Der Anbieter ist jetzt die Angriffsfläche
Seit einem Jahrzehnt konzentrieren sich die Sicherheitsteams von Unternehmen auf den Perimeterschutz: das Netzwerk sichern, die Endpunkte schützen, den Zugriff auf interne Systeme kontrollieren. Das Bedrohungsmodell ging davon aus, dass Angreifer versuchen würden, direkt in die Organisation einzudringen.
Die Daten zu SaaS-Verletzungen im Jahr 2024 zeigen, dass dieses Modell veraltet ist. SaaS-Verletzungen stiegen 300 % im Jahr 2024, laut dem SaaS-Sicherheitsbedrohungsbericht 2025 von Obsidian Security. Angreifer zielen nicht mehr direkt auf Organisationen ab – sie zielen auf die SaaS-Anbieter, denen diese Organisationen ihre Daten anvertrauen.
Wenn Ihr Anbieter die Angriffsfläche ist, ist es irrelevant, dass Ihr eigenes Netzwerk sicher ist. Die Kundendaten, Mitarbeiterunterlagen und sensiblen Geschäftsinformationen, die Sie über diesen Anbieter verarbeitet haben, befinden sich auf deren Infrastruktur, sind mit deren Schlüsseln zugänglich und werden offengelegt, wenn deren Systeme kompromittiert werden.
Die Zahlen der SaaS-Verletzungen 2024
Das Ausmaß der SaaS-Verletzungen 2024 verdeutlicht die Exposition:
Conduent erlebte eine Verletzung, die 25,9 Millionen Datensätze offengelegt hat. Conduent bietet Dienstleistungen im Bereich Business Process Outsourcing für Regierungsbehörden und große Unternehmen an – einschließlich der Verwaltung von Sozialleistungen, Zahlungsabwicklung und Bürgerdienstportalen. Die 25,9 Millionen Datensätze beinhalteten Personen, die mit Regierungsdiensten interagierten und keine Kenntnis davon hatten, dass ihre Informationen von einem Drittanbieter gehalten wurden.
NHS Digital erlebte eine Verletzung, die 9 Millionen Patienten betraf. Die Verletzung bei NHS legte Patientendaten offen, die über die Infrastruktur eines SaaS-Anbieters verarbeitet wurden – klinische Informationen, die Patienten ihren Gesundheitsdienstleistern bereitgestellt hatten und von denen sie keinen Grund hatten zu glauben, dass sie an eine Drittanbieter-Plattform übertragen wurden.
Dies sind keine Ausreißer. Sie repräsentieren die neue Normalität für Datenexposition: großangelegte Verletzungen, die Millionen von Personen betreffen, die Daten an Organisationen weitergegeben haben, denen sie vertrauten, die diese an Anbieter weitergaben, von deren Existenz diese Personen nie wussten.
Warum SaaS-Verletzungen strukturell anders sind
Traditionelle Netzwerkverletzungen erfordern, dass Angreifer in den Perimeter einer Organisation eindringen, interne Systeme navigieren und Daten exfiltrieren – ein mehrstufiger Prozess mit mehreren Erkennungsmöglichkeiten.
SaaS-Verletzungen funktionieren anders. Angreifer, die einen SaaS-Anbieter kompromittieren, erhalten Zugriff auf die Daten jedes Kunden, der Informationen über diesen Anbieter verarbeitet hat. Ein einzelner Kompromiss liefert die Kundenunterlagen von Dutzenden oder Hunderten von Unternehmensklienten gleichzeitig.
Das 9-Minuten-Verletzungsfenster – die Zeit zwischen dem ersten Zugriff und dem Datenkompromiss in SaaS-Umgebungen, gemäß den Daten zur Vorfallreaktion von Obsidian Security – spiegelt diesen strukturellen Unterschied wider. Einmal innerhalb der Infrastruktur eines Anbieters stoßen Angreifer auf Daten von mehreren Organisationen, die in einer gemeinsamen Umgebung gespeichert sind. Die Angriffsfläche konzentriert den Wert.
Für Organisationen, die GDPR-konforme Datenverarbeitungsverträge mit ihren SaaS-Anbietern unterzeichnet haben, beseitigt die Verletzung nicht die Haftung für die Einhaltung. Artikel 82 der GDPR weist den Datenverarbeitern eine gemeinsame Haftung für Verletzungen zu, die aus ihrer Nichteinhaltung der GDPR-Verpflichtungen resultieren. Aber die gemeinsame Haftung erfordert den Nachweis, dass der Anbieter nicht compliant war – eine komplexe Untersuchung, die Monate dauert, während die Daten bereits in den Händen von Bedrohungsakteuren sind.
Der DPA schützt die Daten nicht
Artikel 28 der GDPR verlangt von Organisationen, dass sie nur Verarbeiter verwenden, die "ausreichende Garantien" bieten, um angemessene technische und organisatorische Maßnahmen umzusetzen. Der Datenverarbeitungsvertrag ist der vertragliche Nachweis für diese Garantien.
Wie das BAA von HIPAA befasst sich der DPA mit der vertraglichen Beziehung. Er befasst sich nicht mit der technischen Realität dessen, was mit Ihren Daten auf der Infrastruktur des Anbieters passiert.
Ein SaaS-Anbieter, der unter einem GDPR-konformen DPA arbeitet, kann dennoch:
- Die Daten Ihrer Kunden mit serverseitiger Verschlüsselung unter Verwendung von vom Anbieter kontrollierten Schlüsseln speichern
- Die Informationen Ihrer Mitarbeiter in einer Multi-Tenant-Umgebung verarbeiten, die mit anderen Kunden geteilt wird
- Datenprotokolle, Verarbeitungsunterlagen und zwischengespeicherte Inhalte über die in Ihrem Vertrag angegebenen Zwecke hinaus aufbewahren
- Seine Infrastruktur auf eine Weise kompromittiert haben, die all das oben Genannte offenlegt
Der DPA schafft Verpflichtungen. Er schafft keine technische Barriere gegen Datenexposition. Wenn Angreifer den Anbieter in 9 Minuten verletzen, verlangsamt der DPA sie nicht.
Der Anstieg von 300 % ist ein Selektions-Effekt
Der Anstieg von 300 % bei SaaS-Verletzungen spiegelt zwei Trends wider, die gleichzeitig wirken.
Erstens wuchs das absolute Volumen an Daten in SaaS-Plattformen 2024 erheblich. Da immer mehr Organisationen mehr Prozesse zu cloudbasierten Anbietern verlagerten, nahm die in den Umgebungen der Anbieter verfügbare Datenmenge proportional zu. Mehr Daten auf der Infrastruktur des Anbieters schaffen einen größeren Anreiz für Angreifer, die Infrastruktur des Anbieters ins Visier zu nehmen.
Zweitens haben Angreifer ihre Methodik angepasst, um der Wertkonzentration gerecht zu werden. Organisationen verarbeiten jetzt sensiblere Daten über mehr SaaS-Anbieter als je zuvor – Kundenunterlagen, Finanztransaktionen, HR-Daten, rechtliche Dokumente, Gesundheitsinformationen. SaaS-Anbieter sind zu hochgradigen Zielen geworden, da der Angriff auf einen Anbieter Daten von vielen Organisationen liefert.
Die Zahl von 300 % beschreibt einen strukturellen Wandel in der Richtung, in die Angriffe gerichtet sind, nicht nur einen Anstieg der allgemeinen kriminellen Aktivitäten.
Zero-Knowledge-Architektur als Risikominderung für Anbieter
Der konzeptionelle Wandel, den die Zero-Knowledge-Architektur erfordert, ist einfach: Wenn Ihr Anbieter nicht vertrauenswürdig ist, um Ihre Daten sicher zu halten – nicht aufgrund eines bestimmten Fehlers, sondern weil jeder Anbieter kompromittiert werden kann – dann sollten Ihre Daten niemals in identifizierbarer Form zu Ihrem Anbieter gelangen.
Die Zero-Knowledge-Anonymisierung vor der Übertragung an SaaS-Anbieter verändert die Verletzungsexposition grundlegend. Wenn ein Anbieter, der mit Zero-Knowledge-verarbeiteten Daten arbeitet, kompromittiert wird:
- Greifen Angreifer auf anonymisierte Datensätze zu, die keine wiederherstellbaren Kundenkennungen enthalten
- Es ist keine Benachrichtigung der betroffenen Person erforderlich, da keine personenbezogenen Daten offengelegt wurden
- Es ist keine Untersuchung zur gemeinsamen Haftung gemäß Artikel 82 der GDPR erforderlich
- Es ergeben sich keine regulatorischen Durchsetzungsanfragen aus der Verletzung
Die Verletzung betrifft den Anbieter. Sie betrifft nicht die Daten Ihrer Kunden, da die Daten Ihrer Kunden niemals in wiederherstellbarer Form auf den Servern des Anbieters waren.
Der Anstieg von 300 % bei SaaS-Verletzungen ändert die Risikobewertung des Anbieters. Organisationen, die Anbieter ausschließlich auf der Grundlage der Sicherheitslage und vertraglicher Verpflichtungen bewerten, vertrauen darauf, dass ihr Anbieter nicht in der nächsten Verletzungsstatistik auftaucht. Die Zero-Knowledge-Architektur beseitigt diese Abhängigkeit.
Quellen: