Hycu deckt in seiner Studie »The State of SaaS Resilience Report 2025« gravierende Schwachstellen und Risiken in Software-as-a-Service-Umgebungen auf. Ein zentrales Ergebnis der Studie: 43 Prozent der Befragten sagen, dass niemand im Unternehmen klar für SaaS-Datenresilienz verantwortlich ist.

Der »HYCU State of SaaS Resilience 2025«-Report des Data Protection as a Service-Anbieters HYCU zeigt: Mit dem Wachstum der SaaS-Landschaft steigt auch das Risiko. 65 Prozent der Unternehmen gaben an, im vergangenen Jahr mindestens eine Sicherheitsverletzung im Zusammenhang mit Software-as-a-Service (SaaS) erlebt zu haben – branchen- und regionsübergreifend.

Software-as-a-Service ist heute fester Bestandteil des digitalen Arbeitens. Fast jedes Unternehmen hat in den vergangenen Jahren zusätzliche Anwendungen eingeführt. Im Durchschnitt kommen Unternehmen inzwischen auf 139 SaaS-Anwendungen – bei jenen, die bereits Sicherheitsverletzungen erlebten, steigt die Zahl auf 159. Dies ergab eine Umfrage von Hycu.

Anzeige

Hohe Kosten durch Ausfälle und Wiederherstellung

Die finanziellen Folgen sind erheblich: Die durchschnittlichen täglichen Kosten für SaaS-Ausfallzeiten liegen bei 405.770 US-Dollar, während die Wiederherstellung im Schnitt fünf Arbeitstage dauert. Damit summiert sich ein typischer Vorfall auf rund 2,3 Millionen US-Dollar – exklusive Reputations- oder Vertrauensverluste.

Fehlende Verantwortlichkeiten und mangelnde Transparenz

Ein zentrales Ergebnis der Studie: 43 Prozent der Befragten sagen, dass niemand im Unternehmen klar für SaaS-Datenresilienz verantwortlich ist.
Zudem:

• 44 Prozent haben Schwierigkeiten, auf Audits oder regulatorische Anfragen zu reagieren.
• 51 Prozent sehen in mangelhaften Sicherungsstrategien ein erhöhtes Cyberrisiko.

In den meisten Organisationen kontrolliert die IT-Abteilung nur einen Teil des SaaS-Stacks: Im Durchschnitt 56 Prozent der Anwendungen. Nur fünf Prozent der Unternehmen geben an, vollständige Kontrolle über ihre SaaS-Umgebung zu haben.

Die Hycu-Studie befasst sich eingehender mit den Daten, den Branchenaufschlüsselungen und den spezifischen Anwendungen, über die sich Führungskräfte am meisten Sorgen machen. (Grafik: Hycu)

Trügerische Sicherheit: Schutzlücken im SaaS-Modell

Viele Unternehmen verlassen sich weiterhin auf ihre Anbieter – 66 Prozent glauben, dass der Schutz der Daten Aufgabe des SaaS-Providers sei. Doch die Realität zeigt das Gegenteil:

• 87 Prozent haben mindestens einen SaaS-Typ ohne ausreichenden Schutz.
• Nur 30 Prozent setzen auf richtlinienbasierte Backups.
• 26 Prozent verfügen über externe Aufbewahrung.
• Lediglich 25 Prozent testen regelmäßig die Wiederherstellung.

Die Folge: Selbst Routinefehler führen häufig zu langen Ausfällen und dauerhaften Datenverlusten.

Hycu schlussfolgert: Der Boom von SaaS-Anwendungen geht mit einer gefährlichen Schieflage einher. Nutzung und Resilienz entwickeln sich nicht im Gleichschritt. Während Abteilungen zunehmend eigenständig SaaS-Dienste einführen, bleiben Sicherheits- und Backup-Konzepte fragmentiert.

Zur Studie:Der »HYCU State of SaaS Resilience Report 2025« basiert auf einer weltweiten Umfrage unter 500 IT- und Geschäftsentscheidern, die im Jahr 2025 durchgeführt wurde. Zu den Befragten zählen Führungskräfte aus Vorständen und C-Level sowie leitende und mittlere Manager aus Nordamerika, Europa und dem asiatisch-pazifischen Raum.

Rechtliche Fallstricke: Cloud-Act, Datenzugriff und EU-Only-Strategien

Worauf die Studie nicht eingeht, aber für europäische Firmen wichtig ist: Der US-Cloud-Act kann Anbieter mit US-Jurisdiktionsbezug zur Herausgabe von Daten verpflichten – auch bei Speicherung in EU-Rechenzentren. Betroffen sind nicht nur Primärdaten, sondern regelmäßig auch Sicherungen, Betriebs- und Sicherheitsprotokolle, Telemetriedaten sowie Support-Exporte. Zusätzliche Risiken entstehen durch intransparente Unterauftragsverarbeiter und Replikate in Drittstaaten.

Empfehlenswert sind belastbare »EU-Only«-Betriebsmodelle mit nachweisbarer Datenlokation, strikt begrenzten Support-Zugriffen und Kundenschlüsseln unter ausschließlicher Kundendomäne. Bevorzugt werden client-seitige Verschlüsselung und »Hold Your Own Key«, Just-in-Time-Zugriffe mit Protokollierung sowie nachweislich EU-gebundene Workloads einschließlich Backups und Notfallwiederherstellung.

Vertraglich sollten eine aktuelle, gepflegte Subprozessor-Liste, Standardvertragsklauseln einschließlich Transfer-Impact-Assessment, klare Exit- und Löschregelungen sowie überprüfbare technische und organisatorische Maßnahmen (TOMs) in der Auftragsverarbeitung festgelegt sein. In der Praxis unterstützt ein regelmäßiger Restore-Test aus einer EU-Domäne die Nachweisführung, dass im Notfall weder Daten noch Schlüssel den EU-Rechtsraum verlassen.