CASB bringen Sicherheit in die Cloud-Nutzung
Dies ist ein Gastbeitrag von Rolf Haas, Senior Enterprise Technology Specialist bei McAfee
Vor fünf Jahren wurden Cloud-Lösungen mit Skepsis betrachtet. Mittlerweile kommt kaum noch ein Unternehmen ohne sie aus. Software-as-a-Service (SaaS) ist weit verbreitet; XaaS-Lösungen sind auf dem Vormarsch. Da die Migration allerdings schrittweise erfolgt, operieren Mitarbeiter in einer hybriden Umgebung. Dies stellt besondere Ansprüche an den Datenschutz, denn Sicherheitsregeln aus stationären Altsystemen lassen sich nicht 1:1 in die Cloud übertragen. Um wichtige Informationen in der Cloud zu schützen, sollten Cloud-Nutzer ihre Sicherheitsarchitektur aufrüsten. Cloud Access Security Broker (CASB) sind heute das Mittel der Wahl, um hybride Infrastrukturen abzusichern.
Nach dem „Cloud Adoption and Risk Report“ von McAfee enthalten inzwischen ein Fünftel aller Daten in der Cloud sensible Informationen. Die Cloud wird also auch immer interessanter für Hacker. Selbst wenn Unternehmen sich mit Datenschutzlösungen (Data Loss Prevention, DLP) absichern, stoßen diese an ihre Grenzen, wenn Sicherheitsregeln auch in der Cloud umgesetzt werden sollen. Bei der Nutzung von Cloud-Diensten muss die IT deshalb bereits bei der Integration sicherstellen, dass der Datenschutz und Sicherheitsregeln ohne Brüche wirken. Denn um die EU-Datenschutz-Grundverordnung (DSGVO) auch in hybriden Umgebungen umzusetzen, reichen bestehende DLP-Lösungen nicht aus.
Risiken von innen eindämmen
DLP-Lösungen überwachen den Zugriff auf Dateien und regulieren anhand Sicherheitsregeln und doppelter Authentifizierung von Nutzer und seiner Hardware Bearbeitung und Weitergabe. Das ist heute auch unerlässlich. Denn laut McAfee-Report kämpfen 80 Prozent der untersuchten Unternehmen mindestens einmal im Monat mit kompromittierten Accounts. Ebenfalls riskant sind Nutzer, die unabsichtlich sensible Informationen weitergeben, was bei 94 Prozent der Unternehmen mindestens einmal im Monat vorkommt. Überwacht DLP aber nur die Altsysteme, also die Systeme, die vor der Migration in die Cloud im Einsatz sind, kann die Cloud zum Schlupfloch werden. Hat ein Hacker beispielsweise durch gestohlener Login-Daten Zugriff auf einen Account, war es früher noch möglich, ihn anhand seiner unbekannten Hardware zu entdecken und sensible Daten zu schützen. Oder mit „E-Mail Policy Protection Rules“ erkannte das System das Dokument als vertraulich und blockierte den Versand. Das Sicherheitsteam erhielt im Anschluss eine Warnung und konnte den Account in Quarantäne setzen.
Heute können Nutzer diese lokalen Sicherheitsbestimmungen umgehen, indem sie den Versand nicht per lokalen Unternehmenscomputer vornehmen, sondern über einen Browser. Dann greifen sie via Cloud-Applikation des E-Mail-Providers auf Daten zu, wo die DLP-Regeln nicht mehr lokal greifen können. Dieser Vorgang ließe sich unter Umständen mit einer Netzwerk-DLP-Lösung noch verhindern. Allerdings kämpfen Sicherheitsteams hier an zwei Fronten: Zum einen verhindern Applikationen wie Office 365, dass der Traffic durch einen Netzwerkschutz abgefangen wird. Zum anderen lassen immer weniger Browser ein DLP-Plugin zu, um Nutzerdaten zu sammeln.
Regeln in beiden Umgebungen synchronisieren
Um Cloud-Anwendungen gleichermaßen zu schützen und Sicherheitsregeln lückenlos durchzusetzen, sind Unternehmen darauf angewiesen, eine Cloud-native Lösung zu installieren. Cloud Access Security Broker (CASB)-Lösungen sind dazu in der Lage. Sie arbeiten gleichzeitig als Türsteher für die Cloud und als verlängerter Arm der Sicherheitslösungen in den Altsystemen. IT-Mitarbeiter kontrollieren damit den Zugriff auf Cloud-Anwendungen sowie in Altsystemen und schützen Daten in jeder Bearbeitungsstufe. Die DLP-Funktionen des CASB verschieben bei unklarer Sicherheitslage das Dokument in Quarantäne. Im Dashboard des Administrators erscheint eine Warnung. Nach Prüfung kann er das Dokument freigeben oder den Nutzer sperren. CASB überwacht die Informationsströme aus beiden Umgebungen, was den Administrationsaufwand und das Störfall-Management vereinfacht. Denn die Mitarbeiter müssen nicht zwei unterschiedliche Dashboards überblicken und erstellen die Regeln zentral für die gesamte hybride Umgebung.
Schutzschirm für Anomalien
Ein weiterer Vorteil einer CASB-Lösung ist, dass sie das Nutzerverhalten auch außerhalb des definierten Aufgabengebietes überwachen und protokollieren kann. Sie erkennt Anomalien in Nutzerverhalten und Anwendungen. Greift ein Anwender mit seinem Endgerät auf einmal auf eine Applikation zu, für die er nicht autorisiert ist, stellt das ein abweichendes Verhalten dar. Das IT-Sicherheitsteam erhält eine Warnung. Gleiches gilt, wenn der Login zwar von einer sicheren Verbindung erfolgt, aber von einem neuen Endgerät oder parallel aus einer anderen Geo-Lokation. Diese Fälle müssen nicht immer eine Bedrohung darstellen. Schließlich kann der Mitarbeiter auch einfach eine neue Rolle eingenommen oder einen neuen Laptop erhalten haben. In diesem Fall werden die neuen Umstände in das Regelwerk übernommen. Handelt es sich allerdings nicht um einen autorisierten Nutzer, werden die IT-Mitarbeiter schnell auf den Eindringling aufmerksam und können den Account rechtzeitig sperren.
Fazit: Hybrid in die Zukunft
Unternehmen, die die Vorteile der Cloud nutzen, müssen auch die Sicherheitsherausforderungen annehmen. Sicherheitsregeln der Altsysteme in die Cloud zu übertragen, funktioniert nur eingeschränkt und kann neue Risiken begründen. Wenn die Cloud standardmäßig in Geschäftsprozesse eingebunden ist, muss es auch das Ziel sein, ihre Sicherheit als Teil eines Ganzen zu behandeln. Hierfür braucht es Lösungen, die passgenau für den Einsatz in der Cloud konzipiert sind. CASB sind deshalb heute das Mittel der Wahl und bieten ein zeitgemäßes Sicherheitsniveau in hybriden IT-Landschaften.
Weitere Informationen unter:
www.mcafee.com/de
Über den Autor:
Rolf Haas ist Senior Enterprise Technology Specialist EMEA bei McAfee und bringt über 24 Jahre Erfahrung im Bereich der Unternehmenssicherheit mit. Seine Spezialgebiete umfassen Cybercrime in privaten und beruflichen Umgebungen sowie alle Bereiche der IT Security, wie Malware, IPS, Firewall und Verschlüsselung.
CC BY-SA 4.0 DE
Sie dürfen:
- Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
- Bearbeiten — das Material remixen, verändern und darauf aufbauen und zwar für beliebige Zwecke, sogar kommerziell.
- Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
- Bitte berücksichtigen Sie, dass die im Beitrag enthaltenen Bild- und Mediendateien zusätzliche Urheberrechte enthalten.
Unter den folgenden Bedingungen:
- Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
- Weitergabe unter gleichen Bedingungen — Wenn Sie das Material remixen, verändern oder anderweitig direkt darauf aufbauen, dürfen Sie Ihre Beiträge nur unter derselben Lizenz wie das Original verbreiten.