SaaS-Lösung im Zeitalter von Zero-Trust: Wie baut man eine vertrauensvolle Kunden-Anbieter-Beziehung auf?

Die meisten Unternehmen speichern ihre strategischen Daten heute in der Cloud. E-Mails, Verträge, Sitzungsprotokolle, Finanzdaten: alles liegt auf Servern, die weit weg vom eigenen Rechenzentrum stehen. Das bringt echte Vorteile in Bezug auf Mobilität, Skalierbarkeit und Kostenstruktur. Aber es stellt die Frage, wer eigentlich auf diese Daten zugreifen kann, neu und dringlicher.

Eine SaaS-Lösung (Software as a Service) ist die umfassendste Form von Cloud-Diensten. Neben der reinen Infrastruktur übernimmt der Anbieter auch Installation, Wartung und Betrieb. Das macht SaaS leistungsfähig, aber es verschiebt auch die Sicherheitsverantwortung, denn die Daten verlassen den unmittelbaren Kontrollbereich des Unternehmens. Genau hier kommt Zero Trust ins Spiel.

Key Takeaways

  • Zero Trust bedeutet: keine Verbindung, kein Nutzer, kein Gerät wird automatisch als vertrauenswürdig eingestuft, unabhängig vom Standort.
  • 81 % der Unternehmen weltweit haben Zero Trust bereits eingeführt oder befinden sich in der Umsetzung (Fortune Business Insights, 2025).
  • Das NIS-2-Umsetzungsgesetz gilt in Deutschland seit Dezember 2025 und macht Zero-Trust-Prinzipien für rund 30.000 Unternehmen faktisch zur Pflicht.
  • Eine sichere SaaS-Lösung muss Datensouveränität garantieren, also den Schutz vor ausländischen Zugriffsgesetzen wie dem US CLOUD Act.

Was ist Zero-Trust?

Zero Trust ist kein Produkt, das man kaufen kann. Es ist ein Architektur-Paradigma, das auf einem einzigen Grundsatz beruht: „Niemals vertrauen, immer verifizieren.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt Zero Trust als einen Ansatz, der davon ausgeht, dass jede Verteidigung jederzeit gebrochen werden kann oder bereits gebrochen ist. Jede Verbindung, jeder Zugriffsversuch und jede Sitzung wird einzeln geprüft, unabhängig davon, ob die Anfrage aus dem internen Netzwerk oder von außen kommt.

Das ist eine fundamentale Abkehr vom klassischen Perimeter-Modell, bei dem alles innerhalb der Unternehmens-Firewall als vertrauenswürdig galt. Dieses Modell war für eine Welt gebaut, in der Daten und Anwendungen im eigenen Rechenzentrum blieben. Diese Welt gibt es nicht mehr.

SaaS, PaaS und IaaS: Was steckt dahinter?

Cloud-Computing gibt es in drei Grundformen, die sich im Umfang der Auslagerung unterscheiden:

MODELLWAS WIRD AUSGELAGERTTYPISCHE NUTZUNG
IaaS (Infrastructure as a Service)Server, Netzwerke, DatenspeicherIT-Teams, die maximale Kontrolle über die Infrastruktur behalten möchten
PaaS (Platform as a Service)IaaS + Betriebssysteme, DatenbankenEntwicklerteams, die Anwendungen entwickeln und bereitstellen
SaaS (Software as a Service)IaaS + PaaS + Anwendungen + WartungFachabteilungen und Endnutzer, die Software direkt produktiv nutzen möchten

SaaS ist die All-Inclusive-Variante: Der Anbieter übernimmt alles, vom Server bis zum Update. Das macht SaaS zur bevorzugten Wahl für Rechtsabteilungen, Board Manager und Compliance-Funktionen, erhöht aber gleichzeitig die Anforderungen an den Anbieter in Bezug auf Datensicherheit.

Warum das klassische Sicherheitsmodell nicht mehr ausreicht

Jahrzehntelang funktionierte IT-Sicherheit nach dem Burgmauer-Prinzip: Außen die Firewall, innen das vertrauenswürdige Netzwerk. Drei Entwicklungen haben dieses Modell obsolet gemacht:

  • Cloud-Verlagerung: Daten und Anwendungen liegen nicht mehr im eigenen Rechenzentrum, sondern verteilt über mehrere Anbieter.
  • Remote- und Hybridarbeit: Jeder Heimrouter ist heute ein potenzieller Angriffspunkt.
  • BYOD (Bring Your Own Device): Laut IBM nutzt ein erheblicher Anteil der Beschäftigten private Endgeräte für Arbeitszwecke, jedes davon ist eine mögliche Schwachstelle.

Die Zahlen sprechen für sich: 45 % aller Datenpannen betreffen Cloud-gespeicherte Daten, und die durchschnittlichen Kosten eines Sicherheitsvorfalls liegen bei 4,45 Millionen US-Dollar (IBM Cost of Data Breach Report). Und 81 % der Unternehmen weltweit haben Zero Trust bereits eingeführt oder befinden sich aktiv in der Umsetzung, weil der Handlungsdruck real ist.

Die drei Säulen von Zero Trust

Zero Trust ruht auf drei Grundprinzipien, die zusammenwirken:

1. Identität als Fundament. Jeder Zugriff setzt eine starke Authentifizierung voraus. Multi-Faktor-Authentifizierung (MFA) ist dabei keine Option, sondern die Minimalvoraussetzung. Das gilt für jeden Nutzer, jeden Dienst und jedes Gerät.

2. Mikrosegmentierung. Das Netzwerk wird in kleine, voneinander isolierte Zonen aufgeteilt. Ein kompromittierter Zugang gibt dem Angreifer nur Zugriff auf einen engen Ausschnitt, nicht auf das gesamte System.

3. Kontinuierliche Überprüfung. Die Prüfung endet nicht beim Login. Jede Sitzung wird laufend bewertet: Ort, Gerät, Uhrzeit, Verhalten. Anomalien führen zur Unterbrechung oder erneuten Authentifizierung.

87 % der Unternehmen, die Zero Trust konsequent eingeführt haben, berichten von einem messbaren Rückgang der Sicherheitsvorfälle (Fortune Business Insights, 2025).

Verwalten Sie Boardsitzungen noch über E-Mail und geteilte Laufwerke? Sehen Sie, wie das DiliTrust Board Portal Governance-Dokumente in einer sicheren, Zero-Trust-konformen Umgebung zentralisiert.

Regulatorischer Rahmen 2025: Was Unternehmen in Deutschland jetzt beachten müssen

Zero Trust ist kein freiwilliger Trend mehr. Gleich mehrere Regulierungsrahmen machen entsprechende Maßnahmen praktisch verbindlich.

NIS-2-Umsetzungsgesetz (Dezember 2025): Am 5. Dezember 2025 trat das deutsche NIS-2-Umsetzungsgesetz in Kraft. Es betrifft rund 30.000 Unternehmen in kritischen und wichtigen Sektoren und schreibt strukturiertes Risikomanagement, MFA, Verschlüsselung und Lieferantenüberwachung vor. Verstöße können mit bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.

TeleTrusT-Leitfaden (Juni 2025): Der Bundesverband IT-Sicherheit e.V. hat seinen Leitfaden zum Stand der Technik aktualisiert. Zero-Trust-Architektur ist darin ausdrücklich als aktuelle Anforderung verankert und dient als Referenzmaßstab für technisch-organisatorische Maßnahmen nach Art. 32 DSGVO.

DSGVO und CLOUD Act: Die DSGVO gilt seit Mai 2018 und stellt strikte Anforderungen an Datenschutz und Einwilligungsmanagement. Davon getrennt: der US CLOUD Act verpflichtet US-Anbieter, auf Anordnung amerikanischer Behörden Zugriff auf ihre Daten zu gewähren, auch wenn diese auf europäischen Servern liegen. Wer sensible Governance-Daten in einer SaaS-Lösung verwaltet, muss prüfen, ob sein Anbieter diesem Gesetz unterliegt.

Was eine sichere SaaS-Lösung leisten muss

Nicht jede SaaS-Lösung ist gleich aufgestellt. Für Unternehmen, die sensible Daten, Vertragsinformationen oder Board-Unterlagen verwalten, sind folgende Punkte nicht verhandelbar:

  • Zero-Access-Prinzip: Der Anbieter selbst hat keinen Zugriff auf die Kundendaten. Ihre Daten gehören ausschließlich Ihnen.
  • Starke Authentifizierung: Zwei-Faktor-Authentifizierung und Single Sign-On (SSO) als Standard.
  • Datensouveränität: Daten werden in der Jurisdiktion des Kunden gespeichert. Kein Risiko durch ausländische Zugriffsgesetze.
  • Verschlüsselung: Ende-zu-Ende, sowohl bei der Übertragung als auch im Ruhezustand.
  • Zertifizierungen: ISO 27001, ISO 27701 und SOC 2 Type 2 als Mindestanforderungen.
  • Granulare Zugriffsrechte: Jeder Nutzer erhält nur die Rechte, die er für seine Aufgabe benötigt.
  • Audit Trail: Vollständige, unveränderliche Aufzeichnung aller Aktivitäten.

Das DiliTrust Board Portal: Governance-Sicherheit nach Zero-Trust-Prinzipien

Für Unternehmen, die ihre Governance-Sitzungen digital verwalten, ist der Schutz vertraulicher Informationen keine Frage des Komforts, sondern eine rechtliche und strategische Notwendigkeit.

Das DiliTrust Board Portal ist eine SaaS-Lösung, die speziell für die sichere Organisation von Boardsitzungen, Aufsichtsratssitzungen und Ausschüssen entwickelt wurde. Es greift die Zero-Trust-Prinzipien auf mehreren Ebenen auf:

  • Zwei-Faktor-Authentifizierung und Single Sign-On (SSO) als Standard
  • Granulare Zugriffsrechte: jedes Dokument, jede Sitzung, jeder Nutzer mit spezifischen Berechtigungen
  • Zero-Access-Architektur: Das DiliTrust-Team hat keinen Zugriff auf Ihre Daten, weder auf Vertragsunterlagen noch auf Sitzungsprotokolle
  • Serverspeicherung in Europa für europäische Kunden, kein Risiko durch den US CLOUD Act
  • Datenverschlüsselung sowohl bei der Übertragung als auch im Ruhezustand
  • Audit Trail mit vollständiger Rückverfolgbarkeit aller Aktivitäten

Das Portal ist nach ISO 27001, ISO 27701 und SOC 2 Type 2 zertifiziert und DSGVO-konform. Es beinhaltet außerdem Ask Lini, die proprietäre KI von DiliTrust, die KI-gestützte Sitzungsprotokolle, Zusammenfassungen und Audio-Transkription ermöglicht. Ask Lini wird ausschließlich auf synthetischen Datensätzen trainiert: Kundendaten werden nie für das KI-Training verwendet.

Das Sicherheitsmodell von DiliTrust basiert auf dem Grundsatz „Sicherheit ist unsere DNA“. Das bedeutet jährliche Audits, ein benannter Datenschutzbeauftragter und transparente Kommunikation zu allen Sicherheitspraktiken.

FAQ

Was bedeutet Zero Trust konkret für SaaS-Lösungen?

Zero Trust bedeutet, dass keine Verbindung automatisch als sicher eingestuft wird. Für SaaS-Lösungen heißt das: Jeder Zugriffsversuch wird einzeln authentifiziert, Nutzerrechte sind auf das Notwendige begrenzt, und alle Aktivitäten werden lückenlos protokolliert. Das Ergebnis ist ein Sicherheitsmodell, das auch dann funktioniert, wenn Anmeldedaten kompromittiert werden.

Was ist der Unterschied zwischen IaaS, PaaS und SaaS in Bezug auf Sicherheitsverantwortung?

Bei IaaS trägt der Kunde die meiste Sicherheitsverantwortung. Bei PaaS teilen sich Anbieter und Kunde die Verantwortung. Bei SaaS übernimmt der Anbieter die Infrastruktur vollständig, aber die Datensouveränität bleibt beim Kunden. Deshalb ist die Wahl eines vertrauenswürdigen, zertifizierten SaaS-Anbieters entscheidend.

Welche Software nutzen Board Manager für die sichere Verwaltung von Sitzungen?

Board Manager, General Secretaries und Compliance-Verantwortliche nutzen spezialisierte Board-Portal-Lösungen, die Zero-Trust-Prinzipien technisch umsetzen: MFA, granulare Zugriffsrechte, Audit Trail und verschlüsselte Dokumentenverteilung. Das DiliTrust Board Portal kombiniert diese Sicherheitsmerkmale mit KI-gestützten Funktionen für Protokollführung und Audio-Transkription.

Avatar-Foto
Autor:in

admin