:quality(80)/images.vogel.de/vogelonline/bdb/1904000/1904063/original.jpg "Cloud-Data-Management-Lösungen helfen, vorhandene Datensilos abzubauen und Wildwuchs an Datenständen zu verhindern.")
:quality(80)/images.vogel.de/vogelonline/bdb/1895500/1895564/original.jpg "Managed Clouds haben Vorteile gegenüber klassischen On-Premises-Systemen wie kurze Bereitstellungszeiten, geringen Verwaltungsaufwand sowie hohe Sicherheit und Skalierbarkeit bei transparenten Kosten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1895500/1895525/original.jpg "Unternehmen geben SaaS-Angeboten gegenüber klassischer Enterprise-Software aufgrund wirtschaftlicher Vorteile und zunehmender Leistungsfähigkeit immer mehr den Vorzug.")
:quality(80)/p7i.vogel.de/wcms/ab/51/ab51b1d6607fa81aeab25dd5c4a13033/0105148512.jpeg "0105148512")
:quality(80)/p7i.vogel.de/wcms/ab/5a/ab5a8a653312dcf5bde6d112da2b6a2f/0105080341.jpeg "0105080341")
:quality(80)/p7i.vogel.de/wcms/de/dc/dedc3ff3ec8b3ff8e032bfe52644857e/0105081106.jpeg "0105081106")
:quality(80)/p7i.vogel.de/wcms/c4/a3/c4a328fcb08efeecbd73e9a4deaaa8b4/0105253905.jpeg "0105253905")
:quality(80)/p7i.vogel.de/wcms/01/48/0148f347d61a08c71d9ec0686025f23e/0105451236.jpeg "0105451236")
:quality(80)/p7i.vogel.de/wcms/c3/d4/c3d46a8e0297e452e18b8b9be8a32f30/0105468151.jpeg "0105468151")
:quality(80)/p7i.vogel.de/wcms/f8/31/f83103cf9bb3d51e2058aeaef00890b6/0105438954.jpeg "0105438954")
:quality(80)/p7i.vogel.de/wcms/9f/75/9f7594ee373f787f7044130f4012df0e/0105486859.jpeg "0105486859")
:quality(80)/p7i.vogel.de/wcms/cd/a8/cda810894cbc8951df9c6292cb8f5821/0105291094.jpeg "0105291094")
:quality(80)/p7i.vogel.de/wcms/50/91/5091aac7defb48b79debadcb63e71030/0105090727.jpeg "0105090727")
:quality(80)/p7i.vogel.de/wcms/e2/69/e269a9a0d2666a5993f47c5fc7500a30/0105473990.jpeg "0105473990")
:quality(80)/p7i.vogel.de/wcms/75/7b/757b831acd952c2faa5555a4d8f6f1ee/0105331931.jpeg "0105331931")
:quality(80)/p7i.vogel.de/wcms/f4/4c/f44cb782561ec38784b9da89059b34c5/0105483423.jpeg "0105483423")
:quality(80)/p7i.vogel.de/wcms/4c/28/4c283d618fbada55e536a2b09d79e0a8/0105392507.jpeg "0105392507")
:quality(80)/p7i.vogel.de/wcms/d4/59/d459e0985c498adb687b3b9ba9d82942/0105291083.jpeg "0105291083")
:quality(80)/p7i.vogel.de/wcms/c5/fa/c5fa926c202fec1cda3fdedfd973d78d/0105378239.jpeg "0105378239")
:quality(80)/p7i.vogel.de/wcms/7b/93/7b937bc7b36942209b92a3b3a980ff96/0104722581.jpeg "0104722581")
:quality(80)/p7i.vogel.de/wcms/31/e2/31e206af644930dfd7b8a2f7f752fdc2/0104462380.jpeg "0104462380")
:quality(80)/p7i.vogel.de/wcms/06/ee/06ee3a3168533b42b4daf0b7d909e1d3/0105450007.jpeg "0105450007")
:quality(80)/p7i.vogel.de/wcms/17/fd/17fd3117330ddc34c0ffdaf4ea413fdf/0105443438.jpeg "0105443438")
:quality(80)/p7i.vogel.de/wcms/d7/07/d707feb97c5320bd617a3f33a69a9942/0105381167.jpeg "0105381167")
Cloud-Services mit Schwachstellen Warum SaaS ein Sicherheitsrisiko darstellt
Unternehmen verlassen sich zunehmend auf die Cloud, um geschäftskritische Informationen in praktisch allen Geschäftsbereichen zu speichern – von der Kommunikation, Speicherung und Freigabe von Dateien bis hin zur Zusammenarbeit an Dokumenten in Echtzeit.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png")
:fill(fff,0)/p7i.vogel.de/companies/61/9e/619e1e561c670/m-files-logo-with-tagline-full-color-360x130px.png "m-files-logo-with-tagline-full-color-360x130px"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/cf/5ecf8e2080a3f/stackit-pos-hex-bildmarke-jpg.png "STACKIT_POS_HEX_Bildmarke.jpg.png")
(©Rawf8 - stock.adobe.com)
So hat der Netskope Cloud and Threat Report (Juli 2021) gezeigt, dass ein durchschnittlich großes Unternehmen mit 500 bis 2.000 Mitarbeitern inzwischen im Schnitt 805 verschiedene Apps und Cloud-Dienste nutzt. Ganz unabhängig davon, ob ein Unternehmen auf die Cloud umsteigt oder bereits Cloud-Anwendungen und -Dienste in großem Umfang nutzt, muss die Sicherheit dabei oberste Priorität haben.
Software-as-a-Service (SaaS) macht die Remote-Zusammenarbeit einfacher und effizienter. Doch während SaaS die Art und Weise, wie wir arbeiten, grundlegend verändert, hat es auch neue Sicherheitsprobleme mit sich gebracht, die geschäftskritische Daten gefährden. Sicherheits- und IT-Mitarbeiter standen bereits unter dem Druck, ihre lokalen Umgebungen zu schützen. Wenn nun noch eine wachsende Zahl von Cloud-Anwendungen und -Services hinzukommt, wird ihre Arbeit wesentlich komplizierter.
Erschwerend kommt hinzu, dass jede SaaS-Anwendung einzigartige Nuancen aufweist, die Sicherheitsverantwortliche verstehen müssen, etwa in den Bereichen Zugriffs- und Sicherheitskontrollen, Logik und Terminologie sowie Berechtigungen und Privilegien.
Zentralisierte IDaaS-Lösungen sind hilfreich für die zentrale Verwaltung von Benutzern und Gruppen. Andere Faktoren und Identitäten, wie die von Auftragnehmern, externen Partnern oder lokalen IAM-Benutzern, erschweren jedoch die adäquate Verwaltung jeder Anwendung. Behält man nicht jeden Benutzer im Auge, können leicht versehentlich sensible Informationen preisgegeben werden.
Komplexe Sicherung von SaaS-Anwendungen
Cloud-Anwendungen und -Dienste bieten Angreifern zahlreiche Möglichkeiten, sensiblen Daten zu kompromittieren und zu exfiltrieren. Verdächtige Aktivitäten, die auf einen potenziellen Cyberangriff hindeuten könnten, bleiben bei SaaS-Anwendungen häufig unbemerkt. Passt man nicht genau auf, können Benutzer wichtigen Daten wie Salesforce-Kundenlisten oder sensible in Box und Google Drive gespeicherte Dokumente kopieren, löschen oder offenlegen. Zudem können geringfügige Konfigurationsfehler dazu führen, dass sensible Informationen für jeden im Internet zugänglich werden.
Im Vergleich zu „klassischen“ On-Premises-Applikationen ist die Verwaltung von SaaS-Anwendungen wesentlich komplexer. Bei lokalen Lösungen wird den Benutzern eine einzige Identität, Rolle und Berechtigung zugewiesen. Bei SaaS-Anwendungen hingegen haben die Benutzer für jeden Dienst eine eigene Identität, Rolle und Berechtigung. On-prem müssen die Benutzer möglicherweise ein VPN verwenden und unterliegen den Sicherheitsprotokollen des Netzwerks, sobald sie sich darin befinden. Im Gegensatz dazu können Mitarbeiter auf SaaS-Apps von überall aus zugreifen. Der Perimeter ist somit nicht mehr existent, entsprechend greifen auch nicht mehr die mit ihm verbundenen Sicherheitsmaßnahmen. Stattdessen können die Nutzer nahezu alles herunterladen und mit jedem teilen.
In aller Regel müssen die Benutzer von SaaS-Anwendungen keine Administratoren sein, um privilegierte Aktionen durchzuführen. Je nach SaaS-App können auch Nicht-Admins Benutzer zu Sicherheitsgruppen hinzufügen, externen Partnern und Auftragnehmern Bearbeitungsberechtigungen erteilen und sogar Anwendungen von Drittanbietern installieren. Und auch wenn in vielen SaaS-Anwendungen Benutzerrechte für Nicht-Administratoren konfiguriert werden können, wie z. B. die Freigabefunktionen in Google Drive, haben die Benutzer ein hohes Maß an Macht und Kontrolle. Dabei steht in der täglichen Arbeit die Sicherheit nicht unbedingt an erster Stelle, sondern eher die Produktivität und das Nutzererlebnis.
SaaS macht exzessives Teilen zu einfach
In SaaS-Umgebungen ist es außerordentlich schwierig zu kontrollieren, welche Daten wem zugänglich gemacht wurden, zumal es viele verschiedene Zugriffsarten, Kontrollen und Mittel zur Erteilung von Berechtigungen gibt. Wenn ein Benutzer eine vertrauliche Datei in Box über einen Link für das gesamte Unternehmen freigibt, ist es unmöglich, den Überblick darüber zu behalten, wer Zugriff darauf hat. Dies ist kein Fehler, sondern ein gewünschtes Feature, über das die meisten Cloud-Anwendungen verfügen. In Bezug auf die Sicherheit müssen Administratoren jedoch nachverfolgen können, wie und mit wem Ressourcen geteilt werden, und in der Lage sein, unnötigen Zugriff auf sensible Informationen zu korrigieren.
SaaS-Anbieter konzentrieren sich auf die Sicherheit ihrer Plattformen, überlassen aber den Schutz der Benutzer und die Festlegung der Berechtigungen ihren Kunden. Es gibt einige Punkte, die diese Absicherung erschweren. So bündeln einige SaaS-Anwendungen Privilegien und Berechtigungen auf eine Art und Weise, die eine Aufgabentrennung oder die Durchsetzung eines Least-Privilege-Ansatzes recht kompliziert macht. So benötigt man etwa eine Schreibberechtigung, wenn man Metadaten über die Verknüpfungen zu Dateien und deren Konfiguration in Box abrufen möchte. Jede SaaS-Anwendung hat ihre eigenen charakteristischen Schwächen und es ist wichtig, dass Sicherheitsteams die Grenzen und potenziellen Sicherheitsprobleme jeder Anwendung oder jedes Dienstes kennen.
Aufklappen für Details zu Ihrer Einwilligung
SaaS-Benutzer als „weiche“ Ziele
Durch die starke Verbreitung von Remote Work und SaaS-Anwendungen können sich Angreifer verstärkt auf die Nutzer als Angriffsziel konzentrieren und müssen nicht mehr „harte“ Ziele wie die Unternehmensinfrastruktur ins Visier nehmen. Wenn nicht privilegierte Cloud-Benutzer Dateien, Aufgaben und Code von jedem Ort der Welt aus nutzen und verwalten, schaffen sie Einfallstore für Cyberkriminelle. Schwache Anmeldedaten sind hier ein einfaches Ziel. Zudem können Angreifer geleakte Kontoinformationen erlangen oder sich mit Phishing und Social Engineering Zugang verschaffen, insbesondere wenn keine Multi-Faktor-Authentifizierung eingesetzt wird.
Sind all diese Sicherheitsbedenken Grund genug, auf die Vorteile der Cloud zu verzichten? Das Rad der Zeit lässt sich nicht zurückdrehen.
Wohl kann man aber die genannten Sicherheitslücken schließen, indem man seinen SaaS-Stack genauso absichert wie seine On-Premises-Umgebung:
- Alles überwachen: Nutzen Sie Überwachungstools und -dienste konsequent und beobachten Sie, was in Ihrer SaaS-Umgebung vor sich geht und welche Berechtigungen genutzt werden.
- Mitarbeiter sensibilisieren: Die Sicherheit der Daten des Unternehmens liegt in der Verantwortung jedes Einzelnen. Ermutigen Sie die Benutzer, zweimal nachzudenken, bevor sie Dateien freigeben oder einen Benutzer zu einer Gruppe hinzufügen. Machen Sie sie darauf aufmerksam, dass selbst beliebte SaaS-Anwendungen von Drittanbietern ein Sicherheitsrisiko darstellen können.
- Passwortverwaltung und Multi-Faktor-Authentifizierung nutzen: Setzen Sie bewährte Praktiken bei der Passwort- und Zugangssicherheit durch. Endnutzer und Administratoren müssen sich der Sicherheitslücken bewusst sein und Schulungen zur Vermeidung von Risikosituationen erhalten.
- Experten zur Bewertung des Cloud-Risikos hinzuziehen: Spezialisten können dabei helfen, Fehlkonfigurationen, Schwachstellen und riskante Berechtigungen zu erkennen und zu beheben, um die Sicherheit Ihrer Cloud-Umgebung insgesamt zu verbessern.
Michael Scheffler, Varonis Deutschland GmbH.
Setzen Sie diese vier Punkte um, kann eine produktive und zugleich sichere Zusammenarbeit gelingen.
* Der Autor Michael Scheffler ist Country Manager DACH von Varonis Systems.
(ID:47962843)
:quality(80)/images.vogel.de/vogelonline/bdb/1859000/1859059/original.jpg "Die Sicht auf Ausfallsicherheit muss umfassender werden und zum Beispiel auch die genutzten CDN-Services betrachten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1873000/1873005/original.jpg "Wird nur an einer Stelle gezündelt, kann die ganze Kette in Brand geraten – mit fatalen Folgen für die heute weltweiten Lieferantennetzwerke und -beziehungen.")