9 Minuten – mehr brauchen Cyberkriminelle heute nicht mehr, um Kernsysteme anzugreifen. Das zeigt der SaaS Security Threat Report von OBSIDIAN. Nicht weniger besorgniserregend: Allein im Jahr 2024 stiegen Sicherheitsvorfälle, die Software-as-a-Service-Lösungen (Saas) zum Ziel hatten, um 300 %. Cyberrisiken auf Global Player ebenso wie kleine und mittelständische Unternehmen nehmen also nicht nur zu – auch die Angriffsflächen vergrößern sich.

KI-Funktionen beispielsweise sind mittlerweile in über 60 % der Enterprise-SaaS-Produkte integriert (Quelle: Founders Forum Group). So verwundert es kaum, dass sich die Sicherheitsarchitektur vieler Unternehmen unbemerkt verändert. Denn KI arbeitet nicht nur mit Daten – sie analysiert, strukturiert und verknüpft sie. Für Unternehmen bedeutet das: SaaS-Sicherheit ist nicht mehr nur eine Frage der Zugriffskontrolle, sondern auch der Transparenz darüber, was mit Daten innerhalb der Plattform geschieht. Sowohl Kontrolle als auch Überblick sollten Unternehmen heute in keinem Fall verlieren – oder unbewusst aus den Händen geben.

Neuer Arbeitsstandard: Software-as-a-Service

Software-as-a-Service, kurz SaaS, hat die Art und Weise wie Unternehmen arbeiten, auf den Kopf gestellt und eine tragende Rolle beim großen Wechsel zum ortsunabhängigen Arbeiten im Homeoffice im Jahr 2020 gespielt. Im Jahr 2025 hat sich SaaS zu einem 315,68-Milliarden-Dollar globalen Markt entwickelt, für den eine jährliche Wachstumsrate von 18,7 % prognostiziert wird. Die zunehmende Nutzung der Public Cloud wird weiterhin eine entscheidende Antriebskraft für dieses Wachstum bleiben, da Unternehmen auf der Suche nach kostensparenden und flexibilitätsfördernden Lösungen sind.

Jedoch können Sicherheitsbedenken rund um die Übertragung von Datenbeständen von firmeninternen zu externen Netzwerken schnell zu Engpässen beim Erreichen dieses Ziels führen. Nutzer müssen u. a. sicherstellen, dass ihre Daten sowohl bei der Übertragung („in transit“) als auch bei der Speicherung („at rest“) geschützt sind, das Risiko einer von Mitarbeitern genutzten Schatten-IT mindern und Autorisierungslücken schließen – und zusätzlich noch Compliance-Auflagen erfüllen, die von Branchenstandards bis hin zu internationalen Gesetzen reichen können.

Dieser Artikel beleuchtet, was SaaS-Sicherheit bedeutet, warum sie wichtig ist und was Sie bei der Prüfung und Implementierung von SaaS-Produkten berücksichtigen sollten, um maximalen Nutzen und minimale Risiken zu gewährleisten. Dass sich Unternehmen hierbei auch die KI-Frage stellen sollten, wird schnell klar. Denn SaaS-Tools mit KI-freier Systemarchitektur können aus Compliance- oder Datenschutzsicht erhebliche Vorteile mit sich bringen.

Daten- und Anwendungssicherheit in Angriff nehmen: die SaaS-Edition

Unternehmen, die ihre Daten von hausinternen auf von Anbietern gehostete Server übertragen, müssen mögliche Sicherheits- und Datenschutzprobleme von Anfang an mitdenken und minimieren. Wer seine Datenbestände – einschließlich sensibler und geschäftskritischer Informationen – an einen Dritten weiterreicht, hat meist wenig Kontrolle über dessen Sicherheitsprotokolle und -praktiken.

SaaS-Sicherheit bedeutet frühzeitig zu überprüfen, dass keine Person – ob mit bösen Absichten, unbefugt oder durch Nachlässigkeit – eine Schwachstelle verursacht oder ausnutzt. Dies lässt sich durch das Einrichten angemessener Sicherheitsvorkehrungen in Bezug auf Arbeitsabläufe, Compliance und Berichterstattung erzielen.

Es wirft jedoch eine wichtige Frage auf: Wer ist verantwortlich für sichere SaaS – diejenigen, die sie anbieten, oder diejenigen, die sie nutzen? Die kurze Antwort darauf lautet: sowohl als auch. Allerdings hängt der Umfang der Verantwortung einer jeden Partei stark von der Art des Clouddienstes ab ebenso wie von der Weise, auf die der Serviceanbieter den Dienst implementiert, wie es auch das Online-Cybersicherheitsmagazin Infopoint Security erläutert.

SaaS-Cybersicherheit: 4 zentrale SaaS-Sicherheitsprobleme, die Sie beachten sollten

1. Identitäts- und Zugriffsmanagement

Anhand der eingangsbeschriebenen Sicherheitsvorfälle wird deutlich: Mitarbeiter eines Cloudserviceanbieters für SaaS-Nutzer können leicht zum Risiko werden, indem sie Tür und Tor für neue Angriffsvektoren öffnen, die von roher Gewalt bis hin zu Social-Engineering-Attacken reichen.

2. Compliance mit gesetzlichen Bestimmungen

Laut McKinseys Umfrage zu SaaS-Kundenperspektiven ist Produkt-Compliance ein Hauptanliegen für den CISO eines Unternehmens. Die Befragten gaben an, dass sie oftmals unsicher sind, ob die SaaS-Lösungen wirklich ihre Bedürfnisse in Bezug auf Datenschutz-Compliance erfüllen oder die Anbieter dies nur vorgeben.

3. Datenschutz

Gemäß Moody’s Analytics, ist die vom Serviceanbieter gewählte Methodik zur Vermeidung von Datenschutzverletzungen – insbesondere durch die Verwendung verschiedener Methoden für sowohl At-Rest- als auch In-Transit-Verschlüsselung der Daten – das wichtigste Sicherheitsverfahren für SaaS-Anwendungen.

4. Fehlkonfigurationen

Je benutzerdefinierter die SaaS-Anwendung, desto komplexer ist die Konfiguration für Nutzer – und desto anfälliger ist das System für Datenhacks. Die durchschnittlichen Kosten für Datenschutzverletzungen, die häufig auf Cloudfehlkonfigurationen zurückzuführen sind, belaufen sich auf gut 4,4 Billionen US-Dollar (Quelle: IBM).

SaaS-Cloudsicherheitscheckliste: 7 bewährte SaaS-Sicherheitsverfahren für neue Nutzer

1. Recherchieren Sie Empfehlungen von Cybersicherheitsbehörden

Recherchieren Sie die bereitgestellten Ressourcen sowohl örtlicher als auch weltweiter Cybersicherheitsorganisationen, um sich Ratschläge für die SaaS-Implementierung zu holen. Das britische NCSC hat z. B. umfassende und detaillierte Richtlinien dazu veröffentlicht, wie man einen Cloudspeicher auswählt und sicher einsetzt. Sie sollten die auf 14 Punkten fußende Liste von Cloudsicherheitsprinzipien für Unternehmen durchgehen, um abwägen zu können, wie gut das Design, der Aufbau und die Ausführung eines Clouddienstes ist. Außerdem empfiehlt es sich, die Sicherheitsbewertungen einiger der beliebtesten SaaS-Angebote zu lesen.

2. Überprüfen Sie Datenzugriffskontrollen und die Verfahren für deren Durchsetzung

Hat der SaaS-Anbieter Zugriff auf die von Ihnen auf seinen Servern gespeicherten Daten? Die Antwort darauf sollte „nein“ lauten. Kein Cloudserviceanbieter sollte dazu in der Lage sein, Ihre Daten zu lesen, oder unklare Informationen zu den von ihm zum Schutz der Daten unternommenen Schritte angeben. Stellen Sie außerdem sicher, dass Sie alle verfügbaren Sicherheitsdokumente zu den Vorsichtsmaßnahmen, Richtlinien und Verfahren prüfen, die der Anbieter für die Gewährleistung maximaler Sicherheit und Transparenz bei der Handhabung Ihrer Daten bereitstellt.

3. Skizzieren Sie den Fluss und die Sicherheit der Daten auf den SaaS-Servern

Zuerst sollten Sie sich die Frage stellen, welche Art von Daten weitergereicht werden, wenn Sie eine SaaS-Lösung verwenden. Über IP-Belange hinaus können Gesetze zur Datenverarbeitung, wie die Datenschutz-Grundverordnung (DSGVO) oder der California Consumer Privacy Act (CCPA), die Prüfung der Anbieter erheblich beeinträchtigen – abhängig von der Rechtsprechung, unter die Ihr Unternehmen fällt und den Personen, deren Daten es verarbeitet.

Als Nächstes sollten Sie die Sicherheitslage des Anbieters unter die Lupe nehmen. Lassen Sie sich nicht mit weniger Informationen, als Sie sie für On-Premise-Lösungen benötigen würden, abspeisen. Bei derartigen Informationen kann es sich um Verschlüsselungsmethoden, Planungen für Geschäftskontinuität und Notfallwiederherstellung, Sicherheitsleistungsnachweise, Softwareentwicklungszyklen und Bereitstellungspipelines sowie sämtliche Details handeln, die Sie benötigen, um das Risikoprofil der Cloudumgebung und ihres Anbieters vollständig zu verstehen.

Dies wirft eine weitere zentrale Frage auf: Mit wem wird der Serviceanbieter Ihre Daten teilen? Im Idealfall mit niemandem. In der Realität kann der Zugriff auf Ihre Daten durch Vierte jedoch durchaus legitim und notwendig sein, wie ISACA-Experten anmerken. Fragen Sie Ihren Cloudanbieter stets, ob potenzielle Lieferkettenabhängigkeiten bestehen, behalten Sie in Ihre SaaS-Umgebung integrierte externe Anwendungen im Blick und suchen Sie nach Lösungen mit einem Zero-Trust-Ansatz bezüglich Nutzer- und Gerätezugriffen.

4. Prüfen Sie, ob ein KI-freier Betrieb möglich ist

Haken Sie an dieser Stelle unbedingt nach, wie es um den Einsatz Künstlicher Intelligenz steht. Denn wo KI unbemerkt auf Daten zugreift, fehlt auch der Überblick, was mit ihnen passiert. Maximale Datensicherheit versprechen SaaS-Lösungen, die KI-freie Workspaces bereitstellen. Dabei muss die Lösung nicht komplett auf KI verzichten. Sie sollten aber in jedem Fall sicherstellen, dass sich KI- und Maschine-Learning-Funktionen zentral deaktivieren lassen. Auch sollten Sie transparente Informationen darüber erhalten, ob Hintergrundprozesse KI-basiert arbeiten, ob Weitergaben an externe KI-Modelle geplant sind und was das konkret für Ihre Datensicherheit bedeutet.

Bei Kundendaten gibt es jedoch keine Ausnahmen: Der SaaS-Anbieter muss versichern, dass diese nicht für KI-Trainings oder Produktoptimierungen herangezogen werden. Dokumentierte Datenflüsse helfen, den Überblick zu jeder Zeit zu behalten. Verlangen sie ebenso Vorabinformationen vom SaaS-Anbieter zu neuen oder geänderten KI-Features. Damit entscheiden Sie bewusst, welche Neuerungen Sie mitgehen wollen und welche Sie gleich deaktivieren.

Unser Tipp: Am sichersten fährt, wer vertragliche festhält, dass der Dienst auch ohne KI-Prozesse funktionsfähig bleibt. Denn viele Branchen sind aus Compliancen-Gründen auf KI-freie Workflows angewiesen. Damit Sie eine rechtskonforme und vertrauensvolle Zusammenarbeit anbieten können, müssen also auch Sie diese Voraussetzung erfüllen können.

5. Führen Sie eine rechtliche Compliance-Prüfung mit gültigen Datenschutzgesetzen aus

SaaS-Compliance mit Blick auf Datenschutzgesetze ist ein Muss. Dazu gehören je nach der Umgebung, Branche oder Region, in der Ihr Unternehmen tätig ist, behördliche und Datenschutzanforderungen. Neben den gehypten Datenschutzgesetzen, wie die DSGVO und HIPAA, verlangen auch branchenspezifische Standards, wie der Payment Card Industry Data Security Standard (PCI DSS), von Unternehmen, personenbezogene Informationen proaktiv zu sichern.

Wichtig sind dabei Aspekte wie die Datenresidenz und ob Sie ändern können, wo Ihre Informationen mit dem SaaS-Anbieter gespeichert werden. Eine oftmals übersehene Facette von Datenschutzgesetzen ist, was sie in Bezug darauf sagen, wo Unternehmen personenbezogene Daten speichern können. Da Cloudanbieter jedoch Daten über Grenzen und Datenzentren hinweg übertragen und speichern, ist es für Nutzer unerlässlich, mit gültigen Datenresidenzanforderungen Schritt zu halten. Wenn beispielsweise die personenbezogenen Daten von EU-Bürgern außerhalb der EU übertragen werden, sollte der durch die DSGVO gebotene Schutz mit den Daten reisen.

Wo wir gerade von der DSGVO sprechen: Finden Sie heraus, ob Sie eine Vereinbarung zur Datenverarbeitung (Data Processing Agreement, DPA) benötigen, um den Service in Anspruch zu nehmen. Unter die DSGVO fallende Unternehmen müssen über eine solche mit all ihren Datenverarbeitern verfügen. Diese Vereinbarungen sind der Schlüssel zu DSGVO-Compliance, da sie definieren, was Datenverarbeiter mit personenbezogenen Daten bezüglich deren Speicherung, Zugänglichkeit, Verwendung und Sicherung tun sollen, können und nicht dürfen. Anders ausgedrückt: Sie demonstrieren, dass Datenverarbeiter bereit und dazu fähig sind, ausreichende Schutzlevel für die ihnen anvertrauten Daten zu garantieren.

6. Arbeiten Sie Compliance-konform und berücksichtigen Sie internationale, regionale und branchenspezifische Standards ebenso wie europäische Regularien

Prüfen Sie, ob der Anbieter der Lösung ISO-27000-zertifiziert ist. ISO 27000 gilt als weitläufig verwendete Reihe von Standards, die mittels bewährter Praktiken Unternehmen dabei hilft, ihre Informationssicherheit zu verbessern, und einen systematischen Ansatz zum Risikomanagement bietet, der um Personen, Prozesse und Technologien herum aufgebaut ist. Auch wenn kein Compliance-Siegel eine umfassende Sicherheitsprüfung ersetzen kann, bieten Standards wie dieser dennoch eine zusätzliche Vertrauensebene.

Die SOC 2-Prüfung bewertet, ob ein Dienstleister wirksame Kontrollen implementiert hat, um Sicherheit, Verfügbarkeit und Integrität seiner Systeme zu gewährleisten. Gerade bei Cloud-basierten Plattformen mit Integrationen und Datenaustausch zwischen Drittanbietern bietet SOC 2 eine wichtige Vertrauensgrundlage. Unternehmen erhalten dadurch eine unabhängige Bestätigung, dass der Schutz sensibler Informationen strukturell verankert ist.

Neben anerkannten Zertifizierungen sollten Unternehmen ebenfalls überprüfen, ob Anbieter aktuelle regulatorische Anforderungen erfüllen – insbesondere auf europäischer Ebene. Die NIS2-Richtlinie beispielsweise fordert von einer Vielzahl an Organisationen – nicht nur aus dem KRITIS-Bereich –, dass sie nachweislich Maßnahmen zur Risikoanalyse, Incident Response und Lieferkettenabsicherung implementiert.

Für den Finanzsektor gewinnt außerdem die Digital Operational Resilience Act (DORA) an Bedeutung. Sie verpflichtet Finanzunternehmen sowie deren IKT-Dienstleister zu robusten Sicherheits-, Resilienz- und Meldeprozessen. Wer SaaS-Lösungen in regulierten Branchen einsetzt, sollte sicherstellen, dass die Lösung DORA-konform betrieben werden kann. Auch branchenspezifische Anforderungen – etwa im Gesundheitswesen oder bei KRITIS-Betreibern – sollten berücksichtigt werden. Sie sollten bei einem SaaS-Anbieter also Auskunft verlangen, um mit Sicherheit sagen zu können, ob dieser internationale, regionale oder branchenspezifische Standards ebenso wie rechtliche Regelungen ausreichend erfüllt.

7. Führen Sie ein Sicherheitsaudit durch, um Sicherheitsschwachstellen aufzudecken

Führen Sie eine umfassende Cybersicherheitsprüfung durch, um eine klare Vorstellung von der Angriffsfläche Ihrer Cloud zu erhalten. Prüfen Sie At-Rest- und In-Transit-Datensicherheit, Authentifizierungsoptionen wie Multifaktor-Authentifizierung (MFA), die einmalige Anmeldung (SSO) für Unternehmen und die Verfügbarkeit wie auch Ausgereiftheit rollenbasierter Zugriffskontrollen.

Darüber hinaus sollten Sie niemals die Bereitschaft Ihrer Nutzer unterschätzen, Umgehungsmöglichkeiten für weniger geradlinige und unpraktische Lösungen einzuschlagen. Evaluieren Sie, ob die von der SaaS-Lösung angebotenen Funktionen in diese Kategorie fallen und wie viele Systemadministratoren notwendig sind, um Nutzer effizient zu verwalten und für ein reibungsloses Nutzererlebnis zu sorgen.

SaaS-Verschlüsselung: Wie E2EE Cloudsicherheit fördern kann

SaaS-Lösungen, die Ende-zu-Ende-Verschlüsselung (kurz E2EE) einsetzen, sind unendlich sicherer als jene, die dies nicht tun. Darüber hinaus eliminieren sie somit „by Design“ mehrere der oben aufgeführten SaaS-Sicherheitsrisiken und -bedenken, wie z. B.:

• Datenzugriffsrisiken – E2EE bedeutet, dass niemand außer Ihnen auf die auf den Servern gespeicherten Daten Zugriff hat. Sollten Ihre verschlüsselten Informationen dennoch auf irgendeine Art offengelegt werden, sind sie für unbefugte Personen und böswillige Individuen unlesbar.
• Compliance-Defizite – Ende-zu-Ende-Verschlüsselung kann Compliance in Fällen, in denen Datenschutz durch Gesetze wie HIPAA für Gesundheitsdaten oder berufliche Standards wie dem PCI DSS festgelegt wird, erheblich verbessern.
• Benachrichtigungen zu Datenschutzverletzungen – Verschlüsselte Daten sind für jeden, der nicht über Ihren Verschlüsselungscode verfügt, unlesbar. Somit ist die 72-Stunden-Regel der DSGVO bezüglich der Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person hinfällig, da keine Person mittels der verschlüsselten Inhalte identifiziert werden kann.

Tresorit: der stressfreie und mühelose Weg zu SaaS-Datensicherheit

Als Ende-zu-Ende-verschlüsselte Cloudspeicherlösung und Collaboration Platform ermöglicht Tresorit Ihnen Folgendes:

• Die Nutzung von Ende-zu-Ende-Verschlüsselung zum Ankurbeln von Produktivität und Sicherheit:
  Tauschen Sie Dateien sicher mit externen Partnern, einschließlich Kunden und Lieferanten, mithilfe verschlüsselter Links aus. Ultrasichere Links zum Teilen ermöglichen einen Ende-zu-Ende-verschlüsselten Datentausch mit Zero-Knowledge-Prinzip. 

  Mit wenigen Klicks lassen sich so auch Dokumente und Ordner mit beliebig vielen Personen teilen.

• Die Verhinderung von durch menschliches Versagen und böswillige Attacken verursachte Datenschutzverletzungen:
  Wenden Sie Richtlinienprofile auf Nutzergruppen an, wie Zwei-Stufen-Verifizierung, IP-Filter, Timeouts und Richtlinien zum Teilen. Erstellen Sie verschiedene Richtlinien für unterschiedliche Profile und modifizieren Sie diese nach Belieben über eine einzelne Benutzeroberfläche.
  
  
• Sicherung und Beschränkung von Zugriffen:
  Verwalten Sie Dateien auf differenzierter Ebene und kontrollieren und entscheiden Sie, welche Geräte auf welche Dateien innerhalb des Unternehmens Zugriff nehmen. Auch die Fragem, von wo aus Nutzer sich in ihrem Firmenkonto anmelden können, zahlt letzlich auf den Schutz wichtige Datenbestände ein.
  
  
• Gewährleistung von Datenvertraulichkeit und -integrität:
  Die DSGVO verlangt, dass Nutzer nur so viel Zugriff auf personenbezogene Daten nehmen können, wie zur Ausführung ihrer Tätigkeit absolut notwendig ist. Nutzen Sie Tresorits Einstellungen für Nutzerberechtigungen, um sicherzustellen, dass der Zugriff auf Daten auf dem Prinzip „Kenntnis nur, wenn nötig“ basiert.

Eine Lösung, die diese Aspekte abdeckt, bringt einen weiteren Vorteil mit sich. Denn eine All-in-one-Plattform wie Tresorit minimiert die Risiken, die durch Tool-Sprawl entstehen können. Wenn kritische Workflows und gesamte Projekte in einer zentral gesteuerten Umgebung stattfinden, verringern sich Schnittstellen, Datenkopien und unkontrollierte Weiterleitungen. Das erhöht die Datensicherheit und minimiert potenzielle Angriffsflächen deutlich.

Hört sich das nach einer guten Lösung für Ihr Unternehmen an? Erfahren Sie, was Tresorit sonst noch zu bieten hat.