305 SaaS-Anwendungen. So viele Cloud-Dienste nutzt ein durchschnittliches Unternehmen laut dem aktuellen SaaS Management Index von Zylo. Nicht Grosskonzerne mit Tausenden Mitarbeitenden — der Durchschnitt. Bei kleineren Firmen sind es weniger, aber selbst KMU mit 50 bis 200 Mitarbeitenden kommen schnell auf 80 bis 120 verschiedene Cloud-Tools.
Die ehrliche Antwort bei den meisten Unternehmen: eine Handvoll. Vielleicht Microsoft 365. Vielleicht das ERP. Der Rest läuft unter dem Radar.
Niemand plant SaaS-Wildwuchs. Er passiert. Ein Projektleiter testet ein neues Kanban-Tool. Das Marketing-Team nutzt eine Design-Plattform. Der Vertrieb arbeitet mit einer separaten CRM-Lösung. Die Buchhaltung hat ihre eigene Cloud-Software. HR führt ein Bewerbermanagement ein. Und die Entwickler haben sowieso ihre eigenen Tools.
Jede einzelne Entscheidung ist nachvollziehbar. Jedes Tool löst ein konkretes Problem. Aber in Summe entsteht eine Landschaft aus Dutzenden Anwendungen, die Geschäftsdaten speichern, ohne dass die IT-Abteilung — sofern eine existiert — davon weiss.
Laut einer Analyse von Grip Security bleiben 90 Prozent der SaaS-Anwendungen und 91 Prozent der KI-Tools in Unternehmen ungemanagt. Die IT kennt sie nicht, kontrolliert sie nicht, sichert sie nicht.
Wenn ein Mitarbeiter ein halbes Jahr lang Projektdaten in einem Cloud-Tool pflegt und dann sein Konto versehentlich gelöscht wird, sind diese Daten weg. Kein Papierkorb, kein Backup, keine Wiederherstellung. Die meisten SaaS-Anbieter halten gelöschte Daten für 30 Tage vor, manche kürzer, einige gar nicht.
Die Zahlen bestätigen, was in der Praxis längst spürbar ist: 70 Prozent der Unternehmen, die SaaS-Anwendungen einsetzen, haben daraus bereits Daten verloren. So die Ergebnisse des State of SaaS Resilience Report 2025 von HYCU. Gleichzeitig geben 74 Prozent an, keine Offsite-Sicherung für ihre SaaS-Daten zu haben.
Das Problem ist dabei selten ein gezielter Angriff. In einer Auswertung von The Hacker News nannten Unternehmen als häufigste Ursachen für SaaS-Datenverlust: absichtliche Löschungen durch Mitarbeitende (50 Prozent), Ransomware (37 Prozent), versehentliche Löschungen (34 Prozent) und Fehlkonfigurationen (30 Prozent). Die meisten Verluste passieren also durch menschliche Fehler oder Nachlässigkeit — nicht durch ausgeklügelte Cyberangriffe.
Selbst wer weiss, dass Daten fehlen, hat es schwer, sie zurückzubekommen. Nur 14 Prozent der IT-Verantwortlichen gaben in einer aktuellen Erhebung an, ihre kritischen SaaS-Daten innerhalb von Minuten wiederherstellen zu können. Ein Viertel rechnete mit mehreren Tagen.
Bei Ausfallkosten, die laut ITIC in grösseren Organisationen über 300'000 US-Dollar pro Stunde erreichen können, sind solche Verzögerungen kein Komfortproblem — sie gefährden die Geschäftsfähigkeit. Und auch wenn Schweizer KMU nicht in diesen Grössenordnungen operieren: Ein Tag ohne Zugriff auf das CRM, die Projektmanagement-Plattform oder die Buchhaltungssoftware kostet reales Geld und Kundenvertrauen.
Ein wesentlicher Grund für die mangelhafte Absicherung ist ein Missverständnis, das sich hartnäckig hält: die Annahme, der SaaS-Anbieter sichere die Daten schon.
Die Realität sieht anders aus. Praktisch alle grossen SaaS-Anbieter arbeiten nach dem Prinzip der geteilten Verantwortung. Der Anbieter sorgt dafür, dass die Plattform läuft. Für die Daten auf dieser Plattform ist der Kunde verantwortlich. Microsoft beschreibt das in seiner Dokumentation explizit: Die Verfügbarkeit der Infrastruktur ist Microsofts Aufgabe, die Sicherung der Inhalte liegt beim Nutzer.
Dasselbe Prinzip gilt bei Salesforce, Google Workspace, Atlassian und den meisten anderen SaaS-Anbietern. Wer seine Daten nicht separat sichert, hat im Ernstfall keine Rückfallebene.
Die etablierte 3-2-1-Regel — drei Kopien, zwei Medien, eine Kopie extern — wurde für eine Welt entwickelt, in der Daten auf eigenen Servern lagen. In einer SaaS-Landschaft funktioniert dieses Modell nur noch bedingt.
Der Grund: KMU haben oft keinen vollständigen Überblick, welche Daten überhaupt wo gespeichert werden. Wenn die IT-Abteilung nicht weiss, dass das Marketing seine Kundenlisten in einem SaaS-Tool pflegt, kann sie diese Daten auch nicht sichern. Die Schatten-IT, also der Einsatz von Anwendungen ohne Wissen der IT, schafft blinde Flecken, die mit klassischen Backup-Konzepten nicht abgedeckt werden.
Eine Erhebung der Cloud Security Alliance zeigt, dass 55 Prozent der Mitarbeitenden SaaS-Anwendungen ohne Einbezug der IT-Sicherheitsabteilung einführen. 63 Prozent der Organisationen berichten von unkontrolliertem Datenabfluss an externe Anwendungen. Das sind keine Randphänomene — das ist der Normalzustand.
Die Situation klingt unübersichtlich, lässt sich aber mit einigen gezielten Massnahmen deutlich verbessern.
Inventar erstellen. Der erste Schritt ist ein vollständiges Verzeichnis aller genutzten SaaS-Anwendungen. Nicht nur die offiziell lizenzierten Tools, sondern auch jene, die einzelne Mitarbeitende oder Abteilungen eigenständig eingeführt haben. In vielen Fällen genügt eine strukturierte Umfrage in Kombination mit einer Analyse der Kreditkartenabrechnungen und Abonnements.
Kritische Daten identifizieren. Nicht jede SaaS-Anwendung enthält geschäftskritische Daten. Eine Zeiterfassung mit austauschbaren Einträgen hat ein anderes Risikoprofil als das CRM mit der gesamten Kundenhistorie. Die Priorisierung bestimmt, welche Anwendungen zuerst gesichert werden müssen.
SaaS-Backup einrichten. Für die zentralen Anwendungen — insbesondere Microsoft 365, Google Workspace, CRM- und ERP-Systeme — braucht es eine dedizierte Backup-Lösung. Diese sichert die Daten unabhängig vom Anbieter und speichert sie separat, idealerweise in einem Schweizer Rechenzentrum mit klarer Datenhoheit.
Verantwortlichkeiten definieren. SaaS-Backup scheitert in der Praxis oft nicht an der Technik, sondern daran, dass niemand zuständig ist. Wer prüft regelmässig, ob neue Tools aufgetaucht sind? Wer entscheidet, welche Anwendungen gesichert werden? Diese Zuständigkeiten müssen klar geregelt sein.
Regelmässig testen. Wie bei jedem Backup gilt: Nur ein getesteter Restore ist ein funktionierender Restore. Wer seine SaaS-Sicherungen nie überprüft, weiss im Ernstfall nicht, ob die Daten tatsächlich wiederhergestellt werden können.
Die Nutzung von Cloud-Diensten nimmt weiter zu. IDC prognostiziert, dass sich die Ausgaben für Public Cloud zwischen 2024 und 2028 verdoppeln werden. Aktuell liegen rund 54 Prozent der Workloads in der Cloud — bis Ende 2026 sollen es 61 Prozent sein. Gleichzeitig zeigt der Trend bei der Zuversicht der IT-Verantwortlichen in die entgegengesetzte Richtung: Nur noch 40 Prozent fühlen sich sicher, ihre kritischen Daten bei einem Vorfall schützen zu können. 2020 waren es noch 50 Prozent.
Der Wildwuchs wächst schneller als die Absicherung. Und mit jedem neuen KI-Tool, das ein Mitarbeiter ausprobiert, und jeder neuen Plattform, die ein Team einführt, vergrössert sich die Lücke.
Für Schweizer KMU kommt ein regulatorischer Aspekt hinzu. Das revidierte Datenschutzgesetz (revDSG) verlangt, dass Unternehmen wissen, wo personenbezogene Daten gespeichert werden, und dass sie den Schutz dieser Daten sicherstellen können. Wer nicht einmal weiss, welche SaaS-Tools im Einsatz sind, kann diese Anforderung nicht erfüllen.
SaaS-Wildwuchs ist kein Zeichen von IT-Versagen. Er ist eine Begleiterscheinung der Digitalisierung. Teams wählen Tools, die ihnen bei der Arbeit helfen, und das ist grundsätzlich positiv. Problematisch wird es erst, wenn niemand den Überblick behält und die Datensicherung nicht Schritt hält.
Die gute Nachricht: Mit einem klaren Inventar, definierten Zuständigkeiten und einer professionellen SaaS-Backup-Lösung lässt sich die Situation in den Griff bekommen. Der Aufwand dafür ist überschaubar — die Konsequenzen eines ungesicherten Datenverlusts hingegen nicht.
Backup ONE sichert Microsoft 365, Google Workspace und weitere Cloud-Dienste mit täglichen, automatisierten Backups in Schweizer Rechenzentren. Die Daten bleiben in der Schweiz, sind verschlüsselt und unabhängig vom SaaS-Anbieter wiederherstellbar. Für KMU, die ihren SaaS-Wildwuchs absichern wollen, ist das ein konkreter erster Schritt.
Das sind weitere Beiträge, die Sie interessieren könnten.
Zur Blogübersicht