SaaS-Sicherheitslücken: Warum Fehlkonfigurationen keine Schwachstellen sind

LONDON (IT BOLTWISE) – In der Welt der SaaS-Sicherheit herrscht oft Verwirrung zwischen den Begriffen ‘Fehlkonfiguration’ und ‘Schwachstelle’. Diese Begriffe werden häufig synonym verwendet, obwohl sie unterschiedliche Bedeutungen haben. Diese Verwechslung kann zu erheblichen Sicherheitsrisiken führen, die oft unbemerkt bleiben.

In der Diskussion um die Sicherheit von SaaS-Diensten wird häufig der Begriff ‘Fehlkonfiguration’ mit ‘Schwachstelle’ gleichgesetzt. Doch diese beiden Begriffe beschreiben unterschiedliche Aspekte der IT-Sicherheit. Während Schwachstellen Fehler im Code der SaaS-Plattform selbst sind, die nur vom Anbieter behoben werden können, beziehen sich Fehlkonfigurationen auf die Art und Weise, wie Nutzer die Plattform einrichten. Diese Unterscheidung ist entscheidend, da sie die Verantwortung zwischen Anbieter und Kunde im Rahmen des Shared-Responsibility-Modells klar trennt.

Das Shared-Responsibility-Modell ist ein grundlegendes Konzept in der Cloud-Sicherheit. SaaS-Anbieter sind für die Sicherheit der Infrastruktur und die Bereitstellung von Plattform-Schutzmaßnahmen verantwortlich. Kunden hingegen müssen sicherstellen, dass sie die Anwendung korrekt konfigurieren, den Zugriff verwalten und die Datenfreigabe kontrollieren. Diese Aufgaben sind nicht optional, sondern bilden die Grundlage für eine sichere Nutzung von SaaS-Diensten.

Eine Studie zeigt, dass 53 % der Unternehmen ihre SaaS-Sicherheitszuversicht auf das Vertrauen in den Anbieter stützen. Diese Annahme kann jedoch gefährlich sein, da die meisten sicherheitsrelevanten Einstellungen vom Kunden kontrolliert werden. Tatsächlich entstehen viele Sicherheitsvorfälle nicht durch komplexe Angriffe, sondern durch unbemerkte Konfigurations- oder Richtlinienprobleme. Laut dem State of SaaS Security 2025 Report sind 41 % der Vorfälle auf Berechtigungsprobleme und 29 % auf Fehlkonfigurationen zurückzuführen.

Die Herausforderung besteht darin, dass diese Risiken in traditionellen Erkennungstools nicht auftauchen, da sie nicht durch Benutzerverhalten ausgelöst werden. Sie sind in der Art und Weise, wie das System eingerichtet ist, verankert. Um diese Risiken zu erkennen, müssen Konfigurationen, Berechtigungen und Integrationseinstellungen direkt analysiert werden, anstatt sich auf Protokolle oder Warnungen zu verlassen.

Ein typischer Angriffspfad in einer SaaS-Umgebung beginnt mit Zugriffsversuchen und endet mit der Datenexfiltration. Jeder Schritt kann entweder durch präventive Maßnahmen blockiert oder durch Anomalie- und ereignisgesteuerte Warnungen erkannt werden. Doch nicht jedes Risiko hinterlässt Spuren in Protokolldateien. Einige können nur durch eine Härtung der Umgebung vor dem Angriff adressiert werden.

Ein Beispiel für die Bedeutung von Fehlkonfigurationen ist die Untersuchung der OmniStudio-Plattform von Salesforce. Diese Plattform, die für Low-Code-Anpassungen in regulierten Branchen wie dem Gesundheitswesen und Finanzdienstleistungen entwickelt wurde, wies kritische Fehlkonfigurationen auf, die von traditionellen Überwachungstools nicht erkannt wurden. Dazu gehörten Berechtigungsmodelle, die sensible Daten standardmäßig freigaben, und Low-Code-Komponenten, die breiteren Zugriff als beabsichtigt ermöglichten.

Um eine sichere SaaS-Umgebung zu schaffen, ist es entscheidend, die Konfigurationen zu sichern, den Zugriff zu verwalten und die Sichtbarkeit zu erhöhen. Die beste Zeit, um SaaS-Risiken zu adressieren, ist, bevor sie zu einem Problem werden. Unternehmen sollten sich auf die Prävention von Bedingungen konzentrieren, die zu Sicherheitsverletzungen führen können, anstatt nur auf Vorfälle zu reagieren.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!