Der Anbieter ist nun die Angriffsfläche
Aktualisiert für 2026
Ein Jahrzehnt lang verfolgten Sicherheitsteams ein Ziel: Angreifer aus dem Netzwerk fernhalten. Den Perimeter sichern. Endpunkte schützen. Den Zugang kontrollieren. Das alte Modell ging davon aus, dass Angreifer direkt auf die Organisation zielen.
Die Zahlen von 2024 zeigen, dass dieses Modell gescheitert ist. SaaS-Datenpannen stiegen 300 % in 2024, laut dem Obsidian Security SaaS Security Threat Report 2025. Angreifer gehen nicht mehr direkt gegen Organisationen vor. Sie gehen nach den SaaS-Tools, denen diese Organisationen ihre Daten anvertrauen.
Wenn das Cloud-Tool das Angriffsziel ist, hilft ein sicheres internes Netzwerk nicht. Kundendaten, Mitarbeiterdokumente und sensible Inhalte liegen auf den Servern des Tools. Sie sind mit den Schlüsseln des Tools gesichert. Sie werden offengelegt, wenn das Tool getroffen wird.
SaaS-Datenpannen 2024
Die Zahlen von 2024 zeigen das Ausmaß des Risikos.
Conduent erlitt eine Datenpanne, die 25,9 Millionen Datensätze offenlegte. Conduent übernimmt Geschäftsprozesse für Behörden und große Unternehmen. Es verwaltet Leistungen, Zahlungen und Bürgerservices. Die 25,9 Millionen betroffenen Personen wussten nicht, dass ein Dritter ihre Informationen besaß.
NHS Digital hatte eine Datenpanne, die 9 Millionen Patienten betraf. Patientenakten wurden über die Server eines Cloud-Tools offengelegt. Patienten gaben diese Informationen ihren Gesundheitsversorgern. Sie hatten keinen Grund zu wissen, dass die Informationen jemals eine Drittanbieterplattform erreichten.
Das sind keine Einzelfälle. Das ist das neue Muster. Große Datenpannen treffen nun Millionen von Menschen, die einer Organisation vertraut haben, deren persönliche Informationen jedoch von einer anderen Organisation gespeichert wurden, von der sie nie wussten. Wie das Recht die Haftung in diesen Fällen zuweist, erläutert unsere DSGVO-Compliance-Übersicht.
Warum SaaS-Datenpannen anders funktionieren
Ein klassischer Netzwerkangriff erfordert viele Schritte. Angreifer müssen den Perimeter durchdringen. Sie müssen sich durch Systeme bewegen. Sie müssen Dokumente extrahieren. Jeder Schritt bietet eine Chance, entdeckt zu werden.
SaaS-Datenpannen funktionieren anders. Wenn Angreifer eine Cloud-Plattform treffen, erreichen sie die Datensätze aller Kunden, die Inhalte über diese Plattform gesendet haben. Eine Datenpanne liefert Dokumente von Dutzenden oder Hunderten von Kunden auf einmal.
Das 9-Minuten-Fenster — Zeit vom ersten Zugriff bis zum Diebstahl von Datensätzen in SaaS-Systemen, laut Obsidian Security — zeigt, wie schnell das geht. Innerhalb einer gemeinsamen Plattform finden Angreifer Inhalte von vielen Kunden auf einmal. Diese Wertekonzentration macht jeden Angriff effizient.
Verträge schließen diese Lücke nicht. DSGVO Artikel 82 weist Auftragsverarbeitern geteilte Haftung für von ihnen verursachte Datenpannen zu. Aber den Nachweis zu erbringen dauert Monate. Bis dahin sind die Datensätze längst weg. Unsere Sicherheits- und Compliance-Seite erklärt, wie Zero-Knowledge-Tools dieses Ergebnis verändern.
Der AVV schützt Ihre Datensätze nicht
DSGVO Artikel 28 verlangt, dass Organisationen nur Auftragsverarbeiter mit „ausreichenden Garantien" verwenden. Der Auftragsverarbeitungsvertrag ist der schriftliche Nachweis dieser Garantien.
Wie ein HIPAA Business Associate Agreement deckt der AVV die rechtliche Seite ab. Er deckt nicht ab, was mit Ihren Dokumenten auf den Servern des Anbieters passiert.
Ein Cloud-Tool mit einem vollständig DSGVO-konformen AVV kann dennoch:
- Kundendaten mit anbieterseitiger Verschlüsselung und anbieterkontrollierten Schlüsseln speichern
- Mitarbeiterinformationen durch ein gemeinsames System leiten, das viele andere Kunden nutzen
- Protokolle und gecachte Inhalte über die vereinbarten Zwecke hinaus aufbewahren
- Eine Datenpanne erleiden, die all das offenlegt
Der AVV legt rechtliche Pflichten fest. Er schafft keine technische Barriere gegen Offenlegung. Wenn Angreifer die Plattform in 9 Minuten kompromittieren, verlangsamt der AVV sie nicht.
Für eine klare Erklärung der Pflichten aus Artikel 28 lesen Sie das DSGVO-Glossar.
Warum der Anstieg von 300 % strukturell ist
Der Anstieg von 300 % spiegelt zwei gleichzeitig wirkende Kräfte wider.
Erstens wuchs das Volumen sensibler Informationen in SaaS-Plattformen 2024 stark. Mehr Organisationen verlagerten mehr Arbeit in Cloud-Tools. Mehr Dokumente landeten auf Servern von Drittanbietern. Mehr Inhalte bedeuten mehr Grund, diese Server anzugreifen.
Zweitens passten sich Angreifer an. Organisationen senden heute Kundendaten, Finanzdaten, HR-Informationen, rechtliche Inhalte und Gesundheitsdaten durch SaaS-Tools. Der Angriff auf eine Plattform liefert Datensätze von vielen Kunden. Die Mathematik begünstigt Plattformangriffe gegenüber Angriffen auf einzelne Organisationen.
Die Zahl 300 % ist kein Kriminalitätsanstieg. Sie markiert eine strukturelle Verschiebung, wohin Angriffe gehen.
Zero-Knowledge-Anonymisierung als Lösung
Die Lösung beginnt mit einem einfachen Gedankenwechsel. Wenn jede Plattform getroffen werden kann — und die Zahlen von 2024 beweisen das — sollte keine Plattform die persönlichen Informationen Ihrer Kunden in lesbarer Form erhalten.
Zero-Knowledge-Anonymisierung vor dem Hochladen verändert das Datenpannen-Risiko grundlegend. Wenn eine Plattform mit Zero-Knowledge-verarbeiteten Inhalten angegriffen wird:
- Angreifer erreichen anonymisierte Datensätze ohne lesbare Kundenidentifikatoren
- Keine Benachrichtigung der Betroffenen ist nötig, da keine persönlichen Informationen offengelegt wurden
- Keine Untersuchung der gesamtschuldnerischen Haftung nach DSGVO Artikel 82 ist erforderlich
- Kein regulatorisches Nachspiel folgt aus der Datenpanne
Der Angriff trifft die Plattform. Er erreicht Ihre Kunden nicht. Ihre persönlichen Informationen sind nie in lesbarer Form auf den Servern der Plattform angekommen.
Das ist keine Theorie. Es ist eine schlichte Tatsache: Es gibt keine Datensätze zu stehlen, weil keine in lesbarer Form übermittelt wurden. Die FAQ beantwortet häufige Fragen zur Zero-Knowledge-Anonymisierung. Unsere Preisseite zeigt, was dieser Schutz in verschiedenen Volumina kostet.
Der Anstieg von 300 % verändert die Risikoabwägung. Wer einen Anbieter nur anhand von Sicherheitspostur und Vertragsklauseln bewertet, wettet darauf, dass der eigene Anbieter nicht in der nächsten Schlagzeile auftaucht. Zero-Knowledge-Anonymisierung entfernt diese Wette.