Software-as-a-Service-Sicherheit
SaaS-Security braucht Priorität!
Foto: nerucci - shutterstock.com
Die Sicherheit von IaaS-Clouds zu optimieren, ist angesichts deren Komplexität und multipler Komponenten eine Aufgabe, die regelmäßig hohe Priorität auf den To-Do-Listen genießt. Dabei sind allerdings die Software-as-a-Service-Systeme, die seit mehr als zwanzig Jahren im Einsatz sind, aus dem Fokus gefallen. Stattdessen verlassen sich viele Unternehmen in Sachen SaaS-Sicherheit auf Annahmen und Vermutungen.
Bei SaaS-Systemen handelt es sich im Wesentlichen um Anwendungen, die per Fernzugriff ausgeführt werden und deren Daten auf Backend-Systemen gespeichert sind, die der SaaS-Anbieter im Namen des Kunden verschlüsselt. Möglicherweise wissen Sie nicht einmal, in welcher Datenbank Ihre Buchhaltungs-, CRM- oder Inventardaten gespeichert sind. Vermutlich hat man Ihnen gesagt, dass Ihnen das eigentlich auch egal sein kann. Schließlich betreibt der Anbieter das gesamte System für Sie, während Benutzer und Administratoren es einfach über einen Webbrowser nutzen. In der Tat abstrahiert SaaS die Komponenten weitergehend als andere Formen des Cloud Computing.
Dabei vereinnahmt Software-as-a-Service den größten Teil des Cloud-Computing-Marktes, wie diverse Marketing-Studien belegen. Der Schwerpunkt liegt dabei heutzutage oft auf IaaS-Infrastrukturen wie sie beispielsweise AWS, Microsoft oder Google zur Verfügung stellen, was den Blick auf die teilweise hochfragmentierte SaaS-Welt verstellt. Inzwischen umfassen allerdings auch SaaS-Angebote Backup-, Recovery- und andere Dienste, die eigentlich IaaS-typisch sind, aber mit dem SaaS-Ansatz ausgeliefert werden. Diese entbinden Sie davon, sich mit sämtlichen Details befassen zu müssen - was genau das ist, was die Cloud leisten sollte.
Ich vermute, dass die Sicherheit von SaaS-Clouds erst dann höhere Priorität erlangt, wenn entsprechende Hackerangriffe und andere Vorfälle Schlagzeilen machen. Darauf sollten Sie achten, wenn es um SaaS-Sicherheit geht.
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox!
SaaS-Sicherheitsmängel werden sich rächen
Der Kern der SaaS-Sicherheitsprobleme: menschliches Versagen. Fehlkonfigurationen können beispielsweise auftreten, wenn Administratoren Benutzern zu häufig Zugriffsrechte oder Berechtigungen erteilen. Eventuell unbefugte Benutzer können so SaaS-Schnittstellen (etwa den Zugriff auf API oder Benutzeroberfläche) falsch konfigurieren. Allzu oft erhalten Benutzer Zugriff auf sämtliche Daten, obwohl sie diesen nur für einzelne Dateneinheiten benötigen. Das kann zu verheerenden und in hohem Maße vermeidbaren Datenschutzverstößen führen.
In der Regel handelt es sich hierbei um ein Problem mit dem Datenzugriff, den der SaaS-Anbieter über User Interfaces und APIs bereitstellt. Andrere Probleme können jedoch auch auf den Datenintegrationsschichten auftreten, die die SaaS-Kunden installieren, um Daten in der SaaS-Wolke mit anderen in der IaaS-Wolke gehosteten Datenbanken oder mit Altsystemen zu synchronisieren. Diese Datenintegrationsschichten sind im Fall einer falschen Handhabung von Zugriffsrechten oft leicht zu knacken. Zudem können die Datenintegrationsebenen selbst, von denen viele auch als SaaS bereitgestellt werden, Schwachstellen aufweisen.
Andere Software-as-a-Service-Sicherheitsprobleme sind weniger komplex: Etwa wenn frustrierte Mitarbeiter ihren Unmut am Unternehmen auslassen wollen, indem sie den Großteil der SaaS-gehosteten Daten ihres Unternehmens auf ein USB-Laufwerk kopieren. Ähnlich wie Datenzugriffsprobleme lässt sich auch an dieser Stelle mit mehr Restriktionen und zusätzlichen Aufklärungskampagnen agieren. Zu den Problemen auf Seiten der SaaS-Anbieter gehört beispielweise mangelnde Transparenz - etwa, wenn deren Mitarbeiter Kundendaten entwenden oder Sicherheitsverletzungen nicht gemeldet werden.
SaaS-Sicherheit ist sowohl ein alter als auch ein neuer Ansatz und Technologie-Stack. Seit den ersten Cloud-Security-Bemühungen haben wir einen langen Weg zurückgelegt. Der SaaS-Sicherheit wurde jedoch nicht so viel Aufmerksamkeit, Liebe und Aufklärung zuteil wie anderen Bereichen der Cloud-Sicherheit. Dafür werden wir irgendwann bezahlen müssen, wenn wir die Dinge jetzt nicht in Ordnung bringen. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation InfoWorld.