Grundlagen der SaaS-Sicherheit

Enterprise SaaS-Kunden bewerten Anbieter typischerweise während der Beschaffung anhand einer Standard-Sicherheits-Checkliste. Erwartete Kernkontrollen: Single Sign-On (SSO) mit SAML 2.0-Unterstützung (ermöglicht Unternehmenskunden die Nutzung ihres bestehenden Identitätsanbieters für die SaaS-Authentifizierung); Multi-Faktor-Authentifizierung (MFA) für alle Benutzerkonten; Verschlüsselung im Ruhezustand (Datenbankverschlüsselung mit AES-256) und während der Übertragung (TLS 1.2+); rollenbasierte Zugriffskontrolle (RBAC) mit detaillierten Berechtigungen, damit Unternehmen den Zugriff jedes Benutzers innerhalb des Produkts einschränken können; Audit-Logs (unveränderliche Aufzeichnung aller Benutzeraktionen, zugänglich für den Administrator des Kunden zur Einhaltung von Vorschriften und zur Untersuchung); und Penetrationstests (jährliche oder häufigere Sicherheitsbewertungen durch Dritte mit Berichten, die unter NDA verfügbar sind). Die SOC 2 Typ II-Zertifizierung wird zunehmend zu einer Voraussetzung für den Enterprise-Vertrieb, da sie eine unabhängige Prüferbestätigung liefert, dass diese Kontrollen vorhanden und effektiv in Betrieb sind.

Die Priorität der Compliance hängt von den Zielkundensegmenten ab. SOC 2 Typ II (System and Organization Controls) ist die universelle SaaS-Grundlage – sie prüft die fünf Trust Service Criteria (Sicherheit, Verfügbarkeit, Verarbeitungs-Integrität, Vertraulichkeit, Datenschutz). Typ I (punktuelle Bestätigung der Kontrollen) ist einfacher zu erhalten; Typ II (Nachweis der operativen Wirksamkeit über 6+ Monate) ist das, was Unternehmenskunden bei der Beschaffung verlangen. ISO 27001 wird in europäischen Märkten und großen Unternehmen mit globalen Compliance-Programmen bevorzugt. HIPAA-Compliance ist für jedes Produkt erforderlich, das geschützte Gesundheitsinformationen (PHI) verarbeitet – relevant für SaaS-Unternehmen im Gesundheitswesen. GDPR-Compliance ist für die Verarbeitung personenbezogener Daten von EU-Bürgern erforderlich, unabhängig vom Unternehmensstandort. Product Ops ist für die Compliance-Roadmap verantwortlich und arbeitet mit Engineering, Legal und Sales zusammen, um Zertifizierungen basierend darauf zu priorisieren, welche Hindernisse die meisten verlorenen Geschäfte aufgrund von Sicherheitsüberprüfungen verursachen.

Sicherheitsrelevante Support-Interaktionen erfordern eine sorgfältigere Bearbeitung als Standard-Produkttickets. Ausfüllen von Sicherheitsfragebögen (üblich bei der Unternehmensbeschaffung): Product Ops sollte einen vorausgefüllten Sicherheitsfragebogen (oder ein dediziertes Trust Center mit öffentlicher Sicherheitsdokumentation unter trust.yourcompany.com) pflegen, der 80% der Standardfragen abdeckt, mit einem klaren Eskalationspfad zum Sicherheitsteam für individuelle Fragen. Schwachstellenberichte von Kunden oder Forschern: Jedes Unternehmen sollte eine veröffentlichte Richtlinie zur Offenlegung von Sicherheitslücken mit einem dedizierten Meldekanal (security@company.com) haben. Erhaltene Schwachstellenberichte müssen vom Sicherheitsteam innerhalb von 24 Stunden bewertet werden, nicht von Support-Mitarbeitern. Support-Mitarbeiter, die einen Schwachstellenbericht in einem Standard-Ticket erhalten, sollten diesen sofort über ein spezifisches Eskalationsmakro eskalieren – niemals den Kunden bitten, 'es zu reproduzieren' oder unterstützende Beweise in einem unverschlüsselten Kanal zu teilen.