Microsoft Teams Governance Software: Self-hosted vs. SaaS

Was ist eine SaaS- (Software as a Service) Lösung? 

Eine SaaS-Lösung (SaaS = Software as a Service), beschreibt, wie Sie ein Software-System konsumieren. Eine SaaS-Lösung wird auf der Umgebung Ihres Produktherstellers gehostet.  

In unserem Fall ist die Umgebung ein Azure Tenant. 

Dadurch haben Sie die Vorteile, dass Sie die Software-Lösung nicht selbst installieren, warten und die benötigten Lizenzen für die Ausführung der Software nicht kaufen müssen.  

Alle Tätigkeiten werden von Ihrem Produkthersteller übernommen.  

Dadurch sparen Sie Kosten und Zeit für die Pflege der Software.  

In der Regel werden die SaaS-basierten Softwarelösungen mit einem Abo-Zahlungsmodell angeboten.  

Sie können die SaaS-basierten Lösungen monatlich oder jährlich mieten.  

Zusätzlich dazu existieren weitere SaaS-Zahlungsmodelle, auf die wir in diesem Artikel nicht eingehen werden. 

Obwohl eine SaaS-Lösung viele Vorteile hat, gibt es einen Punkt, den Sie beachten sollten.  

Da die SaaS-Lösungen auf der Umgebung des Produktherstellers gehostet wird, hat dieser theoretisch Zugriff auf die Informationen, die auf der Umgebung gespeichert werden. 

Viele SaaS-Anbieter versuchen zu garantieren, dass keiner auf die Informationen Zugriff haben wird, aber technisch bleibt es immer möglich.  

Deswegen müssen Sie sich an dieser Stelle auf den Produkthersteller verlassen. 

Was ist eine Self-Hosted-Lösung? 

Eine Self-Hosted-Lösung ist eine Software-Lösung, die direkt auf Ihrer Umgebung installiert und auf Ihrer Umgebung gehostet wird.  

Sie hat den Vorteil, dass der Produkthersteller keinen Zugriff auf Ihre Unternehmensdaten hat. 

Eine Self-Hosted Lösung ist die beste Option, um ungewollte Zugriffe auf Unternehmensdaten zu vermeiden. 

Diese Sicherheitsoption bringt es mit sich, dass Sie selbst in der Folge die Aufgaben der Installation der Lösung, ihrer Pflege und die Installation von Updates übernehmen müssen.

Präferieren Sie SaaS-Lösungen? 

Viele Unternehmen präferieren SaaS-Lösungen aufgrund ihrer IT-Strategie. Es kann sein, dass Ihr Unternehmen die gleiche Strategie fährt.  

Grundsätzlich empfehlen wir den Einsatz von SaaS-Lösungen. Ist die Empfehlung auch für die SaaS-basierten Microsoft Teams Lösungen gültig? 

Bei der Auswahl einer SaaS-basierten Governance-Lösung müssen Sie auf einiges achten. 

Für den Anwender macht es zunächst in der Handhabung keinen Unterschied, ob Sie eine SaaS- oder Paas-Lösung einsetzen.  

Bei einer SaaS-Lösung gilt es aber zwingend, alle Anwender explizit für die die Datenschutzbestimmungen zu sensibilisieren. 

Grund dafür ist der technisch mögliche Zugriff auf alle Daten durch den SaaS-Anbieter. Dies muss also rechtssicher in einem Datenverarbeitungsvertrag geregelt werden. 

Eine SaaS-basierte Governance-Lösung wird auf Ihre Unternehmensdaten von außen zugreifen. Für den Zugriff müssen entsprechende Ausnahmen auf Ihrer Umgebung eingestellt werden, worüber sich Ihre IT-Administratoren nicht freuen werden. 

Außerdem benötigen die Governance-Lösungen sehr hohe Berechtigungen, um Workspaces in Microsoft Teams provisionieren zu können.  

Auf Ihre Umgebung wird mit Refresh Tokens zugegriffen. Wenn dieser Refresh Token nicht  professionell genug gespeichert und gestohlen wird, haben Dritte Zugriff auf kritische Unternehmensinformationen. Das kann eine Verletzung der Datenschutzrechte mit sich bringen. 

Schematische Darstellung der SaaS-Architektur: Zugriff auf Kundentenant durch 3rd-Party-Lösung

Folgende Rechte müssen für eine SaaS-Lösung freigegeben werden: 

*Quelle: Microsoft 

Präferieren Sie Self-Hosted-Lösungen? 

Wenn Sie ein oder mehrere der folgenden Aspekte bejahen, haben Sie erhöhte Anforderungen an die Sicherheit. Eine Self-Hosted-Lösung kommt für Ihre Anforderungen an die Governance-Lösung in Frage.  

• Ihr Unternehmen unterliegt der DSGVO.
• Sie wollen auf jeden Fall verhindern, dass Daten Ihres Unternehmens an Drittanbieter weitergegeben werden. 
• Ihr Business hat verstärkt mit sensiblen personenbezogenen Daten zu tun, wie beispielsweise die Finanz- und Versicherungs-Branche oder Medizin und Pharma. 
• Sie wollen Drittanbietern keinen Zugriff auf Ihren Tenant einräumen.  

Eine Alternative hierzu kann eine interne Eigenentwicklung und Umsetzung mit Microsoft PowerShell Scripten sein. Diese wird dann ebenfalls wie eine Self-Hosted-Lösung in ihrem Tenant gehosted. 

Bei der Self-Hosted-Variante haben Sie die maximale Datenisolierung, so dass der Produkthersteller keinen Zugriff auf Ihre Daten hat.  

Ihre Self-Hosted-Lösung ist darüber hinaus von außen nicht erreichbar. 

Sie ermöglichen die maximale Sicherheit mit einer Self-Hosted-Lösung. 

SaaS-Lösungen sind nicht von Haus aus unsicher. Sie sollten diesen Aspekt in Bezug auf die Entscheidung über Ihre Governance-Lösungen aber sorgfältig bedenken, da die SaaS-basierten Governance-Lösungen hohe Rechte auf Ihrem Tenant benötigen. 

Vorteile einer SaaS-basierten Governance-Lösung 

Entsprechend Ihrer Anforderungen und Ihrer IT-Strategie können Sie von den folgenden Vorteilen profitieren. 

• Der Produkthersteller übernimmt die Installation der Lösung – Bei einer SaaS-Lösung sparen Sie sich den gesamten Installationsprozess. Sobald Sie für die Lösung eine Abo abschließen, haben Sie die Lösung innerhalb von Minuten. Dadurch sparen Sie enorm Zeit, wenn Sie sich für eine SaaS-basierte Lösung entscheiden. 

• Sie müssen die Lösung nicht selbst pflegen – Nach der Installation einer Governance-Lösung müssen die Wartungsarbeiten auf der Infrastruktur durchgeführt werden. Bei einer SaaS-Lösung brauchen Sie sich keine Gedanken über die Infrastruktur machen, denn die Pflege wird vom Produkthersteller übernommen. 

• Sie sparen sich die Infrastrukturkosten – Da die Lösung auf der Umgebung des Produktherstellers betrieben wird, müssen Sie die Infrastrukturkosten nicht übernehmen. Diese sind pauschal in Ihrem Abo mit einkalkuliert.  

• Einfache Updateprozesse – Die Updates werden auf Ihrer Umgebung durch den Produkthersteller eingespielt. Für die Durchführung der Updates brauchen Sie keinen hochkompetenten Mitarbeiter, um den Updateprozess zu begleiten. 

Nachteile einer SaaS-basierten Governance-Lösung 

Eine SaaS-basierte Governance-Lösung umfasst attraktive Vorteile und folgt dem Trend in der Softwareentwicklungswelt. Das bedeutet aber nicht, dass sie die perfekte Option gegenüber der Self-Hosted-Variante sein muss. Die folgenden Punkte zeigen die Nachteile einer SaaS-basierten Governance-Lösung auf. 

• Der Produkthersteller hat theoretisch Zugriff auf Ihre Daten — Der wichtigste Punkt, den Sie bei einer SaaS-basierten Microsoft Teams Governance beachten sollen, ist der Zugriff auf die Unternehmensdaten. Der Produkthersteller speichert Ihre Daten auf seiner Umgebung und kann theoretisch auf die Daten zugreifen. Es ist enorm wichtig, dass Ihr Produkthersteller Zertifizierungen wie ISO 9001 und ISO 27001 besitzt. Fragen Sie nach Qualitätssicherungsmaßnahmen, bevor Sie sie eine SaaS-basierte Governance-Lösung wählen. 

• Große Sicherheitslücken entstehen, falls der Refresh-Token gestohlen wird — Im Falle von Fehlern können Dritte auf Ihre Umgebung zugreifen und Unternehmensinformationen wie E-Mails, Dokumente, OneNote-Notizen usw. lesen. Das ist das größte Risiko, für das ein IT-Leiter geradestehen und sich gegenüber der Geschäftsführung rechtfertigen muss. Für den Zugriff auf Ihre Umgebung wird ein Refresh-Token benötigt, der auf der Datenbank des Herstellers gespeichert werden muss. Prüfen Sie deshalb wie der Refresh-Token auf der Datenbank des Produktherstellers gespeichert wird und welche Dienste auf den Token zugreifen können. Außerdem ist es wichtig nachweisen zu können, dass der Token von einer zentralen Stelle auf Wunsch von Ihnen gelöscht werden kann. Führen Sie vor dem Kauf einer SaaS-basierten Governance-Software ein Security Review für die Lösung durch und informieren Sie sich wie mit Ihren Daten umgangen wird. 

• Der Produkthersteller bekommt sehr hohe Berechtigungen von Ihnen — und besitzt hohe Rechte, um von außen auf Ihre Umgebung zuzugreifen.  

• Keine Kontrolle über den Zeitpunkt der Updates – Sie können den Zeitpunkt weder nach hinten verschieben noch frühzeitig Updates einspielen, wenn dies in Ihrem Interesse ist. Diese Hoheit verbleibt beim Hersteller. 

Vorteile einer Self-Hosted Governance-Lösung 

• Volle Kontrolle über alle Daten — Niemand außerhalb Ihres Unternehmens erhält bei einer PaaS-Lösung Zugriff auf Ihre internen Daten. Alle Daten befinden sich ausschließlich innerhalb Ihres Tenants. Somit stellen Sie sicher, dass keine unberechtigten Zugriffe erfolgen. Sie gewährleisten die Datensicherheit. 

• Hohe Berechtigungen bleiben im Tenant — Manche Aufgaben, wie beispielsweise das Anlegen eines Teams-Raumes, erfordern sehr hohe Berechtigungsstufen. Die Self-Hosted-Lösung erfordert hohe Berechtigungen nur innerhalb Ihres Tenants. Für den Betrieb sind keinerlei Berechtigungsfreigaben für den Zugriff von Außen zu vergeben. IT-Mitarbeiter überwachen alles auf Basis von Azure Features. Lediglich für die initiale Bereitstellung und den Installationsprozess räumen Sie dem Anbieter Berechtigungen ein. Sie behalten die volle Kontrolle. 

• Volle Flexibilität über den Zeitpunkt von Updates — Sie alleine bestimmen über den genauen Zeitpunkt, wann Updates eingespielt werden. Schnelle und kurzfristige Updates können hilfreich sein, wenn Sie Ihren Usern möglichst frühzeitig erweiterte Funktionalitäten zur Verfügung stellen möchten. Das Herauszögern von Aktualisierungen kann dann sinnvoll sein, wenn bestimmte Projekte zuvor abgeschlossen sein sollen. Einen weiteren Grund können laufende Prozesse sein, die auf den Zeitpunkt des Updates Einfluss nehmen können. 

• Kontrolle über die Azure Dienste — Sie entscheiden, welche Services sie benötigen und auf welche Sie verzichten können. So skalieren Sie auf Ihrem Tenant beliebig, wann und welche Services, die Ihr PaaS-Anbieter zur Verfügung stellt, für Sie verfügbar sind. Stellen Sie zum Beispiel selbst ein, wie lange Sie Ihre Datenbank-Backups aufbewahren möchten.  Sie skalieren, sobald es notwendig wird, für die von Ihnen definierte Dauer. Compliance-Regularien setzen Sie so maßgeschneidert um. 

• Anpassbar an Unternehmensanforderungen — Eine Self-Hosted-Lösung bietet Ihnen volle Freiheiten, zusätzlich eigene Prozesse abzubilden und frei zu konfigurieren. Erweitern Sie nach Ihren Anforderungen und binden Sie weitere Anwendungskomponenten an. 

Nachteile einer Self-Hosted Governance-Lösung 

Sobald Sie strengere Anforderungen aufrund Ihres Geschäftsmodelles haben, wird die Self-Hosted-Variante für Sie interessant sein.  

Bei dieser Variante gibt es auch Nachteile, die Sie berücksichtigen sollten: 

• Infrastrukturkosten — Zusätzlich zu den Lizenzkosten übernehmen Sie die Infrastrukturkosten bzw. die Kosten der Microsoft Azure Dienste. Obwohl sie in der Regel nicht hoch sind, müssen Sie sie bei Ihrer Kostenkalkulation mitberücksichtigen. 

• Aufwand für Pflege intern oder durch Ihren Dienstleister — Da der Produkthersteller keinen Zugriff auf Ihre Umgebung hat, kann die Lösung nicht vom Hersteller gepflegt werden. In diesem Fall müssen Sie die Lösung entweder selbst pflegen oder mit dem Produkthersteller Termine vereinbaren, um die Wartungsarbeiten und Pflege abzuwickeln. 
• Ready to use — Mit der Entscheidung ist die Lösung nicht sofort verfügbar. Die reine Installation kann innerhalb eines Tages durchgeführt werden. Wann dieser Termin stattfindet und die Implementation durchgeführt wird, kann je nach Auslastung des Anbieters inklusive der Abstimmungen ca. 4 Wochen beanspruchen.