07.07.2022 / Kategorie: Cloud Security
Die Anzahl der in Unternehmen eingesetzten SaaS Anwendungen steigt. Und dadurch auch das Security-Risiko, das damit einhergeht. Wie können Security-Verantwortliche Herr der Lage werden? Ein risikobasierter Ansatz im Umgang mit SaaS Anwendungen hilft.
Eine der Auswirkungen der Digitalisierung und der Migration der Firmendaten in die Cloud sind immer mehr SaaS Dienste, die in den Schweizer Unternehmen genutzt werden. Diese Anwendungen sind inzwischen in die täglichen Arbeitsabläufe der Mitarbeitenden integriert. Sie werden zunehmend für die Speicherung, Verarbeitung und Übertragung von kommerziell sensiblen Informationen und persönlichen Daten verwendet. Solche Daten unterliegen in der Regel gesetzlichen, regulatorischen oder vertraglichen Sicherheitsverpflichtungen. Gleichzeitig sind solche Daten mehr als begehrenswert für Angreifer.
SaaS Anwendungen bieten Unternehmen viele Vorteile, darunter Skalierbarkeit, einfache Bereitstellung und niedrige Betriebskosten. Ihre Flexibilität und Agilität macht sie attraktiv. Allerdings verlagern Unternehmen mit SaaS Anwendungen ihre Daten über die Grenzen der traditionellen Netzwerkgrenzen hinaus. Dies stellt die IT-Teams vor Herausforderungen in Bezug auf Transparenz, Kontrolle und Sicherheit. Sensible Daten werden in mehreren Clouds gespeichert, die verschiedenen Anbietern gehören. Diese Daten werden auch auf zahlreiche Geräte ausserhalb der Unternehmensgrenzen hoch- und heruntergeladen. Für die IT und die Security sind SaaS Anwendungen eine Herausforderung. Die Teams sind häufig überlastet und in vielen Unternehmen fehlen schlichtweg die auf die SaaS Dienste abgestimmten Prozesse. Dadurch ist der Umgang mit SaaS Anwendungen erstens für das Business unklar (unklare Anforderungen an die SaaS Dienste/unklare Bewilligungsprozesse) und zweitens sind sie für die IT und die Security nicht innerhalb einer vernünftigen Zeit zu bewältigen.
Das führt dazu, dass viele dieser Dienste zunächst an der IT und der Security vorbei eingeführt werden, da es sonst zu lange dauert oder zu komplizierte Prozesse einzuhalten oder viel zu komplizierte Anforderungen zu erfüllen sind. Und in der Folge werden diese Anwendungen auch von den jeweiligen Businessunits selbst betrieben. Das bedeutet: Diese Applikationen sind in keinem Inventar vorhanden und können nicht mit den normalen Prozessen betrieben und überwacht werden. Diese Schatten-IT birgt somit eine Reihe von Risiken. Dazu gehören u. a. Cloud-Fehlkonfigurationen und die mangelhafte Absicherung der Anwendungen. Gartner prognostiziert, dass bis 2025 99 % der Sicherheitsmängel in der Cloud auf das Konto der nutzenden Unternehmen gehen werden.
Was aber kann die IT-Security machen, um vom Flaschenhals zum Business-Enabler in Sachen SaaS-Anwendungen zu werden?
Die Security Abteilung sollte ihr Hauptaugenmerk auf die Kronjuwelen legen. Dabei bietet sich ein risikobasierter Ansatz an. Die SaaS Dienste werden nach verschiedenen Kriterien, wie zum Beispiel die Datenklassifikation, der Kritikalität oder dem Vorhandensein von Personendaten, in Risikostufen eingeteilt.
Für jede dieser Risikostufen können nun Anforderungen definiert werden, die der SaaS Dienst erfüllen muss, damit er im Unternehmen eingeführt werden kann. Für Dienste mit einem niedrigen Risiko bietet sich eine Selbstdeklaration an, die vom Geschäftsbereich oder von einem technischen Verantwortlichen ausgefüllt wird und von der Sicherheit oder vom Datenschutz nur nach Bedarf überprüft werden muss. Dadurch kann der Geschäftsbereich schnell neue Services einführen, da es normalerweise mehr unkritische Services gibt. Und die Security kann sich auf die wichtigen Dienste konzentrieren und ihre Zeit effizient einsetzen.
Weiters sollten für jeden SaaS Dienst die nach der Risikostufe erforderlichen Anforderungen geprüft werden. Dies beinhaltet sowohl technische und organisatorische als auch personelle Schutzmassnahmen. Speziell die Cloud-spezifischen Risiken müssen hier abgedeckt werden. Ausserdem müssen auch die regulatorischen Anforderungen, wie z. B. der Datenschutz einfliessen. Dadurch müssen auch Anforderungen an den Clouddienst Anbieter sowie Anforderungen an den Vertrag überprüft werden.
Da es bei einem Clouddienst Bereiche gibt, die in der gemeinsamen Verantwortung des Anbieters und des Kunden liegen (Shared Responsability), müssen diese nicht nur beim Anbieter umgesetzt werden, sondern auch im Unternehmen. Es bringt nichts, wenn der Clouddienst Multifaktor Authentifizierung anbietet, diese aber nicht vom Unternehmen eingesetzt wird.
Dabei empfiehlt es sich, dem Antragsteller einen Fragebogen oder eine Checkliste zukommen zu lassen, damit dieser klar weiss, was von ihm überprüft werden muss. Dabei dient dieser Fragebogen/Checkliste auch als Dokumentation, damit die Entscheidung für oder gegen einen Cloud-Dienst später auch nachvollzogen werden kann. Wichtig ist, dass der Fragebogen eine überschaubare Anzahl von Fragen enthält, damit er von den Benutzern auch verwendet wird. Dabei kann auch für Clouddienste mit einem hohen Risiko ein umfassender Fragebogen wie zum Beispiel die Cloud Control Matrix der Cloud Security Alliance verwendet werden. Dadurch kann die Anzahl der Fragen für die weniger risikobehafteten Dienste kleiner gehalten werden.
Immer mehr Cloud Dienstleister lassen sich zertifizieren oder stellen den Kunden Berichte oder Audits über ihre Sicherheit zur Verfügung, die sie durch externe Stellen erstellen lassen (CSA Star, BSI C5, ISO 27001, SOC2, etc.). Die Einbeziehung dieser Zertifizierungen oder Berichte vereinfacht den Fragebogen, da durch die Zertifizierung schon verschiedene Massnahmen abgedeckt sind und nicht mehr spezifisch nachgefragt werden müssen.
Wichtig für den Erfolg dieses Ansatzes ist, dass betroffene Stellen im Unternehmen, wie die Rechtsabteilung oder der Datenschutz in diesen Prozess eingebunden sind und diesen unterstützen.
Da sich Cloud-Dienste ständig weiterentwickeln und sich auch die Art der Nutzung in der Firma häufig ändert, da weitere Daten vom Cloud-Dienst bearbeitet werden und/oder neue Funktionalitäten genutzt werden, ist es empfehlenswert, die Anforderungen sowie die Zertifizierungen bei grossen Änderungen oder jährlich zu überprüfen. Damit befindet man sich auch bei längerer Nutzung des Clouddienstes auf der sicheren Seite.
Bei aller Begeisterung für die Vorteile von SaaS Anwendungen müssen sich Unternehmen ihrer Verantwortung bewusst sein, die von ihnen genutzten Cloud-Dienste sicher zu konfigurieren und dafür zu sorgen, dass Daten nur an die Personen weitergegeben werden, für die sie bestimmt sind. SaaS Anwendungen müssen genauso sicher betrieben werden wie alle anderen Applikationen im Unternehmen. Andernfalls sind sie ein unkalkulierbarer Risikofaktor.
Wie gehen Sie in Ihrem Unternehmen mit den SaaS Anwendungen um? Haben Sie volle Transparenz darüber, welche Clouddienste bei Ihnen genutzt werden und sind diese auch ausreichend abgesichert? Unsere Experten unterstützen Sie gerne dabei, alle SaaS Anwendungen in den Griff zu bekommen.
Kontaktieren Sie uns! Unsere erfahrenen Cybersecurity-Experten beraten und unterstützen Sie gerne.
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications