Bewährte Praktiken für die Sicherheit von SaaS-Anwendungen
Die größte Sorge bei der Entscheidung für eine SaaS-Anwendung ist die Datensicherheit. Sind Ihre Daten sicher? Wer hat Zugang zu Ihren Daten? Was ist, wenn das Rechenzentrum von einer Naturkatastrophe oder einem Brand betroffen ist?
Der SaaS-Anbieter ist eine Organisation mit eigener Struktur und eigenen Prozessen, an die der Nutzer die Verarbeitung seiner Daten und damit die Datensicherheit auslagert. Dies stellt ein potenzielles Sicherheitsrisiko dar. Da die Überwachung der Sicherheit jedoch die Vollzeitaufgabe eines Cloud-Hosts ist, kann sie effizienter und besser erledigt werden als von einem Team, das mit allen IT-Belangen des gesamten Unternehmens beschäftigt ist und die Sicherheit nur einen kleinen Teil ausmacht. Außerdem muss auch das Risiko eines internen Datendiebstahls bedacht werden, das viel höher ist, als man denken würde.
Insgesamt kann die Verwendung einer SaaS-Anwendung sicherer sein als Software vor Ort, wenn Ihr IT-Team nicht über die entsprechenden Kapazitäten und Kenntnisse verfügt und wenn Sie einen SaaS-Anbieter mit der richtigen Datensicherheitspolitik und den entsprechenden Prozessen und Maßnahmen wählen.
Überprüfen Sie, ob der SaaS-Anbieter die folgenden Best Practices für die Sicherheit von SaaS-Anwendungen umgesetzt hat. Dabei können Sie zwischen der Sicherheit des Cloud-Hostings und der Sicherheit der Anwendung selbst, die auch mit dem Benutzer verbunden ist, unterscheiden.
Sicherheit von Cloud-Software
Hosting Standorte und Vorschriften
Vergewissern Sie sich, dass Sie wissen, wo Ihre Daten gespeichert sind und welche Vorschriften und Datenschutzmaßnahmen gelten. Ist er z.B. in der EU, hält sich der Anbieter an die DSGVO?
Die Mehrheit der Softwareanbieter und Unterauftragnehmer hat ihren Sitz entweder in der EU oder in den USA. Machen Sie sich in Bezug auf die Rechtsgrundlage für die Datenverarbeitung mit den europäischen und US-amerikanischen Datenvorschriften vertraut, um zu wissen, an welche Gesetze sich Ihr Anbieter halten soll.
Insgesamt geht es in Europa seit langem um die grundlegenden Menschenrechte auf Privatsphäre und Schutz, während in den USA der Umgang mit Daten und deren Schutz nicht nach dem gleichen Prinzip “Bürger zuerst” erfolgt. Die EU hat die DSGVO als übergreifende Gesetzgebung eingeführt, um dem Datenschutz eine klare Priorität einzuräumen. Die USA versuchen immer noch, eine Top-Down-Lösung für alle Bundesstaaten zu finden.
Lesen Sie hier mehr Details über den Unterschied zwischen dem US- und dem EU-Datenschutzansatz.
Datenverschlüsselung
Vergewissern Sie sich, dass der von Ihnen gewählte Cloud-Anbieter eine starke Verschlüsselung für Daten im Leerlauf, bei der Nutzung und bei der Übertragung verwendet. Es schützt die Daten davor, dass eine falsche Partei zu irgendeinem Zeitpunkt auf sie zugreifen kann.
Backups
Um zu gewährleisten, dass Daten nicht verloren gehen können, sollten kontinuierliche Backups und Backups an getrennten Orten erstellt werden. Im Falle eines Unfalls können die Daten dann schnell und einfach wiederhergestellt werden.
Audits
Stellen Sie sicher, dass der Anbieter regelmäßig überprüft wird. Eine dritte Partei validiert so die Einhaltung der Anforderungen und stellt sicher, dass die Sicherheitssysteme und -verfahren die Datensicherheit der Nutzer schützen.
Schutz der physischen Hardware
Der Anbieter sollte seine physische Hardware schützen, um es Hackern zu erschweren, Daten zu stehlen. Tier IV-Rechenzentren verfügen z.B. über Maßnahmen zum Schutz des physischen Systems, auf dem die Cloud läuft. Dazu gehören bewaffnete Sicherheitspatrouillen, biometrisch kontrollierte Zugangskontrollen und 24/7 CCTV-Überwachung.
Externe Firewall
Eine erstklassige externe Firewall ist in der Lage, den Dateityp, den Inhalt, die Quelle, das Ziel und die Integrität von Dateipaketen zu prüfen und sie dann zuzulassen oder abzulehnen. Sie möchten, dass der Cloud-Anbieter über eine starke externe Firewall verfügt, um Bedrohungen zu blockieren.
Interne Firewall
Es besteht nicht nur die Gefahr von Angriffen von außen, sondern auch von innen. Ein Cloud-Anbieter benötigt daher interne Firewalls, um den Zugriff auf kritische Daten zu beschränken, z.B. wenn ein Mitarbeiter-Nutzerkonto kompromittiert wird. Eine interne Firewall sollte Anwendungen und Datenbanken voneinander trennen und würde so den Schaden eines internen Angriffs begrenzen.
Compliance
Einige Cloud-Anbieter bieten alle notwendigen Infrastrukturen und Prozesse, um Zertifizierungen wie PCI-DSS, HIPAA/HITECH, FedRAMP, DSGVO, FIPS 140-2 und NIST 800-171 usw. zu erfüllen. Seien Sie sich über Ihre eigenen Anforderungen sicher und prüfen Sie dann, was der Cloud-Anbieter bietet.
Systeme zur Einbrucherkennung (IDS)
IDS-Ereignisprotokollierung ist eine Voraussetzung für Unternehmen, die Standards wie PCI oder HIPAA einhalten wollen. IDS verfolgen und registrieren Einbruchsversuche.
Sicherheit von SaaS-Anwendungen
Identitäts- und Zugriffsmanagement (IAM)
Es ist von entscheidender Bedeutung, dass nur den richtigen Nutzern Zugang zu Daten gewährt wird. Cloud-Identitäts- und Zugriffsverwaltungssysteme bieten eine einheitliche Zugriffskontrolle für alle Cloud-Dienste.
Prüfen Sie, ob der SaaS-Anbieter IAM anbietet, um Benutzeridentitäten und deren Zugriffsrechte zu initiieren, zu erfassen, aufzuzeichnen und zu verwalten. Es erleichtert die Einhaltung von Prozessen und sorgt für die Sicherheit Ihrer Daten.
Dabei unterstützen einige Anbieter die Integration mit Identitätsanbietern, die der Benutzer verwalten kann. Sie sollten auch einen Anbieter bevorzugen, der Ihnen die Möglichkeit der einmaligen Anmeldung bietet und mit der Multifaktor-Authentifizierung eine zusätzliche Sicherheitsebene hinzufügt.
Sicherheitsüberwachung
Beauftragen Sie jemanden mit der Überwachung der SaaS-Nutzung und prüfen Sie die vom SaaS-Anbieter bereitgestellten Daten und Protokolle. IT- und Sicherheitsverantwortliche müssen SaaS-Angebote wie jede andere Unternehmensanwendung behandeln.
Sie können SaaS Security Posture Management (SSPM) einsetzen, das die angegebenen Sicherheitsrichtlinien mit dem tatsächlichen Sicherheitsstatus vergleicht und Sie so Sicherheitsrisiken aufspüren und beheben lässt.
OpenProject - sichere Projektmanagement-Software in der Cloud
Für OpenProject sind Datenschutz und Informationssicherheit von zentraler Bedeutung und eines der Hauptmotive für die Entwicklung dieser open source Software.
DSGVO-Konformität
Wir kümmern uns um den Datenschutz und die Geheimhaltung Ihrer Daten sowie um die Sicherheit unserer Infrastruktur. Als europäisches Unternehmen mit Sitz in Berlin hält sich OpenProject strikt an die europäischen und nationalen Datenschutzbestimmungen. Wir verarbeiten Ihre Daten streng vertraulich und nur für den Zweck, über den wir Sie bei der Erfassung der Daten informiert haben.
Sicherer Hosting-Standort
Die OpenProject Enterprise Cloud Edition wird in der EU und auf Anfrage in Deutschland gehostet.
Technische und organisatorische Sicherheitsmaßnahmen
Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre personenbezogenen Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen.
Zusätzliche Sicherheitsfunktionen
Zusätzliche Sicherheitsfunktionen machen OpenProject zur Cloud-Projektmanagement-Software der Wahl. OpenProject bietet eine Zwei-Faktor-Authentifizierung. Diese dient dazu, zu verhindern, dass jemand auf Ihr Konto zugreift oder es benutzt, selbst wenn er Ihr Passwort kennt. Bei der LDAP-Synchronisierung gleicht ein Mitarbeiter die Benutzer mit dem LDAP der Organisation ab. Das bedeutet, dass der Benutzer sich nicht mehr bei OpenProject anmelden kann, wenn er sich nicht mehr im System befindet. Bei einer Gruppensynchronisation wird der Prozess stündlich ausgeführt, um die Gruppenmitgliedschaften basierend auf den LDAP-Gruppenmitgliedern automatisch zu aktualisieren.
Datenbackups
Für zusätzliche Sicherheit sorgen auch die regelmäßigen und sicheren Backups von OpenProject, damit Sie keine Daten verlieren. Datenbank: Es werden automatische Backups durchgeführt, die 30 Tage lang aufbewahrt werden, um innerhalb dieses Zeitraums eine punktgenaue Datenwiederherstellung zu ermöglichen. Sowohl Snapshots als auch Transaktionsprotokolle werden sicher in S3 gespeichert. Anhänge: Anhänge werden ebenfalls sicher in S3 gespeichert. Der S3-Speicher ist verschlüsselt und wird über mehrere Verfügbarkeitszonen innerhalb derselben Region repliziert.
Open-Source
Ein erheblicher Vorteil der OpenProject-Applikation als Open Source Software ist die große Freiheit, welche die Open Source Lizenz den Nutzern und Entwicklern einräumt. Eine Open-Source-Software kann eine höhere Sicherheit bieten, da der Code verfügbar ist und von der Community überprüft werden kann, um mögliche Sicherheitslücken schnell zu identifizieren und zu beheben.
Das ist nicht alles, was OpenProject tut, um die Daten der Nutzer seiner Cloud-Projektmanagement-Software zu schützen. Lesen Sie mehr darüber, wie OpenProject sich um die Daten der Nutzer:innen kümmert und wie wir Datenschutz und Sicherheit priorisieren.
