Was ist eigentlich ein CASB?
Ein Cloud Access Security Broker, kurz CASB, schützt Anwendungen, die in eine Cloud verlagerte wurden. Er befindet sich als Schnittstelle zwischen dem Nutzer und der Cloud, protokolliert die Kommunikation und gibt bei verdächtigen Aktionen Alarm. Warum ist das sinnvoll?
Allein das Wort ist schon ein Zungenbrecher. Auch wenn so klingen mag, als sei ein neuer amerikanischer Geheimdienst gegründet worden, führt diese Fährte in die falsche Richtung. Ein CASB ist ein Cloud Access Security Broker. Und um die Abkürzung ohne Schwierigkeiten über die Lippen zu bringen, redet man bevorzugt von einem CAS B. Heinz Becker würde es wahrscheinlich als „Käs-Bie“ bezeichnen, was dem Englischen recht nahekommt.
Allerdings ist damit noch nicht geklärt was ein solcher Cloud Access Security Broker (CASB) macht. Laut Definition sorgt er sich darum, dass die Kommunikation zwischen Ihrem Unternehmen und den Cloud-Anwendungen nur so erfolgt, wie es die Sicherheitsrichtlinie des Unternehmens vorsieht.
Warum brauche ich einen CASB?
Jetzt mag es viele Unternehmen geben, die Cloud-Anwendungen aus Prinzip und aus Sicherheitsbedenken ablehnen. Und davon gibt es in Deutschland nach wie vor sehr viele. Trotzdem sagt Gartner, dass bis ins Jahr 2020 etwa 85% der Firmenkunden einen CASB einsetzen werden. Das liegt auch daran, dass nahezu jedes Unternehmen mit einer Schatten-IT zu kämpfen hat.
Mitarbeiter werden kreativer und damit sind nicht nur die sog. Digital Natives gemeint, die immer stärker in den Unternehmen tätig werden. Schnell wird mal ein privater Dropbox-Account verwendet, um Daten mit Kunden oder Lieferanten auszutauschen, oder vielleicht gar Amazon Drive, was gar nicht so unwahrscheinlich ist bei 100 Mio. Amazon Prime Kunden weltweit. Und somit werden quasi durch die Hintertür immer mehr Cloud-Dienste genutzt, ohne dass die interne IT davon Kenntnis hat.
Was macht ein CASB genau?
Dies ist bereits der erste Ansatzpunkt eines CASB. Durch die Auswertung unterschiedlicher Log-Quellen ist er in der Lage, Transparenz zu schaffen. Welche Cloud-Dienste werden wie und von wem aktiv genutzt? Und alleine diese Information sorgt bei vielen Unternehmen für eine große Überraschung.
Mit der Transparenz ist damit schon einmal die Basis geschaffen. Darüber hinaus bietet der CASB die Möglichkeit, die Nutzung von Cloud-Anwendungen zu kontrollieren, gemäß der Richtlinie des eigenen Unternehmens. Private Dienste können geblockt werden. Bei den geschäftlich freigegebenen Services wird eine Mehr-Faktor-Authentifizierung eingefordert.
Und es ergeben sich noch weitere Möglichkeiten der Steuerung. So können Downloads auf firmeneigene Hardware gewünscht sein. Auf private oder nicht registrierte Endgeräte wird der Datentransfer jedoch unterbunden.
Ohne Frage eines der interessantesten Merkmale eines CASB ist jedoch deren Fähigkeit die Daten in den freigegebenen Cloud-Diensten zu verschlüsseln und zwar mit dem Key des Unternehmens und nicht mit dem des Cloud-Anbieters. Somit könnte man überspitzt gesagt sogar Cloud-Dienste in Anspruch nehmen, die nicht innerhalb der EU gehostet werden. Dem Cloud-Provider liegen nur verschlüsselte Daten vor, die weder er noch eine höhere Instanz ohne großen Aufwände dechiffrieren könnten.
Was sich so kryptisch anhört, kann somit ein wichtiger Baustein in einer Infrastruktur werden, die bereit ist für die Anforderungen von Industrie 4.0, ohne jedoch auf die nötigen Sicherheitsvorkehrungen zu verzichten.
Fazit
Cloud-Dienste werden von uns allen täglich genutzt. Oftmals merken wir dies als Nutzer gar nicht mehr wirklich. Das beste Beispiel hierfür ist Office365 von Microsoft. Daher hätte fast jedes Unternehmen einen Einsatzfall für einen CASB.
Alternativ kann eine Steuerung von Cloud-Diensten auch über eine NG-Firewall oder über Application Whitelisting stattfinden. Allerdings würde dies einen erhöhten Administrationsaufwand mit sich ziehen.
Zum Autor
Stefan Körner
Körner Beratung