Immer häufiger werden SaaS-Lösungen (Software as a Service) eingesetzt, vor allem weil sie kostengünstig und einfach zu bedienen sind, da Betrieb und Wartung vom Anbieter übernommen werden, und weil sie ein hohes Maß an Sicherheit bieten, denn es kann einiges schief gehen, wenn man nicht vorsichtig ist und sich vor dem Kauf nicht vergewissert. Zu viele Menschen kaufen eine SaaS-Lösung mit der gleichen Einstellung wie beim Kauf eines Autos: Sie erwarten, dass die Person, die das Auto gebaut hat, dafür gesorgt hat, dass es sicher und solide ist.
1. Verteilung der Zuständigkeiten
Um einen guten Überblick über die Lösung zu erhalten, sollten Sie zunächst herausfinden, wer wofür zuständig ist. Es gibt viele verschiedene Cloud-Modelle: Private Clouds, bei denen Sie Ihre eigene Umgebung einrichten, Ihre eigenen Maschinen betreiben und verwalten. Infrastructure as a Service, bei dem Sie als Kunde für bestimmte Teile verantwortlich sind und der Anbieter für bestimmte Teile. Dann gibt es noch Platform as a Service, bei dem der Anbieter den größten Teil übernimmt, und Software as a Service, über die wir in diesem Artikel sprechen.
Es liegt in Ihrer Verantwortung, sicherzustellen, dass Sie ein Produkt kaufen, das die Sicherheitsklassifizierung der Daten, die die Lösung verarbeiten soll, erfüllen kann. Wie beim Kauf eines Autos ist Volvo dafür verantwortlich, dass Sie das Auto sicher fahren können und es nicht abstürzt, aber wenn Sie einen Unfall bauen und verletzt werden, ist das Ihr Problem.
2. Anforderungen
Bei der Bewertung von Anbietern und während des Kaufs ist es wichtig, dass Sie sich über die Sicherheitsanforderungen im Klaren sind, damit Sie sicherstellen können, dass Ihre Daten bei dem von Ihnen gewählten Anbieter absolut sicher sind.
Was ein Anforderungsprofil enthalten sollte, ist individuell. Gehen Sie immer davon aus, welche Art von Daten Sie in der Lösung haben, wenn Sie Ihr Anforderungsprofil festlegen. Wenn Sie z. B. Kreditkartendaten haben, muss die Lösung in der Lage sein, PCI DSS zu handhaben, und wenn Sie persönliche Daten haben, muss die Lösung das GDPR-Gesetz befolgen.
Auch wenn die Anforderungen individuell sind, wird in den meisten Fällen sichergestellt, dass Penetrationstests durchgeführt werden. Dies wird in der Regel vom Anbieter durchgeführt. Ein Tipp ist, dafür zu sorgen, dass der Anbieter einen Pentester von unabhängiger Seite heranzieht. Um besonders sicher zu gehen, sollten Sie beim Kauf einer Lösung auch Ihre eigenen unabhängigen Tester einsetzen, was fast immer in Ordnung ist. Am Ende dieses Artikels finden Sie eine Liste der wichtigsten allgemeinen Dinge, die Sie in eine Sicherheitserklärung aufnehmen sollten.
Die Anbieter sind in der Regel sehr positiv eingestellt, wenn es darum geht, eine externe Partei einzuschalten und für die Sicherheitstests zu bezahlen, aber ich denke, Sie sollten sicherstellen, dass der Anbieter diese Kosten übernimmt. Schließlich sind Sie der Kunde und werden für das Produkt bezahlen. Das ist so, als ob man ein Auto kauft und es dann in eine Werkstatt bringt, um zu prüfen, ob es sicher ist - das tut man nicht.
Je nach SaaS-Lösung können Sie individuelle Konfigurationen und Integrationen vornehmen. Wenn dies der Fall ist, führen Sie die Tests auf eigene Kosten durch.
Meistens ist es gut, wenn Sie Ihre Anforderungen mit dem Lieferanten während der Bewertung/vor dem Kauf abklären, aber leider finden viele dies zu spät heraus. Das führt dazu, dass man in eine Situation gerät, in der man keine maßgeschneiderten Datenanforderungen hat, was die ganze Sache noch komplexer macht. Die erste Aufgabe besteht darin, die Lösung zu prüfen, zu bewerten, wie wichtig sie für Ihre Informationen ist, und festzustellen, ob Sie etwas ändern müssen/können. Zweitens muss man herausfinden, ob der Anbieter bereit ist, diese Änderungen vorzunehmen, was in der Regel der Fall ist. Daraufhin entwickeln Sie einen Anforderungskatalog, den Sie gemeinsam durchgehen, um festzustellen, was bereits vorhanden ist und was noch verbessert werden muss.
Die SaaS-Anbieter sind fast immer bereit, Änderungen vorzunehmen, aber Sie müssen verstehen, dass dies nicht von heute auf morgen geschieht, sondern Zeit braucht. Wenn Sie eine Absage erhalten, müssen Sie einfach entscheiden, ob Sie mit dem Risiko leben können oder sich nach einer neuen Plattform umsehen.
3. Die Prozesse des Anbieters in Bezug auf Sicherheit und Tests
Vor dem Kauf ist es auch wichtig, herauszufinden, wie der Testprozess des Anbieters aussieht und wie er mit der Sicherheit arbeitet. Sie möchten keinen Produktverantwortlichen haben, der anderen Dingen als der Sicherheit und ihren Maßnahmen Priorität einräumt.
Finden Sie heraus, ob sie Sicherheitstests durchführen und wenn ja, welche. Finden Sie heraus, wie die Tests durchgeführt werden, wer die Tests durchführt, wie oft sie durchgeführt werden und wie der Prozess zur Behebung von Schwachstellen aussieht, falls sie auftreten. Fordern Sie ruhig Nachweise an, um zu sehen, wie die Berichte aussehen und wie frühere Schwachstellen behoben wurden (falls vorhanden).
Es sollte eine Kontinuität in ihrer Sicherheitsarbeit geben, Tests sollten nicht nur auf Anfrage oder alle drei Jahre durchgeführt werden.
Zusammenfassung
Da immer mehr Unternehmen auf verschiedene SaaS-Lösungen umgestiegen sind, ist die Anbieterseite regelrecht explodiert. Unabhängig davon, ob Sie sich für den Betrieb einer eigenen oder einer SaaS-Lösung entscheiden, ist es äußerst wichtig, sicherzustellen, dass die Anwendung, die Infrastruktur und die Daten angemessen geschützt sind. Das Problem ist, dass wir oft erwarten, dass die Sicherheit gegeben ist, ohne dies beim Kauf zu überprüfen oder zu fordern, was im Falle eines Angriffs fatale Folgen haben kann.
Wir haben deshalb eine Checkliste zusammengestellt, was Sie bei der Anschaffung einer SaaS-Lösung zu Ihren Anforderungen zählen sollten. Sie finden die Checkliste hier.
Jon Jezierski
Jon Jezierski ist ein engagierter, integrativer und leidenschaftlicher IT-Sicherheitsspezialist, der immer ein Lächeln im Gesicht hat. Im Laufe der Jahre hat er in den meisten Branchen gearbeitet und ist ein erfahrener Referent für kleine und große Gruppen.
Die meisten von uns wissen, dass Sicherheit wichtig ist, aber wissen nicht wirklich, wie und wo man anfangen soll. In diesem Webinar werden wir über die Anwendungssicherheit sprechen, mit dem Schwerpunkt auf der Einbindung von Sicherheit in den Entwicklungsprozess, den häufigsten Angriffen und vieles mehr.
In this post we’re addressing some of the most common questions we get about IT
10 essential measures to strengthen your IT defenses In the world of ever-expanding digital horizons,