:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Acht Tipps für mehr SaaS-Sicherheit Die größten SaaS-Risiken
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/113400/113460/65.png "Varonis_Horizontal.png ()")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Höhere Produktivität, bessere Zusammenarbeit und die Ermöglichung von Remote bzw. Hybrid Work: An der Cloud führt längst kein Weg mehr vorbei. Untersuchungen zufolge setzt mittlerweile nahezu jedes Unternehmen bis zu einem gewissen Grad auf Software-as-a-Service (SaaS). Dabei sind SaaS-Anwendungen oftmals Blind Spots für die Sicherheitsverantwortlichen.
Für den neuen SaaS-Datenrisiko-Report von Varonis wurden fast 10 Milliarden Cloud-Objekte mit einem Datenvolumen von mehr als 15 Petabytes im Rahmen von Datenrisikobewertungen bei mehr als 700 Unternehmen weltweit analysiert. Er bietet so ein realistisches Bild der aktuellen Situation. Dabei kristallisierten sich vor allem sechs Problemfelder heraus.
1. Unternehmensweiter Zugriff auf Microsoft 365-Dateien
Der unternehmensweite Zugriff ermöglicht es jedem Mitarbeiter, kritische und sensitive Daten im Netzwerk zu erstellen, zu lesen, zu aktualisieren und zu löschen. Wenn jedoch jeder auf Daten zugreifen kann, schaffen Unternehmen eine breite Angriffsfläche, die sehr anfällig für Cyberangriffe wie Ransomware und Insider-Bedrohungen ist. Wird ein Konto kompromittiert, haben Cyberkriminelle Zugriff auf all diese Dateien und können diese entwenden und/oder verschlüsseln. In einem durchschnittlichen Unternehmen, das Microsoft 365 nutzt, hat jeder Mitarbeitende Zugriff auf 11.000 sensitive Dateien und 97.638 Ordner.
Im Durchschnitt dauert es etwa sechs Stunden pro Ordner, um die globalen Zugriffsgruppen zu identifizieren und manuell zu entfernen, neue Gruppen zu erstellen und diejenigen, die den Zugriff für ihre Arbeit benötigen, hinzuzufügen. Für ein komplettes Unternehmen würde dies über 73.000 Arbeitstage dauern!
2. Ausufernde Berechtigungen
Ein durchschnittliches Unternehmen verfügt über mehr als 40 Millionen individuelle Berechtigungen für SaaS-Anwendungen. Um das Datenrisiko zu reduzieren, müssen alle Beziehungen zwischen Benutzern und Gruppen analysiert werden. Dabei kommt erschwerend hinzu, dass jede SaaS-Anwendung die Berechtigungsmechanismen anders implementiert.
3. Breite interne Datenexposition
Freigabe-Links sind für die Zusammenarbeit ausgesprochen hilfreich, stellen jedoch auch ein erhebliches Sicherheitsrisiko dar. SaaS-Anwendungen animieren zum schnellen Teilen von Links und so gelangen diese oftmals auch an Angreifer oder böswillige Insider. Entsprechend macht es die gemeinsame Nutzung schwierig, sensible Daten zu schützen. Ein durchschnittliches Unternehmen weist mehr als 27.000 solcher Freigabe-Links in Microsoft 365 auf, von denen fast die Hälfte (12.800) für jeden Mitarbeitenden zugänglich ist.
4. Über das Internet zugängliche Daten
Es gibt gute Gründe, Daten über das Internet verfügbar zu machen, sei es für Partner oder Kunden. Allerdings wird oftmals zu freigiebig mit dieser Option umgegangen, wodurch sich das Datenrisiko erheblich vergrößert. Im Durchschnitt sind mehr als 150.000 Datensätze und Dateien eines Unternehmens öffentlich erreichbar: Knapp 50.000 sensitive Datensätze in Microsoft 365 und mehr als 113.000 sensitive Datensätze in anderen SaaS-Anwendungen. Hierzu zählen unter anderem DSGVO-relevante Daten wie personenbezogene Daten, Zahlungsinformationen und sogar Klartextpasswörter.
5. Fehlende Multi-Faktor-Authentifizierung
Die Multi-Faktor-Authentifizierung (MFA) ist eine wichtige Sicherheitsmaßnahme, die Benutzer auch dann schützen kann, wenn ihre Passwörter entwendet wurden. Laut CISA-Direktorin Jen Easterly verringert die Aktivierung von MFA die Wahrscheinlichkeit, gehackt zu werden, um 99 Prozent. Im Durchschnitt verfügen Unternehmen über 4.468 Benutzerkonten ohne aktivierte MFA. Noch besorgniserregender: Von den 33 Super-Administratorkonten in einem durchschnittlichen Unternehmen wird bei gut jedem zweiten MFA nicht genutzt. Durch die Kompromittierung dieser Konten mit weitreichenden Rechten können Angreifer in großem Umfang Daten stehlen, Hintertüren einrichten und verheerende Schäden verursachen.
6. Nicht mehr genutzte Benutzerkonten
Eine große Gefahr stellen auch Ghost Users dar, also veraltete, nicht mehr benötigte, aber nicht deaktivierte Nutzerkonten. Geisterkonten sind für Hacker ideal, da ihre Nutzung in aller Regel nicht weiter auffällt. Diese legitimen Konten mit bestimmten Berechtigungen können von Cyberkriminelle genutzt werden, um sich in aller Ruhe und ohne Aufmerksamkeit zu erzeugen in den anvisierten Unternehmen umzuschauen und diese von innen heraus kennenzulernen. Dabei können je nach Zugriffsrechten bereits auch schon Daten unauffällig entwendet werden. Im Durchschnitt verfügen Unternehmen über 1.197 inaktive Konten. Ganz ähnlich verhält es sich auch mit Gast-Zugängen: Von den durchschnittlich 1.322 Konten sind auch nach 90 Tagen Inaktivität noch 56 Prozent nutzbar, nach 180 Tagen immerhin noch 33 Prozent.
Acht Tipps für mehr SaaS-Sicherheit
Die Ergebnisse des SaaS-Risikoreports machen deutlich, dass CISOs dringend die Cloud-Risiken identifizieren und reduzieren müssen. Hierbei können diese Maßnahmen helfen.
- 1. Erkennen und reduzieren Sie Ihren SaaS-Explosionsradius. Wie groß wäre der potenzielle Schaden, wenn Angreifer einen Benutzer kompromittieren würden? Die Reduzierung des Explosionsradius der Cloud, d. h. alles, worauf ein Angreifer mit nur einem kompromittierten Konto oder System zugreifen kann, verringert das Risiko und den potenziellen Schaden erheblich.
- 2. Achten Sie auf ungewöhnliche Aktivitäten in Ihrer Cloud-Umgebung. Je mehr Aufwand Angreifer betreiben müssen, um an ihr Ziel zu gelangen, desto wahrscheinlicher fallen sie auf und lösen Alarm aus. Deshalb sollte man die Benutzeraktivitäten im Auge behalten und auf Anomalien und für das entsprechende Konto ungewöhnliche Verhaltensweisen achten.
- 3. Verfolgen Sie einen Zero-Trust-Ansatz. Zero Trust ist eine der besten Verteidigungsmaßnahmen gegen datenbezogene Angriffe wie Ransomware. Keine Person, keine Anwendung und kein System sollte auf mehr zugreifen oder mehr tun können, als nötig.
- 4. Überprüfen Sie die Einstellungen Ihrer SaaS-Anwendungen. Schon eine einzige Fehlkonfiguration reicht aus, um sensible Daten offenzulegen. Überprüfen Sie die Einstellungen kontinuierlich, um sicherzustellen, dass Aktualisierungen keine Daten offenlegen, schränken Sie die Freigabe außerhalb des Unternehmens ein und kontrollieren Sie die Konfigurationseinstellungen für die Cloud-Freigabe.
- 5. Aktivieren Sie MFA für sämtliche Mitarbeitende. Dieser einfache Schritt ist entscheidend, wird aber häufig vernachlässigt. Richten Sie MFA für alle Cloud-Anwendungen und -Dienste sowie für Dienst- und Administratorkonten ein. MFA muss obligatorisch sein und darf nicht den Usern freigestellt werden.
- 6. Führen Sie effektive Offboarding-Prozesse ein. Je mehr SaaS-Anwendungen und -Dienste Unternehmen nutzen, desto höher ist die Wahrscheinlichkeit, dass es Ghost User gibt. Es muss sichergestellt werden, dass Berechtigungen für Cloud-Dienste entzogen werden, wenn Mitarbeitende oder Auftragnehmer das Unternehmen verlassen.
- 7. Bringen Sie Produktivität und Sicherheit in Einklang. SaaS-Anwendungen spielen ihre Vorteile oftmals vor allem dann aus, wenn sie integriert sind. Allerdings erleichtert die Konnektivität über APIs es Angreifern, sich lateral zu bewegen. Hier gilt es, das richtige Maß zu finden.
- 8. Stellen Sie die Daten ins Zentrum Ihrer Sicherheitsstrategie. Alte Sicherheitsansätze haben sich mit der Cloud und dem Wegfall des klassischen Perimeters größtenteils überholt. Anstatt beim Schutz außen mit den Endpunkten und Vektoren zu beginnen, ist es weitaus sinnvoller, zuerst die großen, zentralisierten Repositorys zu schützen und die Security so von innen nach außen zu denken.
Über den Autor: Michael Scheffler ist Country Manager DACH von Varonis Systems.
(ID:48974250)
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a3/05/a305e0e195969946933fcf7e90951318/0108745086.jpeg "Über Benutzerverwaltung und die Einrichtung von Standardrichtlinien können AWS-Dienste sicherer gemacht werden. (Bild: yu_photo - stock.adobe.com)")