Home » News » Security Management » Fehler bei SaaS-Datensicherheit vermeiden

Fehler bei SaaS-Datensicherheit vermeiden

Wenn es um SaaS-Datensicherheit mit geteilter Verantwortung für Datensicherheit in der Cloud geht, ist es wichtig, Modelle der geteilten Verantwortung (Shared responsibility) zu verstehen und kritische Fehler beim Schutz von SaaS-Daten vermeiden. Was bei der Nutzung von As-a-Service-Diensten und der Cloud zu beachten ist.

·

Redaktion IT-SICHERHEIT (cs)

3 Min. Lesezeit
Datensicherheit, Cloud
Foto: ©AdobeStock/OMGAi

Viele Unternehmen verlieren zunehmend den Überblick über die Vielzahl an As-a-Service-Anwendungen (XaaS), die sie aktuell nutzen. XaaS umfasst nicht nur SaaS-Anwendungen wie Microsoft 365, sondern auch eine Vielzahl anderer Cloud-Dienste und Plattformen, die von verschiedenen Teams wie Marketing, Vertrieb und Finanzen genutzt werden.

Studien zeigen, dass selbst mittelständische Unternehmen weit über 200 verschiedene SaaS-Anwendungen einsetzen können, was die Komplexität und Vielfalt ihrer IT-Landschaft unterstreicht. Diese Anwendungen sind oft mit unterschiedlichen Geschäftsprozessen verknüpft, was zu einer heterogenen Tech-Stack-Umgebung führt (siehe Grafik).

Die Einführung von SaaS-Anwendungen bietet Unternehmen Skalierbarkeit und Flexibilität, da sie sich nicht mehr um die lokale Infrastruktur, Wartung oder Updates kümmern müssen. Nutzer können einfach über eine URL auf die Anwendung zugreifen und diese nutzen. Dieses Benutzerfreundlichkeit hat jedoch zu einem verbreiteten Missverständnis geführt: Viele Unternehmen nehmen fälschlicherweise an, dass sie nicht für die Sicherheit ihrer Daten in der Cloud verantwortlich sind. Sie verlassen sich darauf, dass der SaaS-Anbieter alle Sicherheitsaspekte abdeckt.

In Wirklichkeit teilen sich Unternehmen und SaaS-Anbieter die Verantwortung für die Sicherheit, ein Konzept, das oft nicht ausreichend verstanden wird. Der Anbieter ist für die Sicherheit des Systems selbst verantwortlich, einschließlich der Infrastruktur, Netzwerke und Server, auf denen die Anwendung läuft. Die Sicherheit der Daten und Konten innerhalb der Anwendung obliegt jedoch dem Unternehmen selbst.

Beispiel: Wenn ein Unternehmen Jira Software in der Atlassian Cloud nutzt, ist Atlassian für die Sicherheit der Jira-Infrastruktur verantwortlich. Das Unternehmen hingegen muss sicherstellen, dass seine Daten innerhalb der Jira-Anwendung geschützt sind, beispielsweise durch die richtige Konfiguration von Zugriffsrechten und regelmäßige Datensicherungen.

Das Prinzip lässt sich am Beispiel eines Parkhauses veranschaulichen: Ein Parkhaus betreibt das Gebäude, sichert die Zugänge und sorgt für die technische Funktionalität. Der Autobesitzer ist jedoch selbst dafür verantwortlich, sein Fahrzeug vor Diebstahl oder Beschädigung zu schützen.

In dieser Analogie ist das Parkhaus das System, das Auto sind die Daten. Das bedeutet, dass Unternehmen verantwortlich sind für:

  • Sicherstellung der Wiederherstellung verlorener oder beschädigter Daten.
  • Regelmäßige Durchführung von Backups und Sicherheitskopien.
  • Einhaltung der gesetzlichen und branchenspezifischen Compliance-Anforderungen.
  • Verwaltung und Sicherung von Zugriffsrechten innerhalb der genutzten SaaS-Anwendungen.

Dieses Verständnis der geteilten Verantwortung ist entscheidend, um die Sicherheit und Integrität der Unternehmensdaten in der Cloud zu gewährleisten und potenzielle Risiken zu minimieren. Viele IT-Administratoren und Anwendungsbesitzer sind sich dieser geteilten Verantwortung nicht bewusst und machen daher immer wieder die gleichen drei kritischen Fehler.

Fehler Nr. 1: Annahme, dass der SaaS-Anbieter die Daten wiederherstellen wird

Datenverluste sind unvermeidlich, unabhängig von der genutzten Anwendung. Versehentliches Löschen, Bugs, Beschädigungen und sogar Insider-Bedrohungen sind alltägliche Risiken. Häufig erwarten Kunden, dass der SaaS-Anbieter ihre Daten wiederherstellen kann. Obwohl viele Anbieter unterstützen, ist es in Shared-Responsibility-Modellen klar festgelegt, dass die Sicherung und Wiederherstellung der Daten in der Verantwortung des Kunden liegt.

Fehler Nr. 2: Annahme, dass Backups auf Systemebene auch eigene Backups sind

Cloud-Plattformen und SaaS-Anwendungen führen Backups auf Systemebene für ihre interne Notfallwiederherstellung durch. Diese sind jedoch nicht für die individuelle Datenwiederherstellung des Kunden zugänglich. Kunden müssen ihre eigenen Backups verwalten, um sich gegen versehentliches Löschen oder andere Datenverlustszenarien abzusichern. Einige Anbieter wie Salesforce bieten zwar Backups auf Systemebene an, betonen aber gleichzeitig die Bedeutung individueller Datensicherungen für ihre Kunden.

Fehler Nr. 3: Vernachlässigung der Datenaufbewahrung und Compliance

Wie im Parkhausbeispiel müssen Unternehmen für die Versicherung ihres eigenen Autos sorgen und können sich nicht auf die des Parkhauses verlassen. Ähnlich müssen sie selbst sicherstellen, dass sie gesetzliche Vorschriften wie HIPAA, NIS2 oder DORA einhalten. Das bedeutet, dass sie ihre eigenen Backups erstellen, testen und dokumentieren müssen, um die Compliance-Anforderungen zu erfüllen. SaaS-Anwendungen bieten keine automatische Einhaltung dieser Vorschriften, daher liegt dies in der Verantwortung des Unternehmens.

Fazit

Unternehmen sollten nicht warten, bis es zu spät ist. Sie müssen sicherstellen, dass ihre Daten geschützt sind und sie in der Lage sind, bei Bedarf Wiederherstellungen durchzuführen. Wichtig ist es auch, den Überblick darüber zu behalten, wie viele SaaS-Anwendungen und Cloud-Dienste im Einsatz sind. Ansätze wie Data-Protection-as-a-Service können hierbei unterstützen, indem sie eine robuste Sicherungsstrategie ermöglichen.

HYCU-Stack
Quelle: HYCU

Typischer Tech-Stack in Unternehmen

Porträt Angela Heindl-Schober
Foto: HYCU

Angela Heindl-Schober, Senior Vice President bei HYCU

Weitere Artikel zum Thema: 

Warum bei Saas-Umgebungen fatale Backup-Lücken drohen

Warum es zu oft tabu ist, in der IT-Sicherheit eigene Fehler zuzugeben

CISO as a Service

Andere interessante News

Eine Person hält ein schwebendes digitales Schildsymbol mit einem Häkchen, das Sicherheit symbolisiert. Der Hintergrund zeigt verschiedene digitale Symbole und Grafiken, die auf Technologie und Schutzthemen hinweisen.

Europäische Cybersicherheitszertifizierung: BSI übernimmt zentrale Rolle

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde von der Europäischen Kommission als einzige staatliche Zertifizierungsstelle gemäß der Verordnung (EU) 2019/881 ...

Security Management
Nahaufnahme von miteinander verbundenen Zahnrädern mit leuchtend orangefarbenen Schaltkreisen auf einer dunkelblauen Oberfläche, die an ein Hightech-Motherboard erinnert. Die Beleuchtung hebt die komplexen Muster und metallischen Texturen hervor und erzeugt so ein futuristisches und industrielles Flair.

Cyberangriffe auf die Lieferkette: Das unterschätzte Einfallstor für Hacker

Die Lieferkette ist ein komplexes Netzwerk aus verschiedenen Akteuren – und genau das macht sie zu einem bevorzugten Angriffsziel für Cyberkriminelle. Neue Technologien und gesells...

Security Management
Eine Person im Blazer hält ein Tablet mit holografischen Symbolen wie einer Wolke, einem Schloss und WLAN. Der zentrale Text lautet „SASE“. Auf dem Schreibtisch davor stehen ein Laptop und ein Notebook.

SASE als Schlüsseltechnologie für den Einzelhandel

Einzelhändler sind im Visier von Cyber-Kriminellen – wertvolle Daten und wachsende IT-Strukturen machen sie angreifbar. SASE schützt nicht nur, sondern treibt ihre digitale Zukunft...

Security Management