Datenschutz in der Cloud So sichern Unternehmen ihre SaaS-Anwendungen ab

SaaS-Dienste sind ein begehrtes Angriffsziel für Cyber-Kriminelle. Mit der richtigen Sicherheitsstrategie können Unternehmen jedoch ihre Daten umfassend schützen. Zu den wichtigsten Maßnahmen zählen der Einsatz von Überwachungslösungen, rollenbasierte Zugangskontrollen sowie die Verschlüsselung von Dateien, die sensible Informationen enthalten.

Software-as-a-Service-Anwendungen (SaaS) sind heute weit verbreitet und bieten Unternehmen ein hohes Maß an Komfort und Skalierbarkeit. Wer sich auf cloudbasierte Softwarelösungen verlässt, sollte jedoch dafür sorgen, dass die Daten sicher sind und vor allem sensible Informationen umfassend geschützt werden. Mit der Umsetzung von Best Practices können Unternehmen die Vorteile von SaaS-Anwendungen vertrauensvoll nutzen, ohne Kompromisse bei der Datensicherheit und beim Datenschutz einzugehen.

Wie wichtig ein ganzheitlicher SaaS-Sicherheitsansatz ist, zeigt eine Umfrage der Cloud Security Alliance. Darin berichteten 55 Prozent der Unternehmen weltweit, schwerpunktmäßig aber in Nordamerika, in den letzten zwei Jahren einen Cyber-Sicherheitsvorfall beim Einsatz von SaaS-Anwendungen. Ob Fehlkonfigurationen, kompromittierte Konten oder Schwachstellen, die von Cyber-Kriminellen ausgenutzt werden: Die berichteten Vorfälle zeigen, zu welchen Problemen unzureichend geschützte SaaS-Lösungen führen können.

Sicherheitsvorfälle in der Vergangenheit

Da sich die digitale Landschaft von Unternehmen immer mehr in Richtung cloudbasierte Lösungen entwickelt, lenken auch Cyber-Kriminelle ihre Aufmerksamkeit zunehmend auf die Cloud. So kam es in den letzten Jahren immer wieder zu Sicherheitsvorfällen beim Einsatz von SaaS-Anwendungen.

• Im Januar 2023 berichtete die auf Continuous Integration und Continuous Delivery spezialisierte Firma CircleCI einen Vorfall und schloss dabei nicht aus, dass die Panne Auswirkungen auf die auf ihrer Plattform gespeicherten Kundendaten haben könnte.

• Im Juni 2023 nutzten Cyber-Kriminelle eine Sicherheitslücke in dem weit verbreiteten Dateiübertragungsprogramm „MOVEit” aus, um Kundendaten zu stehlen.

• Im August 2022 führte ein Social-Engineering-Vorfall beim Platform-as-a-Service-Anbieter Twilio zu unbefugten Zugriffen auf Kundendaten.

Diese Beispiele zeigen: Vor Datenverletzungen durch verschiedene Angriffsvektoren sind SaaS-Anwendungen nicht gefeit. Bei Cyber-Kriminellen sind sie vor allem deshalb beliebt, weil diese durch den Angriff auf einen SaaS-Dienst potenziell gleich mehrere Unternehmen schädigen können.

Bedrohungen und Risiken

Die Sicherheitsrisiken, die durch ungenügende Evaluation der externen Dienstleister entstehen, können erhebliche Folgen für den Geschäftsbetrieb und die Reputation eines Unternehmens haben. Wenn Cyber-Kriminelle beispielsweise Schwachstellen in einem Cloud-basierten System ausnutzen, kann dies zu Datenschutzverletzungen, unbefugten Zugriffen und Service-Unterbrechungen führen.

Ein Datenleck ist in der Regel auf eine unzureichende Verschlüsselung oder schwache Zugangskontrollen zurückzuführen. Dadurch sind Cyber-Kriminelle oder andere unbefugte Personen in der Lage, auf sensible Kundeninformationen und anderweitig vertrauliche Daten zuzugreifen – etwa um sie zu stehlen oder Störungen im Betrieb zu verursachen. Und das wiederum kann finanzielle Verluste, von den Aufsichtsbehörden auferlegte Strafzahlungen und die Schädigung der Unternehmensreputation zur Folge haben.

Da sich die Cyber-Bedrohungen permanent weiterentwickeln, müssen Unternehmen beim Einsatz von SaaS-Anwendungen spezielle Sicherheitsstrategien anwenden, um diese Risiken zu mindern.

Mit den folgenden Richtlinien lassen sich die Sicherheitsmechanismen bei der Nutzung von SaaS-Diensten verbessern.

Anbieterbewertung und Due Diligence

Während der Due Diligence sind vor allem die Sicherheitsrichtlinien des SaaS-Anbieters sowie die Prüfberichte oder Zertifizierungen von Drittfirmen entscheidend. Anhand dieser Dokumente kann der SaaS-Kunde überprüfen, ob die Datenmanagement-Richtlinien des Anbieters mit seinen eigenen Sicherheitsanforderungen im Einklang stehen. Auch die Verpflichtung des Providers, effektive Sicherheitsmechanismen zu implementieren, lässt sich auf Basis der Bewertungen validieren.

Anhand der folgenden Dokumente kann der Kunde die Sicherheitsmaßnahmen seines SaaS-Anbieters überprüfen:

• Consensus Assessments Initiative Questionnaire (CAIQ),

• ISO 27001-Zertifikat sowie bestenfalls auch -Auditbericht,

• SOC-2-Bericht Typ 2.

Der Bewertungsprozess sollte kontinuierlich geschehen, mit dem Ziel, dem Kunden eine langfristige Einsicht zu verschaffen. SaaS-Anwendungen werden im Laufe der Zeit weiterentwickelt und auch die Security-Maßnahmen des Anbieters können sich verändern. Dieser anhaltende Bewertungsprozess gibt beiden Parteien Zeit und Gelegenheit, gegenseitiges Vertrauen aufzubauen und die Basis für eine zuverlässige Zusammenarbeit zu schaffen. Vertrauensvolle Partnerschaften sind in der modernen Geschäftswelt von entscheidender Bedeutung.

Zugangskontrollen und Identitätsmanagement

Regelung des Zugriffs und ein solides Identitätsmanagement sind zentrale Elemente des Schutzes der SaaS-Anwendungen. Wichtig sind dabei eine starke Nutzerauthentifizierung sowie rollenbasierte Zugangskontrollen und -überprüfungen:

• Die Nutzerauthentifizierung sollte auf Anwenderidentitäten basieren, die von einem vertrauenswürdigen Identitätsanbieter verwaltet und durch eine Mehrfaktor-Authentifizierung (MFA) verifiziert werden.

• Bei der Definition und Durchsetzung der Nutzerberechtigungen spielen rollenbasierte Zugriffskontrollen (Role Based Access Controls, RBAC) eine entscheidende Rolle. Denn damit wird festgelegt, welche spezifischen Aktionen die Endanwender ausführen und auf welche Daten sie zugreifen dürfen.

• Im Rahmen kontinuierlicher Zugriffsüberprüfung lassen sich die Nutzerberechtigungen über einen längeren Zeitraum nachverfolgen. Damit ist das Prinzip der geringsten Privilegien stets sichergestellt. Nicht mehr gültige Zugriffe werden schnell identifiziert und können deaktiviert werden.

Mit der Implementierung solcher Maßnahmen können sich Unternehmen vor unbefugten Zugriffen auf ihre Daten schützen und das Risiko einer Datenschutzverletzung verringern. Kurzum bieten solide Zugangskontrollen auf Identitätsmanagement-Basis einen äußerst effektiven Schutz vor Cyber-Bedrohungen.

Wie sich Datenlecks verhindern lassen

DLP (Data Loss Prevention) ist eine wichtige Voraussetzung zum Schutz vor unerlaubtem Datenabfluss. Mit DLP werden Richtlinien zur Überwachung des Umgangs mit sensiblen Daten implementiert – etwa das Kopieren, das Teilen oder die Übermittlung der Daten.

Wichtige Maßnahmen zum Schutz von SaaS-Anwendungen mithilfe von DLP:

• Bei der Content Inspection werden Daten in Echtzeit nach Schlüsselwörtern, Mustern oder Bezeichnungen gescannt, die auf sensible Inhalte hinweisen. Als vertraulich identifizierte Daten werden sofort blockiert, oder die Verantwortlichen werden alarmiert und können entsprechende Maßnahmen ergreifen.

• Mithilfe von UEBA (User and Entity Behavior Analytics) können Unternehmen das Nutzerverhalten überwachen und anomale Aktivitäten aufspüren, die auf eine unbefugte Datenfreigabe oder einen unberechtigten Zugriff hindeuten. Auf diese Weise hilft der UEBA-Prozess, potenzielle Insider-Bedrohungen oder kompromittierte Konten zu erkennen.

• Kontinuierliches Security Monitoring ermöglicht schnelle Reaktionen auf verdächtige Aktivitäten. Wenn die Überwachungsservices und -lösungen einen Vorfall anzeigen, können die Verantwortlichen ihn umgehend analysieren und effektiv beheben.

• Datenverschlüsselung stellt eine zusätzliche Sicherheitsebene bereit. Sie verhindert, dass Kriminelle, die sich bereits Zugang zum Unternehmensnetzwerk verschafft haben, auf sensible Daten zugreifen können.

Mithilfe einer umfassenden Überwachung der Vorgänge auf SaaS-Anwendungen und mit Verschlüsselung können Unternehmen die Datensicherheit erhöhen und sensible Informationen besser schützen.

Für Unternehmen, die SaaS-Anwendungen einsetzen, empfiehlt sich eine mehrschichtige Sicherheitsstrategie – von der Security Governance über ein solides Security-Design bis hin zur Implementierung von technischen Sicherheitsmaßnahmen. Das sorgt für einen umfassenden Schutz sensibler Daten, die von SaaS-Providern gehostet werden.

(ID:50019111)