Das Thema Datensicherheit ist nach wie vor eines der am heißesten diskutierten Themen im SaaS-Business. Auf der einen Seite versuchen Cloud-Anbieter mit allen Mitteln, ihre Kundschaft davon zu überzeugen, dass die Sicherheit in einem professionell überwachten Rechenzentrum eines erfahrenen Hosting-Providers um ein Vielfaches größer sei als in einem normalen Bürogebäude. Auf der anderen Seite können sich viele Unternehmen, vor allem im Mittelstand, mit der Idee, ihre geschäftskritischen Daten, Prozesse und Anwendungen in die Public Cloud auszulagern, noch immer nicht anfreunden. Laut der Studie "Cloud-Monitor 2013", die der Branchenverband Bitkom in Kooperation mit dem Wirtschaftsprüfungs- und Beratungsunternehmen KPMG voriges Jahr veröffentlicht hat, stehen 44 Prozent der befragten KMUs in Deutschland der Public Cloud "eher kritisch und ablehnend" gegenüber. Unsicherheiten in Bezug auf rechtliche und regulatorische Bestimmungen sowie die Angst vor Datenverlust seien dabei die wichtigsten Hürden beim Einsatz von Cloud-Lösungen. So sieht laut Studie knapp ein Drittel der deutschen Unternehmen die Möglichkeit von Datenverlust als wesentliches Nutzungshemmnis bei Cloud-Produkten.
Foto: Bitkom / toolsmag
Solche Unsicherheiten sind sicherlich berechtigt. Nicht nur die jüngsten Datenschutzskandale von NSA, PRISM, Tempora und Co., sondern auch die negativen Schlagzeilen über groß angelegte Hackerangriffe (etwa die aktuelle Cyber-Attacke auf die US-Großbank JP Morgan) und Datenpannen (wie der Skandal um die gehackten Nacktbilder von Hollywood-Promis), die in jüngster Zeit immer häufiger in der Presse kursieren, tragen dazu bei, dass diese kontroverse Thematik verstärkt in den Fokus der Diskussionen rückt. Das Internet, so sind sich Experten einig, wird für alle Netzteilnehmer, egal ob Privatpersonen, kleine Unternehmen oder große Konzerne, immer unsicherer. Doch dies sollte kein Grund zur Panik sein, sondern vielmehr ein Grund zur Wachsamkeit. Denn alles deutet eigentlich darauf hin, dass der Cloud-Trend nicht mehr zu stoppen ist. Unternehmen, die den Einsatz von SaaS-Diensten in Erwägung ziehen oder Cloud-Tools bereits aktiv einsetzen, sollten sich über die damit verbundenen Sicherheitsrisiken im Klaren sein. Vor einer Kaufentscheidung sind diese insofern gut beraten, die vom Cloud-Anbieter zur Verfügung gestellten Sicherheitsmaßnahmen zu hinterfragen und zu überprüfen. Im Folgenden führen wir fünf wichtige Punkte rund um die Sicherheit von SaaS-Anwendungen auf, die es dabei zu beachten gilt.
1. SSL ist ein absolutes Muss
Bei SSL (Secure Sockets Layer) handelt es sich um ein Netzwerkprotokoll zur sicheren, verschlüsselten Datenübertragung. Dieses bietet eine der wichtigsten Möglichkeiten, den Datenaustausch zwischen einem Server und einem darauf zugreifenden Client-Rechner abzusichern. Um sicherzustellen, dass die Kommunikation tatsächlich mit dem richtigen Server erfolgt, wird dieser durch eine vertrauenswürdige Organisation zertifiziert. Es gibt verschiedene SSL-Zertifikate, die von SaaS-Anbietern verwendet werden. Je nach Typ des beantragten SSL-Zertifikats muss der Anbieter unterschiedliche Stufen der Überprüfung durchlaufen. Bei allen Typen werden ein Domainname, Servername oder Host-Name mit einer Organisationsidentität, also einer Firma, und einem Standort zusammengebunden. Wenn eine Seite über eine SSL-gesicherte Verbindung geladen wird, kann man dies anhand der im Browser angezeigten Adresse nachvollziehen. Statt "http" steht hier nämlich "https". Gleichzeitig erscheint in der Adressleiste des Browsers ein Sicherheitsschloss, das Sie sicherlich schon mal gesehen haben.
Foto: Wyllie / toolsmag
Sogenannte "EV-Zertifikate" (Extended Validation) sind durch weitere visuelle Indikatoren besser erkennbar und werden von Anbieter webbasierter Business-Lösungen immer häufiger verwendet. Das Besondere dabei ist, dass in der Adresszeile nicht nur das besagte Sicherheitsschloss angezeigt wird, sondern auch der rechtsgültig eingetragene Unternehmensname des Webseitenbesitzers. Damit schaffen solche Zertifikate mehr Vertrauen und geben Webanwendern die zusätzliche Sicherheit, dass die Seite echt ist und es sich nicht um eine Phishing-Seite handelt. In der Regel wird SSL verwendet, um Kreditkartentransaktionen, Datentransfers und Log-ins zu sichern. Insbesondere für E-Commerce- und geschäftliche SaaS-Anwendungen, bei denen vertrauliche Daten über das Internet verschickt werden, ist ein SSL-Zertifikat deshalb unumgänglich. Der Zugang zu Ihrem SaaS-Account sollte am besten ausschließlich per SSL erfolgen.
2. Regelmäßige Backups sind Pflicht
Neben verschlüsselten Datenübertragungen zwischen Browser und Server sind auch regelmäßige Backups auf der Seite des SaaS-Anbieters unabdingbar. Denn als Kunde muss man sich um die Absicherung seiner in der Webanwendung hinterlegten Geschäftsdaten im Prinzip nicht selbst kümmern. Hierfür ist der SaaS-Provider verantwortlich. Bei seriösen Anbietern werden Sicherungskopien in der Regel mindestens einmal pro Tag erstellt. Es gibt jedoch viele SaaS-Anbieter, die zwei oder noch mehr tägliche Backups durchführen. Die Backup-Strategie des SaaS-Herstellers sollte im Idealfall auf der Produkt-Website formal dokumentiert und detailliert beschrieben werden. Als zusätzliche Sicherheitsmaßnahme können SaaS-Kunden aber auch ihre eigenen Sicherungskopien selbst in vordefinierten Zeitintervallen erstellen. Zu diesem Zweck bieten professionelle SaaS-Dienste entsprechende Exportfunktionen, sowie Programmierschnittstellen, die einen automatischen Datenexport ermöglichen.
3. Doppelt gut: redundante Systeme
Um die Verfügbarkeit ihrer Dienste selbst nach einem kompletten Systemausfall garantieren zu können, betreiben etablierte SaaS-Anbieter in der Regel redundante Systeme. Gerade bei geschäftskritischen Anwendungen, die täglich zum Einsatz kommen und für den reibungslosen Betrieb des Unternehmens erforderlich sind - man denke beispielsweise an ERP-Lösungen aus der Cloud -, kann dies einen kritischen Punkt darstellen. Unternehmen, für die Systemausfälle beim SaaS-Anbieter teuer werden können, sind vor diesem Hintergrund also gut beraten, darauf zu achten, dass der Provider über eine redundante Systemarchitektur verfügt. Dabei spielt das Thema Disaster Recovery eine zentrale Rolle. So sollte der Anbieter den Kunden über entsprechende Richtlinien und Strategien informieren, wie in einem Worst-Case-Szenario das System möglichst schnell wieder verfügbar zu machen ist.
4. Zertifizierungen und Gütesiegel
Eigentlich hat man das Gefühl, dass man sich nach dem ADAC-Skandal um den "Gelben Engel" auf Zertifizierungen, Preise oder Gütesiegel nicht mehr verlassen kann. Wenn selbst renommierte Organisationen wie der ADAC nicht mehr vertrauenswürdig sind: Was sind solche Güteprädikate dann eigentlich wert? Das ist sicher eine berechtigte Frage. Nichtsdestotrotz sind Zertifizierungen und Gütesiegel in der Informationstechnik nach wie vor wichtig. SaaS-Kunden sind daher gut beraten, den Cloud-Anbieter zu fragen, welche Zertifikate er vorweisen kann. Die Sicherheitsvorkehrungen eines Rechenzentrums sollten beispielsweise der ISO-27001-Zertifizierung entsprechen. Aufschluss über die Systemsicherheit gibt auch die sogenannte SAS-70-Type-II-Zertifizierung, die vor allem in den USA weit verbreitet ist.
In diesem Kontext ist ebenfalls das sogenannte Safe Harbor-Abkommen relevant - wenngleich es oft als unzureichend kritisiert wird. Dabei handelt es sich um eine Datenschutzvereinbarung zwischen der Europäischen Union und den USA, die den Datenaustausch zwischen europäischen Unternehmen und US-Diensten nach europäischen Datenschutzstandards regeln soll. Wie man auf Wikipedia lesen kann, können US-Unternehmen dem Safe Harbor beitreten und sich auf der entsprechenden Liste des US-Handelsministeriums eintragen lassen, wenn sie sich verpflichten, die Safe-Harbor-Grundsätze zum Datenschutz zu beachten. Viele namhafte Internetfirmen aus Amerika, darunter IBM, Microsoft, Dropbox und Amazon, sind dem Safe-Harbor-Abkommen beigetreten. Durch die Initiative "Cloud Services Made in Germany" sollen SaaS-Kunden leicht erkennen können, dass ein SaaS-Dienst innerhalb Deutschlands betrieben wird und der Provider sich an die strengen deutschen Datenschutzgesetze hält.
5. Verschlüsselung wird immer wichtiger
Spätestens seit den Enthüllungen von Edward Snowden dürfte die Datenverschlüsselung jedem ein Begriff sein. In den verschiedenen Marktsegmenten haben sich unterschiedliche Verschlüsselungsmechanismen bewährt. Bei Kommunikationslösungen wie Instant Messaging oder Chat-Diensten ist zum Beispiel die sogenannte Ende-zu-Ende-Verschlüßelung stark im Kommen. Dabei werden die zu übertragenden Daten auf Senderseite verschlüsselt und erst beim Empfänger wieder entschlüsselt. Sicherheitsbewusste Anwender, die etwa auf der Suche nach einer Chat-Anwendung sind, werden sich heute eher für ein Produkt entscheiden, das diese Technik unterstützt. Mittlerweile gibt es sogar Collaboration-Dienste wie etwa Stackfield aus München, die mit der Implementierung einer Ende-zu-Ende-Verschlüsselung sicherstellen, dass weder unbefugte Dritte noch die Mitarbeiter beim Hersteller die Kundendaten einsehen können. Darüber hinaus ist das Thema Verschlüsselung auch bei Cloud-Storage- und Online-Backup-Diensten, bei denen kritische Unternehmensdaten gespeichert werden, von zentraler Bedeutung.
Dieser Artikel basiert auf einem Beitrag des Experten-Blogs toolsmag