{"id":5102,"date":"2025-09-29T12:30:46","date_gmt":"2025-09-29T12:30:46","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=5102"},"modified":"2025-09-29T12:30:46","modified_gmt":"2025-09-29T12:30:46","slug":"cloud-security-alliance-fuhrt-neues-saas-framework-ein","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=5102","title":{"rendered":"Cloud Security Alliance f\u00fchrt neues SaaS-Framework ein"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">Mit dem SaaS Security Capability Framework (SSCF) hat die Cloud Security Alliance (CSA) einen neunen Sicherheitsstandart festgelegt.\n<p class=\"imageCredit\">Danielala \u2013 shutterstock.com<\/p>\n<\/div>\n<p>Das <a href=\"https:\/\/cloudsecurityalliance.org\/blog\/2025\/09\/24\/introducing-the-saas-security-capability-framework-sscf-v1-0-raising-the-bar-for-saas-security\">SaaS Security Capability Framework (SSCF)<\/a> der Cloud Security Alliance (CSA) soll SaaS-Anbietern dabei helfen, <a href=\"https:\/\/www.csoonline.com\/article\/3491851\/was-ist-zero-trust.html\" target=\"_blank\" rel=\"noopener\">Zero-Trust<\/a>-Prinzipien in ihre Umgebungen zu integrieren und Kunden angesichts steigender Risiken durch Dritte konsistentere Sicherheitskontrollen zu bieten. Die Ver\u00f6ffentlichung der Leitlinien folgt auf die <a href=\"https:\/\/www.csoonline.com\/article\/4046407\/attackers-steal-data-from-salesforce-instances-via-compromised-ai-live-chat-tool.html\" target=\"_blank\" rel=\"noopener\">j\u00fcngsten Angriffe auf Salesforce-SaaS-Anwendungen<\/a>, die die Aufmerksamkeit der Security-Branche erregt haben.<\/p>\n<p>Das neue Regelwerk dient als Industriestandard, der die technischen Mindestanforderungen an die Sicherheit von SaaS-Anwendungen definiert, insbesondere f\u00fcr solche, die unter das sogenannte Shared Security Responsibility Model fallen.<\/p>\n<p>Das SSCF legt Kontrollen in sechs Sicherheitsbereichen fest:<\/p>\n<p>\u00c4nderungskontrolle und Konfigurationsmanagement;<\/p>\n<p>Datensicherheit und Datenschutz-Lebenszyklusmanagement;<\/p>\n<p><a href=\"https:\/\/www.csoonline.com\/de\/identity-and-access-management\/\" target=\"_blank\" rel=\"noopener\">Identit\u00e4ts- und Zugriffsmanagement<\/a>;<\/p>\n<p>Interoperabilit\u00e4t und Portabilit\u00e4t;<\/p>\n<p>Protokollierung und \u00dcberwachung;<\/p>\n<p>Security-Incident-Management, E-Discovery und Cloud-Forensik.<\/p>\n<p>Diese Bereiche sind darauf ausgelegt, allgemeine Gesch\u00e4ftsanforderungen in konkrete SaaS-Sicherheitsfunktionen umzusetzen, die Kunden tats\u00e4chlich konfigurieren und auf die sie sich verlassen k\u00f6nnen. Dazu z\u00e4hlen beispielsweise Protokoll\u00fcbermittlung, SSO-Durchsetzung, Richtlinien f\u00fcr sichere Konfigurationen und Benachrichtigung bei Vorf\u00e4llen.<\/p>\n<p>Der Ansatz soll gesch\u00e4ftsorientierte Sicherheitsframeworks wie ISO 27001 erg\u00e4nzen, \u00a0aber nicht ersetzen.<\/p>\n<h2 class=\"wp-block-heading\">Expertenstimmen zum neuen SaaS-Framework<\/h2>\n<p>Brian Soby, Mitbegr\u00fcnder und CTO des SaaS-Sicherheitsanbieters AppOmni und Hauptautor des SSCF, bezeichnete das SaaS Security Capability Framework als bedeutenden Fortschritt f\u00fcr die Branche. \u201eEs bietet einen klaren, einheitlichen und dringend ben\u00f6tigten Standard, der Unternehmen dabei hilft, veraltete Risikobewertungen hinter sich zu lassen und Zero-Trust-Prinzipien wirklich in ihre SaaS-Umgebungen zu integrieren.\u201c<\/p>\n<p>David Brown, SVP of International Business beim Firewall-Policy-Management-Unternehmen FireMon, spricht zwar ebenfalls von einem Fortschritt aber verweist darauf: \u201eEin Rahmenwerk reduziert jedoch nur dann Risiken, wenn es in operative Kontrollen umgesetzt wird, insbesondere in kontinuierliche Sichtbarkeit der Netzwerkrichtlinien, strenge Ausgangs-Kontrollen und automatisierte Compliance-Pr\u00fcfungen.\u201c<\/p>\n<p>Brown erg\u00e4nzt: \u201eUnternehmen, die die SSCF-Anforderungen mit einer Echtzeit-\u00dcberpr\u00fcfung der Netzwerkkonfiguration kombinieren, k\u00f6nnen nachweisen, dass die Kontrollen funktionieren, und SaaS-bezogene Risiken erheblich reduzieren.\u201c<\/p>\n<h2 class=\"wp-block-heading\">Kontinuierliche Validierung erforderlich<\/h2>\n<p>Ein wachsender Anteil des Internetverkehrs wird <a href=\"https:\/\/www.csoonline.com\/article\/2514488\/what-is-fake-network-traffic-and-how-does-it-complicate-security-efforts.html\" target=\"_blank\" rel=\"noopener\">von nicht-menschlichen Akteuren<\/a> generiert: Bots, Agenten und automatisierte Systeme, die mit SaaS-Anwendungen auf eine Weise interagieren, die bei herk\u00f6mmlichen \u00dcberwachungsmethoden oft \u00fcbersehen wird.<\/p>\n<p>\u201eDas SSCF bietet einen dringend ben\u00f6tigten Ma\u00dfstab daf\u00fcr, wie \u201aSicherheit durch Standardeinstellungen\u2018 in SaaS-Umgebungen aussehen sollte\u201c, betont Mayur Upadhyaya, CEO von APIContext. \u201eSein Fokus auf technische Kontrollen im Rahmen des Kundenbereichs ist zeitgem\u00e4\u00df, insbesondere da die Grenzen zwischen internen Benutzern, Integrationen von Drittanbietern und maschinengesteuertem Datenverkehr immer mehr verschwimmen.\u201c<\/p>\n<p>Upadhyaya f\u00fcgte hinzu: \u201eEin Framework wie SSCF kann nur dann effektiv sein, wenn es diesen erweiterten Bereich widerspiegelt und eine kontinuierliche Validierung f\u00f6rdert, nicht nur statische Konfigurationen.\u201c (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Mit dem SaaS Security Capability Framework (SSCF) hat die Cloud Security Alliance (CSA) einen neunen Sicherheitsstandart festgelegt. Danielala \u2013 shutterstock.com Das SaaS Security Capability Framework (SSCF) der Cloud Security Alliance (CSA) soll SaaS-Anbietern dabei helfen, Zero-Trust-Prinzipien in ihre Umgebungen zu integrieren und Kunden angesichts steigender Risiken durch Dritte konsistentere Sicherheitskontrollen zu bieten. Die Ver\u00f6ffentlichung der [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":5103,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-5102","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5102"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5102"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5102\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/5103"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5102"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5102"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5102"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}