SaaS-Sicherheitsbedenken: JPMorgan fordert neue Ansätze

NEW YORK / MÜNCHEN (IT BOLTWISE) – Die Sicherheitsgemeinschaft ist in Aufruhr, seit JPMorgan Chase CISO Pat Opet in einem offenen Brief an Drittanbieter seine Bedenken zur Sicherheit von SaaS-Modellen geäußert hat. Diese ehrliche Einschätzung eines führenden Sicherheitsverantwortlichen einer der größten Finanzinstitutionen der Welt hat besonders durch seine Beobachtungen zur SaaS-Sicherheit Aufmerksamkeit erregt.

Pat Opet, der CISO von JPMorgan Chase, hat in einem offenen Brief an Drittanbieter seine Besorgnis über die Sicherheitsherausforderungen von SaaS-Modellen zum Ausdruck gebracht. Diese Modelle verändern grundlegend, wie Unternehmen Dienste und Daten integrieren, was zu einer Erosion traditioneller Sicherheitsgrenzen führt. Die Aussage von Opet spiegelt eine Realität wider, mit der sich Sicherheitsprofis zunehmend auseinandersetzen müssen: Die traditionelle Sicherheitsperipherie hat sich aufgelöst und wurde durch ein komplexes Netz von miteinander verbundenen SaaS-Anwendungen ersetzt, die jeweils über eigene Konfigurationen, Zugriffskontrollen und Datenfreigabemöglichkeiten verfügen.

Ein zentrales Problem, das Opet hervorhebt, sind die Schwachstellen von OAuth. Während bei der Sicherung des menschlichen Zugriffs auf Anwendungen durch Multi-Faktor-Authentifizierung erhebliche Fortschritte erzielt wurden, bleiben App-zu-App-Verbindungen ein blinder Fleck. OAuth-Token, der primäre Mechanismus für die Verbindung von SaaS-Anwendungen, fehlt das Äquivalent zu einer Zwei-Faktor-Authentifizierung. Ein kompromittiertes Token ermöglicht es Angreifern oft, sich lateral durch das SaaS-Ökosystem zu bewegen, ohne traditionelle Sicherheitskontrollen auszulösen.

Ein weiteres Beispiel für die Risiken von OAuth-Verbindungen sind beliebte Gmail-Add-ons wie Boomerang, die vollen Zugriff auf E-Mails, Kalender und Kontakte erfordern. Diese breite OAuth-Reichweite mag bequem sein, stellt jedoch ein attraktives Ziel für Angreifer dar. Die Interkonnektivität von Systemen kann zu einem Welleneffekt führen, wie der katastrophale Ausfall von CrowdStrike im Juli 2024 gezeigt hat. Ein fehlerhaftes Update eines einzigen Sicherheitsprodukts führte weltweit zu Störungen in verschiedenen Branchen.

Opet betont auch die Risiken, die durch die sogenannte vierte Partei entstehen, also die Anbieter der Anbieter. Wenn Ihr SaaS-Anbieter zur Bereitstellung von Funktionen mit einem anderen Dienst integriert, können Ihre Daten ohne Ihr Wissen oder Ihre ausdrückliche Zustimmung an diese vierte Partei weitergeleitet werden. Diese versteckten Datenflüsse schaffen das Phänomen der “Datenverbreitung”, bei dem Daten über die Kontrolle der Sicherheit hinausreisen.

Besonders besorgniserregend ist der Trend, dass Softwareanbieter privilegierten Zugriff auf Kundensysteme ohne ausdrückliche Zustimmung oder Transparenz erhalten. Dies wurde im letzten Dezember deutlich, als das US-Finanzministerium entdeckte, dass ein BeyondTrust-Admin-Konto von chinesischen staatlich unterstützten Bedrohungsakteuren kompromittiert worden war. Viele Organisationen sind sich des privilegierten Zugriffs, den ihre SaaS-Anbieter auf ihre Umgebungen haben, nicht bewusst.

Die rasante Entwicklung der generativen KI bringt eine weitere Komplexitätsebene in die SaaS-Sicherheit. Diese Agenten erfordern oft weitreichenden Zugriff, was neue Angriffsflächen und Risiken der Datenexposition schafft. Ein Beispiel ist ein KI-Companion von Zoom, der alle Ihre Anrufe transkribiert und dabei potenziell vertrauliche Geschäftsinformationen aufzeichnet.

Opet fordert eine neue Sicherheitsparadigma, um die Herausforderungen der neuen, von SaaS getriebenen Landschaft zu bewältigen. Er ruft die Anbieter dazu auf, “sicher per Design”-Konzepte über die schnelle Markteinführung neuer Funktionen zu stellen. Die dynamische SaaS-Sicherheit, wie sie von Reco angeboten wird, könnte hier eine Lösung bieten, indem sie OAuth-Token identifiziert, SaaS-Verbindungen kartiert und verdächtige Identitätsaktivitäten überwacht.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!