Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

12.04.2006

Wie sicher ist Software-as-a-Service?

Olaf Lindner 
Neben den Kostenvorteilen sollten SaaS-Anwender den ungefährdeten Betrieb im Auge behalten.

• Was bedeutet Software-as-a-Service für die Sicherheit von Unternehmen?

Mehr zum Thema

www.computerwoche.de/go/

571687: Salesforce.com - statt "on-Demand" wieder "off-Demand";

570221: Salesforce.com zeitweilig "off-Demand".

Traditionell liegt der Schwerpunkt in Sachen Security auf der Infrastruktur und darauf, das Netzwerk vor unbefugten Zugriffen durch mehrere Sicherheitsstufen wie Firewalls, Intrusion-Detection-Systeme und Überwachungssysteme zu schützen. Unternehmen können zwar mit Hilfe von Virtual Private Networks (VPNs), Verschlüsselungen, Netzsicherheits-Tools und anderen Mechanismen Risiken eindämmen. Der Schutz der Informationen in gehosteten Anwendungen hängt jedoch nicht nur von den Sicherheitssystemen des Kunden, sondern auch von denen des Dienstleisters ab. Sind Anwendungen im Internet verfügbar, können Firewalls unbefugte Nutzer nicht mehr vollständig fernhalten.

• Wie ist das Risiko einzuschätzen?

Software-Dienstleistungen können durchaus zu einem attraktiven Ziel für Hacker werden, da sie einen direkten Zugang zu einer großen Menge vertraulicher Informationen bieten. Während ein Hacker üblicherweise viel Zeit und Energie aufwenden muss, um an vertrauliche Unternehmens- oder Kundeninformationen zu kommen, speichern Software-as-a-Service-Modelle die Daten ihrer Kunden an einem zentralen Ort, der mit Zugriffsrechten über das Internet zugänglich ist. Das heißt aber auch, dass Hacker unberechtigten Zugriff erhalten können, indem sie sich mit betrügerischen Mitteln die Zugangsdaten der Kunden aneignen.

• Welche der derzeit beobachteten Bedrohungen betreffen Software as a Service?

Sicherheitslücken in Web-basierenden Applikationen stellen eine Bedrohung dar, da sie traditionell über einen Web-Server dem Internet ausgesetzt sind. Cross-Site-Scripting-Angriffe beispielsweise nutzen Lücken, um Inhalte vorzutäuschen. Diese Angriffe können zur Folge haben, dass Benutzerkonto-Informationen missbraucht werden. SQL-Injection-Angriffe zielen auf den von einer Web-basierenden Applikation genutzten Datenbank-Server. Ursache sind in der Regel unzureichende Sicherheitskontrollen in der Anwendung. Dabei können Teilbestände von vertraulichen Informationen bis hin zur gesamten Datenbank gefährdet sein. Zudem können Sicherheitsrisiken auftreten, wenn eine Applikation extern bereitgestellte Daten nicht auf Validität prüft. Ungewöhnliche Datenformate können manchmal zum Versagen von Sicherheitsmechanismen führen.

• Wie können die Anbieter die Sicherheit ihrer Software-Dienstleistungen verbessern?

Um Vertraulichkeit, Verfügbarkeit und Integrität zu gewährleisten, müssen die Anbieter die Betriebssicherheit der gehosteten Anwendungen mit geeigneten Maßnahmen schützen - dazu zählen Vorschriften, Verfahrensweisen und Protokolle. Zudem sollte unbedingt ein Notfallplan vorhanden sein, der in Verbindung mit einem hochverfügbaren System für Ausfallsicherheit sorgt. Darüber hinaus sollte der Anbieter in periodischen Abständen mit den Mitteln eines Hackers seine Infrastruktur prüfen und sie einem Penetrationstest unterziehen sowie den Quellcode kontinuierlich auf mögliche Schwachstellen untersuchen.

• Welche gehosteten Anwendungen sind dem größten Sicherheitsrisiko ausgesetzt?

Jede Web-Applikation ist potenziell gefährdet, ebenso alle Geräte und Anwendungen, die mit Software betrieben werden. Man kann aber davon ausgehen, dass Anwendungen, die viele Informationen verwalten, ein besonders attraktives Ziel für Hacker darstellen. Dazu zählen beispielsweise gehostete Messaging-Anwendungen und Applikationen aus den Bereichen Kunden-Management, Enterprise Resource Planning (ERP), Rechnungswesen und Personalwesen. (ba)