Acht Tipps für mehr SaaS-Sicherheit Die größten SaaS-Risiken

Von Michael Scheffler*

Anbieter zum Thema

Höhere Produktivität, bessere Zusammenarbeit und die Ermöglichung von Remote bzw. Hybrid Work: An der Cloud führt längst kein Weg mehr vorbei. Untersuchungen zufolge setzen nahezu alle Unternehmen bis zu einem gewissen Grad auf Software-as-a-Service (SaaS).Doch diese sind oftmals Blind Spots für die Sicherheitsverantwortlichen.

Die Cloud eröffnet nicht nur Mitarbeitern, sondern auch Cyberkriminellen neue Wege in die Unternehmenssysteme.
Die Cloud eröffnet nicht nur Mitarbeitern, sondern auch Cyberkriminellen neue Wege in die Unternehmenssysteme.
(Bild: Yingyaipumi - stock.adobe.com)

Für den neuen SaaS-Datenrisiko-Report von Varonis wurden fast 10 Milliarden Cloud-Objekte mit einem Datenvolumen von mehr als 15 Petabytes im Rahmen von Datenrisikobewertungen bei mehr als 700 Unternehmen weltweit analysiert. Er bietet so ein realistisches Bild der aktuellen Situation. Dabei kristallisierten sich vor allem sechs Problemfelder heraus.

1. Unternehmensweiter Zugriff auf Microsoft 365-Dateien

Der unternehmensweite Zugriff ermöglicht es jedem Mitarbeiter, kritische und sensitive Daten im Netzwerk zu erstellen, zu lesen, zu aktualisieren und zu löschen. Wenn jedoch jeder auf Daten zugreifen kann, schaffen Unternehmen eine breite Angriffsfläche, die sehr anfällig für Cyberangriffe wie Ransomware und Insider-Bedrohungen ist. Wird ein Konto kompromittiert, haben Cyberkriminelle Zugriff auf all diese Dateien und können diese entwenden und/oder verschlüsseln. In einem durchschnittlichen Unternehmen, das Microsoft 365 nutzt, hat jeder Mitarbeitende Zugriff auf 11.000 sensitive Dateien und 97.638 Ordner.

Im Durchschnitt dauert es etwa sechs Stunden pro Ordner, um die globalen Zugriffsgruppen zu identifizieren und manuell zu entfernen, neue Gruppen zu erstellen und diejenigen, die den Zugriff für ihre Arbeit benötigen, hinzuzufügen. Für ein komplettes Unternehmen würde dies über 73.000 Arbeitstage dauern!

2. Ausufernde Berechtigungen

Ein durchschnittliches Unternehmen verfügt über mehr als 40 Millionen individuelle Berechtigungen für SaaS-Anwendungen. Um das Datenrisiko zu reduzieren, müssen alle Beziehungen zwischen Benutzern und Gruppen analysiert werden. Dabei kommt erschwerend hinzu, dass jede SaaS-Anwendung die Berechtigungsmechanismen anders implementiert.

3. Breite interne Datenexposition

Freigabe-Links sind für die Zusammenarbeit ausgesprochen hilfreich, stellen jedoch auch ein erhebliches Sicherheitsrisiko dar. SaaS-Anwendungen animieren zum schnellen Teilen von Links und so gelangen diese oftmals auch an Angreifer oder böswillige Insider. Entsprechend macht es die gemeinsame Nutzung schwierig, sensible Daten zu schützen. Ein durchschnittliches Unternehmen weist mehr als 27.000 solcher Freigabe-Links in Microsoft 365 auf, von denen fast die Hälfte (12.800) für jeden Mitarbeitenden zugänglich ist.

4. Über das Internet zugängliche Daten

Es gibt gute Gründe, Daten über das Internet verfügbar zu machen, sei es für Partner oder Kunden. Allerdings wird oftmals zu freigiebig mit dieser Option umgegangen, wodurch sich das Datenrisiko erheblich vergrößert. Im Durchschnitt sind mehr als 150.000 Datensätze und Dateien eines Unternehmens öffentlich erreichbar: Knapp 50.000 sensitive Datensätze in Microsoft 365 und mehr als 113.000 sensitive Datensätze in anderen SaaS-Anwendungen. Hierzu zählen unter anderem DSGVO-relevante Daten wie personenbezogene Daten, Zahlungsinformationen und sogar Klartextpasswörter.

5. Fehlende Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung (MFA) ist eine wichtige Sicherheitsmaßnahme, die Benutzer auch dann schützen kann, wenn ihre Passwörter entwendet wurden. Laut CISA-Direktorin Jen Easterly verringert die Aktivierung von MFA die Wahrscheinlichkeit, gehackt zu werden, um 99 Prozent. Im Durchschnitt verfügen Unternehmen über 4.468 Benutzerkonten ohne aktivierte MFA. Noch besorgniserregender: Von den 33 Super-Administratorkonten in einem durchschnittlichen Unternehmen wird bei gut jedem zweiten MFA nicht genutzt. Durch die Kompromittierung dieser Konten mit weitreichenden Rechten können Angreifer in großem Umfang Daten stehlen, Hintertüren einrichten und verheerende Schäden verursachen.

6. Nicht mehr genutzte Benutzerkonten

Eine große Gefahr stellen auch Ghost Users dar, also veraltete, nicht mehr benötigte, aber nicht deaktivierte Nutzerkonten. Geisterkonten sind für Hacker ideal, da ihre Nutzung in aller Regel nicht weiter auffällt. Diese legitimen Konten mit bestimmten Berechtigungen können von Cyberkriminelle genutzt werden, um sich in aller Ruhe und ohne Aufmerksamkeit zu erzeugen in den anvisierten Unternehmen umzuschauen und diese von innen heraus kennenzulernen. Dabei können je nach Zugriffsrechten bereits auch schon Daten unauffällig entwendet werden. Im Durchschnitt verfügen Unternehmen über 1.197 inaktive Konten. Ganz ähnlich verhält es sich auch mit Gast-Zugängen: Von den durchschnittlich 1.322 Konten sind auch nach 90 Tagen Inaktivität noch 56 Prozent nutzbar, nach 180 Tagen immerhin noch 33 Prozent.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Acht Tipps für mehr SaaS-Sicherheit

Die Ergebnisse des SaaS-Risikoreports machen deutlich, dass CISOs dringend die Cloud-Risiken identifizieren und reduzieren müssen. Hierbei können diese Maßnahmen helfen.

  • 1. Erkennen und reduzieren Sie Ihren SaaS-Explosionsradius. Wie groß wäre der potenzielle Schaden, wenn Angreifer einen Benutzer kompromittieren würden? Die Reduzierung des Explosionsradius der Cloud, d. h. alles, worauf ein Angreifer mit nur einem kompromittierten Konto oder System zugreifen kann, verringert das Risiko und den potenziellen Schaden erheblich.
  • 2. Achten Sie auf ungewöhnliche Aktivitäten in Ihrer Cloud-Umgebung. Je mehr Aufwand Angreifer betreiben müssen, um an ihr Ziel zu gelangen, desto wahrscheinlicher fallen sie auf und lösen Alarm aus. Deshalb sollte man die Benutzeraktivitäten im Auge behalten und auf Anomalien und für das entsprechende Konto ungewöhnliche Verhaltensweisen achten.
  • 3. Verfolgen Sie einen Zero-Trust-Ansatz. Zero Trust ist eine der besten Verteidigungsmaßnahmen gegen datenbezogene Angriffe wie Ransomware. Keine Person, keine Anwendung und kein System sollte auf mehr zugreifen oder mehr tun können, als nötig.
  • 4. Überprüfen Sie die Einstellungen Ihrer SaaS-Anwendungen. Schon eine einzige Fehlkonfiguration reicht aus, um sensible Daten offenzulegen. Überprüfen Sie die Einstellungen kontinuierlich, um sicherzustellen, dass Aktualisierungen keine Daten offenlegen, schränken Sie die Freigabe außerhalb des Unternehmens ein und kontrollieren Sie die Konfigurationseinstellungen für die Cloud-Freigabe.
  • 5. Aktivieren Sie MFA für sämtliche Mitarbeitende. Dieser einfache Schritt ist entscheidend, wird aber häufig vernachlässigt. Richten Sie MFA für alle Cloud-Anwendungen und -Dienste sowie für Dienst- und Administratorkonten ein. MFA muss obligatorisch sein und darf nicht den Usern freigestellt werden.
  • 6. Führen Sie effektive Offboarding-Prozesse ein. Je mehr SaaS-Anwendungen und -Dienste Unternehmen nutzen, desto höher ist die Wahrscheinlichkeit, dass es Ghost User gibt. Es muss sichergestellt werden, dass Berechtigungen für Cloud-Dienste entzogen werden, wenn Mitarbeitende oder Auftragnehmer das Unternehmen verlassen.
  • 7. Bringen Sie Produktivität und Sicherheit in Einklang. SaaS-Anwendungen spielen ihre Vorteile oftmals vor allem dann aus, wenn sie integriert sind. Allerdings erleichtert die Konnektivität über APIs es Angreifern, sich lateral zu bewegen. Hier gilt es, das richtige Maß zu finden.
  • 8. Stellen Sie die Daten ins Zentrum Ihrer Sicherheitsstrategie. Alte Sicherheitsansätze haben sich mit der Cloud und dem Wegfall des klassischen Perimeters größtenteils überholt. Anstatt beim Schutz außen mit den Endpunkten und Vektoren zu beginnen, ist es weitaus sinnvoller, zuerst die großen, zentralisierten Repositorys zu schützen und die Security so von innen nach außen zu denken.

* Der Autor Michael Scheffler ist Country Manager DACH von Varonis Systems.

(ID:48984981)