Fünf Sicherheitsfragen, die Sie Ihrem SaaS-Provider stellen sollten

Originalartikel Rik Ferguson, Director of Security Research & Communication bei Trend Micro

Quelle: ky_olsen’s Flickr stream

Software as a Service (SaaS) erfreut sich wachsender Beliebtheit. Laut Gartner erreichte der weltweite Umsatz mit diesem Cloud-Modell im letzten Jahr 10 Milliarden Dollar, und die Analysten erwarten für 2011 eine Steigerung von mehr als 20 Prozent.

Im Zusammenhang mit SaaS wird meistens Salesforce.com als Beispiel genannt, doch gibt es eine ganze Reihe verschiedener Anwendungen, die als Dienst genutzt werden können: Dazu gehören Customer Relationship Management, Human Resource Management, Cloud-Backup, Collaboration-Plattformen, Buchhaltungssysteme, Helpdesk Management und Web- oder E-Mail-Filtering.

Die wirtschaftlichen und auch technischen Vorteile des Abo-Modells sind hinlänglich bekannt, doch können sie sich auch leicht in ihr Gegenteil verkehren. Anwender entscheiden lediglich, welche Daten sie in die Cloud laden, alles andere nimmt ihnen der Anbieter aus der Hand – abgesehen natürlich von der rechtlichen Verantwortung für die Sicherheit ihrer Daten. Der Provider hat, wenn er will, Zugriff auf alle Kundendaten. Zudem besteht aufgrund der Mehrmandanten-Umgebung die Gefahr, dass eine Schwachstelle bei einem Kunden auch Auswirkungen auf die anderen hat. Das hat sich auch beim jüngsten Beispiel eines Einbruchs beim E-Mail-Provider Epsilon gezeigt, denn betroffen waren viele Fortune 500-Kunden des Anbieters.

Unternehmen, die erwägen, Anwendungen aus der Cloud zu beziehen, sollten den zur Wahl stehenden Providern die richtigen Fragen zur Sicherheit stellen:

  1. Gibt es Penetrationstests für die Umgebung? Wie oft werden diese durchgeführt und gibt es eine Möglichkeit, Pen-Tests für den eigenen Teil der Umgebung zu fahren? Einsicht in seine aktuelle Sicherheitslage erhält ein Anwender nur mithilfe von regelmäßigen, tief gehenden Tests.
  2. Wie sorgt der Provider für die Datensicherheit? Werden Daten im Speichermedium verschlüsselt abgelegt und auch verschlüsselt über die gemeinsam genutzten Ressourcen des Datencenters des Providers übertragen? Wer hat Zugriff auf die Schlüssel? Wird die Trennung der Aufgaben, Schlüssel und Daten beachtet? Und kann der Provider einen Report nach Auditing-Standard SAS 70 vorweisen?
  3. Gibt es die Option eines Einzelmandanten-Hostings? Und wenn ja, umfasst diese lediglich die Anwendung oder auch die Datenspeicherung?
  4. Welche Backup- und Recovery-Prozeduren wendet der Provider im Fall eines katastrophalen Ausfalls oder eines Datenverlusts nach einem Einbruch an? Und auch die Frage nach dem Speicherort der gesicherten Daten (und erneuter Verschlüsselung) ist wichtig.
  5. Wie funktioniert die Benutzerauthentifizierung für die SaaS-Anwendung? Gibt es eine Mehrfaktoren-Authentifizierung, und lässt sich die Anmeldung mit den beim Anwender vorhandenen Authentifizierungsstrukturen integrieren?

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*