Warum SaaS-Plattformen so verwundbar sind

Drittanbieter-Integration ist das Rückgrat moderner Software-Ökosysteme. Umso erstaunlicher, warum es immer wieder zu schweren Datenpannen durch Cyberangriffe kommt. Was Shane Barney, CISO von Keeper Security, feststellt: Viele seiner Kollegen und Kolleginnen kennen den Unterschied zwischen Authentifizierung und Autorisierung nicht.

Shane Barney, CISO von Keeper Security, macht auf die Notwenigkeit verhaltensbasierter IT-Securit aufmerksam. Kommt es zu ungewöhnlichen Datenzugriffsmustern oder auffälliger Abfragevolumina könnte ein großflächiger Datenabfluss vermieden werden. (Foto: Keeper Security)

Angriffe auf die Software-Lieferketten (Software Supply Chain Attack) sind besonders heimtückisch: Die Zielunternehmen werden nicht direkt angegriffen, sondern ein vertrauenswürdiger Dienstleister oder eine Software-Komponente, die das Unternehmen nutzt. Spektakulär war der Hackerangriff auf die RMM-Plattform von Solarwinds vor sechs Jahren. Rund 18.000 Kunden hatten über ein Update der Netzwerkmanagement-Software Orion den mutmaßlich von russischen Hacken eingeschleusten Schadcode heruntergeladen, darunter einige US-Regierungsbehörden. Monate lang hatten Angreifer Zugriff auf E-Mails und vertrauliche Daten.

2021 der Software-Lieferketten-Angriff auf Kaseya. In Schweden und anderen Ländern waren Kassensysteme einiger Einzelhandelsketten ausgefallen. In der Folge kam es immer wieder zu solchen Angriffen auf Software-Lieferketten. Zuletzt war die Luxus-Einzelhandelskette Neiman Marcus Group (NMG) von einem großen Hackerangriff betroffen, die 2024 den Diebstahl von mehr als 60.000 Kundendaten meldete. Das Unternehmen hatte eingeräumt, dass ein Unbefugter Zugang zu einer von NMG genutzten Cloud-Datenbankplattform erlangt habe, die von einer dritten Partei, Snowflake, bereitgestellt wurde.

Drittanbieter-Integration ist seit Jahren Standard, bildet das Rückgrat moderner Software-Ökosysteme. Immer wieder aber passieren spektakuläre Datenpannen, es kommt zu Kompromittierungen und/oder Datendiebstahl im großen Umfang. Shane Barney, CISO von Keeper Security, beschreibt in seinem Gastkommentar ein grundlegendes, immer noch viel zu wenig beachtetes Problem.

Drittanbieter-Integrationen stellen ein zunehmendes Risiko dar

Die gemeldeten Vorfälle, von denen Snowflake-Kunden betroffen sind, veranschaulichen ein wiederkehrendes Muster in der modernen Cloud-Sicherheit: die Ausnutzung vertrauenswürdiger Integrationen und authentifizierter Zugriffe anstatt von Schwachstellen in der Kerninfrastruktur. Nach bisher öffentlich verfügbaren Informationen scheint die Aktivität im Snowflake-Fall mit der Kompromittierung eines Drittanbieters, einem SaaS-Integrator, zusammenzuhängen. Dabei wurden Authentifizierungs-Tokens gestohlen und anschließend verwendet, um auf nachgelagerte Kundenumgebungen zuzugreifen.

Schadensradius ist meist erheblich vergrößert

In SaaS-Ökosystemen bilden Identitäten und die damit verbundenen Artefakte, wie beispielsweise Zugangsdaten, Sitzungstokens und API-Schlüssel, die primäre Sicherheitsgrenze. Werden diese Elemente kompromittiert, agieren Angreifer innerhalb gültiger Sitzungen und übernehmen häufig die Berechtigungen, die der Integration selbst gewährt wurden. Drittanbieter-Integrationen stellen ein zunehmendes Risiko dar. Ihnen wird häufig ein dauerhafter, hochvertrauenswürdiger Zugriff gewährt, um die Automatisierung zu unterstützen und den Datenaustausch zu ermöglichen. Genau dieser Zugriff kann jedoch den Schadensradius erheblich vergrößern, wenn er kompromittiert wird. Ohne strenge Kontrollen kann ein einzelner Ausfallpunkt in der Lieferkette eine Kettenreaktion über mehrere Systeme und Organisationen hinweg auslösen.

Fokus liegt auf Login-Berechtigung eines Nutzers, nicht auf seinem Verhalten

Eine der wichtigsten Unterscheidungen bei solchen Vorfällen ist der Unterschied zwischen Authentifizierung und Autorisierung. Die Authentifizierung bestätigt, dass ein Benutzer oder System tatsächlich der ist, der er vorgibt zu sein, während die Autorisierung festlegt, worauf diese Identität zugreifen darf. In diesem Fall deutet die Verwendung gültiger, gestohlener Tokens darauf hin, dass die Authentifizierungskontrollen nicht umgangen wurden, sondern dass die der Integration gewährten Berechtigungen ausreichten, um Datenabflüsse zu ermöglichen. Das verdeutlicht eine häufige Schwachstelle in SaaS-Umgebungen: Organisationen legen großen Wert auf die Sicherheit beim Login, schenken jedoch dem Verhalten nach der Anmeldung deutlich weniger Aufmerksamkeit.

Überwachung von Aktivitäten nach der Authentifizierung

Unternehmen müssen nicht-menschliche Identitäten und Integrationen mit demselben Maß an Governance behandeln wie privilegierte Benutzer. Dazu gehört die Durchsetzung von Minimalrechten (Least Privilege), die Minimierung der Token-Lebensdauer, die kontinuierliche Rotation von Zugangsdaten sowie Transparenz darüber, wie Integrationen mit sensiblen Daten interagieren.

Ebenso wichtig ist die Überwachung von Aktivitäten nach der Authentifizierung. Das Erkennen ungewöhnlichen Verhaltens innerhalb gültiger Sitzungen – etwa ungewöhnlicher Datenzugriffsmuster oder auffälliger Abfragevolumina – ist entscheidend, um diese Art von Bedrohung frühzeitig zu identifizieren und einzudämmen, bevor es zu einem großflächigen Datenabfluss kommt.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden