Software-as-a-Service (SaaS)-Lösungen bieten jedem Unternehmen eine noch nie dagewesene Flexibilität. Sie können auf sie über die Cloud zugreifen, wann immer Sie wollen und wo immer Sie sind. Sie ermöglichen es Ihnen, Ihre Hardware-Ausgaben zu minimieren und sie bei Bedarf zu erweitern oder zu reduzieren. Und schließlich lassen sie sich problemlos in einen einzigen Arbeitsablauf integrieren. Doch trotz der zunehmenden Verbreitung von Cloud-basierten Softwareprodukten gibt es nach wie vor Sicherheitsbedenken bei SaaS. In einer Studie aus dem Jahr 2021 gaben 98% der befragten Unternehmen an, dass sie in den letzten 18 Monaten mindestens einen Sicherheitsvorfall erlebt haben.
Bedeutet dies also, dass all diese Behauptungen über die Sicherheit von SaaS-Produkten nichts weiter als ein Hype sind? Nun, ganz so eindeutig ist es nicht. Dieser Artikel vermittelt Ihnen ein grundlegendes Verständnis für die Art der SaaS-Sicherheitsrisiken und wie Sie diese verhindern können.
Die wichtigsten Herausforderungen für die Cloud-SaaS-Sicherheit
Heutige SaaS-Umgebungen umfassen im Durchschnitt 42 Anwendungen von Drittanbietern. Einerseits ist es für ein Unternehmen äußerst befreiend, die meisten Daten und Prozesse nicht mehr vor Ort zu haben. Andererseits ist die Kontrolle so vieler Anwendungen eine echte Herausforderung. Und genau hier liegen die Ursachen für die beiden größten Probleme der SaaS-Datensicherheit: mangelnde Transparenz und unzureichendes Zugriffsmanagement.
Mangelnde Sichtbarkeit
Einer Umfrage zufolge sehen sechs von zehn Unternehmenseigentümern die mangelnde Transparenz ihrer SaaS-Umgebungen als eine ihrer größten Herausforderungen im Bereich der Cybersicherheit an. Und das liegt nicht nur an der Anzahl der Anwendungen, die sie genau im Auge behalten müssen. Jede dieser Anwendungen verfügt über individuelle Sicherheitsmerkmale, Zugriffseinstellungen und Datenschutzrichtlinien, die sich mit der Weiterentwicklung der Produkte durch die Anbieter ständig ändern. Nicht zu vergessen ist auch die Vielfalt der Geräte, von denen aus auf jede SaaS-Anwendung zugegriffen werden kann. Infolgedessen haben die Sicherheitsteams kaum Kenntnis von den tatsächlichen Risiken für die Unternehmensdaten.
Unzureichendes Zugriffsmanagement
Da Unternehmen mit der Anzahl von Drittanbieter-Apps in ihren Cloud-Umgebungen völlig überfordert sind, führen nur 12% der Unternehmen mit 50-99 Apps in ihrem SaaS-Stack tatsächlich wöchentliche Fehlkonfigurationsprüfungen durch. Wenn man dies zu der allgegenwärtigen Abhängigkeit von SaaS-App-Anbietern in Bezug auf die Sicherheit hinzufügt, wird klar, warum eine unzureichende Zugriffsverwaltung von der Mehrheit der Unternehmen als eine weitere große Sicherheitsbedrohung angesehen wird: Viele Sicherheitsteams haben keinen vollständigen Überblick darüber, wer auf die Daten des Unternehmens zugreift und auf welche Art und Weise, oder auf welche Art von Daten zugegriffen wird.
Diese beiden Kontrollprobleme haben das Potenzial, massive Datenlecks zu verursachen und Ihre Systeme anfälliger für eine Vielzahl von Cyber-Bedrohungen zu machen, z. B. Account-Hijacking, Ransomware-Angriffe, Phishing-Kampagnen und Insider-Bedrohungen. Werfen wir nun einen Blick auf einige Fälle und die Lehren, die daraus gezogen werden können.
SaaS-Sicherheitsvorfälle und was sie bewirken können
Seien wir ehrlich: Für viele von uns sind all diese statistischen Ergebnisse nur eine Reihe von Symbolen, und die Warnungen von Cybersicherheitsexperten haben oft nichts mit unserer eigenen Situation zu tun. Doch ob es uns nun gefällt oder nicht, Datenverluste und Cyberangriffe sind real. Im Folgenden haben wir drei Cybersecurity-Vorfälle hervorgehoben, die sich um SaaS-Anwendungen drehen, die Sie kennen und möglicherweise nutzen (oder zumindest damit zu tun haben).
Das globale Datenleck bei Jira
Im August 2019 entdeckte ein Sicherheitsforscher, dass Tausende von Unternehmen, darunter auch die NASA, aufgrund einer einzigen Fehlkonfiguration in Jira unwissentlich einige ihrer Daten online preisgegeben haben.
Es stellte sich heraus, dass die Plattform bei der Erstellung von Dashboards und Filtern in Jira die Möglichkeit bietet, zwischen einigen wenigen Berechtigungseinstellungen zu wählen, wer diese Details sehen kann. Und genau hier beginnen die Probleme. Einige Administratoren gehen davon aus, dass „alle Benutzer“ oder „jeder“ für „offen für jeden im Unternehmen“ steht, was jedoch bedeutet, dass sie öffentlich einsehbar sind und in Suchmaschinen indiziert werden. Schlimmer noch: Diese Optionen sind die Standardeinstellungen.
Die Bedrohungsforscher von Varonis haben herausgefunden, dass 3.774 Dashboards, 244 Projekte und 75.629 Probleme öffentlich zugänglich sind, wobei die meisten dieser Assets versehentlich ins offene Web gelangt sind. Projektnamen, Avatare, Besitzer, Status und Benutzer-E-Mails sind die häufigsten Daten, die auf diese Weise nach außen gelangt sind. Mit diesen Informationen können Angreifer Phishing-Kampagnen erstellen, Passwort-Spraying- oder Credential-Stuffing-Angriffe starten oder noch sensiblere Systeme angreifen.
Angriff auf die SolarWinds-Lieferkette
Ende 2020 meldete der Sicherheitsanbieter FireEye einen massiven Cyberangriff auf SolarWinds, einen bekannten amerikanischen Anbieter von IT-Infrastrukturmanagement-Software. Laut CEO Sudhakar Ramakrishna drangen die Angreifer in das Office-365-Konto des Unternehmens ein, verschafften sich Zugang zu den Personalkonten von SolarWinds und nutzten diese, um bösartigen Code in das Orion-Software-Update des Anbieters einzuschleusen, das dann an etwa 18.000 Kunden verteilt wurde. Interessanterweise entdeckten weder die Ermittler von SolarWinds noch von Microsoft irgendwelche Schwachstellen im Office-365-Code, die von den Hackern ausgenutzt werden könnten. Beide deuten eher auf den Diebstahl von Anmeldeinformationen als auf eine Sicherheitslücke hin.
Der Vorfall ereignete sich im Jahr 2019 und hat nach Angaben von Bedrohungsforschern die Netzwerke von über 100 US-Privatunternehmen und neun Bundesbehörden betroffen. Dazu gehörten Microsoft, Cisco und Deloitte sowie das Pentagon, das Department of Homeland Security und andere. Einem Bericht von IronNet aus dem Jahr 2021 zufolge verloren die betroffenen Unternehmen im Durchschnitt 11 % ihres Jahresumsatzes.
Tausende von Zoom Meeting-Aufnahmen online verfügbar
Als die Pandemie ausbrach, erlebte Zoom einen beispiellosen Popularitätsschub: von 90 Millionen täglichen Nutzern im Dezember 2019 auf 200 Millionen im März 2020. Abgesehen vom Anstieg des Aktienkurses des Unternehmens hat dies eine Welle von Datenschutzbedenken ausgelöst.
So entdeckten Forscher im April 2020 Tausende von privaten Zoom-Meeting-Aufzeichnungen im offenen Web, die jeder ansehen und sogar herunterladen konnte. War dies das Ergebnis einer massiven Datenpanne? Ganz und gar nicht. Der Trick besteht darin, dass Zoom den Nutzern erlaubt, ihre aufgezeichneten Meetings ohne Passwort an ihrem bevorzugten Ort zu speichern. Dies wird noch dadurch verschlimmert, dass Sie die Aufzeichnung mit dem Standardtitel speichern können, der mit dem Thema des E-Meetings übereinstimmt. Wenn Sie Ihr Video z. B. im S3-Bucket von Amazon Web Services (AWS) speichern, kann es jeder über eine einfache Suche im Cloud-Speicher finden.
Best Practices für SaaS-Sicherheit
Laut dem SaaS Security Survey Report 2021 gaben 89 % der befragten Unternehmen an, dass SaaS-Fehlkonfigurationen eine der drei größten Bedrohungen für die Cybersicherheit darstellen. Die Forscher fanden heraus, dass dies die Hauptursache für die im Bericht dargestellten Cybersicherheitsprobleme ist.
Mit anderen Worten, es ist nicht so, dass die SaaS-Anwendungen inhärente Sicherheitsmängel haben, sondern die Art und Weise, wie wir diese Anwendungen nutzen, ist die Hauptursache für Software-as-a-Service-Sicherheitspannen. In einem Artikel über Cloud-Sicherheit heißt es, dass bis zum Jahr 2025 99 % der Vorfälle im Bereich der Cybersicherheit einfach auf den Kunden zurückzuführen sein werden. Wie können Sie also die Sicherheit Ihrer SaaS-Anwendungen gewährleisten? Das empfehlen wir Ihnen.
Bewerten Sie alle Ihre Risiken
In Cloud-first-Umgebungen sind die meisten (wenn nicht alle) Anwendungen in ein einziges Ökosystem integriert. Dennoch sollten Sie jede Anwendung regelmäßig auf ihre Compliance, die verfügbaren Zugriffsbeschränkungen, den Grad des Schutzes vor Hacking-Versuchen usw. hin überprüfen. So können Sie alle Risiken, die jede Anwendung für Ihre Cloud-Umgebung darstellt, definieren und bewerten.
Automatisieren Sie so viel wie möglich
Es lässt sich nicht leugnen, dass die kontinuierliche Überwachung einer ganzen Reihe von Drittanbieter-Apps eine gewaltige Aufgabe ist – ein Grund, warum es vielen Unternehmen nicht gelingt, alle ihre Apps im Auge zu behalten und Probleme rechtzeitig zu erkennen. Um sicherzustellen, dass Ihnen nichts entgeht, empfehlen wir Ihnen dringend, sich Automatisierungstools wie SaaS Security Posture Management (SSPM)-Lösungen genauer anzusehen. Sie können diese Aufgabe für Sie übernehmen.
Vermeiden Sie Fehlkonfigurationen
Viele Forscher sind sich einig, dass Fehlkonfigurationen – insbesondere schlechtes Zugriffsmanagement – ein ernsthaftes SaaS-Cybersicherheitsrisiko darstellen. Um dieses Risiko zu minimieren, sollten Sie sicherstellen, dass Sie das Maximum aus den Sicherheitseinstellungen der einzelnen Anwendungen herausholen. Gibt es eine Multi-Faktor-Authentifizierung? Schalten Sie sie ein. Erlaubt Ihre Anwendung verschiedene Stufen von Benutzerzugriffsberechtigungen? Analysieren Sie, wer das Tool nutzen wird, und richten Sie die Berechtigungen entsprechend ein.
Setzen Sie die Least-Privilege-Zugriffsrichtlinie ein
Schränken Sie die Anzahl der Benutzer, die auf Ihre Unternehmensdaten zugreifen können, so weit wie möglich ein. Befolgen Sie die Faustregel: Wenn eine bestimmte Zugriffsbeschränkung Ihren Arbeitsablauf nicht beeinträchtigt, sollten Sie sie beibehalten. Auf diese Weise können Sie Vorfälle wie den mit den Jira-Benutzern vermeiden.
Standards einführen
Menschen neigen dazu, mit Unternehmensdaten unvorsichtig umzugehen. DoControl fand heraus, dass 20% aller SaaS-Assets von Unternehmen intern mit einem Link geteilt werden und 18% extern, wodurch Daten für nicht autorisierte Benutzer zugänglich werden. Die Entwicklung von Standards für die Nutzung von Anwendungen als Leitfaden für Ihre Mitarbeiter wird dazu beitragen, Datenlecks wie diese zu minimieren.
Informieren Sie Ihre Mitarbeiter
Der laxe Umgang mit Unternehmensressourcen könnte auch darauf zurückzuführen sein, dass einige Mitarbeiter nicht darin geschult sind, wie man verantwortungsvoll mit Daten umgeht, oder sich der Notwendigkeit eines solchen Umgangs nicht bewusst sind. Ein formelles Programm zur Sensibilisierung für die Sicherheit mit regelmäßigen Schulungen kann hier Abhilfe schaffen. Außerdem wird dadurch das Risiko von Angriffen mit Hilfe von Social-Engineering-Techniken verringert.
Überprovisionierung vermeiden
Moderne SaaS-Umgebungen sind „überbevölkert“. Untersuchungen zeigen, dass mehr als die Hälfte der Anwendungen in einem durchschnittlichen SaaS-Stack seit mehr als sechs Monaten nicht mehr genutzt wurden. So viele Anwendungen zu haben, die sensible Daten enthalten könnten, ist ein unangemessenes Risiko. Trennen Sie sich also von überflüssigen Anwendungen, sobald sie entdeckt werden.
Scannen Sie jede App sorgfältig, bevor Sie sie in Ihren Stack aufnehmen
Je mehr Apps Sie haben, desto größer sind die Risiken für die Cybersicherheit, denen Sie Ihre Daten aussetzen. Daher sollten Sie jede einzelne App, die Sie für Ihr Unternehmen nutzen möchten, genau prüfen. Mit den folgenden Fragen können Sie unzuverlässige Anbieter herausfiltern:
- Erlaubt das Design des Zugangskontrollsystems die Vermeidung von Netzwerksicherheitsproblemen?
- Enthalten die Zugangseinstellungen verschiedene Stufen von Benutzerzugangsbeschränkungen?
- Müssen Sie Vorschriften wie GDPR oder HIPPA (oder andere für Ihren Fall relevante Vorschriften) einhalten?
- Sind Sie bereit, externe Cybersicherheitsüberprüfungen vorzunehmen?
- Verfügen Sie über Cybersicherheitszertifizierungen, z. B. nach ISO?
- Können Ihre Kunden kontrollieren, wo ihre Daten gespeichert werden?
- Wo speichern Sie die App-Daten? Bei einem bekannten Cloud-Anbieter wie AWS oder in einem privaten Rechenzentrum?
- Verschlüsseln Sie die Daten während der Übertragung und im Ruhezustand?
- Wie lange bewahren Sie die Daten in Ihrer App auf, bevor Sie sie löschen?
- Wie verhindern Sie, dass die Nutzerdaten bei einer Naturkatastrophe verloren gehen?
Dies ist die grundlegende SaaS-Sicherheits-Checkliste, und weitere Überlegungen könnten für Ihr spezielles Unternehmen erforderlich sein. Aber jetzt kommt die nächste Herausforderung. Sie haben zum Beispiel festgestellt, dass Ihre derzeitige Kundensupport-Plattform zahlreiche Sicherheitslücken aufweist, und möchten auf eine sicherere Option umsteigen. Es stellt sich also die Frage, ob es einen sicheren Weg gibt, Ihre Daten problemlos von einer Plattform auf die andere zu migrieren. Hier finden Sie die Antwort.
Wie die Helpdesk-Migration ohne Cybersecurity-Risiken abläuft
Wenn Sie Ihre Helpdesk-Daten sicher migrieren möchten, müssen Sie nicht im Internet nach einem vertrauenswürdigen Anbieter für die Datenmigration suchen. Lassen Sie einfach unsere automatisierte Lösung für die Datenmigration – Help Desk Migration – die Arbeit für Sie sicher erledigen. Im Folgenden finden Sie einige der SaaS-Sicherheitsstandards, die wir zum Schutz Ihrer Daten anwenden.
Technische Maßnahmen
Wir von Help Desk Migration sind der festen Überzeugung, dass die Sicherheit einer Anwendung in Bezug auf ihr Design ausschließlich in der Verantwortung des Anbieters liegt. Die Migration von Helpdesk-Daten mit unserem Service ist durch die folgenden Maßnahmen sicher:
- Zugriffsschutz für Mitarbeiter. Alle Geräte, mit denen unsere Mitarbeiter auf unseren Service zugreifen, sind verschlüsselt (so dass kein Unbefugter sie lesen kann), und keiner von ihnen kann sich ohne Zwei-Faktor-Authentifizierung bei unseren Web-Apps anmelden. Außerdem verwenden die Administratoren der Helpdesk-Migrationsplattform sowie die Remote-Mitarbeiter ein Cloudflare WARP. Außerdem können nur autorisierte Techniker auf den Quellcode zugreifen, die benutzerdefinierte Migration implementieren und technische Probleme auf Anfrage des Support-Teams lösen.
- Datenaufbewahrungsrichtlinie. Wir löschen alle Migrationsdaten zehn Tage nach der Demo-Migration und fünf Tage nach der vollständigen Migration (wir können die Aufbewahrungsfrist auf Wunsch verkürzen oder verlängern). Und wir speichern keine Kundenpasswörter.
- Schutz der Produktionsumgebung. Wir gehen weit darüber hinaus, um sicherzustellen, dass unser Entwicklungsteam in einer geschützten Umgebung an unserem Service arbeiten kann. Dazu gehören eine Reihe von Maßnahmen wie der Austausch von öffentlichen/privaten Schlüsseln anstelle von Passwörtern für den Zugang zu Servern, eine Zwei-Faktor-Authentifizierung für das Admin-Panel, eine strenge Firewall-Konfiguration usw.
- Infrastruktur. Unsere gesamte Infrastruktur befindet sich in Deutschland und wird von AWS gehostet. Wir installieren und verwalten alle Datensilos innerhalb dieser Infrastruktur, mit Ausnahme der Sicherungskopien, die bei AWS S3 gespeichert werden. Außerdem legen wir großen Wert auf die physische Sicherheit unserer Server und Dienste.
- Schutz der Daten bei der Übertragung und im Ruhezustand. Unser privates Netzwerk ist durch Firewalls, Anti-DDoS-Schutzmaßnahmen und regelmäßige Bewertungen der Netzwerksituation stark gesichert. Die SSL-Verschlüsselung schützt die Daten, die über das Internet fließen. Wir verwenden auch Festplattenverschlüsselung, um statische Daten zu schützen, so dass nur befugte Benutzer sie lesen können.
Organisatorische Maßnahmen
Obwohl unser Dienst von vornherein sicher ist, ergreifen wir eine Reihe von organisatorischen Maßnahmen, um auch nur die geringste Möglichkeit eines Datenverlusts auszuschließen. Dazu gehören:
- Vertraulichkeit. Vor der Einstellung unterschreiben alle unsere Mitarbeiter eine spezielle Klausel im Arbeitsvertrag, die sie dazu verpflichtet, keine vertraulichen Informationen im Zusammenhang mit dem Helpdesk-Migrationsdienst weiterzugeben.
- Geschäftskontinuität.
- Wir verpflichten uns, unsere Dienstleistungen mindestens sechs Monate lang zu erbringen.
- Sicherheitsprüfungen. Wir überprüfen unsere Systeme regelmäßig auf Schwachstellen und führen bei Bedarf Upgrades durch.
- Wiederherstellung im Katastrophenfall. Wir ergreifen alle erforderlichen Maßnahmen, um sicherzustellen, dass Ihre Daten nach einer Naturkatastrophe unversehrt bleiben.
- Aufgabentrennung (SoD). Um Risiken zu minimieren, halten wir uns an die SoD-Richtlinien. Das bedeutet, dass wir nicht einem einzigen Mitarbeiter die volle Kontrolle über einen bestimmten Prozess geben, sondern diese Funktion auf mehrere Teammitglieder verteilen.
Sicherheitsmerkmale
Und natürlich ist keine verlässliche SaaS-Lösung vollständig ohne eine Vielzahl von Sicherheitseinstellungen, die es den Benutzern ermöglichen, von einem umfassenden Schutz zu profitieren. In Bezug auf Help Desk Migration sind dies unter anderem:
- Zwei-Faktor-Authentifizierung. Unser Anmeldeverfahren ist nicht auf die traditionelle Kombination aus Passwort und E-Mail beschränkt. Wir empfehlen, die Zwei-Faktor-Authentifizierung zu aktivieren, um die Sicherheit zu erhöhen.
- Zugriffsüberwachung. Im Migrationsassistenten – unserem Tool, mit dem Sie Ihre Datenstruktur anpassen können – werden alle Benutzeraktivitäten gespeichert. Sie können die IP-Adresse, die Gerätedaten und den Zeitpunkt der Anmeldung einsehen.
Wir empfehlen unseren Nutzern außerdem, ihre Passwörter zu ändern und die uns erteilten Zugriffsberechtigungen einzuschränken, um ihre Daten fünf Tage nach der Migration zu verschieben. Wenn Sie glauben, eine Schwachstelle entdeckt zu haben, sind wir jederzeit gerne bereit, diese zu besprechen.
Einhaltung der Vorschriften
Wir sind stolz auf unser umfangreiches Portfolio an Konformitätserklärungen, die wir ständig aktualisieren und häufig ergänzen. Zurzeit halten wir uns an HIPAA, EU GDPR, ISO/IEC 27001:2013 und PCI DSS.
Dies ist ein kurzer Überblick darüber, wie wir eine sichere Datenmigration gewährleisten. Wenn Sie mehr darüber erfahren möchten, welche Maßnahmen wir zum Schutz Ihrer Daten ergreifen, können Sie einen Blick auf unsere Seite Sicherheitsrichtlinien werfen, sich mit unserem Service Level Agreement vertraut machen oder uns bitten, einen Sicherheitsfragebogen auszufüllen.