Die Welt der Unternehmens-IT hat sich in den letzten Jahren drastisch verändert: Früher war die IT-Landschaft deutlich überschaubarer, denn Rechenzentren, Netzwerke und Client-Server-Applikationen wurden in einem geschützten Bereich betrieben, abgeschirmt von externen Bedrohungen durch Firewalls und Proxys und nur innerhalb des Unternehmens zugänglich. Doch mit der zunehmenden Verlagerung von Unternehmensanwendungen in die Cloud und dem verstärkten Einsatz von Software-as-a-Service (SaaS)-Applikationen entstehen neue, komplexere Herausforderungen im Bereich der Cybersicherheit. Der Einsatz von Plattformen wie Salesforce oder Microsoft 365 ermöglicht es Unternehmen, neue Anwendungen schnell und vor allem einfach ohne IT-Fachkenntnisse einzuführen. Doch diese Vorteile bringen auch neue Sicherheitsbedrohungen mit sich, die oft übersehen und unterschätzt werden.
Von der Beschaffung und Installation von Servern bis hin zur Konfiguration von Benutzergruppen und der Implementierung von Sicherheitsrichtlinien – die IT-Abteilung war in der Vergangenheit über den gesamten Lebenszyklus einer Anwendung involviert und für die Einführung und Verwaltung unverzichtbar. Doch mit dem Aufkommen von SaaS-Applikationen hat sich das geändert: Immer häufiger entscheiden einzelne Fachabteilungen eigenständig über die Auswahl und Implementierung von Cloud-basierten Lösungen, ohne die interne IT-Abteilung einzubeziehen. Das mag zunächst wie eine Befreiung von lästiger und träger IT-Kontrolle erscheinen, birgt jedoch erhebliche Sicherheitsrisiken.
Die Gefahren nahezu unbegrenzter Konfigurationsmöglichkeiten
Der Benutzer entscheidet sich meist nicht wegen des Sicherheitslevels, sondern wegen des Funktionsumfangs einer SaaS-Applikation für eine Anwendung. Und da auch der Fokus der SaaS-Anbieter eher auf Funktionalität und Benutzerfreundlichkeit liegt, ist die Wahrscheinlichkeit hoch, dass wichtige Sicherheitsaspekte bei der Einführung neuer SaaS-Anwendungen vernachlässigt werden. Denn die Konfigurationsmöglichkeiten in SaaS-Plattformen sind enorm vielfältig und mächtig und werden von den Benutzern – oft ohne ausreichendes IT-Wissen – genutzt, um ihre Umgebung nach ihren Wünschen anzupassen. Hier steckt der Teufel im Detail: Wenn die Einstellungsmöglichkeiten und Funktionen nicht vollständig erfasst oder unbeabsichtigt falsch eingestellt werden, öffnet man unter Umständen auch völlig unbewusst Tür und Tor. Dies kann zu unzureichend gesicherten Systemen führen, in denen sensible Daten ungeschützt sind. Oder es werden unbefugte Zugriffe ermöglicht, beispielsweise durch die Verwendung schwacher Passwörter, dem Fehlen einer Multi-Faktor-Authentifizierung oder der unkontrollierten Vergabe von Adminrechten. Hinzu kommt, dass viele dieser Plattformen in den USA gehostet werden, wo Datenschutzregelungen meist nicht dem europäischen Standard entsprechen.
Ein großer Vorteil von SaaS-Applikationen ist gleichzeitig ein weiteres Sicherheitsrisiko für Unternehmen: SaaS-Applikationen bieten die Möglichkeit, verschiedene Anwendungen miteinander zu verknüpfen, was die Komplexität erhöht und den Überblick erschwert, wer auf welche Informationen zugreifen kann. Durch die Einbindung von E-Mails beispielsweise können versehentlich vertrauliche Informationen auch intern offengelegt werden und eine Datenschutzverletzung innerhalb des Unternehmens herbeiführen.
Neben schwachen Passwörtern und unbeabsichtigt offenen Schnittstellen sind vor allem auch sogenannte Geisterkonten ideal für Angreifer, um in Systeme einzudringen und sich darin frei, unauffällig und daher lange unentdeckt zu bewegen. Veraltete Testuserkonten sowie Nutzerkonten von ehemaligen Mitarbeitern oder Dienstleistern, die oft mit relevanten Berechtigungen ausgestattet sind und nicht mehr genutzt werden, geraten in Vergessenheit und werden nicht deaktiviert. Damit vergrößern sie im Verborgenen kontinuierlich die Angriffsfläche der Unternehmen. Von Datenschutzverletzungen bis hin zu finanziellen Verlusten, Reputationsschäden und Datenverlust – hier gibt es viel Schadpotenzial auf kleinem Raum und ein erfolgreicher Angriff auf eine SaaS-Applikation kann schwerwiegende Folgen haben.
Die Bedeutung von Identity and Access Management
Da die größte Bedrohung für SaaS-Applikationen von den Identitäten der Benutzer ausgeht, ist das Identity and Access Management (IAM) ein zentraler Aspekt für die Sicherheit von SaaS-Anwendungen. Durch die richtige Verwaltung von Benutzeridentitäten und Zugriffsrechten können Unternehmen sicherstellen, dass nur autorisierte Benutzer auf die SaaS-Applikationen zugreifen können. Durch die Implementierung von Privileged Access Management (PAM) können Unternehmen zudem festlegen, dass Administratoren nur über begrenzte Rechte verfügen und ihre Aktivitäten überwacht werden. Die Multi-Faktor-Authentifizierung (MFA) schafft eine zusätzliche Sicherheitsebene zu Benutzername und Passwort, um die Identität des Benutzers durch einen zweiten Faktor in Form eines biometrischen Merkmals wie eines Fingerabdrucks, eines Push-Codes oder eines Software-Token zu verifizieren. Doch auch hier ist für den Benutzer Vorsicht geboten: MFA Fatigue Attacks, auch bekannt als MFA Bombing oder MFA Spamming, werden bei den Hackern immer beliebter, um die Zielperson durch wiederholte Zwei-Faktor-Authentifizierungsanfragen an die E-Mail, das Telefon oder die registrierten Geräte zu ermüden und damit in das Konto oder Gerät zu gelangen.
SaaS-Sicherheit und Compliance im Blick behalten – ressourcenschonend als Service
Es ist ratsam, Tools einzusetzen, die die Konfiguration von SaaS-Applikationen überwachen und bei Abweichungen Alarm schlagen können. Dies ermöglicht es Unternehmen, potenzielle Sicherheitslücken frühzeitig zu erkennen und zu beheben. Mit SaaS-Sicherheitssoftware wie zum Beispiel AppOmni sind Unternehmen in der Lage, den Überblick über den Datenzugriff zu behalten und die Sicherheitskonfiguration ihrer SaaS-Applikationen zentral zu verwalten. Es gibt auch Hersteller, die solche Tools zum Monitoring und zur Erkennung selbst anbieten, und auffälliges Verhalten innerhalb der eigenen SaaS-Plattform melden können. Wichtig dabei ist, die Sicherheit von Anfang an in die Implementierung einzuplanen und die interne IT direkt in das Projekt einzubinden, denn ein Nachrüsten ist oft sehr viel komplizierter und kann für das Unternehmen gefährlich werden. Die Sicherheitsrisiken, die SaaS-Applikationen mit sich bringen können, sind oftmals selbst für Sicherheitsverantwortliche noch blinde Flecken. Als Managed Security Services Provider unterstützen wir hierbei Unternehmen mit dem umfassenden Service indevis Managed Detection & Response, indem wir Logdaten von u.a. Microsoft-Applikationen in unserem Security Operations Center (SOC) miteinbinden. Marktführende Security-Tools melden dann Anomalien, die anschließend von unseren Sicherheitsexperten analysiert werden.
Die Einhaltung von Datenschutzbestimmungen und regulatorischen Vorgaben ist für Unternehmen von entscheidender Bedeutung. Bei der Nutzung von SaaS-Plattformen sollte daher sichergestellt werden, dass diese die erforderlichen Sicherheitsstandards für die Verarbeitung und Speicherung von Daten einhalten und die Daten in europäischen Rechenzentren gespeichert werden. Dies erfordert eine sorgfältige Prüfung der Dienstleister und ihrer Sicherheitsvorkehrungen sowie eine klare Kommunikation mit den Kunden über die Verarbeitung ihrer Daten.
Fazit: Sicherheit als integraler Bestandteil der SaaS-Implementierung
Die Einführung von SaaS-Applikationen macht IT einfacher und viel leichter konsumierbar. Sie bietet zweifellos viele Vorteile, birgt jedoch auch neue Sicherheitsrisiken. Die Sicherheit von SaaS-Applikationen erfordert ein ganzheitliches Sicherheitskonzept, das sowohl technische Maßnahmen als auch proaktive Sicherheitsrichtlinien umfasst. Es ist entscheidend, dass Unternehmen dieses von Beginn an in ihre Implementierungsstrategie integrieren und sicherstellen, dass ihre Daten, Systeme und Schnittstellen angemessen geschützt sind. Dabei sollten sie auf Tools zur kontinuierlichen Überwachung und Optimierung setzen, um potenzielle Risiken zu minimieren und sich vor den Bedrohungen der Zukunft wappnen. Gleichzeitig dürfen Unternehmen das Risiko nicht unterschätzen, das von den Benutzerkonten selbst ausgeht. Es gilt, Awareness zu schaffen und die Mitarbeiter durch Aufklärung über die Arten des Social Engineering zu sensibilisieren. Last but not least sollte auch bei der Auswahl des SaaS-Anbieters immer die Sicherheitsstrategie überprüft werden.
