Die Anforderungen im Bereich "IT-Sicherheit" nehmen rasant zu, und mit Richtlinien wie NIS 2 und DORA stehen europäische Unternehmen aktuell vor der großen Herausforderung, umfangreichen Berichts- und Nachweispflichten schnell und effizient nachzukommen – keine einfache Aufgabe.
Sowohl die Digital-Operational-Resilience-Act- (DORA) als auch die Network-and-Information-Security-Richtlinien (NIS 2) erhöhen unter anderem die Anforderungen an die Einhaltung von Software-as-a-Service-Cybersicherheitsvorschriften (SaaS). Unternehmen sind damit für die Sicherheit ihrer Anwendungen, SaaS-Identitäten und Daten verantwortlich. Ziel der Vorschriften ist es, die digitale Resilienz zu stärken und die Sicherheit von digitalen Diensten, kritischen Infrastrukturen und Informationen zu verbessern. Doch das ist auch nötig: Die Bedrohungslage für SaaS-Anwendungen hat sich in den letzten Jahren verschärft. Kritische Daten sind zunehmend in die Cloud migriert, und Cyberkriminelle nutzen die neue Angriffsfläche skrupellos aus. Die Zahl der SaaS-bezogenen Sicherheitsvorfälle ist allein im vergangenen Jahr um 300 Prozent gestiegen.
Zudem kann die durchschnittliche Überprüfung einer einzelnen SaaS-Anwendung bis zu 28 Tage in Anspruch nehmen – eine Zeitspanne, die viele Unternehmen sich nicht leisten können. Das Risiko, durch eine Sicherheitslücke oder eine nicht konforme Anwendung Ziel eines Angriffs zu werden, wächst exponentiell und herkömmliche, manuelle Ansätze zur Einhaltung von Vorschriften sind nicht mehr ausreichend.
Regelungen wie NIS 2 und DORA sollten also eher als Anreiz gesehen werden, sich mit der Sicherheitsarchitektur zu beschäftigen und diese zu überarbeiten. Denn was nicht geschehen muss, wird gerne aufgeschoben. Tausende Unternehmen in der EU - von großen Energieversorgern bis hin zu digitalen Marktplätzen - müssen einen genauen Blick auf die Sicherheitsvorkehrungen in ihren Netzwerken werfen, bevor die Richtlinien im Oktober diesen Jahres (NIS 2) und im Januar 2025 (DORA) in Kraft treten. NIS 2 und DORA verlangen nicht nur die Einführung robuster Sicherheitsmaßnahmen, sondern auch die kontinuierliche Überwachung und Berichterstattung über Cybervorfälle. Unternehmen, die diesen Anforderungen nicht gerecht werden, drohen hohe Strafen – bei der NIS2-Richtlinie bis zu 10 Mio. Euro oder zwei Prozent des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist.
Automatisierung ist ein echter Gamechanger für die Compliance
Die Herausforderung, vor der viele Unternehmen bei der Einhaltung von DORA und NIS 2 stehen ist, dass sie oft Hunderte von Apps nutzen; und kritische SaaS, wie Salesforce, können Dutzende von einzelnen Instanzen umfassen. Um die Cybersicherheit zu gewährleisten und die Vorschriften einzuhalten, ist ein neuer, technischer Ansatz zu Compliance gefordert – eine zentrale Plattform, die in der Lage ist, die Konfiguration und Sicherheit aller SaaS-Anwendungen zu überwachen. So können Schwachstellen sofort erkannt und behoben werden.
Ein Anliegen der NIS-2- und DORA-Richtlinien ist Data Governance, die geregelte Verwaltung und Kontrolle von Datenflüssen innerhalb und zwischen Anwendungen. Data Governance ist gerade bei SaaS eine besondere Herausforderung. Allein die Sicherstellung der richtigen Berechtigungen, des Zugriffs und der Integration über bekannte Anwendungen hinweg ist kompliziert. Unternehmen müssen daher genau wissen, wo sich ihre Daten befinden, wer Zugriff darauf hat und wie diese verwendet werden. Nur so können diese auch geschützt werden.
Mithilfe von Tools wie dem automatisierten Mapping von Anwendungs- und Konfigurationsdaten können Unternehmen jede Anwendung im System identifizieren, ihre Konfigurationen aufzeichnen und bewerten, ob diese den Compliance-Vorgaben entsprechen. So lässt sich beispielsweise erkennen, ob Sicherheitsstandards wie Multi-Faktor-Authentifizierung (MFA) oder Verschlüsselung korrekt implementiert sind. In diesem Fall reduziert Automatisierung den Aufwand und das Risiko menschlicher Fehler, die bei manuellen Prüfungen entstehen könnten, erheblich.
Ein weiteres Problem ist das Phänomen des "Shadow SaaS" – also der Einsatz von SaaS-Anwendungen, die der IT-Abteilung nicht bekannt sind. Solche Anwendungen können Sicherheitslücken darstellen und das Risikoprofil der Unternehmen beeinträchtigen, da sie oft nicht die gleichen Sicherheitsstandards erfüllen wie offiziell genehmigte Anwendungen. Tatsächlich greifen mehr als die Hälfte der Shadow-SaaS-Anwendungen auf Hauptanwendungen zu, obwohl die Mehrheit dieser aktiven Apps mit der richtigen SaaS-Sicherheitslösung schnell entfernt werden kann. So wird die Angriffsfläche direkt drastisch reduziert.
Threat Detection und Response mit Automatisierung ermöglichen
Automatisierung kann auch eingesetzt werden, um untypisches oder verdächtiges Benutzerverhalten zu erkennen. Da ein Großteil der Cyberangriffe auf Benutzerkonten abzielt, ist die schnelle Entdeckung solcher Aktivitäten entscheidend. Durch Machine-Learning-Algorithmen (ML) können Unternehmen kontinuierlich das Verhalten von Benutzern analysieren und so Muster erkennen, die auf einen möglichen Missbrauch oder einen Angriff hinweisen. Wenn beispielsweise ein Benutzer zu ungewöhnlichen Zeiten auf sensible Daten zugreift oder von einem unbekannten Standort aus einloggt, kann das System dies als Abweichung identifizieren. Sobald ein solches anomales Verhalten erkannt wird, können automatisierte Systeme sofortige Maßnahmen ergreifen, wie zum Beispiel das Sperren des Kontos oder das Auslösen von Sicherheitsprotokollen.
Auf dieselbe Art können auch Malware, Phishing-Versuche oder andere Angriffe, mit automatisierten Systemen in Echtzeit identifiziert werden. So werden Bedrohungen innerhalb von Minuten neutralisiert, bevor sie größeren Schaden anrichten können, und Unternehmen stellen sicher, dass sie den strengen Anforderungen von NIS 2 und DORA hinsichtlich der Identitätssicherheit nachkommen.