Web/API-PentestJan Kahmen9 min Lesezeit

Penetrationstest für moderne SaaS-Lösungen

Bei einer SaaS-Software, betrachten Anwender Ihre sensiblen Daten direkt im Browser, was eine regelmäßige Penetrationstests notwendig macht.

Inhaltsverzeichnis

Was ist SaaS - wo liegt der Unterschied zu IaaS und PaaS?

Haben Sie sich schon einmal gefragt: Was ist SaaS? Die Antwort darauf ist ganz einfach - eine SaaS Software ist eine Cloud-basierte Anwendung. Sie stellt Ihnen in unterschiedlichen Bereichen die passende Lösung bereit. Dabei ist SaaS die Abkürzung für "Software-as-a-Service".
Entscheiden Sie sich für eine solche Cloud-basierte Variante, müssen Sie Ihre Softwareanwendung nicht länger auf dem Computer installieren. Stattdessen greifen Sie direkt über den Browser darauf zu. Das macht sie zu einer einfachen und flexiblen Alternative. Nicht selten wird die Anwendung sowohl Browser-basiert als auch für die flexible App Nutzung angeboten. Sie profitieren also im privaten sowie im geschäftlichen Bereich davon.Browser-basiert
Obwohl SaaS, IaaS (Infrastructure-as-a-Service) und PaaS (Plattform-as-a-Service) allesamt zum Cloud-Computing gehören, eigenen sie sich für unterschiedliche Einsatzgebiete.

  • IaaS unterstützt Sie dabei, Ihre Infrastruktur mithilfe von Cloud-basierter Technologie aufzubauen.
  • PaaS hilft Ihren Entwicklern dabei, benutzerdefinierte Anwendungen zu erstellen und Sie über die Cloud bereitzustellen.
  • SaaS ist eine Cloud-basierte Software, die Sie für den täglichen Gebrauch kaufen und nutzen können. Deshalb ist sie auch als SaaS-Lösung bekannt.

Vorteile eines SaaS

Wenn Sie sich für eine SaaS-Lösung entscheiden, profitieren Sie von deren Vorzügen. Diese sind es, die eine solche Anwendung deutlich von der klassischen Softwareanwendung unterscheiden

  • Sie kommen ganz ohne Installation, aktualisieren und Updates aus. Das bedeutet, Ihre Anwender haben stets Zugriff auf die aktuelle Version, ohne dass Ihre IT-Abteilung tätig werden muss.
  • Dadurch, dass Sie Nutzerdaten in die Cloud auslagern, gehen Sie einen wichtigen Schritt in Richtung Mobilität. Schließlich ist die Anwendung nicht nur am Firmen-PC, sondern ebenso auf dem Tablet oder Smartphone zu nutzen.
  • Dank des immer besseren Breitband-Ausbaus profitieren Sie von einer hohen Verbindungsgeschwindigkeit. Diese Geschwindigkeit ermöglicht den Daten-Transfer beinahe in Echtzeit.
  • SaaS Anwendungen sind eine kostengünstige Lösung, da Sie den Service im Abo-Modell mieten. Neben den niedrigen monatlichen Kosten kommen Sie ganz ohne anfängliche Investition aus.

Anwendungsgebiete des SaaS

Der Bereich der SaaS-Lösung bietet Ihnen unzählige Möglichkeiten, die Sie sowohl privat als auch im beruflichen Alltag nutzen können. Für Ihr Business verwenden Sie beispielsweise moderne CRM-Systeme, Anwendungen für das Projektmanagement und die Finanzbuchhaltung. Privat können Sie von Cloud-basierten Office-Programmen bis hin zum Musikhören alles nutzen.

Darum ist ein Penetrationstest für SaaS-Lösungen wichtig

Sobald Sie SaaS Software einsetzen, betrachten Anwender Ihre sensiblen Daten direkt im Browser. Das kann zu kritischen Schwachstellen führen, was eine regelmäßige Überprüfung notwendig macht. Ein Pentest ist deshalb ein wichtiger Bestandteil Ihres IT-Sicherheitskonzeptes für die SaaS-Lösung.
Ein Penetrationstest deckt mögliche Sicherheitslücken im System auf und hilft Ihnen dabei, Ihre Unternehmensdaten sicher zu nutzen. Übrigens ist das Penetration Testing auch bei Open-Source-Cloud-Lösungen sinnvoll, nicht nur bei kommerziellen Varianten.
Betreiben Sie im Unternehmen Ihre eigene Cloud, dann gilt sie als privat und Sie können diese nach Belieben testen.
Dies ist der große Vorteil, den eine interne Lösung Ihnen bietet. Allerdings sind Sie in diesem Fall selbst für die Sicherheit verantwortlich. Das erfordert externe Hilfe, beispielsweise durch einen Experten, der sich auf Pentests für die SaaS-Lösung spezialisiert hat. Hilfreich dafür ist auch das Pen Testing mittels Künstlicher Intelligenz.

Die Unterschiede von SaaS, IaaS und PaaS beim Penetrationstest

Wenn Sie Ihre SaaS-Lösung per Penetrationstest prüfen möchten, müssen Sie vorsichtig sein. Der Grund dafür ist, dass Sie das System und die darunterliegende Server-Infrastruktur nicht Ihnen gehört. Sie besitzen lediglich die Software, die im Rahmen Ihrer Buchung enthalten ist.
Ein klassisches Beispiel für eine solche Lösung ist Office 365 von Microsoft. Führen Sie einen Penetrationstest gegen einen solchen Server aus, beeinflussen Sie damit nicht nur sich, sondern auch andere Abonnenten. Der Vorteil an einer solchen Lösung ist, dass Ihr Anbieter seinerseits für Sicherheit sorgt.
Anders verhält es sich, wenn Sie einen IaaS-Dienst buchen. In diesem Fall können Sie problemlos einzelne Objekte innerhalb Ihres Abonnements testen. Trotzdem ist es wichtig, dass Sie mit Ihrem Cloud-Provider Kontakt aufnehmen.
Bei PaaS-Lösungen sind viele Tests erlaubt, aber nicht alle. Welche im Rahmen Ihrer Möglichkeiten liegen, sollten Sie deshalb von Ihrem Anbieter erfragen. Der Grund dafür ist beispielsweise das Patchmanagement des Provider-Servers. Zusätzlich sind die Sicherheits-Richtlinien der Basis-Server ausschlaggebend dafür, welche Maßnahmen Sie in welchem Härtegrad durchführen dürfen.
Sie setzen eine komplette PaaS-Umgebung in Ihrem Unternehmen ein? In diesem Fall ist die Absicherung besonders wichtig. Ein regelmäßiger Penetrationstest hilft Ihnen dabei, Schwachstellen kontinuierlich aufzuspüren - ebenfalls wichtig ist es, die Server abzusichern.
Hinsichtlich der Sicherheit Ihrer Anwendungen haben Sie bei IaaS und PaaS also einen größeren Einfluss als bei einer SaaS-Lösung. Trotzdem: Kontaktieren Sie auf jeden Fall Ihren Provider, damit Sie nicht ungewollt gegen seine Richtlinien oder die geltenden AGB verstoßen.

Viele Provider bieten Penetration Testing für Ihre SaaS an

Clouddienste, insbesondere die SaaS-Lösung, sind mittlerweile eine etablierte Technologie. Das bedeutet, sie sind fest im beruflichen und privaten Alltag verankert. Ihre große Beliebtheit macht den regelmäßigen Vulnerability Scan unerlässlich. Schließlich müssen die IT-Verantwortlichen sicherstellen, dass sich die Systeme durchgängig am aktuellen Stand der Technik orientieren.
Möchten Sie eine SaaS-Lösung in ihrem Unternehmen einsetzen, lohnt es sich, regelmäßig einen Penetrationstest vorzunehmen. Dabei prüft ein unabhängiger Experte das System auf Schwachstellen und Sicherheitslücken. Ob es sich bei Ihrer Cloudumgebung um SaaS, IaaS oder PaaS handelt, ist hinsichtlich der Sicherheitsanforderungen irrelevant.
Der Penetrationstest beruht auf dem Konzept der geteilten Verantwortung. Das bedeutet für Sie, dass Sie ebenso abgesichert sind wie der Experte. Um das sicherzustellen, werden die Reichweite des Tests, die Haftungserklärung und der rechtliche Rahmen zu Beginn festgelegt und vertraglich festgehalten. Dieses Vorgehen dient dazu, gesetzliche Konflikte und ungewollte Zwischenfälle zu vermeiden.
Sobald Sie eine SaaS-Lösung buchen, sollten Sie wissen, welche Sicherheitstests durchgeführt wurden. Dazu gehört auch der Penetrationstest. Ein Experte hilft Ihnen selbst dann weiter, wenn Sie das Angebot Ihres Providers nicht auf Sicherheitslücken hin testen können.
Cloud-Anbieter beschäftigen fast immer interne Teams, um ihre Services regelmäßig per Pentest zu überprüfen.
Möchten Sie eigene Tests durchführen gilt: Setzen Sie sich unbedingt mit Ihrem Cloud-Anbieter in Verbindung. Einen solchen Test dürfen Sie nur dann durchführen, wenn Sie die Genehmigung dazu haben. Große Anbieter wie Amazon bieten Ihnen fast immer die Möglichkeit, den gewünschten Penetrationstest vorzunehmen.
Aber warum ist das eigentlich so wichtig? Weil ein Penetrationstest leicht als Angriff auf die SaaS-Lösung angesehen werden kann. Dadurch könnte er bei Ihrem Provider unerwünschte Gegenmaßnahmen auslösen.

Fazit

Der Penetrationstest ist für Ihre Cloud-Lösung ebenso wichtig wie für Ihre lokalen Anwendungen. Dabei ist es jedoch notwendig, dass Sie zwischen einer öffentlichen und einer privaten Cloud unterscheiden. Denn je nach Betriebsart müssen Sie beim penetration testing anders vorgehen. Ein solcher Unterschied ist beispielsweise, dass Sie mit externen Providern absprechen müssen, welche Art von Vulnerability Scan Sie wann durchführen.

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: