Zum Inhalt springen Zur Navigation springen
Software as a Service: Bedrohung für die Informationssicherheit

Software as a Service: Bedrohung für die Informationssicherheit

Artikel von Adrian Klick-Strehl·12. November 2021

Immer mehr Anwendungen werden von der klassischen lokalen IT in die Cloud verlagert. Lösungen mittels Software as a Service (SaaS) bieten die Vorteile, von überall aus erreichbar zu sein und einen geringen administrativen Aufwand zu erzeugen. Der einfache Zugriff auf interne Informationen hat aber auch seine Tücken.

IT-Outsourcing mittels SaaS-Diensten

Werden neuen Tools für die tägliche Arbeit benötigt, oder steht die Ablösung eines bereits vorhandenen Tools an, stellt sich inzwischen öfter die Frage: Selbst betreiben oder auf einen Cloud-Dienst zurückgreifen?

In die Überlegungen gehen oft die Faktoren des administrativen Aufwands ein, sofern denn eine eigene IT-Abteilung vorhanden ist, aber auch die Frage, welche Maßnahmen für einen sicheren Betrieb getroffen werden müssen. Nicht zuletzt spielen auch datenschutzrechtliche Aspekte eine Rolle.

Ein SaaS-Dienst besticht oft durch eine einfache Bedienung. Anwenderinnen und Anwender rufen den Dienst über den Webbrowser auf, loggen sich ein und können arbeiten. Es benötigt meist keine extra installierte Software, was in dieser Hinsicht den Kolleginnen und Kollegen aus der IT die Arbeit erleichtert. Netzwerkseitig sind besondere Zugriffe auch nicht erforderlich, da in der Regel HTTPS Verwendung findet. Also ein Protokoll, welches ohnehin freigegeben ist.

Anwendungsbeispiele für solche Tools sind z.B.:

  • Abrechnung von Rezepten
  • Mailingdienste
  • Reisekostenabrechnung
  • ERP-Systeme
  • Projektmanagement
  • Zeiterfassung

Zugriffsschutz für Software-as-a-Service-Dienste

Sobald Unternehmensdaten außerhalb der eigenen Systeme ausgelagert werden, sollten immer Aspekte zur Informationssicherheit miteinbezogen werden. Oft wird sich durch das Auslagern von Anwendungen eine bessere Verfügbarkeit versprochen. Der Anbieter des SaaS-Dienstes ist für den reibungslosen Betrieb verantwortlich und garantiert die Verfügbarkeit, bzw. gibt die maximale Ausfallzeit im Jahr an. Die Administration ist auch an dieser Stelle entlastet.

Die Kehrseite ist jedoch: Ich kann grundsätzlich von überall aus auf die Daten zugreifen. Unternehmen, die neue Cloud-Anwendungen einführen, haben die einfache Bedienbarkeit und den Zugriff im Fokus, dabei ist insbesondere die Akzeptanz der Mitarbeiterinnen und Mitarbeiter ein wichtiger Faktor. Im Beitrag Microsoft Office Cloud: IT-Sicherheit ist ein Lizenzproblem habe ich bereits am Beispiel von Microsoft 365 erläutert, wie ein Software-as-a-Service-Dienst mittels Phishing ausgespäht werden könnte. Der externe Angreifer ist aber nicht die einzige Bedrohung für die Informationssicherheit der Daten in der Cloud.

Betriebsfremde Geräte mit Unternehmensdaten

Out of the box sieht die Konfiguration der meisten Tools wie folgt aus: Einloggen mit Benutzername und Passwort. Das war’s, kein weiterer Filter. Auch ohne Vorsatz können so Unternehmensdaten auf Privatgeräten der Mitarbeiter landen. Vom eigenen Smartphone schnell ein Blick auf die Abrechnung oder vom privaten Laptop kurz ins ERP-System eingeloggt, weil jemand noch eine Frage nach Feierabend hatte. Auch wenn im ersten Moment nur ein lesender Zugriff auf die Daten erfolgt, werden gewisse Informationen im Zwischenspeicher auf den Geräten eine Weile vorgehalten. Möchte man doch noch einen Handgriff mehr tun und sich schnell mal ein Dokument herunterladen, liegen die Daten endgültig auf dem privaten Gerät. Hier greifen keine Schutzmaßnahmen des Unternehmens mehr. Ob es sich dabei um ein sauberes Gerät oder Netzwerk handelt, ist unklar. Zudem können dadurch auch Compliance- und Datenschutzvorgaben verletzt worden sein.

Leider gibt es auch den einen oder anderen, der mit Vorsatz einen Datendiebstahl begehen möchte. Die meisten Unternehmen haben hier die Themen Mailversand an eine private Adresse oder Datendiebstahl mittels USB-Datenspeicher auf dem Schirm. Doch die wenigstens machen sich über ihre Informationen in den Clouddiensten Gedanken. Potenzielle Täterinnen oder Täter können sich von einem beliebigen Gerät einloggen und Daten entwenden, ohne dass es jemand mitbekommt. Bietet der Anbieter keine Auditlogs oder Vergleichbares an, scheitert die Aufklärung des Datenabflusses schnell an dieser Stelle. Bei Unternehmen mit einer Bring-your-own-Device-Richtline (BYOD) verschärft sich dies Problem zudem enorm.

Sicherheitsmaßnahmen für SaaS

Welche Sicherheitsmaßnahmen möglich sind, hängt im Grunde ausschließlich vom Software-as-a-Service-Anbieter an. Deshalb sollten bereits bei der Auswahl dessen Aspekte bzw. Möglichkeiten zum Zugriffsschutz bedacht werden. Wie bei jeder Cloudsoftware solle Multifaktor Authentifizierung immer möglich und aktiv sein. Natürlich schützt dies aber nur vor illegitimen Zugriffen.

Ein wichtiger Faktor sollte die ausschließliche Nutzung von Firmengeräten sein. Dies kann natürlich zuerst einmal in einer Richtline als organisatorische Maßnahme geregelt werden. Besser ist hier immer eine technische Maßnahme, welche den Zugriff verhindert. Dies kann zum Beispiel gewährleistet werden, wenn die Firmengeräte beim Anbieter auf irgendeine Art und Weise registriert sind, oder sich durch ein Clientzertifikat ausweisen müssen.

Ist dies nicht möglich, stehen ggf. Maßnahmen bereit, um den Zugriff nur aus dem Firmennetzwerk zuzulassen. Durch Einschränken der IP-Adressen aus dem eigenen Bereich des Unternehmensnetzwerk, können entsprechende Barrieren errichtet werden. Werden keine privaten Geräte im Unternehmensnetzwerk zugelassen und auch ggf. durch technische Maßnahmen ausgeschlossen, kann dies auch eine wirksame Maßnahme sein.

Nicht zuletzt kann dadurch auch ein zunächst erfolgreicher Phishing-Angriff gestoppt werden.

Cloud ist anders, aber nicht weniger Arbeit

Durch die Migration interner Dienste hin zu Cloud-Technologien müssen andere Überlegungen getroffen werden als es bei einem lokalen IT-Betrieb der Fall ist. Change-Prozesse sollte immer von dem Informationssicherheitsbeauftragten und – je nach Art der Daten – auch vom Datenschutzbeauftragen begleitet werden, um frühzeitig Risiken zu identifizieren und geeignete Maßnahmen zu entwickeln. Im Ergebnis ändert sich die Verwaltung der Ressourcen, eine (Zeit-)Ersparnis durch die Cloud ist aber nicht immer gegeben.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Sehr interessanter Beitrag – Danke! Wie ist das denn, wenn ein Unternehmen eine SaaS Lösung einsetzt, in der keine personenbezogenen Daten verarbeitet werden, für die der Anbieter aber E-Mail-Adressen und Passwörter der Mitarbeitenden des Unternehmens als Zugangsdaten verarbeitet. Ist dies eine Datenübermittlung? Ist dies eine Auftragsverarbeitung? Muss das ins Verarbeitungsverzeichnis?

    • Ein Auftragsverarbeitungsverhältnis liegt grundsätzlich nicht vor, wenn der Kern der Tätigkeit nicht die Verarbeitung von personenbezogenen Daten ausmacht, sondern nur ein Nebenprodukt darstellt.

      Das LfD Niedersachen schreibt in ihrem FAQ zur Auftragsverarbeitung folgendes:
      „…Die Beauftragung mit den beschriebenen fachlichen Dienstleistungen, also mit Dienstleistungen, bei denen die Datenverarbeitung nicht im Vordergrund steht, beziehungsweise bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-) Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.“

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.