:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/9b/4b9b0e03c93f35253e7bdc638d8c1985/0114368367.jpeg ""Sichere Digitalisierung im Maschinenbau", ein Interview von Oliver Schonschek, Insider Research, mit Christoph Schambach von secunet Security Networks AG. (Bild: Vogel IT-Medien / secunet Security Networks AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/12/c212e1f2d8d9ec50fa8c1c40f8aecb22/0114324694.jpeg "Oft totgesagt und trotzdem quicklebendig: Passwörter sind trotz Alternativen noch immer allgegenwärtig und ein willkommenes Ziel für Cyberkriminelle. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/f1/6b/f16b94ff7c9056c68539d3beb864080f/0114259975.jpeg "CISOs verstehen menschenzentrierte Sicherheit in erster Linie als das, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datensicherheit in Office 365 DLP-Richtlinien auf die Cloud erweitern
Durch den Einsatz des Cloud-Dienstes Office 365 besteht die Gefahr, dass Daten durch Mitarbeiter unkontrolliert abfließen. Das kann unabsichtlich, fahrlässig oder vorsätzlich geschehen, lässt sich aber effizient mit einem Cloud Access Security Broker (CASB) verhindern, der On-Premise-Policies für den sicheren Datenumgang auf die Cloud überträgt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Unternehmen bewegen viele Daten, damit ihre Geschäftsprozesse reibungslos laufen. Ein anschwellender Informationsfluss bringt sie allerdings in Gefahr, weil Mitarbeitern Fehler unterlaufen können. Ob das nun unabsichtlich, fahrlässig oder vorsätzlich passiert, ist zweitrangig. Mit dem Fehlverhalten ist das Risiko verbunden, dass geistiges Eigentum, Kreditkartennummern oder personenbezogen Daten in die Hände von Unbefugten gelangen. Unternehmen müssen über ein Zugangs- und Rollenkonzept regeln, wer intern auf geschäftskritische Daten zugreifen und diese auch teilen darf. Lösungen zur Data Loss Prevention (DLP) dienen ihnen dazu, dieses Regelwerk on-premise für die Anwendungen und E-Mail-Server durchzusetzen. So wird ausgeschlossen, dass Nutzer unberechtigt sensible Daten teilen.
Der zu kontrollierende Datenfluss beschränkt sich jedoch nicht mehr auf die eigene Organisation. Denn die Zusammenarbeit findet heute firmenübergreifend zwischen Zulieferern, Vertriebsorganisationen, Anbietern und Geschäftspartnern statt, wozu Anwender verstärkt zu Cloud-Anwendungen greifen. So gibt Microsoft an, dass 100 Millionen Unternehmen im Monat aktiv Office 365 nutzen. Diese Anwender stehen vor der dringenden Aufgabe, ihre etablierten DLP-Richtlinien auch für die Cloud-Applikationen und E-Mail-Nutzung durchsetzen. An der Stelle kommt ein Cloud Access Security Broker (CASB) ins Spiel, mit dem sich die Sicherheitskontrollen auf Unternehmensdaten in Office 365 ausdehnen lassen.
:quality(80)/images.vogel.de/vogelonline/bdb/1129200/1129220/original.jpg "Um den Sicherheitsanforderungen der Unternehmen gerecht zu werden, hat Office 365 schon von Haus aus eine Vielzahl von Sicherheitsfunktionen integriert, wie beispielsweise Spam- und Malware-Schutz, E-Mail-Verschlüsselung und eine Multi-Faktor-Authentifizierung. (Pixabay)")
Vertrauliche Dokumente in der Cloud
Cloud-Sicherheit bei Office 365
Anwendern gehen oft fahrlässig mit Zugriffsberechtigungen um
Das Risiko, welches der CASB zu minimieren hat, hängt entscheidend davon ab, wer Zugang zu den Daten erhält – und so fahrlässig Daten teilen könnte. Office 365 bietet Nutzern drei Wege an, Dateien und Ordner in OneDrive und Sharepoint freizugeben: Sie laden andere per E-Mail ein, verschicken einen Link oder sie erzeugen ein Dokument, welches im Internet veröffentlicht und von Suchmaschinen gefunden wird.
Skyhigh Networks hat das Teilungsverhalten der Nutzer untersucht. Demnach wurden 28,3 Prozent der Daten per Firmen-E-Mailadresse geteilt. Bei 6,2 Prozent der Daten nutzen jedoch auch Mitarbeiter ihren privaten E-Mail-Account, um andere einzuladen. Ebenso bedenklich sind die 5,5 Prozent der Informationen, die per Link weitergereicht werden. Es ist in dem Fall nicht nachzuverfolgen, wer diese Daten einsieht – insbesondere nicht bei den 2,7 Prozent der Dokumente, die frei im Internet stehen. Hinzukommt, dass 17 Prozent der in OneDrive und Sharepoint abgelegten Daten als sensibel einzustufen sind. Bei Dokumenten, die Passwörter enthalten, sollte jedem klar sein, dass diese nichts in der Cloud zu suchen haben. In OneDrive finden sich hingegen im Durchschnitt 204 solche Word- oder Excel-Dateien.
Eine Kombination aus inhalts- und nutzerbezogenen Regeln
Ein CASB setzt das DLP-Regelwerk um, welches zunächst einstuft, ob Inhalt geteilt werden darf oder nicht. Für die Zusammenarbeit lassen sich so bestimmte Dateien und Ordner freigeben. Ein Rollenkonzept, welches in die Nutzergruppen Viewer, Editor oder Owner für den Datenumgang unterteilt, stärkt den Sicherheitsgedanken. Dieser wird konsequent umgesetzt, wenn er das Teilen von sensiblem Inhalt via Link ausschließt. Der CASB unterbindet idealerweise den Austausch von geschäftskritischen Informationen, wenn externe Kontakte eine Gmail oder GMX-Adresse verwenden. Das kann auch einen als vertrauensvoll eingestuften Geschäftspartner betreffen. Einen Blankofreischein sollte niemand erhalten.
Entscheidend ist, dass der CASB sensible Daten auf der Plattform aufspürt. Dafür bedient sich die Lösung an festgelegten Kriterien. So hat sich ein Keyword-Lexikon für einen Abgleich bewährt. Kommen die Datenklassifizierungs-Tags „vertraulich“ oder „nur für den internen Gebrauch“ in den Metadaten vor, handelt es sich um sensible Dokumente. Alphanumerische Muster bieten sich an, um Sozialversicherungsnummern, Kreditkartennummern oder firmenspezifische Nummern von Bauteilen oder Artikeln zu identifizieren. Auch die Suche nach konkreten Dokumenten wie CAD-Dateien für die Produktion oder Verträge können zum Erfolg führen. Oder man setzt den CASB auf konkreten Inhalt an, wofür er dieser ein beliebiges Feld aus einer strukturierten Datenbank mit personenbezogenen Daten von 300 Millionen Kunden heranziehen kann.
:quality(80)/images.vogel.de/vogelonline/bdb/980300/980383/original.jpg "Bedenken, dass die Sicherheit von Unternehmensdaten nicht ausreichend gewährleistet ist, verzögern die Einführung von Cloud-Diensten wie Office 365. (Bild: Kirsty Pargeter, Fotolia)")
Cloud Access Security Broker
Mehr Datensicherheit in Office 365
Unerlaubte Down- und Uploads in Echtzeit stoppen
Im nächsten Schritt gilt es, Kontrollmechanismen aufzusetzen, die das Nutzen der identifizierten Daten verhindern. Außerdem ergibt sich für den CASB-Einsatz die Notwendigkeit, ein compliante Zusammenarbeit in Echtzeit durchsetzen. Bevor also beispielsweise ein unerlaubter Down- oder Upload abgeschlossen ist, muss die Lösung die kritischen Daten erkennen und diesen Vorgang stoppen. Für mögliche Policy-Verletzungen lässt sich ein Stufenmodell einrichten, das automatisierte Aktionen ausführt. Diese reichen von Warnungen bei leichten Verstößen bis hin zum Löschen, wenn Nutzer sich gravierend über Richtlinien hinweggesetzt haben.
Ein CASB wacht zwischen der firmeneigenen IT-Infrastruktur und den Cloud-Anwendungen. Die Art der Bereitstellung entscheidet darüber, was die Lösung von der notwendigen Funktionalität abdeckt. Die Integration per API in Office 365 befähigt dazu, das Einhalten der Policies für Dateien zu kontrollieren, die bereits in der Cloud liegen oder dort erzeugt werden. Erst der Einsatz des CASB als Reverse Proxy sichert jedoch das Hoch- und Herunterladen von Dateien in die Cloud ab. Bei diesem Deployment lassen sich zudem Dateien verschlüsseln, bevor sie in der Cloud gespeichert werden. Eine weitere nützliche Zusatzfunktion ist das Durchführen von Zugriffskontrollen.
Enge Kooperation mit anderen Sicherheitssystemen
Office-365-Anwender stehen in der Pflicht, für einen sicheren Datenumgang in der Cloud zu sorgen. Mitarbeiter sollen dort keine sensiblen Daten mit Unbefugten teilen und vertrauliche Informationen speichern. Hierfür liegt nicht beim Hersteller, sondern bei den Unternehmen die Verantwortung, der sie technisch mit einem ausgereiften CASB gerecht werden können. Denn wer den API-Modus und Betrieb als Reverse Proxy kombiniert, dem stehen alle Funktionen zur Verfügung, um DLP-Richtlinien in SharePoint und OneDrive umzusetzen. Für die engere Auswahl empfehlen sich Lösungen, die nahtlos mit anderen Sicherheitssystemen zusammenarbeiten. Solch ein CASB übernimmt Policies aus On-Premise-DLP-Lösungen und überträgt sie in die Cloud. In die Suche nach dem passenden CASB muss ein Unternehmen in Zeit oder Beratung investieren. Die Alternative, einen unkontrollierten Datenabfluss über Office 365 zu riskieren, kann sich jedenfalls keiner leisten.
Über den Autor: Daniel Wolf ist Regional Director DACH bei Skyhigh Networks.
(ID:44993778)
:quality(80)/p7i.vogel.de/wcms/aa/39/aa39b4f9b98a1327c59b247cee653949/0106849100.jpeg "Durch die intensive Nutzung von Microsoft 365 verlieren viele Unternehmen den Überblick über geteilte Daten. (Bild: deepagopi2011 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d3/a0/d3a07c39b5071976d1a3380a5917afc0/0107788277.jpeg "Mit SSE-Lösungen, die zentrale Sicherheitsservices integriert bereitstellen, können Unternehmen die Transformation ihrer IT-Sicherheit bereits heute einleiten. (Bild: ra2 studio - stock.adobe.com)")