Datensicherheit in Office 365

DLP-Richtlinien auf die Cloud erweitern

| Autor / Redakteur: Daniel Wolf / Peter Schmitz

Mit Hilfe eines Cloud Access Security Broker (CASB) lassen sich Sicherheitskontrollen und Zugriffsberechtigungen auf Unternehmensdaten in Office 365 ausdehnen.
Mit Hilfe eines Cloud Access Security Broker (CASB) lassen sich Sicherheitskontrollen und Zugriffsberechtigungen auf Unternehmensdaten in Office 365 ausdehnen. (Bild: Pixabay / CC0)

Durch den Einsatz des Cloud-Dienstes Office 365 besteht die Gefahr, dass Daten durch Mitarbeiter unkontrolliert abfließen. Das kann unabsichtlich, fahrlässig oder vorsätzlich geschehen, lässt sich aber effizient mit einem Cloud Access Security Broker (CASB) verhindern, der On-Premise-Policies für den sicheren Datenumgang auf die Cloud überträgt.

Unternehmen bewegen viele Daten, damit ihre Geschäftsprozesse reibungslos laufen. Ein anschwellender Informationsfluss bringt sie allerdings in Gefahr, weil Mitarbeitern Fehler unterlaufen können. Ob das nun unabsichtlich, fahrlässig oder vorsätzlich passiert, ist zweitrangig. Mit dem Fehlverhalten ist das Risiko verbunden, dass geistiges Eigentum, Kreditkartennummern oder personenbezogen Daten in die Hände von Unbefugten gelangen. Unternehmen müssen über ein Zugangs- und Rollenkonzept regeln, wer intern auf geschäftskritische Daten zugreifen und diese auch teilen darf. Lösungen zur Data Loss Prevention (DLP) dienen ihnen dazu, dieses Regelwerk on-premise für die Anwendungen und E-Mail-Server durchzusetzen. So wird ausgeschlossen, dass Nutzer unberechtigt sensible Daten teilen.

Der zu kontrollierende Datenfluss beschränkt sich jedoch nicht mehr auf die eigene Organisation. Denn die Zusammenarbeit findet heute firmenübergreifend zwischen Zulieferern, Vertriebsorganisationen, Anbietern und Geschäftspartnern statt, wozu Anwender verstärkt zu Cloud-Anwendungen greifen. So gibt Microsoft an, dass 100 Millionen Unternehmen im Monat aktiv Office 365 nutzen. Diese Anwender stehen vor der dringenden Aufgabe, ihre etablierten DLP-Richtlinien auch für die Cloud-Applikationen und E-Mail-Nutzung durchsetzen. An der Stelle kommt ein Cloud Access Security Broker (CASB) ins Spiel, mit dem sich die Sicherheitskontrollen auf Unternehmensdaten in Office 365 ausdehnen lassen.

Cloud-Sicherheit bei Office 365

Vertrauliche Dokumente in der Cloud

Cloud-Sicherheit bei Office 365

13.12.16 - Bürosoftware aus der Cloud wie Microsoft Office 365 wird auch für vertrauliche Dokumente genutzt und muss umfangreiche Sicherheitsanforderungen erfüllen. Office 365 hat bereits zahlreiche Sicherheitsfunktionen integriert. Doch reichen diese aus? lesen

Anwendern gehen oft fahrlässig mit Zugriffsberechtigungen um

Das Risiko, welches der CASB zu minimieren hat, hängt entscheidend davon ab, wer Zugang zu den Daten erhält – und so fahrlässig Daten teilen könnte. Office 365 bietet Nutzern drei Wege an, Dateien und Ordner in OneDrive und Sharepoint freizugeben: Sie laden andere per E-Mail ein, verschicken einen Link oder sie erzeugen ein Dokument, welches im Internet veröffentlicht und von Suchmaschinen gefunden wird.

Skyhigh Networks hat das Teilungsverhalten der Nutzer untersucht. Demnach wurden 28,3 Prozent der Daten per Firmen-E-Mailadresse geteilt. Bei 6,2 Prozent der Daten nutzen jedoch auch Mitarbeiter ihren privaten E-Mail-Account, um andere einzuladen. Ebenso bedenklich sind die 5,5 Prozent der Informationen, die per Link weitergereicht werden. Es ist in dem Fall nicht nachzuverfolgen, wer diese Daten einsieht – insbesondere nicht bei den 2,7 Prozent der Dokumente, die frei im Internet stehen. Hinzukommt, dass 17 Prozent der in OneDrive und Sharepoint abgelegten Daten als sensibel einzustufen sind. Bei Dokumenten, die Passwörter enthalten, sollte jedem klar sein, dass diese nichts in der Cloud zu suchen haben. In OneDrive finden sich hingegen im Durchschnitt 204 solche Word- oder Excel-Dateien.

Eine Kombination aus inhalts- und nutzerbezogenen Regeln

Ein CASB setzt das DLP-Regelwerk um, welches zunächst einstuft, ob Inhalt geteilt werden darf oder nicht. Für die Zusammenarbeit lassen sich so bestimmte Dateien und Ordner freigeben. Ein Rollenkonzept, welches in die Nutzergruppen Viewer, Editor oder Owner für den Datenumgang unterteilt, stärkt den Sicherheitsgedanken. Dieser wird konsequent umgesetzt, wenn er das Teilen von sensiblem Inhalt via Link ausschließt. Der CASB unterbindet idealerweise den Austausch von geschäftskritischen Informationen, wenn externe Kontakte eine Gmail oder GMX-Adresse verwenden. Das kann auch einen als vertrauensvoll eingestuften Geschäftspartner betreffen. Einen Blankofreischein sollte niemand erhalten.

Entscheidend ist, dass der CASB sensible Daten auf der Plattform aufspürt. Dafür bedient sich die Lösung an festgelegten Kriterien. So hat sich ein Keyword-Lexikon für einen Abgleich bewährt. Kommen die Datenklassifizierungs-Tags „vertraulich“ oder „nur für den internen Gebrauch“ in den Metadaten vor, handelt es sich um sensible Dokumente. Alphanumerische Muster bieten sich an, um Sozialversicherungsnummern, Kreditkartennummern oder firmenspezifische Nummern von Bauteilen oder Artikeln zu identifizieren. Auch die Suche nach konkreten Dokumenten wie CAD-Dateien für die Produktion oder Verträge können zum Erfolg führen. Oder man setzt den CASB auf konkreten Inhalt an, wofür er dieser ein beliebiges Feld aus einer strukturierten Datenbank mit personenbezogenen Daten von 300 Millionen Kunden heranziehen kann.

Mehr Datensicherheit in Office 365

Cloud Access Security Broker

Mehr Datensicherheit in Office 365

24.02.16 - Die vor kurzem vorgestellte Schnittstelle Microsoft Graph vereinheitlicht den Zugriff auf alle Daten in Office 365. Darüber können Cloud Access Security Broker (CASB), wie Skyhigh for Office 365, die Verwaltung der Cloud-Plattform mit zusätzlichen Sicherheits- und Compliance-Mechanismen vereinfachen. lesen

Unerlaubte Down- und Uploads in Echtzeit stoppen

Im nächsten Schritt gilt es, Kontrollmechanismen aufzusetzen, die das Nutzen der identifizierten Daten verhindern. Außerdem ergibt sich für den CASB-Einsatz die Notwendigkeit, ein compliante Zusammenarbeit in Echtzeit durchsetzen. Bevor also beispielsweise ein unerlaubter Down- oder Upload abgeschlossen ist, muss die Lösung die kritischen Daten erkennen und diesen Vorgang stoppen. Für mögliche Policy-Verletzungen lässt sich ein Stufenmodell einrichten, das automatisierte Aktionen ausführt. Diese reichen von Warnungen bei leichten Verstößen bis hin zum Löschen, wenn Nutzer sich gravierend über Richtlinien hinweggesetzt haben.

Ein CASB wacht zwischen der firmeneigenen IT-Infrastruktur und den Cloud-Anwendungen. Die Art der Bereitstellung entscheidet darüber, was die Lösung von der notwendigen Funktionalität abdeckt. Die Integration per API in Office 365 befähigt dazu, das Einhalten der Policies für Dateien zu kontrollieren, die bereits in der Cloud liegen oder dort erzeugt werden. Erst der Einsatz des CASB als Reverse Proxy sichert jedoch das Hoch- und Herunterladen von Dateien in die Cloud ab. Bei diesem Deployment lassen sich zudem Dateien verschlüsseln, bevor sie in der Cloud gespeichert werden. Eine weitere nützliche Zusatzfunktion ist das Durchführen von Zugriffskontrollen.

Enge Kooperation mit anderen Sicherheitssystemen

Office-365-Anwender stehen in der Pflicht, für einen sicheren Datenumgang in der Cloud zu sorgen. Mitarbeiter sollen dort keine sensiblen Daten mit Unbefugten teilen und vertrauliche Informationen speichern. Hierfür liegt nicht beim Hersteller, sondern bei den Unternehmen die Verantwortung, der sie technisch mit einem ausgereiften CASB gerecht werden können. Denn wer den API-Modus und Betrieb als Reverse Proxy kombiniert, dem stehen alle Funktionen zur Verfügung, um DLP-Richtlinien in SharePoint und OneDrive umzusetzen. Für die engere Auswahl empfehlen sich Lösungen, die nahtlos mit anderen Sicherheitssystemen zusammenarbeiten. Solch ein CASB übernimmt Policies aus On-Premise-DLP-Lösungen und überträgt sie in die Cloud. In die Suche nach dem passenden CASB muss ein Unternehmen in Zeit oder Beratung investieren. Die Alternative, einen unkontrollierten Datenabfluss über Office 365 zu riskieren, kann sich jedenfalls keiner leisten.

Über den Autor: Daniel Wolf ist Regional Director DACH bei Skyhigh Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44993778 / Zugangs- und Zutrittskontrolle)