Cloud Security Glossar
CASB - Cloud Access Security Broker
Ein Cloud Access Security Broker (CASB) ist eine Sicherheitslösung die zwischen Unternehmensnutzer und Cloud-Dienste positioniert ist und Sicherheitsrichtlinien durchsetzt. CASBs bieten vier Kernfähigkeiten: Visibility (welche Cloud-Dienste werden genutzt?), Compliance (werden Richtlinien eingehalten?), Datensicherheit (DLP für Cloud-Daten) und Bedrohungsschutz (Anomalie-Erkennung). Shadow IT Discovery ist die häufigste Einstiegsanwendung.
Cloud Access Security Broker (CASB) adressiert ein fundamentales Problem der Cloud-Ära: Mitarbeiter nutzen hunderte von Cloud-Diensten - bekannte und unbekannte - außerhalb der Kontrolle der IT-Abteilung. Ein CASB gibt der IT Sichtbarkeit und Kontrolle über alle Cloud-Nutzung zurück, ohne die Produktivität zu beeinträchtigen.
Die vier CASB-Säulen
Gartner definiert 4 CASB-Kernfähigkeiten:
1. Visibility - Shadow IT entdecken:
→ Welche Cloud-Dienste nutzen Mitarbeiter? (oft 1.000+ unbekannte Apps!)
→ Log-Analyse: Firewall/Proxy-Logs → Cloud-App-Kategorisierung
→ Risk Rating: Dropbox (bekannt) vs. Filesharing-Unbekannt (riskant)
→ Discovery ohne Agents: nur Log-Analyse nötig!
2. Compliance - Richtlinien für genehmigte Apps:
→ Durchsetzung von Datenschutzrichtlinien in Salesforce, M365, Box
→ DSGVO: personenbezogene Daten nur auf genehmigten Diensten
→ NIS2: sensitive Daten nur auf geprüften, sicheren Plattformen
→ Reporting: Compliance-Nachweis für Audits
3. Datensicherheit - DLP für die Cloud:
→ Kreditkartennummern in Google Drive?
→ Passwörter in Slack hochgeladen?
→ Kundendaten in einem privaten Dropbox geteilt?
→ DLP-Policies für Datei-Upload, -Download, -Sharing
4. Bedrohungsschutz - Anomalie-Erkennung:
→ Impossible Travel: User in Berlin und New York gleichzeitig
→ Bulk Download: User lädt 5.000 Dateien in einer Stunde herunter
→ Unbekannte Gerät-Anmeldung: erster Login von diesem Gerät
→ Kompromittierte Credentials: Credential Stuffing DetectionShadow IT Discovery
Shadow IT: die unsichtbare Cloud-Nutzung
Zahlen aus der Praxis:
→ Durchschnittliches Unternehmen: 1.935 unbekannte Cloud-Apps (Skyhigh 2024)
→ IT-Abteilung kennt davon: ca. 30-50
→ Mitarbeiter nutzen für Arbeit: Dropbox, WeTransfer, ChatGPT, Grammarly...
Shadow IT Discovery Methoden:
1. Firewall/Proxy-Log-Analyse:
→ Firewall-Logs an CASB weiterleiten (kein Agent nötig!)
→ CASB kategorisiert alle ausgehenden URLs
→ Report: "Diese 150 Cloud-Apps werden genutzt, davon X unbekannt"
2. API-basierte Discovery:
→ OAuth-Token in M365/Google Workspace analysieren
→ "Welche Dritt-Apps haben Zugang zu Unternehmens-E-Mails?"
→ Oft erschreckend: Hunderte von Apps mit E-Mail-Zugang
3. CASB Agenten (für vollständige Visibility):
→ Endpoint-Agent: auch verschlüsselter Traffic analysierbar
→ Mobile Device Management (MDM) Integration: iOS/Android-Apps
→ Reverse Proxy: Traffic durch CASB-Proxy leiten
Risk-Rating Beispiel:
Hoch: AWS, Microsoft Azure, Google Cloud
Mittel: Box, Dropbox, Slack, Zoom
Niedrig: WeTransfer, unkannte Filesharing-Dienste
Blockiert: Torrents, anonyme Proxies, Crypto-Mining
Maßnahmen nach Discovery:
□ Liste genehmigter Cloud-Apps (Allowlist) erstellen
□ Risiko-basierte Blockierung: hohe Risiko-Apps blocken
□ Mitarbeiter-Kommunikation: "Nutzen Sie <App> statt WeTransfer!"
□ Daten-Transfer-Alternative bereitstellen (sicherer Filesharing-Dienst)CASB Deployment-Modi
Drei Deployment-Optionen:
1. API-Modus (einfachster Start):
→ CASB verbindet sich per API mit genehmigten Cloud-Apps
→ Kein Agent, kein Proxy-Umleitung nötig
→ Zugriff auf: M365, Google Workspace, Salesforce, Box, etc.
→ Kann: Dateien scannen, Sharing-Einstellungen prüfen, DLP retroaktiv
→ Kann NICHT: Real-time Block (nur nachträgliche Reaktion)
→ Latenz: kein Einfluss auf User-Experience
Use Case: M365 DLP - Kreditkartennummern in SharePoint finden
CASB scannt periodisch alle SharePoint-Dokumente
Fund: 23 Dateien mit Kreditkartennummern
Aktion: Dateien quarantinieren + Owner benachrichtigen
2. Forward Proxy (Inline-Kontrolle):
→ Browser/App → CASB-Proxy → Cloud-Dienst
→ Echtzeitblockierung: Upload-Versuch mit sensitiven Daten → Block!
→ Konfiguration: PAC-Datei oder expliziter Proxy
→ Agent auf Endpoint (für non-Browser-Apps)
→ Latenz: minimaler Einfluss (wichtig für User-Akzeptanz!)
3. Reverse Proxy:
→ DNS leitet Cloud-App auf CASB um
→ Besonders für unmanaged Devices (BYOD, Partner, Kunden)
→ Kein Agent nötig: funktioniert mit jedem Gerät
→ Einschränkung: nur für webbasierte Cloud-Apps
Empfehlung: API + Forward Proxy Kombination
→ API: DLP für genehmigte Apps (M365, Google Workspace)
→ Forward Proxy: Real-time Control + Shadow IT BlockFührende CASB-Produkte
Kommerziell:
Microsoft Defender for Cloud Apps (früher MCAS):
→ Beste Integration mit M365 und Azure AD
→ Über 26.000 Cloud-Apps in der App-Datenbank
→ Session Control: Browser-Sitzungen kontrolllieren (kein Download!)
→ Preis: in E5-Lizenz enthalten (M365 E5)
→ Stärke: nahtlose M365-Integration, Conditional Access
Netskope:
→ Führend in Gartner Magic Quadrant (kontinuierlich)
→ Beste Data Classification und DLP
→ Zero Trust Network Access (ZTNA) integriert
→ Stärke: granulare Datenpolitik, Entwickler-Tools-Unterstützung
Palo Alto Networks Prisma SaaS:
→ Teil der Prisma Cloud-Plattform
→ Starke ML-basierte Anomalie-Erkennung
→ Integration mit NGFW und Cortex XDR
Zscaler Internet Access (ZIA) + CASB:
→ Cloud-native Proxy + CASB in einer Lösung
→ SASE-Architektur: Sicherheit wo User ist, nicht im RZ
→ Stärke: Performance (globale Infrastruktur)
Open Source / Günstige Alternativen:
→ Microsoft Defender for Cloud Apps: Teilfunktionen via M365 E3
→ Firewall-Logs + manuelles Categorize (kein CASB, aber Basis-Discovery)
→ OSSEC / Wazuh: kein CASB, aber Complement für Log-Analyse
CASB Deployment Empfehlung:
Schritt 1: Shadow IT Discovery (kein Invest nötig, nur Log-Analyse)
Schritt 2: API-Anbindung genehmigter Apps (meist in M365 E5 enthalten)
Schritt 3: DLP-Policies für sensitive Daten definieren
Schritt 4: Forward Proxy für Realtime-Control (wenn Budget vorhanden)
