SaaS-Sicherheit unterscheidet sich fundamental von klassischer IT-Sicherheit. Der entscheidende Unterschied: Die Software wird nicht vom Nutzer betrieben, sondern läuft auf fremder Infrastruktur. Das bedeutet, dass Standard-Cybersecurity-Tools, die auf Systemen in Unternehmenskontrolle ausgerichtet sind, hier an ihre Grenzen stoßen. Der Sicherheitsfokus verlagert sich auf die Konfiguration – und genau hier entstehen die meisten Probleme.
Melissa Ruzzi, Senior Director of AI bei AppOmni, beschreibt das Ausmaß: Ein typisches Unternehmen betreibt über 100 verschiedene SaaS-Anwendungen – von der Rechtsabteilung über HR bis zur Technik-Sparte. Jede Anwendung hat eigene Konfigurationseinstellungen, die üblicherweise von den Nutzern selbst vorgenommen werden. Diese dezentrale Verwaltung ist gleichzeitig die Achillesferse: Fehlkonfigurationen sind die häufigste Ursache für Sicherheitslücken bei SaaS-Anwendungen.
Zum Problem kommt hinzu, dass viele Unternehmen auch Shadow-SaaS betreiben – Anwendungen, die Mitarbeiter selbstständig einführen, ohne IT- und Sicherheitsabteilung einzubeziehen. Dies erhöht die Angriffsfläche um ein Vielfaches.
Marlin AI soll diese Herausforderung bewältigen. Das System analysiert automatisch alle Konfigurationen, die in verschiedenen SaaS-Anwendungen genutzt werden, und identifiziert potenziell problematische Einstellungen. Doch es geht weiter: Marlin untersucht den Kontext, beispielsweise ob von ungewöhnlichen IPs oder VPNs aus Massendateidownloads stattfinden. So lässt sich die tatsächliche Gefährlichkeit eines Konfigurationsfehlers – etwa deaktivierte Multi-Factor-Authentication – besser bewerten.
Ruzzi erklärt das Vorgehen: “Wenn Marlin ein deaktiviertes MFA findet, ist das bereits ein Problem. Aber wie kritisch ist dieses Problem wirklich? Das erfordert einen Blick auf alle anderen Aktivitäten auf der Plattform.”
Weit verbreitet ist die Frage, ob KI-Systeme auch autonome Korrektionen durchführen sollten. AppOmni antwortet hier differenziert: Innerhalb der AppOmni-Plattform können Korrektionen vollständig automatisiert werden – der Nutzer klickt einen Button, Marlin behebt das Problem. Jedoch bei externen Systemen wie Salesforce zieht das Unternehmen eine klare Grenze. “Wenn wir eine Fehlkonfiguration in Salesforce finden und diese automatisch beheben sollen, müssten wir Admin-Rechte für Kundendaten haben,” so Ruzzi. “Das ist eine Linie, die wir nicht überschreiten, weil Kunden einen Dritten nicht gerne mit Admin-Zugriff ausstatten.”
Stattdessen bietet Marlin umfassende Visualisierungen und detaillierte Investigationsergebnisse, die es Administratoren ermöglichen, informierte Entscheidungen zu treffen. Obwohl autonome Korrektionen technisch möglich wären, sind Kunden dafür nicht bereit – ein Aspekt, der besonders für deutsche Unternehmen unter DSGVO-Bedingungen relevant ist, wo Datenkontrolle zentral bleibt.