Unternehmen Einzelnutzer

Die SaaS-Sicherheitscheckliste – Sichern Sie Ihre Daten mit Ende-zu-Ende-Verschlüsselung

Geschrieben von Tresorit Team
Die SaaS-Sicherheitscheckliste – Sichern Sie Ihre Daten mit Ende-zu-Ende-Verschlüsselung

Software-as-a-Service (SaaS) wird  immer mehr zu einem entscheidenden Faktor für die Arbeitsweise von Unternehmen und war ein Wegbereiter für den umwälzenden Wechsel zur Remote-Arbeit, der 2020 stattgefunden hat. Jedoch ist das Verschieben von Daten und deren Speicherung außerhalb des Firmennetzwerks auch immer mit Sicherheitsrisiken verbunden. Lesen Sie Tresorits SaaS-Sicherheitscheckliste, um zu erfahren, welche Faktoren Sie erwägen sollten, wenn Sie sich für einen neuen SaaS-Anbieter entscheiden.

SaaS-Systeme verlangen naturgemäß, dass Daten von Ihrem internen Netzwerk zu einem Serviceanbieter verschoben werden müssen. Dies kann vertrauliche Daten bei der Übertragung und at-rest erheblichen Risiken aussetzen. Zusätzlich muss man eine Unmenge von rechtlichen Erwägungen im Hinterkopf behalten – viele SaaS-Lösungen sind kostenlos verfügbar und manche Teams mögen gar Konten zur Nutzung von Services einrichten, ohne dass die hausinterne Rechts- oder IT-Abteilung Kenntnis darüber haben. Daher müssen alle Unternehmen klare Richtlinien vorgeben, was die Verwendung von SaaS-Lösungen angeht, und Vorkehrungen für einen Prozess  treffen, der garantiert, dass die genutzte Software sicher ist.

Die SaaS-Sicherheitscheckliste

Eine gut definierte SaaS-Sicherheitscheckliste ist ein obligatorischer Bestandteil für die Überprüfung potenzieller Partner und sollte auch für bereits genehmigte Partner in Betracht gezogen werden (beim Erstellen einer neuen Integration oder einer verbundenen Dienstleistung). Um Compliance und Sicherheit zu garantieren sollten die rechtlichen, GRC-, Sicherheits- und IT-Teams in den Prozess miteinbezogen werden.

Wir haben diverse Aspekte zusammengestellt (die in sechs Unterpunkte eingeteilt sind), um Ihnen dabei zu helfen, die richtige Entscheidung bei der Auswahl eines neuen Services zu treffen. Lesen Sie unten weiter, um die vollständige Übersicht zu erhalten:

1. Suchen Sie nach Empfehlungen von nationalen oder regionalen Behörden

Viele nationale und regionale Behörden veröffentlichen Leitfäden zur Verwendung von SaaS. Einige, wie z.B. Großbritanniens National Cyber Security Centre, bieten grundlegende Sicherheitsüberprüfungen von beliebten Dienstleistern und unterstreichen die Gesetzgebung, die Auswirkung darauf haben kann, welchen Service Sie nutzen können.  Auch wenn Sie ein wenig tiefer in die Materie eintauchen sollten, als es diese Übersichten tun, stellen diese dennoch eine gute Grundlage für eine interne Sicherheitsanalyse dar.

2. Prüfen Sie vom SaaS-Anbieter bereitgestellte Informationen zu Zugriff und Sicherheit

  • Wird der Serviceanbieter Zugriff auf die von Ihnen in dessen Systemen gespeicherten Daten haben? Dies ist die grundlegendste Sicherheitsfrage, die Sie sich stellen sollten. Im Idealfall sollte der Serviceanbieter nicht dazu in der Lage sein Ihre Daten einzusehen und sollte auf nachvollziehbare Weise erläutern, welche Schritte er unternimmt, um diese Informationen zu sichern.
  • Überprüfen Sie verfügbare Dokumentation zu Sicherheit und Datenschutz. Diese Inhalte werden Ihnen ein Verständnis darüber geben, welche Maßnahmen der Entwickler bereitstellt, um die Sicherheit zu erhöhen, und mit welchem Level an Transparenz das Unternehmen arbeitet. Stellen Sie sicher, dass Sie das Kleingedruckte lesen – der Teufel steckt im Detail.
  • Ist Ende-zu-Ende-Verschlüsselung (E2EE) im Service inbegriffen? E2EE allein ist nicht genug, um Ihre Daten komplett zu schützen, aber wenn alle auf dem Service des Anbieters gespeicherten Informationen nur mit einem lokal auf den Geräten Ihres Teams verwahrten Schlüssel entschlüsselt werden können, können Sie das potenzielle Risiko einer erheblichen Haftung  in der Zukunft vermeiden. Erfahren Sie mehr zu E2EE in unserem aktuellen Blog.

3. Inspizieren Sie die Datensicherheit des Anbieters

  • Welche Daten werden weitergereicht, wenn Sie den Service nutzen? Erwägen Sie, wofür Sie den Service nutzen werden und welche Art von Daten Sie an dessen Server senden werden – jenseits von Bedenken bezüglich geistigem Eigentums können auch Datenverarbeitungsverordnungen diese Entscheidungsfindung einschränken.
  • Mit wem wird der Serviceanbieter Ihre Daten teilen? Im Idealfall wird die Antwort auf diese Frage lauten: mit niemandem. Diese Information sollte öffentlich zugänglich und ausführlich erläutert sein, damit Ihr Team sie überprüfen kann. E2EE ist auch hier die beste Lösung, da der Anbieter somit keinerlei Zugriff auf Ihre Daten haben wird.
  • Kann das Unternehmen eine deutliche Erfolgsbilanz bezüglich Sicherheit und Datenschutz vorweisen? Recherchieren Sie mehr über Ihr Partnerunternehmen als nur dessen Größe oder Stabilität. Informieren Sie sich auch über dessen Erfolgsbilanz bezüglich Sicherheit und Datenschutz. Wurden Schritte unternommen, um mögliche in der Vergangenheit liegende Probleme zu adressieren?

4. Führen Sie eine rechtliche Prüfung durch, um Compliance mit Datenschutzverordnungen zu garantieren

  • Prüfen Sie die Compliance mit gültigen Datenschutzregelungen. Seit dem Inkrafttreten der DSGVO im Jahr 2018 ist Datenschutz in der digitalen Welt zu einem zentralen Gesprächsthema geworden. Seitdem  haben mehrere Länder nachgezogen und ebenfalls strenge Datenschutzverordnungen erlassen. Bevor Sie sich für eine neue Lösung registrieren, sollten Sie Ihr Rechtsteam zurate ziehen, um zu bestätigen, dass diese Lösung alle Verordnungen einhält, die Ihr Unternehmen betreffen.
  • Lassen Sie sich die Datenresidenz oder Optionen zum bevorzugten Speicherort Ihrer Informationen bestätigen. Eine oftmals übersehene Facette von Datenschutzregelungen ist deren Regulierung  des Speicherorts, an dem Unternehmen personenbezogene Daten speichern können. Lassen Sie sich bestätigen, dass die personenbezogenen Daten von EU-Bürgern innerhalb der EU-Grenzen bleiben.
  • Werden Sie einen AV-Vertrag zur Nutzung dieses Services benötigen? Möglicherweise benötigen Sie einen AV-Vertrag, um diesen Service zu nutzen – je nachdem, auf welche Daten dieser Zugriff hat (eine zusätzliche legale Hürde, die mit hoher Wahrscheinlichkeit weniger Kopfzerbrechen bereiten wird, wenn E2EE vorhanden ist).

5. Bestätigen Sie die Compliance mit relevanten internationalen Standards

  • Ist das Unternehmen ISO 27000-zertifiziert? Hierbei handelt es sich um einen namhaften internationalen Standard, der die Rahmenbedingungen definiert, gemäß derer die Organisationen Informationen sicher verwalten können. Dies beinhaltet verschiedene Sicherheitskontrollen, die diese einführen können. Auch wenn kein Compliance-Siegel eine vollständige Sicherheitsüberprüfung ersetzen kann, geben international anerkannte Standards wie ISO 27000 Ihnen eine zusätzliche Portion Vertrauen mit.
  • Befolgt der Entwickler das SOC2-Auditverfahren? SOC2 ist ein Prüfungsverfahren, das entwickelt wurde, um sicherzustellen, dass die Drittzulieferer eines Unternehmens ebenfalls alle Daten sicher handhaben, so dass die Privatsphäre und Sicherheit der Kunden des Unternehmens garantiert  wird. Es ist ein absolutes Muss für komplexe Systeme mit Plugins oder für Systeme, in denen Daten zwischen verschiedenen Anbietern weitergereicht werden.

6. Führen Sie eine Technologieprüfung durch

  • Lassen Sie sich At-Rest- und In-Transit-Sicherheit bestätigen. Untersuchen Sie die Technologie, die der Service nutzt, um Ihre Daten während Ihrer Kommunikation mit der Software und bei deren Speicherung auf dessen Servern zu sichern. Im Bestfall wird Ihnen hier die aktuellste Version von E2EE begegnen.
  • Überprüfen Sie Verifizierungsoptionen und andere Sicherheitsgrenzen. SSO ist ein zweischneidiges Schwert. Wenn SSO korrekt eingerichtet ist, kann es Sicherheit und Benutzerkomfort erhöhen. Wenn falsch angegangen, wird es schnell zu einem Sicherheitsrisiko.
  • Schlagen Sie Optionen zu Nutzerrollen und differenzierten Zugriffsberechtigungen nach. Diverse Rollen verlangen oftmals unterschiedliche Zugriffsberechtigungen. Eine Grundregel für Sicherheit besagt, dass Nutzer nur Zugriff auf die Daten haben sollten, die sie benötigen, um ihre Arbeit zu erledigen. Ermöglicht der Service es Ihnen, dass Sie differenzierte Nutzerrollen und Zugriffsberechtigungen auf einfache Weise zuweisen können?
  • Sind die Sicherheitsfunktionen einfach zu nutzen? Kann ein einzelner IT-Admin Nutzer effizient verwalten? Wird Ihrem Team die Handhabung der Sicherheitstools leicht fallen? Wenn Sicherheit zum Hindernis wird, kann dies Frustration bei den Nutzern auslösen, die dann nach kreativen Wegen suchen, um plump gesetzte Anwendungsgrenzen zu umgehen.

Ende-zu-Ende-Verschlüsselung treibt erhöhte Sicherheit an

Wie diese Checkliste zeigt sind Sicherheitsprüfungen kein schneller Prozess. Wir sind uns dessen bewusst, weil wir sie regelmäßig durchführen. Warum? Weil wir daran glauben, dass Sicherheit einfach sein sollte, und wir der Überzeugung sind, dass das Anbieten von E2EE-Speicherplatz und nur mit Anbietern zu arbeiten, die unsere Sicherheitsstandards erfüllen, der beste Weg ist, dies zu erzielen.

Wenn SaaS E2EE verwendet, wird dieser Dienst somit unendlich sicherer als jeder andere, der dies nicht tut. Tatsache ist, dass, wenn E2EE ordnungsgemäß angewendet wird, viele der oben in der Liste aufgeführten Punkte automatisch abgehakt werden können.

E2EE bedeutet, dass ein Anbieter keinerlei Zugriff auf Ihre Daten hat, die auf seinen Servern gespeichert sind. Diese Art der Verschlüsselung garantiert die Sicherheit von Dateien im Falle eines Hackerangriffs. Wenn auf E2EE-Daten in einer DSGVO-Jurisdiktion zugegriffen wird, ist das Erfordernis der Berichterstattung nicht gültig. Außerdem kann der Anbieter Ihre Daten nicht mit Dritten teilen – da die von Ihnen in dessen System gespeicherten Informationen nicht lesbar sind.

E2EE schließt zwar nicht den Bedarf an Sicherheitsüberprüfungen an sich aus, erhöht jedoch die Sicherheit der Lösung maßgeblich und beschleunigt die einzelnen Schritte einer Sicherheitsüberprüfung auf drastische Weise. Somit wird Ihr Team nicht nur effizienter, sondern auch sicherer arbeiten.

Möchten Sie mehr erfahren? Erkunden Sie hier die Details rund um unsere Sicherheitsstandards und Ende-zu-Ende-Verschlüsselungstechnologie.

Vorgeschlagene Artikel