Thought Leadership
Microsoft 365 ist aus vielen Unternehmen nicht mehr wegzudenken. Für vertrauliche Informationen birgt die Anwendungs-Suite aus der Cloud aber zahlreiche Risiken. Mit einem Cloud Access Security Broker können Unternehmen für umfassende Datensicherheit sorgen.
Microsoft 365 (M365) ist heute der Quasi-Standard für digitale Arbeitsumgebungen. Die cloudbasierte Suite mit ihren Produktivitäts- und Kollaborations-Anwendungen ist aus vielen Unternehmen nicht mehr wegzudenken. IT-Security-Teams stellt M365 aber vor große Herausforderungen, denn es birgt zahlreiche Risiken für Datensicherheit und Compliance.
So besteht beispielsweise die Gefahr, dass Mitarbeitende sensible Daten an Orten speichern, die öffentlich sind oder von vielen Personen geteilt werden, wie OneDrive SharePoint oder der Chat in Teams. Oft nutzen Mitarbeitende neben den offiziellen geschäftlichen Konten auch ihre privaten M365-Accounts, die nicht von der zentralen IT kontrolliert werden können. Zudem greifen sie häufig von ungemanagten BYOD-Geräten aus auf M365 zu und laden sogar Daten auf diese Geräte herunter.
Ein ähnliches Problem besteht bei externen Parteien wie Zulieferern, Partnern und Dienstleistern. Die Endgeräte, mit denen sie sich verbinden, werden ebenfalls nicht von der Haus-eigenen IT verwaltet. Nicht zuletzt gibt es natürlich auch das Risiko, dass böswillige Akteure Kontrolle über Unternehmenskonten in M365 erlangen und sensible Daten exfiltrieren oder Daten löschen, verschlüsseln und manipulieren.
Ein CASB überwacht, steuert und sichert die Zugriffe
Diese Herausforderungen können IT-Security-Teams mithilfe eines Cloud Access Security Broker (CASB) meistern. Ein solches Tool wird zwischen M365 und die Endnutzer geschaltet, um den Zugriff auf die Anwendungen der Suite zu überwachen, zu steuern und abzusichern. Diese Zwischenschaltung erfolgt auf drei unterschiedlichen Wegen: per API-Integration, Forward Proxy und Reverse Proxy.
Bei der API-Integration dockt der CASB über ein Application Programming Interface direkt an M365 an und erhält über diese Schnittstelle Informationen über die verbundenen Anwender und ihr Verhalten. Zur Analyse des Datenverkehrs zwischen M365 und den Endnutzern werden zudem zentrale Gateways eingebunden. Ein Forward Proxy überwacht und steuert dabei den Zugriff von Endgeräten auf M365 und nutzt dazu Software-Agenten, die auf den Devices installiert sind. Ein Reverse Proxy wiederum kontrolliert den Traffic in Richtung der Endgeräte, wofür er keine Software-Agenten benötigt.
Ein CASB protokolliert, analysiert und steuert die Nutzung von Cloud-Anwendungen wie M365. Idealerweise ist er dabei in ein DLP-System integriert. (Quelle: Forcepoint)
Ruhende Daten und Datenübertragungen schützen
Ein moderner CASB kombiniert alle drei Methoden (API, Forward Proxy, Reverse Proxy) und ermöglicht damit umfassende Datensicherheit in M365. IT-Security-Teams können:
• Ruhende Daten schützen: Teams erhalten Transparenz über die Daten, die in M365 gespeichert sind und können Maßnahmen für den Schutz sensibler Informationen ergreifen. Sie haben die Möglichkeit, alle ruhenden Daten zu scannen und dabei vertrauliche Informationen zu identifizieren und Freigaben in SharePoint oder OneDrive zu entdecken, die gegen die Sicherheitsrichtlinien des Unternehmens verstoßen. Identifiziert der CASB offengelegte sensible Informationen schützt er sie automatisiert durch Verschlüsselung oder Verschiebung in Quarantäne. Darüber hinaus erkennt der CASB auch verdächtiges Nutzungsverhalten wie ungewöhnlich viele Downloads oder die Anmeldung eines Nutzers aus einem Land, aus dem er sich bisher noch nie angemeldet hatte. In solchen Fällen setzt er automatisch Warnmeldungen ab.
• Datenübertragungen absichern: Um die Exfiltration sensibler Daten über Outlook, SharePoint, OneDrive und Teams zu verhindern, führt ein CASB in Echtzeit DLP-Inspektionen (Data Loss Prevention) durch und ergreift, wenn erforderlich, Schutzmaßnahmen. Er blockiert beispielsweise die Übertragung von Daten an SharePoint oder maskiert in Echtzeit Informationen in Teams-Chats. Beim Herunterladen von Dateien verschlüsselt er sie mithilfe eines Digital Right Managements (DRM) und stellt damit sicher, dass sie nicht auf unautorisierten Geräten entschlüsselt werden können. Dadurch schützt er sensible Informationen auch in nachgelagerten Offline-Szenarien. Unberechtigte Personen können sie nicht öffnen, kopieren und drucken.
Ein moderner CASB kombiniert API, Forward Proxy, Reverse Proxy und ermöglicht damit umfassende Datensicherheit im M365.
Fabian Glöser, Forcepoint
• Ungemanagte Geräte einbinden: Ein CASB bietet auch zahlreiche Features, um Zugriffe von Endgeräten abzusichern, die nicht von der Haus-eigenen IT verwaltet werden. So erkennt und blockiert er beispielsweise verdächtige Aktivitäten wie wiederholte Anmeldeversuche. Außerdem bewertet er kontinuierlich den Sicherheitsstatus der Endgeräte und prüft beispielsweise, ob ihr Betriebssystem auf einem aktuellen Stand ist oder ob auf ihnen eine Anti-Malware-Software ausgeführt wird. Zudem haben Administratoren die Möglichkeit, Uploads zu und Downloads von M365 auf ungemanagte Geräte zu unterbinden. Damit ermöglicht der CASB sichere Zugriffe mit den BYOD-Geräten von Mitarbeitenden und den Devices von Partnern oder Dienstleistern.
• Schadsoftware abwehren: Ein guter CASB bringt integrierte Anti-Malware-Engines mit, um Dateien, die in M365 hochgeladen werden, auf Schadsoftware zu untersuchen und Dateien, die dort gespeichert sind, zu scannen. Durch die Integration von Drittanbieterlösungen ermöglicht er außerdem erweiterten Anti-Malware-Support und unterstützt die Erkennung von Zero-Day-Bedrohungen durch Sandboxing. Für den Austausch von Bedrohungsinformationen ist er zudem nahtlos in gängige SIEM-Lösungen wie Splunk und IBM QRadar integrierbar und kann über REST-APIs Daten in SIEM- und SOAR-Lösungen exportieren.
Ganzheitliche Datensicherheit
Wenn Unternehmen ein DLP-System für die Datensicherheit in ihren lokalen Umgebungen im Einsatz haben, sollte der CASB möglichst eng mit diesem System integriert sein. Dann können die Unternehmen ihre lokalen DLP-Vorgaben mit nur wenigen Klicks auf die M365-Anwendungen ausweiten. Sämtliche Richtlinien, Richtlinienvorlagen und Datenklassifizierer sind dann ohne aufwändige Migrationen sofort im CASB verfügbar. Einheitliche Richtlinien über On-Premises und M365 hinweg reduzieren zudem Lücken im Schutzniveau und minimieren das Risiko von Fehlkonfigurationen. Dadurch gewährleistet die DLP-CASB-Integration eine ganzheitliche Datensicherheit über beide Welten hinweg.
