Wichtige Erkenntnisse aus dem SASI-Bericht 2025

Mai 21, 2025
Kaseya
Cybersecurity

Der rasante Aufstieg von Software-as-a-Service (SaaS)-Anwendungen wie Google Workspace, Microsoft 365, Slack und Salesforce lässt sich auf die Flexibilität, Skalierbarkeit und Kosteneffizienz von Cloud-basierten Lösungen zurückführen. Auf der anderen Seite sind SaaS-Anwendungen zu Hauptzielen für Cyberkriminelle geworden, da sie geschäftskritische Informationen und Arbeitslasten hosten. Außerdem entwickelt sich die Cyberkriminalität rasant weiter. Bedrohungsakteure bevorzugen effizientere und gefährlichere Methoden wie Token Harvesting gegenüber traditionellen Methoden wie Brute-Force.

Um diese Risiken besser zu verstehen, SaaS Alerts den Bericht „2025 SaaS Application Security Insights (SASI) Report“ SaaS Alerts . Dieser Bericht präsentiert die Ergebnisse einer detaillierten Analyse von SaaS-Sicherheitsdaten aus mehr als 43.000 kleinen und mittleren Unternehmen (KMU) und fast sechs Millionen Benutzerkonten, einschließlich Gastkonten.

Da die Bedrohungslage immer komplexer wird, ist es für Sicherheitsverantwortliche und IT-Fachleute von entscheidender Bedeutung, diese sich wandelnden Dynamiken zu verstehen. In diesem Artikel werden wir die wichtigsten Erkenntnisse des Berichts untersuchen und erläutern, was Ihr Unternehmen tun muss, um neuen Bedrohungen immer einen Schritt voraus zu sein.

Die zunehmende Verbreitung von SaaS-Anwendungen und die damit verbundenen Risiken

SaaS-Anwendungen haben die betriebliche Effizienz und Produktivität drastisch verbessert, aber sie haben Unternehmen auch einer Vielzahl von Sicherheitslücken ausgesetzt. Während Cyberkriminalität stark zunimmt, schaffen fahrlässiges user , riskante Dateifreigaben und unüberwachte user Sicherheitslücken in SaaS-Umgebungen.

Mitarbeiter neigen dazu, neue Apps zu installieren, Zugriffsberechtigungen zu erteilen oder Dokumente zu teilen, ohne die IT-Teams einzubeziehen. Diese Handlungen führen zu einem unübersichtlichen Geflecht von App-Verbindungen und Datenaustausch, das das Sicherheitsteam oft nicht sehen oder kontrollieren kann.

SaaS-Anwendungen erleichtern die gemeinsame Nutzung von Informationen, aber ohne angemessene Kontrollen können sensible Daten über öffentliche Links offengelegt oder ohne angemessene Authentifizierung an externe Parteien weitergegeben werden.

Ein weiteres wachsendes Problem sind user , die für die kurzfristige Zusammenarbeit erstellt werden, aber oft unbeaufsichtigt bleiben oder selten deaktiviert werden. Einige dieser Konten verfügen über erweiterte Berechtigungen oder Zugriff auf wichtige Dokumente, was sie zu einer perfekten Hintertür für Angreifer macht, die unbemerkt in ein Unternehmen eindringen wollen.

Von SaaS Alerts erkannte unbefugte Anmeldungen

Die Threat Intelligence Engine SaaS Alertsüberwacht SaaS-Umgebungen kontinuierlich auf verdächtige Aktivitäten. Im Jahr 2024 kam es zu einem starken Anstieg sowohl der versuchten als auch der erfolgreichen unbefugten Zugriffe. Hier sind die Ergebnisse:

Versuchte unbefugte Anmeldungen

Cyberkriminelle versuchen zunehmend, sich mit gültigen user anzumelden, die sie über das Dark Web oder Phishing-Angriffe erlangt haben. Um nicht entdeckt zu werden, erfolgen diese Anmeldeversuche in schneller Folge von mehreren Standorten weltweit.

Im Jahr 2024 wurden fast 40 % aller unbefugten Anmeldeversuche nach China und Südkorea zurückverfolgt.

Brute Force war die gängige Methode, um sich unbefugten Zugang zu Unternehmenssystemen zu verschaffen. Bei dieser Methode erraten die Angreifer wiederholt Kennwörter, bis sie Zugang erhalten.

Der SASI-Bericht 2025 zeigt, dass sich Cyberkriminelle nicht mehr nur auf Brute-Force-Methoden verlassen, sondern sich zunehmend auf Token Harvesting verlegen - eine schnellere, unauffälligere Methode, die es ihnen ermöglicht, MFA durch den Diebstahl von Sitzungs-Tokens vollständig zu umgehen.

Abfangen erfolgreicher unberechtigter Anmeldungen

Wenn Angreifer erfolgreich auf ein Konto zugreifen, tun sie dies oft von unerwarteten oder nicht genehmigten Orten aus. Im vergangenen Jahr erwiesen sich Deutschland, das Vereinigte Königreich und Polen als Hotspots, da fast 25 % der Angriffe von diesen Orten ausgingen. Es wird vermutet, dass die Angreifer ihre wahre Herkunft verschleiern, indem sie ihre Aktivitäten über westliche VPNs leiten und so ihre Versuche legitimer erscheinen lassen und schwerer zu entdecken sind.

Angreifer haben sich mithilfe von Phishing-Methoden erfolgreich in Unternehmenskonten eingeloggt. Sie verleiten users ihre SaaS-Anmeldedaten preiszugeben, indem sie äußerst überzeugende, aber gefälschte E-Mails, Nachrichten oder Anmeldeseiten verwenden. Diese Methode ist nach wie vor eine der gefährlichsten und effektivsten Möglichkeiten, die Sicherheitsvorkehrungen von Unternehmen zu umgehen.

SaaS-Sicherheitsereignisse

SaaS-Sicherheitsereignisse dienen als Frühwarnsignale und helfen IT-Teams dabei, ungewöhnliche oder riskante Aktivitäten in ihren Cloud-Umgebungen zu erkennen. SaaS Alerts intelligente Anwendungslogik, um Verhaltensmuster zu analysieren und diese Aktivitäten nach Schweregrad einzustufen: gering, mittel und kritisch.

Im Jahr 2024 SaaS Alerts mehr als 7,3 Milliarden Ereignisse in SaaS-Umgebungen. Während die überwiegende Mehrheit (98,5 %) als geringfügig eingestuft wurde, waren über eine Milliarde dieser Warnmeldungen mittelschwer oder kritisch.

Ereignisse mit geringem Schweregrad

Ereignisse mit geringem Schweregrad spiegeln oft normale Aktivitäten wider, sind aber dennoch wert, im Laufe der Zeit auf Muster oder Anomalien beobachtet zu werden.

Das häufigste Ereignis mit geringer Schwere war „Datei geöffnet“, das immer dann ausgelöst wurde, wenn ein angemeldeter user oder Gastbenutzer user eine Datei user . Diese Aktion machte über 50 % aller Warnmeldungen mit geringer Schwere aus. Der Backup machte 23,7 % dieser Ereignisse aus. Ein weiterer häufiger Auslöser war der OAuth-Zugriff über die Identitäts- und Zugriffsverwaltung (IAM), der 22,88 % der Warnmeldungen mit geringem Schweregrad ausmachte. Diese Ereignisse treten auf, wenn Drittanbieter-Apps Kontoberechtigungen anfordern.

Warnmeldungen mittlerer Schwere

Diese Warnungen werden ausgelöst, wenn ungewöhnliches Verhalten oder verdächtige Aktivitäten festgestellt werden und eine Untersuchung erforderlich ist, um das Risiko zu minimieren.

Die häufigste Warnung mit mittlerem Schweregrad im Jahr 2024 war "Datei-Download-Limit überschritten", was auf Versuche der Datenextraktion hinweist. Dieses Ereignis machte 40,2 % aller mittleren Warnmeldungen aus. Die Meldung "Datei-Upload-Limit überschritten" machte 35 % der Warnmeldungen mit mittlerem Schweregrad aus und ist häufig ein Hinweis auf nicht autorisierte Datenübertragungen. Die Meldung "Datei von einem nicht genehmigten Ort geöffnet" machte 25 % aus und deutet auf eine mögliche Gefährdung des Kontos oder eine Verletzung der Zugriffsrichtlinien hin.

Kritische Warnmeldungen

Kritische Warnmeldungen stehen für risikoreiche Aktivitäten, die auf Sicherheitsverletzungen, Datendiebstahl oder unbefugten Zugriff hindeuten können. Über 34 % der kritischen Warnmeldungen wurden durch erfolgreiche Anmeldungen von nicht zugelassenen Standorten oder IP-Adressbereichen ausgelöst. Darüber hinaus wurden 33 % der kritischen Warnmeldungen durch den Zugriff auf Dateien außerhalb zugelassener geografischer Zonen ausgelöst. Weitere 32,3 % standen im Zusammenhang mit dem Herunterladen von Dateien von nicht zugelassenen Standorten.

Obwohl Warnmeldungen mit niedriger und mittlerer Schwere nicht unbedingt eine unmittelbare Bedrohung darstellen oder sofortiges Handeln erfordern, liefern sie wichtige Informationen zum Kontext und Einblicke in das Verhalten user Systemen. Durch die genaue Überwachung dieser Warnmeldungen können IT-Teams abnormale Aktivitätsmuster erkennen und Bedrohungen proaktiv neutralisieren, bevor sie Schaden anrichten. Kurz gesagt: Es ist von entscheidender Bedeutung, alle Sicherheitswarnmeldungen – von niedrig bis kritisch – zu verfolgen, um eine robuste SaaS-Sicherheitsstrategie zu entwickeln und Bedrohungen effektiv zu erkennen.

Wodurch sind Ihre SaaS-Umgebungen gefährdet?

SaaS-Anwendungen bieten Unternehmen jeder Größe unzählige Vorteile. Wenn jedoch bewährte Sicherheitsverfahren außer Acht gelassen werden, können diese Plattformen auch zu Einfallstoren für Datenverletzungen, Kontoübergriffe und unbefugten Zugriff werden. Der SASI-Bericht 2025 hebt die häufigsten Bedrohungsvektoren hervor, die Ihre SaaS-Umgebung potenziellen Sicherheitsverletzungen aussetzen könnten.

MFA deaktiviert oder inaktiv

MFA gilt als eine der wirksamsten Abwehrmaßnahmen gegen Identitätsdiebstahl und unbefugten Kontozugriff. Allerdings ist ihre Verbreitung nach wie vor alarmierend gering. Laut dem SASI-Bericht 2025 ist MFA in mehr als 60 % deruser entweder deaktiviert oder inaktiv. Ohne diese wichtige Schutzebene können Angreifer Konten durch Phishing oder Token-Diebstahl leicht kompromittieren.

Nicht überwachte user

Gastbenutzer sind für die externe Zusammenarbeit unverzichtbar, werden jedoch häufig nicht kontrolliert. Im Jahr 2024 SaaS Alerts über 4,2 Millionen SaaS-Konten, von denen mehr als 55 % Gastbenutzer waren. Wenn diese Konten nicht genau überwacht oder bei Nichtgebrauch umgehend deaktiviert werden, können sie zu unsichtbaren Einstiegspunkten für Cyberkriminelle werden.

SaaS-zu-SaaS-Anwendungsintegrationen

OAuth macht es users leicht, neue SaaS-Tools mit nur wenigen Klicks users verbinden, aber diese Bequemlichkeit hat ihren Preis.

Jede neue Integration vergrößert potenziell die Angriffsfläche, insbesondere wenn die Drittanbieter-App schlecht gesichert ist. Ohne Einblick in diese Verbindungen besteht die Gefahr, dass Ihr Unternehmen Cyberkriminellen über kompromittierte Apps indirekten Zugang gewährt.

Riskantes Filesharing-Verhalten

SaaS-Anwendungen haben die Dateifreigabe vereinfacht, aber auch das Risiko einer unbefugten Weitergabe von Daten außerhalb des Unternehmens erhöht. Im Jahr 2024 betrafen 37,28 % aller SaaS Alerts Dateifreigabeaktivitäten externe Benutzer.

Zwar ist nicht jede externe Freigabe von Dateien schlecht, aber die wahre Gefahr liegt in verwaisten Links. Dabei handelt es sich um Links zur Dateifreigabe, die mit Personen außerhalb des Unternehmens geteilt und nie widerrufen werden. Angreifer, die nach einem Weg ins Unternehmen suchen, können diese verwaisten Links leicht entdecken und ausnutzen.

Wichtige Erkenntnisse und Sicherheitsempfehlungen, um neuen SaaS-Bedrohungen einen Schritt voraus zu sein

Der SASI-Bericht 2025 zeigt, dass SaaS-Anwendungen zwar die Produktivität und Zusammenarbeit verbessern, aber auch Sicherheitsrisiken mit sich bringen, wenn sie nicht ordnungsgemäß verwaltet werden. Eine unzureichende MFA-Implementierung, unüberwachte Gastkonten, riskante Integrationen von Drittanbieter-Apps und unachtsame Praktiken bei der Dateifreigabe gehören zu den kritischsten Bedrohungsvektoren. Böswillige Akteure ändern ihre Taktik und setzen auf heimliche Methoden wie Token-Harvesting und VPN-Maskierung. Daher ist es für Unternehmen wichtiger denn je, einen proaktiven Sicherheitsansatz zu verfolgen, Transparenz zu schaffen und Sicherheitsrichtlinien durchzusetzen.

Befolgen Sie diese Schritte, um Ihr Unternehmen vor neuen SaaS-Bedrohungen zu schützen:

  • Aktivieren und erzwingen Sie MFA in Ihrem gesamten Unternehmen und für alle Kunden.
  • Wenden Sie wann immer möglich bedingte Zugriffsregeln für Microsoft 365-Konten an.
  • Bieten Sie Ihren users fortlaufende Cybersicherheitsschulungen an, users bewährte Sicherheitsverfahren zu festigen.
  • Überwachen Sie kontinuierlich wichtige SaaS-Produktivitätsanwendungen auf ungewöhnliches oder verdächtiges user .
  • Verfolgen Sie Dateifreigabeaktivitäten, um potenzielle Datenexfiltrationen oder Insider-Bedrohungen zu erkennen.
  • Speichern Sie historische Daten user und überprüfen Sie diese regelmäßig, auch wenn sie nicht zu einer bekannten Sicherheitsverletzung geführt haben.
  • Untersuchen Sie alle Anomalien, die auf eine Bedrohung hindeuten könnten, und reagieren Sie schnell darauf.
  • Überwachen Sie OAuth-basierte Anmeldungen, und übersehen Sie keine SaaS-Anwendungen, die nicht von Google oder Microsoft stammen.
  • Entfernen Sie regelmäßig inaktive oder unnötige Gastkonten, um die Belastung zu minimieren.
  • Führen Sie ein Verzeichnis aller App-zu-App-Integrationen und bewerten Sie deren Auswirkungen auf die Sicherheit.
  • Überprüfen Sie riskantes Verhalten bei der gemeinsamen Nutzung von Dateien, um die Preisgabe von Daten zu verhindern.
  • Nutzen Sie die Automatisierung, um risikoreiche Bedrohungssequenzen zu erkennen und sofort darauf zu reagieren.

Bleiben Sie den aufkommenden SaaS-Bedrohungen voraus. Laden Sie den SASI-Bericht 2025 herunter, um die neuesten SaaS-Trends, Experteneinblicke, reale Daten und umsetzbare Strategien zu erhalten.

Laden Sie den vollständigen Bericht herunter

Eine umfassende Plattform für IT- und Security

Kaseya ist die Komplettlösung für die Verwaltung, Sicherung und Automatisierung Ihrer IT. Durch die nahtlose Integration aller wichtigen IT-Funktionen vereinfacht es den Betrieb, erhöht die Sicherheit und steigert die Effizienz.

Eine Demo erhalten Entdecken Sie Kaseya

Eine Plattform. Alles IT.

Kaseya -Kunden profitieren von den Vorteilen der besten IT-Management- und Sicherheitstools in einer einzigen Lösung.

Entdecken Sie Kaseya

Ihr Erfolg ist unsere Priorität Nr. 1

Partner First ist eine Verpflichtung zu flexiblen Konditionen, geteiltem Risiko und engagierter support Ihr Unternehmen.

Entdecken Sie Partner First Pledge

Globaler MSP -Bericht 2025

Der Global MSP Report 2025 von Kaseya ist Ihre erste Anlaufstelle, um zu verstehen, wohin sich die Branche entwickelt.

Jetzt herunterladen

Kategorien entdecken

Sicherheitsinformationen und Konzepte zum Vorfallmanagement. Die Verantwortlichen steuern Ereignisse und die Sicherheit über virtuelle Bildschirme.

Was ist SIEM? Funktionsweise, Anwendungsfälle und Vorteile erklärt

Erfahren Sie, wie Unternehmen mithilfe von Security Information and Event Management (SIEM) potenzielle Sicherheitsbedrohungen und Schwachstellen proaktiv erkennen und beheben können.

Blogbeitrag lesen

Die Überprüfung von Backups ist jetzt noch intelligenter: Wir stellen die KI-gestützte Screenshot-Überprüfung vor

In einer Zeit, in der Cyberangriffe an der Tagesordnung sind, die Infrastruktur immer komplexer wird und die Erwartungen der Kunden steigen, reicht es nicht mehr aus, lediglich über Backups zu verfügen. BackupsMehr lesen

Blogbeitrag lesen
NIS-2-Richtlinie. Europäische Cybersicherheitsvorschrift

Zehn Fragen, die Sie Ihrem IT-Team zur NIS2-Konformität stellen sollten

Stellen Sie sicher, dass Ihr Unternehmen darauf vorbereitet ist, Sicherheitsbedrohungen zu widerstehen und sich von Vorfällen zu erholen. Lesen Sie den Blogbeitrag, um mehr über die zehn wichtigsten Bereiche zu erfahren, die für die Einhaltung der NIS2-Vorschriften zu berücksichtigen sind.

Blogbeitrag lesen