Cloud-Dienste sind künftig immer weniger als Anbau, sondern vielmehr als fester Bestandteil der IT-Systeme zu verstehen. Deshalb muss bei ihrer Integration sichergestellt sein, dass Datenschutzprozesse und Sicherheitspraktiken ohne Brüche greifen. Insbesondere seit der Einführung der EU-Datenschutz-Grundverordnung (DSGVO) ist es im ureigensten Interesse der Unternehmen, ihre Richtlinien auch in hybriden Umgebungen stringent durchzusetzen. Dazu reicht es aber nicht, bestehende Lösungen einfach erweitern zu wollen.

Anhand von Zugriffsbeschränkungen verhindern Sicherheitslösungen den Zugang unbefugter Nutzer zu Dateien. DLP-Lösungen (Data Leakage Prevention) wiederum verhindern durch Sicherheitsregeln die unerlaubte Weitergabe der Dateien. Dies ist auch nötig, denn wie McAfees „Cloud Adoption and Risk Report“ gezeigt hat, kämpfen 80 Prozent der untersuchten Unternehmen mit mindestens einem Fall von kompromittierten Accounts pro Monat. Ebenfalls riskant sind Nutzer, die unabsichtlich sensible Informationen weitergeben, was bei 94 Prozent der Unternehmen mindestens einmal im Monat vorkommt.

Gelten die Sicherheitsrichtlinien allerdings nur für die unternehmenseigene IT-Umgebung, können Angeifer die Cloud als Schlupfloch missbrauchen, um diese Dateien dennoch zu exfiltrieren. Hat ein Hacker anhand gestohlener Login-Daten Zugriff auf ein Nutzerkonto im Unternehmen, war es früher noch möglich, die Exfiltration sensiblen Daten zu verhindern. Mittels Regeln für den E-Mail-Schutz erkannte das DLP-System ein Dokument als vertraulich und konnte den Versand blockieren. Daraufhin bekam das Sicherheitsteam auf seinem Dashboard eine Benachrichtigung über den Vorfall.

Heute können Nutzer diese lokalen Sicherheitsbestimmungen umgehen, indem sie den Versand nicht mit dem lokalen, vom Unternehmen verwalteten Computer vornehmen, sondern per Browser. Mit einem privaten Rechner haben sie beispielsweise Zugang zur Cloud-Applikation des E-Mail-Providers, wo die DLP-Regeln nicht mehr lokal greifen können. Dieser Vorgang ließe sich unter Umständen mit einer Netzwerk-DLP-Lösung über SSL-Proxying noch verhindern. Allerdings kämpfen Sicherheitsteams hier mit zwei wesentlichen Herausforderungen: Zum einen verhindern Applikationen wie Office 365 anhand von JSON Encrypted Objects, dass der Datenverkehr durch einen Net Proxy abgefangen wird. Zum anderen lassen immer weniger Browser überhaupt ein DLP-Plugin zu, damit diese nicht die Metadaten erfassen, welche die Browser selbst sammeln.

Regeln synchronisieren

Es gilt deshalb, Cloud-Anwendungen gleichermaßen zu schützen und Sicherheitsregeln auch hier lückenlos durchzusetzen. Dabei sind Unternehmen darauf angewiesen, eine Cloud-native Lösung in Betrieb zu haben, die die Funktionen vom lokalen Netzwerk synchronisiert. Eben diesem Zweck dienen CASB-Lösungen (Cloud Access Security Broker). Sie fungieren gleichzeitig als Türsteher für die Cloud und als verlängerter Arm lokaler Sicherheitslösungen. Unternehmen kontrollieren damit den Zugriff auf Cloud-Anwendungen und können die Sicherheitsrichtlinien darauf ausweiten (siehe Bild). So schützen sie Daten während der Übertragung (Data in Motion) ebenso wie gespeicherte Daten (Data at Rest) oder in Benutzung befindliche (Data in Use).

Ein CASB ermöglicht die Kontrolle über die unternehmenseigenen Daten selbst in hybriden Umgebungen. Bild: McAfee

Sicherheitsarchitekturen, die ihre lokalen Lösungen und den CASB auf einer zentral gesteuerten Management-Plattform verwalten, können ihre Sicherheitsregeln in beiden Umgebungen gleichermaßen anwenden. So lässt sich das beschriebene Szenario eines Nutzers verhindern, der die Sicherheitsregeln aushebelt, indem er die Datei über die Cloud-Applikation versendet: Auch in der Cloud würde ein Abgleich mit den Richtlinien erfolgen. Daraufhin würde der CASB die Datei mittels seiner DLP-Funktionen in Quarantäne verschieben. Zudem erschiene die Meldung auf dem Dashboard des Administrators, der von Fall zu Fall unterscheiden kann, ob der Versand erfolgen kann oder abzubrechen ist.

Die Management-Plattform aggregiert außerdem die Informationsströme aus beiden Umgebungen. Dies reduziert den Administrationsaufwand und vereinfacht das Incident-Management. Denn die Mitarbeiter müssen nicht zwei unterschiedliche Dashboards überblicken, und die Regeln lassen sich zentral erstellen und einfach synchronisieren.

Zum Schutz von Dokumenten in der Cloud gilt es zudem, die richtigen Maßnahmen zu ergreifen, um diese in beiden Umgebungen klassifizieren zu können. Nur dann können die DLP-Funktionen überall greifen. In einer reinen On-Premises-Umgebung würde es reichen, die entsprechenden Tags in den Metadaten außerhalb des Dokuments zu schreiben, sodass die Integrität des Dokuments gewahrt ist. Informationen wie Datum, Zeitstempel oder der Hash der Datei bleiben unverändert. Diese Metadaten gehen allerdings verloren, sobald man das Dokument in die Cloud hochlädt. Denn die Metadaten werden dann nicht mehr im ADS von NTFS gehalten.

Daher bleibt nur noch die Möglichkeit, diese Informationen innerhalb des Dokuments über die Dokumenteneigenschaften festzuhalten. Der XMP-Standard (Extensible Metadata Platform) gewährleistet, dass unterschiedliche Hersteller diese Klassifizierung auslesen oder schreiben können. Ein weiterer Vorteil ist, dass sich die Informationen an das Dokument koppeln lassen und somit andere Systeme – etwa für das Identitäts- oder das Rechte-Management – sie auslesen können.

Nutzerverhalten im Blick behalten

Ein weiterer Vorteil einer CASB-Lösung besteht darin, dass diese auch außerhalb des Perimeters das Nutzerverhalten überwachen und protokollieren kann. So lassen sich Anomalien und mögliche Eindringlinge in den Unternehmensanwendungen frühzeitig bemerken.

Ein Beispiel: Ein Nutzer greift mit seinem Endgerät regelmäßig auf bestimmte Anwendungen zu, die er für seine tägliche Arbeit braucht; doch auf einmal will er Zugriff auf eine Applikation, für die er nicht autorisiert ist. Dies stellt ein abweichendes Verhalten dar, sodass der CASB das Sicherheitsteam alarmiert. Gleiches gilt, wenn der Login zwar von einer sicheren Verbindung erfolgt, aber von einem neuen Endgerät oder parallel aus einer anderen Geolokation.

Diese Fälle müssen nicht immer zwangsläufig eine Bedrohung darstellen, schließlich kann der Mitarbeiter auch einfach eine neue Rolle eingenommen oder einen neuen Laptop erhalten haben. In diesem Fall fügt man die neuen Umstände dem Regelwerk hinzu, das dem CASB zugrunde liegt. Handelt es sich allerdings nicht um den Benutzer, wird das Sicherheitsteam dadurch schnell auf den Eindringling aufmerksam und kann das Nutzerkonto sperren, um so Schäden frühzeitig abzuwenden.

Hybrid in die Zukunft

Wer die Vorteile der Cloud gänzlich nutzen will, muss sich zwangsläufig auch mit den Herausforderungen beschäftigen. Herkömmliche On-Premises-Strategien auf die Cloud zu übertragen funktioniert nur in Maßen und stellt ab einem gewissen Punkt ein hohes Sicherheitsrisiko dar. Baut ein Unternehmen die Cloud standardmäßig in Geschäftsprozesse ein, muss es auch das Ziel sein, die Cloud-Sicherheit als Teil des Ganzen zu behandeln. Hier sind Lösungen gefragt, die passgenau für den Einsatz in der Cloud konzipiert sind – und nicht nur ein Konstrukt, das aus erweiterten Best Practices lokaler Umgebungen besteht.

Rolf Haas ist Enterprise Technology Specialist EMEA bei McAfee, www.mcafee.com/de.