Cloud-Computing ist für viele Unternehmen nicht nur ein Muss, sondern eine Selbstverständlichkeit. Doch die in der Cloud angesiedelten Services und Geschäftsdaten stellen auch ein verlockendes Ziel für Kriminelle dar. Eine gute Cybersicherheit ist aus diesem Grund unabdingbar. „Cloud-Access-Security-Broker” (CASBs) fügen Ihrer Cyber-Security eine zusätzliche Schutzschicht hinzu.
Datendiebstahl kann für Unternehmen verheerend sein. Laut einer Umfrage von Forrester Research waren im Jahr 2022 mit 49% beinahe die Hälfte der befragten Unternehmen Opfer einer Cyber-Attacke. Geschäftsprozesse, die auf der Cloud basieren und gleichzeitig dezentral organisiert sind, erfordern eine konstante Überwachung. Cloud-Access-Security-Broker nehmen dabei eine wichtige Rolle ein.
Was ein Cloud-Access-Security-Broker genau ist und welche Funktion die Anwendung im Zuge der Cybersicherheit Ihres Unternehmens einnehmen kann, erfahren Sie in diesem Artikel.
Was sind Cloud-Access-Security-Broker und wie funktionieren sie?
Ein Cloud-Access-Security-Broker (CASB) ist ein Cloud-Computing-Programm, das an der Stelle zwischen Cloud-Diensten und deren Benutzer:innen platziert ist. Genauer gesagt überwacht es den Pfad der Daten zwischen den in der Cloud bereitgestellten Services und den Rechnern, mit denen User:innen darauf zugreifen.
„Broker“ (deutsch: Makler:in) sind in der IT generell Anwendungen der Middleware, also der Software, die sich auf der Ebene zwischen dem Betriebssystem und darauf ausgeführten Anwendungen befindet. Sie (die Broker) bündeln dort externe und interne Anforderungen eines Systems und reichern sie mit spezifischen Funktionen an.
Der CASB stellt konkret Funktionen und Services bereit, die die Daten der Cloud-Anwendungen vor Bedrohungen schützen sollen. Er ist also Teil der Cybersicherheit und überwacht sowohl den Datenverkehr als auch die Aktivitäten der Cloud-Anwender:innen.
Diese Überwachung soll gewährleisten, dass Sicherheitsrichtlinien der Cloud-Applikation Anwendung finden. Darunter fallen beispielsweise Vorgaben bezüglich der Authentifizierung und zu Warnbenachrichtigungen. Riskante Datenfreigaben erfolgen auf dieser Basis gar nicht erst und potenzielle Bedrohungen filtert der CASB automatisch heraus.
Die vier Säulen von CASBs
Cloud-Access-Security-Broker bauen auf vier maßgeblichen Säulen auf. Diese sollen dafür sorgen, dass vor allem komplexere Sicherheitsmaßnahmen in der Cloud besser strukturiert sind. Der Ansatz erlaubt Ihrem Unternehmen eine größere Flexibilität, um Sicherheitsrichtlinien durchzusetzen und speziell auf Ihre Arbeitsmodelle angepasste Lösungen einzusetzen.
Datensichtbarkeit
Vor allem für die Sicherheitsbeauftragten und die IT-Abteilung Ihres Unternehmens spielt die Sichtbarkeit des Datenverkehrs von und zur Cloud eine wichtige Rolle. Anstatt pauschale Berechtigungen oder Beschränkungen zu verteilen, erlaubt es die Cloud-Brokerage, spezifische Dienste bestimmter Benutzer:innen zu gestatten, falls es erwünscht ist.
CASBs identifizieren zudem sämtliche genutzte Clouddienste, um jeweils eine Risikobewertung zu ermöglichen – also von deren Datenpunkten und Übertragungen. Dies liefert Informationen zur Umsetzung individueller Zugriffsrichtlinien, etwa beim Zugriff einzelner Mitarbeiter:innen auf bestimmte cloudbasierte Anwendungen. Um diese jederzeit flexibel an die Bedürfnisse oder geänderte Sicherheitsanforderungen Ihres Unternehmens anzupassen, können Sie mittels eines CASB personen- und gerätespezifische Steuerungsroutinen etablieren.
Beispielsweise können Sie auf diese Weise erlauben, dass Mitarbieter:innen über lokale Firmenrechner auf kritische Unternehmensanwendungen in der Cloud zugreifen können – nicht jedoch über Mobilgeräte.
Datensicherheit (Data Loss Prevention)
Eine weitere wichtige Aufgabe eines CASB besteht in der Vorbeugung von Datenverlust in Unternehmen, auch bekannt als „Data Loss Prevention“ (DLP). Hierfür erstrecken sich die Sicherheitsmaßnahmen über sämtliche Daten, die Mitarbeiter:innen und Anwendungen in und zur Cloud übertragen. Sowohl die Speicherung als auch der Datentransfer sind damit weitgehend abgesichert und das Risiko von Datenlecks sinkt deutlich.
Auch Erkennungsmechanismen wie das Fingerprinting von Dokumenten können Bestandteil von CASBs sein. Sie fungieren damit quasi als „Torwächter“ Ihrer Cloud-Dienste und können Bedrohungen identifizieren und aufhalten, bevor diese Schaden anrichten.
CASBs bieten damit einen umfassenderen Schutz Ihrer Daten gegenüber speziellen Anwendungen wie etwa E-Mails. Gefahren oder mutmaßliche Verstöße gegen Richtlinien meldet der Broker automatisch an die Beauftragten Ihrer Firmen-IT.
Bedrohungsschutz (Threat Protection)
CASBs können anormales Verhalten von Anwendungen und des Datenflusses zu und von diesen erkennen. Auf der Grundlage typischer Nutzungsmuster ist es ihnen damit möglich, ungewöhnliche Aktivitäten zu identifizieren und herauszufiltern.
Darunter fallen sowohl fahrlässige Bedrohungen für die Datensicherheit aufgrund unsachgemäßer Handhabung durch Benutzer:innen als auch böswillige Bedrohungen der Daten, wie zum Beispiel bei einem Angriff durch Kriminelle. Dazu gehören eine adaptive Zugriffsteuerung, konkrete Maßnahmen gegen Schadsoftware (sogenannte Malware) sowie bei Bedarf weitere Funktionen.
Compliance
Ein wichtiges Element der Datensicherheit ist, dass Unternehmen die Sicherheits- und Datenschutzbestimmungen durchsetzen. Diese Aufgabe ist gerade vor dem Hintergrund zunehmender hybrider Arbeitsformen wichtiger, aber auch komplexer geworden. Um die Schutzbestimmungen möglichst lückenlos durchzusetzen, überwachen CASBs die Compliance-Richtlinien für alle Geräte und Nutzer:innen innerhalb von Unternehmen, aber auch von Wide Area Networks (WANs).
Dies ist vor allem dann wichtig, wenn Unternehmen im Umgang mit sensiblen Daten spezielle gesetzliche Standards einhalten müssen. Dazu gehören etwa die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union oder der Health Insurance Portability and Accountability Act (HIPAA) in Bezug auf Gesundheitsdaten in den USA.
Implementierungen von CASBs
Sie können Cloud-Access-Security-Broker auf unterschiedliche, aber jeweils einfache Weise in die Geschäftsprozesse Ihres Unternehmens integrieren. Üblicherweise verrichten CASBs Ihren Dienst im Zusammenhang mit Cloud-Services, dennoch können Sie sie auch in On-Premises-Systeme eingliedern.
Grundlegend unterscheidet man drei unterschiedliche CASB-Bereitstellungsmodelle:
- API-Scanning: Dies ist eine für genehmigte Anwendungen geeignete Sicherheitsmaßahme, die Schnittstellen und gespeicherte Daten in der Cloud überwacht. Darüber hinaus bietet sie allerdings keinen Echtzeitschutz.
- Forward-Proxy: Dieser Schutz liefert Echtzeitprävention für genehmigte und nicht genehmigte Anwendungen. Er kann allerdings weder ruhende Daten überprüfen noch Geräte überwachen.
- Reverse-Proxy: Der Reverse-Proxy unterstützt sowohl verwaltete als auch nicht verwaltete Geräte, indem er den kompletten Datenverkehr der Benutzer:innen umleitet. Er integriert bei genehmigten Anwendungen eine Echtzeit-DLP.
Eine besondere große Flexibilität bieten sogenannte Multimode-CASBs: Diese nutzen gleichzeitig sämtliche der dargestellten Modelle. Außerdem bieten sie den besten Rundumschutz für alle Anwendungen und den Datenverkehr rund um Ihre cloudbasierten Geschäftsprozesse.
Anwendungsmöglichkeiten für Cloud-Access-Security-Broker
Cloud-Access-Security-Broker eignen sich für unterschiedliche Anwendungsbereiche im Zusammenhang mit Cloud-Anwendungen und Ihren cloudbasierten Geschäftsprozessen, die damit in Zusammenhang stehen.
Entdeckung von Schatten-IT
Unter die sogenannte Schatten-IT fallen alle Prozesse und Daten, die der offiziellen IT-Administration Ihres Unternehmens nicht bekannt sind. Sie sind somit weder organisatorisch noch hinsichtlich der Sicherheitsrichtlinien Teil des geschäftlichen IT-Service-Managements und stellen aus diesem Grund ein Risiko dar.
Dazu zählen zum Beispiel Anwendungen zur betrieblichen Kommunikation neben Ihren offiziell genutzten Unternehmenskanälen, wie etwa Messenger und Social-Media-Plattformen. Auch separat entwickelte oder installierte Programme Ihrer Mitarbeiter:innen fallen unter die Schatten-IT.
Neben der Software gehört auch die Einbindung von Hardware in diesen Bereich, die nicht die IT-Administrator:innen Ihres Unternehmens angeschafft haben. Das können sowohl von Fachabteilungen beschaffte Geräte wie Drucker und Scanner sein, aber auch geschäftlich genutzte private Mobilgeräte, die nicht im betrieblichen Unified Endpoint Management (UEM) enthalten sind.
Diese Soft- und Hardware existiert also außerhalb der Security-Richtlinien und findet in der Administration zumindest „offiziell“ keine Berücksichtigung. CASBs können Anwendungen „im Schatten“ der offiziellen Firmen-IT erkennen und riskante Prozesse aufdecken. Durch automatische Richtlinien können Sie auf dieser Basis die Nutzung der Schatten-IT beschränken oder sogar komplett blockieren.
Sicherheit für private SaaS-Instanzen
Viele Unternehmen installieren ihre betrieblich genutzte Software nicht mehr On-Premises auf lokalen Rechnern, sondern nutzen sie vorwiegend mittels des Cloud-Modells Software-as-a-Service (SaaS). Dabei stellen die Anbieter die Software in der Cloud zur Verfügung, sodass Unternehmen sie theoretisch auf jedem Endgerät unter einem festen Account nutzen können. Beispiele dafür sind die Office-Suite Microsoft 365 und das Projektmanagement-Tool Jira.
Ein Problem entsteht dann, wenn Ihre Mitarbeiter:innen eine weitere Instanz einer solchen Anwendung verwenden, zumeist mit ihrem privaten Account. Rufen sie diese Accounts auf unterschiedlichen Geräten auf, kann es nicht nur zu Konflikten kommen, sondern auch zur Vermischung beider Instanzen. Dies begünstigt die unzulässige Frei- und Weitergabe Ihrer betrieblichen Daten unter dafür nicht vorgesehenen Accounts.
CASBs können dies verhindern, indem sie zwischen genehmigten SaaS-Mandanten und nicht genehmigten Instanzen des gleichen Programms unterscheiden. Ihre IT-Administration kann damit einfache Richtlinien festlegen, dass eine Drittinstanz beispielsweise keine betrieblichen Daten verwenden darf. Diese Kontrollfunktionen kann Ihre IT-Abteilung durch entsprechende Vorkonfiguration für die gängigsten Programme in Echtzeit durchsetzen.
Im gleichen Zug können CASBs auch die Konfigurationen Ihrer SaaS-basierten Anwendungen überwachen, um deren reibungslose Funktion zu gewährleisten und Sicherheitsrisiken auszuschließen.
Überprüfung riskanter Datenfreigaben
Aufgrund der erheblich angestiegenen Arbeit in der Cloud nutzen mehr Anwender:innen betriebliche IT-Ressourcen gemeinsam als je zuvor – innerhalb und außerhalb von Unternehmen. Ein wichtiger Punkt für die Sicherheit geschäftlicher Daten ist die Frage, für wen Sie als Unternehmen diese Dateien und Prozesse freigeben.
Ein CASB kann bei der Verwaltung cloudbasierter Anwendungen überprüfen, welche User:innen konkret damit arbeiten beziehungsweise wer eine Freigabe für bestimmte Daten erhält. Fallen dabei verdächtige Aktivitäten auf, macht der CASB Ihre Administrator:innen darauf aufmerksam, damit Unternehmensdaten möglichst nicht in falsche Hände geraten.
Vorbeugung von Datenverlusten
Wie erwähnt unterliegen Sie als Unternehmen bei der Verarbeitung sensibler Daten spezifischen gesetzlichen Bestimmungen, die den Umgang damit regeln und beschränken, wie etwa die DSGVO. Dementsprechend muss der Schutz dieser Daten an ihrem Speicherort gewährleistet sein.
Ein Cloud-Access-Security-Broker kann sicherstellen, dass diese Speicherorte auf Grundlage der gesetzlichen Anforderungen konfiguriert sind. Des Weiteren ist der CASB in der Lage, Daten sowohl an den Speicherorten als auch auf den Übertragungswegen dorthin zu erkennen und zu klassifizieren. Damit kann der CASB Datenverluste und Verstöße gegen gesetzliche Bestimmungen verhindern.
Verhinderung von Angriffen
Für Cyberkriminelle stellen Unternehmensdaten ein lohnendes Angriffsziel dar. Die Motive von Hacker:innen sind dabei sehr unterschiedlich und Attacken können auf viele verschiedene Arten erfolgen. Meist versuchen sie, Malware in ein Unternehmensnetzwerk einzuspielen, um über infizierte Rechner Zugriff auf geschützte Daten zu erlangen Dabei kann es sich beispielsweise um Viren, Trojaner, Spionage-Software oder Ransomware handeln.
Cloud-Access-Security-Broker tragen dazu bei, Ihre cloudbasierten Daten und Anwendungen besser vor Angriffen zu schützen. Sie verfügen über Funktionen zur sogenannten Advanced Threat Protection (ATP), die Malware effektiv erkennen und abwehren können. Zu diesen Funktionen gehören:
- Echtzeit-Proxy blockiert das Hochladen von schädlichen Dateien.
- Out-of-Band-Scan erkennt Daten im Ruhezustand und minimiert Risiken.
- Cloud-Sandboxing spürt sogenannte „Zero-Day-Malware“ auf, die sich an einem bestimmten Datum aktivieren soll.
- Cloud Browser Isolation ermöglicht einen sicheren Cloud-Zugriff durch nicht verwaltete Endgeräte.
Bei allem zusätzlichen Schutz sollten Sie allerdings immer berücksichtigen, dass ein CASB nur im Rahmen einer ganzheitlichen Unternehmensstrategie zur Cybersicherheit seine volle Wirkung entfaltet. Verstehen Sie CASBs also als ein Element im Rahmen weiterer architektonischer Sicherheitsmaßnahmen für Ihr Unternehmensnetzwerk sowie regelmäßiger Schulungen Ihrer Mitarbeiter:innen.
CASB vs. SASE: Was ist der Unterschied?
Im Zusammenhang mit Cloud-Sicherheit ist Ihnen vielleicht auch schon der Begriff Secure-Access-Service-Edge (SASE) begegnet. Diese Technologie führt Sicherheitsfunktionen im Netzwerk an der Stelle aus, an der sie benötigt werden, anstatt sie von einem zentralen Rechenzentrum aus bereitzustellen.
Im Zuge der zunehmenden Verbreitung von Wide-Area-Networks (WANs), also Rechnerverbünden über einen großen geografischen Bereich, und der zunehmenden Verbreitung von Edge-Computing erhält SASE eine immer größere Bedeutung.
SASE kombiniert CASBs gemeinsam mit anderen Netzwerksicherheitsfunktionen mit modernen WAN-Architekturen. Beispiele dafür sind Technologien wie Secure-Web-Gateways (SWG), Data-Loss-Prevention (DLP) und Firewall-as-a-Service (FWaaS). Unternehmen erhalten somit an jedem Point-of-Presence (PoP), also lokalen Netzzugangspunkten, sämtliche Netzwerk- und Sicherheitsfunktionen ohne größere Latenzzeiten.
Der Zugang erfolgt dabei identitätsgebunden: Es kann sich bei verifizierten Identitäten um Personen, Netzwerkzweigstellen, Hardware, Anwendungen und deren spezifische Dienste handeln, aber auch um IoT-Geräte oder Edge-Computing-Standorte. CASBs überwachen als Teil dieser Infrastruktur dann vor allem die jeweiligen Identitäten: Sie stellen fest, wenn diese von der vorgegebenen Konfiguration oder den Compliance-Richtlinien des Unternehmens abweichen.
Cloud-Access-Security-Broker: Das Wichtigste in Kürze
- Cloud-Access-Security-Broker überwachen die Pfade und Prozesse der Daten zwischen Services in der Cloud und den Rechnern, mit denen User:innen darauf zugreifen.
- CASBs stellen konkret Funktionen und Services bereit, die die Daten der Cloud-Anwendungen vor Bedrohungen schützen sollen.
- Die Basis dazu besteht aus vier Säulen: Datensichtbarkeit, Datensicherheit, Bedrohungsschutz und Compliance.
- Grundlegend unterscheidet man drei unterschiedliche CASB-Bereitstellungsmodelle: Forward-Proxy, Reverse-Proxy und API-Scanning. Multimode-CASBs vereinen alle Modelle in einer Anwendung und sind deshalb am effektivsten.
- CASBs können Anwendungen der Schatten-IT entdecken und blockieren, Sicherheit unterschiedlicher SaaS-Instanzen gewährleisten, riskante Datenfreigaben überprüfen, Datenverlusten vorbeugen und Cyber-Angriffe verhindern.
- Als Bestandteil des Netzwerkkonzepts Secure Access Service Edge (SASE) kommt CASBs eine zunehmend größere Bedeutung zu, um die Sicherheit moderner Netzwerklösungen in Wide-Area-Networks zu gewährleisten.
Quelle:
https://www.vodafone.de/business/featured/digitales-business/digitaler-arbeitsplatz/cloud-access-security-broker-cloud-sicherheit-auf-hoechstem-niveau/