Ungesicherte Anwendungen gefährden die Sicherheit von Unternehmen – Wenn das SaaS-Chaos droht

Der massive Anstieg an SaaS-Anwendungen erhöht die Gefahr, Opfer eines Cyberangriffs zu werden, dramatisch. Nur die vollständige Transparenz über den gesamten Software-Fußabdruck, einschließlich der Schatten-IT, gewährleistet Sicherheit. Das SaaS-Management muss dazu nahtlos in eine ganzheitliche Cybersicherheitsstrategie und eine umfassende Identitätssicherheitsstrategie eingebunden werden.

Software as a Service (SaaS) ist allgegenwärtig. Denn im Vergleich zur traditionellen IT-Installation stellen diese Anwendungen eine kosteneffizientere Alternative dar. Und mehr noch: Im Zuge der digitalen Transformation können Unternehmen durch die einfache Implementierung von SaaS-Anwendungen schneller mit den Anforderungen der Mitarbeiter skalieren. SaaS ist somit ein leistungsstarker Beschleuniger für ihre Effizienz und ihr Wachstum. Den Einschätzungen von SailPoint zufolge werden 90 Prozent der Unternehmen im kommenden Jahr fast ausschließlich auf Cloud-basierte Anwendungen setzen. Doch eine sichere SaaS-Einführung setzt ein hohes Maß an Transparenz voraus. Haben Unternehmen keinen vollständigen Überblick über alle SaaS-Anwendungen, die ihre Mitarbeiter nutzen, setzen sie sich einem hohen Risiko aus. Denn SaaS ist täglich präsent – im Rahmen der Identitätssicherheit oder der Integration von Drittanbietern und vor dem Hintergrund der Schatten-IT.

Wegen der Covid-19-Krise waren Unternehmen gezwungen, ihren Mitarbeitern über Nacht Remote-Arbeitsplätze zur Verfügung zu stellen. Im Zuge dessen griff man nur allzu gerne auf Tools wie Zoom oder Microsoft Teams zurück, um den Geschäftsbetrieb weitestgehend aufrechtzuerhalten. SaaS als flexibles Betriebsmodell ermöglichte es, die Produktivität zu erhöhen, sodass sich auch andere SaaS-Dienste großer Beliebtheit erfreuten und eilig implementiert wurden. Währenddessen waren die IT-Teams bemüht, mit dieser Flut neuer Anwendungen Schritt zu halten. Viele Unternehmen stellen jetzt fest, dass der massive Anstieg an SaaS-Anwendungen die Gefahr, Opfer eines Cyberangriffs zu werden, dramatisch erhöht.

Mehr SaaS bedeutet mehr Risiko. Die Vielzahl von SaaS-Anwendungen erschwert es der IT-Abteilung, diese neue Flexibilität zu unterstützen und gleichzeitig das Unternehmen gegen Cyberangriffe abzusichern und seine Vermögenswerte zu schützen. Wie also lassen sich neue Tools zur Steigerung der Effizienz und Produktivität den Mitarbeitern zur Verfügung stellen, ohne die Unternehmensressourcen zu gefährden? Und wie können hinsichtlich der Identitätssicherheit intelligentere Entscheidungen getroffen werden? 

Oftmals fehlt den Verantwortlichen der Überblick darüber, welche Anwendungen wie oder von wem genutzt werden. Dies erschwert das Management, vermindert den ROI und kann Verstöße gegen Datenschutzbestimmungen nach sich ziehen. Hinzu kommt, dass immer mehr Mitarbeiter sensible Daten in nicht zugelassene SaaS-Anwendungen integrieren (und ihnen uneingeschränkten Zugriff gewähren), sodass Drittanbieter unberechtigten Zugriff auf die Unternehmenssysteme erlangen, was das Risiko von Supply-Chain-Angriffen erhöht. So könnten Unternehmen mit einem plötzlichen Verlust oder Diebstahl kritischer Daten, ernsthaften Datenschutzproblemen und erheblichen Geldstrafen aufgrund der Nicht-Einhaltung von Vorschriften konfrontiert werden, da ihre Mitarbeiter auf SaaS-Anwendungen zurückgreifen, von denen sie nichts wissen.

Doch wie erhält eine IT-Abteilung Einblick in – geschweige denn Kontrolle über – Hunderte von teils nicht genehmigten Anwendungen?

Den Wildwuchs unter Kontrolle bringen. Ein manueller Ansatz kann kaum zum gewünschten Ziel führen. Denn es ist schlicht unmöglich, mit einer Tabellenkalkulation den Überblick zu behalten – schließlich ändert sich die SaaS-Landschaft in einem Unternehmen täglich. Ist ein Audit abgeschlossen, ist es bereits veraltet. Und selbst wenn sich manuelle Audits schneller durchführen ließen, bliebe immer noch das Problem der Schatten-IT.

Die Antwort lautet Automatisierung. Durch den Einsatz eines automatisierten Tools für die Erkennung und Verwaltung erhalten Unternehmen einen kontinuierlichen und detaillierten Einblick in ihre gesamte SaaS-Umgebung – sprich, einen Echtzeitstatus jeder einzelnen genutzten SaaS-Anwendung. Diese Transparenz ermöglicht es, den gesamten SaaS-Zugang zu regeln, Identitäten für jede Anwendung zu verwalten, Softwareausgaben effektiver zu kontrollieren und letztendlich Risiken einzudämmen. Anfällig für Bedrohungen sind Unternehmen unter anderem dann, wenn sensible Daten in ungesicherten Anwendungen gespeichert sind oder wenn Mitarbeitern zu viele Zugriffsrechte eingeräumt werden, die sie nicht benötigen oder nicht haben sollten. Das SaaS-Management als nächste Stufe der Transparenz zahlt nicht nur auf die Verbesserung von Sicherheit und Compliance ein, sondern führt auch zu einer Reduzierung der Kosten, die durch ungenutzte oder unnötige Zugriffe entstehen. Denn das SaaS-Management geht diese Probleme direkt an und ermöglicht es Unternehmen, einen proaktiven Ansatz zu verfolgen, der sich positiv auf das gesamte Unternehmen auswirkt. 

Der Weg zur SaaS-Sicherheit. Bevor Maßnahmen ergriffen werden, ist eine Strategie erforderlich, denn eine vorschnelle Lösung wird sich langfristig nicht auszahlen. Unternehmen müssen ganzheitlich denken: Wie passt das SaaS-Management in eine ganzheitliche Cybersicherheitsstrategie? Wie kann es in eine umfassende Identitätssicherheitsstrategie einbezogen werden? 

Die vollständige Transparenz über den gesamten Software-Fußabdruck, einschließlich der Schatten-IT, ist der erste Schritt. Das SaaS-Management zentralisiert und automatisiert die Sichtbarkeit der gesamten Softwareumgebung und soll Sicherheits- und IT-Teams dabei helfen, zu verstehen, was in den SaaS-Anwendungen in ihrer Umgebung passiert, wer Zugriff besitzt und wie dieser ausgenutzt wird. 

Indem diese Teams verstehen, wie Nutzer auf Aufwendungen zugreifen, können sie intelligentere Zugriffsentscheidungen treffen. Diese nächste Stufe der Transparenz unterstützt nicht nur eine höhere Sicherheit und eine verbesserte Compliance, sondern führt auch zu einer Reduzierung der Kosten, die durch ungenutzte oder unnötige Zugriffe entstehen. Eine umfassende Anwendungstransparenz ist somit die Grundlage für die Identitätssicherheit.

 


Mike Kiser,
Senior Identity Strategist,
Office of the CTO bei Sailpoint

 

 

Illustration: © sokolovski/shutterstock.com

 

9 Artikel zu „SaaS-Management“

Cybersicherheit: Was XDR können muss und worauf es bei der Auswahl einer XDR-Lösung ankommt – Cyberunkraut im Netzwerk eliminieren

EDR, SIEM, DLP – Der Urwald der Cybersecurity-Abkürzungen wird immer dichter. Mit jeder neuen Angriffsart sprießt gefühlt ein weiteres »Lösungspflänzchen« aus dem digitalen Boden, das besonders gut gegen neue Malware-Varianten helfen soll. Aber die vielen neuen Lösungen und Ansätze erfordern nicht nur immer mehr Expertenwissen bei Security-Verantwortlichen, sie müssen sich auch optimal in bestehende Systeme integrieren. Fortschrittliche XDR-Lösungen lichten den Security-Dschungel und erleichtern Unternehmen die Absicherung ihrer gesamten IT-Infrastruktur durch einen hohen Automatisierungsgrad bei der Bedrohungsbekämpfung.

SaaS in der Private statt Public Cloud – Bequemer IT-Service mit voller Kontrolle über eigene Daten

Die Welt der Business-Software ist seit vielen Jahren im Wandel. Software as a Service (SaaS) ist der neue Goldstandard bei den Programmen des Geschäftsalltags. Neben allen Vorteilen, die dieser Aufbruch mit sich bringt, mehren sich Sicherheitsvorfälle und Datenschutzbedenken. Denn wertvolle und vertrauliche Geschäftsdaten verlassen den »Safe Space« der eigenen vier Bürowände. nwieweit kann eine private Cloud-Instanz den Risiken entgegenwirken, damit Unternehmen sowohl eine produktive als auch eine IT-sichere Zukunftsperspektive haben?

Alcatel-Lucent Enterprise führt neue DeskPhones ein

Alcatel-Lucent Enterprise, Anbieter für Kommunikations-, Netzwerk- und Cloud-Lösungen, stellt seine neuen DeskPhones für das digitale Zeitalter vor. Als Antwort auf neue Arbeitsmodelle wie Hybrid- oder Remote-Arbeit hat Alcatel-Lucent Enterprise neue Tischtelefone entwickelt, die den gestiegenen Anforderungen der Nutzer gerecht werden sollen. Das Sortiment beinhaltet fortschrittliche Funktionen, die eine Kommunikation von überall aus ermöglichen, unterlegt mit…

Probleme beim Umgang mit SaaS

Starkes Wachstum, aber keine einheitlichen Prozesse: SaaS-Management ist in Unternehmen nicht klar definiert. SaaS erobert die Geschäftswelt in rasantem Tempo. In einer aktuellen Studie von LeanIX beschreiben 70 Prozent der befragten internationalen IT-Experten in ihren Unternehmen ein starkes SaaS-Wachstum in den letzten beiden Jahren – bis hin zur Verdopplung der Anwendungen. Eine geeignete Management-Disziplin für…

Microsoft verkauft Beschränkung der Kundenrechte als Kundenvorteil

  Microsoft hat kürzlich Stellung zur Änderung der Produktbestimmungen genommen und verweist dabei auf gängige Praxis und Auswahlmöglichkeiten des Kunden – vergisst aber den bisherigen Status Quo und damit die Schlechterstellung zu erwähnen.  Erst im Umkehrschluss zum letzten Satz der Antwort von Microsoft wird sich der geneigte Leser fragen, was vor der »ab Mai 2020…

Moderner, attraktiver Arbeitsplatz: New Work – eine Frage der Kultur. Und der Tools.

Junge Fachkräfte werden von Unternehmen dringend gesucht. Eine agile Unternehmenskultur mit modernen, kollaborativen Arbeitstools kann beim Wettlauf um qualifizierte Arbeitnehmer ein entscheidender Faktor sein. Aber manche Entscheider sind sich unschlüssig, wie genau sie dafür die Weichen stellen sollen. Dabei kann schon die Umstellung auf kollaborative Tools wie Office 365 ein guter erster Schritt Richtung »New Work« sein. Ein Schritt, den Unternehmen sowieso gehen müssen.

Ertragsoptimierung bei Cloud-Data-Warehouse-Investitionen

Immer mehr datengestützte IT-Systeme werden in die Cloud verlagert und dazu gehört auch das Data Warehouse. Neue Cloud-Data-Warehouse-Lösungen (CDW) sollen noch umfassendere Datenfunktionen, eine bessere Leistung und mehr Flexibilität als herkömmliche lokale Datenbanken bieten.   Laut einer neuen Umfrage des TDWI (The Data Warehousing Institute) im Auftrag von Talend bieten neue Cloud-Data-Warehouse-Lösungen (CDW) noch umfassendere…