SaaS-Sicherheitscheckliste: 6 Schritte für Produktivität und Sicherheit in der Cloud
So viel ist sicher: 2022 war kein Jahr für SaaS-Sicherheit. Innerhalb einer einzelnen Woche im März verkündeten Microsoft, Okta und HubSpot, dass sie Opfer von Datenschutzverletzungen geworden waren. Microsoft wurde von der Hackergruppe DEV-0537 ins Visier genommen; HubSpot entdeckte, dass ein Mitarbeiterkonto zum Export von Kontaktinformationen genutzt worden war; und Okta wurde durch den kompromittierten Computer eines Subunternehmers gehackt. MailChimp widerfuhren über einen Zeitraum von vier Monaten zwei Datenschutzverletzungen, von denen eine dem Unternehmen einen Kunden kostete.
Software-as-a-Service (oder SaaS) hat die Art und Weise, auf die Unternehmen arbeiten, auf den Kopf gestellt und eine tragende Rolle beim großen Wechsel zum ortsunabhängigen Arbeiten im Homeoffice im Jahr 2020 gespielt. Bis 2021 hatte SaaS sich zu einem 165,9-Milliarden-Dollar globalen Markt entwickelt, für den eine jährliche Wachstumsrate von 11% für den Zeitraum 2022 bis 2028 prognostiziert wurde. Die zunehmende Nutzung der Public Cloud wird weiterhin eine entscheidende Antriebskraft für dieses Wachstum bleiben, da Unternehmen auf der Suche nach kostensparenden und flexibilitätsfördernden Lösungen sind.
Jedoch können Sicherheitsbedenken rund um die Übertragung von Datenbeständen von firmeninternen zu externen Netzwerken schnell zu Engpässen beim Erreichen dieses Ziels führen. Nutzer müssen u. a. sicherstellen, dass ihre Daten sowohl bei der Übertragung („in transit“) als auch bei der Speicherung („at rest“) sicher sind, das Risiko einer von Mitarbeitern genutzten Schatten-IT mindern und Autorisierungslücken schließen – und zusätzlich zu all dem noch Compliance-Auflagen erfüllen, die von Branchenstandards bis hin zu internationalen Gesetzen reichen können.
In diesem Artikel werden wir erkunden, was SaaS-Sicherheit bedeutet, warum sie wichtig ist und was Sie bei der Prüfung und Implementierung von SaaS-Produkten berücksichtigen sollten, um maximalen Nutzen und minimale Risiken zu gewährleisten.
Daten- und Anwendungssicherheit in Angriff nehmen: die SaaS-Edition
Sicherheit in SaaS bezieht sich darauf, dass Unternehmen, die ihre Daten von hausinternen auf von Anbietern gehostete Server übertragen, ein entscheidendes Sicherheits- und Datenschutzproblem, das mit solchen Umgebungen einhergeht, angehen müssen: Die Tatsache, dass ihre Datenbestände –einschließlich sensibler und geschäftskritischer Informationen – an einen Dritten weitergereicht werden, über dessen Sicherheitsprotokolle und -praktiken sie wenig oder gar keine Kontrolle haben.
SaaS-Sicherheit bedeutet sicherzustellen, dass keine Person – ob mit bösen Absichten, unbefugt oder durch Nachlässigkeit – diese Schwachstelle verursachen oder ausnutzen kann. Dies kann durch das Einrichten angemessener Sicherheitsvorkehrungen in Bezug auf Arbeitsabläufe, Compliance und Berichterstattung erzielt werden.
Es wirft jedoch eine wichtige Frage auf: Wer ist verantwortlich für sichere SaaS – diejenigen, die sie anbieten, oder diejenigen, die sie nutzen? Die kurze Antwort darauf lautet: sowohl als auch. Allerdings hängt der Umfang der Verantwortung, die jede Partei übernimmt, stark von der Art des Clouddienstes und der Weise ab, auf die der Serviceanbieter den Dienst implementiert, wie das Online-Cybersicherheitsmagazin Infopoint Security erläutert.
SaaS-Cybersicherheit: 4 zentrale SaaS-Sicherheitsprobleme, die Sie beachten sollten
1. Identitäts- und Zugriffsmanagement
Wie die zu Anfang dieses Artikels erwähnten Sicherheitsvorfälle zeigen, können die Mitarbeiter eines Cloudserviceanbieters für SaaS-Nutzer leicht zum Risiko werden, indem sie Tür und Tor für neue Angriffsvektoren öffnen, die von roher Gewalt bis hin zu Social-Engineering-Attacken reichen.
2. Compliance mit gesetzlichen Bestimmungen
Laut McKinseys Umfrage zu SaaS-Kundenperspektiven ist Produkt-Compliance ein Hauptanliegen für den CISO eines Unternehmens. Die Befragten gaben an, dass sie oftmals unsicher sind, ob die SaaS-Lösungen wirklich ihre Bedürfnisse in Bezug auf Datenschutz-Compliance erfüllen oder die Anbieter dies nur vorgeben.
3. Datenschutz
Gemäß Moody’s Analytics, ist die vom Serviceanbieter gewählte Methodik zur Vermeidung von Datenschutzverletzungen – insbesondere durch die Verwendung verschiedener Methoden für sowohl At-Rest- als auch In-Transit-Verschlüsselung der Daten – das wichtigste Sicherheitsverfahren für SaaS-Anwendungen.
4. Fehlkonfigurationen
Je benutzerdefinierter die SaaS-Anwendung, desto komplexer ist die Konfiguration für Nutzer – und desto anfälliger ist das System für Datenhacks. Zwischen 2018 und 2019 kosteten durch Cloudfehlkonfigurationen verursachte Datenschutzverletzungen Unternehmen weltweit 5 Billionen US-Dollar.
SaaS-Cloudsicherheitscheckliste: 6 bewährte SaaS-Sicherheitsverfahren für neue Nutzer
1. Recherchieren Sie Empfehlungen von Cybersicherheitsbehörden
Recherchieren Sie die bereitgestellten Ressourcen sowohl örtlicher als auch weltweiter Cybersicherheitsorganisationen, um sich Ratschläge für die SaaS-Implementierung zu holen. Das britische NCSC hat z. B. umfassende und detaillierte Richtlinien dazu veröffentlicht, wie man einen Cloudspeicher auswählt und sicher einsetzt. Sie sollten auf jeden Fall seine 14 Punkte umfassende Liste von Cloudsicherheitsprinzipien für Unternehmen durchgehen, um abwägen zu können, wie gut das Design, der Aufbau und die Ausführung eines Clouddienstes ist, sowie seine Sicherheitsbewertungen einiger der beliebtesten SaaS-Angebote lesen.
2. Überprüfen Sie Datenzugriffskontrollen und die Verfahren für deren Durchsetzung
Hat der SaaS-Anbieter Zugriff auf die von Ihnen auf seinen Servern gespeicherten Daten? Die Antwort darauf sollte „nein“ lauten. Kein Cloudserviceanbieter sollte dazu in der Lage sein, Ihre Daten zu lesen, oder unklare Informationen zu den von ihm zum Schutz der Daten unternommenen Schritte angeben. Stellen Sie außerdem sicher, dass Sie alle verfügbaren Sicherheitsdokumente zu den Vorsichtsmaßnahmen, Richtlinien und Verfahren prüfen, die der Anbieter für die Gewährleistung maximaler Sicherheit und Transparenz bei der Handhabung Ihrer Daten bereitstellt.
3. Skizzieren Sie den Fluss und die Sicherheit der Daten auf den SaaS-Servern
Zuerst sollten Sie sich die Frage stellen, welche Art von Daten weitergereicht werden, wenn Sie eine SaaS-Lösung verwenden. Über IP-Belange hinaus können Gesetze zur Datenverarbeitung, wie die Datenschutz-Grundverordnung (DSGVO) oder der California Consumer Privacy Act (CCPA), die Prüfung der Anbieter erheblich beeinträchtigen – abhängig von der Rechtsprechung, unter die Ihr Unternehmen fällt und den Personen, deren Daten es verarbeitet.
Als Nächstes sollten Sie die Sicherheitslage des Anbieters unter die Lupe nehmen. Lassen Sie sich nicht mit weniger Informationen, als Sie sie für On-Premise-Lösungen benötigen würden, abspeisen. Bei derartigen Informationen kann es sich um Verschlüsselungsmethoden, Planungen für Geschäftskontinuität und Notfallwiederherstellung, Sicherheitsleistungsnachweise, Softwareentwicklungszyklen und Bereitstellungspipelines sowie sämtliche Details handeln, die Sie benötigen, um das Risikoprofil der Cloudumgebung und ihres Anbieters vollständig zu verstehen.
Dies wirft eine weitere zentrale Frage auf: Mit wem wird der Serviceanbieter Ihre Daten teilen? Im Idealfall mit niemandem. In der Realität kann der Zugriff auf Ihre Daten durch Vierte jedoch durchaus legitim und notwendig sein, wie ISACA-Experten anmerken. Fragen Sie Ihren Cloudanbieter stets, ob potenzielle Lieferkettenabhängigkeiten bestehen, behalten Sie in Ihre SaaS-Umgebung integrierte externe Anwendungen im Blick und suchen Sie nach Lösungen mit einem Zero-Trust-Ansatz bezüglich Nutzer- und Gerätezugriffen.
4. Führen Sie eine rechtliche Prüfung zu Compliance mit gültigen Datenschutzgesetzen aus
Wie wir bereits erklärt haben, ist SaaS-Compliance mit Datenschutzgesetzen ein Muss. Dazu gehören je nach der Umgebung, Branche oder Region, in der Ihr Unternehmen tätig ist, behördliche und Datenschutzanforderungen. Neben den gehypten Datenschutzgesetzen, wie die DSGVO und HIPAA, verlangen auch branchenspezifische Standards, wie der Payment Card Industry Data Security Standard (PCI DSS), von Unternehmen, personenbezogene Informationen proaktiv zu sichern.
Bestätigen Sie die Datenresidenz und ob Sie ändern können, wo Ihre Informationen mit dem SaaS-Anbieter gespeichert werden. Eine oftmals übersehene Facette von Datenschutzgesetzen ist, was sie in Bezug darauf sagen, wo Unternehmen personenbezogene Daten speichern können. Da Cloudanbieter jedoch Daten über Grenzen und Datenzentren hinweg übertragen und speichern, ist es für Nutzer unerlässlich, mit gültigen Datenresidenzanforderungen Schritt zu halten. Wenn beispielsweise die personenbezogenen Daten von EU-Bürgern außerhalb der EU übertragen werden, sollte der durch die DSGVO gebotene Schutz mit den Daten reisen.
Und wo wir gerade von der DSGVO sprechen: Finden Sie heraus, ob Sie eine Vereinbarung zur Datenverarbeitung (Data Processing Agreement, DPA) benötigen, um den Service in Anspruch zu nehmen. Unter die DSGVO fallende Unternehmen müssen über eine solche mit all ihren Datenverarbeitern verfügen. Diese Vereinbarungen sind der Schlüssel zu DSGVO-Compliance, da sie definieren, was Datenverarbeiter mit personenbezogenen Daten bezüglich deren Speicherung, Zugänglichkeit, Verwendung und Sicherung tun sollen, können und nicht dürfen. Anders ausgedrückt: Sie demonstrieren, dass Datenverarbeiter bereit und dazu fähig sind, ausreichende Schutzlevel für die ihnen anvertrauten Daten zu garantieren.
5. Bestätigen Sie die Compliance mit zutreffenden internationalen Standards
Prüfen Sie, ob der Anbieter der Lösung ISO-27000-zertifiziert ist. ISO 27000 ist eine weitläufig verwendete Reihe von Standards, die mittels bewährter Praktiken Unternehmen dabei hilft, ihre Informationssicherheit zu verbessern, und einen systematischen Ansatz zum Risikomanagement bietet, der um Personen, Prozesse und Technologien herum aufgebaut ist. Auch wenn kein Compliance-Siegel eine umfassende Sicherheitsprüfung ersetzen kann, bieten Standards wie dieser dennoch eine zusätzliche Vertrauensebene.
Erzielt der Anbieter SOC2-Compliance? Das SOC2-Zertifikat und -Prüfungsverfahren ist ein Muss für komplexe Umgebungen mit Plug-ins oder Datenverkehr zwischen Cloudanbietern. Mit ihm können die auf die Sicherheit, Verfügbarkeit und Verarbeitungsintegrität der vom Anbieter für die Datenverarbeitung genutzten Systeme bezogenen Kontrollen sowie die Vertraulichkeit und der Datenschutz der von diesen Systemen gehandhabten Informationen bewertet werden.
6. Führen Sie ein Sicherheitsaudit aus, um Sicherheitsschwachstellen aufzudecken
Führen Sie eine umfassende Cybersicherheitsprüfung aus, um eine klare Vorstellung von der Angriffsfläche Ihrer Cloud zu haben. Prüfen Sie At-Rest- und In-Transit-Datensicherheit, Authentifizierungsoptionen wie Multifaktor-Authentifizierung (MFA) und die einmalige Anmeldung (SSO) für Unternehmen und die Verfügbarkeit und Ausgereiftheit rollenbasierter Zugriffskontrollen.
Darüber hinaus sollten Sie niemals die Bereitschaft Ihrer Nutzer unterschätzen, Umgehungsmöglichkeiten für weniger geradlinige und unpraktische Lösungen zu erdenken. Evaluieren Sie, ob die von der SaaS-Lösung angebotenen Funktionen in diese Kategorie fallen und wie viele Systemadministratoren notwendig sind, um Nutzer effizient zu verwalten und für ein reibungsloses Nutzererlebnis zu sorgen.
SaaS-Verschlüsselung: Wie E2EE Cloudsicherheit fördern kann
SaaS-Lösungen, die Ende-zu-Ende-Verschlüsselung (kurz: E2EE) einsetzen, sind unendlich sicherer als jene, die dies nicht tun. Darüber hinaus eliminieren sie somit „by Design“ mehrere der oben aufgeführten SaaS-Sicherheitsrisiken und -bedenken, wie z. B.:
- Datenzugriffsrisiken – E2EE bedeutet, dass niemand außer Ihnen auf die auf den Servern gespeicherten Daten Zugriff hat. Sollten Ihre verschlüsselten Informationen dennoch auf irgendeine Art offengelegt werden, sind sie für unbefugte Personen und böswillige Individuen unlesbar.
- Compliance-Defizite – Ende-zu-Ende-Verschlüsselung kann Compliance in Fällen, in denen Datenschutz durch Gesetze wie HIPAA für Gesundheitsdaten oder berufliche Standards wie dem PCI DSS festgelegt wird, erheblich verbessern.
- Benachrichtigungen zu Datenschutzverletzungen – Verschlüsselte Daten sind für jeden, der nicht über Ihren Verschlüsselungscode verfügt, unlesbar. Somit ist die 72-Stunden-Regel der DSGVO bezüglich der Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person hinfällig, da keine Person mittels der verschlüsselten Inhalte identifiziert werden kann.
Tresorit: der stressfreie und mühelose Weg zu SaaS-Datensicherheit
Als Ende-zu-Ende-verschlüsselte Cloudspeicherlösung und Collaboration Platform ermöglicht Tresorit Ihnen Folgendes:
- Die Nutzung von Ende-zu-Ende-Verschlüsselung zum Ankurbeln von Produktivität und Sicherheit Tauschen Sie Dateien sicher mit externen Partnern, einschließlich Kunden und Lieferanten, mithilfe verschlüsselter Links aus. Ultrasichere Links zum Teilen ermöglichen einen Ende-zu-Ende-verschlüsselten Datentausch mit Zero-Knowledge-Prinzip. Tauschen Sie Dokumente und Ordner mit beliebigen Personen mit nur wenigen Klicks.
- Die Verhinderung von durch menschliches Versagen und böswillige Attacken verursachte Datenschutzverletzungen Wenden Sie Richtlinienprofile auf Nutzergruppen an, wie 2-Stufen-Verifizierung, IP-Filter, Timeouts und Richtlinien zum Teilen. Erstellen Sie verschiedene Richtlinien für unterschiedliche Profile und modifizieren Sie diese nach Belieben über eine einzelne Benutzeroberfläche.
- Sicherung und Beschränkung von Zugriffen Verwalten Sie Dateien auf differenzierter Ebene und kontrollieren und entscheiden Sie, welche Geräte auf welche Dateien innerhalb des Unternehmens Zugriff nehmen, sowie von wo aus Nutzer sich in ihrem Firmenkonto anmelden können, um wichtige Datenbestände zu schützen.
- Gewährleistung von Datenvertraulichkeit und -integrität Die DSGVO verlangt, dass Nutzer nur so viel Zugriff auf personenbezogene Daten nehmen können, wie zur Ausführung ihrer Tätigkeit absolut notwendig ist. Nutzen Sie Tresorits Einstellungen für Nutzerberechtigungen, um sicherzustellen, dass der Zugriff auf Daten auf dem Prinzip „Kenntnis nur, wenn nötig“ basiert.
Hört sich dies nach einer guten Lösung für Ihr Unternehmen an? Erfahren Sie, was Tresorit sonst noch zu bieten hat.