Letzte Woche, Cloud-Computing-Unternehmen Schatten bestätigte einen Datenschutzverstoß im Zusammenhang mit personenbezogenen Daten von Kunden. Der Hacker behauptet, Zugriff auf die Daten von mehr als 530.000 Kunden zu haben. Laut einer E-Mail von Eric Sèle, CEO von Shadow, gelang es dem Hacker, diese Daten von der API eines Software-as-a-Service (SaaS)-Anbieters herunterzuladen. Dies ist nur ein aktuelles Beispiel in einer langen Liste von Datenschutzverletzungen, von denen Unternehmen jeder Größe betroffen waren.
Und wenn Sie ein Technologie-CEO sind, möchten Sie wahrscheinlich nicht in dieser Position sein. In der aktuellen Regulierungslandschaft müssen Sie häufig Datenschutzbeauftragte benachrichtigen und regulatorische Verpflichtungen erfüllen. Noch wichtiger ist, dass Sie das Vertrauen Ihrer Kunden verlieren, wenn Sie sie über den Verstoß informieren.
Das ist der Grund Zygon erregte meine Aufmerksamkeit. Dieses neue französische Startup überprüft alle von Ihrem Team verwendeten SaaS-Anwendungen – und konzentriert sich nicht nur auf offizielle Dienste, sondern kann Schatten-SaaS-Dienste identifizieren, die einige Teams stillschweigend genutzt haben, ohne es der IT-Abteilung mitzuteilen.
Zuerst dachte ich, Zygon könnte als kostensparender Service besonders nützlich sein. Da viele VC-Firmen immer noch Deals weitergeben, die vor ein paar Jahren noch sinnvoll gewesen wären, überprüfen einige Startups aktiv ihre SaaS-Verträge, um zu sehen, ob sie ein paar Abonnements kündigen und ihre Laufzeit verlängern können.
Aber das Startup möchte über diese anfängliche Nutzung hinausgehen und ein Sicherheits-Startup für Ihre SaaS-Dienste aufbauen. Zygon hat kürzlich eine 3-Millionen-Dollar-Seed-Runde mit abgeschlossen Axeleo Capital die Runde anführen und Kima Ventures und mehrere Business Angels nahmen ebenfalls teil.
Sichtbarkeit der Schatten-IT
Nach dem ersten Inventarisierungsprozess erhalten Zygon-Kunden ein Dashboard mit allen SaaS-Anwendungen und der Anzahl der Benutzer pro Anwendung.
„Wir verwenden die Metadaten von Mitarbeiter-E-Mails, gehen den gesamten E-Mail-Verlauf durch und erkennen diejenigen, die mit einer SaaS-Nutzung in Zusammenhang stehen“, sagte mir Kevin Smouts, Mitbegründer und Chief Product Officer von Zygon.
Für SaaS-Anwendungen, die mit der offiziellen Identitätsmanagementlösung wie Okta verbunden sind, wird Zygon nicht besonders nützlich sein. Einige SaaS-Startups waren in den letzten Jahren jedoch besonders erfolgreich, da die Erstellung eines Kontos und der Start nur wenige Minuten dauern.
Sie machen sich dies zunutze, indem sie die Bottom-up-Akzeptanz mit Freemium-Plänen, Self-Service-Nutzung und Viralitätsfunktionen fördern. Dropbox, Zoom oder Notion sind beliebte Beispiele für diesen Trend.
Und die Ausbreitung von SaaS stellt Unternehmen vor drei verschiedene Probleme: Sicherheit, Recht und Kosten.
Anstatt eine Integration mit jedem einzelnen SaaS-Produkt auf der Welt aufzubauen, verfolgt Zygon denselben Ansatz und dezentralisiert die Sicherheit im gesamten Unternehmen. Zygon empfiehlt Ihnen, SaaS-Administratoren zu benennen. Von nun an sind sie für die Nutzung eines bestimmten Tools in der Organisation verantwortlich.
Sie erhalten Empfehlungen zu Sicherheitskonfigurationsaufgaben, Multi-Faktor-Authentifizierung und mehr. Bei beliebten Anwendungen können IT-Abteilungen die Rolle der Administratoren übernehmen, die Einführung der SSO-Authentifizierung priorisieren, um die Kontoorchestrierung zu steuern und vieles mehr.
Allgemeiner gesagt bietet Zygon eine gewisse Kontrolle über die SaaS-Nutzung. Wenn jemand mehrere Konten für denselben Dienst hat, kann Zygon dies melden. Wenn sich mehrere Mitarbeiter ein Konto teilen, kann Zygon dies auch erkennen. Und wenn ein Unternehmen SOC 2- und ISO-Frameworks einhalten möchte, kann Zygon Risiken durch Minimierung der Angriffsfläche mindern.
Zygon kann besonders nützlich sein, wenn jemand kündigt oder wenn es eine Entlassungswelle gibt. Es können Leistungen aufgelistet werden, die auch nach dem Ausscheiden eines Mitarbeiters aus dem Unternehmen noch aktiv sind.
„In der aktuellen Situation hat die IT nur die Kontrolle über eine sehr kleine Anzahl von SaaS-Anwendungen. Und die meisten Konten bleiben auch nach dem Ausscheiden von Mitarbeitern noch sehr lange aktiv – im aktuellen Kontext von Entlassungen handelt es sich hierbei um klaffende Sicherheitslücken. Wir gehen noch einen Schritt weiter, indem wir erkennen, welche SaaS-Anwendungen über APIs oder Zugriffsschlüssel verfügen, die im Falle des Ausscheidens eines Mitarbeiters ebenfalls „rotiert“ werden müssen“, sagte Smouts.