Skip to content

Microsoft Teams Governance Software: Self-hosted vs. SaaS

Wenn Sie vor der Entscheidung über eine SaaS-basierte Governance Lösung stehen, sollten Sie diesen Artikel unbedingt lesen.  

Unternehmen tendieren immer mehr dazu, SaaS-basierte Software-Lösungen einzusetzen, anstatt die Lösungen selbst zu hosten. SaaS-Lösungen bringen sehr viele Vorteile und werden sich immer mehr verbreiten. Trifft diese Aussage auch auf SaaS-basierte Microsoft Teams Governance-Lösungen zu? 

Bisher haben ungenügender Datenschutz und unzureichende Datensicherheit für Ihr Unternehmen klar gegen eine automatisierte Governance-Lösung gesprochen. Wahrscheinlich wären Sie spätestens am Betriebsrat gescheitert. 

SaaS-basierte Microsoft Teams Governance-Lösungen haben Zugriff auf unternehmenskritische Informationen und benötigen folgende Berechtigungen: 

  1. Zugriff auf alle Dateien und Dokumente, die in SharePoint/Microsoft Teams angelegt sind 
  2. Zugriff auf Teams Chat und Kanäle 
  3. Zugriff auf Apps 
  4. Zugriff auf Benutzerprofil-Informationen 
  5. Zugriff auf alle E-Mails des Unternehmens 

Während Sie mit MS Teams umfassende Datenverarbeitungsverträge rechtssicher abgeschlossen haben, um den Schritt in die Cloud zu gehen, sitzt die Datenschutzgrundverordnung Ihnen noch immer im Nacken.  

Zudem erfordert Ihre Unternehmens- und IT-Kultur jederzeit den Schutz der Intellectual Property, also die Sicherstellung des geistigen Eigentums der Unternehmensdaten innerhalb Ihres Unternehmens. 

Was ist eine SaaS- (Software as a Service) Lösung? 

Eine SaaS-Lösung (SaaS = Software as a Service), beschreibt, wie Sie ein Software-System konsumieren. Eine SaaS-Lösung wird auf der Umgebung Ihres Produktherstellers gehostet.  

In unserem Fall ist die Umgebung ein Azure Tenant. 

Dadurch haben Sie die Vorteile, dass Sie die Software-Lösung nicht selbst installieren, warten und die benötigten Lizenzen für die Ausführung der Software nicht kaufen müssen.  

Alle Tätigkeiten werden von Ihrem Produkthersteller übernommen.  

Dadurch sparen Sie Kosten und Zeit für die Pflege der Software.  

In der Regel werden die SaaS-basierten Softwarelösungen mit einem Abo-Zahlungsmodell angeboten.  

Sie können die SaaS-basierten Lösungen monatlich oder jährlich mieten.  

Zusätzlich dazu existieren weitere SaaS-Zahlungsmodelle, auf die wir in diesem Artikel nicht eingehen werden. 

Obwohl eine SaaS-Lösung viele Vorteile hat, gibt es einen Punkt, den Sie beachten sollten.  

Da die SaaS-Lösungen auf der Umgebung des Produktherstellers gehostet wird, hat dieser theoretisch Zugriff auf die Informationen, die auf der Umgebung gespeichert werden. 

Viele SaaS-Anbieter versuchen zu garantieren, dass keiner auf die Informationen Zugriff haben wird, aber technisch bleibt es immer möglich.  

Deswegen müssen Sie sich an dieser Stelle auf den Produkthersteller verlassen. 

Was ist eine Self-Hosted-Lösung? 

Eine Self-Hosted-Lösung ist eine Software-Lösung, die direkt auf Ihrer Umgebung installiert und auf Ihrer Umgebung gehostet wird.  

Sie hat den Vorteil, dass der Produkthersteller keinen Zugriff auf Ihre Unternehmensdaten hat. 

Eine Self-Hosted Lösung ist die beste Option, um ungewollte Zugriffe auf Unternehmensdaten zu vermeiden. 

Diese Sicherheitsoption bringt es mit sich, dass Sie selbst in der Folge die Aufgaben der Installation der Lösung, ihrer Pflege und die Installation von Updates übernehmen müssen.

Download Checkliste: Optimale Governance für Microsoft Teams

Schritt für Schritt alle relevanten Aspekte überprüfen und optimale Governance sicherstellen

Checkliste jetzt herunterladen  

Präferieren Sie SaaS-Lösungen? 

Viele Unternehmen präferieren SaaS-Lösungen aufgrund ihrer IT-Strategie. Es kann sein, dass Ihr Unternehmen die gleiche Strategie fährt.  

Grundsätzlich empfehlen wir den Einsatz von SaaS-Lösungen. Ist die Empfehlung auch für die SaaS-basierten Microsoft Teams Lösungen gültig? 

Bei der Auswahl einer SaaS-basierten Governance-Lösung müssen Sie auf einiges achten. 

Für den Anwender macht es zunächst in der Handhabung keinen Unterschied, ob Sie eine SaaS- oder Paas-Lösung einsetzen.  

Bei einer SaaS-Lösung gilt es aber zwingend, alle Anwender explizit für die die Datenschutzbestimmungen zu sensibilisieren. 

Grund dafür ist der technisch mögliche Zugriff auf alle Daten durch den SaaS-Anbieter. Dies muss also rechtssicher in einem Datenverarbeitungsvertrag geregelt werden. 

Eine SaaS-basierte Governance-Lösung wird auf Ihre Unternehmensdaten von außen zugreifen. Für den Zugriff müssen entsprechende Ausnahmen auf Ihrer Umgebung eingestellt werden, worüber sich Ihre IT-Administratoren nicht freuen werden. 

Außerdem benötigen die Governance-Lösungen sehr hohe Berechtigungen, um Workspaces in Microsoft Teams provisionieren zu können.  

Auf Ihre Umgebung wird mit Refresh Tokens zugegriffen. Wenn dieser Refresh Token nicht  professionell genug gespeichert und gestohlen wird, haben Dritte Zugriff auf kritische Unternehmensinformationen. Das kann eine Verletzung der Datenschutzrechte mit sich bringen. 

Schematische Darstellung der SaaS-Architektur

Schematische Darstellung der SaaS-Architektur: Zugriff auf Kundentenant durch 3rd-Party-Lösung

Folgende Rechte müssen für eine SaaS-Lösung freigegeben werden: 

Microsoft Graph Berechtigungen* 

Beschreibung 

Wie kritisch ist es? (Aus Datenschutz- und Sicherheitsperspektive) 

Application.ReadWrite.All 

Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen von Anwendungen und Dienstprinzipalen im Auftrag des angemeldeten Benutzers. 

Nicht kritisch 

Directory.AccessAsUser.All 

Ermöglicht der App den gleichen Zugriff auf Informationen im Verzeichnis wie dem angemeldeten Benutzer. 

Nicht kritisch 

Directory.ReadWrite.All 

Ermöglicht der App, Daten im Verzeichnis Ihrer Organisation ohne angemeldeten Benutzer zu lesen und zu schreiben, z. B. Benutzer und Gruppen. Ermöglicht nicht das Löschen eines Benutzers oder einer Gruppe. 

Kritisch 

Group.ReadWrite.All 

Die App kann Gruppen erstellen, Gruppenmitgliedschaften lesen und aktualisieren und Gruppen löschen. Die App kann außerdem für alle Gruppen Lese- und Schreibvorgänge für den Kalender, Unterhaltungen, Dateien und andere Gruppeninhalte durchführen. Alle diese Vorgänge können von der App ohne angemeldeten Benutzer ausgeführt werden. 

Sehr kritisch 
 
Dadurch hat der Produktanbieter theoretisch Zugriff (lesend und schreibend) auf alle Dokumente und Nachrichten des Unternehmens. Dieser Aspekt kann zu großen Diskussionen mit dem Betriebsrat und den internen Security Teams führen. Außerdem müssen IT-Leiter in der Regel die Situation, dass ein theoretischer Zugriff auf die Daten möglich ist,  gegenüber der Geschäftsführung rechtfertigen. Die Geschäftsführer tragen letztendlich die Verantwortung mit persönlicher Haftung.  

Notes.Read.All 

Ermöglicht der App, OneNote-Notizbücher zu lesen, auf die der angemeldete Benutzer in der Organisation Zugriff hat. 

Sehr kritisch 

Dadurch hat der Produktanbieter theoretisch Zugriff (lesend und schreibend) auf alle Notizen des Unternehmens. 

Organization.Read.All 

Ermöglicht der App, Organisations- und verwandte Ressourcen im Namen des angemeldeten Benutzers zu lesen. Zu den verwandten Ressourcen zählen beispielsweise abonnierte SKUs und Informationen zum Branding des Mandanten. 

Nicht kritisch 

Team.ReadBasic.All 

Abrufen einer Liste aller Teams, ohne dass ein Benutzer angemeldet ist. 

Nicht kritisch 

User.Read.All 

Ermöglicht der App, den vollständigen Satz von Profileigenschaften, Berichten und Vorgesetzten von anderen Benutzern in Ihrer Organisation im Namen des angemeldeten Benutzers zu lesen. 

Kritisch 

Microsoft SharePoint Berechtigungen* 

Beschreibung 

Wie kritisch ist es? 

Sites.FullControl.All 

Ermöglicht der App, vollständige Kontrolle über SharePoint-Websites in allen Websitesammlungen ohne angemeldeten Benutzer zu erlangen. 

Sehr kritisch 

Dadurch hat der Produktanbieter theoretisch Zugriff (lesend und schreibend) auf Informationen des Unternehmens, die in SharePoint gespeichert werden. 

Sites.Manage.All 

Ermöglicht der App, Listen, Dokumente und Listenelemente in allen Websitesammlungen ohne angemeldeten Benutzer zu verwalten und zu erstellen. 

Kritisch 

  

  

 

*Quelle: Microsoft 

 

Download Checkliste: Optimale Governance für Microsoft Teams

Schritt für Schritt alle relevanten Aspekte überprüfen und optimale Governance sicherstellen

Checkliste jetzt herunterladen  

Präferieren Sie Self-Hosted-Lösungen? 

Wenn Sie ein oder mehrere der folgenden Aspekte bejahen, haben Sie erhöhte Anforderungen an die Sicherheit. Eine Self-Hosted-Lösung kommt für Ihre Anforderungen an die Governance-Lösung in Frage.  

  • Ihr Unternehmen unterliegt der DSGVO.
  • Sie wollen auf jeden Fall verhindern, dass Daten Ihres Unternehmens an Drittanbieter weitergegeben werden. 
  • Ihr Business hat verstärkt mit sensiblen personenbezogenen Daten zu tun, wie beispielsweise die Finanz- und Versicherungs-Branche oder Medizin und Pharma. 
  • Sie wollen Drittanbietern keinen Zugriff auf Ihren Tenant einräumen.  

Eine Alternative hierzu kann eine interne Eigenentwicklung und Umsetzung mit Microsoft PowerShell Scripten sein. Diese wird dann ebenfalls wie eine Self-Hosted-Lösung in ihrem Tenant gehosted. 

Bei der Self-Hosted-Variante haben Sie die maximale Datenisolierung, so dass der Produkthersteller keinen Zugriff auf Ihre Daten hat.  

Ihre Self-Hosted-Lösung ist darüber hinaus von außen nicht erreichbar. 

Self-Hosted Variante Beispiel Microsoft 365

Sie ermöglichen die maximale Sicherheit mit einer Self-Hosted-Lösung. 

SaaS-Lösungen sind nicht von Haus aus unsicher. Sie sollten diesen Aspekt in Bezug auf die Entscheidung über Ihre Governance-Lösungen aber sorgfältig bedenken, da die SaaS-basierten Governance-Lösungen hohe Rechte auf Ihrem Tenant benötigen. 

 

Vorteile einer SaaS-basierten Governance-Lösung 

Entsprechend Ihrer Anforderungen und Ihrer IT-Strategie können Sie von den folgenden Vorteilen profitieren. 

  • Der Produkthersteller übernimmt die Installation der Lösung – Bei einer SaaS-Lösung sparen Sie sich den gesamten Installationsprozess. Sobald Sie für die Lösung eine Abo abschließen, haben Sie die Lösung innerhalb von Minuten. Dadurch sparen Sie enorm Zeit, wenn Sie sich für eine SaaS-basierte Lösung entscheiden. 
  • Sie müssen die Lösung nicht selbst pflegen – Nach der Installation einer Governance-Lösung müssen die Wartungsarbeiten auf der Infrastruktur durchgeführt werden. Bei einer SaaS-Lösung brauchen Sie sich keine Gedanken über die Infrastruktur machen, denn die Pflege wird vom Produkthersteller übernommen. 
  • Sie sparen sich die Infrastrukturkosten – Da die Lösung auf der Umgebung des Produktherstellers betrieben wird, müssen Sie die Infrastrukturkosten nicht übernehmen. Diese sind pauschal in Ihrem Abo mit einkalkuliert.  
  • Einfache Updateprozesse – Die Updates werden auf Ihrer Umgebung durch den Produkthersteller eingespielt. Für die Durchführung der Updates brauchen Sie keinen hochkompetenten Mitarbeiter, um den Updateprozess zu begleiten. 

Download Checkliste: Optimale Governance für Microsoft Teams

Schritt für Schritt alle relevanten Aspekte überprüfen und optimale Governance sicherstellen

Checkliste jetzt herunterladen  

Nachteile einer SaaS-basierten Governance-Lösung 

Eine SaaS-basierte Governance-Lösung umfasst attraktive Vorteile und folgt dem Trend in der Softwareentwicklungswelt. Das bedeutet aber nicht, dass sie die perfekte Option gegenüber der Self-Hosted-Variante sein muss. Die folgenden Punkte zeigen die Nachteile einer SaaS-basierten Governance-Lösung auf. 

  • Der Produkthersteller hat theoretisch Zugriff auf Ihre Daten — Der wichtigste Punkt, den Sie bei einer SaaS-basierten Microsoft Teams Governance beachten sollen, ist der Zugriff auf die Unternehmensdaten. Der Produkthersteller speichert Ihre Daten auf seiner Umgebung und kann theoretisch auf die Daten zugreifen. Es ist enorm wichtig, dass Ihr Produkthersteller Zertifizierungen wie ISO 9001 und ISO 27001 besitzt. Fragen Sie nach Qualitätssicherungsmaßnahmen, bevor Sie sie eine SaaS-basierte Governance-Lösung wählen. 
  • Große Sicherheitslücken entstehen, falls der Refresh-Token gestohlen wird — Im Falle von Fehlern können Dritte auf Ihre Umgebung zugreifen und Unternehmensinformationen wie E-Mails, Dokumente, OneNote-Notizen usw. lesen. Das ist das größte Risiko, für das ein IT-Leiter geradestehen und sich gegenüber der Geschäftsführung rechtfertigen muss. Für den Zugriff auf Ihre Umgebung wird ein Refresh-Token benötigt, der auf der Datenbank des Herstellers gespeichert werden muss. Prüfen Sie deshalb wie der Refresh-Token auf der Datenbank des Produktherstellers gespeichert wird und welche Dienste auf den Token zugreifen können. Außerdem ist es wichtig nachweisen zu können, dass der Token von einer zentralen Stelle auf Wunsch von Ihnen gelöscht werden kann. Führen Sie vor dem Kauf einer SaaS-basierten Governance-Software ein Security Review für die Lösung durch und informieren Sie sich wie mit Ihren Daten umgangen wird. 
  • Der Produkthersteller bekommt sehr hohe Berechtigungen von Ihnen — und besitzt hohe Rechte, um von außen auf Ihre Umgebung zuzugreifen.  
  • Keine Kontrolle über den Zeitpunkt der Updates – Sie können den Zeitpunkt weder nach hinten verschieben noch frühzeitig Updates einspielen, wenn dies in Ihrem Interesse ist. Diese Hoheit verbleibt beim Hersteller. 

Vorteile einer Self-Hosted Governance-Lösung 

  • Volle Kontrolle über alle Daten — Niemand außerhalb Ihres Unternehmens erhält bei einer PaaS-Lösung Zugriff auf Ihre internen Daten. Alle Daten befinden sich ausschließlich innerhalb Ihres Tenants. Somit stellen Sie sicher, dass keine unberechtigten Zugriffe erfolgen. Sie gewährleisten die Datensicherheit. 
  • Hohe Berechtigungen bleiben im Tenant — Manche Aufgaben, wie beispielsweise das Anlegen eines Teams-Raumes, erfordern sehr hohe Berechtigungsstufen. Die Self-Hosted-Lösung erfordert hohe Berechtigungen nur innerhalb Ihres Tenants. Für den Betrieb sind keinerlei Berechtigungsfreigaben für den Zugriff von Außen zu vergeben. IT-Mitarbeiter überwachen alles auf Basis von Azure Features. Lediglich für die initiale Bereitstellung und den Installationsprozess räumen Sie dem Anbieter Berechtigungen ein. Sie behalten die volle Kontrolle. 
  • Volle Flexibilität über den Zeitpunkt von Updates — Sie alleine bestimmen über den genauen Zeitpunkt, wann Updates eingespielt werden. Schnelle und kurzfristige Updates können hilfreich sein, wenn Sie Ihren Usern möglichst frühzeitig erweiterte Funktionalitäten zur Verfügung stellen möchten. Das Herauszögern von Aktualisierungen kann dann sinnvoll sein, wenn bestimmte Projekte zuvor abgeschlossen sein sollen. Einen weiteren Grund können laufende Prozesse sein, die auf den Zeitpunkt des Updates Einfluss nehmen können. 
  • Kontrolle über die Azure Dienste — Sie entscheiden, welche Services sie benötigen und auf welche Sie verzichten können. So skalieren Sie auf Ihrem Tenant beliebig, wann und welche Services, die Ihr PaaS-Anbieter zur Verfügung stellt, für Sie verfügbar sind. Stellen Sie zum Beispiel selbst ein, wie lange Sie Ihre Datenbank-Backups aufbewahren möchten.  Sie skalieren, sobald es notwendig wird, für die von Ihnen definierte Dauer. Compliance-Regularien setzen Sie so maßgeschneidert um. 
  • Anpassbar an Unternehmensanforderungen — Eine Self-Hosted-Lösung bietet Ihnen volle Freiheiten, zusätzlich eigene Prozesse abzubilden und frei zu konfigurieren. Erweitern Sie nach Ihren Anforderungen und binden Sie weitere Anwendungskomponenten an. 

Nachteile einer Self-Hosted Governance-Lösung 

Sobald Sie strengere Anforderungen aufrund Ihres Geschäftsmodelles haben, wird die Self-Hosted-Variante für Sie interessant sein.  

Bei dieser Variante gibt es auch Nachteile, die Sie berücksichtigen sollten: 

  • Infrastrukturkosten — Zusätzlich zu den Lizenzkosten übernehmen Sie die Infrastrukturkosten bzw. die Kosten der Microsoft Azure Dienste. Obwohl sie in der Regel nicht hoch sind, müssen Sie sie bei Ihrer Kostenkalkulation mitberücksichtigen. 
  • Aufwand für Pflege intern oder durch Ihren Dienstleister — Da der Produkthersteller keinen Zugriff auf Ihre Umgebung hat, kann die Lösung nicht vom Hersteller gepflegt werden. In diesem Fall müssen Sie die Lösung entweder selbst pflegen oder mit dem Produkthersteller Termine vereinbaren, um die Wartungsarbeiten und Pflege abzuwickeln. 
  • Ready to use — Mit der Entscheidung ist die Lösung nicht sofort verfügbar. Die reine Installation kann innerhalb eines Tages durchgeführt werden. Wann dieser Termin stattfindet und die Implementation durchgeführt wird, kann je nach Auslastung des Anbieters inklusive der Abstimmungen ca. 4 Wochen beanspruchen. 

Download Checkliste: Optimale Governance für Microsoft Teams

Schritt für Schritt alle relevanten Aspekte überprüfen und optimale Governance sicherstellen

Checkliste jetzt herunterladen  
 
valprovia-governance-checklist-de

Fazit

Wenn es für Ihr Unternehmen wichtig ist, zu jedem Zeitpunkt die volle Kontrolle über Ihre Daten zu behalten, hat eine Self-Hosted-Lösung gegenüber einer SaaS-Lösung entscheidende Vorteile. 

Strenge Anforderungen an den Datenschutz sind mit einer Self-Hosted-Lösung umsetzbar, ohne weitere Datenverarbeitungsabkommen verhandeln und abschließen zu müssen. 

Die Datensicherheit wird dadurch gewahrt, dass der Lösungsanbieter keinerlei Zugriff auf Ihren Tenant hat. Sie müssen keine Rechte freigeben. 

Sie machen sich zeitlich unabhängig von Update-Zyklen des Lösungsanbieters und entscheiden bei jeder verfügbaren Aktualisierung selbst, ob Sie Early Adopter sind oder lieber warten. 

Skalierbarkeit und Erbweiterbarkeit der Self-Hosted-Lösung sind weitere Vorteile gegenüber einer SaaS-Governance-Automatisierung.