mit 500 bis 3.000 Mitarbeitern betreibt zwischen 50 und 200 SaaS-Anwendungen. Ein bedeutender Teil davon enthält sensible Daten: personenbezogene Daten von Kunden, Finanzdaten, Quellcode, Personaldaten, Gesundheitsinformationen, Verträge, Anmeldedaten.

Die meisten dieser Daten sind:

• Standardmäßig weitgehend gemeinsam genutzt (SaaS-Anwendungen sind auf Zusammenarbeit optimiert, nicht zuletzt Privilegien)
• Zugänglich für weit mehr Menschen als man denkt
• Unsichtbar für die Sicherheitstools, die das Unternehmen bereits besitzt
• Volumen und Empfindlichkeit nehmen jedes Quartal zu

Niemand hat das geplant. Es geschah, weil die Unternehmensteams schneller Tools kauften, als die Sicherheitsbehörden sie inventarisieren konnten, und weil die Governance-Geschichte für SaaS, die nicht von Microsoft stammen, schon immer das Problem von jemand anderem war.

Warum DSPM das Problem nicht löst

Die offensichtliche Antwort ist DSPM. Diese Plattformen existieren speziell für die Erkennung, Klassifizierung und Verwaltung von Daten in SaaS, IaaS und unstrukturierten Speichern.

Das Problem ist, dass keine dieser Plattformen für den Mittelstand entwickelt wurde.

Sie wurden für Fortune 500-Kunden mit sechsstelligen Budgets, engagierten Datensicherheitsteams und genügend Spielraum für lange Implementierungen entwickelt. Wenn Sie ein Unternehmen mit 400 Mitarbeitern fragen, ob es einen DSPM-Anbieter für Unternehmen einsetzen möchte, erhalten Sie in der Regel drei Reaktionen in der Reihenfolge: ein Angebot, Schweigen und ein höfliches Nein.

Die spezifischen Hindernisse:

• Kosten. Die meisten DSPM-Plattformen beginnen im mittleren sechsstelligen Bereich pro Jahr. Bei mittleren Sicherheitsbudgets ist das der gesamte Posten für die Werkzeuge.
• Komplexität der Implementierung. Jede SaaS-Anwendung braucht eine Integration, jede Integration braucht Anmeldeinformationen und Geltungsbereiche, und jeder Geltungsbereich braucht eine Sicherheitsüberprüfung. Ein schlankes Team kann nicht ein Vierteljahr mit der Verkabelung von Konnektoren verbringen.
• Operativer Mehraufwand. DSPM erzeugt Erkenntnisse. Befunde erfordern eine Triage. Für die Triage werden Analysten benötigt. Mittelständische Teams haben keine Analysten - sie haben einen Sicherheitsbeauftragten, der auch IAM betreibt, Server patcht und das Phishing-Schulungsprogramm leitet.
• Unternehmensinterne Voreingenommenheit im Produkt. Die Benutzeroberfläche geht davon aus, dass sie von einem Datensicherheitsanalysten gelesen wird. Die Richtlinien setzen voraus, dass Sie ein Team haben, das sie abstimmt. Bei den Warnmeldungen wird davon ausgegangen, dass jemand Zeit hat, sie zu untersuchen.

Das Ergebnis: Mittelständische Unternehmen zahlen entweder für Enterprise-Tools, die sie nicht einsetzen können, oder sie verzichten darauf und hoffen.

Das Risiko ist nicht theoretisch

Ich habe dieses Muster wiederholt gesehen:

• Ein Auftragnehmer behält den Zugang zu Salesforce 90 Tage nach dem Offboarding, weil niemand die Deprovisioning-Checkliste für Nicht-IdP-Anwendungen besitzt.
• Ein Ingenieur exportiert eine Kundenliste von HubSpot auf ein persönliches Google Drive, "nur um offline zu arbeiten."
• Ein ausscheidender Vertriebsmitarbeiter lädt vor seinem letzten Arbeitstag drei Jahre lang Account-Daten von Gong herunter.
• Ein falsch konfigurierter Box-Ordner, der SOC 2-Beweise enthält, wird 14 Monate lang mit "jedem, der den Link hat" geteilt.

Keiner dieser Fälle würde in Purview auftauchen. Keines davon würde in einem SIEM auftauchen, ohne dass jemand die Zeit hätte, es zu bearbeiten. Und die meisten würden auch nicht in einem vorhandenen DSPM auftauchen, weil der Kunde es sich gar nicht leisten könnte, es gegen diese SaaS-Anwendung einzusetzen.

Dies sind keine hypothetischen Angriffe. Das sind die tatsächlichen Vorfälle, mit denen sich mittelständische Unternehmen im Stillen auseinandersetzen müssen - diejenigen, die in einem Post-Mortem statt in einem Dashboard auftauchen.

Warum das Problem ungelöst bleibt

Die Lücke bleibt bestehen, weil das traditionelle DSPM-Modell wirtschaftlich nicht funktioniert. Die Entwicklung eines Scanners für jede SaaS-Anwendung, die Pflege von Konnektoren, die Handhabung von API-Ratenbeschränkungen, die Klassifizierung von Daten in großem Umfang - all das ist ein teures Unterfangen, und die Preise der Anbieter sind entsprechend hoch. Käufer aus dem mittleren Marktsegment werden ausgepreist, und die Anbieter wandern in höhere Marktsegmente ab, um größere Aufträge zu erhalten. Der Kreislauf geht weiter.

In der Zwischenzeit wächst die SaaS-Fläche immer weiter. Jedes neue Abteilungs-Tool, jede Akquisition, jeder Kauf nach dem Motto "Wir brauchen das nur für das Team" fügt eine weitere Tasche mit sensiblen Daten hinzu, auf die niemand achtet. Die Lücke schließt sich nicht. Sie vergrößert sich vielmehr.

Mittelständische Sicherheitsteams wissen das. Sie sind nicht naiv. Sie sitzen in der Zwickmühle zwischen der Preisgestaltung für andere und einem Problem, das immer schlimmer wird. Die meisten haben sich damit abgefunden, so wie man sich mit jedem Risiko abfindet, das man sich nicht leisten kann: Man dokumentiert es, hofft und macht weiter.

Das ist der ehrliche Zustand der Verwaltung der Datensicherheitslage außerhalb von Microsoft 365 für die meisten mittelständischen Unternehmen. Nicht gelöst. Nicht annähernd. Und nichts, was Purview beheben wird.