Höhere Produktivität, bessere Zusammenarbeit und die Ermöglichung von Remote bzw. Hybrid Work: An der Cloud führt längst kein Weg mehr vorbei. Untersuchungen zufolge setzen nahezu alle Unternehmen bis zu einem gewissen Grad auf Software-as-a-Service (SaaS).Doch diese sind oftmals Blind Spots für die Sicherheitsverantwortlichen.
Die Cloud eröffnet nicht nur Mitarbeitern, sondern auch Cyberkriminellen neue Wege in die Unternehmenssysteme.
(Bild: Yingyaipumi - stock.adobe.com)
Für den neuen SaaS-Datenrisiko-Report von Varonis wurden fast 10 Milliarden Cloud-Objekte mit einem Datenvolumen von mehr als 15 Petabytes im Rahmen von Datenrisikobewertungen bei mehr als 700 Unternehmen weltweit analysiert. Er bietet so ein realistisches Bild der aktuellen Situation. Dabei kristallisierten sich vor allem sechs Problemfelder heraus.
1. Unternehmensweiter Zugriff auf Microsoft 365-Dateien
Der unternehmensweite Zugriff ermöglicht es jedem Mitarbeiter, kritische und sensitive Daten im Netzwerk zu erstellen, zu lesen, zu aktualisieren und zu löschen. Wenn jedoch jeder auf Daten zugreifen kann, schaffen Unternehmen eine breite Angriffsfläche, die sehr anfällig für Cyberangriffe wie Ransomware und Insider-Bedrohungen ist. Wird ein Konto kompromittiert, haben Cyberkriminelle Zugriff auf all diese Dateien und können diese entwenden und/oder verschlüsseln. In einem durchschnittlichen Unternehmen, das Microsoft 365 nutzt, hat jeder Mitarbeitende Zugriff auf 11.000 sensitive Dateien und 97.638 Ordner.
Im Durchschnitt dauert es etwa sechs Stunden pro Ordner, um die globalen Zugriffsgruppen zu identifizieren und manuell zu entfernen, neue Gruppen zu erstellen und diejenigen, die den Zugriff für ihre Arbeit benötigen, hinzuzufügen. Für ein komplettes Unternehmen würde dies über 73.000 Arbeitstage dauern!
2. Ausufernde Berechtigungen
Ein durchschnittliches Unternehmen verfügt über mehr als 40 Millionen individuelle Berechtigungen für SaaS-Anwendungen. Um das Datenrisiko zu reduzieren, müssen alle Beziehungen zwischen Benutzern und Gruppen analysiert werden. Dabei kommt erschwerend hinzu, dass jede SaaS-Anwendung die Berechtigungsmechanismen anders implementiert.
3. Breite interne Datenexposition
Freigabe-Links sind für die Zusammenarbeit ausgesprochen hilfreich, stellen jedoch auch ein erhebliches Sicherheitsrisiko dar. SaaS-Anwendungen animieren zum schnellen Teilen von Links und so gelangen diese oftmals auch an Angreifer oder böswillige Insider. Entsprechend macht es die gemeinsame Nutzung schwierig, sensible Daten zu schützen. Ein durchschnittliches Unternehmen weist mehr als 27.000 solcher Freigabe-Links in Microsoft 365 auf, von denen fast die Hälfte (12.800) für jeden Mitarbeitenden zugänglich ist.
4. Über das Internet zugängliche Daten
Es gibt gute Gründe, Daten über das Internet verfügbar zu machen, sei es für Partner oder Kunden. Allerdings wird oftmals zu freigiebig mit dieser Option umgegangen, wodurch sich das Datenrisiko erheblich vergrößert. Im Durchschnitt sind mehr als 150.000 Datensätze und Dateien eines Unternehmens öffentlich erreichbar: Knapp 50.000 sensitive Datensätze in Microsoft 365 und mehr als 113.000 sensitive Datensätze in anderen SaaS-Anwendungen. Hierzu zählen unter anderem DSGVO-relevante Daten wie personenbezogene Daten, Zahlungsinformationen und sogar Klartextpasswörter.
5. Fehlende Multi-Faktor-Authentifizierung
Die Multi-Faktor-Authentifizierung (MFA) ist eine wichtige Sicherheitsmaßnahme, die Benutzer auch dann schützen kann, wenn ihre Passwörter entwendet wurden. Laut CISA-Direktorin Jen Easterly verringert die Aktivierung von MFA die Wahrscheinlichkeit, gehackt zu werden, um 99 Prozent. Im Durchschnitt verfügen Unternehmen über 4.468 Benutzerkonten ohne aktivierte MFA. Noch besorgniserregender: Von den 33 Super-Administratorkonten in einem durchschnittlichen Unternehmen wird bei gut jedem zweiten MFA nicht genutzt. Durch die Kompromittierung dieser Konten mit weitreichenden Rechten können Angreifer in großem Umfang Daten stehlen, Hintertüren einrichten und verheerende Schäden verursachen.
6. Nicht mehr genutzte Benutzerkonten
Eine große Gefahr stellen auch Ghost Users dar, also veraltete, nicht mehr benötigte, aber nicht deaktivierte Nutzerkonten. Geisterkonten sind für Hacker ideal, da ihre Nutzung in aller Regel nicht weiter auffällt. Diese legitimen Konten mit bestimmten Berechtigungen können von Cyberkriminelle genutzt werden, um sich in aller Ruhe und ohne Aufmerksamkeit zu erzeugen in den anvisierten Unternehmen umzuschauen und diese von innen heraus kennenzulernen. Dabei können je nach Zugriffsrechten bereits auch schon Daten unauffällig entwendet werden. Im Durchschnitt verfügen Unternehmen über 1.197 inaktive Konten. Ganz ähnlich verhält es sich auch mit Gast-Zugängen: Von den durchschnittlich 1.322 Konten sind auch nach 90 Tagen Inaktivität noch 56 Prozent nutzbar, nach 180 Tagen immerhin noch 33 Prozent.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Acht Tipps für mehr SaaS-Sicherheit
Die Ergebnisse des SaaS-Risikoreports machen deutlich, dass CISOs dringend die Cloud-Risiken identifizieren und reduzieren müssen. Hierbei können diese Maßnahmen helfen.
1. Erkennen und reduzieren Sie Ihren SaaS-Explosionsradius. Wie groß wäre der potenzielle Schaden, wenn Angreifer einen Benutzer kompromittieren würden? Die Reduzierung des Explosionsradius der Cloud, d. h. alles, worauf ein Angreifer mit nur einem kompromittierten Konto oder System zugreifen kann, verringert das Risiko und den potenziellen Schaden erheblich.
2. Achten Sie auf ungewöhnliche Aktivitäten in Ihrer Cloud-Umgebung. Je mehr Aufwand Angreifer betreiben müssen, um an ihr Ziel zu gelangen, desto wahrscheinlicher fallen sie auf und lösen Alarm aus. Deshalb sollte man die Benutzeraktivitäten im Auge behalten und auf Anomalien und für das entsprechende Konto ungewöhnliche Verhaltensweisen achten.
3. Verfolgen Sie einen Zero-Trust-Ansatz. Zero Trust ist eine der besten Verteidigungsmaßnahmen gegen datenbezogene Angriffe wie Ransomware. Keine Person, keine Anwendung und kein System sollte auf mehr zugreifen oder mehr tun können, als nötig.
4. Überprüfen Sie die Einstellungen Ihrer SaaS-Anwendungen. Schon eine einzige Fehlkonfiguration reicht aus, um sensible Daten offenzulegen. Überprüfen Sie die Einstellungen kontinuierlich, um sicherzustellen, dass Aktualisierungen keine Daten offenlegen, schränken Sie die Freigabe außerhalb des Unternehmens ein und kontrollieren Sie die Konfigurationseinstellungen für die Cloud-Freigabe.
5. Aktivieren Sie MFA für sämtliche Mitarbeitende. Dieser einfache Schritt ist entscheidend, wird aber häufig vernachlässigt. Richten Sie MFA für alle Cloud-Anwendungen und -Dienste sowie für Dienst- und Administratorkonten ein. MFA muss obligatorisch sein und darf nicht den Usern freigestellt werden.
6. Führen Sie effektive Offboarding-Prozesse ein. Je mehr SaaS-Anwendungen und -Dienste Unternehmen nutzen, desto höher ist die Wahrscheinlichkeit, dass es Ghost User gibt. Es muss sichergestellt werden, dass Berechtigungen für Cloud-Dienste entzogen werden, wenn Mitarbeitende oder Auftragnehmer das Unternehmen verlassen.
7. Bringen Sie Produktivität und Sicherheit in Einklang. SaaS-Anwendungen spielen ihre Vorteile oftmals vor allem dann aus, wenn sie integriert sind. Allerdings erleichtert die Konnektivität über APIs es Angreifern, sich lateral zu bewegen. Hier gilt es, das richtige Maß zu finden.
8. Stellen Sie die Daten ins Zentrum Ihrer Sicherheitsstrategie. Alte Sicherheitsansätze haben sich mit der Cloud und dem Wegfall des klassischen Perimeters größtenteils überholt. Anstatt beim Schutz außen mit den Endpunkten und Vektoren zu beginnen, ist es weitaus sinnvoller, zuerst die großen, zentralisierten Repositorys zu schützen und die Security so von innen nach außen zu denken.
* Der Autor Michael Scheffler ist Country Manager DACH von Varonis Systems.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/74/95/749561a344fbdf3c3a99267c49c38262/0123498535v2.jpeg "Die Sicherheitsexperten von Proofpoint haben festgestellt, dass 78 Prozent der Microsoft-365-Kunden mindestens einmal von einem versuchten Account-Hijacking betroffen waren. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/73/7b7343b7425478b9cc7f85e6c1a4aabb/0123408780v2.jpeg "Die wachsende Komplexität der SaaS-Landschaft macht Unternehmen anfälliger für gezielte Phishing-Angriffe. (Bild: Philip Steury - stock.adobe.com)")