Viele Unternehmen sehen ihre Zukunft in der Cloud – konkreter: in SaaS-Lösungen. Neben entscheidenden Erfolgsfaktoren wie Skalierbarkeit und Wirtschaftlichkeit wird mit SaaS-Lösungen auch ein umfassendes Security-Versprechen verbunden. Doch wie sicher ist es, wenn Unternehmen ihre Daten in „fremde Hände“ geben?
Unternehmen, die sich für SaaS-Lösungen entscheiden, müssen ihre Hausaufgaben hinsichtlich der eigenen IT-Sicherheit selbst machen und diese auch immer wieder auf den Prüfstand stellen.
(Bild: enzozo - stock.adobe.com)
In vielen Unternehmen lautet das neue Zauberwort der Digitalisierung: Software-as-a-Service (Saas). Die Bereitstellung von Software als Service durch externe Anbieter verspricht Zukunftssicherheit, Skalierbarkeit und Synergieeffekte. So gehen auch in einer aktuellen Lünendonk-Studie knapp die Hälfte (47 Prozent) der Digital- und IT-Verantwortlichen in der Wirtschaft davon aus, dass ihre Anwendungen zukünftig überwiegend über SaaS-Dienstleister bezogen werden.
Die meisten Anbieter von SaaS-Lösungen haben dabei längst erkannt, dass Security-Aspekte – je nach Ausprägung – Weichensteller für ihr Absatzgeschäft sein können. Sowohl als „Enabler“ aber auch als „Show-Stopper“. Die Mehrheit der Provider wirbt damit, für die Übertragung und Speicherung von Daten modernste und wirksamste Verschlüsselungstechniken einzusetzen. Faktisch kommt beim Einsatz von SaaS-Lösungen natürlich immer eine Übertragungsverschlüsselung der unternehmenseigenen Daten zum Einsatz, da diese an die Server der Anbieter übermittelt werden.
Angriffsvektoren im eigenen Umfeld werden vernachlässigt
Bei der Beauftragung von SaaS-Anbietern haken viele entscheidungsbefugte Personen in Unternehmen ihre Governance- und Compliance-Anforderungen hinsichtlich der IT-Sicherheit also schnell ab. Denn wenn die Anbieter für die nötige Sicherheit sorgen, müssen sie es ja nicht mehr tun – so zumindest die Annahme. Das Problem: Auch in einer sicheren SaaS-Umgebung sind Angriffe weiterhin möglich, da jede Art von Verschlüsselung nur gegen eine bestimmte Art von Angriff oder unberechtigten Zugriff absichern kann.
Es verbleibt ein beträchtlicher Teil der Verantwortung für die Datensicherheit im Unternehmen – auch in einer SaaS-Umgebung. Ein Beispiel: Laptops und Notebooks werden durch Bitlocker verschlüsselt, sodass sich nur Mitarbeitende Zugang zu den IT-Systemen verschaffen können. Die Bitlocker-Verschlüsselung bietet gewöhnlich einen ausreichend hohen Vertraulichkeitsschutz im Fall eines Diebstahls oder Verlustes der Hardware. Hingegen schützt diese Verschlüsselungsart nicht gegen Virus oder Ransomware-Angriffe, die über E-Mail oder USB übermittelt werden. Auch gegen mögliche interne Angriffe kann die Verschlüsselung nicht helfen, wenn es beispielsweise interne Administratoren oder Datenbankmanager bewusst auf die Entwendung sensibler Daten abgesehen haben.
Schutzbedarf feststellen – in Zusammenarbeit mit den Anbietern
Die eigenen Compliance-Strukturen dürfen nicht auf die Erfüllung von Mindestanforderungen beschränkt werden. Wie genau ein angemessenes Sicherheitsniveau aussieht, muss allerdings jedes Unternehmen für sich definieren. Im Fokus muss dabei die Intensität und Qualität der Risikoanalyse stehen, nicht die formale Korrektheit oder das Abhaken von Prozessschritten. Geschieht das nicht, könnte sich das als sehr teuer erweisen. Der Digitalverband Bitkom schätzt den durch Cyberangriffe entstandenen Schaden für deutsche Unternehmen jährlich auf mehr als 200 Milliarden Euro. Tendenz steigend.
Unternehmen, die sich für SaaS-Lösungen entscheiden, müssen deshalb ihre Hausaufgaben selbst machen. Jede gewissenhafte Prüfung der eigenen Sicherheitsmaßnahmen beginnt mit der Frage: Welchen konkreten Schutzbedarf haben unsere Daten? Auch hier gibt es typische Dienstleistungen wie Schutzbedarfsanalysen, Bedrohungsmodellierung sowie IT-Risikoanalysen. Es gilt, die Ergebnisse dieses internen Prozesses eng mit dem SaaS-Anbieter zu koordinieren. Da die Anbieter nicht für alle Angriffsvektoren verantwortlich sein können, müssen die eigenen Sicherheitsmaßnahmen im Unternehmen entsprechend technisch forciert werden.
„Defense-in-Depth“ als Sicherheitslösung für die SaaS-Architektur
Ziel sollte dabei nicht sein, eine hundertprozentige Sicherheit herzustellen – die es ohnehin nicht geben kann. Vielmehr geht es bei Security-Konzepten um Angemessenheit: Es sollte ein passendes Sicherheitsniveau für den eigenen Bedarf etabliert werden. Die heutigen, flexibel einsetzbaren IT-Werkzeuge ermöglichen es, mehr und mehr Prozesse durch Verschlüsselungen zu schützen. Jede Verschlüsselungsart hilft jedoch nur gegen bestimmte Angriffsarten.
Je höher der Schutzbedarf und die interne Zielsetzung, desto zweckmäßiger ist eine Kombination von mehreren Stufen der Verschlüsselung. Dieser Ansatz wird „Defense-in-Depth“ genannt. Defense-in-Depth erhöht die Sicherheit, indem die einzelnen Komponenten (bzw. Layer) der IT-Systeme separat abgesichert und verschlüsselt werden. So können Unternehmen die Angriffsvektoren auf ein akzeptables Mindestmaß reduzieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ein Defense-in-Depth-Ansatz könnte etwa ein Zusammenspiel folgender Maßnahmen beinhalten:
HDD-Verschlüsselung: Schutz vor Verlust und Diebstahl (Verantwortlich: Hosting-Provider).
Applikationsverschlüsselung: Database-Administrator haben keinen Zugriff (Verantwortlich: Applikations-Betreiber).
Firmen Content-Verschlüsselung: Nur die Firma kann die Daten entschlüsseln (Verantwortlich: Unternehmen).
Doch wie wirkt sich die zunehmende Verschlüsselung auf die Leistungsfähigkeit der Systeme aus? Eine berechtigte Frage. Allerdings bewegt sich der Leistungsverlust durch Mehrfachverschlüsselung überwiegend im einstelligen Prozentbereich. Der massiven Förderung des Sicherheitsniveaus sollte angesichts des geringen Leistungsverlustes deutlich mehr Priorität eingeräumt werden.
Hardware-Security-Modules: Der Schlüssel zu Defense-in-Depth
Denkbare Verschlüsselungs-Layer der Unternehmensapplikation bei einem SaaS-Provider.
(Bild: msg systems AG)
Um die steigende Anzahl der verschlüsselten Schnittstellen durch den Defense-in-Depth-Ansatz wirksam zu verwalten und dem Unternehmen mehr Kontrolle über die eigenen Daten zu gewähren, sind Tenant-Keys – auch Mandantenschlüssel genannt – gefordert. Für solche Schlüssel kommen üblicherweise Hardware-Security-Modules (HSM) zum Einsatz. Ein HSM ist eine hochsichere zertifizierte Crypto-Appliance, in der der Mandant die Zugriffschlüssel in sicherer Form erstellen, verwahren und managen kann. Ein einmal generierter oder importierter Schlüssel kann das HSM nicht wieder verlassen. Auf diese Weise stellen Unternehmen sicher, dass der Vertrauensanker für vertrauliche Daten intern verbleibt und nur die eigenen Mitarbeitenden Zugriff auf entsprechende Datensätze erhalten.
Durch diese Kombination von Verschlüsselungen auf verschiedenen Ebenen reduziert sich die Anzahl valider Angriffsszenarien erheblich. Die verschiedenen Verschlüsselungs-Layer sorgen dafür, dass Übergriffe oder Datenabflüsse durch Administratoren oder Betriebspersonal des Anbieters nicht mehr möglich sind. Und auch wenn es ein Virus schaffen sollte, in die Server des SaaS-Anbieters einzudringen, hätte es auf Grund des Einsatzes eines HSM eine faktisch unlösbare Aufgabe vor sich. Die sensiblen Unternehmensdaten bleiben somit abgesichert.
Insbesondere für KRITIS relevant
Mit dieser Sicherheitsarchitektur lässt sich auch für SaaS-Umgebungen eine effektive Sicherheit herstellen, da durch den Einsatz einer mehrstufigen Verschlüsselung eine Vielzahl von Angriffsvektoren verhindert werden. Insbesondere bei KRITIS-relevanten Unternehmen wie Banken, Energieversorgern oder Gesundheitseinrichtungen oder auch bei High-Tech-Unternehmen mit sehr hohen Anforderungen an die Vertraulichkeit, eröffnen sich hiermit neue Möglichkeiten auf dem Weg zu einer optimierten Sicherheitsarchitektur.
Dabei empfiehlt es sich für Unternehmen auch, die eigene IT-Sicherheit immer wieder auf den Prüfstand zu stellen – durch regelmäßige Wirksamkeits-Prüfungen und einem Kontinuierlichen Verbesserungsprozess (KVP). Nur so können sie sicherstellen, dass sie immer gegen die neuesten Bedrohungen gewappnet sind.
* Über den Autor Bernhard Weber ist Principal IT Consultant bei msg security advisors, einem Unternehmen der msg-Gruppe. Er ist seit über 30 Jahren als IT-Risk- und Information-Security-Consultant für Konzerne und KMU aus unterschiedlichsten Branchen tätig.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/fd/34fdef54803731e87c26c895abe5f9f0/0128873273v1.jpeg "Wenngleich Quantencomputer aktuell noch sehr teuer sind und deren allgemeine Verfügbarkeit derzeit noch Zukunftsmusik ist, wappnet sich das BSI bereits jetzt gegen die Cyberangriffe von morgen. (ec0de - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/f9/7af9bb48ac1b02e6dd9f656a3764eafa/0129089298v1.jpeg "Warum klassische MES-Systeme an Grenzen stoßen und wie Cloud-native MOM-Plattformen für mehr Flexibilität und Effizienz sorgen, zeigt der Gastbeitrag. (Bild: © panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/04/c5/04c59ee8e7c17d436f290aa712af855a/0123391412v1.jpeg "AWS will mit ausgewählten Sicherheitsstrategien effektiv vor Datenrisiken in der AWS-Cloud schützen. (Bild: Best - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6c/4d/6c4dc6301330248ca4a345613d256d20/0125831551v1.jpeg "Vertraulich gesichert: Confidential Computing soll rundum Schutz in der Cloud bieten. Mit 3D-Verschlüsselung bleiben Daten vor unerlaubtem Zugriff geschützt, selbst bei der Verarbeitung. (Bild: © Ar_TH - stock.adobe.com)")