Suchen

Cloud Access Security Broker Hochkonjunktur für die Schatten-IT

Autor / Redakteur: Paul Schöber / Peter Schmitz

Gefesselt an Homeoffices, ausgestattet mit schlecht gesicherter Hardware, laden sich Mitarbeiter in Zeiten von Covid-19 bei Bedarf bedenkenlos Apps runter oder nutzen nicht freigegebene Software in der Cloud: ein gefährliches Einfallstor für Hacker und Wirtschaftskriminelle.

Firmen zum Thema

Ein CASB ist die Basis für das automatisierte Erkennen gefährlicher Schatten-IT und behält den gesamten Cloud-Verkehr im Unternehmen im Blick.
Ein CASB ist die Basis für das automatisierte Erkennen gefährlicher Schatten-IT und behält den gesamten Cloud-Verkehr im Unternehmen im Blick.
(Bild: gemeinfrei / Pixabay )

Der Erfolg der Videokonferenz-Lösung „Zoom“ lockte mit ihrem Boom aufgrund des Corona-Virus innerhalb kürzester Zeit die digitale Unterwelt an. Mehr als 3.000 Domain-Namen enthielten auf einmal das Wort „Zoom“, hatten aber nichts mit dem Videokonferenzsystem zu tun. Nicht alle Domains sind gefährlich, sondern surfen nur auf der Popularitätswelle von Zoom. Aber eine ganze Reihe Webseiten dienen nur dem Zweck, persönliche Daten abzugreifen oder verseuchte Programme zu installieren.

IT-Abteilungen in den Unternehmen haben seit Beginn der Pandemie einen besonderen Blick auf den Homeoffice-Hype. Sie mussten nicht nur in Windeseile ihre KollegInnen mit Hardware ausstatten und an das Unternehmensnetz anschließen, sondern ihre Unternehmen auch noch gegen neue Risiken absichern. Denn über unbedarft genutzte Apps und Software in der Cloud schleppen MitarbeiterInnen Schadprogramme in die Unternehmens-IT ein, mit denen Hacker geschäftskritische Daten abziehen.

Gefährliche Apps aus der Cloud

Schatten-IT ist aber nicht erst seit Covid-19 ein Problem. McAfee hat 2019 bei einer weltweiten Befragung von IT-Leitern herausgefunden, dass 53 Prozent der IT-Leiter davon ausgehen, dass mehr als die Hälfte der MitarbeiterInnen in ihren Unternehmen Anwendungen nutzt, von denen die IT-Abteilung nichts weiß. Wer Anwendungen ohne Wissen der IT nutzt, macht dies in der Regel nicht, um seinem Arbeitgeber zu schaden. Es hat meist praktische Gründe.

Ein anscheinend harmloses Beispiel: Der Austausch von Dokumenten mit Team-KollegInnen in den verstreuten Homeoffices. Für die Umwandlung einer Word-Datei in ein Pdf fehlt die passende Software. Dafür bietet die Cloud eine ganze Reihe von kostenlosen Diensten an. Was kaum jemand weiß: Manche Cloud -Anbieter ziehen als „Gegenleistung“ für den kostenlosen Service unbemerkt die sensiblen Inhalte ab, was bei Finanzdaten, personenbezogenen Daten oder strategischen Konzepten Folgen haben kann. Oder sie verstecken Schad-Software in der umgewandelten Datei, die nach Versand und Öffnen der Datei weitere Rechner infiziert und schlimmstenfalls in die IT des Unternehmens eindringt.

App-Einsatz wird kaum hinterfragt

Was tun gegen die Schatten-IT? Verbote, von der IT nicht freigegebene Apps zu nutzen, führen meist nicht zum Ziel. Stattdessen gibt es Sicherheits-Software, die Schatten-IT nicht ganz verhindert, aber IT-Abteilungen und Nutzer davor warnt, wenn sie ein gefährliches Tool aus der Cloud runterladen oder online nutzen wollen. „Da wir als Privatmenschen gewohnt sind, Apps nach Belieben von Plattformen runterzuladen, machen sich viele Mitarbeiter keine weiteren Gedanken, wenn sie auch für ihren Job Apps oder Services in oder aus der Cloud nutzen“, sagt Paul Schöber von der Deutschen Telekom Security, wie ein Security-Audit der Sicherheitsexperten bei einer Großbank bestätige. Eine Woche lang wurden Logdateien von rund 18.000 Beschäftigten analysiert. Das Ergebnis: Sie nutzten rund 1.300 Cloud-Dienste mit denen ein Datenaustausch stattgefunden hat und innerhalb einer Woche entstanden rund 100 neue Einfallstore für Cyberkriminelle. Die genutzten Daten wurden an mehrere hundert Destinationen in der ganzen Welt verarbeitet und gespeichert. „Darunter waren auch wenig vertrauenswürdige Regionen auf allen Kontinenten verteilt“, weiß Schöber.

Ergänzendes zum Thema
Typische Fehlkonfigurationen von IaaS-Nutzern bei AWS, die Cloud-native Breaches ermöglichen:
  • Analyse und Kontrolle der Nutzung von Cloud-Services durch detaillierte Bewertung der Cloud-Apps
  • Definition von Maßnahmen je nach Risikoklasse von Informationen, über Angebot einer Alternative bis hin zu automatisierten Blockieren von Cloud-Diensten
  • Data Loss Prevention: Erstellung und Überwachung von Sicherheits-Policies für SaaS-Anwendungen
  • Analyse von ungewöhnlichen oder riskanten Dateibewegungen, Down- und Upload-Werten oder Nutzerverhalten

Risiko-Awareness statt Verbote

Der Cloud-Sicherheits-Experte der Deutsche Telekom Security weiß, dass allein Verbote das Problem der Schatten-IT nicht beseitigen können. Zumal die Unternehmen selbst es in punkto Sicherheit von Cloud-Diensten anscheinend eher nachlässig angehen. So sollen mehr als 50 Prozent der Unternehmen Cloud-Services nutzen, die in der Vergangenheit schon einmal kompromittiert wurden. Dies zeigt noch deutlicher, dass Verbote allein nicht zum Ziel führen würden, zumal eine umfassende Einschätzung und Bewertung der Cloud-Dienste durch die Mitarbeiter nicht möglich ist. „Es gibt zwei wichtige Maßnahmen, mit denen Unternehmen einen deutlichen Schritt zu mehr Sicherheit machen können: Erstens die Mitarbeiter überhaupt auf die Risiken aufmerksam machen, also erklären und Awareness schaffen. Das hilft mehr als das reine Verbieten.“

Echtzeit-Analyse des Cloud-Verkehrs

Und zweitens helfe ein Cloud Access Security Broker (CASB). Dieses Security-Tool schaffe die technische Basis für das automatisierte Erkennen gefährlicher Schatten-IT. „Ein CASB analysiert den Cloud-Verkehr in Echtzeit, erkennt Risiken und blockiert unter anderem Downloads oder sperrt Zugänge automatisiert bis das Problem gelöst ist.“ Das passiert pseudonymisiert, da es nicht darum geht, die unbewussten „Täter“ zu stellen, sondern zu sensibilisieren. Erst wenn sich herausstellt, dass offensichtlich Wiederholungstäter mit krimineller Energie am Werk sind, sollten die IT-Verantwortlichen gezielt und individuell dagegen vorgehen. Entscheidend sei neben dem Tool daher, zunächst detaillierte Governance- und Cloud-Service-Regeln für die Nutzung zu definieren. „Selbst populäre und anscheinend risikofreie Cloud-Anwendungen wie Microsoft 365 oder Salesforce werden dann zum Problem, wenn Nutzer infizierte Dateien in die Cloud bringen oder geschäftskritische Daten ungewollt teilen“, warnt Schöber.

Ergänzendes zum Thema
Cloud-Risiken managen
  • Verbessertes Verständnis der Betriebs- und Compliance-Risiken durch Cloud Computing sowie Etablierung eines Risikomanagement-Konzepts innerhalb der Organisation
  • Identifizierung von Schwachstellen auf Prozessebene und Etablierung eines Compliance-Managements, u.a. Cloud Incident Response und proaktives Cloud Threat Modelling
  • Auseinandersetzung mit Cloud-Architekturen und Kenntnis der Spezifika der verschiedenen Service-Modelle (IaaS, PaaS und SaaS)
  • Einsatz passender Tools und nativer Sicherheitslösungen der Cloud Service-Providern
  • Aufbau von Awareness bei Mitarbeitern, um die Risiken zu verdeutlichen und die Sensibiltät zu steigern

Abgreifen von Daten verhindern

Das Tool analysiert unter anderem Log-Dateien der Cloud-Nutzer sowie die jeweiligen Verhaltensmuster. So erkennt der Security Broker ungewöhnliche Up- und Downloads, wie zum Beispiel außergewöhnlich große Dateien oder auch ungewöhnliche Dokumententypen. Entdeckt das Tool eine schadhafte Datei, dann kann es das Virus unschädlich machen. „Mindestens genauso wichtig wie der Schutz gegen Schad-Software ist es, das Abgreifen von geschäftskritischen Daten zu verhindern“, sagt Schöber. Gerade bei gezielten Hackerangriffen steckt oftmals Wirtschaftskriminalität dahinter. So steigt laut der McAfee-Studie „Iaas Adoption and Risk 2019“ die Anzahl von Datendiebstählen in Cloud-Umgebungen um jährlich rund 250 Prozent. Wettbewerber und leider auch andere Staaten heuern dafür Hacker an und versuchen sich durch das Abgreifen wertvoller Daten einen Vorteil zu verschaffen.“

CASB-Kompetenz kaum vorhanden

Der CASB ist also die Basis für das automatisierte Erkennen gefährlicher Schatten-IT und behält den gesamten Cloud-Verkehr im Unternehmen im Blick. Ein solches Tool setzen aber laut einer Security-Studie von IDG aus dem Jahr 2019 bisher erst ein knappes Viertel der befragten Unternehmen ein. Und die Cloud Security Alliance (CSA), die als global agierende Organisation unter anderem Sicherheitslücken in Cloud-Umgebungen identifiziert und Sicherheitsstandards bei Cloud-Diensten entwickelt, veröffentlichte Mitte August 2020 eine Studie zum Einsatz von CASB. Das Fazit: Es besteht eine große Lücke zwischen der Zahl der CASB-Implementierungen und der tatsächlichen CASB-Nutzung. Zwar haben 90 Prozent der Befragten einen CASB im Einsatz, jedoch die Hälfte davon nutzen die Möglichkeiten des Tools nicht, da es ihnen an Fachpersonal fehlt. Studienautor und CSA-Analyst Hillary Baron sieht fehlende Kompetenz der Unternehmen als ein Grund für den spärlichen Einsatz: „Die Studie macht deutlich, dass unbedingt mit Trainings der Umgang mit der Lösung aufgebaut werden muss, damit CASB als Tool und Service effektiv eingesetzt werden kann.”

Über den Autor: Paul Schöber ist Portfoliomanager Cloud Security bei T-Systems.

(ID:46943018)