vectorfusionart - stock.adobe.co
SaaS-Chaos: Mangelnde Transparenz gefährdet die Sicherheit
Fehlt der Überblick über alle genutzten SaaS-Lösungen, stellt dies ein großes Risiko dar. Es gilt, Mitarbeitern Lösungen zur Verfügung zu stellen, ohne Ressourcen zu gefährden.
Software as a Service (SaaS) ist aus dem Alltag vieler IT-Abteilungen nicht mehr wegzudenken, da das Modell Unternehmen die Möglichkeit bietet, mit den wachsenden Herausforderungen der digitalen Transformation erfolgreich umzugehen. Denn im Vergleich zu herkömmlichen IT-Installationen stellen diese Anwendungen eine kosteneffizientere Alternative dar, um schneller und übersichtlicher mit den Anforderungen der Mitarbeiter skalieren zu können. SaaS unterstützt so nicht nur die Effizienz von IT-Infrastrukturen, sondern beschleunigt dadurch auch langfristig das Wachstum des Unternehmens. Nach jüngsten Prognosen werden bereits im kommenden Jahr fast 90 Prozent der Unternehmen auf fast ausschließlich Cloud-basierte Anwendungen setzen. Doch eine sichere SaaS-Einführung ist vom Überblick abhängig, den ein Unternehmen über alle von den Mitarbeitern genutzten Anwendungen hat. Ist diese Transparenz nicht gewährleistet, setzen sie sich einem hohen Risiko aus. Denn SaaS ist ständig präsent – gerade im Zusammenhang mit Identity Security, der Integration von Drittanbietern oder im Rahmen der Schatten-IT.
Durch den Ausbruch der COVID-19 Pandemie sahen sich Unternehmen vor die Herausforderung gestellt, den Geschäftsbetrieb durch Remote-Arbeitsplätze weiter aufrechtzuerhalten. Dies konnte durch Dienste wie Zoom und Microsoft Teams gut umgesetzt werden, da SaaS die benötigte Flexibilität ermöglichte und gleichzeitig die Produktivität erhöhte. Durch die Einfachheit in der Benutzung und die große Beliebtheit der SaaS-Dienste wurden diese von Unternehmen eilig implementiert und die Anzahl der verwendeten Dienste stieg drastisch an. Doch genau diese Entwicklung stellen die IT-Abteilungen vor große Herausforderungen, da der massive Anstieg der genutzten SaaS-Anwendungen die Gefahr erhöht, Opfer von gezielten Cyberattacken zu werden.
Mehr SaaS bedeutet mehr Risiko
Eine Konsequenz dieser Veränderungen in der Arbeitsweise und der Verwendung von SaaS-Diensten ist die neue Herausforderung, mit denen sich gerade die IT-Abteilungen vieler Unternehmen konfrontiert sehen: Wie können sie die neue Flexibilität unterstützen und dabei gleichzeitig das Unternehmen weiterhin gegen Cyberangriffe schützen? Die Problematik liegt dabei in der Aufgabe, den Mitarbeitern die Tools zur Steigerung der Produktivität und Effizienz lückenlos bereitzustellen, ohne dabei die Unternehmensressourcen zu gefährden.
Was sich bei der Klärung dieser Frage herausstellt, ist, dass den Verantwortlichen oftmals der Überblick darüber fehlt, wer welche Anwendungen aktiv nutzt. Diese Tatsache resultiert daher oftmals in einem erschwerten Management und gefährdet die Rentabilität. Darüber hinaus kann dies Verstöße gegen Datenschutzbestimmungen und damit verbundene erhebliche Strafzahlungen nach sich ziehen. Erschwerend hinzu kommt der oftmals leichtfertige Umgang der Mitarbeiter, die sensible Daten in nicht zugelassene SaaS-Anwendungen übertragen und damit riskieren, dass Drittanbieter unautorisiert Zugriff auf das Unternehmenssystem erhalten, was einen Lieferkettenangriff begünstigen kann. Doch wie kann eine IT-Abteilung den Überblick und die Kontrolle zurückgewinnen, um hunderte von teils nicht genehmigten Anwendungen überschauen zu können?
Den Überblick zurückgewinnen
Mit einem manuellen Ansatz wird man hier kaum zum Ziel kommen, denn es ist in der Praxis nicht möglich mit einer Tabellenkalkulation den Überblick zu behalten. Hierfür ändert sich die SaaS-Landschaft eines Unternehmens viel zu schnell. Erfahrungsgemäß ist ein Audit bereits veraltet, sobald es abgeschlossen ist und selbst wenn man annähme, dass sich manuelle Audits schneller durchführen ließen, würde das Problem der Schatten-IT weiterhin bestehen.
„Unternehmen sind dann besonders anfällig für Bedrohungen, wenn sensible Daten in ungesicherten Anwendungen gespeichert werden und Mitarbeitern Zugriffsrechte gewährt werden, die sie gar nicht benötigen oder nicht haben sollten.“
Mike Kiser, SailPoint
Die Lösung liegt in der Automatisierung. Ein automatisiertes Tool zur Erkennung und Verwaltung würde hier Abhilfe schaffen und einen kontinuierlichen und umfänglichen Überblick über die gesamte SaaS-Umgebung eines Unternehmens geben können. Somit wäre es möglich, einen Echtzeitstatus jeder aktiven SaaS-Anwendung abrufen zu können. Es ist diese Transparenz, die ermöglicht, dass der komplette SaaS-Zugang geregelt werden kann, Identitäten besser verwaltet werden können, Budgets für Software effizienter überblickt und letzten Endes auch Risiken minimiert werden können. Unternehmen sind dann besonders anfällig für Bedrohungen, wenn sensible Daten in ungesicherten Anwendungen gespeichert werden und Mitarbeitern Zugriffsrechte gewährt werden, die sich gar nicht benötigen oder nicht haben sollten. Hier löst das SaaS-Management nicht nur das Problem der Sicherheit und der Compliance, sondern sorgt zusätzlich für eine Reduktion der Kosten, die durch ungenutzte oder nicht benötigte Zugriffe entstehen. Dadurch können IT-Entscheider einen proaktiven Ansatz verfolgen, der sich am Ende für das gesamte Unternehmen positiv auswirkt.
Der richtige Weg zur SaaS-Sicherheit
Bevor jedoch Maßnahmen ergriffen werden sollten, ist eine Strategie erforderlich, denn nur eine langfristige Lösung wird sich am Ende auszahlen. Hier ist es wichtig, dass Unternehmen ganzheitlich denken und ihr SaaS-Management an ihre Cybersicherheitsstrategie anpassen sowie in die Identity Security-Strategie miteinbeziehen. Der erste Schritt ist dabei, die gesamte Softwareumgebung, einschließlich der Schatten-IT, zu erfassen. Das SaaS-Management zentralisiert und automatisiert dabei die Sichtbarkeit und hilft so, den Sicherheits- und IT-Teams verständlich zu machen, was innerhalb der SaaS-Anwendungen passiert, wer Zugriff darauf hat und wie dieser genutzt wird.
Im nächsten Schritt kann durch die zuvor erfolgte Erfassung eine höhere Sicherheit und verbesserte Compliance gewährleistet werden, um am Ende eine Reduzierung der Kosten zu erreichen, die durch ungenutzte und unnötige Zugriffe entstanden sind. Durch gezieltes SaaS-Management können diese Teams nun einen besseren Überblick behalten und effizienter für die IT-Sicherheit handeln. Eine umfassende Anwendungstransparenz bildet somit den Grundstein für eine erfolgreiche Identitätssicherheit.
Über den Autor:
Mike Kiser ist Senior Identity Strategist, Office of the CTO bei SailPoint.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.