DSPM – schon wieder Schatten-IT

Von Tony Frum – Distinguished Engineer, Produktmanagement

19. März 2026 5 Lesezeit: 5 Minuten

Das Data Security Posture Management (DSPM) ist für viele Menschen, mich eingeschlossen, ein kleines Rätsel. Oft finde ich mich in eher theoretischen Diskussionen darüber wieder, was genauDSPM eigentlich ist. Nach vielen solchen Debatten bin ich zu folgendem Schluss gekommen: Im Kern ist DSPM nichts anderes als eine Lösung für die Datensicherheit, die Daten aufspürt, nach denen Sie nicht gesucht haben. Sie müssen keine Klassifizierungen definieren (mit denen Sie festlegen, , was sensibel) oder Richtlinien (die beschreiben , wo nach sensiblen Daten gesucht werden soll und was zu tun ist, wenn Sie sie finden). Sie starten das Programm einfach, und es findet sensible Daten, von denen Sie vielleicht gar nichts wussten, und katalogisiert alles, was es findet. Ganz einfach.

Ich stehe auch heute noch zu dieser Definition, doch einer meiner Kollegen, Suhaas Kodagali, hat sie auf viel treffendere Weise auf den Punkt gebracht, und ich kann nicht aufhören, darüber nachzudenken. Er sagte: „DSPM ist nichts anderes als Shadow-IT“, und diese Aussage hat mich völlig umgehauen. Lassen Sie mich erklären, was im Grunde genommen ein Insiderwitz ist.

Wenn man etwa 10 Jahre zurückblickt, war der Markt Secure Web Gateway SWG) bereits sehr gut etabliert und im Grunde genommen altbekannt. SWG-Lösungen können Ihren gesamten Web-Datenverkehr einsehen, beliebige Inhalte blockieren und jede einzelne HTTP-Anfrage aufzeichnen, die von nahezu jedem Gerät in Ihrer Umgebung stammt.  Es handelt sich um eine leistungsstarke Technologie, die allgemein als absolut unverzichtbar in jedem vollständigen Sicherheitsstack angesehen wird. Dann kam der Markt Cloud Access Security Broker CASB) auf, der hauptsächlich von Skyhigh Networks, einem unserer Vorgängerunternehmen, ins Leben gerufen wurde, das eine Lösung entwickelte, die wir heute noch als „Shadow IT“ bezeichnen.

Was macht Shadow-IT? Lassen Sie mich das anhand einer eigenen Frage erläutern. Wissen Sie, was die Domain twtimg.com ist? Wahrscheinlich nicht, aber es ist die Abkürzung für „Twitter Images“ – eine der vielen Domains, die mit X, ehemals Twitter, in Verbindung stehen. Wenn Sie dies in den Berichtsdaten einer SWG-Lösung sehen würden, hätten Sie wahrscheinlich keine Ahnung, was es ist. Nehmen wir ein weiteres zufälliges Beispiel: sanpdf.com. Falls Sie damit nicht vertraut sind, wird Ihnen eine kurze Google-Suche verraten, dass SanPDF eine Reihe von Tools zur Konvertierung von Dokumenten ist. Die Domain ist klar, aber wie leicht könnten Sie sicherheitsrelevante Fragen zu SanPDF beantworten? Gibt ihnen ihr Kleingedrucktes das Recht, Ihre konvertierten Daten für eigene Zwecke zu nutzen? Wissen Sie, ob sie Daten sicher speichern? Kurz gesagt: Wissen Sie, ob Sie Ihren Benutzern die Nutzung gestatten sollten?  Wahrscheinlich wissen Sie es nicht. Genau das leistet Shadow IT. Es hilft Ihnen, Ihre SWG-Berichte zu verstehen und eine sinnvolle Richtlinie auf der Grundlage von Geschäftsrisiken zu entwickeln.

Interessant ist hierbei, dass Skyhigh Networks als Anbieter von Shadow-IT-Lösungen nicht über die grundlegende Fähigkeit verfügte, Web-Datenverkehr zu überprüfen oder Inhalte zu blockieren.  Das Unternehmen importierte SWG-Protokolldaten und erstellte aussagekräftige Berichte, um Ihnen aufzuzeigen, wo Ihre Risiken lagen; diese konnten Sie dann zur Festlegung von Richtlinien nutzen. Shadow IT konnte Bausteine für Web-Richtlinien generieren, indem es Ihnen ermöglichte, bestimmte inakzeptable Risikoelemente zu definieren, woraufhin Listen mit zu blockierenden Anwendungen sowie allen zugehörigen Domains erstellt wurden. Hier kommt die Pointe des Witzes: Shadow IT konnte seine eigenen Richtlinien nicht selbst durchsetzen. Sie waren gezwungen, sich entweder in eine SWG zu integrieren, die in der Lage war, oder sie mussten ihren eigenen Proxy aufbauen.  Shadow-IT war gezwungen, entweder weiterhin auf SWG angewiesen zu bleiben oder zu einem redundanten Proxy zu werden, und keine der beiden Optionen war für ihre Kunden attraktiv.

Dies ist eine perfekte Analogie für die heutigen reinen DSPM-Lösungen. Anbieter Security Service Edge SSE) verfügen heute über die erforderliche Transparenz und Kontrolle, um Ihre Daten in Ihren genehmigten Cloud-Anwendungen, Ihrem Web-Datenverkehr, privaten Apps usw. zu schützen. Was bietet Ihnen DSPM also?  DSPM hilft Ihnen dabei, Ihre SSE-Datensicherheitstechnologie effektiver zu nutzen genauso wie Shadow-IT Unternehmen dabei half, ihre SWG-Technologie effektiver zu nutzen. Mit modernen SSE-Portfolios können Sie Ihre Daten genau klassifizieren und schützen, aber egal, was Sie tun, Sie werden sich fragen: „Was weiß ich nicht?“  An welche Apps senden Ihre Benutzer sensible Daten, für die Sie keine Richtlinie erstellt haben, um dies zu verhindern? Mit welchen Arten sensibler Daten arbeitet Ihr Unternehmen, die Sie nie in Betracht gezogen haben? Verstoßen Sie gegen ein Gesetz, von dem Sie überhaupt nichts wissen? DSPM zielt darauf ab, diese Fragen zu beantworten. Es sucht nach jede Art von sensiblen Daten , wo immer Sie die Suche zulassen. Es informiert Sie über das, was Sie nicht wissen, damit Sie eine Richtlinie zum Schutz Ihres Unternehmens erstellen können – genau wie es bei Shadow-IT der Fall war.

Die Herausforderung besteht darin, dass sich viele DSPM-Anbieter nun in derselben Situation befinden wie einst die Schatten-IT – sie sind gezwungen, entweder abhängig oder überflüssig. Die meisten reinen DSPM-Lösungen sind reine Erkennungswerkzeuge, die Daten . Nun müssen sich diese Anbieter entweder auf etablierte SSE-Anbieter verlassen, um Schutzmaßnahmen für die erkannten Daten durchzusetzen, oder sie müssen eine Reihe von Funktionen entwickeln, um Schutzfunktionen zu bieten, die viele ihrer Kunden bereits mit ihren SSE-Investitionen implementiert haben. Ihre Entscheidung scheint bereits gefallen zu sein, da viele Anbieter bereits API-Integrationen mit IaaS- und SaaS-Anwendungen entwickelt haben, die sich vollständig mit dem CASB-Teil etablierter SSE-Lösungen überschneiden.

Versetzen Sie sich in die Lage eines Unternehmens, das eine leistungsfähige SSE-Lösung im Einsatz hat und zudem in einen reinen DSPM-Anbieter investiert hat. Die DSPM-Lösung hat Ihnen aufgezeigt, wo sich sensible Daten befinden, doch Sie müssen die SSE-Lösung nutzen, um die identifizierten Daten tatsächlich zu schützen.  Sie verfügen über zwei separate Lösungen, die beispielsweise in Microsoft 365 integriert sind, und diese stoßen wahrscheinlich an die API-Ratenbeschränkungen von Microsoft, während beide Tools versuchen, dieselben Daten zu scannen. Ist dieser Ansatz sinnvoll? Und wenn Sie der reine DSPM-Anbieter sind, wie lösen Sie dieses Problem? Entwickeln Sie eine Lösung für ein Problem, das vom CASB-Markt bereits vor etwa einem Jahrzehnt gelöst wurde?

Ich bin zwar kein Marktorakel, doch die Parallelen zwischen DSPM und Shadow-IT sind unbestreitbar. Ich halte es zumindest für logisch anzunehmen, dass DSPM denselben Weg einschlagen könnte und in den Technologie-Stack integriert wird, den es eigentlich ergänzen soll – in erster Linie SSE. Warum sollten Unternehmen gezwungen sein, sowohl ein DSPM und eine SSE-Lösung implementieren, um ihre Daten zu ermitteln und anschließend zu schützen? Wäre es nicht sinnvoll, den DSPM-Ansatz der automatischen Erkennung zu einem integralen Bestandteil des SSE-Stacks zu machen, der letztendlich erforderlich ist, um die ermittelten Daten tatsächlich zu schützen? Ich vermute, dass der Markt letztendlich zu derselben Schlussfolgerung gelangen wird wie bei Shadow IT: Erkennung und Durchsetzung gehören auf dieselbe Plattform.

Zurück zu Blogs