SaaS-Sicherheit

Fünf wichtige Punkte, die Kunden beachten sollten

Datenschutz und Sicherheit spielen beim Cloud Computing eine entscheidende Rolle – und das nicht nur seit der NSA-Affäre. Denn wenn Unternehmen Anwendungen und Prozesse in die Cloud auslagern, überlassen sie dem SaaS-Provider die Verantwortung für die Absicherung ihrer Geschäftsdaten. Was Sie dabei beachten sollten, erfahren Sie in diesem Beitrag.

Das Thema Datensicherheit ist nach wie vor eines der am heißesten diskutierten Themen im SaaS-Business. Auf der einen Seite versuchen Cloud-Anbieter mit allen Mitteln, ihre Kundschaft davon zu überzeugen, dass die Sicherheit in einem professionell überwachten Rechenzentrum eines erfahrenen Hosting-Providers um ein Vielfaches größer sei als in einem normalen Bürogebäude. Auf der anderen Seite können sich viele Unternehmen, vor allem im Mittelstand, mit der Idee, ihre geschäftskritischen Daten, Prozesse und Anwendungen in die Public Cloud auszulagern, noch immer nicht anfreunden. Laut der Studie "Cloud-Monitor 2013", die der Branchenverband Bitkom in Kooperation mit dem Wirtschaftsprüfungs- und Beratungsunternehmen KPMG voriges Jahr veröffentlicht hat, stehen 44 Prozent der befragten KMUs in Deutschland der Public Cloud "eher kritisch und ablehnend" gegenüber. Unsicherheiten in Bezug auf rechtliche und regulatorische Bestimmungen sowie die Angst vor Datenverlust seien dabei die wichtigsten Hürden beim Einsatz von Cloud-Lösungen. So sieht laut Studie knapp ein Drittel der deutschen Unternehmen die Möglichkeit von Datenverlust als wesentliches Nutzungshemmnis bei Cloud-Produkten.

44 Prozent der deutschen KMUs stehen dem Thema Cloud Computing noch "eher kritisch und ablehnend" gegenüber. Quelle: "Cloud Monitor 2013" des Branchenverbands Bitkom.
44 Prozent der deutschen KMUs stehen dem Thema Cloud Computing noch "eher kritisch und ablehnend" gegenüber. Quelle: "Cloud Monitor 2013" des Branchenverbands Bitkom.
Foto: Bitkom / toolsmag

Solche Unsicherheiten sind sicherlich berechtigt. Nicht nur die jüngsten Datenschutzskandale von NSA, PRISM, Tempora und Co., sondern auch die negativen Schlagzeilen über groß angelegte Hackerangriffe (etwa die aktuelle Cyber-Attacke auf die US-Großbank JP Morgan) und Datenpannen (wie der Skandal um die gehackten Nacktbilder von Hollywood-Promis), die in jüngster Zeit immer häufiger in der Presse kursieren, tragen dazu bei, dass diese kontroverse Thematik verstärkt in den Fokus der Diskussionen rückt. Das Internet, so sind sich Experten einig, wird für alle Netzteilnehmer, egal ob Privatpersonen, kleine Unternehmen oder große Konzerne, immer unsicherer. Doch dies sollte kein Grund zur Panik sein, sondern vielmehr ein Grund zur Wachsamkeit. Denn alles deutet eigentlich darauf hin, dass der Cloud-Trend nicht mehr zu stoppen ist. Unternehmen, die den Einsatz von SaaS-Diensten in Erwägung ziehen oder Cloud-Tools bereits aktiv einsetzen, sollten sich über die damit verbundenen Sicherheitsrisiken im Klaren sein. Vor einer Kaufentscheidung sind diese insofern gut beraten, die vom Cloud-Anbieter zur Verfügung gestellten Sicherheitsmaßnahmen zu hinterfragen und zu überprüfen. Im Folgenden führen wir fünf wichtige Punkte rund um die Sicherheit von SaaS-Anwendungen auf, die es dabei zu beachten gilt.

1. SSL ist ein absolutes Muss

Bei SSL (Secure Sockets Layer) handelt es sich um ein Netzwerkprotokoll zur sicheren, verschlüsselten Datenübertragung. Dieses bietet eine der wichtigsten Möglichkeiten, den Datenaustausch zwischen einem Server und einem darauf zugreifenden Client-Rechner abzusichern. Um sicherzustellen, dass die Kommunikation tatsächlich mit dem richtigen Server erfolgt, wird dieser durch eine vertrauenswürdige Organisation zertifiziert. Es gibt verschiedene SSL-Zertifikate, die von SaaS-Anbietern verwendet werden. Je nach Typ des beantragten SSL-Zertifikats muss der Anbieter unterschiedliche Stufen der Überprüfung durchlaufen. Bei allen Typen werden ein Domainname, Servername oder Host-Name mit einer Organisationsidentität, also einer Firma, und einem Standort zusammengebunden. Wenn eine Seite über eine SSL-gesicherte Verbindung geladen wird, kann man dies anhand der im Browser angezeigten Adresse nachvollziehen. Statt "http" steht hier nämlich "https". Gleichzeitig erscheint in der Adressleiste des Browsers ein Sicherheitsschloss, das Sie sicherlich schon mal gesehen haben.

EV-Zertifikate schaffen mehr Vertrauen und helfen gegen Phishing-Attacken.
EV-Zertifikate schaffen mehr Vertrauen und helfen gegen Phishing-Attacken.
Foto: Wyllie / toolsmag

Sogenannte "EV-Zertifikate" (Extended Validation) sind durch weitere visuelle Indikatoren besser erkennbar und werden von Anbieter webbasierter Business-Lösungen immer häufiger verwendet. Das Besondere dabei ist, dass in der Adresszeile nicht nur das besagte Sicherheitsschloss angezeigt wird, sondern auch der rechtsgültig eingetragene Unternehmensname des Webseitenbesitzers. Damit schaffen solche Zertifikate mehr Vertrauen und geben Webanwendern die zusätzliche Sicherheit, dass die Seite echt ist und es sich nicht um eine Phishing-Seite handelt. In der Regel wird SSL verwendet, um Kreditkartentransaktionen, Datentransfers und Log-ins zu sichern. Insbesondere für E-Commerce- und geschäftliche SaaS-Anwendungen, bei denen vertrauliche Daten über das Internet verschickt werden, ist ein SSL-Zertifikat deshalb unumgänglich. Der Zugang zu Ihrem SaaS-Account sollte am besten ausschließlich per SSL erfolgen.