„Software as a Service“ erfreut sich in Unternehmen immer größerer Beliebtheit. Für sie ist das Konzept, Programme für betriebliche Zwecke zur Verfügung zu haben, die Aufwände der Verwaltung und Wartung aber dem Anbieter zu überlassen, ein sehr praktisches. So kommt es, dass Anwendungen wie Microsoft 365, SAP ERP und Salesforce in fast jedem Unternehmen zu finden sind. 

 



Bei ihnen handelt es sich stets um Cloud-basierte Lösungen, bei der Daten und Anwendungen extern gehostet werden. Das bringt jedoch nicht nur Vorteile mit sich, da dieser Trend auch von Cyberkriminellen beobachtet wird und ein neues Feld von Angriffsszenarien auf mögliche Schwachstellen eröffnet. Besonders reizvoll sind solche Attacken für Angreifende vor allem, weil mit einem Schlag eine Vielzahl von softwarenutzenden Betrieben in Mitleidenschaft gezogen werden können. 

 

Als populäres Beispiele der früheren Vergangenheit kann das Ausnutzen einer Schwachstelle in der Software des IT-Dienstleisters Kaseya* genannt werden. Hierüber traf es im Jahr 2021 hunderte Unternehmen, die die Anwendung implementiert hatten und sich anschließend Ransomeware-Forderungen ausgesetzt sahen. 

 

Doch was lässt sich als Unternehmen tun, um die Vorteile der externen Software zu nutzen und Risiken dabei möglichst gering zu halten? 

 

  • Datensicherheit: Auch mit ordnungsgemäßem Abschluss eines Auftragsverarbeitungsvertrag bleibt die Verantwortung für die Daten im Unternehmen. Sie sollten daher sicherstellen, dass ihre Daten bei einem SaaS-Anbieter sicher aufbewahrt werden. Dies bedeutet unter anderem, dass der Anbieter eine angemessene Datenschutzrichtlinie haben und Datenverschlüsselung sowie Backup-Systeme implementiert haben sollte.

     
  • Zugriffskontrolle: Unternehmen sollten die Kontrolle darüber haben, wer Zugang zu ihren Daten hat. Eine gute SaaS-Lösung hat ein Zugriffskontrollsystem implementiert, das Benutzenden ermöglicht, den Zugang zu bestimmten Daten zu steuern.

 

  • Integrität und Verfügbarkeit: Es sollte sichergestellt sein, dass Daten vor Änderungen und Verlust geschützt sind. Neben den Maßnahmen der Datensicherheit und Zugriffskontrolle ist hierfür die kontinuierliche Überwachung und Überprüfung der Systeme und ein erprobter Notfallplan zu empfehlen. 

 

  • Compliance: Unternehmen sollten prüfen, ob die geltenden gesetzlichen und branchenspezifischen Anforderungen eingehalten werden. Ein guter SaaS-Anbieter verfügt über die notwendigen Zertifizierungen und Audits, um dies zu gewährleisten.

 


Abschließend sind neben diesen technischen und regulatorischen Maßnahmen stets auch das Augenmerk auf die Nutzenden der Lösung zu legen. Der Faktor Mensch bleibt als Schwachstelle das größte Cyberrisiko. Hier können regelmäßige Schulung und Aufklärung wie Sie hier zu finden sind, Abhilfe schaffen. 

 

Wie Sie wissen: Bei aller Vorsicht und Vorsorge lässt sich 100% Sicherheit jedoch nie herstellen. Um der Verantwortung gegenüber Mitarbeitenden und Kund:innen dennoch vollständig gerecht zu werden, sollte eine Cyberversicherung zur Absicherung des Restrisikos in Betracht gezogen werden. Mehr Informationen dazu haben wir Ihnen hier aufbereitet. 

 

Gerne steht Ihnen das CyberDirekt-Team auch jederzeit für Rückfragen und zur Beratung zur Verfügung. Zögern Sie nicht!

 

 

 

 

 

*https://www.heise.de/news/Hacker-Angriff-ueber-IT-Dienstleister-Kaseya-trifft-Hunderte-Unternehmen-6128388.html