Es wird immer üblicher, SaaS-Lösungen (Software as a Service) zu verwenden, vor allem, weil sie kostengünstig und einfach zu verwenden sind, da Betrieb und Wartung vom Anbieter übernommen werden. Außerdem können sie eine hohe Sicherheit bieten, da Dinge schiefgehen können, wenn Sie nicht vorsichtig sind und vor dem Kauf die Sicherheit gewährleisten. Zu viele Leute kaufen eine SaaS-Lösung mit der gleichen Einstellung wie beim Autokauf: Sie erwarten, dass die Person, die das Auto gebaut hat, dafür gesorgt hat, dass es sicher und intakt ist.
Finden Sie zunächst heraus, wer für was verantwortlich ist, um einen guten Überblick über die Lösung zu erhalten. Cloud hat viele verschiedene Modelle: Private Cloud, wo Sie Ihre eigene Umgebung einrichten, Ihre eigenen Maschinen betreiben und verwalten. Infrastructure as a Service, wo Sie als Kunde für bestimmte Teile verantwortlich sind und der Anbieter für bestimmte Teile. Dann gibt es „Platform as a Service“, wo der Anbieter den Großteil übernimmt, und „Software as a Service“, über das wir in diesem Artikel sprechen.
Es liegt in Ihrer Verantwortung, sicherzustellen, dass Sie ein Produkt kaufen, das die Sicherheitsklassifizierung der Daten verarbeiten kann, die die Lösung verarbeiten wird. Wie beim Autokauf ist Volvo dafür verantwortlich, dass Sie das Auto sicher fahren können und dass es nicht verunfallt. Sollten Sie jedoch einen Unfall haben und verletzt werden, ist das Ihr Problem.
Bei der Bewertung von Lieferanten und während des Kaufs ist es wichtig, dass Sie die Sicherheitsanforderungen klar kennen, damit Sie sicherstellen können, dass Ihre Daten bei dem von Ihnen ausgewählten Anbieter absolut sicher sind.
Was eine Anforderungserklärung enthalten sollte, ist individuell. Beginnen Sie beim Erstellen Ihrer Anforderungserklärung immer damit, welche Art von Daten Sie in der Lösung haben. Wenn Sie beispielsweise Kreditkarteninformationen haben, muss die Lösung PCI DSS verarbeiten können, und wenn Sie personenbezogene Daten haben, muss die Lösung der DSGVO entsprechen.
Auch wenn die Anforderungen individuell sind, stellt die überwiegende Mehrheit normalerweise sicher, dass Penetrationstests durchgeführt werden. Etwas, das normalerweise vom Lieferanten erledigt wird. Ein Tipp ist, sicherzustellen, dass der Lieferant einen Pen-Tester von einer unabhängigen Partei hinzuzieht. Um besonders sicher zu sein, sollten Sie beim Kauf einer Lösung auch verpflichtet sein, Ihre eigenen unabhängigen Tester einzusetzen, was fast immer in Ordnung ist. Am Ende dieses Artikels finden Sie eine Liste der wichtigsten allgemeinen Dinge, die Sie in eine Sicherheitserklärung aufnehmen sollten.
Die Lieferanten stehen der Einbeziehung eines externen Partners und der Bezahlung der Sicherheitstests normalerweise sehr positiv gegenüber, aber ich denke, Sie sollten sicherstellen, dass der Lieferant diese Kosten übernimmt. Schließlich sind Sie der Kunde und werden für das Produkt bezahlen. Es ist, als würden Sie ein Auto kaufen und es dann in eine Werkstatt bringen, um zu überprüfen, ob es sicher ist. Das tun Sie nicht.
Je nach SaaS-Lösung können Sie benutzerdefinierte Konfigurationen und Integrationen vornehmen. In diesem Fall führen Sie die Tests auf eigene Kosten durch.
Meistens ist es gut, Ihre Anforderungen während der Evaluierung/vor dem Kauf mit dem Lieferanten abzuklären, aber leider finden viele dies zu spät heraus. Dadurch landen Sie in einer Situation ohne benutzerdefinierte Datenanforderungen, was das Ganze komplexer macht. Erstens sollten Sie sich die Lösung ansehen, einschätzen, wie wichtig sie für Ihre Informationen ist, und prüfen, ob Sie etwas ändern müssen/können. Zweitens sollten Sie herausfinden, ob der Lieferant bereit ist, diese Änderungen vorzunehmen, was er normalerweise ist. Von dort aus entwickeln Sie eine Reihe von Anforderungen, die Sie gemeinsam durchgehen, wobei Sie sich ansehen, was heute vorhanden ist und was behoben werden muss.
Die SaaS-Anbieter sind fast immer offen für Änderungen, aber Sie müssen verstehen, dass dies nicht über Nacht geschieht, sondern Zeit braucht. Wenn Sie ein Nein erhalten, müssen Sie einfach eine Entscheidung treffen, ob Sie mit dem Risiko leben oder sich nach einer neuen Plattform umsehen können.
Bevor ein Kauf getätigt wird, ist es auch wichtig, herauszufinden, wie der Testprozess des Lieferanten aussieht und wie er mit Sicherheit umgeht. Sie möchten keinen Produktbesitzer haben, der andere Dinge als Sicherheit und deren Maßnahmen priorisiert.
Finden Sie heraus, ob sie Sicherheitstests durchführen und wenn ja, welche Sicherheitstests sie durchführen. Finden Sie heraus, wie sie die Tests durchführen, wer die Tests durchführt, wie oft sie sie durchführen und wie der Prozess aussieht, um Schwachstellen zu beheben, falls sie auftreten. Fordern Sie ruhig Beweise an, um zu überprüfen, wie die Berichte aussehen und wie sie frühere Schwachstellen (falls vorhanden) behoben haben.
Ihre Sicherheitsarbeit sollte Kontinuität aufweisen, Tests sollten nicht nur auf Anfrage oder alle drei Jahre durchgeführt werden.
Da immer mehr Unternehmen auf verschiedene SaaS-Lösungen umsteigen, ist die Anbieterseite völlig explodiert. Unabhängig davon, ob Sie Ihre eigenen oder SaaS-Lösungen betreiben, ist es äußerst wichtig, sicherzustellen, dass die Anwendung, die Infrastruktur und die Daten ausreichend geschützt sind. Das Problem ist, dass wir oft erwarten, dass Sicherheit vorhanden ist, ohne dies beim Kauf zu überprüfen oder Anforderungen zu stellen, was im Falle eines Angriffs fatale Folgen haben kann.
Wir haben daher eine Checkliste zusammengestellt, was Sie in der Kaufphase einer SaaS-Lösung in Ihre Anforderungen aufnehmen sollten. Die Checkliste finden Sie hier.