SaaS soll kein Traum mit bösem Erwachen werden

Software as a Service (SaaS) boomt unbestritten. Für CRM, ERP, Groupware und weitere Applikationen wird heute vermehrt auf die Dienste von SaaS-Providern zurückgegriffen. Zu ihnen gesellt sich auch der Branchenprimus Google, der inzwischen mit Dutzenden solcher Applika­tionen vermehrt auch Firmen anspricht.
Die Verlockung für den Schritt zu SaaS ist sehr gross. Kein Aufbau eigener Infrastrukturen, kein Kauf von einzelnen Hardware-Komponenten oder Software oder Lizenzen. Klare kalkulierbare Kosten also. Sind die Verträge und etwelche Service Level Agreements einmal unterschrieben, kann es sofort losgehen. Ein Traum für die von Alltagsproblemen geplagten IT-Manager – könnte man zumindest glauben.


Was vor ein paar Jahren noch absolut undenkbar war, wird heute eifrig praktiziert. Das betrifft nicht mehr nur kleine und mittelgrosse Firmen mit chronisch überbelastetem oder überhaupt nicht existierendem IT-Personal, sondern vermehrt auch Grossfirmen. Da erstaunt es mich dann schon ein wenig, dass solche teilweise doch recht sensitiven Daten einfach in fremde Hände gegeben werden und diese auf einer Plattform laufen, auf der mehrere tausend andere Kunden aufgeschaltet sind. Natürlich lassen sich diese virtuell oder auch physisch voneinander trennen respektive isolieren. SaaS-Provider werden sicher viel in Sicherheit investieren und einen starken Fokus darauf haben, doch alleine die Tatsache, dass mit einem erfolgreichen Angriff der Zugriff auf tausende Kundendaten möglich ist, erhöht das Eintrittsrisiko doch beträchtlich. Für einen Angreifer wird es so schlicht viel interessanter, eine SaaS-Plattform anzugreifen als einzelne dedizierte Kunden.

Weiter stellt sich die Frage, wie transparent ein SaaS-Provider dem Kunden Einblick in seine Architektur gibt, beispielsweise wie die verschiedenen Kunden voneinander isoliert sind, wie genau die Daten verschlüsselt werden, wer darauf Zugang hat und so weiter. Genau das wäre wichtig, damit der Kunde sein Risiko abschätzen kann. Fragen stellen sich aber auch im Bereich der Business Continuity: Sind beispielsweise Disaster-Recovery-Pläne vorhanden und werden diese auch aktiv getestet? Ein weiterer Punkt sind unabhängige Assessments. Werden diese durchgeführt? Wenn ja: von wem? Sind die Resultate ersichtlich?


Die Liste von offenen Sicherheitsfragen liesse sich beliebig erweitern. Meine grösste Skepsis gegenüber SaaS zielt aber primär auf die fragliche Transparenz in Sachen Sicherheit eines SaaS-Providers. Dies zeigt auch ein Vorfall vom letzten Jahr, als ein Kunde eines CRM-Providers meldete, dass seine Daten gestohlen wurden und diese dann für weitere Angriffe benutzt worden seien. Als die Information an die Öffentlichkeit kam und danach der SaaS-Provider darauf angesprochen wurde, verweigerte dieser jegliche Kommentare im Interesse seiner Kunden. Von Transparenz also keine Spur.


Doch ich möchte hier nicht generell vom SaaS-Modell abraten, eher vor einem überstürzten Vorgehen und zu einer guten Prise Skepsis raten. Wichtig erscheint mir vor allem, dass eine Firma ihr Risikomanagement vor der SaaS-Entscheidung sauber macht. Bei der Entscheidung spielt nämlich auch die Klassifizierung der betroffenen Daten und Informationen eine entscheidende Rolle. Sind diese ohnehin nicht als sicherheitsrelevant klassifiziert, fällt die Entscheidung leicht.