Die SEC verschafft SaaS keinen Freibrief. Anwendbare börsennotierte Unternehmen, sogenannte „Registranten“, unterliegen nun Offenlegungspflichten für Cyber-Vorfälle und Anforderungen für die Cybersicherheitsbereitschaft von in SaaS-Systemen gespeicherten Daten sowie von Apps von Dritten und Vierten, die mit ihnen verbunden sind.
Die neuen Cybersicherheitsbestimmungen machen keinen Unterschied zwischen Daten, die bei einem Vorfall offenbart wurden, und ob sie in On-Premise-, Cloud- oder SaaS-Umgebungen gespeichert wurden. In den eigenen Worten der SEC: „Wir glauben nicht, dass ein vernünftiger Investor einen bedeutenden Datenbruch als unwesentlich erachten würde, nur weil die Daten in einem Cloud-Dienst gehostet sind.“
Dieser sich entwickelnde Ansatz erfolgt, während SaaS-Sicherheitsmängel weiterhin Schlagzeilen machen und Branchenführer darüber diskutieren, wie die SEC die Cybersicherheit nach der Anklage sowohl von SolarWinds als auch von dessen CISO wegen Betrugs ändern könnte.
Warum SaaS- und SaaS-zu-SaaS-Verbindungsrisiken für die SEC – und Ihr Unternehmen – wichtig sind
Die Wahrnehmung und die Realität der SaaS-Sicherheit liegen in vielen Fällen meilenweit auseinander. Der Bericht „State of SaaS Security“ von AppOmni, einem führenden Unternehmen für SaaS-Sicherheit, zeigte, dass 71% der Unternehmen ihre SaaS-Cybersicherheitsreife als mittel bis hoch eingestuft haben, jedoch 79% in den letzten 12 Monaten einen SaaS-Cybersicherheitsvorfall hatten.
Die SEC stellt ebenfalls fest, dass die SaaS-Sicherheit unzureichend ist und nennt den „starken Anstieg von Cyber-Sicherheitsvorfällen“ als einen der Gründe für ihren neuen Ansatz. Diese Bedenken beschränken sich natürlich nicht auf eine geringe Anzahl von Registranten, die auf SaaS angewiesen sind. Laut Statista verwendeten bis Ende 2022 durchschnittlich globale Organisationen 130 SaaS-Anwendungen.
Das Risiko von Datenlecks beschränkt sich nicht nur auf die Allgegenwart und Verwundbarkeit von SaaS. Um mehr Wert aus SaaS-Plattformen zu generieren, stellen Organisationen routinemäßig SaaS-zu-SaaS-Verbindungen her (Verbindungen von Apps von Drittanbietern zu SaaS-Systemen), egal ob diese Verbindungen von der IT genehmigt werden oder heimlich als Schatten-IT integriert werden. Da Mitarbeiter zunehmend KI-Lösungen mit SaaS-Apps verbinden, werden die von CISOs überwachten digitalen Ökosysteme immer stärker miteinander verknüpft und unklarer.
SaaS-SicherheitsleitfadenKann Ihr Sicherheitsteam Apps von Drittanbietern überwachen? 60% der Teams können es nichtSicherheitsteams glauben, dass sie abgesichert sind, aber die Daten sprechen für sich: 79% der Unternehmen hatten SaaS-Verstöße. Der Bericht von AppOmni enthüllt die überraschenden Sicherheitslücken in SaaS. Laden Sie ihn jetzt herunter, um herauszufinden, ob Sie gefährdet sind.Erfahren Sie, wie Sie Governance-Herausforderungen und Cybersicherheitsrisiken nehmen exponentiell zu, wenn komplexe SaaS-zu-SaaS-Verbindungen florieren. Während diese Verbindungen in der Regel die organisatorische Produktivität steigern, bringen SaaS-zu-SaaS-Anwendungen viele versteckte Risiken mit sich. Der Einbruch bei CircleCI beispielsweise gefährdete unzählige Unternehmen mit SaaS-zu-SaaS-Verbindungen zu dem führenden CI/CD-Tool der Branche. Das Gleiche gilt für Organisationen, die mit Qlik Sense, Okta, LastPass und ähnlichen SaaS-Tools verbunden sind, die in letzter Zeit Cyber-Vorfälle erlitten haben.
Da SaaS-zu-SaaS-Verbindungen außerhalb der Firewall existieren, können sie von herkömmlichen Scan- und Überwachungstools wie Cloud Access Security Brokern (CASBs) oder Secure Web Gateways (SWGs) nicht erkannt werden. Zusätzlich zu dieser mangelnden Sichtbarkeit veröffentlichen unabhängige Anbieter häufig SaaS-Lösungen mit Schwachstellen, die von Angreifern über die Kompromittierung von OAuth-Tokens ausgenutzt werden können, und schaffen so verborgene Zugangswege zu den sensibelsten Daten einer Organisation. Laut AppOmni haben die meisten Unternehmen 256 einzigartige SaaS-zu-SaaS-Verbindungen in einer einzigen SaaS-Instanz installiert.
Daten, die Investoren und den Markt beeinflussen könnten, sind nun über ein weitreichendes Netzwerk digitaler Verbindungen zugänglich – und angreifbar.
„Follow The Data“ ist das neue „Follow The Money“
Da die SEC damit beauftragt ist, Investoren zu schützen und „geregelte, geordnete und effiziente Märkte“ zu gewährleisten, fällt die Regulierung von SaaS- und SaaS-zu-SaaS-Verbindungen in den Zuständigkeitsbereich der Behörde. In der Ankündigung der Cybersecurity-Regeln erklärte der SEC-Vorsitzende: „Ob ein Unternehmen eine Fabrik bei einem Brand verliert oder Millionen von Dateien bei einem Cybersecurity-Vorfall – das kann für Investoren von Bedeutung sein.“
Der Umfang und die Häufigkeit von Verstößen untermauern die Erweiterung der SEC im Bereich des Cyber-Risikos. SaaS-Verstöße und -Vorfälle treten regelmäßig bei börsennotierten Unternehmen auf, und laut AppOmni gab es von 2022 bis 2023 eine 25%ige Zunahme von Angriffen. IBM berechnet, dass die Kosten für einen Datenverstoß im Jahr 2023 im Durchschnitt einen Rekordwert von 4,45 Millionen US-Dollar erreichten.
Während die Offenlegungspflichten die meiste mediale Aufmerksamkeit erregt haben, legen die neuen SEC-Vorschriften auch Präventionsmaßnahmen fest. CISOs müssen ihre Prozesse zur „Bewertung, Identifizierung und Verwaltung wesentlicher Risiken durch Cybersicherheitsbedrohungen“ beschreiben und die Rolle des Verwaltungsrats und des Managements bei der Überwachung von Cybersicherheitsrisiken und -bedrohungen offenlegen.
Ob man sie nun liebt oder verabscheut, diese Regeln zwingen Kunden von SaaS dazu, eine bessere Cybersicherheits-Hygiene zu praktizieren. Die Offenlegung dessen, was passiert ist – und was Ihre Organisation getan und tut -, so direkt und offen wie möglich, stärkt das Vertrauen der Investoren, gewährleistet die regulatorische Compliance und fördert eine proaktive Cybersicherheitskultur.
In SaaS ist die beste Verteidigung eine undurchdringliche Verteidigung. Eine Bewertung und Verwaltung des Risikos jedes SaaS-Systems und jeder SaaS-zu-SaaS-Verbindung, die Zugriff auf Ihre sensiblen Daten haben, ist nicht nur vorgeschrieben, sondern auch entscheidend, um Datenverstöße zu vermeiden und ihre Auswirkungen zu minimieren.
So schützen und überwachen Sie Ihre SaaS-Systeme und SaaS-zu-SaaS-Verbindungen
Die Last der manuellen Bewertung von SaaS-Sicherheitsrisiken und -haltung kann mit einem SaaS-Sicherheits-Posture-Management-Tool (SSPM) gemildert werden. Mit SSPM können Sie Konfigurationen und Berechtigungen in allen SaaS-Apps überwachen und gleichzeitig die Berechtigungen und Reichweite von SaaS-zu-SaaS-Verbindungen verstehen, einschließlich verbundener KI-Tools.
Registranten benötigen ein umfassendes Verständnis aller SaaS-zu-SaaS-Verbindungen für ein effektives Risikomanagement. Dies muss eine Bestandsaufnahme aller Verbindungen und der sie verwendenden Mitarbeiter, der von diesen Verbindungen berührten Daten und der Berechtigungsstufen für SaaS-Systeme umfassen, die diesen Tools von Drittanbietern gewährt wurden. SSPM bewertet all diese Aspekte der SaaS-zu-SaaS-Sicherheit.
SSPM wird auch Sicherheits- und IT-Teams über Konfigurations- und Berechtigungsabweichungen informieren, um sicherzustellen, dass die Haltung im Rahmen bleibt. Es erkennt auch verdächtige Aktivitäten und sendet Alarme aus, zum Beispiel bei einem Versuch der Kompromittierung von Identitäten von einer ungewöhnlichen IP-Adresse oder geografischen Lage.
CISOs und ihre Teams können Schwierigkeiten haben, die Anforderungen an die Bereitschaft zu erfüllen, ohne die richtigen Haltungs- und Bedrohungserkennungstools zur Reduzierung des Risikos von Datenverstößen zu haben. SSPM zentralisiert und normiert Aktivitätsprotokolle, um Unternehmen bei der Vorbereitung umfassender und sachlicher Offenlegungen innerhalb des vierstündigen Zeitfensters zu unterstützen.
Nur die Zeit wird zeigen, wie die SEC diese neuen Regeln durchsetzen wird. Aber selbst wenn diese Vorschriften morgen verschwinden, ist es unerlässlich, die SaaS-Sicherheit zu verbessern, um die Daten zu schützen, auf die die Märkte und Investoren angewiesen sind.
