Die Risiken, die niemand ausreichend dokumentiert
1. Die unsichtbare Angriffsfläche von Business-APIs
Jedes mit Ihrem IT-System verbundene Business-SaaS öffnet Endpunkte. Ein Tool zur Kunden-Terminverwaltung ist konkret eine API, die Ihr CRM, Ihr Agenturverzeichnis und manchmal Ihre HR-Planung abfragt. Diese Datenflüsse werden in klassischen Sicherheitsaudits, die sich auf den Netzwerkperimeter konzentrieren, selten kartiert.
Die Zahlen sprechen für sich: 37 % der Organisationen erlitten 2024 eine API-Sicherheitslücke, gegenüber 17 % im Jahr 2023. Das ist mehr als eine Verdoppelung innerhalb eines Jahres. Nur 21 % der CISOs geben an, eine tatsächliche Fähigkeit zur Erkennung von Angriffen auf API-Ebene zu besitzen. (Salt Security / Indusface, State of API Security 2024-2025) SaaS-Sicherheitsvorfälle stiegen zwischen September 2023 und 2024 um 300 %, größtenteils verursacht durch Fehlkonfigurationen von API-Zugriffen und schlecht verwaltete OAuth-Tokens. (Obsidian Security, 2024)
Die Fragen, die Sie sich umgehend stellen sollten: Wer hat die Datenflüsse zwischen Ihrem Business-SaaS und Ihrem CRM kartiert? Im Falle eines Vorfalls beim Anbieter, innerhalb wie vieler Minuten können Sie dessen Zugriffe widerrufen? Werden die Authentifizierungs-Tokens Ihrer Konnektoren regelmäßig rotiert?
2. Incident-Management bei Ihren Subunternehmern: Wer macht was, in welcher Zeit
Die meisten SaaS-Verträge definieren eine Verfügbarkeitsrate der Plattform. Sie definieren jedoch weder die Meldefristen im Falle einer Sicherheitslücke noch die Verantwortlichkeitskette bei einem Vorfall in der Infrastruktur des Anbieters.
Die durchschnittliche Zeit zwischen einem Einbruch und seiner Entdeckung beträgt weiterhin 194 Tage. Die Eindämmung dauert weitere 64 Tage, was fast neun Monate zwischen Angriff und Behebung bedeutet. (IBM Cost of a Data Breach Report 2025) Die NIS2-Richtlinie schreibt eine frühzeitige Meldung an die ANSSI innerhalb von 24 Stunden ab der Entdeckung des Vorfalls. Das eigentliche Problem ist also nicht die Benachrichtigungsfrist, sondern die Entdeckungsfrist. Wenn Ihr SaaS-Anbieter eine Anomalie auf seinen Servern feststellt, ohne dass ein vertraglich festgelegter Kundenbenachrichtigungsprozess existiert, können Sie wochenlang im Unklaren bleiben. Und erst an dem Tag, an dem Sie davon erfahren, beginnt Ihre NIS2-Uhr zu ticken.
Über die Benachrichtigung hinaus sind Fragen der Kontinuität ebenso kritisch: Verfügt der Anbieter über einen getesteten Notfallwiederherstellungsplan (DRP)? Über eine Krisenzelle, die außerhalb der Geschäftszeiten aktiviert werden kann? Über ein dokumentiertes Sicherungs- und Wiederherstellungstestverfahren? Diese Elemente werden von ISO 27001 gefordert und auf Kundenseite selten überprüft.
3. Datensouveränität: Wohin gelangen Ihre Kundendaten wirklich?
Drei Ebenen, die systematisch überprüft werden müssen.
Das Hosting: Wo genau wird Ihr SaaS gehostet? Auf welcher Cloud, in welchem Land? Im Juni 2025 erklärte der Rechtsdirektor von Microsoft Frankreich bei einer Anhörung vor dem Untersuchungsausschuss des französischen Senats: "Wenn wir dazu gezwungen werden, geben wir die Daten heraus." Dies ist keine rechtliche Hypothese mehr, sondern eine öffentliche Bestätigung. Für eine Bank, eine Versicherungsgesellschaft oder eine Gebietskörperschaft schafft das Hosting von Kundendaten bei einem dem US-Recht unterliegenden Betreiber einen direkten Konflikt mit der DSGVO und dem französischen Bankgeheimnis.
Die Verarbeitung: Werden Ihre Daten für Analysen, Benachrichtigungen oder Personalisierung über Drittanbieterdienste geleitet? Jeder zusätzliche Baustein stellt eine potenzielle Übertragung außerhalb Ihrer Kontrolle dar.
Die Reversibilität: Können Sie bei Vertragsende 100 % Ihrer Daten in einem verwertbaren Format innerhalb von 48 Stunden zurückerhalten? Die kritische Abhängigkeit von Anbietern und die Souveränität stehen 2026 an zweiter Stelle der Ärgernisse von CIOs, und Hybrid-/Multi-Cloud/Sovereign Cloud ist zum drittwichtigsten Investitionsprojekt des Jahres geworden. (Baromètre Abraxio DSI 2026)
Der Anforderungskatalog für jeden SaaS-Anbieter
Angesichts dieser Risiken setzen Organisationen zunehmend auf strukturierte Tools: 85 % der CISOs integrieren Sicherheitsklauseln in ihre Lieferantenverträge, 74 % verwenden Fragebögen und 46 % greifen auf Cyber-Ratings zurück. (Baromètre CESIN 2026) Alain Bouillé, Generalsekretär des CESIN, fasst die Grenzen des Vorgehens zusammen: Man wird nicht bei 12.000 Lieferanten einen Penetrationstest durchführen.
Es ist daher bewährte Praxis, vom Anbieter zu verlangen, dass er Ihnen selbst den Nachweis erbringt. Dies sind die sechs unverzichtbaren Anforderungen.
ISO 27001: Notwendig, aber nicht ausreichend: Die Zertifizierung ist zu einem Ausschlusskriterium bei Ausschreibungen geworden. Achtung: Sie deckt den internen Bereich des Anbieters ab, nicht unbedingt seine eigenen Subunternehmer. Anhang A der ISO 27001:2022 schreibt zwei Kontrollen vor, die speziell für Lieferanten gelten (A.5.19 und A.5.20) – zu prüfen, ob der Anbieter diese anwendet, ist die entscheidende Frage. Prüfen Sie auch, ob der Geltungsbereich des Zertifikats genau der beauftragten Leistung entspricht. ISO 27001:2013-Zertifikate sind seit dem 31. Oktober 2025 nicht mehr gültig. Je nach Branche gibt es weitere Referenzrahmen: HDS für Gesundheitsdaten, SOC 2 Typ 2 für US-Anbieter.
Die Datenarchitektur: drei nicht verhandelbare Fragen: Werden die Daten in Europa bei einem Anbieter gehostet, der nicht dem Cloud Act unterliegt? Garantiert der Anbieter die Isolation der Daten zwischen den Kunden? Im Falle einer Kündigung: Wie lange ist die Frist und welches Format hat die Datenrückgabe? 52 % der CIOs nennen schwer verhandelbare Vertragsklauseln und die Exposition gegenüber extraterritorialen Gesetzen als Haupthindernis für die Cloud. (Docaposte/Cyblex Barometer 2025)
Das Incident Management: NIS2 schreibt eine Frühwarnung innerhalb von 24 Stunden, eine detaillierte Benachrichtigung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats vor. Die Frage an den Anbieter: Ist sein Kundenbenachrichtigungsprozess auf diese Fristen abgestimmt? Wer ist im Falle eines Incidents der Ansprechpartner, und wann ist er erreichbar? Der Vertrag muss diese Fragen beantworten – nicht nur ein Verfügbarkeits-SLA anzeigen.
Die Subunternehmerkette: Verlangen Sie vom Anbieter die vollständige Liste seiner kritischen Subunternehmer und deren jeweilige Zertifizierungsstufe. NIS2 macht diese Transparenz für regulierte Unternehmen obligatorisch – fordern Sie sie lieber im Voraus ein, anstatt sie erst bei einem Audit zu entdecken.
Die Infrastruktur: Verfügt der Anbieter über EDR, SIEM sowie die Fähigkeit zur Protokolldatenerfassung und -analyse im Falle eines Incidents? Diese Elemente bestimmen seine Fähigkeit, eine Anomalie zu erkennen und deren tatsächlichen Umfang zu verstehen.
Das Risikomanagement: Verfügt der Anbieter über eine formalisierte Risikomatrix und einen Plan zur Behandlung nicht abgedeckter Risiken? Referenzmethoden wie EBIOS RM, die der Norm ISO 31000 entsprechen, bieten einen strukturierten Rahmen für diese Analyse. Ein Anbieter, der Ihnen nicht zeigen kann, wie er seine eigenen Risiken identifiziert und behandelt, kann Ihnen keine ernsthaften Garantien für Ihre eigenen Risiken geben.
Was das in der Praxis bedeutet
PRO BTP, eine Sozialschutzorganisation mit 1,2 Millionen geschützten Arbeitnehmern und 110 Niederlassungen in Frankreich, hat souveränes Hosting zu einem nicht verhandelbaren Auswahlkriterium gemacht bei der Einführung ihrer Terminbuchungsplattform. Cyrille de Chalain, stellvertretender Direktor für Geschäftsentwicklung: "Sicheres SaaS-Hosting in Frankreich war für uns ein wesentliches Kriterium. Es war uns wichtig zu wissen, dass unsere Daten geschützt und lokal gehostet werden, in Übereinstimmung mit französischen und europäischen Standards."
Ergebnis der Implementierung: +30 % der Termine wurden von Privatkunden im Self-Service gebucht, über 100.000 Termine im Jahr 2024 generiert, native Integration mit Efficy CRM und Outlook, vollständige Nachverfolgbarkeit in internen Verwaltungstools. (Quelle: Agendize, Kundenfall PRO BTP)
Ein großer Bank-/Versicherungsakteur mit mehreren Standorten hat seinerseits einen vollständig in sein internes CRM, seine Microsoft 365-Kalender und seine BI-Tools integrierten Prozess über API implementiert, mit automatischer CRM-Abfrage über die SIRET-Nummer für B2B-Prozesse. Mehr als 10.000 verschiedene Unternehmen haben dort online Termine vereinbart.
Für weitere Informationen
Diese Themen: API-Risiken, Incident-Management, Souveränität, Anforderungskatalog stehen im Mittelpunkt eines 30-minütigen technischen Webinars am Freitag, 26. Juni um 10:30 Uhr, präsentiert von Cédric Peyruquéou, F&E-Direktor bei Agendize, und Arnaud Masson, IT-Support- und Sicherheitstechniker / CSSI.
Auf dem Programm stehen: die häufigsten Risiken bei der Integration von Business-SaaS, der vollständige Anforderungskatalog, der an jeden Anbieter gestellt werden sollte, und reale Anwendungsfälle in regulierten Multi-Site-Umgebungen.
Zum Webinar anmelden
Kontaktieren Sie einen unserer Experten, um das Fachwissen von Agendize zu nutzen und mehr über die Machbarkeit Ihres Projekts zu erfahren.
