Ein dreidimensionales Symbol eines Schlosses mit der Aufschrift „Security“ befindet sich auf einem Computerchip. Von dessen Seiten gehen orange leuchtende Linien in alle Richtungen ab.
Cloud & Hosting

Cloud-Access-Security-Broker: Cloud-Sicherheit auf höchstem Niveau

Cloud-Computing ist für viele Unternehmen nicht nur ein Muss, sondern eine Selbstverständlichkeit. Doch die in der Cloud angesiedelten Services und Geschäftsdaten stellen auch ein verlockendes Ziel für Kriminelle dar. Eine gute Cybersicherheit ist aus diesem Grund unabdingbar. „Cloud-Access-Security-Broker” (CASBs) fügen Ihrer Cyber-Security eine zusätzliche Schutzschicht hinzu.

Datendiebstahl kann für Unternehmen verheerend sein. Laut einer Umfrage von Forrester Research waren im Jahr 2022 mit 49% beinahe die Hälfte der befragten Unternehmen Opfer einer Cyber-Attacke. Geschäftsprozesse, die auf der Cloud basieren und gleichzeitig dezentral organisiert sind, erfordern eine konstante Überwachung. Cloud-Access-Security-Broker nehmen dabei eine wichtige Rolle ein.

Was ein Cloud-Access-Security-Broker genau ist und welche Funktion die Anwendung im Zuge der Cybersicherheit Ihres Unternehmens einnehmen kann, erfahren Sie in diesem Artikel.

Inhaltsverzeichnis

Was sind Cloud-Access-Security-Broker und wie funktionieren sie?

Ein Cloud-Access-Security-Broker (CASB) ist ein Cloud-Computing-Programm, das an der Stelle zwischen Cloud-Diensten und deren Benutzer:innen platziert ist. Genauer gesagt überwacht es den Pfad der Daten zwischen den in der Cloud bereitgestellten Services und den Rechnern, mit denen User:innen darauf zugreifen.
„Broker“ (deutsch: Makler:in) sind in der IT generell Anwendungen der Middleware, also der Software, die sich auf der Ebene zwischen dem Betriebssystem und darauf ausgeführten Anwendungen befindet. Sie (die Broker) bündeln dort externe und interne Anforderungen eines Systems und reichern sie mit spezifischen Funktionen an.
Der CASB stellt konkret Funktionen und Services bereit, die die Daten der Cloud-Anwendungen vor Bedrohungen schützen sollen. Er ist also Teil der Cybersicherheit und überwacht sowohl den Datenverkehr als auch die Aktivitäten der Cloud-Anwender:innen.
Diese Überwachung soll gewährleisten, dass Sicherheitsrichtlinien der Cloud-Applikation Anwendung finden. Darunter fallen beispielsweise Vorgaben bezüglich der Authentifizierung und zu Warnbenachrichtigungen. Riskante Datenfreigaben erfolgen auf dieser Basis gar nicht erst und potenzielle Bedrohungen filtert der CASB automatisch heraus.
Ein Mann mit Kapuze sitzt vor einer Tastatur, im Vordergrund grüne Viren- und Datensymbole

Risikofreies Cloud-Computing: Vodafone Total Cloud Security

Immer mehr DDoS-Attacken, professionellere Hacker-Angriffe, gestiegene Compliance-Anforderungen – nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen als heute.

Unser DDoS Mitigation Service analysiert einlaufenden Traffic und alarmiert Sie automatisch bei drohenden Attacken. Mit Managed Firewall bekommen Sie umfassenden hardware-dedizierten Schutz vor IT-Gefahren. Außerdem verfügen wir über die ISO 27001-Zertifizierung für Cloud & Hosting Services und für Rechenzentrums-Dienstleister in Deutschland.

Die vier Säulen von CASBs

Cloud-Access-Security-Broker bauen auf vier maßgeblichen Säulen auf. Diese sollen dafür sorgen, dass vor allem komplexere Sicherheitsmaßnahmen in der Cloud besser strukturiert sind. Der Ansatz erlaubt Ihrem Unternehmen eine größere Flexibilität, um Sicherheitsrichtlinien durchzusetzen und speziell auf Ihre Arbeitsmodelle angepasste Lösungen einzusetzen.

Datensichtbarkeit

Vor allem für die Sicherheitsbeauftragten und die IT-Abteilung Ihres Unternehmens spielt die Sichtbarkeit des Datenverkehrs von und zur Cloud eine wichtige Rolle. Anstatt pauschale Berechtigungen oder Beschränkungen zu verteilen, erlaubt es die Cloud-Brokerage, spezifische Dienste bestimmter Benutzer:innen zu gestatten, falls es erwünscht ist.
CASBs identifizieren zudem sämtliche genutzte Clouddienste, um jeweils eine Risikobewertung zu ermöglichen – also von deren Datenpunkten und Übertragungen. Dies liefert Informationen zur Umsetzung individueller Zugriffsrichtlinien, etwa beim Zugriff einzelner Mitarbeiter:innen auf bestimmte cloudbasierte Anwendungen. Um diese jederzeit flexibel an die Bedürfnisse oder geänderte Sicherheitsanforderungen Ihres Unternehmens anzupassen, können Sie mittels eines CASB personen- und gerätespezifische Steuerungsroutinen etablieren.
Beispielsweise können Sie auf diese Weise erlauben, dass Mitarbieter:innen über lokale Firmenrechner auf kritische Unternehmensanwendungen in der Cloud zugreifen können – nicht jedoch über Mobilgeräte.

Datensicherheit (Data Loss Prevention)

Eine weitere wichtige Aufgabe eines CASB besteht in der Vorbeugung von Datenverlust in Unternehmen, auch bekannt als „Data Loss Prevention“ (DLP). Hierfür erstrecken sich die Sicherheitsmaßnahmen über sämtliche Daten, die Mitarbeiter:innen und Anwendungen in und zur Cloud übertragen. Sowohl die Speicherung als auch der Datentransfer sind damit weitgehend abgesichert und das Risiko von Datenlecks sinkt deutlich.
Auch Erkennungsmechanismen wie das Fingerprinting von Dokumenten können Bestandteil von CASBs sein. Sie fungieren damit quasi als „Torwächter“ Ihrer Cloud-Dienste und können Bedrohungen identifizieren und aufhalten, bevor diese Schaden anrichten.
CASBs bieten damit einen umfassenderen Schutz Ihrer Daten gegenüber speziellen Anwendungen wie etwa E-Mails. Gefahren oder mutmaßliche Verstöße gegen Richtlinien meldet der Broker automatisch an die Beauftragten Ihrer Firmen-IT.

Bedrohungsschutz (Threat Protection)

CASBs können anormales Verhalten von Anwendungen und des Datenflusses zu und von diesen erkennen. Auf der Grundlage typischer Nutzungsmuster ist es ihnen damit möglich, ungewöhnliche Aktivitäten zu identifizieren und herauszufiltern.
Darunter fallen sowohl fahrlässige Bedrohungen für die Datensicherheit aufgrund unsachgemäßer Handhabung durch Benutzer:innen als auch böswillige Bedrohungen der Daten, wie zum Beispiel bei einem Angriff durch Kriminelle. Dazu gehören eine adaptive Zugriffsteuerung, konkrete Maßnahmen gegen Schadsoftware (sogenannte Malware) sowie bei Bedarf weitere Funktionen.

Compliance

Ein wichtiges Element der Datensicherheit ist, dass Unternehmen die Sicherheits- und Datenschutzbestimmungen durchsetzen. Diese Aufgabe ist gerade vor dem Hintergrund zunehmender hybrider Arbeitsformen wichtiger, aber auch komplexer geworden. Um die Schutzbestimmungen möglichst lückenlos durchzusetzen, überwachen CASBs die Compliance-Richtlinien für alle Geräte und Nutzer:innen innerhalb von Unternehmen, aber auch von Wide Area Networks (WANs).
Dies ist vor allem dann wichtig, wenn Unternehmen im Umgang mit sensiblen Daten spezielle gesetzliche Standards einhalten müssen. Dazu gehören etwa die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union oder der Health Insurance Portability and Accountability Act (HIPAA) in Bezug auf Gesundheitsdaten in den USA.
Das Foto zeigt eine Frau mit Smartphone

Whitepaper: Ihr Weg in die Cloud

Cloud-Lösungen sind entscheidend für die digitale Transformation. Mit unserem ausführlichen Leitfaden erwerben Sie das notwendige Wissen für die Migration auf moderne(re) Systeme. 

  • Die wesentlichen Migrationsschritte im Überblick
  • Spannende Fallbeispiele
  • Aktuelle Studienergebnisse
Jetzt kostenlos downloaden

Implementierungen von CASBs

Sie können Cloud-Access-Security-Broker auf unterschiedliche, aber jeweils einfache Weise in die Geschäftsprozesse Ihres Unternehmens integrieren. Üblicherweise verrichten CASBs Ihren Dienst im Zusammenhang mit Cloud-Services, dennoch können Sie sie auch in On-Premises-Systeme eingliedern.
Grundlegend unterscheidet man drei unterschiedliche CASB-Bereitstellungsmodelle:
  • API-Scanning: Dies ist eine für genehmigte Anwendungen geeignete Sicherheitsmaßahme, die Schnittstellen und gespeicherte Daten in der Cloud überwacht. Darüber hinaus bietet sie allerdings keinen Echtzeitschutz.
  • Forward-Proxy: Dieser Schutz liefert Echtzeitprävention für genehmigte und nicht genehmigte Anwendungen. Er kann allerdings weder ruhende Daten überprüfen noch Geräte überwachen.
  • Reverse-Proxy: Der Reverse-Proxy unterstützt sowohl verwaltete als auch nicht verwaltete Geräte, indem er den kompletten Datenverkehr der Benutzer:innen umleitet. Er integriert bei genehmigten Anwendungen eine Echtzeit-DLP.
Eine besondere große Flexibilität bieten sogenannte Multimode-CASBs: Diese nutzen gleichzeitig sämtliche der dargestellten Modelle. Außerdem bieten sie den besten Rundumschutz für alle Anwendungen und den Datenverkehr rund um Ihre cloudbasierten Geschäftsprozesse.
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

Anwendungsmöglichkeiten für Cloud-Access-Security-Broker

Cloud-Access-Security-Broker eignen sich für unterschiedliche Anwendungsbereiche im Zusammenhang mit Cloud-Anwendungen und Ihren cloudbasierten Geschäftsprozessen, die damit in Zusammenhang stehen.

Entdeckung von Schatten-IT

Unter die sogenannte Schatten-IT fallen alle Prozesse und Daten, die der offiziellen IT-Administration Ihres Unternehmens nicht bekannt sind. Sie sind somit weder organisatorisch noch hinsichtlich der Sicherheitsrichtlinien Teil des geschäftlichen IT-Service-Managements und stellen aus diesem Grund ein Risiko dar.
Dazu zählen zum Beispiel Anwendungen zur betrieblichen Kommunikation neben Ihren offiziell genutzten Unternehmenskanälen, wie etwa Messenger und Social-Media-Plattformen. Auch separat entwickelte oder installierte Programme Ihrer Mitarbeiter:innen fallen unter die Schatten-IT.
Neben der Software gehört auch die Einbindung von Hardware in diesen Bereich, die nicht die IT-Administrator:innen Ihres Unternehmens angeschafft haben. Das können sowohl von Fachabteilungen beschaffte Geräte wie Drucker und Scanner sein, aber auch geschäftlich genutzte private Mobilgeräte, die nicht im betrieblichen Unified Endpoint Management (UEM) enthalten sind.
Diese Soft- und Hardware existiert also außerhalb der Security-Richtlinien und findet in der Administration zumindest „offiziell“ keine Berücksichtigung. CASBs können Anwendungen „im Schatten“ der offiziellen Firmen-IT erkennen und riskante Prozesse aufdecken. Durch automatische Richtlinien können Sie auf dieser Basis die Nutzung der Schatten-IT beschränken oder sogar komplett blockieren.

Sicherheit für private SaaS-Instanzen

Viele Unternehmen installieren ihre betrieblich genutzte Software nicht mehr On-Premises auf lokalen Rechnern, sondern nutzen sie vorwiegend mittels des Cloud-Modells Software-as-a-Service (SaaS). Dabei stellen die Anbieter die Software in der Cloud zur Verfügung, sodass Unternehmen sie theoretisch auf jedem Endgerät unter einem festen Account nutzen können. Beispiele dafür sind die Office-Suite Microsoft 365 Business und das Projektmanagement-Tool Jira.
Ein Problem entsteht dann, wenn Ihre Mitarbeiter:innen eine weitere Instanz einer solchen Anwendung verwenden, zumeist mit ihrem privaten Account. Rufen sie diese Accounts auf unterschiedlichen Geräten auf, kann es nicht nur zu Konflikten kommen, sondern auch zur Vermischung beider Instanzen. Dies begünstigt die unzulässige Frei- und Weitergabe Ihrer betrieblichen Daten unter dafür nicht vorgesehenen Accounts.
CASBs können dies verhindern, indem sie zwischen genehmigten SaaS-Mandanten und nicht genehmigten Instanzen des gleichen Programms unterscheiden. Ihre IT-Administration kann damit einfache Richtlinien festlegen, dass eine Drittinstanz beispielsweise keine betrieblichen Daten verwenden darf. Diese Kontrollfunktionen kann Ihre IT-Abteilung durch entsprechende Vorkonfiguration für die gängigsten Programme in Echtzeit durchsetzen.
Im gleichen Zug können CASBs auch die Konfigurationen Ihrer SaaS-basierten Anwendungen überwachen, um deren reibungslose Funktion zu gewährleisten und Sicherheitsrisiken auszuschließen.
Eine Frau sitzt an einem Schreibtisch vor sechs Monitoren und betrachtet den darauf angezeigten Programmcode.
CASBs überwachen ungewöhnliche Datenflüsse und -freigaben und melden Ihren IT-Verantwortlichen potenzielle Bedrohungen.

Überprüfung riskanter Datenfreigaben

Aufgrund der erheblich angestiegenen Arbeit in der Cloud nutzen mehr Anwender:innen betriebliche IT-Ressourcen gemeinsam als je zuvor – innerhalb und außerhalb von Unternehmen. Ein wichtiger Punkt für die Sicherheit geschäftlicher Daten ist die Frage, für wen Sie als Unternehmen diese Dateien und Prozesse freigeben.
Ein CASB kann bei der Verwaltung cloudbasierter Anwendungen überprüfen, welche User:innen konkret damit arbeiten beziehungsweise wer eine Freigabe für bestimmte Daten erhält. Fallen dabei verdächtige Aktivitäten auf, macht der CASB Ihre Administrator:innen darauf aufmerksam, damit Unternehmensdaten möglichst nicht in falsche Hände geraten.

Vorbeugung von Datenverlusten

Wie erwähnt unterliegen Sie als Unternehmen bei der Verarbeitung sensibler Daten spezifischen gesetzlichen Bestimmungen, die den Umgang damit regeln und beschränken, wie etwa die DSGVO. Dementsprechend muss der Schutz dieser Daten an ihrem Speicherort gewährleistet sein.
Ein Cloud-Access-Security-Broker kann sicherstellen, dass diese Speicherorte auf Grundlage der gesetzlichen Anforderungen konfiguriert sind. Des Weiteren ist der CASB in der Lage, Daten sowohl an den Speicherorten als auch auf den Übertragungswegen dorthin zu erkennen und zu klassifizieren. Damit kann der CASB Datenverluste und Verstöße gegen gesetzliche Bestimmungen verhindern.

Verhinderung von Angriffen

Für Cyberkriminelle stellen Unternehmensdaten ein lohnendes Angriffsziel dar. Die Motive von Hacker:innen sind dabei sehr unterschiedlich und Attacken können auf viele verschiedene Arten erfolgen. Meist versuchen sie, Malware in ein Unternehmensnetzwerk einzuspielen, um über infizierte Rechner Zugriff auf geschützte Daten zu erlangen Dabei kann es sich beispielsweise um Viren, Trojaner, Spionage-Software oder Ransomware handeln.
Cloud-Access-Security-Broker tragen dazu bei, Ihre cloudbasierten Daten und Anwendungen besser vor Angriffen zu schützen. Sie verfügen über Funktionen zur sogenannten Advanced Threat Protection (ATP), die Malware effektiv erkennen und abwehren können. Zu diesen Funktionen gehören:
  • Echtzeit-Proxy blockiert das Hochladen von schädlichen Dateien.
  • Out-of-Band-Scan erkennt Daten im Ruhezustand und minimiert Risiken.
  • Cloud-Sandboxing spürt sogenannte „Zero-Day-Malware“ auf, die sich an einem bestimmten Datum aktivieren soll.
  • Cloud Browser Isolation ermöglicht einen sicheren Cloud-Zugriff durch nicht verwaltete Endgeräte.
Bei allem zusätzlichen Schutz sollten Sie allerdings immer berücksichtigen, dass ein CASB nur im Rahmen einer ganzheitlichen Unternehmensstrategie zur Cybersicherheit seine volle Wirkung entfaltet. Verstehen Sie CASBs also als ein Element im Rahmen weiterer architektonischer Sicherheitsmaßnahmen für Ihr Unternehmensnetzwerk sowie regelmäßiger Schulungen Ihrer Mitarbeiter:innen.
Arbeiten am Tablet im Gegenlicht

Jetzt informieren: Vodafone Cloud-Backup für Microsoft 365

Als Cloud-Native-Lösung sichert das Vodafone Cloud-Backup für Microsoft 365 zuverlässig Ihre Office-Daten vor alltäglichen Risiken. Denn jeder Datenverlust kostet Sie wertvolle Zeit und somit Geld. Ihre Vorteile im Überblick:

  • Back-up für alle Microsoft 365-Anwendungen
  • Einfache Suche & schnelle Wiederherstellung
  • Compliance-konform und sicher
Jetzt mehr erfahren

CASB vs. SASE: Was ist der Unterschied?

Im Zusammenhang mit Cloud-Sicherheit ist Ihnen vielleicht auch schon der Begriff Secure-Access-Service-Edge (SASE) begegnet. Diese Technologie führt Sicherheitsfunktionen im Netzwerk an der Stelle aus, an der sie benötigt werden, anstatt sie von einem zentralen Rechenzentrum aus bereitzustellen.
Im Zuge der zunehmenden Verbreitung von Wide-Area-Networks (WANs), also Rechnerverbünden über einen großen geografischen Bereich, und der zunehmenden Verbreitung von Edge-Computing erhält SASE eine immer größere Bedeutung.
SASE kombiniert CASBs gemeinsam mit anderen Netzwerksicherheitsfunktionen mit modernen WAN-Architekturen. Beispiele dafür sind Technologien wie Secure-Web-Gateways (SWG), Data-Loss-Prevention (DLP) und Firewall-as-a-Service (FWaaS). Unternehmen erhalten somit an jedem Point-of-Presence (PoP), also lokalen Netzzugangspunkten, sämtliche Netzwerk- und Sicherheitsfunktionen ohne größere Latenzzeiten.
Der Zugang erfolgt dabei identitätsgebunden: Es kann sich bei verifizierten Identitäten um Personen, Netzwerkzweigstellen, Hardware, Anwendungen und deren spezifische Dienste handeln, aber auch um IoT-Geräte oder Edge-Computing-Standorte. CASBs überwachen als Teil dieser Infrastruktur dann vor allem die jeweiligen Identitäten: Sie stellen fest, wenn diese von der vorgegebenen Konfiguration oder den Compliance-Richtlinien des Unternehmens abweichen.

Cloud-Access-Security-Broker: Das Wichtigste in Kürze

  • Cloud-Access-Security-Broker überwachen die Pfade und Prozesse der Daten zwischen Services in der Cloud und den Rechnern, mit denen User:innen darauf zugreifen.
  • CASBs stellen konkret Funktionen und Services bereit, die die Daten der Cloud-Anwendungen vor Bedrohungen schützen sollen.
  • Die Basis dazu besteht aus vier Säulen: Datensichtbarkeit, Datensicherheit, Bedrohungsschutz und Compliance.
  • Grundlegend unterscheidet man drei unterschiedliche CASB-Bereitstellungsmodelle: Forward-Proxy, Reverse-Proxy und API-Scanning. Multimode-CASBs vereinen alle Modelle in einer Anwendung und sind deshalb am effektivsten.
  • CASBs können Anwendungen der Schatten-IT entdecken und blockieren, Sicherheit unterschiedlicher SaaS-Instanzen gewährleisten, riskante Datenfreigaben überprüfen, Datenverlusten vorbeugen und Cyber-Angriffe verhindern.
  • Als Bestandteil des Netzwerkkonzepts Secure Access Service Edge (SASE) kommt CASBs eine zunehmend größere Bedeutung zu, um die Sicherheit moderner Netzwerklösungen in Wide-Area-Networks zu gewährleisten.
Das könnte Sie auch interessieren:
Cloud & Hosting
Hände auf der Tastatur eines Notebooks, davor ein symbolisiert ein interaktives Dashboard mit Icons, die Anwendungsfälle von Cloud Computing symbolisieren

AWS Lambda: Effizient, flexibel und serverlos in der Cloud arbeiten

Effizient, flexibel und leistungsfähig – kann Ihr Unternehmen dieses Dreierpack für seine digitalen Dienste sicherstellen? Falls nicht: Dank Cloud-Computing-Plattformen können Sie diese Hürde problemlos überspringen. Mit den Amazon Web Services (AWS) lagern Sie wie bei Microsoft Azure Functions einfach wichtige Ressourcen sicher und bedarfsgerecht aus. Dazu gehören etwa Rechenleistung, Serverkapazitäten und Softwarelösungen. Durch AWS Lambda erhalten Sie zudem die Möglichkeit, Ihre Cloud-Infrastruktur automatisch zu verwalten und viele weitere Dinge ohne eigene Server-Infrastruktur zu erledigen. So treiben Sie in Ihrem Unternehmen die Digitalisierung gezielt voran und können sich weiterhin auf Ihr Kerngeschäft konzentrieren. Bei Lambda handelt es sich um einen serverlosen Cloud-Dienst, der sich seit seiner Einführung im Jahr 2014 zu einem essenziellen Bestandteil des Ökosystems von Amazons erfolgreichem AWS-Angebot entwickelt hat. Mittlerweile unterstützt Lambda eine Vielzahl von Anwendungsfällen und Backend-Umgebungen für Unternehmen und sonstige Nutzer:innen. Das Besondere: Lambda skaliert, verwaltet und wartet die Infrastruktur automatisch. Wie das funktioniert, welche weiteren Vorteile AWS Lambda bietet und in welchen Bereichen Unternehmen den Service nutzen können, erfahren Sie hier.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort