Datenschutzrisiken durch Drittanbieter-Apps reduzieren
Strategien zur Vermeidung von Sicherheitsvorfällen und zur Schadensbegrenzung
Anwendungen von Drittanbietern waren schon immer mit einem gewissen Sicherheits- und Datenschutzrisiko verbunden. Angreifer wissen, dass Software-Schwachstellen den Zugang zu sensiblen Daten eröffnen. Doch die zunehmende Nutzung und starke Abhängigkeit von SaaS-Angeboten sowie die wachsende Integration von Anwendungen verschärfen das Problem: Angreifer finden heute mehr Schwachstellen vor, die sie ausnutzen können.
Die Sicherheitsvorfall bei Salesloft Drift im August 2025, von der Hunderte von Organisationen betroffen waren, verdeutlicht die erheblichen Datenschutzrisiken, die von SaaS-Anwendungen von Drittanbietern und deren Integrationen ausgehen.
Bei diesem Angriff kompromittierten Cyberkriminelle die Salesloft-Drift-Sales-Engagement-Plattform. Sie stahlen OAuth-Token und verschafften sich damit Zugriff auf integrierte Salesforce-Instanzen, die von Unternehmen genutzt wurden. Die betroffenen Organisationen entzogen den Angreifern den Zugriff zwar rasch, jedoch nicht bevor diese Daten exfiltrierten – darunter auch Textfelder aus Support-Tickets. Nach unseren Erkenntnissen waren Hunderte von Organisationen betroffen, doch nur wenige haben die Auswirkungen öffentlich gemacht.
Bei dem Sicherheitsvorfall bei Salesloft Drift exfiltrierten die Angreifer Kundendaten – bereits das stellte einen eigenständigen Schaden dar. Darüber hinaus konnten sie diese Informationen für weitere Angriffe nutzen: Gestohlene Daten werden häufig im Rahmen von Social-Engineering-Angriffen eingesetzt. Zudem stahlen die Täter digitale Zugangsdaten und Token, die ihnen den Zugriff auf andere integrierte Anwendungen ermöglichen konnten.
Diese Schwachstellen erhöhen das Risiko für eine Vielzahl sensibler Daten erheblich. Während es bei der Salesloft-Drift-Sicherheitsverletzung zum Diebstahl von Kundenkontakt- und Supportinformationen kam, können andere Vorfälle noch sensiblere Daten offenlegen – etwa Geschäftsgeheimnisse, Unternehmensfinanzdaten oder Gesundheitsinformationen. So führte beispielsweise der Sicherheitsvorfall 2025 beim externen Kundensupport-Anbieter von Discord zum Diebstahl von Kundennamen, E-Mail-Adressen, Kreditkartennummern, hochgeladenen Ausweisdokumenten und weiteren Daten.
Neben der unmittelbaren Reaktion auf Sicherheitsvorfälle bei Drittanbietern müssen Organisationen auch die langfristigen Folgen berücksichtigen. Ihnen drohen behördliche Geldbußen, Klagen sowie ein Verlust des Kundenvertrauens – mit direkten Auswirkungen auf den Umsatz.
Wie können wir als Datenschutzverantwortliche den Risiken, die von Anwendungen und Softwareintegrationen von Drittanbietern ausgehen, besser begegnen? Mit bewährten Verfahren lassen sich Schwachstellen reduzieren und Reaktionen auf Angriffe deutlich beschleunigen.
Verständnis der Risiken durch externe Apps
Datenschutzverantwortliche kennen die potenziellen Folgen von Datenschutzverletzungen nur zu gut. Ihr Unternehmen kann Gegenstand behördlicher Untersuchungen werden und möglicherweise Geldbußen von der Federal Trade Commission (FTC), dem Department of Health and Human Services (bei HIPAA-Verstößen), von Generalstaatsanwälten einzelner US-Bundesstaaten oder von Datenschutzbehörden (DPAs) weltweit erhalten.
Ebenso wichtig ist, dass Datenschutzverletzungen den Ruf Ihrer Organisation, das Vertrauen Ihrer Kunden und Ihr Geschäftsergebnis beeinträchtigen können. Werden Daten offengelegt, machen Kunden häufig Ansprüche aus Vertragsverletzung geltend oder fordern Servicegutschriften. Im schlimmsten Fall verlieren sie das Vertrauen und wechseln zu einem anderen Anbieter.
Angriffe auf Drittanbieter-Anwendungen und -Integrationen erhöhen dieses Risiko zusätzlich. Es ist eine Sache, umfangreiche Schutzmaßnahmen für Ihre eigenen Systeme zu implementieren – deutlich schwieriger ist es jedoch, sicherzustellen, dass Ihre Dienstleister ein gleichwertiges Sicherheitsniveau gewährleisten. Unter anderem deshalb verlangen Vorschriften wie der Digital Operational Resilience Act (DORA) der EU von betroffenen Unternehmen eine umfassende Due-Diligence-Prüfung ihrer Dienstleister – einschließlich deren Lieferketten. Mehrere Durchsetzungsmaßnahmen europäischer Datenschutzbehörden und der US-amerikanischen FTC haben zudem deutlich gemacht, dass Unternehmen auch dann verantwortlich sind, wenn die Sicherheitsverletzung im System eines Dienstleisters erfolgte.
Reduzierung von Datenschutzrisiken durch Dritte
Vier bewährte Verfahren tragen wesentlich dazu bei, die Datenschutzrisiken Dritter zu reduzieren und Schäden durch Datenlecks zu minimieren. Diese Praktiken sind keine einmaligen Ereignisse, sondern kontinuierliche Bemühungen, um Anbieter zu bewerten, Pläne abzustimmen, die Benachrichtigungsanforderungen auf dem neuesten Stand zu halten und sich an Veränderungen anzupassen.
1. Nicht grundsätzlich allen SaaS-Providern vertrauen.
Arbeiten Sie mit Ihren Kollegen aus den Bereichen IT und Sicherheit zusammen, um vor der Einführung neuer SaaS-Anwendungen eine gründliche Prüfung der Anbieter durchzuführen. Stellen Sie sicher, dass die Anbieter Schritte unternommen haben, um Zertifizierungen zu erhalten, die Datensicherheit zu gewährleisten und eine ausreichende Datenpflege sicherzustellen. Am wichtigsten ist, dass Ihr Team weiß, wie Anwendungen richtig konfiguriert werden.
Zertifizierungen: Anbieter sollten über alle relevanten Zertifizierungen für Ihren Bereich verfügen, z. B. SOC 2 und ISO 27701, sowie PCI DSS 4.0, HIPAA oder FedRAMP.
Datennutzung und Sicherheit: Erfahren Sie, wie Anbieter Ihre Daten verwenden und schützen werden. Sie könnten sich entscheiden, nicht mit bestimmten Anbietern zusammenzuarbeiten, wenn diese Ihre Anforderungen nicht erfüllen können. So könnten Sie beispielsweise die Zusicherung verlangen, dass Ihre Daten nicht zum Training eines von ihnen erstellten KI-Modells verwendet werden. Sie können auch darauf bestehen, dass Ihre Daten getrennt von den Daten anderer Unternehmen gespeichert und verschlüsselt werden.
Datenpflege: Stellen Sie sicher, dass Anbieter nur die minimale Menge an sensiblen Daten sammeln, die zur Erfüllung ihres Zwecks erforderlich sind. Die Datenminimierung ist ein Kernprinzip von Datenschutzbestimmungen wie der Datenschutz-Grundverordnung (DSGVO). Die Anbieter sollten sich auch verpflichten, nur die Daten so lange zu speichern, wie es für die Einhaltung der Vorschriften erforderlich ist. Durch die Begrenzung der Datenerfassung und -speicherung wird die Gefährdung im Falle eines Sicherheitsvorfalls minimiert. So hätten beispielsweise einige der bei dem Discord-Datenleck exfiltrierten Daten – wie Bilder von Führerscheinen – durch ein Token ersetzt und dann gelöscht werden müssen.
Konfigurationen: Stellen Sie sicher, dass Ihr IT-Team versteht, wie neue SaaS-Anwendungen konfiguriert werden. Prüfen Sie insbesondere, wie sie mit anderen Anwendungen integriert werden. Und bewerten Sie den Detailgrad der Berechtigungen: Angreifer sollten keinen einfachen Zugriff auf mehrere Systeme haben, wenn sie ein einzelnes Konto oder eine einzelne App kompromittieren.
2. Arbeiten Sie mit den Sicherheitsteams und anderen Teams zusammen, um einen Reaktionsplan zu entwickeln.
Solange Cyberkriminelle Schwachstellen in SaaS-Anwendungen sehen, werden sie angreifen. Stellen Sie ein Team und einen Plan auf, um schnell reagieren zu können.
Krisenteam: Wie ich bereits geschrieben habe, sollten Datenschutz- und Sicherheitsteams im Rahmen eines datenschutzorientierten Sicherheitsprogramms zusammenarbeiten. Dieses Programm sollte ein Krisenteam umfassen, das sich nicht nur aus Mitarbeitenden für IT, Cybersicherheit, Betrieb und Datenschutz, sondern auch mit Mitarbeitenden aus dem Bereich Recht und Kommunikation zusammensetzt. Diese Partnerschaften sollten bestehen, bevor eine Krise eintritt, damit Sie sich nicht mit der Gestaltung von Rollen und Verantwortlichkeiten herumschlagen müssen.
Reaktionsleitfaden: Es ist wichtig, einen dokumentierten Reaktionsleitfaden zu haben, damit alle Teammitglieder genau wissen, was zu tun ist, wenn ein Ereignis eintritt. Dieser Leitfaden sollte Folgendes enthalten:
Faktensuche: Stellen Sie das „Wer, Was, Wo und Wann“ des Verstoßes fest. Diese Prozesse sollten Folgendes umfassen: Überprüfung, ob ein Vorfall tatsächlich eingetreten ist; Dokumentation eines Zeitplans für den Vorfall; Bestimmung des Zugangspunkts (z. B. ob er durch eine Sicherheitslücke bei einem Drittanbieter verursacht wurde); und Identifizierung der betroffenen Systeme und Daten. Der Diebstahl von Geschäftsgeheimnissen erfordert eine andere Reaktion als der Verlust personenbezogener Kundendaten. Ebenso erfordert eine große Datenschutzverletzung eine andere Reaktion als eine kleine.
Eindämmung und Wiederherstellung: Definieren Sie Verfahren zur Isolierung betroffener Systeme, zum Widerruf kompromittierter Anmeldeinformationen und zur Verhinderung weiterer Datenverluste. Sicherheitsteams können dann die Ursache des Verstoßes beheben und bei Bedarf Daten wiederherstellen. Testen Sie diese Phasen des Plans im Voraus. Wenn ein Sicherheitsvorfall auftritt, sollten Sie in der Lage sein, den von Ihnen entworfenen Spielzug auszuführen.
3. Sehen Sie sich Ihre Benachrichtigungspflichten an.
Im Falle eines Sicherheitsverstoßes, bei dem Kundendaten offengelegt werden, müssen Sie Ihre Kunden in Übereinstimmung mit den unzähligen Gesetzen kontaktieren, die für Ihr Unternehmen gelten: Je nachdem, wo sich die Kunden befinden, müssen Sie möglicherweise die Gesetze mehrerer Bundesstaaten der USA einhalten, die jeweils unterschiedliche Benachrichtigungsanforderungen haben. Wenn Sie Kunden in der EU haben und personenbezogene Daten verwalten, verlangt die DSGVO, dass Sie diese Kunden benachrichtigen, wenn ein hohes Risiko besteht, dass ihre Informationen zu Identitätsdiebstahl, finanziellen Verlusten, Diskriminierung oder einer anderen Form von Schaden führen.
Börsennotierte Unternehmen müssen auch die SEC benachrichtigen, wenn es zu einem wesentlichen Verstoß gekommen ist. Wenn Sie ein B2B-Unternehmen sind, könnten Sie spezielle Benachrichtigungsanforderungen in Kundenverträge aufnehmen. So könnten Sie beispielsweise verpflichtet sein, einen Verstoß innerhalb von 24–72 Stunden zu melden.
Wenn Sicherheitsverletzungen auf Anwendungen von Drittanbietern zurückzuführen sind, müssen Sie die Benachrichtigungspflichten jeder Partei verstehen. Diese Verpflichtungen hängen davon ab, welche Organisation die Daten kontrolliert und verarbeitet.
Die Erfüllung all dieser Meldepflichten ist ein komplexes Unterfangen. Um diese Komplexität zu reduzieren, könnten Sie eine Richtlinie festlegen, die den strengsten Regeln für alle Kunden entspricht – zum Beispiel, dass alle Kunden innerhalb von 24 Stunden benachrichtigt werden, selbst wenn nur eine entfernte Möglichkeit besteht, dass sie durch die Datenschutzverletzung einen Schaden erleiden könnten. Alternativ könnten Sie versuchen, die Komplexität der Benachrichtigung zu steuern und die Meldungen je nach Gerichtsbarkeit unterschiedlich zu behandeln. Beide Ansätze haben Vor- und Nachteile – und jeder von ihnen könnte sich auf das Vertrauen der Kunden auswirken.
Was, wenn Sie einen Kunden benachrichtigen, der durch eine Sicherheitsverletzung wahrscheinlich keinen Schaden erleiden wird? Wird Ihnen dieser Kunde weniger – oder mehr – vertrauen? Was, wenn Sie sich entscheiden, einen bestimmten Kunden nicht über einen Verstoß zu informieren, weil es rechtlich nicht erforderlich ist, dies zu tun?
Denken Sie nicht nur an die gesetzlichen Anforderungen, sondern versetzen Sie sich auch in die Lage Ihrer Kunden. Überlegen Sie, was diese Kunden wann wissen m�öchten – und wie sich Ihre Benachrichtigungsentscheidung auf Ihre Beziehung zu diesen Kunden auswirken könnte.
4. Anpassungsfähig bleiben.
SaaS-Anwendungen, Software-Integrationen, kriminelle Vorgehensweisen und Datenschutzvorschriften entwickeln sich kontinuierlich weiter. Selbst Organisationen mit umfassender Planung sollten auf unerwartete Ereignisse vorbereitet sein. Entscheidend ist Ihre Fähigkeit, schnell zu reagieren, aus Vorfällen zu lernen und Ihre Strategien entsprechend anzupassen.
SaaS-Anwendungssicherheit stärken
Angreifer nutzen nach wie vor SaaS-Anwendungen, um auf sensible Kunden- und Geschäftsdaten zuzugreifen. Auch wenn es unmöglich ist, Angriffe vollständig zu stoppen, können Sie die Wahrscheinlichkeit von Verstößen minimieren und den Schaden für Ihr Unternehmen, Ihre Partner und Kunden verringern.
Cloudflare hilft bei der Sicherung von SaaS-Anwendungen und ihren Integrationen. Nach dem Salesloft-Drift-Vorfall haben wir angekündigt, an Lösungen zu arbeiten, die SaaS-Verbindungen über einen einzigen Proxy konsolidieren, um die Erkennung und Reaktion auf potenzielle Kompromittierungen zu verbessern.
Da wir selbst Cloud-Dienstleister sind, arbeiten wir kontinuierlich daran, die Sicherheit unserer Dienste zu verbessern, unsere Drittanbieter zu überwachen und das Vertrauen unserer Kunden zu wahren. Wir sind auch verpflichtet, Vorfälle transparent zu machen, wie wir es nach dem Sicherheitsvorfall bei Salesloft-Drift waren, und wir lernen ständig dazu und passen uns an. Gleichzeitig verpflichten wir uns zu einer Vielzahl von Bemühungen – wie der Veröffentlichung von Transparenzberichten, der Veröffentlichung von Warrant Canaries, der Entwicklung von Technologien zur Verbesserung des Datenschutzes und der Festlegung von Standards – die alle auf den Aufbau eines besseren, privateren und sichereren Internets abzielen.
Gleichzeitig unterstützt Sie unsere Connectivity Cloud dabei, Sicherheitsrisiken zu bewältigen und eine ganze Reihe von Datenschutzbestimmungen einzuhalten, ohne die Komplexität ausufern zu lassen. Sie können eine robuste, konsistente Sicherheit über sämtliche Anwendungen und Umgebungen hinweg etablieren und die erforderlichen Kontrollen zur Einhaltung unterschiedlichster Datenschutzgesetze und -standards implementieren – alles über eine zentrale, einheitliche Plattform.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Vertiefung des Themas:
Erfahren Sie im Whitepaper „So erleichtert eine Connectivity Cloud die Einhaltung von Sicherheitsvorschriften“, warum eine einheitliche Plattform entscheidend ist, um die Einhaltung zahlreicher regulatorischer Vorgaben effizienter zu gestalten.
Autor
Emily Hancock — @emilyhancock
Chief Privacy Officer, Cloudflare
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Wie SaaS-Anwendungen von Drittanbietern neue Datenschutzrisiken mit sich bringen
4 Best Practices zur Senkung der Risiken von Drittanbietern
Warum Datenschutz- und Sicherheitsteams bei der Risikominderung und der Vorfallreaktion zusammenarbeiten müssen