Cloud Access Security Broker Mehr Datensicherheit in Office 365

Autor / Redakteur: Daniel Wolf * / Elke Witmer-Goßner

Die vor kurzem vorgestellte Schnittstelle Microsoft Graph vereinheitlicht den Zugriff auf alle Daten in Office 365. Darüber können Cloud Access Security Broker (CASB), wie Skyhigh for Office 365, die Verwaltung der Cloud-Plattform mit zusätzlichen Sicherheits- und Compliance-Mechanismen vereinfachen.

Firmen zum Thema

Bedenken, dass die Sicherheit von Unternehmensdaten nicht ausreichend gewährleistet ist, verzögern die Einführung von Cloud-Diensten wie Office 365.
Bedenken, dass die Sicherheit von Unternehmensdaten nicht ausreichend gewährleistet ist, verzögern die Einführung von Cloud-Diensten wie Office 365.
(Bild: Kirsty Pargeter, Fotolia)

Unternehmen setzen bereits heute auf Office 365 – oder planen den Wechsel von on-premise auf Cloud. Gleichzeitig suchen sie stetig nach zusätzlichen Sicherheitsmaßnahmen, mit denen sie ihre Compliance-Vorgaben besser einhalten können. Microsoft investiert viel, um den Datenschutz in den eigenen Cloud-basierten Anwendungen zu gewährleisten. Aber einige Angestellte gehen äußerst fahrlässig mit diesen Diensten um und machen so ihr Unternehmen anfälliger für Datenverluste und Compliance-Verletzungen.

Sicherheitsbedenken ausräumen

Mit Cloud Access Security Broker können Unternehmen Office 365 – und die meisten anderen Cloud-Dienste – mit einem vielfältigen Maßnahmenpaket absichern. So haben Verantwortliche einen vollständigen Einblick in die Nutzung des Cloud-Dienstes und können dadurch Insider-Gefahren, also den beabsichtigten oder versehentlichen Datenverlust durch Angestellte, sowie kompromittierte Benutzerkonten leichter erkennen. Darüber hinaus lassen sich Richtlinien zur Data Loss Prevention (DLP) schärfer durchsetzen, eine kontextbasierte Zugriffskontrolle etablieren und anhand von Audit Trails die Datensicherheit gewährleisten.

Cloud Access Security Broker, wie Skyhigh for Office 365, ergänzen die Microsoft-Plattform mit weiteren Kontrollen für Compliance, Gefahrenschutz und Datensicherheit.
Cloud Access Security Broker, wie Skyhigh for Office 365, ergänzen die Microsoft-Plattform mit weiteren Kontrollen für Compliance, Gefahrenschutz und Datensicherheit.
(Bild: Skyhigh Networks)

Mit Microsoft Graph hat Microsoft alle vorhandenen APIs zu Office 365 in einem einzigen REST-URL-Namensraum vereinheitlicht. Dadurch können andere Dienste und Anwendungen unkompliziert auf sämtliche Daten in Office 365 zuzugreifen. Die Idee dahinter zielt darauf ab, weitere Funktionalität für die Cloud-Plattform anzubieten und damit deren Popularität zusätzlich zu steigern. Auf diese Weise ergänzt beispielsweise die CASB-Lösung Skyhigh for Office 365 die Microsoft-Plattform mit weiteren Kontrollen für Compliance, Gefahrenschutz und Datensicherheit.

Laut der Studie „Office 365 Adoption & Risk Report“ von Skyhigh Networks enthalten rund 17 Prozent der Dokumente, die in Office 365 gespeichert werden, sensible Informationen. Dazu zählen beispielsweise vertrauliche Betriebsinterna und personenbezogene Daten wie Krankenakten oder Kreditkartennummern. Die meisten Unternehmen sichern daher ihren Office-365-Einsatz vor allem dadurch ab, indem sie die Daten auf Verstöße gegen DLP-Richtlinien überprüfen.

Ein On-Demand-Scan der Office-365-Implementierung gleicht Daten, die bereits in OneDrive gespeichert sind, mit den DLP-Richtlinien ab und identifiziert sensible Informationen sowie Richtlinienverstöße. Über die Graph-Schnittstelle lassen sich die zu überprüfenden Benutzer oder Gruppen auswählen sowie relevante Dateien aus OneDrive heranziehen. Anschließend können Unternehmen mehrere Aktionen vornehmen: beispielsweise Dateien unter Quarantäne setzen, den Upload von Dokumenten mit sensiblen Information verhindern oder Zugangsbeschränkungen für spezielle Inhalten einführen.

Einhaltung von Vorschriften

Ähnliches lässt sich für E-Mails umsetzen. Laut aktuellen Studien verschickt die Mehrzahl der Mitarbeiter vertrauliche oder sensible Informationen als E-Mail-Anhänge. Dadurch werden E-Mails zu einer der größten Risiken für Datenverluste in Unternehmen. Mit CASB-Technologie lassen sich diese ebenfalls rigoros auf Richtlinienverstöße überprüfen. Dafür wird über Graph auf die Mail-Daten aus Microsoft Exchange zugegriffen.

Über Cloud Access Security Broker lassen sich bestehende Richtlinien und Workflows für Data Loss Prevention deckungsgleich auf die Cloud übertragen.
Über Cloud Access Security Broker lassen sich bestehende Richtlinien und Workflows für Data Loss Prevention deckungsgleich auf die Cloud übertragen.
(Bild: Skyhigh Networks)

Aufgrund gesetzlicher oder eigener Vorschriften müssen Unternehmen oftmals verschiedene Sicherheitsrichtlinien für spezielle Personengruppen erlassen. So gilt beispielsweise ein Verbot für den Austausch von Finanzinformationen für alle Mitarbeiter bis auf die Buchhaltung und die Geschäftsführung oder einzig Entwicklern und Konstrukteuren ist es gestattet, Source Code über die Cloud zu teilen. Unternehmen, die in mehreren regulierten Branchen – etwa Healthcare oder Finance – agieren, müssen in der Lage sein, für ihre unterschiedlichen Mitarbeiter und deren Cloud-Dienste verschiedene Vorschriften einzuhalten. Der vereinfachte Zugriff auf Benutzer- und Gruppeninformationen aus Office 365 erleichtert dahingehend die Definition und Umsetzung von gruppenspezifischen Richtlinien. Dies umfasst auch sämtliche Active-Directory- und Office-365-Gruppen.

Die meisten Unternehmen haben bereits in ihren On-Premise-Lösungen für DLP wie Symantec-Vontu, RSA oder McAfee umfangreiche Richtlinien und Workflows definiert. Durch die nahtlose Integration der Cloud Access Security Broker mit diesen Lösungen können diese DLP-Vorgaben und Lösungsprozesse deckungsgleich auf die Cloud – und über die Graph-Schnittstelle speziell für Office 365 – ausgeweitet werden.

Sobald Benutzer daher Dateien zu Office 365 hochladen, werden diese abgefangen und zur DLP-Lösung weitergeleitet. Ergibt die dortige Überprüfung einen Richtlinienverstoß, werden entsprechende Handlungsanordnungen zurückgesendet. Über Microsoft Graph lassen sich notwendige DLP-Aktionen, wie Dateien blockieren oder löschen, eins zu eins in OneDrive umsetzen. Verstößt der Inhalt einer Datei gegen eine DLP-Richtlinie, kann die Datei auch unter Quarantäne gestellt werden. Dafür leitet der CASB das verdächtige Dokument an einen Administrator weiter und ersetzt es durch einen Platzhalter (Tombstone). Mitarbeiter mit der nötigen Autorisierung können anschließend entscheiden, ob die Datei endgültig entfernt oder mit der dazugehörigen Revisionsinformation wieder hergestellt werden soll.

Benutzerfreundlichkeit und Sicherheit

Die Office-Produkte von Microsoft zählen zu den gebräuchlichsten Software-Anwendungen in Unternehmen. Daher hat Office 365 angesichts der unzähligen Microsoft-Anwender ein gewaltiges Marktpotenzial. Allerdings steckt die Umstellung auf die cloud-basierte Version noch in den Kinderschuhen. So zeigt der Office 365 Adoption & Risk Report, dass noch rund 93 Prozent der Nutzer mit On-Premise-Versionen der Microsoft-Produkte arbeiten.

Daniel Wolf, Skyhigh Networks.
Daniel Wolf, Skyhigh Networks.
(Bild: Skyhigh Networks)

Oftmals verzögern Bedenken, dass die Sicherheit von Unternehmensdaten nicht ausreichend gewährleistet ist, die Einführung des Cloud-Dienstes. Die Graph-Schnittstelle ist ein gelungener Schachzug von Microsoft, um Unternehmen den Umstieg zu erleichtern. Auf diese Weise können Partner Lösungen entwickeln, die Office 365 mit hochwertiger Spezial-Funktionalität erweitern, ohne den Zugriff darauf einzuschränken. So geben CASB-Anwendungen Unternehmen wichtige Werkzeuge an die Hand, um bestehende Sicherheits- und Compliance-Fragen hinsichtlich eines Einsatzes der Cloud-Plattform zur Zufriedenheit aller Verantwortlichen zu beantworten. Die nahtlose Verbindung der beiden Technologien ermöglicht eine leichte Kombination von Sicherheit und Benutzerfreundlichkeit. Der ganzheitliche Ansatz sorgt für sicheres und produktives Arbeiten mit Office 365.

* Der Autor Daniel Wolf ist Regional Director DACH bei Skyhigh Networks.

(ID:43843219)