Das Magazin > Gegen die "Cloud-Tarnung": Unsere Sicherheits-Checkliste für SaaS-Lösungen
Publiziert am 09/02/2023 par Giuliano Ippoliti, Leiter der Abteilung für Cybersicherheit bei Cloud Temple

Um der gestiegenen Nachfrage gerecht zu werden, haben die Hersteller von Cybersicherheitslösungen ihr Angebot auf ein SaaS-Konsummodell ausgeweitet.

Mehrere Toolfamilien, die bislang hauptsächlich als "on premise" vertrieben wurden, haben diesen Schritt vollzogen: Anti-Malware, WAF, Proxy, SIEM usw. Dieser Trend, Sicherheitsdienste in die Cloud zu verlagern, bringt viele Vorteile, aber auch ernst zu nehmende Nachteile mit sich. Die Verlagerung von wichtigen Sicherheitsfunktionen und den damit verbundenen sensiblen Daten in die Cloud bleibt ein Sprung ins Ungewisse. 

Diesem Trend zur "Cloud-Camouflage" entgegenzuwirken bedeutet, Entscheidungsträgern dabei zu helfen, ihre Forderungen nach Transparenz über das Sicherheitsniveau des Anbieters durchzusetzen und Unternehmen und Organisationen über die von ihnen konsumierten Cloud-Produkte aufzuklären. Ohne auf den Gesetzgeber zu warten, sind hier die wichtigsten Fragen, die Sie sich bei der Auswahl einer SaaS-Lösung stellen sollten, sowie Wege, um sicherzustellen, dass Sie die unerlässlichen Informationen erhalten :

Lokalisierung

Wo befindet sich die Hosting-Infrastruktur, die den SaaS-Dienst trägt?  

  • in Frankreich? 
  • in der Europäischen Union? 
  • auf anderen Kontinenten? 

➡️ Diese Elemente werden manchmal vom Herausgeber in seinen Allgemeinen Nutzungsbedingungen (ANB) öffentlich bekannt gegeben. Manchmal ist es jedoch notwendig, die Frage explizit zu stellen. 

Reputation

  • Welchen Ruf hat der Verlag?  
  • War er Gegenstand von Datenlecks oder medienwirksamen Cyberangriffen?  
  • Sind seine Produkte häufig von Schwachstellen betroffen (common vulnerabilities and exposures / CVE)? 

➡️ Die Antworten finden Sie in der Regel im öffentlichen Internet. Sie müssen sich nur die Zeit nehmen, um diese Recherchen durchzuführen. Wenn der Herausgeber Referenzen auf seiner Website veröffentlicht, warum befragen Sie nicht seine Kunden, um ein Feedback zu erhalten? 

Konformität

  • Wie gut ist der Herausgeber in Bezug auf die Einhaltung von Vorschriften?  
  • Welche Zertifizierungen und Qualifikationen hat er/sie erworben?  
  • Sind seine Zertifizierungen mit den für Sie geltenden gesetzlichen und behördlichen Auflagen vereinbar? 

➡️ Im Allgemeinen hat der Herausgeber ein Interesse daran, mit seinen Zertifizierungen oder Qualifikationen zu werben (ISO 27001, HDS, SecNumCloud ...). Wir empfehlen Ihnen jedoch, etwas tiefer in das Thema einzusteigen : 

  • Lassen Sie sich eine Kopie der Zertifizierung geben und achten Sie auf den Umfang der Zertifizierung. Ein häufiger Missbrauch besteht darin, die Tatsache zu verschleiern, dass die Zertifizierung einen sehr kleinen Umfang abdeckt. 
  • Wenn der Anbieter nach ISO 27001 zertifiziert ist, fragen Sie ihn nach seiner Anwendbarkeitserklärung. 
  • Fragen Sie den Herausgeber nach Prüfberichten, z. B. ISAE 3402 oder SOC 2, idealerweise Typ 2. 
  • Fordern Sie ihn auf, seine Datenschutzpolitik und die Maßnahmen zur Einhaltung der DSGVO darzulegen. 
  • Überprüfen Sie, ob der Herausgeber in den öffentlichen Registern aufgeführt ist, die von qualifizierenden Behörden wie der ANSSI (in Frankreich) oder der ENISA (in Europa) geführt werden. 
  • Legen Sie dem Anbieter Sicherheitsfragebögen vor, z. B. auf der Grundlage des CAIQ (Consensus Assessments Initiative Questionnaire), der von der CSA (Cloud Security Alliance) frei zur Verfügung gestellt wird. 
  • Verhandeln Sie über die Möglichkeit, Compliance-Prüfungen durchzuführen. 

Reife

  • Wie reif ist der Anbieter bei der Softwareentwicklung seiner Lösung? 

➡️ Ein Teil der Antwort sollte durch die bereits erwähnten Compliance-Elemente gegeben sein, aber wir empfehlen Ihnen, zusätzliche Elemente anzufordern: 

  • Erhalten Entwickler Schulungen oder Sensibilisierung für die Sicherheit von Computercode? 
  • Hat der Verlag die DevSecOps-Praktiken übernommen? 
  • Führt er regelmäßig Penetrationstests mit seiner eigenen Lösung durch? Wenn ja, ist er bereit, zumindest ausführende Zusammenfassungen seiner letzten Tests zu teilen? 
  • Akzeptiert der Anbieter, dass Kunden selbstständig Penetrationstests durchführen? 

Mehr Informationen und Transparenz über SaaS-Sicherheitsdienste sind eine legitime Erwartung, die mit der zunehmenden Verlagerung von Sicherheitslösungen in die Cloud immer dringender wird. Wenn sie von den Nutzern dazu angeregt werden, werden die Anbieter von Lösungen eher in der Lage sein, das Schutzniveau der Informationssysteme in Frankreich insgesamt zu erhöhen. Auf diese Weise können wir gemeinsam den Kampf gegen die Cyberüberwachung beschleunigen.  

Katégorien
Cybersicherheit & Compliance
Das Magazin
Cookie-Richtlinie

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung auf unserer Seite zu bieten, erheben aber keine personenbezogenen Daten.

Die Dienste zur Messung des Publikums, die für den Betrieb und die Verbesserung unserer Website erforderlich sind, ermöglichen es nicht, Sie persönlich zu identifizieren. Sie haben jedoch die Möglichkeit, sich ihrer Nutzung zu widersetzen.

Weitere Informationen finden Sie in unserem Datenschutzrichtlinie.

Zulassen Ablehnen