adrian_ilie825 - Fotolia
Schutz von SaaS-Plattformen ist eine Herausforderung
Die Daten in IaaS-Plattformen wie AWS, Azure und Google lassen sich auf vielfältige Weise sichern. In SaaS-Umgebungen, die oft sehr heterogen sind, ist das jedoch weit schwieriger.
Viele Unternehmen setzen vermehrt auf Cloud-Dienste. Das führt dazu, dass ihre Sicherheitsteams sich zunehmend mit Daten beschäftigen müssen, die in Systemen gespeichert sind, die sich ihrer direkten Kontrolle entziehen.
Es ist jedoch nicht ratsam, in der Cloud nur dieselben Sicherheitsmaßnahmen und -Tools wie On-Premises und in den eigenen Rechenzentren einzusetzen. Weil viele Unternehmen diesen Punkt nicht beherzigen, führt das in der Praxis dazu, dass es ihnen nicht gelingt, die benötigte Übersicht und Kontrolle über ihre Cloud-Umgebungen zu erhalten.
Für einige Unternehmen ist es bereits jetzt schwierig, ihre Netzwerke angemessen zu verteidigen, weil es ihnen schlicht an der dafür benötigten Zeit, den Budgets und den Kenntnissen mangelt. Wenn dann noch Cloud-Infrastrukturen mit ins Spiel kommen, wissen viele erst dann, dass sie Opfer eines Datendiebstahls geworden sind, wenn ihre Daten plötzlich öffentlich verfügbar geworden sind. Das trifft insbesondere dann zu, wenn sie das Ziel eines gezielten Angriffs durch einen erfahrenen Gegner geworden sind.
Manche Cloud-Plattformen lassen sich allerdings leichter verwalten als andere. So lässt sich die Sicherheit einer SaaS-Umgebung (Software as a Service) schwieriger gewährleisten als es bei IaaS-Plattformen (Infrastructure as a Service) möglich ist. Das gilt insbesondere dann, wenn es um den Schutz von Netzwerk und Storage geht.
Schutz von IaaS-Systemen
Die Absicherung der Cloud ist kein unlösbares Rätsel, wenn es um IaaS geht. AWS (Amazon Web Services), Microsoft Azure und die Google Cloud Platform verfügen über integrierte Tools und Services, um die Sicherheit der in ihrer Infrastruktur gespeicherten Daten zu garantieren. Dazu kommt eine Reihe von nützlichen Werkzeugen von Drittanbietern wie Cisco, Palo Alto Networks und Check Point Software, mit denen sich diese Fähigkeiten in den diversen Plattformen weiter erhöhen lassen.
IaaS-Dienste lassen sich von den meisten Security-Teams in der Regel auch leichter verstehen. Die von ihnen angebotenen Tools sind sehr effektiv, wenn es um den Schutz von Daten geht, die dort gespeichert und verarbeitet werden. Nichtsdestotrotz erfordern auch diese Anwendungen, dass sich die damit befassten Teams die Zeit nehmen und die Kenntnisse erwerben, um sie sicher zu konfigurieren und richtig einzusetzen. So kann es schon bei diesen Systemen für Unternehmen schwierig sein, sie richtig zu verstehen und zu verwalten.
Die Sicherheit von SaaS-Plattformen
Noch weit komplexer und aufwendiger ist es aber, Daten zu schützen, die in SaaS-Plattformen abgelegt wurden. Selbst kleine Unternehmen nutzen mittlerweile eine signifikante Zahl an Cloud-basierten Anwendungen. Dazu gehören Lösungen aus den Bereichen CRM (Customer Relationship Management), HR (Human Resources), Finanzen und anderen Segmenten, die ein Unternehmen in der Regel im Alltag benötigt. In großen Firmen können es Hunderte von SaaS-Anwendungen sein, die tagtäglich eingesetzt werden. Das macht es so schwierig, die Sicherheit der genutzten Dienste zu gewährleisten.
Viele dieser Anwendungen, insbesondere aus den Bereichen HR und Finanzen, enthalten darüber hinaus äußerst sensible personenbezogene Daten. Wenn diese Informationen geklaut werden, kann es deswegen zu ernsthaften Schäden für den Ruf eines Unternehmens und schmerzhaften Strafen durch die zuständigen Regulierungsbehörden kommen. Gerade letztere wurden mit der seit Mai 2018 anzuwendenden Datenschutz-Grundverordnung (DSGVO) der Europäischen Union deutlich verschärft.
Zunächst geht es bei der Absicherung von SaaS-Plattformen aber darum, überhaupt erst einmal zu erfassen, welche Anwendungen genutzt werden. Manche dieser Applikationen werden ohne das Wissen oder die Erlaubnis der IT-Abteilung genutzt. Sobald die Anwendungen identifiziert wurden, müssen sie schnellstmöglich geschützt werden. Es gibt Tools, mit denen sich die in einem Unternehmen geltenden Sicherheitsrichtlinien auf SaaS-Umgebungen erweitern lassen. In der Regel funktionieren sie aber nur mit den populärsten Anwendungen, so dass in anderen Lösungen abgelegte Daten weiter nur mangelhaft gegen Angriffe geschützt sind.
Fazit
Unternehmen stehen heute die von ihnen benötigten Werkzeuge und Möglichkeiten zur Verfügung, um ihre in IaaS-Plattformen gespeicherten Daten umfangreich zu schützen. Diese Absicherung aber auch auf SaaS-Umgebungen zu erweitern, ist oft eine erhebliche Herausforderung für alle Beteiligten. Die meisten Security-Teams sind damit überfordert.
Der Schutz von Daten in SaaS-Plattformen erfordert eine umsichtige Analyse der vorhandenen Sicherheitskontrollen und -prozesse jeder einzelnen Plattform und Lösung. Dazu kommt eine umfassende Prüfung der sicherheitsrelevanten Konfigurationen sowie der verfügbaren Zugangssysteme. Außerdem werden detaillierte Vorgaben benötigt, die bestimmen, welche Daten überhaupt wo abgelegt werden dürfen.
Aufgrund der gigantischen Zahl an unterschiedlichen SaaS-Anwendungen auf dem Markt und den in vielen Fällen überlasteten Security-Teams sind in SaaS-Umgebungen gespeicherte Daten aus den genannten Gründen oft in Gefahr, absichtlich oder unabsichtlich in die falschen Hände zu geraten.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
