Der breite Einsatz von Software-as-a-Service (SaaS)-Anwendungen hat die Art und Weise, wie Unternehmen Geschäftslösungen bereitstellen, grundlegend verändert. Diese Transformation bringt jedoch erhebliche Sicherheitsherausforderungen mit sich, da bestehende Prozesse zur Verwaltung von Drittanbieterrisiken (Third Party Risk Management = TPRM) sich primär auf die organisatorische Sicherheit des Anbieters konzentrieren und nicht auf die Sicherheit der einzelnen SaaS-Anwendungen. Genau diese kritische Lücke schliesst das neue SaaS Security Capability Framework (SSCF) der Cloud Security Alliance (CSA). Das Framework definiert die technischen Mindestanforderungen an die Sicherheit von SaaS-Anwendungen, insbesondere für diejenigen, die gemäss dem Shared Security Responsibility Model (SSRM) in den Zuständigkeitsbereich des Kunden fallen. In diesem Artikel wird beschrieben, was das SSCF bieten kann.

Fokus auf Kundenkontrolle und Produkt-Leve

Viele SaaS-Plattformen sind nicht ausreichend konfigurierbar, um sich an die Risikobereitschaft und Anforderungen eines Unternehmens anzupassen. Das SaaS Security Capability Framework (SSCF) adressiert diese Lücke, indem es passende Sicherheitsaspekte beschreibt, die in SaaS-Produkten standardmässig enthalten sein sollten. Im Mittelpunkt stehen kundenorientierte Kontrollen – etwa Protokollierung, Zugriffsüberwachung und konfigurierbare Sicherheitseinstellungen –, die Kunden direkt bei SaaS-Dienstleistern erfragen und verwalten oder auswerten können, um Sicherheits- und Compliance-Pflichten wirksam zu erfüllen.

Struktur und Umfang

Das SSCF v1.0 umfasst 36 Kontrollen in sechs SaaS-Sicherheitsdomänen und legt je Domäne fest, welche Mindestanforderungen erfüllt und welche Nachweise/Evidenzen (z. B. Logs, APIs) der Dienstleister bereitstellen sollte. Die sechs SaaS-Sicherheitsdomänen sind:

• Change Control and Configuration Management (CCC) - 4 Kontrollen: Sicheres Konfigurations-Baseline-Management, Änderungstransparenz und Bewertungsverfahren für kundenseitige Einstellungen; inkl. dokumentierter Änderungsnachweise und optionaler Baseline-Templates.
• Data Security and Privacy Lifecycle Management (DSP) - 1 Kontrolle: Fokussiert auf kundenorientierte Kontrollen, zum Beispiel für die Datei-Upload-Funktionalität.
• Identity and Access Management (IAM) - 21 Kontrollen: Fundamentale Kontrollen zum Schutz von Kundendaten und zur Gewährleistung der Integrität der SaaS-Plattform.
• Interoperability and Portability (IPY) - 2 Kontrollen: Behandelt die sichere Konfiguration von Funktionen wie dem Massendatenexport und der Integration mit anderen Anwendungen.
• Logging and Monitoring (LOG) - 7 Kontrollen: Ermöglicht Kunden, anormale Verhaltensweisen und potenzielle Vorfälle zu erkennen.
• Security Incident Management, E-Discovery, and Cloud Forensics (SEF) - 1 Kontrolle: Erfordert Mechanismen zur Benachrichtigung eines Sicherheitskontakts im Falle eines Sicherheitsvorfalls.

Vorteile für Kunden und Anbieter

Die Anwendung des SSCF bietet Vorteile für alle Beteiligten:

Zielgruppe	Vorteile
TPRM-Teams bei einsetzenden Unternehmen	Einheitliche Bewertungsbasis für produktseitige Sicherheitskontrollen; beschleunigt Risiko- und Beschaffungsprozesse.
SaaS-Anbieter	Standardisierte Antworten auf Security-Assessments; weniger individuelle Fragebögen und geringerer Bewertungsaufwand.
SaaS Security Engineering bei einsetzenden Unternehmen	Praktische Checkliste für sichere Implementierung und Betrieb; beschleunigt Security-Programme.

Das SSCF ergänzt bestehende Rahmenwerke (z. B. CSA CCM, NIST CSF, ISO/IEC 27002) und Nachweise (z. B. ISO/IEC 27001-Zertifikat, SOC 2-Attestierung, CSA STAR, BSI C5), indem es deren übergeordnete Prinzipien in konkrete, umsetzbare SaaS-Produkt-Fähigkeiten übersetzt. So entstehen Konsistenz und Transparenz – bei geringerem Onboarding-Aufwand für neue SaaS-Lösungen unter Berücksichtigung relevanter Sicherheitsaspekte.

Haben Sie Fragen oder benötigen Sie Unterstützung bei der Integration des SSCF in Ihre Vendor-Management-Prozesse oder bei der Bewertung der produktseitigen Sicherheitskontrollen Ihrer SaaS-Anbieter oder anderen Themen der Cloud Security? Wir freuen uns über Ihre Kontaktaufnahme.