Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

03.11.2016 - 

Cloud Access Security Broker (CASB)

Von der Schatten-IT zu Schatten-Daten

Christoph Müller-Dott ist Geschäftsführer für Deutschland und Österreich bei Orange Business Services. Mit mehr als 25 Jahren Erfahrung in der ITK-Industrie kennt er die Entwicklungen und Herausforderungen der Branche. Er weiß, dass gerade Trends wie Cloud Computing, Industrie 4.0, das Internet of Things oder die steigende Mobilität ganz neue Herausforderungen mit sich bringen – diese gilt es aus seiner Sicht zu erkennen und zu meistern.
Unternehmen können mit Cloud Access Security Broker (CASB) den Überblick behalten - nicht nur über die Anwendungen, sondern auch über die Daten, die sich in der Cloud befinden.

Das Prinzip der Schatten-IT ist bekannt: Mitarbeiter nutzen vom Unternehmensnetzwerk aus Cloud-Anwendungen, die von der internen Unternehmens-IT weder genehmigt noch unterstützt werden. Analysten wie Gartner oder Forrester sprechen auch von "Unsanctioned Apps". Bislang waren Unternehmen recht hilflos, wenn es darum ging, das ganze Ausmaß der Schatten-IT zu überblicken. Der Netzwerktraffic musste analysiert und die Logs der Proxys, der Firewalls und der Netzwerksonden zusammengeführt werden. Das Ergebnis: ein Puzzle, das weitgehend auf Kontrollpunkten der Proxys und der Firewalls basierte und dem es an einer Risikoeinschätzung fehlte.

Unternehmen, die keinen Überblick über die eingesetzte Software haben, fehlt auch das Wissen über die dadurch generierten Daten.
Unternehmen, die keinen Überblick über die eingesetzte Software haben, fehlt auch das Wissen über die dadurch generierten Daten.
Foto: pathdoc - shutterstock.com

In Zukunft sollen Cloud Access Security Broker (CASB) Abhilfe schaffen. Sie dienen als "Grenzkontrollen" zwischen Cloud-Nutzern und Cloud-Anbietern. Sobald Cloud-basierte Anwendungen ins Spiel kommen, greifen sie ein und bilden die IT-Sicherheitsrichtlinien des Unternehmens ab - etwa Authentifizierung, Gerätekontrolle, Verschlüsselung, Protokollierung oder Malware-Prävention.

Mithilfe von CASB-Lösungen entstehen darüber hinaus umfangreiche Analysen, die Tausende von Anwendungen mit einbeziehen und zahlreichen Softwareanbietern als Grundlage für ihre Evaluationsberichte dienen. Ob "Cloud Confidence Index" (Netscope), "Business Readiness Rating" (Elastica, nun Bluecoat) oder "Cloud Trust Rating" (Skyhigh). Diese Berichte beschäftigen sich alle mit den Risiken, die Cloud-Anwendungen mit sich bringen. Sie bieten Unternehmen einen detaillierten Überblick und helfen dabei, die entsprechenden Maßnahmen zu ergreifen. So können Anwendungen mithilfe von CASB komplett blockiert oder grundsätzlich autorisiert und nur bestimmte Funktionen eingeschränkt werden. Im Vergleich zu einem klassischen Proxy bedeutet das zusätzliche Sicherheit für Cloud-Applikationen.

Und was passiert mit den Schatten-Daten?

Allerdings genügt es nicht, den Überblick über die Anwendungen zu behalten und diese im Zweifel zu blockieren. Denn das Sicherheitsrisiko geht weit darüber hinaus: Auch die Daten, die durch die Nutzung einer Anwendung entstehen, müssen entsprechend geschützt werden. Tatsächlich belegt eine aktuelle Studie der Cloud Security Alliance, dass das größte Risiko für Unternehmen, die Cloud-Anwendungen nutzen, nach wie vor der Datenverlust ist.
Dieses Risiko besteht nicht nur bei nicht-autorisierten Anwendungen der Schatten-IT, sondern auch bei autorisierten, den sogenannten "Sanctioned Apps". Denn auch wenn Mitarbeiter eine vom Unternehmen autorisierte Cloud-Anwendung nutzen, um E-Mails zu verschicken oder Dokumente zu teilen - wenn die Daten erst einmal in der Cloud gespeichert sind, müsste man durch zusätzliche Kontrollen sicherstellen, dass vertrauliche Dokumente nur innerhalb der Organisation geteilt werden können.

Genau dieses Phänomen beschreibt der Begriff "Schatten-Daten", den auch Elastica verwendet: Daten, die von Nutzern autorisierter Cloud-Anwendungen generiert werden, ohne dass das Unternehmen weiß,

  • welche Dokumente dort gespeichert sind

  • wie sensibel die Daten sind

  • ob die Dokumente innerhalb des Unternehmens verbleiben oder ob sie per E-Mail oder über einen direkten Link mit externen Personen geteilt werden

Klassische Data Loss Prevention (DLP)-Lösungen sind aufgrund der steigenden Anzahl von Internetanschlüssen und Cloud-Anwendungen nicht mehr zeitgemäß. Mit CASB werden die zu schützenden Daten deshalb auf unterschiedliche Arten behandelt - je nachdem, wie sie einzustufen sind. So werden etwa für ruhende Daten ("Data at rest"), die bereits in der Cloud gespeichert sind, API Connectors verwendet, während für Daten, die gerade erst in die Cloud geladen werden ("Data on the fly"), der Gateway-Modus gilt.

Auch wenn Schatten-Daten ein ernsthaftes Sicherheitsrisiko darstellen, ist das Thema auf der Agenda der meisten Unternehmen noch nicht angekommen. Zwei Gründe spielen hier eine entscheidende Rolle: Zum einen ist vielen Unternehmen noch nicht bewusst, welche Dimensionen die Schatten-IT tatsächlich annehmen kann. Zum anderen herrscht noch viel Unklarheit darüber, welche neuen Möglichkeiten Technologien wie CASB eröffnen.

Lesetipp: IT-Sicherheit als Einkaufskriterium

Newsletter 'Fachhandel' bestellen!