Cloud-Services mit Schwachstellen Warum SaaS ein Sicherheitsrisiko darstellt

Von Michael Scheffler*

Unternehmen verlassen sich zunehmend auf die Cloud, um geschäftskritische Informationen in praktisch allen Geschäftsbereichen zu speichern – von der Kommunikation, Speicherung und Freigabe von Dateien bis hin zur Zusammenarbeit an Dokumenten in Echtzeit.

Anbieter zum Thema

Die Cloud ist nicht per se sicher, aber Risiken lassen sich minimieren, indem man seinen SaaS-Stack genauso absichert wie seine On-Premises-Umgebung.
Die Cloud ist nicht per se sicher, aber Risiken lassen sich minimieren, indem man seinen SaaS-Stack genauso absichert wie seine On-Premises-Umgebung.
(©Rawf8 - stock.adobe.com)

So hat der Netskope Cloud and Threat Report (Juli 2021) gezeigt, dass ein durchschnittlich großes Unternehmen mit 500 bis 2.000 Mitarbeitern inzwischen im Schnitt 805 verschiedene Apps und Cloud-Dienste nutzt. Ganz unabhängig davon, ob ein Unternehmen auf die Cloud umsteigt oder bereits Cloud-Anwendungen und -Dienste in großem Umfang nutzt, muss die Sicherheit dabei oberste Priorität haben.

Software-as-a-Service (SaaS) macht die Remote-Zusammenarbeit einfacher und effizienter. Doch während SaaS die Art und Weise, wie wir arbeiten, grundlegend verändert, hat es auch neue Sicherheitsprobleme mit sich gebracht, die geschäftskritische Daten gefährden. Sicherheits- und IT-Mitarbeiter standen bereits unter dem Druck, ihre lokalen Umgebungen zu schützen. Wenn nun noch eine wachsende Zahl von Cloud-Anwendungen und -Services hinzukommt, wird ihre Arbeit wesentlich komplizierter.

Erschwerend kommt hinzu, dass jede SaaS-Anwendung einzigartige Nuancen aufweist, die Sicherheitsverantwortliche verstehen müssen, etwa in den Bereichen Zugriffs- und Sicherheitskontrollen, Logik und Terminologie sowie Berechtigungen und Privilegien.

Zentralisierte IDaaS-Lösungen sind hilfreich für die zentrale Verwaltung von Benutzern und Gruppen. Andere Faktoren und Identitäten, wie die von Auftragnehmern, externen Partnern oder lokalen IAM-Benutzern, erschweren jedoch die adäquate Verwaltung jeder Anwendung. Behält man nicht jeden Benutzer im Auge, können leicht versehentlich sensible Informationen preisgegeben werden.

Komplexe Sicherung von SaaS-Anwendungen

Cloud-Anwendungen und -Dienste bieten Angreifern zahlreiche Möglichkeiten, sensiblen Daten zu kompromittieren und zu exfiltrieren. Verdächtige Aktivitäten, die auf einen potenziellen Cyberangriff hindeuten könnten, bleiben bei SaaS-Anwendungen häufig unbemerkt. Passt man nicht genau auf, können Benutzer wichtigen Daten wie Salesforce-Kundenlisten oder sensible in Box und Google Drive gespeicherte Dokumente kopieren, löschen oder offenlegen. Zudem können geringfügige Konfigurationsfehler dazu führen, dass sensible Informationen für jeden im Internet zugänglich werden.

Im Vergleich zu „klassischen“ On-Premises-Applikationen ist die Verwaltung von SaaS-Anwendungen wesentlich komplexer. Bei lokalen Lösungen wird den Benutzern eine einzige Identität, Rolle und Berechtigung zugewiesen. Bei SaaS-Anwendungen hingegen haben die Benutzer für jeden Dienst eine eigene Identität, Rolle und Berechtigung. On-prem müssen die Benutzer möglicherweise ein VPN verwenden und unterliegen den Sicherheitsprotokollen des Netzwerks, sobald sie sich darin befinden. Im Gegensatz dazu können Mitarbeiter auf SaaS-Apps von überall aus zugreifen. Der Perimeter ist somit nicht mehr existent, entsprechend greifen auch nicht mehr die mit ihm verbundenen Sicherheitsmaßnahmen. Stattdessen können die Nutzer nahezu alles herunterladen und mit jedem teilen.

In aller Regel müssen die Benutzer von SaaS-Anwendungen keine Administratoren sein, um privilegierte Aktionen durchzuführen. Je nach SaaS-App können auch Nicht-Admins Benutzer zu Sicherheitsgruppen hinzufügen, externen Partnern und Auftragnehmern Bearbeitungsberechtigungen erteilen und sogar Anwendungen von Drittanbietern installieren. Und auch wenn in vielen SaaS-Anwendungen Benutzerrechte für Nicht-Administratoren konfiguriert werden können, wie z. B. die Freigabefunktionen in Google Drive, haben die Benutzer ein hohes Maß an Macht und Kontrolle. Dabei steht in der täglichen Arbeit die Sicherheit nicht unbedingt an erster Stelle, sondern eher die Produktivität und das Nutzererlebnis.

SaaS macht exzessives Teilen zu einfach

In SaaS-Umgebungen ist es außerordentlich schwierig zu kontrollieren, welche Daten wem zugänglich gemacht wurden, zumal es viele verschiedene Zugriffsarten, Kontrollen und Mittel zur Erteilung von Berechtigungen gibt. Wenn ein Benutzer eine vertrauliche Datei in Box über einen Link für das gesamte Unternehmen freigibt, ist es unmöglich, den Überblick darüber zu behalten, wer Zugriff darauf hat. Dies ist kein Fehler, sondern ein gewünschtes Feature, über das die meisten Cloud-Anwendungen verfügen. In Bezug auf die Sicherheit müssen Administratoren jedoch nachverfolgen können, wie und mit wem Ressourcen geteilt werden, und in der Lage sein, unnötigen Zugriff auf sensible Informationen zu korrigieren.

eBook zum Thema

Cloud Security

Schwachstellen in der Wolke

eBook Cloud Security
eBook Cloud Security
(Bildquelle: CloudComputing-Insider)

Schwachstellen in der Cloud gehören zu den besonders kritischen Bedrohungen für Unternehmen. Doch welche Sicherheitslücken und welche weiteren Schwachstellen sind zu erwarten? Dieses eBook behandelt die folgenden Themen:
# Aktuelle Cloud-Trends und die Folgen für Security
# Wo sich Schwachstellen in der Cloud verstecken
# Wie sich Cloud-Schwachstellen absichern lassen

Jetzt eBook „Cloud Security“ downloaden.

SaaS-Anbieter konzentrieren sich auf die Sicherheit ihrer Plattformen, überlassen aber den Schutz der Benutzer und die Festlegung der Berechtigungen ihren Kunden. Es gibt einige Punkte, die diese Absicherung erschweren. So bündeln einige SaaS-Anwendungen Privilegien und Berechtigungen auf eine Art und Weise, die eine Aufgabentrennung oder die Durchsetzung eines Least-Privilege-Ansatzes recht kompliziert macht. So benötigt man etwa eine Schreibberechtigung, wenn man Metadaten über die Verknüpfungen zu Dateien und deren Konfiguration in Box abrufen möchte. Jede SaaS-Anwendung hat ihre eigenen charakteristischen Schwächen und es ist wichtig, dass Sicherheitsteams die Grenzen und potenziellen Sicherheitsprobleme jeder Anwendung oder jedes Dienstes kennen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

SaaS-Benutzer als „weiche“ Ziele

Durch die starke Verbreitung von Remote Work und SaaS-Anwendungen können sich Angreifer verstärkt auf die Nutzer als Angriffsziel konzentrieren und müssen nicht mehr „harte“ Ziele wie die Unternehmensinfrastruktur ins Visier nehmen. Wenn nicht privilegierte Cloud-Benutzer Dateien, Aufgaben und Code von jedem Ort der Welt aus nutzen und verwalten, schaffen sie Einfallstore für Cyberkriminelle. Schwache Anmeldedaten sind hier ein einfaches Ziel. Zudem können Angreifer geleakte Kontoinformationen erlangen oder sich mit Phishing und Social Engineering Zugang verschaffen, insbesondere wenn keine Multi-Faktor-Authentifizierung eingesetzt wird.

Sind all diese Sicherheitsbedenken Grund genug, auf die Vorteile der Cloud zu verzichten? Das Rad der Zeit lässt sich nicht zurückdrehen.

Wohl kann man aber die genannten Sicherheitslücken schließen, indem man seinen SaaS-Stack genauso absichert wie seine On-Premises-Umgebung:

  • Alles überwachen: Nutzen Sie Überwachungstools und -dienste konsequent und beobachten Sie, was in Ihrer SaaS-Umgebung vor sich geht und welche Berechtigungen genutzt werden.
  • Mitarbeiter sensibilisieren: Die Sicherheit der Daten des Unternehmens liegt in der Verantwortung jedes Einzelnen. Ermutigen Sie die Benutzer, zweimal nachzudenken, bevor sie Dateien freigeben oder einen Benutzer zu einer Gruppe hinzufügen. Machen Sie sie darauf aufmerksam, dass selbst beliebte SaaS-Anwendungen von Drittanbietern ein Sicherheitsrisiko darstellen können.
  • Passwortverwaltung und Multi-Faktor-Authentifizierung nutzen: Setzen Sie bewährte Praktiken bei der Passwort- und Zugangssicherheit durch. Endnutzer und Administratoren müssen sich der Sicherheitslücken bewusst sein und Schulungen zur Vermeidung von Risikosituationen erhalten.
  • Experten zur Bewertung des Cloud-Risikos hinzuziehen: Spezialisten können dabei helfen, Fehlkonfigurationen, Schwachstellen und riskante Berechtigungen zu erkennen und zu beheben, um die Sicherheit Ihrer Cloud-Umgebung insgesamt zu verbessern.

Michael Scheffler, Varonis Deutschland GmbH.
Michael Scheffler, Varonis Deutschland GmbH.
(Bild: Varonis)

Setzen Sie diese vier Punkte um, kann eine produktive und zugleich sichere Zusammenarbeit gelingen.

* Der Autor Michael Scheffler ist Country Manager DACH von Varonis Systems.

(ID:47962843)