„Defense-in-Depth“ Trotz (oder mit) SaaS-Nutzung: Herr über die eigenen Daten bleiben

Anbieter zum Thema

synetics GmbH

Insider Research

Southern Tech GmbH

msg systems ag

Viele Unternehmen sehen ihre Zukunft in der Cloud – konkreter: in SaaS-Lösungen. Neben entscheidenden Erfolgsfaktoren wie Skalierbarkeit und Wirtschaftlichkeit wird mit SaaS-Lösungen auch ein umfassendes Security-Versprechen verbunden. Doch wie sicher ist es, wenn Unternehmen ihre Daten in „fremde Hände“ geben?

In vielen Unternehmen lautet das neue Zauberwort der Digitalisierung: Software-as-a-Service (Saas). Die Bereitstellung von Software als Service durch externe Anbieter verspricht Zukunftssicherheit, Skalierbarkeit und Synergieeffekte. So gehen auch in einer aktuellen Lünendonk-Studie knapp die Hälfte (47 Prozent) der Digital- und IT-Verantwortlichen in der Wirtschaft davon aus, dass ihre Anwendungen zukünftig überwiegend über SaaS-Dienstleister bezogen werden.

Die meisten Anbieter von SaaS-Lösungen haben dabei längst erkannt, dass Security-Aspekte – je nach Ausprägung – Weichensteller für ihr Absatzgeschäft sein können. Sowohl als „Enabler“ aber auch als „Show-Stopper“. Die Mehrheit der Provider wirbt damit, für die Übertragung und Speicherung von Daten modernste und wirksamste Verschlüsselungstechniken einzusetzen. Faktisch kommt beim Einsatz von SaaS-Lösungen natürlich immer eine Übertragungsverschlüsselung der unternehmenseigenen Daten zum Einsatz, da diese an die Server der Anbieter übermittelt werden.

Angriffsvektoren im eigenen Umfeld werden vernachlässigt

Bei der Beauftragung von SaaS-Anbietern haken viele entscheidungsbefugte Personen in Unternehmen ihre Governance- und Compliance-Anforderungen hinsichtlich der IT-Sicherheit also schnell ab. Denn wenn die Anbieter für die nötige Sicherheit sorgen, müssen sie es ja nicht mehr tun – so zumindest die Annahme. Das Problem: Auch in einer sicheren SaaS-Umgebung sind Angriffe weiterhin möglich, da jede Art von Verschlüsselung nur gegen eine bestimmte Art von Angriff oder unberechtigten Zugriff absichern kann.

Es verbleibt ein beträchtlicher Teil der Verantwortung für die Datensicherheit im Unternehmen – auch in einer SaaS-Umgebung. Ein Beispiel: Laptops und Notebooks werden durch Bitlocker verschlüsselt, sodass sich nur Mitarbeitende Zugang zu den IT-Systemen verschaffen können. Die Bitlocker-Verschlüsselung bietet gewöhnlich einen ausreichend hohen Vertraulichkeitsschutz im Fall eines Diebstahls oder Verlustes der Hardware. Hingegen schützt diese Verschlüsselungsart nicht gegen Virus oder Ransomware-Angriffe, die über E-Mail oder USB übermittelt werden. Auch gegen mögliche interne Angriffe kann die Verschlüsselung nicht helfen, wenn es beispielsweise interne Administratoren oder Datenbankmanager bewusst auf die Entwendung sensibler Daten abgesehen haben.

Schutzbedarf feststellen – in Zusammenarbeit mit den Anbietern

Die eigenen Compliance-Strukturen dürfen nicht auf die Erfüllung von Mindestanforderungen beschränkt werden. Wie genau ein angemessenes Sicherheitsniveau aussieht, muss allerdings jedes Unternehmen für sich definieren. Im Fokus muss dabei die Intensität und Qualität der Risikoanalyse stehen, nicht die formale Korrektheit oder das Abhaken von Prozessschritten. Geschieht das nicht, könnte sich das als sehr teuer erweisen. Der Digitalverband Bitkom schätzt den durch Cyberangriffe entstandenen Schaden für deutsche Unternehmen jährlich auf mehr als 200 Milliarden Euro. Tendenz steigend.

Unternehmen, die sich für SaaS-Lösungen entscheiden, müssen deshalb ihre Hausaufgaben selbst machen. Jede gewissenhafte Prüfung der eigenen Sicherheitsmaßnahmen beginnt mit der Frage: Welchen konkreten Schutzbedarf haben unsere Daten? Auch hier gibt es typische Dienstleistungen wie Schutzbedarfsanalysen, Bedrohungsmodellierung sowie IT-Risikoanalysen. Es gilt, die Ergebnisse dieses internen Prozesses eng mit dem SaaS-Anbieter zu koordinieren. Da die Anbieter nicht für alle Angriffsvektoren verantwortlich sein können, müssen die eigenen Sicherheitsmaßnahmen im Unternehmen entsprechend technisch forciert werden.

„Defense-in-Depth“ als Sicherheitslösung für die SaaS-Architektur

Ziel sollte dabei nicht sein, eine hundertprozentige Sicherheit herzustellen – die es ohnehin nicht geben kann. Vielmehr geht es bei Security-Konzepten um Angemessenheit: Es sollte ein passendes Sicherheitsniveau für den eigenen Bedarf etabliert werden. Die heutigen, flexibel einsetzbaren IT-Werkzeuge ermöglichen es, mehr und mehr Prozesse durch Verschlüsselungen zu schützen. Jede Verschlüsselungsart hilft jedoch nur gegen bestimmte Angriffsarten.

Je höher der Schutzbedarf und die interne Zielsetzung, desto zweckmäßiger ist eine Kombination von mehreren Stufen der Verschlüsselung. Dieser Ansatz wird „Defense-in-Depth“ genannt. Defense-in-Depth erhöht die Sicherheit, indem die einzelnen Komponenten (bzw. Layer) der IT-Systeme separat abgesichert und verschlüsselt werden. So können Unternehmen die Angriffsvektoren auf ein akzeptables Mindestmaß reduzieren.

Ein Defense-in-Depth-Ansatz könnte etwa ein Zusammenspiel folgender Maßnahmen beinhalten:

• HDD-Verschlüsselung: Schutz vor Verlust und Diebstahl (Verantwortlich: Hosting-Provider).

• Applikationsverschlüsselung: Database-Administrator haben keinen Zugriff (Verantwortlich: Applikations-Betreiber).

• Firmen Content-Verschlüsselung: Nur die Firma kann die Daten entschlüsseln (Verantwortlich: Unternehmen).

Doch wie wirkt sich die zunehmende Verschlüsselung auf die Leistungsfähigkeit der Systeme aus? Eine berechtigte Frage. Allerdings bewegt sich der Leistungsverlust durch Mehrfachverschlüsselung überwiegend im einstelligen Prozentbereich. Der massiven Förderung des Sicherheitsniveaus sollte angesichts des geringen Leistungsverlustes deutlich mehr Priorität eingeräumt werden.

Hardware-Security-Modules: Der Schlüssel zu Defense-in-Depth

Um die steigende Anzahl der verschlüsselten Schnittstellen durch den Defense-in-Depth-Ansatz wirksam zu verwalten und dem Unternehmen mehr Kontrolle über die eigenen Daten zu gewähren, sind Tenant-Keys – auch Mandantenschlüssel genannt – gefordert. Für solche Schlüssel kommen üblicherweise Hardware-Security-Modules (HSM) zum Einsatz. Ein HSM ist eine hochsichere zertifizierte Crypto-Appliance, in der der Mandant die Zugriffschlüssel in sicherer Form erstellen, verwahren und managen kann. Ein einmal generierter oder importierter Schlüssel kann das HSM nicht wieder verlassen. Auf diese Weise stellen Unternehmen sicher, dass der Vertrauensanker für vertrauliche Daten intern verbleibt und nur die eigenen Mitarbeitenden Zugriff auf entsprechende Datensätze erhalten.

Durch diese Kombination von Verschlüsselungen auf verschiedenen Ebenen reduziert sich die Anzahl valider Angriffsszenarien erheblich. Die verschiedenen Verschlüsselungs-Layer sorgen dafür, dass Übergriffe oder Datenabflüsse durch Administratoren oder Betriebspersonal des Anbieters nicht mehr möglich sind. Und auch wenn es ein Virus schaffen sollte, in die Server des SaaS-Anbieters einzudringen, hätte es auf Grund des Einsatzes eines HSM eine faktisch unlösbare Aufgabe vor sich. Die sensiblen Unternehmensdaten bleiben somit abgesichert.

Insbesondere für KRITIS relevant

Mit dieser Sicherheitsarchitektur lässt sich auch für SaaS-Umgebungen eine effektive Sicherheit herstellen, da durch den Einsatz einer mehrstufigen Verschlüsselung eine Vielzahl von Angriffsvektoren verhindert werden. Insbesondere bei KRITIS-relevanten Unternehmen wie Banken, Energieversorgern oder Gesundheitseinrichtungen oder auch bei High-Tech-Unternehmen mit sehr hohen Anforderungen an die Vertraulichkeit, eröffnen sich hiermit neue Möglichkeiten auf dem Weg zu einer optimierten Sicherheitsarchitektur.

Dabei empfiehlt es sich für Unternehmen auch, die eigene IT-Sicherheit immer wieder auf den Prüfstand zu stellen – durch regelmäßige Wirksamkeits-Prüfungen und einem Kontinuierlichen Verbesserungsprozess (KVP). Nur so können sie sicherstellen, dass sie immer gegen die neuesten Bedrohungen gewappnet sind.

(ID:49439975)