Software-as-a-Service abzusichern ist schwierig, weil die üblichen Sicherheitskontrollen nicht dafür gemacht sind. Der Grund: Die Software gehört nicht dem Nutzer und läuft meist auf fremder Infrastruktur, während herkömmliche Produkte für eigene Software auf eigener Infrastruktur ausgelegt sind. SaaS-Anbieter sichern zwar das Innere ihrer Apps, haben aber keinen Einfluss darauf, wie diese verwendet werden. Die Nutzung hängt von der jeweiligen Konfiguration ab – und die wird in der Regel vom Kunden festgelegt.
„Das Rechtsteam nutzt vielleicht eine oder mehrere SaaS-Apps, die Personalabteilung, die Finanz- und die Entwicklungsabteilung wieder andere – im ganzen Unternehmen kommen womöglich 100 verschiedene Tools zum Einsatz“, sagt Melissa Ruzzi, Senior Director of AI bei AppOmni. Jede dieser Anwendungen habe eine eigene Konfiguration. „Genau das macht SaaS so interessant, denn in der Konfiguration steckt die gesamte Sicherheit.“
Die Angriffsfläche wächst stetig, weil immer mehr Nutzer und Abteilungen immer mehr SaaS-Apps einsetzen. Werden Anwendungen lokal heruntergeladen und betrieben, geschieht das nicht immer mit Wissen der IT- und Sicherheitsabteilung – so entsteht Schatten-SaaS, das häufig auch Schatten-KI umfasst.
AppOmni betreibt eine SSPM-Plattform, die Sichtbarkeit und Kontrolle über SaaS-Apps verbessern und das Risiko von Sicherheitsvorfällen senken soll. Bereits im Dezember 2023 führte das Unternehmen AskOmni ein, einen KI-gestützten Assistenten, der Nutzerfragen zur Plattform in natürlicher Sprache beantwortet. Das neue Marlin AI arbeitet eng mit AskOmni zusammen: „Marlin untersucht und analysiert Probleme und erledigt eine Reihe von Dingen“, erklärt Ruzzi. „Wenn Sie Fragen dazu haben, was es getan hat, fragen Sie einfach AskOmni.“
Marlin greift auf die über Jahre angesammelte SaaS-Expertise von AppOmni zurück und erkennt so verdächtige Einstellungen automatisch. Findet es etwa eine nicht aktivierte Mehr-Faktor-Authentifizierung, prüft es zugleich, wie gefährlich das ist – etwa, ob über eine auffällige IP-Adresse unter einem auffälligen VPN Massendownloads stattgefunden haben. Diese Arbeit erledigt normalerweise ein menschlicher Analyst manuell, was Zeit kostet. Marlin übernimmt sie automatisch und empfiehlt darüber hinaus konkrete Gegenmaßnahmen.
Bei der automatischen Korrektur zieht AppOmni jedoch eine Grenze. Innerhalb der eigenen Plattform lassen sich Aktionen automatisieren – der Nutzer klickt einen Button, und Marlin erledigt den Rest. Geht die nötige Maßnahme aber über die Plattform hinaus, etwa bei einer Fehlkonfiguration in Salesforce, verzichtet AppOmni darauf. „Bedenken Sie, welche Zugriffsrechte Marlin bräuchte, um automatisch Änderungen vorzunehmen. Das ist eine Grenze, die wir nicht überschreiten, weil Kunden im Allgemeinen nicht bereit sind, uns als Drittpartei Administratorrechte auf ihre Daten zu geben“, so Ruzzi.
Technisch wäre autonomes Handeln möglich, faktisch findet es nicht statt – zumindest noch nicht. „Wir würden es gerne tun, aber die Kunden sind nicht bereit, das zu akzeptieren.“ Sollte sich das ändern, sei AppOmni dafür gerüstet. Zusätzlich liefert Marlin ausführlichere Informationen zu seinen Untersuchungen, darunter Grafiken, mit denen Nutzer tiefer in die jeweiligen Daten eintauchen können.
