Früher, als noch alles besser war, konnten sicherheitsbewusste Admins einfach den physischen Zugang zu Systemen begrenzen. Wer nicht im eigenen Netz ist, kommt nicht an die Server oder die Software. Hach, war das ein schönes Leben. Und dann kam die Cloud und SaaS. Software as a Service ist großartig für viele Parteien – aber nicht für die IT-Security.
Ein Tool in Minuten finden und nutzen – ein Traum. FrüherTM wären dafür aufwändige Prozeduren, Abstimmungen, Erlaubnisse, Kostenfreigaben notwendig gewesen. Gerade jetzt geben auf der ganzen Welt Millionen von Büroarbeitenden Kreditkarten-Daten ein und buchen das nächste Tool. Firmen mit mehr als 2.000 Angestellten haben durchschnittlich 175 SaaS-Apps im Einsatz, Tendenz steigend.
SaaS: Des einen Traum ist des anderen Albtraum
Für IT- und Security-Verantwortliche ist das Szenario eher ein Albtraum. So charmant das SaaS-Modell auch ist, es beinhaltet eine massive Übergabe von Verantwortung und Kontrolle – vom Unternehmen zu den SaaS-Anbietern.
To be fair: Diese negative Sicht ist natürlich (auch) Polemik. Viele der großen SaaS-Angebote sind “secure-by-default” und in Sachen DDoS-Protection unschlagbar. Das hat in manchen Bereichen für ein Mehr an Sicherheit gesorgt. Gleichzeitig sorgt das Thema für Kopfschmerzen in anderen Segmenten.
Die Anbieter sind häufig eine Blackbox. Abgesehen von Zertifizierungen (und schönen Worten) ist der Umgang mit Logins, Daten und Security an sich intransparent. Logfiles sind nicht oder nur teilweise verfügbar. Zudem ist ein neues Tool schnell gebucht und mit Daten gefüttert – und den einzelnen Mitarbeitenden ist die Sicherheit meist nicht so wichtig und präsent.
Dann sind da noch die Economics-of-Scale des Hackings. Eine SaaS-Plattform zu knacken bedeutet ggf. Zugang zu vielen unterschiedlichen Personen und Unternehmen zu bekommen – eine einzelne Unternehmens-Lösung ist meist nicht so attraktiv für Angreifende.
Rund 40 Prozent der SaaS-Tools im Einsatz werden nicht von der IT gepflegt oder verwaltet, sondern direkt in den Fachabteilungen. So entsteht eine massive Grauzone der Ungewissheit, quasi eine Schatten-IT. Das führt dazu, dass viele IT- oder Security-Abteilungen diese und andere Fragen nicht beantworten können:
– Welche Tools werden eingesetzt?
– In welchem Umfang?
– Welche potentiellen Risiken gehen mit dem Einsatz einher?
SaaS-Tools: Die Grauzone der Ungewissheit
SaaS-Lösungen sind zum Standard geworden und im Hinblick auf etablierte Lösungen wie beispielsweise Hubspot oder Salesforce ist das auch kein Problem. Solche Lösungen werden nicht in der Mittagspause gebucht und die IT ist im ganzen Prozess involviert.
Problematischer sind kleine Tools, die manchmal nur von einzelnen Usern im Unternehmen benutzt und gebraucht werden.
Eine Lösung versprechen dafür Unternehmen aus dem Sektor „SaaSOps“, kurz für SaaSOperations. Anbieter wie BetterCloud oder Vendr bringen Licht in den Dschungel der SaaS-Lösungen, die vom Unternehmen bezahlt und benutzt werden.
Doch neben der reinen Ungewissheit bringen SaaS-Lösungen auch ganz inhärente Risiken mit.
Das Phänomen SaaS und Web-Apps ist seit Jahren auf dem Vormarsch, COVID-19 war dafür jedoch der Nachbrenner. Plötzlich mussten Web-Apps, die seit Jahren ausschließlich on-premises angeboten wurden, auch frei im Web oder per VPN-Tunnel erreichbar sein, damit die Kolleg\*innen im Homeoffice ihren Job erledigen konnten. Ein potentielles Einfallstor für Angreifende.
Seit Beginn der Covid-Pandemie hat die Zahl der Exploits und Malwares für SaaS-Tools stetig zugenommen. Ob in der Cloud oder on-premises (also nicht so richtig SaaS): die Tools bieten reichlich Ansatzpunkte für Malwares und Hacker\*innen.
Szenarien, wie SaaS-Tools zur Gefahr werden
Allen Szenarien ist eins gemein: Über Exploits, Phishing, Malware oder Social Engineering bekommt die Angreifer*in Zugriff auf die „inner workings“ des SaaS-Tools.
User lieben die immer gleichen Passworte. Das ist zum einen ein Problem in Bezug auf die Komplexität der Passworte, aber das lässt sich mit Regeln mitigieren. Viel kritischer ist die Neigung von vielen Personen, ein Passwort oder wenige Passworte für viele Accounts wiederzuverwenden. Das Passwort für GMail ist dasselbe wie das für Twitter und für den Company-Login.
Das ist in Bezug auf SaaS-Tools ein häufiger Angriffsvektor. Wer die Finger in die Logindatenbank des SaaS-Tools bekommt, der kann mit diesen Daten häufig Zugriff auf E-Mail-Accounts, Cloud-Accounts, CRMs, CMS und vielen anderen Systemen erlangen.
Allein schon über diese Methode können große Mengen an Daten abgegriffen werden, ganz zu schweigen von der Glaubwürdigkeit, die diese Accounts weiteren Phishing-Attacken verleihen könnten.
Auf diese Weise kann auch Social Engineering eingesetzt werden. Eine Nachricht im Compay-Slack hat eine andere Trust-Stufe als eine E-Mail. Genauso eine Nachricht in einem Unternehmens-Intranet. Scams, die schnelle Überweisungen im Namen von Entscheider*innen als Ziel haben, könnten diese Variante gut ausnutzen.
Ein wachsendes Problem sind sogenannte Zombie-SaaS. Die sehen in etwa so aus: Nach der Startphase muss man sich eingestehen: Das Geschäftsmodell funktioniert nicht so richtig oder der Product-Market-Fit ist nicht da. Es wird klar, dass dieses SaaS-Produkt niemals ein durchschlagender Erfolg wird.
Eine Möglichkeit ist der Verkauf des Produkts mitsamt der Kund*innen an den Wettbewerb oder eine breitere Lösung. Hier wird das Tool weitergeführt oder integriert. Keine große Sache.
Gerüchteweise gibt es aber Käufer*innen auf dem Markt, die andere Ziele mit der App oder dem SaaS-Tool verfolgen. Sie kaufen gezielt erfolglose Tools oder führen sie weiter mit dem Ziel, an die Userdaten zu kommen und diese für weitere Angriffe auszuspähen.
Best Practices für SaaS-Security
Inventarisierung der SaaS-Tools
Was nutzen wir und was nicht? Was bezahlen wir? Wo haben wir Account-Zombies? Fragen über Fragen, auf die IT und Security Antworten bekommen sollten. Nur wer weiß, was an Lösungen existiert, kann auch darauf reagieren und ggf. Schwachstellen aufdecken. Technische Lösungen sind da sicher eine Hilfe, wirkliche Antworten gibt aber wohl nur die Buchhaltung – denn jedes Tool läuft über die Bücher.
Policy: Die einzige Heckenschere gegen den Wildwuchs
Wenn Hunderte oder gar Tausende Kolleg*innen im Unternehmen in der Lage sind, Subscriptions abzuschließen, dann wird Inventarisierung immer nur eine Momentaufnahme sein. Awareness bei den Menschen zu schaffen ist sicher ein guter Schritt, aber nicht ausreichend. Klare Regeln und Genehmigungs-Workflows sind die einzigen Mittel, die wirklich wirken.
Fazit
Aber sind strikte und starre Regeln wünschenswert? Der Gewinn auf Seiten von IT und Security wäre ein Verlust für viele andere Abteilungen und Menschen im Unternehmen. Sie sind gewohnt, auf “ihre” Tools zuzugreifen und benötigen sie für ihre Arbeit. Hier sind Abwägung und Fingerspitzengefühl gefragt.
Mit der riesigen Zahl an SaaS-Tools ist auch die Anzahl an Angriffsvektoren riesig geworden. Wir von comspace können Ihnen mit Analysen beratend zur Seite stehen und auch aktiv mit Penetrationstests die Sicherheit von Anwendungen überprüfen. Bei comspace arbeiten mehrere zertifizierte Sicherheits-Expert*innen, die Ihnen mit der Absicherungen Ihrer Infrastruktur helfen können – oder im Schadensfall beim Aufräumen eben dieser. Als Webagentur mit über 20 Jahren Erfahrung können wir eins mit Fug und Recht sagen: Wir kennen uns mit Web-Apps aus.
- Remote Work bei comspace: Interview mit Samuel Grob - 10. März 2023
- Content Marketing: Warum es häufig hapert - 6. September 2022
- SaaS-Security: Web-Apps und SaaS-Tools bringen die Lücken mit - 17. August 2022