Der kürzlich bekannt gewordene Datenvorfall bei Infinite Campus bietet einen geeigneten Anlass, das Thema Datensicherheit in SaaS-Umgebungen näher zu betrachten insbesondere die Frage, wie sich diese von allgemeinen Sicherheitsanforderungen unterscheidet und welche besonderen Maßnahmen erforderlich sind, um Unternehmensdaten wirksam zu schützen.
Was ist SaaS?
Software as a Service (SaaS) bezeichnet ein durch Cloud Technologien ermöglichtes Geschäftsmodell. Zu den bekanntesten Anbietern in diesem Bereich zählen Google Cloud, Amazon Web Services (AWS) und Microsoft Azure.
Vereinfacht ausgedrückt handelt es sich bei SaaS um ein cloudbasiertes Bereitstellungsmodell für Software, bei dem Anwendungen von einem externen Anbieter gehostet und über das Internet im Rahmen eines Abonnementmodells genutzt werden. Dadurch können Unternehmen ihre globale Reichweite effizient skalieren und einen erheblichen Teil der infrastrukturellen und administrativen Aufwände an spezialisierte Dienstleister auslagern.
SaaS und Sicherheit
Die eigentliche Herausforderung beginnt, sobald man einen Softwareanbieter nicht mehr ausschließlich unter logistischen Gesichtspunkten betrachtet, also hinsichtlich der bereitgestellten Funktionen und des geschäftlichen Mehrwerts, sondern auch aus einer sicherheitstechnischen Perspektive.
Um SaaS Lösungen nutzen zu können, die per Definition nicht lokal betrieben werden, müssen Unternehmen den Systemen des Anbieters zumindest teilweise Zugriff auf ihre eigene IT Umgebung gewähren. Genau an diesem Punkt wird deutlich, weshalb sich Sicherheit in SaaS Umgebungen wesentlich von anderen Sicherheitsaspekten unterscheidet: Nicht nur die eigenen Sicherheitsprozesse sind relevant, sondern ebenso die Sicherheitsstandards und Maßnahmen der Partnerorganisationen.
Im Fall des bereits erwähnten Infinite Campus Vorfalls wird vermutet, dass die Angreifer nicht direkt auf interne Datenbanken zugegriffen haben, sondern die Salesforce Umgebung des Unternehmens als Angriffsvektor nutzten.
Die besondere Schwierigkeit besteht darin, dass durch die Nutzung eines SaaS Anbieters ein zusätzlicher potenzieller Kanal für Datenexposition entsteht, über den das Unternehmen nur begrenzte direkte Kontrolle besitzt. Gleichzeitig sind SaaS Lösungen heute ein integraler Bestandteil zahlreicher Geschäftsmodelle und können nicht einfach aufgegeben werden.
Welche Maßnahmen sind erforderlich?
Der Schlüssel liegt in konsequenter Isolation und der Einhaltung bewährter Sicherheitsstandards. Moderne Sicherheitskonzepte, angefangen bei Zero Trust bis hin zu aktuellen Branchenstandards verfolgen das Ziel, sicherzustellen, dass ein Sicherheitsvorfall in einem Bereich, einem Datensilo oder einer Softwareumgebung ausschließlich diesen betroffenen Bereich kompromittiert und keine weiterreichenden Auswirkungen entfaltet.
Ein zentraler Baustein hierbei ist das Identitäts und Zugriffsmanagement (Identity & Access Management, IAM). Da Mitarbeitende von unterschiedlichen Standorten und über verschiedene Endgeräte auf cloudbasierte Systeme zugreifen, wird eine zuverlässige Authentifizierung sowohl anspruchsvoller als auch wichtiger denn je. Nur autorisierte Personen mit den erforderlichen Berechtigungen dürfen Zugriff auf sensible Systeme und Daten erhalten.
Darüber hinaus sind zwei weitere Schutzebenen unverzichtbar: Erstens ein kontinuierliches Monitoring, das ungewöhnliche Aktivitäten und potenzielle Warnsignale frühzeitig erkennt und meldet. Zweitens eine umfassende Datensicherheitsstrategie, die durch unveränderbare (immutable) Backups abgesichert wird.
Wie bereits mehrfach betont, ist selbst ein mehrschichtiges Sicherheitskonzept nicht unfehlbar. Deshalb gehören ein durchdachter Disaster Recovery Plan sowie wirksame Maßnahmen zur Schadensbegrenzung zu den unverzichtbaren Bestandteilen jeder modernen Sicherheitsstrategie. Denn früher oder später wird ein einzelner Schutzmechanismus versagen entscheidend ist, wie gut das Unternehmen auf diesen Moment vorbereitet ist.
Ihre Daten in Ihren Händen – Mit TECH-ARROW
Bildquelle: Canva
