Warum Sie einen SaaS-Governance-Plan brauchen

Die schnelle Verbreitung von autorisierten und nicht autorisierten Software-as-a-Service-Lösungen birgt erhebliche Sicherheitsrisiken. Jetzt ist es an der Zeit, eine Strategie zur Bewältigung dieser Risiken zu entwickeln. [...]

(c) pixabay.com

Die Verbreitung von SaaS übersteigt bei weitem den Verbrauch von IaaS. Trotzdem konzentrieren sich die Unternehmen fast ausschließlich auf die Sicherheit der Infrastruktur. Sie müssen auch einen SaaS-Governance-Plan in Betracht ziehen, der Sicherheitsmaßnahmen implementiert, um die mit der SaaS-Nutzung verbundenen Risiken zu verringern. Dieser Plan umfasst eine Kombination aus Konformitätsrahmen, Dokumentation/ Sorgfaltspflicht und technischen Maßnahmen zur laufenden Überwachung und Risikominderung.

Ein Großteil der Sicherheitsdiskussion rund um die Cloud-Nutzung konzentriert sich auf Infrastructure-as-a-Service (IaaS)/Platform-as-a-Service (PaaS)-Anbieter wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud, und das aus gutem Grund. Unternehmen haben ein enormes Wachstum bei der Einführung von IaaS erlebt und unzählige Schlagzeilen über Sicherheitsverletzungen im Zusammenhang mit IaaS-Fehlkonfigurationen gesehen.

Die Risiken, die schlecht implementierte und gesicherte SaaS darstellen, wurden jedoch vernachlässigt. Gartner sagt voraus, dass SaaS das größte Marktsegment für Public Clouds bleiben wird, und diese Vorhersage kam vor COVID-19, das einen beispiellosen SaaS-Boom ermöglichte. Darüber hinaus neigen Unternehmen in der Regel dazu, nur einige wenige IaaS-Anbieter zu nutzen, z. B. die drei großen Cloud Service Provider (CSPs), während sie viel mehr SaaS-Angebote in Anspruch nehmen. Eine Studie von Blissfully aus dem Jahr 2020 ergab, dass große Unternehmen bis zu 288 verschiedene SaaS-Anwendungen nutzen, während kleine und mittelständische Unternehmen (KMU) mehr als 100 nutzen.

Während Ihr Unternehmen vielleicht damit begonnen hat, seine IaaS-Sicherheit zu verbessern, gilt das Gleiche wahrscheinlich nicht für die weitläufige und vielfältige SaaS-Landschaft. Aufgrund dieser Tatsache ist die Schatten-IT-Nutzung von SaaS-Anbietern weitaus verbreiteter als die von IaaS-Anbietern. Dies liegt an der großen Auswahl an SaaS-Angeboten auf dem Markt und an der Leichtigkeit, mit der Sie diese nutzen können, oft sogar mit nur einer Kreditkarte.

Eine von Zylo durchgeführte Studie ergab, dass Unternehmen im Durchschnitt zehn SaaS-Angebote pro Monat in ihr Unternehmen aufnehmen, von denen nur 25 % direkt von der IT verwaltet werden. Das ist eine Menge an nicht verwalteten SaaS-Risiken. Trotz dieses exponentiellen Wachstums bei der SaaS-Nutzung ergab eine Studie von AppOmni, dass nur 32 % der Befragten irgendeine Art von Tooling einsetzen, um die Datensicherheit bei SaaS zu gewährleisten.

Warum konzentrieren sich Unternehmen trotz dieser weit verbreiteten SaaS-Nutzung weiterhin fast ausschließlich auf IaaS-Sicherheitsbelange? Das liegt zum Teil daran, dass das Modell der geteilten Verantwortung falsch verstanden wird und man davon ausgeht, dass in einer SaaS-Umgebung der CSP für alles verantwortlich ist. Der andere Faktor ist, dass die Sicherheitsteams einfach nicht mit der Cloud-Nutzung in ihren Unternehmen Schritt halten können und mit den Folgen der weit verbreiteten, öffentlichkeitswirksamen IaaS-Datenverletzungen.

Die großen IaaS-Anbieter bieten klare Zertifizierungs- und Lernpfade an, die sicherstellen, dass Fachleute lernen können, wie sie ihre Plattformen sichern und dies auch bescheinigen können. Bei SaaS gibt es dieses Szenario nicht. Als Sicherheitsexperten müssen wir uns ständig weiterentwickeln, und die SaaS-Sicherheit ist reif für eine Entwicklung, die dieses enorme unbehandelte Risiko zu mindern vermag.

Ein Ansatz für SaaS-Risiken

Die Implementierung von Sicherheit für die SaaS-Nutzung sollte datengesteuert sein. Das bedeutet, dass die internen Daten, auf die das SaaS-Angebot Zugriff hat, sowie die Zugriffsebene innerhalb Ihres Unternehmens und die potenziellen Auswirkungen auf die Sicherheit und die gesetzlichen Bestimmungen untersucht werden müssen, falls diese Daten versehentlich offengelegt oder böswillig kompromittiert werden. Dies gilt insbesondere für die heutigen geografisch verstreuten Mitarbeiter, die von überall her auf Daten zugreifen, oft auch von ihren eigenen Geräten aus.

Der erste Schritt in diesem Prozess besteht darin, zu erfassen, welche SaaS in Ihrem Unternehmen verwendet werden. Je nach Reifegrad und technischer Architektur des Unternehmens kann dies ein manueller Inventarisierungsprozess sein oder technische Tools wie Cloud Access Security Brokers (CASBs) erfordern, die bei der Identifizierung von SaaS-Schattenanwendungen helfen können.

Wenn Unternehmen beginnen, ihre SaaS-Nutzung strenger zu kontrollieren, verfolgen sie meist zwei Ansätze. Der eine konzentriert sich auf Sicherheitsrahmenwerke wie SOC2, PCI und FedRAMP sowie auf die Überprüfung der Dokumentation. Der andere konzentriert sich auf die technische Bewertung, Härtung und laufende Überwachung. Der ideale Ansatz umfasst ein wenig von beidem, wie im Folgenden erläutert wird.

Frameworks, Dokumentation und Berichte

Wenn Unternehmen damit beginnen, SaaS-Angebote für ihr Unternehmen zu prüfen (idealerweise vor dem Kauf und der Implementierung), werden in der Regel gängige Frameworks wie SOC2, CSA CCM und STAR/CAIQ oder FedRAMP herangezogen.

SOC2 ist zunehmend zu einer beliebten Option für SaaS-Anbieter geworden, da es hilft, die internen Kontrollen eines Unternehmens in Bezug auf Sicherheit, Verfügbarkeit, Vertraulichkeit, Integrität und Datenschutz zu validieren. Eine weitere beliebte Option ist der Consensus Assessment Initiative Questionnaire (CAIQ) von CSA, der dokumentiert, welche Kontrollen in XaaS-Angeboten vorhanden sind, und der mit der Cloud Controls Matrix (CCM) von CSA, einem Cloud-spezifischen Rahmen für Sicherheitskontrollen, verknüpft ist. Im öffentlichen Sektor ist das Federal Risk and Authorization Management Program (FedRAMP) ein weit verbreitetes Verfahren zur Genehmigung von Cloud-Service-Angeboten (CSOs) für die Nutzung durch die Regierung und verwendet die Sicherheitskontrollen der NIST 800-53.

Unternehmen fragen häufig nach diesen Zertifizierungen und sollten dies auch tun, da sie oft ein Verfahren zur Bewertung durch Dritte (3PAO) beinhalten, bei dem eine dritte Partei überprüft, ob das SaaS-Unternehmen und sein Angebot ein bestimmtes Maß an Sicherheit erfüllen. Dies gibt Ihrem Unternehmen die Gewissheit, dass das SaaS-Angebot nicht völlig unsicher ist und dass das Unternehmen grundlegende Sicherheitsmaßnahmen in Bezug auf seine eigene Infrastruktur und die Art und Weise, wie es Kundendaten verarbeitet und speichert, durchführt.

Die Wahl der zu verwendenden Frameworks hängt weitgehend von der Branche ab, in der das Unternehmen tätig ist, sowie vom Reifegrad des SaaS-Anbieters. Da diese Frameworks zeit- und ressourcenintensiv sein können, streben neuere SaaS-Anbieter die Zertifizierungen in der Regel erst an, wenn sie etwas ausgereift sind und ihre Kunden danach gefragt haben. Hinzu kommt die Tatsache, dass aufgrund der exponentiellen Anzahl von SaaS-Angeboten auf dem Markt einige der wichtigsten Compliance-Programme wie FedRAMP einfach nicht Schritt gehalten haben.

In Fällen, in denen der SaaS-Anbieter über keine Zertifizierung oder Prüfung verfügt, oder selbst wenn dies der Fall ist, und die Daten, die Sie für ihn verwenden, hochsensibel sind, sollten Sie seine Dokumentation und andere Kriterien prüfen, um seine Eignung zu untersuchen. Dazu könnten die Ergebnisse interner oder externer Pen-Tests (für die oft ein NDA erforderlich ist) und Diskussionen über Architektur, Authentifizierung, Verschlüsselung und vieles mehr gehören. Diese zusätzlichen Aktivitäten tragen dazu bei, Ihrem Unternehmen ein gewisses Maß an Sicherheit in Bezug auf das Risiko der Nutzung eines bestimmten SaaS-Angebots zu geben.

Technische SaaS-Abdeckung/Fähigkeiten

Frameworks sind zwar ein guter Anfang für die Prüfung von SaaS-Angeboten, aber eben nur ein Anfang. Sie sollten im Rahmen Ihrer SaaS-Governance-Strategie auch technische Kontrollen, Konfigurationen und Überwachung berücksichtigen. Jedes SaaS-Angebot verfügt über unzählige einzigartige Funktionen, Konfigurationen und Einstellungen, mit denen Ihre Mitarbeiter aus der Sicherheitsperspektive meist nicht vertraut sind.

Hier kommen SaaS Security Posture Management (SSPM)-Tools ins Spiel, die die Sicherheitslage Ihrer SaaS-Anwendung überwachen. Einige der beliebtesten SSPM-Tools sind AppOmni und Obsidian. Diese Anbieter unterstützen einige der führenden SaaS-Angebote wie Box, GitHub, Salesforce und Slack.

Sie haben sichere Konfigurationen, Sicherheitsscans, Best Practices und Empfehlungen entwickelt, um Unternehmen bei der Absicherung ihrer SaaS-Nutzung zu helfen. Viele dieser Angebote nutzen nach Möglichkeit Branchenressourcen, wie z. B. die CIS-Benchmarks für SaaS-Angebote wie Microsoft 365 und Google Workspace, die beide sensible Daten und Kommunikation enthalten können.

Diese Härtungsmaßnahmen können dazu beitragen, Ihr Unternehmen vor weit verbreiteten Sicherheitsproblemen wie der Kompromittierung von Konten, unsicherer Konfiguration, Compliance und Zugriffsmanagement zu schützen. Sie können auch bei der Reaktion auf Vorfälle helfen. Dies ist unglaublich wertvoll, da Ihre Mitarbeiter wahrscheinlich nicht über das spezifische Sicherheitsverständnis und die Fachkenntnisse verfügen, die für jede Ihrer SaaS-Anwendungen erforderlich sind. SSPM-Anbieter fügen ihrem Angebot laufend weitere SaaS-Angebote hinzu, und je nach Größe Ihres Unternehmens können Sie vielleicht dazu beitragen, die Produkt-Roadmap so zu gestalten, dass sie SaaS abdeckt, die in Ihrem Unternehmen häufig verwendet werden.

Neben den technischen Sicherheitsaspekten müssen sich Unternehmen im SaaS-Paradigma auch mit der Einhaltung von Vorschriften befassen. Erinnern Sie sich an das Modell der geteilten Verantwortung? Es gilt auch hier.

Plattformen wie AppOmni können dabei helfen, automatisch kritische Compliance-Kontrollen in Bezug auf weit verbreitete Frameworks wie PCI, HIPAA, GDPR und NIST durchzusetzen. Für ein Unternehmen ist es unhaltbar, die kontinuierliche Einhaltung dieser Rahmenwerke für möglicherweise Hunderte von SaaS-Anwendungen aufrechtzuerhalten, und genau hier können technische Lösungen zur Unterstützung dieser Bemühungen wirklich glänzen.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*