Bannerbild

"Dafür gibt´s doch eine App" – aber wie sicher ist die überhaupt?

"Dafür gibt´s doch eine App" – aber wie sicher ist die überhaupt?

Für so ziemlich jedes Bedürfnis gibt es heute ein "Software as a Service"-Angebot. Doch wer sind eigentlich die Anbieter dahinter? Wo kommen sie her und wie stehen sie zur DSGVO? Sind sie vertrauenswürdig und sicher? Mit einem Cloud Risk Assessment lassen sich diese Fragen beantworten.

Webanwendungen und „Apps“ gibt es für jeden denkbaren und undenkbaren Fall. Besonders nützliche wie Google Docs oder Doodle, besonders angenehme wie Spotify, Netflix oder Uber und alles, was man sich vorstellen kann. Auch aus dem täglichen Arbeiten sind viele SaaS-Angebote (und das meinen wir ja eigentlich mit „App“) nicht mehr wegzudenken.

Ohne über den allgegenwärtigen SaaS-Trend zu schwadronieren; Fakt ist, dass sogar Gartner in seinen Bewertungen Minuspunkte vergibt, wenn z. B. eine Security-Lösung ihre Verwaltungsinstanz nicht in Form von SaaS anbietet.

Apps im Unternehmen

Als „App“ bezeichnen wir hier also einen Dienst / eine Webanwendung mit persönlicher Anmeldung, die den Usern hilft oder ermöglicht, eine Aufgabe zu bewältigen. Also eine Anwendung mit Login. Alle anderen lassen wir zunächst außen vor.
Schauen wir auf die prominenten Vertreter, die es quasi in jedem Unternehmen gibt, lassen sich diese Angebote recht einfach in mehreren Dimensionen kategorisieren, wie zum Beispiel:
Nach Verbreitung:

  • Apps für das gesamte Unternehmen (Microsoft 365),
  • Tools für Fachbereiche (Salesforce, Gitlab, …) oder
  • für einzelne Teams (Figma, Facebook Business Manager, Avrios, …)

Nach Anwendungsfall (Bezug zu Fachbereich/Abteilung):

  • Kollaboration und CRM
  • Design und Entwicklung
  • Social Media Management
  • Fuhrparkverwaltung

Aus Sicht des Risikomanagements und der IT-Sicherheit sind aber andere Dimensionen relevant für eine Bewertung:

  • Datenschutz: Wem gehören die (hochgeladenen) Daten, bleiben diese im Europäischen Wirtschaftsraum (EWR), welche Compliance-Anforderungen erfüllt der Anbieter?
  • Sicherheit: Wie werden Zugänge und Accounts geschützt, werden Daten verschlüsselt gespeichert und übertragen und gibt oder gab es Sicherheitsvorfälle?

Und ganz zentral die Frage: welche Apps werden überhaupt genutzt?
Hier wird es garantiert Überraschungen geben, denn nicht nur User nutzen Apps (hallo, Shadow IT!), sondern auch Apps nutzen Apps (Integration von Anwendungsteilen, Nutzungsanalyse, etc.).

Licht ins Dunkel

Um dies zu beantworten, greifen wir in die Werkzeugkiste. Im ersten Schritt finden wir heraus, welche Apps genutzt werden und im zweiten Schritt lassen wir diese dann bewerten. So bekommen wir ein Bild davon, wer welche SaaS-Tools in welcher Ausprägung nutzt und können ableiten, ob das so passt oder ein zu hohes Risiko mit der Nutzung einhergeht. Seien Sie auf AHA-Momente gefasst.

Um zu erkennen, welche Cloud-Apps genutzt werden, holen wir uns die entsprechenden Daten aus dem Netzwerk, also beispielsweise von Firewalls, Web-Gateways, Netzwerkverwaltung & Co. Dazu platzieren wir einen Log-Collector im Netz und lassen diesen mit Daten füttern.

Auf dem Log-Collector werden die Rohdaten gefiltert, vereinheitlicht und dann an die Auswertungsinstanz übergeben. In unserem Fall nutzen wir dafür netskope. Kern der Auswertung ist eine reichhaltige Datenbank mit Wissen zu über 40.000 Cloud-Apps und deren Anbieter.

Werfen wir zunächst einen Blick auf die Dashboards:

Schon auf den ersten Blick sind hier spannende Erkenntnisse zu gewinnen: Nur ca. 13,5 % der aufgespürten Apps sind als „sanctioned“ („genehmigt“, somit als Unternehmensanwendung freigegeben) markiert, die restlichen könnten als „Shadow IT“ bezeichnet werden. Was im gleichen Atemzug positiv auffällt ist, dass aber über 99,3 % des Datenverkehrs durch genehmigte Anwendungen lief. Die Tortengrafik unter der Überschrift „# of Cloud Applications by CCL“ gibt einen Überblick, wie sicher die genutzten Apps sind. CCL steht hier für „Cloud Confidence Level“ und bezeichnet Bewertung durch netskope.

In einer weiteren Übersicht verschaffen wir uns ein Bild davon, welchem Zweck die entdeckten Apps dienen und wie sie sich auf die Sicherheits-Level verteilen.
Dass beim Volumen die Kategorie „Cloud Storage“ ganz vorn dabei ist, wundert zumindest unsere Backup-Admins nicht. Mit 104 Apps liegt die Kategorie „Marketing“ bei der Anzahl ganz vorn. Dies mag daran liegen, dass die meisten Tracking-, Analyse- und Werbe-Dienste in diese Kategorie fallen. Diese werden in aller Regel nicht von Benutzern direkt aufgerufen, sondern von Websites oder anderen Apps. (Ob sich mit der Liste dieser Domains wohl ein schöner Tracking-Schutz umsetzen ließe?)

Bewertung der Apps: Cloud Confidence Index

Die zuvor angesprochene App-Datenbank gibt zahlreiche Informationen zu den Anwendungen und deren Anbietern preis und fasst die Bewertung in einer Zahl, dem Cloud Confidence Index (CCI), zusammen. Damit ist auf einen Blick ersichtlich, für wie sicher oder gefährlich netskope eine App hält – und das transparent mit allen Details.
 

Werfen wir exemplarisch einen Blick auf „Slack“: Zu sehen sind eine Beschreibung des Dienstes, deren Domains, die Bewertung der „GDPR Readiness“, vergleichbare Apps, Lizenzkosten und beispielsweise Details zum Datenschutz und zur Compliance. Außerdem wird direkt eingeblendet, ob und wie exzessiv die App im eigenen Traffic auftaucht:

Ein Stück tiefer

Bei den groben Übersichten endet die Reise aber nicht. Mit Hilfe der Advanced Analytics lassen sich gezielt dunkle, aber spannende Ecken ausleuchten. Wie steht es beispielsweise um die Nutzung von Webmailern, Dropbox & Co. oder anderen Tools, die mit der Kompromittierung von Unternehmensnetzen in Zusammenhang standen? Auch dafür lassen sich recht einfach Dashboards bauen (oder die vorgefertigten nutzen), um alle erfassten Daten in Zusammenhang zu setzen.

Fazit

Eine der Weisheiten in der IT-Sicherheit lautet: „Was wir nicht kennen, können wir nicht schützen“. Mit einem einfachen Cloud Risk Assessment lässt sich Visibilität in die Schatten-IT bringen und aufzeigen, welche Risiken sich daraus ergeben. Damit versetzen wir Sie in die Lage, aktiv zu werden und den Schutz von Daten in der Cloud nachhaltig zu verbessern.

< Zurück zur Übersicht
fernao.com | Insights | Blog | "Dafür gibt´s doch eine App" – aber wie sicher ist die überhaupt?