Cloud Access Security Broker

Mit CASB sicher in die Wolke

David Hald, Gründungsmitglied von SMS Passcode, ist seit der Übernahme von SMS Passcode durch CensorNet als Chief Strategy Officer (CSO) für die Strategieentwicklung und -umsetzung des fusionierten Unternehmens verantwortlich.
Cloud-Technologien finden bei Unternehmen immer größeren Zuspruch. Doch gerade in puncto Daten und Compliance gibt es Sicherheitsbedenken. Cloud-Security-Lösungen können hier Abhilfe schaffen.

Cloud Computing hat die IT-Landschaft wie kaum eine andere Technologie der vergangenen Jahre geprägt. Als Amazon vor genau zehn Jahren mit seinen Web Services eine der ersten Cloud-Plattformen auf den Markt brachte, konnten selbst Branchenkenner nur ahnen, welches Potenzial mit der Bereitstellung von Ressourcen "aus der Wolke" einhergeht. Mittlerweile ist Cloud Computing einer der am schnellsten wachsenden IT-Märkte weltweit. Denn nicht nur private Anwender setzen vermehrt auf SaaS-Lösungen wie Dropbox, Google Drive oder iCloud, auch im Unternehmensumfeld sind Cloud-Dienste auf dem Vormarsch. So nahmen laut des Bitkom Cloud-Monitor 2016 im vergangenen Jahr zum ersten Mal mehr als die Hälfte aller deutschen Unternehmen (54 Prozent) Cloud-Services in Anspruch.

Immer mehr Unternehmen wechseln in die Cloud - aber was ist mit der Sicherheit?
Immer mehr Unternehmen wechseln in die Cloud - aber was ist mit der Sicherheit?
Foto: Jirsak - shutterstock.com

Die Gründe, warum sich Unternehmen für Cloud-Services entscheiden, sind vielfältig. Neben geringeren Kosten ist häufig eine bessere Skalierbarkeit der IT ausschlaggebend für eine Auslagerung interner Daten in die Cloud. Die betriebseigene, physische IT-Landschaft ist dadurch nicht mehr der begrenzende Faktor, wovon insbesondere kleine und mittelständische Unternehmen profitieren: Diese können Speicher- und Rechenkapazitäten schnell und unkompliziert aus der Cloud beziehen und somit auf IT-Ressourcen in einem Umfang zurückgreifen, der üblicherweise nur größeren Unternehmen zur Verfügung steht. Zudem bietet die ortsunabhängige Zugriffsmöglichkeit auf Unternehmensdaten sowohl Arbeitgebern als auch Mitarbeitern eine nie zuvor dagewesene Flexibilität und Mobilität: So hat die zunehmende Verbreitung von Cloud-Lösungen den Ausbau von Remote-Arbeitsmodellen enorm begünstigt.

Cloud-Sicherheitsrisiken schon im Vorfeld abwägen

Doch trotz aller Vorteile lassen insbesondere rechtliche Unsicherheiten manche Unternehmen immer noch zögern, sich für Cloud-Dienste zu entscheiden. Denn ein Ergebnis des Bitkom Cloud-Monitors lautet auch: 62 Prozent der befragten Unternehmen sorgen sich darum, dass vorhandene Compliance-Anforderungen nicht eingehalten werden können. Diese Bedenken sind tatsächlich nicht ganz unbegründet. Entscheiden sich Unternehmen etwa für einen Cloud-Provider, dessen Server im Ausland stehen, sind die rechtlichen Rahmenbedingungen häufig unklar. Nicht zuletzt deshalb ist eine kritische Haltung im Hinblick auf die Datensicherheit in deutschen Führungsetagen immer noch weit verbreitet. Damit Unternehmen im Zuge der Umstellung auf Cloud-Services nicht sprichwörtlich aus allen Wolken fallen, sollten sich IT-Verantwortliche daher bereits im Vorfeld mit möglichen Sicherheitsrisiken auseinandersetzen. Wie sehen diese also genau aus?

Grundsätzlich sind Cloud-Infrastrukturen ähnlichen Gefahren ausgesetzt wie herkömmliche Unternehmensnetze. Doch sind erstere aufgrund der Menge an dort gespeicherten Daten ein deutlich attraktiveres Ziel für Hacker. Schließlich stellen Public-Cloud-Anbieter ihre Ressourcen mitunter Millionen Kunden zur Verfügung. Zwar haben Cloud-Provider in den vergangenen Jahren auf die Sicherheitsbedenken ihrer Kunden reagiert und massiv in Absicherungsmaßnahmen investiert. Dennoch kann ein Cyberangriff niemals vollständig ausgeschlossen werden. Mit dem Verschieben geschäftskritischer Daten auf fremde Server geht folglich immer ein gewisser Kontrollverlust über wertvolles Firmen-Know-how einher, den viele Unternehmen fürchten.

Datensicherheit: Risikofaktor Mensch

Zudem muss bei der Integration von Cloud-Diensten der Risikofaktor Mensch stets mit einkalkuliert werden. Denn Mitarbeiter sind im Umgang mit geschäftskritischen Daten häufig nicht ausreichend geschult und handeln daher - mangels besseren Wissens - in vielen Fällen fahrlässig. So ist im Privatleben das Teilen und Herunterladen von Dateien in persönliche File-Sharing-Accounts für die meisten Menschen mittlerweile Alltag. Risiken entstehen erst dann, wenn beide Bereiche - privat und geschäftlich - nicht mehr voneinander getrennt werden. So geschieht es in der Praxis nicht selten, dass Mitarbeiter beispielsweise per Remote-Zugriff Firmendaten in private File-Sharing-Dienste hochladen, die über keine ausreichenden Sicherheitsfunktionen wie Zwei-Faktor-Authentifizierung verfügen. Dadurch erhöht sich die Gefahr, dass die Daten unautorisiert an Dritte weitergegeben werden. Möglichen Datendieben wird damit Tür und Tor geöffnet.

Für einen verantwortungsvollen Umgang mit Cloud-Angeboten brauchen Unternehmen Mitarbeiter, die mögliche Sicherheitsrisiken kennen und vermeiden.
Für einen verantwortungsvollen Umgang mit Cloud-Angeboten brauchen Unternehmen Mitarbeiter, die mögliche Sicherheitsrisiken kennen und vermeiden.
Foto: sakkmesterke - shutterstock.com

Der zunehmende Trend hin zu Bring Your Own Device (BYOD) hat diese Gefahr nur noch begünstigt. Denn gerade weil Smartphone, Tablet und Co. für viele Menschen mittlerweile fester Bestandteil des Alltags sind, wollen auch die meisten Arbeitnehmer an ihrem Arbeitsplatz nicht darauf verzichten. Ein Sicherheitsrisiko entsteht, sobald Mitarbeiter mit eigenen Endgeräten und nicht genehmigten Applikationen ohne Wissen - und folglich ohne Genehmigung der IT-Verantwortlichen - auf Unternehmensdaten zugreifen. So entsteht eine Schatten-IT, also eine IT-Infrastruktur, die parallel zur offiziellen und an Compliance-Richtlinien ausgerichteten IT-Architektur besteht und sich den Kontrollmöglichkeiten der IT-Verantwortlichen somit vollständig entzieht. Ein effektives Sicherheitskonzept besteht folglich darin, Mitarbeiter im sachgemäßen Umgang mit vertraulichen Daten und Cloud-Applikationen zu schulen. Unternehmen, die sich für Cloud-Lösungen entscheiden, tun außerdem gut daran, die Verantwortung nicht ausschließlich an die eigenen Mitarbeiter zu delegieren, sondern bestehende Sicherheitslösungen noch um spezifische Cloud-Security-Maßnahmen zu ergänzen. Denn traditionelle Security-Tools wie Web-Filterung und Inhaltssicherheit, Firewalls und Anti-Viren-Software sind den Sicherheitsanforderungen moderner Cloud-Lösungen nicht mehr gewachsen.

CASB-Lösungen schaffen Transparenz

Aus diesem Grund steigt die Nachfrage nach sogenannten Cloud Access Security Brokern (CASB) deutlich an. Diese fungieren als Kontrollinstanz zwischen lokalem Firmennetzwerk und Cloud-Provider und bieten oft mittels einer detaillierten Übersicht der verwendeten Applikationen nicht nur lückenlose Transparenz, sondern ermöglichen zusätzlich eine gezielte Steuerung der Cloud-Zugänge. Administratoren können bei CASB-Lösungen in der Regel genau feststellen, welche Applikationen verwendet und welche Daten an welche Anwender weitergegeben werden dürfen. Somit können sie die Durchsetzung von Compliance-Richtlinien auf granularer Ebene sicherstellen. CASB-Lösungen schaffen also Sichtbarkeit, indem sie ein transparentes Bild aller Cloud-Prozesse liefern und bieten dadurch auch die Möglichkeit, der Entstehung einer Schatten-IT vorzubeugen. Ein flexibler Zugriff auf Daten und gleichzeitige Datensicherheit müssen also keinen Widerspruch darstellen.

Die Grundvoraussetzung für Sicherheit in der Cloud ist eine durchdachte Sicherheitsstrategie, die passende, cloud-spezifische Security-Tools mit einschließt. Nur so können Unternehmen das Potenzial von Cloud-Diensten voll ausnutzen und mögliche Sicherheitsbedenken abbauen. (fm)