Skip to content

Microsoft Teams Governance Software: Self-hosted vs. SaaS

Wenn Sie vor der Entscheidung über eine SaaS-basierte Governance Lösung stehen, dann müssen Sie diesen Artikel unbedingt lesen.  

Die Unternehmen tendieren immer mehr SaaS-basierte Software-Lösungen einzusetzen anstatt die Lösungen selbst zu hosten. SaaS Lösungen bringen sehr viele Vorteile und werden sich immer mehr verbreiten. Ist die Aussage auch für SaaS-basierte Microsoft Teams Governance Lösungen gültig? 

Datenschutz und Datensicherheit waren für Ihr Unternehmen bisher K.O.-Kriterien für eine automatisierte Governance-Lösung. Spätestens am Betriebsrat wären Sie bislang gescheitert? 

SaaS-basierte Microsoft Teams Governance Lösungen haben dabei Zugriff auf die unternehmenskritische Informationen und benötigen folgenden Berechtigungen: 

  1. Zugriff auf alle Dateien und Dokumente, die in SharePoint/Microsoft Teams angelegt sind 
  2. Zugriff auf Teams Chat und Kanäle 
  3. Zugriff auf Apps 
  4. Zugriff auf Benutzerprofil-Informationen 
  5. Zugriff auf alle Emails des Unternehmens 

Während Sie mit MS Teams umfassende Datenverarbeitungsverträge rechtssicher abgeschlossen haben, um den Schritt in die Cloud zu gehen, sitzt die Datenschutzgrundverordnung Ihnen noch immer im Nacken.  

Zudem erfordert Ihre Unternehmens- und IT-Kultur jeder Zeit den Schutz der Intellectual Property, also die Sicherstellung des geistigen Eigentums der Unternehmensdaten innerhalb Ihres Unternehmens. 

Was ist eine SaaS (Software as a Service) Lösung? 

Eine SaaS – Software as a Service – Lösung, beschreibt wie Sie ein Software System konsumieren. Eine SaaS Lösung wird auf der Umgebung Ihres Produktherstellers gehostet.  

In unserem Fall ist die Umgebung ein Azure Tenant. 

Dadurch haben Sie die Vorteile, dass Sie die Software Lösung nicht selbst installieren, warten und die benötigten Lizenzen für die Ausführung der Software nicht kaufen müssen.  

Alle Tätigkeiten werden von Ihrem Produkthersteller übernommen.  

Dadurch sparen Sie Kosten und Zeit für die Pflege der Software.  

In der Regel werden die SaaS-basierten Softwarelösungen mit einem Abo-Zahlungsmodell angeboten.  

Sie können die SaaS-basierten Lösungen monatlich oder jährlich mieten.  

Zusätzlich dazu existieren weitere SaaS Zahlungsmodelle, auf die wir in diesem Artikel nicht eingehen werden. 

Obwohl eine SaaS Lösung viele Vorteile hat, gibt es einen Punkt, den Sie beachten sollten.  

Da die SaaS Lösungen auf der Umgebung vom Produkthersteller gehostet wird, hat der Produkthersteller theoretisch Zugriff auf die Informationen, die auf der Umgebung gespeichert werden. 

Viele SaaS Anbieter versuchen zu garantieren, dass keiner auf die Informationen Zugriff haben wird, aber technisch bleibt es immer möglich.  

Deswegen müssen Sie sich an dieser Stelle auf den Produkthersteller verlassen. 

Was ist eine Self-Hosted Lösung? 

Eine Self-Hosted Lösung ist eine Software Lösung, die direkt auf Ihrer Umgebung installiert und auf Ihrer Umgebung gehostet wird.  

Sie hat den Vorteil, dass der Produkthersteller keinen Zugriff auf Ihre Unternehmensdaten hat. 

Eine Self-Hosted Lösung ist die beste Option, um die ungewollten Zugriffe auf die Unternehmensdaten zu vermeiden. 

Diese Sicherheitsoption bringt Ihnen in der Folge die Aufgaben Installation der Lösung, Pflege und Updates der Lösung selbst übernehmen zu müssen.

Download Checkliste: Optimale Governance für Microsoft Teams

Schritt für Schritt alle relevanten Aspekte überprüfen und optimale Governance sicherstellen

Checkliste jetzt herunterladen  

Präferieren Sie SaaS Lösungen? 

Viele Unternehmen präferieren SaaS Lösungen auf Grund der IT-Strategie. Es kann sein, dass Ihr Unternehmen die gleiche Strategie fährt.  

Grundsätzlich empfehlen wir den Einsatz von SaaS Lösungen. Ist die Empfehlung auch für die SaaS-basierten Microsoft Teams Lösungen gültig? 

Bei der Auswahl einer SaaS-basierten Governance Lösung müssen Sie auf einiges achten. 

Für den Anwender macht es zunächst in der Handhabung keinen Unterschied, ob Sie eine SaaS oder Paas-Lösung einsetzen.  

Bei einer SaaS-Lösung gilt es aber zwingend alle Anwender explizit für die die Datenschutzbestimmungen zu sensibilisieren. 

Grund dafür ist der technisch mögliche Zugriff auf alle Daten durch den SaaS-Anbieter. Dies muss also rechtssicher in einem Datenverarbeitungsvertrag geregelt werden. 

Eine SaaS-basierte Governance Lösung wird auf Ihre Unternehmensdaten von außen zugreifen. Für den Zugriff müssen entsprechende Ausnahmen auf Ihrer Umgebung eingestellt werden, worüber sich Ihre IT-Administratoren nicht freuen werden. 

Außerdem benötigen die Governance Lösungen sehr hohe Berechtigungen, um Workspaces in Microsoft Teams provisionieren zu können.  

Auf Ihre Umgebung wird mit Refresh Tokens zugegriffen. Wenn dieser Refresh Token nicht  professionell genug gespeichert wird und gestohlen wird, hat derjenige Zugriff auf kritische Unternehmensinformationen. Das kann Verletzung der Datenschutzrechte verursachen. 

Folgende Rechte müssen für eine SaaS-Lösung freigegeben werden: 

Microsoft Graph Berechtigungen* 

Beschreibung 

Wie kritisch ist es? (Aus Datenschutz- und Sicherheitsperspektive) 

Application.ReadWrite.All 

Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen von Anwendungen und Dienstprinzipalen im Auftrag des angemeldeten Benutzers. 

Nicht kritisch 

Directory.AccessAsUser.All 

Ermöglicht der App den gleichen Zugriff auf Informationen im Verzeichnis wie dem angemeldeten Benutzer. 

Nicht kritisch 

Directory.ReadWrite.All 

Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation ohne angemeldeten Benutzer zu lesen und zu schreiben, z. B. Benutzer und Gruppen. Ermöglicht nicht das Löschen eines Benutzers oder einer Gruppe. 

Kritisch 

Group.ReadWrite.All 

Die App kann Gruppen erstellen, Gruppenmitgliedschaften lesen und aktualisieren und Gruppen löschen. Die App kann außerdem für alle Gruppen Lese- und Schreibvorgänge für den Kalender, Unterhaltungen, Dateien und andere Gruppeninhalte durchführen. Alle diese Vorgänge können von der App ohne angemeldeten Benutzer ausgeführt werden. 

Sehr kritisch 
 
Dadurch hat der Produktanbieter theoretisch den Zugriff (lesend und schreibend) auf alle Dokumente und Nachrichten des Unternehmens. Der Punkt kann zu großen Diskussionen mit dem Betriebsrat und den internen Security Teams führen. Außerdem müssen IT-Leiter in der Regel die Situation, dass ein theoretischer Zugriff auf die Daten möglich ist,  gegenüber der Geschäftsführung verargumentieren. Die Geschäftsführer tragen letztendlich die Verantwortung mit persönlicher Haftung.  

Notes.Read.All 

Ermöglicht der App, OneNote-Notizbücher zu lesen, auf die der angemeldete Benutzer in der Organisation Zugriff hat. 

Sehr kritisch 

Dadurch hat der Produktanbieter theoretisch Zugriff (lesend und schreibend) auf alle Notizen des Unternehmens. 

Organization.Read.All 

Ermöglicht der App, Organisations- und verwandte Ressourcen im Namen des angemeldeten Benutzers zu lesen. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten. 

Nicht kritisch 

Team.ReadBasic.All 

Abrufen einer Liste aller Teams, ohne dass ein Benutzer angemeldet ist. 

Nicht kritisch 

User.Read.All 

Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Berichten und Vorgesetzten von anderen Benutzern in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. 

Kritisch 

Microsoft SharePoint Berechtigungen* 

Beschreibung 

Wie kritisch ist es? 

Sites.FullControl.All 

Ermöglicht der App, vollständige Kontrolle über SharePoint-Websites in allen Websitesammlungen ohne angemeldeten Benutzer zu erlangen. 

Sehr kritisch 

Dadurch hat der Produktanbieter theoretisch Zugriff (lesend und schreibend) auf Informationen des Unternehmens, die in SharePoint gespeichert werden. 

Sites.Manage.All 

Ermöglicht der App, Listen, Dokumente und Listenelemente in allen Websitesammlungen ohne angemeldeten Benutzer zu verwalten und zu erstellen. 

Kritisch 

  

  

 

*Quelle: Microsoft 

 

Download Checkliste: Optimale Governance für Microsoft Teams

Schritt für Schritt alle relevanten Aspekte überprüfen und optimale Governance sicherstellen

Checkliste jetzt herunterladen  

Präferieren Sie Self-Hosted Lösungen? 

Wenn Sie ein oder mehrere der folgenden Aspekte bejahen, dann haben Sie erhöhte Anforderungen an die Sicherheit. Eine Self-hosted Lösung kommt für Ihre Anforderungen an die Governance-Lösung in Frage.  

  • Ihr Unternehmen unterliegt der DSGVO 
  • Sie wollen auf jeden Fall verhindern, dass Daten Ihres Unternehmens an Drittanbieter weitergegeben werden 
  • Ihr Business hat verstärkt mit sensiblen Personenbezogenen Daten zu tun, wie beispielsweise die Finanz- und Versicherungs-Branche oder Medizin und Pharma 
  • Sie wollen Drittanbietern keinen Zugriff auf Ihr Tenant einräumen  

Eine Alternative hierzu kann eine interne Eigenentwicklung und Umsetzung mit Microsoft PowerShell Scripten sein. Diese wird dann ebenfalls wie eine Self-hosted Lösung in ihrem Tenant gehosted. 

Bei der Self-hostete Variante haben Sie die maximale Datenisolierung, so dass der Produkthersteller keinen Zugriff auf Ihre Daten hat.  

Ihre Self-hosted Lösung ist darüber hinaus von außen nicht erreichbar. 

Sie ermöglichen die maximale Sicherheit mit einer Self-hosted Lösung. 

SaaS Lösungen sind nicht von Haus aus unsicher. Sie sollten diesen Aspekt in Bezug auf die Entscheidung über Ihre Governance Lösungen aber sorgfältig bedenken, da die SaaS-basierten Governance Lösungen hohe Rechte auf Ihrem Tenant benötigen. 

 

Vorteile einer SaaS-basierten Governance Lösung 

Abhängig von Ihren Anforderungen und Ihre IT-Strategie können Sie von den folgenden Vorteilen profitieren. 

  • Der Produkthersteller übernimmt die Installation der Lösung – Bei einer SaaS Lösung sparen Sie sich den gesamten Installationsprozess. Sobald Sie für die Lösung eine Abo abschließen, haben Sie die Lösung innerhalb von Minuten. Dadurch sparen Sie enorm Zeit, wenn Sie sich für eine SaaS-basierte Lösung entscheiden. 
  • Sie müssen die Lösung nicht selbst pflegen – Nach der Installation einer Governance Lösung müssen die Wartungsarbeiten auf der Infrastruktur durchgeführt werden. Bei einer SaaS-Lösung brauchen Sie sich keine Gedanken über die Infrastruktur machen, denn die Pflege wird vom Produkthersteller übernommen. 
  • Sie sparen die Infrastrukturkosten – Da die Lösung auf der Umgebung des Produktherstellers betrieben wird, müssen Sie die Infrastruktur Kosten nicht übernehmen.  Infrastrukturkosten sind pauschal in Ihrem Abo mit einkalkuliert.  
  • Einfache Updateprozesse – Die Updates werden auf Ihrer Umgebung durch den Produkthersteller eingespielt. Für die Durchführung der Updates brauchen Sie keinen hoch kompetenten Mitarbeiter, um den Updateprozess zu begleiten. 

Download Checkliste: Optimale Governance für Microsoft Teams

Schritt für Schritt alle relevanten Aspekte überprüfen und optimale Governance sicherstellen

Checkliste jetzt herunterladen  

Nachteile einer SaaS-basierten Governance Lösung 

Eine SaaS-basierte Governance Lösung umfasst attraktive Vorteile und folgt dem Trend in der Softwareentwicklungswelt. Es bedeutet aber nicht, dass es die perfekte Option gegenüber der Self-hosted Variante ist. Die folgenden Punkte zeigen die Nachteile einer SaaS-basierten Governance Lösung auf. 

  • Der Produkthersteller hat theoretisch Zugriff auf Ihre Daten - Der wichtigste Punkt, den Sie bei einer SaaS-basierten Microsoft Teams Governance beachten sollen, ist der Zugriff auf die Unternehmensdaten. Der Produkthersteller speichert Ihre Daten auf seiner Umgebung und kann theoretisch auf die Daten zugreifen. Es ist enorm wichtig, dass Ihr Produkthersteller Zertifizierungen wie ISO 9001 und ISO 27001 besitzt. Fragen Sie nach Qualitätssicherungsmaßnahmen, bevor Sie sie eine SaaS-basierte Governance Lösung wählen. 
  • Große Sicherheitslücken entstehen, falls der Refresh Token gestohlen wird - Im Falle von Fehlern können Dritte auf Ihre Umgebung zugreifen und Unternehmensinformationen wie Emails, Dokumente, OneNote Notizen usw. lesen. Das ist das größte Risiko, die ein/-e IT-Leiter/-in übernehmen muss und gegenüber der Geschäftsführung verteidigen muss. Für den Zugriff auf Ihre Umgebung wird ein Refresh Token benötigt, der auf der Datenbank des Herstellers gespeichert werden muss. Prüfen Sie deshalb wie der Refresh Token auf der Datenbank des Produktherstellers gespeichert wird und welche Dienste auf den Token zugreifen können. Außerdem ist es wichtig nachweisen zu können, dass der Token von einer zentralen Stelle auf Wunsch von Ihnen gelöscht werden kann. Führen Sie vor dem Kauf einer SaaS-basierten Governance Software ein Security Review für die Lösung durch und informieren Sie sich wie mit Ihren Daten umgangen wird. 
  • Der Produkthersteller bekommt sehr hohe Berechtigungen von Ihnen - und besitzt hohe Rechte, um von außen auf Ihre Umgebung zuzugreifen.  
  • Keine Kontrolle über den Zeitpunkt der Updates – Sie können den Zeitpunkt weder nach hinten verschieben noch frühzeitig Updates einspielen, wenn dies in Ihrem Interesse ist. Diese Hoheit verbleibt beim Hersteller. 

Vorteile einer Self-hosted Governance Lösung 

  • Volle Kontrolle über alle Daten - Niemand von außerhalb Ihres Unternehmens erhält bei einer Platform as a Service Lösung Zugriff auf Ihre internen Daten. Alle Daten befinden sich ausschließlich innerhalb Ihres Tenant. Somit stellen Sie sicher, dass keine unberechtigten Zugriffe erfolgen. Sie gewährleisten die Datensicherheit. 
  • Hohe Berechtigungen bleiben im Tenant - Manche Aufgaben wie beispielsweise das Anlegen eines Teams Raumes erfordern sehr hohe Berechtigungsstufen. Die Self-hosted Lösung erfordert hohe Berechtigungen nur innerhalb Ihres Tenants. Für den Betrieb sind keinerlei Berechtigungsfreigaben für den Zugriff von Außen zu vergeben. IT-Mitarbeiter überwachen alles auf Basis von Azure Features. Lediglich für die initiale Bereitstellung und den Installationsprozess räumen Sie dem Anbieter Berechtigungen ein. Sie behalten die volle Kontrolle. 
  • Volle Flexibilität über den Zeitpunkt von Updates - Sie alleine bestimmen über den genauen Zeitpunkt, wann Updates eingespielt werden. Schnelle und kurzfristige Updates können hilfreich sein, wenn Sie Ihren Usern möglichst frühzeitig erweiterte Funktionalitäten zur Verfügung stellen möchten. Das Herauszögern von Aktualisierungen kann dann sinnvoll sein, wenn bestimmte Projekte zuvor abgeschlossen sein sollen. Einen weiteren Grund können laufende Prozesse sein, die auf den Zeitpunkt des Updates Einfluss nehmen können. 
  • Kontrolle über die Azure Dienste - Sie entscheiden, welche Services sie benötigen und auf welche Sie verzichten können. So skalieren Sie auf Ihrem Tenant beliebig, wann und welche Services, die Ihre PaaS Anbieter zur Verfügung stellt, für Sie verfügbar sind. Stellen Sie zum Beispiel selbst ein, wie lange Sie Ihre Datenbank Backups aufbewahren möchten.  Sie skalieren, sobald es notwendig wird für die von Ihnen definierte Dauer. Compliance Regularien setzen Sie so maßgeschneidert um. 
  • Anpassbar an Unternehmensanforderungen - Eine Self-hosted Lösung bietet Ihnen volle Freiheit, zusätzlich eigene Prozesse abzubilden und frei zu konfigurieren. Erweitern Sie nach Ihren Anforderungen und binden Sie weitere Anwendungskomponenten an. 

Nachteile einer Self-hosted Governance Lösung 

Sobald Sie strengere Anforderungen auf Grund Ihres Geschäftsmodelles haben, wird die Self-hostete Variante für Sie interessant sein.  

Bei dieser Variante gibt es auch Nachteile, die Sie berücksichtigen sollen: 

  • Infrastrukturkosten - Zusätzlich zu den Lizenzkosten übernehmen Sie die Infrastrukturkosten bzw. die Kosten der Microsoft Azure Dienste. Obwohl sie in der Regel nicht hoch sind, müssen Sie die Kosten bei Ihrer Kostenkalkulation mitberücksichtigen. 
  • Aufwand für Pflege intern oder durch Ihren Dienstleister - Da der Produkthersteller keinen Zugriff auf Ihre Umgebung hat, kann die Lösung nicht vom Hersteller gepflegt werden. In diesem Fall müssen Sie die Lösung entweder selbst pflegen oder mit dem Produkthersteller Termine vereinbaren, um die Wartungsarbeiten und Pflege abzuwickeln. 
  • Ready to use - Ab der Entscheidung ist die Lösung nicht sofort verfügbar. Die reine Installation kann innerhalb eines Tages durchgeführt werden. Wann dieser Termin stattfindet und die Implementation durchgeführt wird, kann je nach Auslastung des Anbieters inklusive der Abstimmungen ca 4 Wochen benötigen. 

Download Checkliste: Optimale Governance für Microsoft Teams

Schritt für Schritt alle relevanten Aspekte überprüfen und optimale Governance sicherstellen

Checkliste jetzt herunterladen  
 
valprovia-governance-checklist-de

Fazit

Sobald für Ihr Unternehmen wichtig ist, die volle Kontrolle über die Daten zu jedem Zeitpunkt zu behalten, hat eine Self-hosted Lösung gegenüber einer SaaS-Lösung entscheidende Vorteile. 

Strenge Anforderungen an den Datenschutz sind mit einer Self-hosted-Lösung umsetzbar, ohne weitere Datenverarbeitungsabkommen verhandeln und abschließen zu müssen. 

Die Datensicherheit ist dadurch gewährt, dass der Lösungsanbieter keinerlei Zugriff auf Ihr Tenant hat. Sie müssen keine Rechte freigeben. 

Sie machen sich zeitlich unabhängig von Update-Zyklen des Lösungsanbieters und entscheiden bei jeder verfügbaren Aktualisierung selbst, ob Sie Early Adopters sind oder lieber warten. 

Skalierbarkeit und Erbweiterbarkeit der Self-hosted Lösung sind weitere Vorteile gegenüber eine Software-as-a-Service Governance Automatisierung.