Suchen

Was CASB-Lösungen dabei leisten Drei Sicherheitsprobleme der Cloud und wie man damit umgeht

| Autor / Redakteur: Uwe Becker* / Elke Witmer-Goßner

Die Cloud-Umgebung bringt mittlerweile für Unternehmen jeder Größenordnung viele Vorteile mit sich. So verspricht das Outsourcing von Unternehmensdaten und -anwendungen insbesondere mehr Effizienz, eine höhere Flexibilität und eine zeitnahe Skalierbarkeit.

Firma zum Thema

CASB-Lösungen liefern eine ganzheitliche Sicht auf die Cloud-Architektur und sind prinzipiell gut geeignet, Risiken zu bewältigen und Sicherheitslücken schließen.
CASB-Lösungen liefern eine ganzheitliche Sicht auf die Cloud-Architektur und sind prinzipiell gut geeignet, Risiken zu bewältigen und Sicherheitslücken schließen.
(Bild: gemeinfrei© StockSnap / Pixabay )

Was in den letzten Jahren noch als aufstrebende Technologie galt, ist mittlerweile in der Speicher-Architektur der Unternehmen als bewährter Bestandteil angekommen. Dennoch sehen sich Unternehmen, die Cloud-Technologien einsetzen, immer noch mit unterschiedlichen Sicherheitsherausforderungen konfrontiert, darunter Fragen zur Einhaltung gesetzlicher Vorschriften, zu Datenverlusten und potenziellen Bedrohungen für die Vermögenswerte. Doch was sind die Top-Sicherheitsprobleme im Zusammenhang mit der Cloud und wie können sie am besten vermieden werden?

Sicherheitsprobleme durch Datenverluste

Der Verlust sensibler Daten ist die kritischste Bedrohung, die Cloud Computing heute für Unternehmen darstellt. Um Daten besser schützen zu können, müssen Unternehmen zunächst verstehen, wie und an welcher Stelle die Daten an- und abgegriffen werden können. Das Risiko der vielfältigen Cloud-Anwendungen, auf die Mitarbeiter mit ihren Unternehmens- oder Privatendgeräten am Arbeitsplatz zugreifen, bleibt vielfach unbemerkt. Notizbuch- oder File-Sharing-Apps werden beispielsweise von vielen unbedarft und ohne Sicherheitsvorkehrung genutzt.

In einer von Stratecast durchgeführten Umfrage gaben achtzig Prozent der befragten Mitarbeiter zu, ungenehmigte Public Cloud-Anwendungen am Arbeitsplatz zu nutzen – mit möglicherweise fatalen Folgen für ihr Unternehmen. Völlig unbeabsichtigt können sensible Daten gefährdet werden, wenn beispielsweise ein Nutzer versehentlich vertrauliche, in der Unternehmens-Cloud gespeicherte Daten mit öffentlich zugänglichen URLs überschreibt.

Das übermäßige Teilen von Daten und Inhalten, das sogenannte Oversharing, stellt auch ein Problem dar, weil Daten aus Versehen auch mit Personen geteilt werden, denen die Daten eigentlich nicht zur Verfügung stehen sollten. Ebenso kritisch ist das Speichern von Passwörtern in gemeinsam genutztem Speicher sowie die Fehlkonfiguration von Cloud-Ressourcen. Aber auch gezielte Angriffe eines Mitarbeiters sind möglich und vertrauliche Daten können beispielsweise über die firmeneigene IT auf den persönlichen Cloud-Speicher gezogen werden. Laut einer aktuellen IDG-Studie zum Thema Endpoint Security Management ist demnach jedes zweite Unternehmen von Insider-Angriffen betroffen. 19 Prozent der Unternehmen sind sich sicher, dass aktuelle oder ehemalige Mitarbeiter wichtige Daten gestohlen, sabotiert oder vorsätzlich gelöscht haben. Weitere 32 Prozent halten dies für wahrscheinlich. Diesen Einschätzungen muss im Rahmen eines umfassenden Security-Konzepts Rechnung getragen werden.

Um einen umfassenden Datenschutz im Rahmen von Cloud Computing zu gewährleisten und die unterschiedlichen Compliance-Anforderungen einzuhalten, sind außerdem folgende Sicherheitsmaßnahmen empfehlenswert:

  • Sensible Daten sind sowohl während der Übertragung als auch im Ruhezustand im Storage zu identifizieren und zu verschlüsseln.
  • Risikobehaftete Schatten-IT ist von der IT-Abteilung in Zusammenarbeit mit den Fachabteilungen zu identifizieren und zu kontrollieren: Die Bereitstellung von Anwendungen, die das komplette Aufgaben- und Prozessspektrum der Mitarbeiter abbilden, zusammen mit weiteren Vorgaben unterbindet den Einsatz nicht-kontrollierter Cloud-Anwendungen durch Mitarbeiter.
  • Die detaillierte Sichtbarkeit auf alle Cloud-Anwendungen bis hinunter auf Prozessniveau ist sicherzustellen.

Sicherheitsprobleme durch unerlaubte Aktivitäten

Egal, ob unerlaubte Aktivitäten von extern oder intern erfolgen – Cloud Computing erhöht die Angriffsfläche. So können einerseits mutwillige Angriffe von Insidern weitreichende Folgen für die Vertraulichkeit, die Integrität und Verfügbarkeit von Unternehmensdaten haben. Mit dem Einsatz von Cloud-Anwendungen steigt das Risiko, da Mitarbeiter mit ihren privaten Endgeräten sehr einfach auf ihre Cloud-Accounts zugreifen können, um beispielsweise Malware zu verbreiten, umfangreiche Datensätze zu infizieren, sensible Daten herauszufiltern und zu stehlen oder auch nur durch Unkenntnis sensible Daten in Public Cloud Dienste zu legen.

Auch externe Angriffe können häufig über relativ triviale Anwendungen erfolgen. Ein Hacker kann beispielsweise über ein unkontrolliertes Gerät Zugriff auf sensible Daten aus File-Sharing-Apps bekommen und so Daten herausfiltern, Malware in den Unternehmensspeicher einschleusen oder beispielsweise an einen CRM-Datensatz anhängen. Unter den externen Angriffsszenarien sind zudem Phishing-Attacken weit verbreitet, mithilfe derer die Anmeldeinformationen von Benutzern abgegriffen werden. Die gestohlenen Cloud-Accounts werden dann im nächsten Schritt für kriminelle Aktivitäten genutzt. Sensible Daten geraten so in die falschen Hände, werden gefälscht oder infiziert und verursachen für das Unternehmen erhebliche Kosten und Reputationsverluste.

Insbesondere für Unternehmen in stark regulierten Branchen mit umfassenden Compliance-Anforderungen wie beispielsweise dem Gesundheitswesen sind rechtliche Folgen sehr wahrscheinlich, wenn persönliche Daten im Zuge eines Cloud Account Takeover (ATO) öffentlich werden. Herkömmliche IT-Sicherheitsmaßnahmen sind für die Bekämpfung dieser neuen Bedrohungen nicht ausreichend. Für Unternehmen führt kein Weg an einer umfassenden Security-Strategie und neuen Sicherheitsmaßnahmen vorbei, die on-premise wie auch Cloud einbeziehen und bekannte sowie unbekannte Bedrohungen identifizieren und abwehren.

Sicherheitsmaßnahmen, die Unternehmensdaten vor Malware, Ransomware, Cloud Account Takeover und anderen kriminellen Cloud-Aktivitäten schützt, sind folgende:

  • Entwicklung und Implementierung einer umfassenden Data Loss Prevention (DLP)-Strategie und -Anwendung. DLP-Lösungen kontrollieren die gesamte IT-Umgebung: das Netzwerk, den Storage und die Geräte, die von den Mitarbeitern verwendet werden.
  • Einsatz von User and Entity Behavior Analytics (UEBA) – für eine bessere Sichtbarkeit.
  • Malware-Scans und -Quarantäne sowohl bei Upload und Download als auch im Ruhezustand.
  • Blockierung bekannter Bedrohungen und Zero-Day-Attacken.
  • Sensible Daten sind in jedem Fall zu verschlüsseln, bevor sie in den Cloud-Speicher gelangen.
  • Kontrolle darüber welche Daten in den verschiedenen Clouds abgelegt werden.

Sicherheitsprobleme durch Account Hijacking

In der Vergangenheit haben sich Benutzer bei einem einzigen zentralen Datenspeicher angemeldet, um auf lokale Unternehmensanwendungen zugreifen zu können. Im Laufe der Zeit kamen jedoch zahlreiche Cloud-Anwendungen sowie Software-as-a-Service (SaaS) hinzu. Ebenso nahmen Social Media- und Schatten-IT-Anwendungen zu. Damit verteilt sich der Authentifizierungsvorgang für Mitarbeiter nun auf verschiedene Datenspeicher im gesamten Internet. Diese Ausbreitung der Identitäten erhöht das Risiko, dass Cloud-Accounts gehackt werden.

Der Schutz der Account-Informationen eines Unternehmens wird zu einer echten Herausforderung, die jedoch mit gezielten Sicherheitsmaßnahmen bewältigt werden kann:

  • Implementierung einer zentralen Identity and Access Management (IAM)-Plattform für genehmigte Cloud-Apps über alle Systeme hinweg. Sie decken den ganzen Lebenszyklus von Anwender- und Zugriffsverwaltung ab, insbesondere auch für privilegierte Anwender, deren Profile für Angreifer am reizvollsten sind.
  • Zentrale Rechteverwaltung der Benutzer abhängig von ihrem Job Profil.
  • Unterbindung des Zugriffs auf Unternehmens-Cloud-Anwendungen von nicht-kontrollierten Geräten aus.
  • Kontrolle, welche Cloud-Anwendungen im Unternehmen genutzt werden und deren Einbeziehung in die Sicherheitsstrategie.
  • Multi-Faktor-Authentifizierung (MFA) für den Zugriff auf Cloud-Anwendungen des Unternehmens erhöhen das Sicherheitsniveau.
  • Detaillierte Sicherheitsrichtlinien sollten sowohl content-basiert als auch context-basiert aufgesetzt werden.

Können CASB-Lösungen helfen?

Der Einsatz von Cloud Access Security Broker-(CASB)-Lösungen kann die genannten Risiken bewältigen und prinzipiell die oben angesprochenen Sicherheitslücken schließen. CASB-Lösungen liefern eine ganzheitliche Sicht auf die Cloud-Architektur und machen es möglich, die Sicherheitsrisiken der Cloud effektiv zu managen und gleichzeitig von den Vorteilen des Cloud Computing zu profitieren.

Sieht man sich den Markt für CASB-Lösungen allerdings genauer an, wird klar: Den Stein der Weisen hat hier noch keiner gefunden. Während CASB-Lösungen bereits seit fünf Jahren verfügbar sind, ist der Markt dafür nicht wirklich gereift. Jedes Produkt auf dem Markt hat Stärken und Schwächen und deckt unterschiedliche Bedrohungen ab.

Daher ist es wichtig, die eigenen Cloud-Anwendungen komplett zu verstehen, bevor eine passende CASB-Lösung ausgewählt wird. Lediglich 18 Prozent der Unternehmen setzen laut einer IDG-Studie zum Thema Cloud-Sicherheit in 2019 bisher auf diese neuen Sicherheitslösungen. Klassische Sicherheitsmaßnahmen wie Datenverschlüsselung und VPN sind der Studie zufolge noch immer die bevorzugten Schutzmaßnahmen bei Unternehmen.

Uwe Becker, Orange Business Services.
Uwe Becker, Orange Business Services.
(Bild: Orange)

Hier besteht also durchaus Handlungsbedarf und Entwicklungspotenzial. Bei der Auswahl einer CASB-Lösung sollten auch die Auswirkungen auf die bereits bestehende Infrastruktur in Betracht gezogen und bewertet werden. Gegebenenfalls ist es ratsam, dafür externe Experten zu Rate zu ziehen, die einen Überblick über den Markt an CASB-Lösungen haben und deren Einsatz und Nutzen ausreichend bewerten können.

* Der Autor Uwe Becker ist Head of Global Services Germany für Orange Business Services.

(ID:46650544)