Im Team

SaaS-Sicherheit: Fünf wichtige Punkte, die Kunden beachten sollten

Bild: © ristaumedia.de - Fotolia.com

Datenschutz und Sicherheit spielen im Cloud Computing eine entscheidende Rolle – und das nicht nur seit der NSA-Affäre. Denn wenn Unternehmen Anwendungen und Prozesse in die Cloud auslagern, überlassen sie dem SaaS-Provider die Verantwortung für die Absicherung ihrer Geschäftsdaten. Was Sie dabei beachten sollten, erfahren Sie in diesem Beitrag.

Das Thema Datensicherheit ist nach wie vor eins der am heißesten diskutierten Themen im SaaS-Business. Auf der einen Seite versuchen Cloud-Anbieter mit allen Mitteln, ihre Kundschaft davon zu überzeugen, dass die Sicherheit in einem professionell überwachten Rechenzentrum eines erfahrenen Hosting-Providers um ein Vielfaches größer sei als in einem normalen Bürogebäude. Auf der anderen Seite können sich viele Unternehmen, vor allem im Mittelstand, mit der Idee, ihre geschäftskritischen Daten, Prozesse und Anwendungen in die Public Cloud auszulagern, noch immer nicht anfreunden. Laut der Studie “Cloud-Monitor 2013”, die der Branchenverband BITKOM in Kooperation mit dem Wirtschaftsprüfungs- und Beratungsunternehmen KPMG letztes Jahr veröffentlicht hat, stehen 44 Prozent der befragten KMUs in Deutschland der Public Cloud “eher kritisch und ablehnend” gegenüber. Unsicherheiten im Bezug auf rechtliche und regulatorische Bestimmungen, sowie die Angst vor Datenverlust seien dabei die wichtigsten Hürden für den Einsatz von Cloud-Lösungen. So sieht laut Studie knapp ein Drittel der deutschen Unternehmen die Möglichkeit von Datenverlust als wesentliches Nutzungshemmnis bei Cloud-Produkten.

44 Prozent der deutschen KMUs stehen dem Thema Cloud Computing noch "eher kritisch und ablehnend" gegenüber. Quelle: "Cloud Monitor 2013" des Branchenverbands BITKOM.

Solche Unsicherheiten sind sicherlich berechtigt. Nicht nur die jüngsten Datenschutzskandale der NSA, PRISM, Tempora und Co., sondern auch die negativen Schlagzeilen über groß angelegte Hackerangriffe (etwa die aktuelle Cyberattacke auf die US-Großbank JP Morgan) und Datenpannen (wie der letzte Skandal um die gehackten Nacktbilder von Hollywood-Promis), die in letzter Zeit immer häufiger in der Presse kursieren, tragen dazu bei, dass diese kontroverse Thematik verstärkt in den Fokus der Diskussionen rückt. Das Internet, so sind sich Experten einig, wird für alle Netzteilnehmer, egal ob Privatpersonen, kleine Unternehmen oder große Konzerne, immer unsicherer. Doch dies sollte kein Grund zur Panik sein, sondern vielmehr ein Grund zur Wachsamkeit. Denn alles deutet eigentlich darauf hin, dass der Cloud-Trend nicht mehr zu stoppen ist. Unternehmen, die also den Einsatz von SaaS-Diensten in Erwägung ziehen oder Cloud-Tools bereits aktiv einsetzen, sollten sich über die damit verbunden Sicherheitsrisiken im Klaren sein. Vor einer Kaufentscheidung sind diese insofern gut beraten, die vom Cloud-Anbieter zur Verfügung gestellten Sicherheitsmaßnahmen zu hinterfragen und zu überprüfen. Im Folgenden führen wir fünf wichtige Punkte rund um die Sicherheit von SaaS-Anwendungen auf, die es dabei zu beachten gilt.

1. SSL ist ein absolutes Muss

Bei SSL (Secure Sockets Layer) handelt es sich um ein Netzwerkprotokoll zur sicheren, verschlüsselten Datenübertragung. Dieses bietet eine der wichtigsten Möglichkeiten, den Datenaustausch zwischen einem Server und einem darauf zugreifenden Client-Rechner abzusichern. Um sicherzustellen, dass die Kommunikation tatsächlich mit dem richtigen Server erfolgt, wird dieser durch eine vertrauenswürdige Organisation zertifiziert. Es gibt verschiedene SSL-Zertifikate, die von SaaS-Anbietern verwendet werden. Je nach Typ des beantragten SSL-Zertifikats, muss der Anbieter unterschiedliche Stufen der Überprüfung durchlaufen. Bei allen Typen werden einen Domainnamen, Servernamen oder Hostnamen mit einer Organisationsidentität, also einer Firma, und einen Standort zusammengebunden. Wenn eine Seite über eine SSL-gesicherte Verbindung geladen wird, so kann man dies an Hand der im Browser angezeigten Adresse nachvollziehen. Statt “http” steht hier nämlich “https”. Gleichzeitig erscheint in der Adressleiste des Browsers ein Sicherheitsschloss, den Sie sicherlich schon mal gesehen haben.

EV-Zertifikate schaffen mehr Vertrauen und helfen gegen Phising-Attacken.

Sogenannte “EV-Zertifikate” (Extended Validation) sind durch weitere visuelle Indikatoren besser erkennbar und werden von Anbieter Web-basierter Business-Lösungen immer häufiger verwendet. Das Besondere dabei ist, dass in der Adresszeile nicht nur der besagte Sicherheitsschloss angezeigt wird, sondern auch der rechtsgültig eingetragene Unternehmensname des Webseitenbesitzers. Damit schaffen solche Zertifikate mehr Vertrauen und geben Web-Anwendern eine zusätzliche Sicherheit, dass die Seite echt ist und sich nicht um eine Phishing-Seite handelt. In der Regel wird SSL verwendet, um Kreditkartentransaktionen, Datentransfers und Logins zu sichern. Insbesondere für E-Commerce- und geschäftliche SaaS-Anwendungen, bei denen vertrauliche Daten über das Internet verschickt werden, ist ein SSL-Zertifikat deshalb unumgänglich. Der Zugang zu Ihrem SaaS-Account sollte am besten ausschließlich per SSL erfolgen.

2. Regelmäßige Backups sind ebenfalls Pflicht

Neben verschlüsselten Datenübertragungen zwischen Browser und Server sind auch regelmäßige Backups auf der Seite des SaaS-Anbieters unabdingbar. Denn als Kunde muss man sich um die Absicherungen seiner in der Web-Anwendung hinterlegten Geschäftsdaten im Prinzip nicht selbst kümmern. Hierfür ist der SaaS-Provider verantwortlich. Bei seriösen Anbietern werden Sicherungskopien in der Regel mindestens einmal pro Tag erstellt. Es gibt jedoch viele SaaS-Anbieter, die zwei oder noch mehrere tägliche Backups durchführen. Die Backup-Strategie des SaaS-Herstellers sollte im Idealfall auf der Produktwebsite formal dokumentiert und detailliert beschrieben werden. Als zusätzliche Sicherheitsmaßnahme können SaaS-Kunden aber auch ihre eigenen Sicherungskopien selbst in vordefinierten Zeitintervallen erstellen. Zu diesem Zweck bieten professionelle SaaS-Dienste entsprechende Export-Funktionen, sowie Programmierschnittstellen, die einen automatischen Datenexport ermöglichen.

3. Doppelt gut: Redundante Systeme

Um die Verfügbarkeit ihrer Dienste selbst nach einem kompletten Systemausfall garantieren zu können, betreiben etablierte SaaS-Anbieter in der Regel redundante Systeme. Gerade bei geschäftskritischen Anwendungen, die täglich zum Einsatz kommen und für den reibungslosen Betrieb des Unternehmens erforderlich sind – man denke beispielsweise an ERP-Lösungen aus der Cloud – kann dies ein kritischer Punkt darstellen. Unternehmen, für die Systemausfälle beim SaaS-Anbieter teuer werden können, sind vor diesem Hintergrund also gut beraten, darauf zu achten, dass der Provider über eine redundante Systemarchitektur verfügt. Dabei spielt das Thema Disaster Recovery eine zentrale Rolle. So sollte der Anbieter den Kunden über entsprechende Richtlinien und Strategien informieren, wie in einem Worst-Case-Szenario das System möglichst schnell wieder verfügbar machen.

4. Zertifizierungen und Gütesiegel

Eigentlich hat man das Gefühl, dass man sich nach dem ADAC-Skandal um den “Gelben Engel” auf Zertifizierungen, Preise oder Gütesiegel nicht mehr verlassen kann. Wenn selbst renommierte Organisationen wie der ADAC nicht mehr vertrauenswürdig sind: Was sind solche Güteprädikate eigentlich wert? Das ist sicher eine berechtigte Frage. Nichtsdestotrotz sind Zertifizierungen und Gütesiegel in der Informationstechnik nach wie vor wichtig. SaaS-Kunden sind daher gut beraten, den Cloud-Anbieter zu fragen, welche Zertifikate er vorweisen kann. Die Sicherheitsvorkehrungen eines Rechenzentrums sollten beispielsweise der ISO-27001-Zertifizierung entsprechen. Aufschluss über die Systemsicherheit gibt auch die sogenannte SAS-70-Type-II-Zertifizierung, die vor allem in den USA weit verbreitet ist.

In diesem Kontext ist ebenfalls das sogenannte Safe Harbor-Abkommen relevant – wenngleich es oft als unzureichend kritisiert wird. Dabei handelt es sich um eine Datenschutzvereinbarung zwischen der Europäischen Union und den USA, die den Datenaustausch zwischen europäischen Unternehmen und US-Diensten nach europäischen Datenschutzstandards regeln soll. Wie man auf Wikipedia lesen kann, können US-Unternehmen dem Safe Harbor beitreten und sich auf der entsprechenden Liste des US-Handelsministeriums eintragen lassen, wenn sie sich verpflichten, die Safe Harbor-Grundsätze zum Datenschutz zu beachten. Viele namhafte Internetfirmen aus Amerika, darunter IBM, Microsoft, Dropbox und Amazon, sind dem Safe-Harbor-Abkommen beigetreten. Durch die Initiative “Cloud Services Made in Germany” sollen SaaS-Kunden leicht erkennen können, dass ein SaaS-Dienst innerhalb Deutschlands betrieben wird und der Provider sich an die strengen deutschen Datenschutzgesetze hält.

5. Verschlüsselung spielt eine zunehmend wichtigere Rolle

Spätestens seit den Enthüllungen von Edward Snowden dürfte die Datenverschlüsselung jedem ein Begriff sein. In den verschiedenen Marktsegmenten haben sich unterschiedliche Verschlüsselungsmechanismen bewährt. Bei Kommunikationslösungen wie Instant Messaging oder Chat-Diensten ist zum Beispiel die sogenannte Ende-zu-Ende-Verschlüßelung stark im Kommen. Dabei werden die zu übertragenden Daten auf Senderseite verschlüsselt und erst beim Empfänger wieder entschlüsselt. Sicherheitsbewusste Anwender, die etwa auf der Suche nach einer Chat-Anwendung sind, werden sich heute eher für ein Produkt entscheiden, das diese Technik unterstützt. Mittlerweile gibt es sogar Collaboration-Dienste wie etwa Stackfield aus München, die mit der Implementierung einer Ende-zu-Ende-Verschlüsselung sicherstellen, dass weder unbefugte Dritte noch die Mitarbeiter beim Hersteller die Kundendaten einsehen können. Darüber hinaus ist das Thema Verschlüsselung auch bei Cloud-Storage- und Online-Backup-Diensten, bei denen kritische Unternehmensdaten gespeichert werden, von zentraler Bedeutung.