Report: Unternehmen bei SaaS-Sicherheit schlecht vorbereitet – Risiken durch KI-Anwendungen nehmen zu

Ein neuer Bericht des Sicherheitsunternehmens AppOmni legt gravierende Schwächen im Umgang mit SaaS-Sicherheit offen. Der „State of SaaS Security 2025“-Report zeigt, dass Sicherheitsvorfälle im Zusammenhang mit cloudbasierten Anwendungen deutlich zunehmen – und viele Unternehmen unzureichend darauf vorbereitet sind.

Die steigende Komplexität von SaaS-Ökosystemen und der vermehrte Einsatz von KI-gestützten Anwendungen führen zu neuen Bedrohungsszenarien. Gleichzeitig besteht eine gefährliche Diskrepanz zwischen dem Vertrauen in bestehende Sicherheitsmaßnahmen und der tatsächlichen Risikolage.

Für den Bericht wurden über 800 Sicherheitsverantwortliche aus fünf Ländern – darunter Deutschland, die USA und Japan – befragt. Drei Viertel der Teilnehmer arbeiten in Großunternehmen mit mehr als 2.000 Mitarbeitenden, vor allem aus Branchen wie Finanzwesen, Gesundheitswesen, Fertigung und Softwareentwicklung.

Ein zentrales Ergebnis: Die Mehrheit der Befragten fordert eine bessere Kontrolle und Überwachung von KI-fähigen Anwendungen, um der wachsenden Bedrohungslage zu begegnen.

Die Ergebnisse zeigen, dass SaaS zwar zu einer der am häufigsten angegriffenen Ebenen der Angriffsfläche von Unternehmen geworden ist, aber nach wie vor zu den am wenigsten proaktiv geschützten Bereichen zählt. Dies unterstreicht die dringende Notwendigkeit für Unternehmen, sich von der Illusion der Kontrolle zu lösen und widerstandsfähige SaaS-Sicherheitsstrategien zu implementieren, um den sich schnell entwickelnden Bedrohungen begegnen zu können. Der diesjährige Bericht untersucht auch die wachsende Kluft zwischen Vertrauen und tatsächlicher Widerstandsfähigkeit, wie Unternehmen bei der Umsetzung von SaaS-Sicherheit versagen und ob sich die Sicherheitsmentalität schnell genug weiterentwickelt, um neuen Herausforderungen wie KI-Governance und strengeren Vorschriften gerecht zu werden.

„Dieser Bericht markiert einen entscheidenden Wendepunkt für die Branche: Die Daten zeigen eine besorgniserregende ‚Kontrollillusion‘, bei der die überwiegende Mehrheit der Sicherheitsverantwortlichen von ihrer SaaS-Sicherheitslage überzeugt ist, obwohl eine große Anzahl von ihnen mit SaaS-bezogenen Vorfällen zu kämpfen hat“, sagte Brendan O’Connor, CEO von AppOmni. „Die heutigen SaaS-Risiken sind nicht theoretischer Natur – sie sind real und wirken sich bereits jetzt auf Unternehmen aus. Die wichtigste Erkenntnis für Unternehmen ist, dass Transparenz allein keine Sicherheit bedeutet und Vertrauen in SaaS-Anbieter keine Strategie ist. Wir brauchen einen grundlegenden Wandel von ad hoc reagierenden Prozessen hin zu einem ausgereiften, disziplinierten Ansatz, der auf kontinuierlicher Überwachung und klaren Verantwortlichkeiten basiert. Unser Bericht zeigt Unternehmen einen Weg auf, wie sie die Komplexität von SaaS überwinden, Klarheit schaffen und echte Resilienz aufbauen können.“

Während 96 % der Befragten zustimmen, dass SaaS-Sicherheit immer wichtiger wird, werden sie durch alte Gewohnheiten und mangelndes Bewusstsein daran gehindert. Die Ursachen für diese Sicherheitslücke reichen von verstreuten Standard-Verantwortungsmodellen bis hin zu einem grundlegenden Missverständnis des Modells der geteilten Verantwortung.

Die Studie kommt insbesondere zu folgenden Ergebnissen:

• KI schafft neue Herausforderungen für die Governance: 61 % der Befragten erwarten, dass künstliche Intelligenz im kommenden Jahr die Diskussionen über SaaS-Sicherheit dominieren wird, was eine bessere Überwachung von nicht-menschlichen Identitäten (NHI) und den Zugriff auf generative KI-Tools innerhalb von SaaS-Anwendungen erfordert.
• SaaS-Sicherheitsvorfälle nehmen zu: 75 % der Unternehmen hatten im vergangenen Jahr einen SaaS-bezogenen Sicherheitsvorfall, was einem Anstieg von 33 % gegenüber 2024 entspricht.
• Theoretisch sicher, in der Praxis durchbrochen: 91 % der Unternehmen geben an, Vertrauen in ihre SaaS-Sicherheitslage zu haben, obwohl drei Viertel einen SaaS-Vorfall erlebt haben, was eine gravierende Diskrepanz offenbart.
• 89 % der kompromittierten Unternehmen waren der Meinung, dass sie „angemessene Transparenz” in ihrer SaaS-Umgebung hatten, was die gefährliche falsche Sicherheit zeigt, die durch Transparenz ohne Durchsetzung oder kontinuierliche Validierung entsteht.
• Tooling-Lücken bleiben groß: Nur 13 % der Befragten verwenden derzeit eine dedizierte SaaS Security Posture Management (SSPM)-Lösung, obwohl fast ein Drittel angibt, eine solche zu benötigen.
• Mangelnde grundlegende Sicherheitshygiene ist nach wie vor die Ursache für die meisten Probleme: 41 % der Vorfälle waren auf Berechtigungsprobleme zurückzuführen, während 29 % auf Fehlkonfigurationen zurückzuführen waren.