Penetrationstest für moderne SaaS-Lösungen

Was ist SaaS - wo liegt der Unterschied zu IaaS und PaaS?

Was genau ist SaaS? Die Antwort ist einfach: Eine SaaS-Software ist eine cloudbasierte Anwendung, die Ihnen in verschiedenen Bereichen passende Lösungen bereitstellt. SaaS steht dabei für "Software-as-a-Service".

Wenn Sie sich für eine solche cloudbasierte Variante entscheiden, müssen Sie keine Software mehr lokal auf Ihrem Computer installieren. Stattdessen greifen Sie direkt über den Browser darauf zu. Das macht SaaS zu einer einfachen und flexiblen Alternative. Häufig wird die Anwendung sowohl browserbasiert als auch als mobile App angeboten, sodass Sie privat wie geschäftlich gleichermaßen davon profitieren.

Obwohl SaaS, IaaS (Infrastructure-as-a-Service) und PaaS (Platform-as-a-Service) allesamt zum Cloud-Computing gehören, eignen sie sich für unterschiedliche Einsatzgebiete.

• IaaS unterstützt Sie dabei, Ihre Infrastruktur mithilfe cloudbasierter Technologie aufzubauen.
• PaaS hilft Ihren Entwicklern, benutzerdefinierte Anwendungen zu erstellen und über die Cloud bereitzustellen.
• SaaS ist eine cloudbasierte Software, die Sie für den täglichen Gebrauch erwerben und nutzen können. Daher wird sie auch als SaaS-Lösung bezeichnet.

Vorteile eines SaaS

Wenn Sie sich für eine SaaS-Lösung entscheiden, profitieren Sie von zahlreichen Vorteilen, die sie deutlich von klassischen Softwareanwendungen unterscheiden.

• Installation, Aktualisierungen und Updates entfallen vollständig. Ihre Anwender haben jederzeit Zugriff auf die aktuelle Version, ohne dass Ihre IT-Abteilung eingreifen muss.
• Durch die Auslagerung von Nutzerdaten in die Cloud gewinnen Sie an Mobilität. Die Anwendung lässt sich nicht nur am Firmen-PC, sondern ebenso auf dem Tablet oder Smartphone nutzen.
• Dank des stetig verbesserten Breitbandausbaus profitieren Sie von hohen Verbindungsgeschwindigkeiten. Der Datentransfer erfolgt nahezu in Echtzeit.
• SaaS-Anwendungen sind eine kostengünstige Lösung, da Sie den Service im Abo-Modell mieten. Neben niedrigen monatlichen Kosten entfällt jede anfängliche Investition.

Anwendungsgebiete des SaaS

SaaS-Lösungen bieten Ihnen vielfältige Einsatzmöglichkeiten, sowohl privat als auch im beruflichen Alltag. Im geschäftlichen Umfeld nutzen Sie beispielsweise moderne CRM-Systeme, Anwendungen für Projektmanagement und Finanzbuchhaltung. Im privaten Bereich reicht das Angebot von cloudbasierten Office-Programmen bis hin zu Musik-Streaming-Diensten.

Darum ist ein Penetrationstest für SaaS-Lösungen wichtig

Sobald Sie SaaS-Software einsetzen, betrachten Anwender Ihre sensiblen Daten direkt im Browser. Das kann zu kritischen Schwachstellen führen und macht regelmäßige Sicherheitsüberprüfungen unverzichtbar. Ein Pentest ist daher ein wesentlicher Bestandteil Ihres IT-Sicherheitskonzepts für die SaaS-Lösung.

Ein Penetrationstest deckt potenzielle Sicherheitslücken im System auf und hilft Ihnen, Ihre Unternehmensdaten sicher zu nutzen. Penetration Testing ist dabei nicht nur bei kommerziellen Varianten sinnvoll, sondern auch bei Open-Source-Cloud-Lösungen.

Betreiben Sie im Unternehmen Ihre eigene Cloud, gilt diese als privat und Sie können sie nach Belieben testen. Das ist der große Vorteil einer internen Lösung. Allerdings tragen Sie in diesem Fall die volle Verantwortung für die Sicherheit. Das erfordert externe Unterstützung, beispielsweise durch einen Experten, der auf Pentests für SaaS-Lösungen spezialisiert ist. Auch der Einsatz von Künstlicher Intelligenz beim Penetration Testing kann hier wertvolle Dienste leisten.

Die Unterschiede von SaaS, IaaS und PaaS beim Penetrationstest

Wenn Sie Ihre SaaS-Lösung per Penetrationstest prüfen möchten, ist Vorsicht geboten. Das System und die darunterliegende Serverinfrastruktur gehören nicht Ihnen. Sie nutzen lediglich die Software, die im Rahmen Ihres Abonnements enthalten ist.

Ein klassisches Beispiel ist Office 365 von Microsoft. Führen Sie einen Penetrationstest gegen einen solchen Server durch, betrifft das nicht nur Sie, sondern auch andere Abonnenten. Der Vorteil einer solchen Lösung ist jedoch, dass Ihr Anbieter selbst für die Sicherheit verantwortlich ist.

Anders verhält es sich bei einem IaaS-Dienst. Hier können Sie problemlos einzelne Objekte innerhalb Ihres Abonnements testen. Dennoch ist es wichtig, vorab Kontakt mit Ihrem Cloud-Provider aufzunehmen.

Bei PaaS-Lösungen sind viele Tests erlaubt, aber nicht alle. Klären Sie deshalb mit Ihrem Anbieter, welche Testmethoden zulässig sind. Ausschlaggebend sind dabei unter anderem das Patchmanagement des Provider-Servers sowie die Sicherheitsrichtlinien der Basis-Server, die bestimmen, welche Maßnahmen Sie in welchem Umfang durchführen dürfen.

Sie setzen eine komplette PaaS-Umgebung in Ihrem Unternehmen ein? Dann ist die Absicherung besonders wichtig. Ein regelmäßiger Penetrationstest hilft Ihnen, Schwachstellen kontinuierlich aufzudecken. Ebenso wichtig ist es, die Server selbst abzusichern.

Bei IaaS und PaaS haben Sie also einen größeren Einfluss auf die Sicherheit Ihrer Anwendungen als bei einer SaaS-Lösung. Dennoch gilt: Kontaktieren Sie in jedem Fall Ihren Provider, damit Sie nicht unbeabsichtigt gegen seine Richtlinien oder die geltenden AGB verstoßen.

Viele Provider bieten Penetration Testing für Ihre SaaS an

Clouddienste, insbesondere SaaS-Lösungen, sind mittlerweile eine etablierte Technologie und fest im beruflichen wie privaten Alltag verankert. Ihre weite Verbreitung macht regelmäßige Vulnerability Scans unerlässlich. IT-Verantwortliche müssen sicherstellen, dass sich die Systeme stets am aktuellen Stand der Technik orientieren.

Wenn Sie eine SaaS-Lösung in Ihrem Unternehmen einsetzen, empfiehlt sich die regelmäßige Durchführung eines Penetrationstests. Dabei prüft ein unabhängiger Experte das System gezielt auf Schwachstellen und Sicherheitslücken. Ob es sich bei Ihrer Cloudumgebung um SaaS, IaaS oder PaaS handelt, spielt hinsichtlich der Sicherheitsanforderungen keine Rolle.

Der Penetrationstest beruht auf dem Konzept der geteilten Verantwortung. Das bedeutet, dass sowohl Sie als auch der Experte abgesichert sind. Um dies zu gewährleisten, werden Umfang des Tests, Haftungserklärung und rechtlicher Rahmen vorab festgelegt und vertraglich fixiert. So lassen sich rechtliche Konflikte und ungewollte Zwischenfälle vermeiden.

Sobald Sie eine SaaS-Lösung buchen, sollten Sie wissen, welche Sicherheitstests bereits durchgeführt wurden, einschließlich Penetrationstests. Ein Experte unterstützt Sie auch dann, wenn Sie das Angebot Ihres Providers nicht eigenständig auf Sicherheitslücken testen können. Cloud-Anbieter beschäftigen nahezu immer interne Teams, die ihre Services regelmäßig per Pentest überprüfen.

Möchten Sie eigene Tests durchführen, gilt: Setzen Sie sich unbedingt mit Ihrem Cloud-Anbieter in Verbindung. Einen solchen Test dürfen Sie nur mit ausdrücklicher Genehmigung durchführen. Große Anbieter wie Amazon bieten Ihnen in der Regel die Möglichkeit, den gewünschten Penetrationstest vorzunehmen. Doch warum ist das so wichtig? Weil ein Penetrationstest leicht als Angriff auf die SaaS-Lösung interpretiert werden kann und damit bei Ihrem Provider unerwünschte Gegenmaßnahmen auslösen könnte.

Fazit

Der Penetrationstest ist für Ihre Cloud-Lösung ebenso wichtig wie für Ihre lokalen Anwendungen. Dabei müssen Sie jedoch zwischen einer öffentlichen und einer privaten Cloud unterscheiden, denn je nach Betriebsart ist ein anderes Vorgehen beim Penetration Testing erforderlich. So müssen Sie beispielsweise bei externen Providern vorab abstimmen, welche Art von Vulnerability Scan Sie wann durchführen dürfen.