Konflikt zwischen SaaS-Standards und proprietärer IT
Allerdings bergen SecS-Anwendungen (siehe Marktübersicht Security-as-a-Service-Anbieter zum Download) für kleine Betriebe und Mittelständler als Konsumenten nicht nur Vorteile, sondern auch Risiken. SaaS ist stark standardisiert und kann daher mitunter nur eingeschränkt in eine proprietäre Unternehmens-IT eingefügt werden. Konkret zeichnet sich dies in der fehlenden Kompatibilität mit individuellen IT-Lösungen im Unternehmen ab. Für SecS-Anwendungen ergibt sich daraus die Gefahr, dass die eingeschränkte Kompatibilität mit bestehenden, traditionellen Anwendungen nur eine ungenügende Erfüllung der benötigten Sicherheitsanforderungen gewährleisten kann.
Kompromittierte Anwenderdaten hebeln SecS-Schutz aus
Im Gegensatz zu traditionellen IT-Lösungen werden die Anwendungsdaten wie zum Beispiel Log-Dateien und Konfigurationseinstellungen beim Bezug von SaaS nicht im Unternehmen verwaltet. Deren Management und Speicherung übernimmt der SaaS-Anbieter, woraus sich speziell im Rahmen von SecS erhebliche Gefährdungen ergeben können. Dabei können Angreifern durch eine Offenlegung von Zugangs- sowie Anwendungsdaten wie zum Beispiel die Konfigurationseinstellung einer Web-Application- Firewall besonders kritische Informationen zugänglich werden. Dies würde im Extremfall ein komplettes Aushebeln des durch SecS bezogenen Schutzes bedeuten und damit schwerwiegende Konsequenzen für betroffene Unternehmen zur Folge haben.
Sicherheitsverlust bei Netzausfall oder -schwankungen
Foto: T-Systems
Ein weiteres Risiko verbirgt sich in der Verfügbarkeit und Performance von SaaS. Die Verfügbarkeit einer Anwendung hängt auch von der Internet-Anbindung, das heißt dem TK-Netzbetreiber, ab. Auf dessen Zuverlässigkeit hat der SaaS-Anbieter keinen Einfluss. Besonders im Rahmen von SecS kann eine unsichere Verfügbarkeit des Sicherheitssystems für den Konsumenten fatal sein, da Sicherheitsfunktionen für das Unternehmen dann nicht mehr bereitgestellt und genutzt werden können. Neben einem Totalausfall der Netzinfrastruktur des TK-Providers wirken sich auch Schwankungen negativ auf die verfügbare Performance von SaaS-Anwendungen und damit auch von SecS aus. Dabei besteht das Risiko, dass die verfügbare Leitung einer SecS-Applikation nicht ausreicht, um einer aufgetretenen Bedrohung entgegenzuwirken.
Single-Point-Attacken sorgen für indirekte Bedrohung
Ein weiteres Risiko ergibt sich aus Single-Point-Attacken, denen SaaS-Anbieter ausgesetzt sind. Ein erfolgreicher Angriff auf einen Anbieter wirkt sich zwangsläufig auf dessen Kunden aus und bedroht unmittelbar sein Kerngeschäft. Aus diesem Grund ist der Anreiz für einen potenziellen Angreifer groß. Aus Konsumentensicht hat dieses Risiko zwei Facetten: Zum einen sehen sie sich indirekt mit einer höheren Anzahl an Angriffen konfrontiert, zum anderen können bestimmte Angriffe wie zum Beispiel Denial-of-Service-Attacken auf den Anbieter den Ausfall einer SaaS-Anwendung bewirken. In Bezug auf SecS führt dies im ersteren Fall zur Offenlegung sensitiver Daten, deren Konsequenzen bereits erwähnt wurden. Im letzteren Fall ergeben sich aus Konsumentensicht dieselben Konsequenzen wie beim Ausfall des Netzbetreibers.