Insight

How to develop sustainable SaaS solutions while respecting data privacy

April 2023

Mit dem Siegeszug der Cloud und dem Aufkommen neuer Modelle wie Software-as-a-Service (SaaS) hat sich die Bereitstellung von Software grundlegend verändert. Cloud Computing und SaaS ermöglichen nicht nur den Zugriff auf Software über das Internet, sondern reduzieren auch Kosten und Energieverbrauch: Ressourcen können von mehreren Kunden gemeinsam genutzt werden. Wichtig ist dabei, dass der Datenschutz von Kundendaten weiterhin gewährleistet ist. Das Sicherstellen des Datenschutzes ist ein Schlüsselfaktor für den Erfolg einer SaaS-Lösung. Helbling hat erfolgreich bewiesen, dass durch eine datenschutzfreundliche Architektur sowohl das Einhalten von Normen und Vorschriften als auch die wirtschaftliche Skalierbarkeit sichergestellt werden und damit das Vertrauen der Endkunden gewonnen wird.

Nachhaltigkeit wird zunehmend zur Priorität und die Bemühung, wirtschaftliches Wachstum bei gleichzeitiger Verringerung der Umweltbelastung zu erreichen, muss Software miteinschliessen. Die Nutzung von Cloud-nativer Technologie und moderner Softwarearchitektur kann die Effizienz für global skalierte Software-as-a-Service-Lösungen auf die nächste Stufe heben. Allerdings stellt die weltweite Einhaltung der länderspezifischen Datenschutzgesetze und -vorschriften eine grosse Herausforderung dar und muss von Anfang berücksichtigt werden. Durch die Einführung wirksamer Compliance-Programme können Unternehmen nicht nur das Einhalten der Gesetze gewährleisten, sondern sie stellen dadurch auch den Menschen in den Mittelpunkt und tragen so zur sozialen Nachhaltigkeit bei. Helbling hat in der Vergangenheit Projekte in verschiedenen Branchen durchgeführt, in denen alle drei Säulen der Nachhaltigkeit berücksichtigt wurden.

 

Nachhaltigkeit in der Cloud wird zur Priorität.

Die Cloud bietet die Möglichkeit, dass Kunden Ressourcen aus einem gemeinsamen Pool beziehen. Hierdurch können nicht nur Kosten, sondern auch der Energieverbrauch und CO2-Fussabdruck einer Software-Anwendung reduziert werden. Die Effizienz wird dabei in mehreren Schritten verbessert.

Zunächst sind Hyperscaler bemüht, die Energieeffizienz ihrer Rechenzentren kontinuierlich zu verbessern [1]. Um den Fortschritt auf dem Weg zu Netto-Null transparent zu machen, wurden in der Vergangenheit entsprechende Kennzahlen etabliert. Microsoft als Beispiel für einen Hyperscaler hat beispielsweise die PUE- und WUE-Metriken (Power/Water Usage Effectiveness) eingeführt, um den für den Betrieb ihrer Rechenzentren notwendigen Energie- und Wasserverbrauch zu messen [2].

Im nächsten Schritt werden die effizient betriebenen, physischen Hardware-Ressourcen wie Rechenleistung, Netzwerk und Speicher durch Virtualisierung für mehrere Anwendungen nutzbar gemacht.

Im letzten Schritt geht es um das Bereitstellen von Anwendungen für Kunden. Im Rahmen der traditionellen Bereitstellung erhielt jeder Kunde eine dedizierte Instanz, wie es bei Desktop-Anwendungen üblich war. In der Cloud ist das schlicht nicht mehr wirtschaftlich. Dieser letzte Schritt ist neu für Unternehmen, die zuvor keine Softwarelösungen in der Cloud betrieben haben.

 

Software aus der Cloud muss zuverlässig und ökonomisch sein

In einem kürzlich durchgeführten Projekt hat Helbling entscheidend bei der SaaS-Adoption eines global führenden Herstellers von Hörgeräten mitgewirkt. Die vom Hersteller betriebene Software-Lösung wird weltweit von Hörgeräteakustiker verwendet, welche für ihre Kunden ein passendes Gerät heraussuchen und dieses mit Unterstützung der Software in mehreren Schritten individuell auf den Kunden anpassen. In der Vergangenheit wurde dafür eine Desktopapplikation verwendet. Diese ist nun durch eine SaaS-Lösung ersetzt worden, welche in der Cloud betrieben wird und bequem via Webbrowser verwendet werden kann.

Während einige Hörgeräteakustiker bei grossen Ketten tätig sind, gibt es viele Gesundheitsfachkräfte, die für kleine Organisationen arbeiten und nur gelegentlich die Software-Lösung nutzen, aber dennoch dieselbe Servicequalität erwarten. Dies ist ein perfektes Beispiel dafür, wann Mandantenfähigkeit erforderlich ist, um wirtschaftlich zu skalieren.

 

Mandantenfähigkeit bringt neue Herausforderungen gerade für den Datenschutz

Um eine SaaS-Lösung nachhaltig zu betreiben, sollen Kunden nicht nur die dafür eingesetzte Hardware gemeinsam nutzen, sondern auch die Software, welche auf der virtualisierten Hardware läuft. Kann eine einzelne Softwareinstanz von mehreren unterschiedlichen Nutzergruppen verwendet werden, spricht man von Mandantenfähigkeit.

Dabei betreibt und wartet der Anbieter der SaaS-Lösung die Software und teilweise auch die Infrastruktur. Für die Wirtschaftlichkeit ist es entscheidend, den Wartungsaufwand zu reduzieren. Ebenso wichtig ist es, eine passende Software-Architektur zu etablieren, damit die erwartete Qualität gewährleistet bleibt.

Abbildung 1: Von Mandantenfähigkeit wird bei einer Software-Architektur gesprochen, bei der eine einzelne Softwareinstanz von mehreren unterschiedlichen Nutzergruppen verwendet werden kann. Die gemeinsame Nutzung von Ressourcen ermöglicht es Kunden, wirtschaftlich zu skalieren, birgt dabei aber auch neue Herausforderungen etwa in Bezug auf den «noisy neighbor effect» oder auf Datenlecks bzw. Verletzungen des Datenschutzes. Abbildung: Helbling 

Der Anspruch an die Architektur ist es, dass Mandanten sich Ressourcen teilen, dabei aber nichts voneinander mitkriegen und ihre Daten jederzeit sicher und isoliert bleiben. Die erste Herausforderung liegt im sogenannten „noisy neighbor effect“: Ein Effekt, der sich darin zeigt, dass die verfügbaren Leistungen bei einem Mandanten abfallen, weil Aktivitäten eines anderen Mandanten ungebremst zu viel der gemeinsam genutzten Ressourcen beanspruchen. Die zweite Herausforderung liegt darin, jederzeit den Datenschutz sicherzustellen. Letzteres ist insbesondere für Organisationen im Gesundheitswesen wichtig, da sie aufgrund der grossen Menge an Patientendaten, die sie verarbeiten, zunehmend ins Visier von Cyberkriminellen geraten.

 

Datenresidenz und Datensouveränität als wichtige Aspekte

Nach Bekanntwerden mehrerer Datenschutzverletzungen in der Vergangenheit wuchs die Besorgnis, dass personenbezogene Daten ohne die Zustimmung der Nutzer verkauft oder an Dritte weitergegeben werden. Die weltweite Besorgnis hat zu einer Reihe neuer Gesetze, Verordnungen, Normen und Richtlinien geführt, mit Hilfe derer die Daten und die Privatsphäre der Nutzer besser geschützt werden sollen (siehe Fact-Box). Nach Angaben der UNCTAD [4] haben 137 von 194 Ländern entsprechende Gesetze erlassen. Aufgrund der Vielzahl geltender lokaler Datenvorschriften, stellt die weltweite Konformität eine grosse Herausforderung dar.

Mit der zunehmenden Anzahl von Daten, die durch Unternehmen verarbeitet werden, wächst auch die Gefahrenlandschaft und mit ihr die Vorschriften, die eingehalten werden müssen. International operierende Unternehmen müssen sicherstellen, dass der Datenschutz beim grenzüberschreitenden Datenaustausch nicht verletzt wird. Die Vorschriften hängen nicht nur davon ab, wo die Daten gesammelt, sondern auch davon, wo sie physisch gespeichert werden.

Hierzu ist es wichtig, die folgenden zwei Begriffe zu verstehen: Datenresidenz (Data Residency) bezieht sich auf den physischen oder geografischen Standort, an dem die Daten gespeichert sind, während Datensouveränität (Data Sovereignty) nicht nur den Ort umfasst, an dem die Daten gespeichert werden, sondern auch die lokalen Gesetze und Vorschriften, die für das Speichern und Verarbeiten der Daten an ihrem physischen oder geografischen Ort gelten (siehe Fact-Box).

 

Wie Helbling die Herausforderungen meistert

Ein Datenleck tritt auf, wenn ein nicht autorisierter Akteur Zugang zu vertraulichen Informationen erhält. Der Einsatz von Verschlüsselung ist ein hervorragendes Werkzeug, um gespeicherte personenbezogene Daten abzusichern und auf ihrem Transportweg zu schützen. Allerdings löst Verschlüsselung nicht alle Herausforderungen in einer mandantenfähigen SaaS-Architektur. Es sei hier nochmals erwähnt, dass eine einzelne Softwareinstanz von mehreren unterschiedlichen Nutzergruppen verwendet wird. Würde der Softwareinstanz in der Folge der volle Zugriff auf alle Daten der unterschiedlichen Nutzergruppen gewährt, verletzt dies nicht nur das Least-Privilege-Prinzip (PoLP) sondern widerspricht auch der propagierten Zero-Trust-Denkweise [3]. Wird der Datenzugriff auf Anwendungsebene gewährt, hätte ein einfacher Fehler im Quellcode womöglich weitreichende Folgen bis hin zu Datenlecks. Im Beispiel der SaaS-Lösung für Hörgeräteakustiker wurde stattdessen der Datenschutz über die Infrastrukturebene sichergestellt: Der eingeführte Gatekeeper befreit die Anwendungsdienste davon, wissen zu müssen, wo sensitive Daten in Übereinstimmung mit Datenschutzbestimmungen gespeichert und wie diese übertragen werden dürfen. Werden Daten von der Softwareinstanz benötigt, lokalisiert der Gatekeeper die Daten in der zugrunde liegenden Datenbanktopologie und stellt sicher, dass mit einem Zugriff keine Datenschutzgesetzte verletzt werden.

Abbildung 2: Automatisierte Genehmigung von Datenzugriff bei Einhaltung des Datenschutzes. Abbildung: Helbling 

Wie in Abbildung 2 dargestellt, beginnt eine Anfrage für Patientendaten damit, dass sich eine Fachkraft im Gesundheitswesen in die Anwendung einloggt (1). Bei der Authentifizierung wird die Identität des Benutzers geprüft (2) und im Erfolgsfall Zugriff gewährt (3). Das ausgestellte Anmelde-Token liefert den Sicherheitskontext (Mandant) für den angemeldeten Benutzer. Ein gültiges, kryptografisch signiertes Token wird benötigt, um den ersten Schutzwall (Multitenancy Boundary) passieren zu können (4). Mit dem Anmelde-Token allein kann jedoch kein Datenzugriff erfolgen. Stattdessen muss die Anwendung das Anmelde-Token eintauschen (5) gegen ein kurzlebiges Datenzugriff-Token (6), welches lediglich den Zugriff auf Daten des im Sicherheitskontext definierten Mandanten erlaubt. Erst damit kann der zweite Schutzwall (Data Privacy Boundary) durchschritten werden. Der Datenzugriff (7) erfolgt damit nach dem Least-Privilege-Prinzip oder wird vom Gatekeeper ganz verweigert, falls die Übertragung von Daten aufgrund von Vorschriften nicht erlaubt ist.

 

Zusammenfassung: Nachhaltige SaaS-Lösungen unter Berücksichtigung des Datenschutzes sind realisierbar, wenn Datenschutzaspekte von Anfang an berücksichtigt werden

Bei der Entwicklung von globalen Software-as-a-Service-Lösungen, die sowohl Nachhaltigkeit als auch den Schutz personenbezogener Gesundheitsdaten vereinen, ist eine datenschutzfreundliche Architektur entscheidend. Helbling ist ein erfahrener Partner, der in der Vergangenheit erfolgreich globale SaaS-Lösungen entwickelt hat. Mit der frühzeitigen Berücksichtigung regulatorischer Anforderungen in der Entwicklung und im Design kann eine Lösung wirtschaftlich und nachhaltig skalieren.

 

Autoren: Frederic de Simoni, Laura Santos Carreras

Hauptbild: AdobeStock

Factbox

Datenschutz bei Medizinprodukten (Normen und Vorschriften)

Während alle Arten personenbezogener Daten Vorschriften unterliegen, stellen medizinische Daten eine besondere Herausforderung dar. Insbesondere ist dies bei Software-as-a-Medical-Device (SaMD) oder vernetzten medizinischen IoT-Geräten relevant. Unter Risikogesichtspunkten können diese Daten die Therapie oder Diagnose einer Person beeinflussen, was zu hohen Risiken und damit zu den höchsten durchschnittlichen Kosten für Datenschutzverletzungen aller Branchen führt [5].

In der Europäischen Union gilt die Datenschutz-Grundverordnung (GDPR) für den Schutz aller personenbezogenen Daten, einschliesslich gesundheitsbezogener Daten. Diese Verordnung gilt für alle Organisationen, die private Daten von EU-Bürgern sammeln.

In den USA gibt es mehrere Vorschriften, die je nach Bundesstaat und Art der erhobenen Daten gelten. So hat beispielsweise der California Consumer Privacy Act (CCPA) die Rechte der in Kalifornien ansässigen Personen gestärkt und die Vorschriften für die Verwendung personenbezogener Daten durch Unternehmen verschärft. Dieses Gesetz gilt auch für Daten, die sich auf einen Haushalt und nicht auf eine Einzelperson beziehen. Ein weiteres Bundesgesetz, der Health Insurance Portability and Accountability Act von 1996 (HIPAA), forderte die Schaffung nationaler Standards, um sensible Gesundheitsdaten von Patienten vor der Weitergabe ohne deren Zustimmung oder Wissen zu schützen.

Datenresidenz und Datensouveränität

In der Europäischen Union steht es allen Mitgliedstaaten frei, Daten zu übermitteln, da sie im Rahmen der GDPR den gleichen Schutz für personenbezogene Daten geniessen. Die Genehmigung zur Datenübermittlung in Länder ausserhalb der EU ist jedoch nur möglich, wenn bestimmte Bedingungen erfüllt sind. So muss ein Land, in welches Daten übermittelt werden, über ein angemessenes Schutzniveau verfügt. Unternehmen, die Daten übermitteln, müssen Schutzmassnahmen ergreifen und unter Umständen eine Lizenz oder Genehmigung bei einer Aufsichtsbehörde in der EU beantragen. So haben sich beispielsweise viele internationale Unternehmen in den USA für das Privacy Shield registriert, das ihnen die Übermittlung von Daten aus der EU ermöglicht.

Auch andere Länder haben ihre Anforderungen an die Datenresidenz in ähnlicher Weise festgelegt. China beispielsweise verlangt, dass sensible personenbezogene Daten und „wichtige“ Daten von in China ansässigen Personen in China gespeichert werden müssen. Nur nicht sensible Daten können ins Ausland transferiert werden, wenn sie die Sicherheitsbewertung der Cyberspace Administration of China (CAC) bestehen.

Contact

Frederic de Simoni

Schachenallee 29
5000 Aarau

Laura Santos Carreras

Stationsstrasse 12
3097 Liebefeld-Bern

Other Insights

Get in touch with us

Contact now