Erhöhtes Sicherheitsrisiko durch Drittanbieter

Cybersecurity-Teams haben schon lange erkannt, dass IT-Dienste im Allgemeinen und Software-as-a-Service (SaaS)-Anwendungen im Besonderen ein verlockendes Ziel darstellen, da in einer Cloud-Computing-Umgebung so viele Daten zusammenkommen. Ein Ransomware-Angriff auf CDK Global, einen Anbieter von Geschäftsanwendungen, die über die Cloud an fast 15.000 Autohändler geliefert werden, ist ein Paradebeispiel. Nach einem Ransomware-Angriff war das Unternehmen nicht in der Lage, Zugang zu den meisten seiner Anwendungen zu gewähren, da es weiterhin mit einer nicht identifizierten Bande Cyberkrimineller verhandelt.

Ironischerweise ereignete sich dieser Angriff etwa eine Woche nach Ablauf einer Frist für die Einhaltung einer Schutzregel der Federal Trade Commission (FTC). Diese schreibt US-Autohändlern vor, die geänderten Datensicherheitsvorkehrungen einzuhalten, die von der Bundesbehörde zum Schutz personenbezogener Kundendaten eingeführt wurden.

SaaS-Anwendungen sind natürlich nur eine Art von Drittanbieterdiensten, von denen Unternehmen abhängig sind. Insbesondere die Sicherheit von Managed IT Services ist ein wachsendes Problem. Eine kürzlich von SecurityScorecard, einem Anbieter von Plattformen zur Bewertung von Cybersicherheitsrisiken, veröffentlichte Analyse von Cybersecurityverletzungen ergab, dass 29 % irgendeine Art von Angriffsvektor von Drittanbietern betrafen. Dem Bericht zufolge konnten insgesamt 75 % der Verstöße, die einen Drittanbieterdienst betrafen, auf ein Element der IT-Lieferkette zurückgeführt werden.

Glücklicherweise scheint sich der allgemeine Zustand der Sicherheit von SaaS-Anwendungen zu verbessern. Zusätzlich zu den Investitionen, die die Anbieter dieser Anwendungen getätigt haben, haben die auf diese Anwendungen angewiesenen Unternehmen verstärkt darauf geachtet, wie sie diese am besten absichern können. Eine kürzlich von der Cloud Security Alliance (CSA) durchgeführte Umfrage unter 478 IT- und Sicherheitsexperten ergab, dass 57 % der Befragten für ein Unternehmen arbeiten, das über ein SaaS-Sicherheitsteam mit mindestens zwei engagierten Vollzeitmitarbeitern verfügt. Weitere 13 % verfügen über einen festen Vollzeitmitarbeiter.

Die von Adaptive Shield, einem Anbieter einer Plattform zur Verwaltung der Anwendungssicherheit in SaaS, in Auftrag gegebene Umfrage ergab außerdem, dass die Unternehmen von 39 % der Befragten die Budgets für die SaaS-Cybersicherheit im Vergleich zum Vorjahr erhöht hatten.

Insgesamt gab ein Viertel (25 %) der Befragten an, dass ihr Unternehmen in den letzten zwei Jahren einen SaaS-Sicherheitsvorfall erlebt hatte, verglichen mit 53 % im letzten Jahr. Die am häufigsten gemeldeten Sicherheitsvorfälle waren Datenschutzverletzungen (52 %) und Datenlecks (50 %), gefolgt von unbefugtem Zugriff (44 %) und bösartigen Anwendungen (38 %).

Ganze 70 % der Befragten fügten hinzu, dass sie nun einen mäßigen bis vollständigen Einblick in ihre SaaS-Anwendungen haben. Es gibt jedoch nach wie vor Herausforderungen: Transparenz bei geschäftskritischen Anwendungen (73 %), Verfolgung und Überwachung von Sicherheitsrisiken durch verbundene Anwendungen von Drittanbietern (65 %), Aufspüren und Beheben von SaaS-Fehlkonfigurationen (65 %), Sicherstellung von Data Governance und Datenschutz (63 %) und Anpassung der Einstellungen von SaaS-Anwendungen an Compliance-Standards (61 %) werden als anhaltende Probleme angeführt.

Wie Cybersecurity-Experten wissen, steigt das Risiko für ein Unternehmen exponentiell, wenn ein weiterer Dienst die zu verteidigende Angriffsfläche vergrößert. Auf dem Höhepunkt der Coronapandemie fügten leitende Führungskräften viele dieser Dienste hinzu. Dabei war ihnen die Sicherheit von Cloud-Anwendungen oder -Diensten ziemlich egal, solange ihre Teams damit weiterarbeiten konnten. Leider machen Cyberkriminelle jetzt mehr als deutlich, dass die Anbieter dieser Dienste ganz oben auf einer sehr langen Liste potenzieller Ziele stehen.