Swiss Wikileaks

10 SaaS Sicherheitsrisiken Im Bereich Von Finanz-Services

26. März 2019
2.067 Kommentare

In den letzten Jahren hat sich SaaS (Software as a Service) zu einem wichtigen Bestandteil für viele Unternehmen auf der ganzen Welt entwickelt. Es stellt nicht nur einen Fortschritt für das digitale Zeitalter und den Datenaustausch dar, sondern ist auch eines der Zeichen dafür, dass Unternehmen bereit sind, auf dem neuesten Stand der Technik zu bleiben. Für die Kunden könnte dieses kleine Detail von unschätzbarem Wert sein. Es ist ein Schritt in die Zukunft, den die Benutzer entweder akzeptieren oder irgendwann mit dem Verlust von CDs, DVDs und externen Laufwerken in kauf nehmen müssen.

Bis heute wird davon ausgegangen, dass SaaS mehrere Vorteile für Geschäftsleute hat und das Leben für die Anwender einfacher macht. Die Technologie kann jedoch noch als relativ neu angesehen werden. Obwohl die Mehrheit der Unternehmen sie nutzt, gibt es immer noch Bedenken, Risiken und Missverständnisse bezüglich ihrer Dienstleistungen. Dies liegt vor allem daran, dass die Verwendung von SaaS oft bedeutet, dass man sich bei der Datenspeicherung nicht auf eine interne IT-Abteilung verlassen muss. Und das kann im Wesentlichen eine Quelle der Sorge sein, die gerade im Bereich sensibler Finanzdatenünertragungen und -Speicherungen wie etwa beim Thema Onlinebuchhaltung zum Tragen kommen kann. Siehe hierzu auch www.onlinebuchhaltung.net, einem führenden Anbietervergleich deutscher Buchhaltungs-SaaS.

Datenzugriffs-Risiko

Da sie ihre Informationen und Daten an Dritte weitergeben, sind zahlreiche Nutzer besorgt darüber, wer Zugang erhält. Es kann außerhalb ihrer Kontrolle erscheinen und befürchtet die mögliche Verbreitung, Löschung oder Beschädigung ihrer Daten durch unbefugte Personen. Es ist eine besondere Sorge für Benutzer, die planen, sensible Daten zu speichern, die nachteilig sein werden, wenn sie in die Hände anderer, insbesondere ihrer Konkurrenz, gelangen.

Jeder Kunde kann jedoch die Richtlinien und Verfahren, die vom SaaS-Anbieter implementiert werden, überprüfen und diskutieren. Sie können die Zugriffsebene und den Ansprechpartner festlegen. Alle Anbieter sind verpflichtet, diese Bedingung in die Vertragsbedingungen aufzunehmen, aber stellen Sie sicher, dass Sie dies vor der Unterzeichnung überprüfen, damit Sie sich spätere Sorgen ersparen können. Seien Sie vorsichtig bei der Art von Datenschutzfragen, die Sie an SaaS-Anbieter richten sollten, und zögern Sie nicht, sich über die technische Seite der Angelegenheit gut zu informieren.

Instabilität

Sicherheit und Stabilität sind die wahren Säulen, die eine zuverlässige SaaS-Software ausmachen. Die Dienste werden immer beliebter, das ist ein zweischneidiges Schwert. Auf der einen Seite bedeutet dies mehr Möglichkeiten für die Nutzer und qualitativ hochwertige Dienstleistungen, weil sie jeden einzelnen Anbieter zwingt, im Wettbewerb mitzuhalten. Andererseits wird nicht jeder in der Lage sein, mit dem wachsenden Markt Schritt zu halten. Und am Ende könnte der angestellte Anbieter geschlossen werden, weil er nicht mehr wettbewerbsfähig ist.

Die Datenübertragbarkeit kann von diesem Zeitpunkt an ein Problem darstellen. Es ist eine große Sorge darüber, was passieren würde, denn es bedeutet, dass all die Zeit und das Geld, die in eine Dienstleistung investiert werden, den Bach runtergehen. Leider ist es ein Risiko, das Sie eingehen müssen. Die Situation kann unvorhersehbar sein. Was passiert mit all diesen Daten, nachdem der SaaS-Anbieter sein Geschäft eingestellt hat? Es mag nicht so dramatisch sein wie eine vollständige Abschaltung des Dienstes, aber es kann zu Änderungen bei den Preisen oder der Sicherheitsrichtlinie kommen.

Um Ihre Sorgen zu lindern, lesen Sie die Richtlinie sorgfältig durch, bevor Sie mit einem möglichen Datenverlust konfrontiert werden, da ihre Schutzdienste nicht mehr aktiv sind.

Mangelnde Transparenz

SaaS-Anbieter sind oft geheimnisvoll und versichern ihren Kunden, dass sie ihre Daten besser schützen als jeder andere Anbieter da draußen. Zumindest garantieren sie, dass sie in der Lage sein werden, Informationen und Dateien kompetenter zu sichern als der Kunde selbst. Doch nicht alle Nutzer nehmen ihr Wort für bare Münze. Es gibt zahlreiche Bedenken hinsichtlich der mangelnden Transparenz des Anbieters, wie mit seinem gesamten Sicherheitsprotokoll umgegangen wird. Leider steht diese Angelegenheit zur Debatte.

Dieser Mangel an Transparenz kann zu Misstrauen bei den Kunden führen. Sowohl die Kunden als auch die Branchenanalysten erhalten keine Antworten auf mehrere Sicherheitsfragen. Es lässt sie mit leeren Räumen und Spekulationen über den Service, den sie in Anspruch nehmen oder überprüfen. SaaS-Anbieter argumentieren jedoch, dass der Mangel an Transparenz das ist, was ihre Dienste sicher macht. Die Weitergabe von Informationen über Rechenzentren oder Operationen kann die Sicherheit ihrer Kunden beeinträchtigen. Das Argument mag für viele Anwender sinnvoll erscheinen, lässt aber dennoch andere mit Bedenken zurück.

Identitätsdiebstahl

SaaS-Anbieter verlangen immer eine Zahlung per Kreditkarte, die aus der Ferne erfolgen kann. Es ist eine schnelle und bequeme Methode, aber sie betrifft einige Benutzer über das potenzielle Risiko, das sie mit sich bringt. Es gibt zahlreiche Sicherheitsprotokolle, um Probleme zu vermeiden. Das Identitätsmanagement kann innerhalb der LDAP-Richtungen des Unternehmens, innerhalb der Firewall des Unternehmens oder auf der Website des SaaS-Anbieters erfolgen. Es kann darauf ankommen. Es ist auch sehr fehlerhaft, weil dieser Prozess noch in den Kinderschuhen steckt. Anbieter haben oft keine bessere Lösung für das Identitätsmanagement als die eigene Firewall.

Identitätsdiebstahl wird dann zu einem großen Problem, das oft nur durch den Einsatz zahlreicher Sicherheitstools verhindert wird. Das bedeutet, dass Sie eine zusätzliche Software verwenden und möglicherweise Dienstleistungen bezahlen müssen, die die Sicherheit Ihrer Kreditkartendaten gewährleisten. Es ist ein Problem, das sich aus der Verwaltung des Zugriffs, die für SaaS bekanntlich einfach ist, und der Tatsache ergibt, dass sich die Strategie im Laufe der Zeit ändern kann. Das kann oft zu Bedenken führen, insbesondere bei Erstnutzern, die den Anbieter vor der Bezahlung nicht richtig recherchiert haben. Hier ist ein sehr fortgeschrittener Artikel darüber, wie man Identitätsdiebstahl vermeiden kann. Es enthält mehr als 100 fortgeschrittene Tipps zu diesem Thema.

Unsicherheit über den Standort Ihrer Daten

Die meisten SaaS-Anbieter geben nicht an, wo sich ihre Rechenzentren befinden, so dass die Kunden nicht wissen, wo sie tatsächlich gespeichert sind. Gleichzeitig müssen sie sich auch der Vorschriften des Bundesgesetzes über das Management der Informationssicherheit (FISMA) bewusst sein, das besagt, dass Kunden sensible Daten im Land aufbewahren müssen. Das bedeutet, dass Sie möglicherweise Zugriff auf Ihre Daten haben, wenn Sie aus den USA fliegen, oder dass Sie andere Optionen haben.

Sollten Sie ins Ausland reisen, wird Ihr SaaS-Anbieter, insbesondere mit Cloud-basierter Software, Sie darüber informieren, dass Ihre Informationen an ein anderes Zentrum (z.B. in Europa) gesendet wurden. Das bedeutet, dass Ihre sensiblen Daten zu Ihrem eigenen Vorteil und Zugang übertragen werden, aber gleichzeitig lassen sie die Benutzer sich fragen, wo sie sich genau befinden. Einige wie www.symantec.com bieten ihre Dienste in über einem Dutzend Ländern an, aber es ist nicht von jedem Anbieter garantiert. Sie wissen vielleicht nicht, wo sich Ihre wertvollen Daten zu einem bestimmten Zeitpunkt befinden.

Per Vorkasse und langfristig bezahlen

Finanzielle Sicherheit ist auch ein Problem, das sich aus Ihrer Vereinbarung zur Nutzung eines SaaS-Anbieters ergeben kann. Eine große Mehrheit von ihnen benötigt Vorauszahlungen und langfristige Zahlungen. Das ist selbst dann der Fall, wenn Sie sich nicht sicher sind, wie lange Sie ihren Service benötigen, oder wenn sich etwas in ihrer Richtlinie im Laufe der Zeit ändern wird. Es ist ein Anliegen, in einen potenziell wichtigen Teil des Unternehmens zu investieren, der möglicherweise nicht den Anforderungen entspricht und Sie als Kunde nicht zufrieden stellt. Einige könnten dich sogar zwingen, ein Jahr im Voraus zu bezahlen.

Sobald die Zahlung erfolgt ist, wurden Ihre Gelder abgebucht und Sie haben den Service zur Hand. Das gibt jedoch nicht allen Kunden Sicherheit. Der Service wird sicherlich so bleiben, wie er vertraglich geregelt ist, aber die Qualität und Sicherheit kann sich ändern. Es gibt Bedenken, dass Benutzer eine Anwendung erhalten könnten, die sich nicht mehr selbst aktualisiert, was sowohl die Nutzung als auch die Sicherheit beeinträchtigen kann. Wenn die Verschlüsselung nicht auf dem neuesten Stand gehalten wird, können Sie sich für verschiedene Sicherheitsprobleme öffnen, und Ihre Daten könnten gefährdet sein. Es ist ein Detail, das vor der Bezahlung des Anbieters überprüft werden muss.

Nicht sicher, in was Sie eingewilligt haben

Jedes Unternehmen ist verpflichtet, Bedingungen und Konditionen anzugeben, in denen es die Nuancen der Funktionsweise seines Dienstes im Detail erläutert. Allerdings stört es nicht jeden, das lange Dokument zu lesen, das typischerweise Standard ist. Mehr noch, nicht alle sind IT-Fans mit Fachwissen in dem für diese Nische gebräuchlichen Slang. Das könnte dazu führen, dass sie sich auf bestimmte Dinge einigen, die sie nicht richtig verstehen. Und wenn dann Probleme auftreten, sind sich die meisten Kunden nicht ganz sicher, was genau sie bei der Unterzeichnung vereinbart haben.

Im Idealfall sollte jemand, der mit dem SaaS-Service vertraut ist, das Dokument der Allgemeinen Geschäftsbedingungen überprüfen, um Sie mit den Grundlagen und Details vertraut zu machen. Oder lassen Sie separate Abteilungen verschiedene Abschnitte lesen, die sich auf ihre Aktivitäten auswirken könnten. Es ist der sicherste Weg, dass du dir später keine Sorgen darüber machen musst, wofür du dich angemeldet hast und was dich im Falle von Problemen erwartet.

Wie Ihre Daten tatsächlich geschützt sind

Kunden sollten immer wissen, wo und wie ihre Daten gesichert sind, aber einige Erklärungen sind möglicherweise nicht genau verstanden. Nicht jeder kennt und versteht Verschlüsselungsprotokolle oder was das alles bedeutet. Kunden können sich Sorgen um bestimmte Aspekte des technischen Teils machen, z.B. wie ihre Daten wiederhergestellt oder bei Problemen wiederhergestellt werden können. Die bloße Existenz von Wiederherstellungsmöglichkeiten impliziert natürlich, dass es Server gibt, die Ihre sensiblen Daten speichern und sicher aufbewahren. Aber wie sicher?

SaaS-Anbieter müssen sicherstellen, dass ihre Kunden durch ihre Datenschutzerklärung gut darüber informiert sind, wie alles funktioniert. Darüber hinaus sollten sie ein standardisiertes Formular anbieten, wie sie mit Disaster Recovery umgehen, falls ihre Server durch einen Ausfall oder ein natürliches Phänomen, das Schäden verursachen könnte, heruntergefahren werden. Kunden können leider keine Garantien dafür haben, dass dies möglich ist, und es ist sicherlich eine Sorge, dass sensible Daten für immer verloren gehen können.

Keine direkte Kontrolle über Ihre eigenen Daten

Neben der Sorge, dass die Server des SaaS-Anbieters endgültig abgeschaltet werden könnten, gibt es Risiken und Sorgen darüber, dass Ihre Daten nicht wirklich unter Ihrer Kontrolle sind. Die gute Seite ist, dass Sie die Software nicht konfigurieren, verwalten, warten oder aktualisieren müssen. Der Nachteil dabei ist, dass Sie im Wesentlichen die Kontrolle über Ihre Daten verlieren. Zum Beispiel, wenn etwas passiert und Ihre Daten verloren gehen, müssen Sie sich an den Dienstanbieter wenden, auf seine Antwort warten, egal wie lange das dauert, und erst dann eine Antwort erhalten, was passiert sein könnte.

Es hängt alles davon ab, welche Anpassungsfähigkeit der Anbieter bietet, die wiederum eingeschränkt sein kann. Der SaaS-Anbieter ist für die Verantwortlichkeiten bei der Datenspeicherung verantwortlich. Das mag eine Erleichterung sein, aber es ist auch ein gewisser Kontrollverlust, der die Benutzer zu Sorgen veranlasst und sie in manchen Fällen viel Zeit kostet, um bei Problemen auf Antworten zu warten.

Der Service kann nicht mit den modernen Sicherheitsstandards Schritt halten

Viele Anbieter rühmen sich mit ihren Sicherheitszertifikaten und beweisen ihren Nutzern, dass sie eine ausgezeichnete Kontrolle über ihre Daten und Sicherheit haben. Die meisten werden jedoch von Standards sprechen, die nicht auf dem neuesten Stand sind, und es sagt eine ganze Menge darüber aus, wie ausgereift der Service wirklich ist. Es bietet die Möglichkeit, dass die Daten zwar jetzt sicher sind, aber nicht in ein oder zwei Jahren, wenn sich die Protokolle geändert haben, die Richtlinien aktualisiert wurden und die Risiken gestiegen sind.

Und wie bereits erwähnt, bestehen die meisten Anbieter auf einer langfristigen Investition in ihre SaaS-Software. Sie müssen sicherstellen, dass Ihr Provider die Sicherheitsmaßnahmen einhält, um diese besondere Sorge zu lindern. Sie können jedoch sicher sein, dass viele von ihnen ihre Software aktualisieren und ihre Server warten müssen. Sonst könnten sie mit ihrer Konkurrenz nicht mithalten.

SaaS ist immer eine ausgezeichnete Option, aber es gibt Fallstricke in der Praxis, die sich bewährt haben.