Microsoft Cloud App Security, IT-Sicherheit und Cloudlösungen sind kein Widerspruch!

Unabhängig davon, ob Unternehmen bereits in der Cloud sind oder nicht, ihre Mitarbeiter sind es bereits! Dies stellt Unternehmen vor neue Herausforderungen – gerade in Hinblick auf die EU-DSGVO in Verbindung mit der Schatten-IT.

 

Wie oft höre ich in Gesprächen den Satz „Wir nutzen keine Cloud-Dienste und haben alles unternommen, damit dies nicht möglich ist.“– und frage mich dann: Wirklich alles?!
Ports, Webseiten etc. werden zwar gesperrt, aber wo ein Wille ist auch ein Weg. WhatsApp ist hierfür ein gutes Beispiel. Doch einfallsreiche Benutzer finden auch immer Dienste, die nicht geblockt werden.

Am 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung (EU-DSGVO) wirksam, woraus sich für Unternehmen ein zusätzlicher Handlungsbedarf ableitet. Zur Einhaltung der neuen gesetzlichen Normen sollten diese Unternehmen personenbezogene Daten daher besonders in der Schatten-IT identifizieren und auf datenschutzrechtliche Probleme untersuchen. Ein erster Ansatzpunkt für die Identifikation solcher Dienste und den damit verbundenen Daten bieten Tools von unterschiedlichen Herstellern. Im Rahmen meines Blogbeitrags möchte ich auf Microsoft Cloud App Security eingehen und hier im speziellen auf die erste Analyse der verwendeten Cloud-Applikationen – mit besonderem Fokus auf die Schatten-IT:

  • Was ist Microsoft Cloud App Security?
  • Bereitstellung, Analyse und Bewertung
  • Cloud App Security: EU-DSGVO & Schatten-IT
  • Fazit

Lesetipp: Microsoft Compliance Manager erleichtert Einhaltung von DSGVO


Was ist Microsoft Cloud App Security?

Microsoft Cloud App Security ist das Ergebnis der Übernahme des Cloud-Sicherheitsspezialisten Adallom im Jahre 2015. Cloud App Security ist eine herstellerübergreifende SaaS-Lösung, die auf einem ganzheitlichen Security Framework beruht. Die folgende Tabelle gibt eine anschauliche Übersicht über ihre Funktionen:

Auf dem Bild ist das Microsoft Cloud-App Security Framework dargestellt mit den einzelnen Feature wie zum Beispiel Cloud App Security
Quelle: Microsoft Cloud-App Security Framework

 

Bereitstellung, Analyse und Bewertung

Im ersten Schritt ist es wichtig, die eingesetzten Cloud-Applikationen aufzudecken und zu analysieren. Hierfür kommt das in Cloud App Security enthaltene Cloud Discovery Tool zum Einsatz. Es bedarf keiner aufwendigen Bereitstellung on Premise, da es sich um SaaS-Anwendungen handelt, die bereitgestellte Protokolle von Firewalls und Proxys mittels des Protokollsammlers von Cloud App Security (ggf. auch automatisiert) auswerten kann. Microsoft unterstützt hierbei eine Vielzahl von Herstellern. In diesem Zusammenhang spielt auch der Datenschutz eine nicht unerhebliche Rolle. Microsoft schreibt hierzu:

„Wenn Cloud App Security eine Inhaltsuntersuchung durchführt, wird Datenschutz erzwungen. Ihre Daten werden nicht in der Cloud App Security-Datenbank gespeichert, nur die Metadaten der Dateidatensätze und die Verstöße, die identifiziert wurden. Weitere Informationen finden Sie in unseren Datenschutzrichtlinien .“

Sobald die Protokolle bereitgestellt wurden, startet die Analyse. Diese benötigt lediglich wenige Minuten. Für die Analyse und Auswertung selbst wird auf den Cloud-App-Katalog zurückgegriffen. In diesem wurden mehr als 15.000 Cloud-Apps hinterlegt, beschrieben und anhand von mehr als 60 Kriterien eingestuft und bewertet.

Wie die folgenden Screenshots veranschaulichen, können die ausgewerteten Daten im Rahmen eines Dashboards bereitgestellt und bis auf Applikationsebene ausgewertet werden:

 

Das Bild stellt das Dashboard von Microsoft Cloud App Security da mit der Übersicht der genutzten Cloud Applikationen
Quelle: Microsoft Cloud App Security – Cloud Discovery Dashboard

 

Um eine Auswertung der erhobenen Daten bzw. Apps zu vereinfachen, bewertet Microsoft diese anhand von mehr als 60 Risikofaktoren und stuft sie in einer Risikoskala von 1 (hoch) bis 10 (gering) ein. Diese Bewertung lässt sich individuell an Ihre Anforderungen anpassen – siehe Link. Aus meiner Sicht ist nicht nur die Bewertung wichtig, denn dem Dashboard können gleichzeitig Benutzeranzahl, Datenverkehr, Uploadvolumen, Transaktionen etc. entnommen werden, um daraus Rückschlüsse für weitere Maßnahmen abzuleiten.

 

Das Bild zeigt die Auswertungen der genutzten Cloud Applikationen im Unternehmen und bewertet diese nach ihrem Risiko
Quelle: Microsoft Cloud App Security – Cloud App Auswertung

 

Für jede gelistete Cloud-Applikation können detailliertere Informationen (Allgemeine Informationen, Sicherheit und Compliance) abgerufen werden, wodurch eine erste tiefergehende Bewertung möglich wird.

 

der Shreenshot zeigt die Auswertung von Cloud App Discovery anhand eines Beispiels Oodrive und die damit verbunden Informationen
Quelle: Microsoft Cloud App Security – Cloud App Auswertung

 

Cloud App Security: EU-DSGVO & Schatten-IT

Gerade in Hinblick auf die EU-DSGVO wird es für Unternehmen zukünftig unumgänglich sein, die eingesetzten Lösungen inkl. Schatten-IT zu beurteilen und ggf. entsprechende Maßnahmen zu hinterlegen bzw. einzuleiten. Damit dies gelingen kann, bietet Cloud App Security eine Vielzahl an Möglichkeiten/Tools an. An dieser Stelle möchte ich besonders die Detailinformationen zu den eingesetzten Cloud-Applikationen hervorheben. In der Detailübersicht können bereits sehr wichtige Informationen entnommen werden. So  hinterlegt Microsoft beispielsweise Links zu den Datenschutzrichtlinien der einzelnen Anbieter, …

Der Shreenshot zeigt am Beispiel box.com die weiterführenden Informationen zum Datenschutz inklusive Link

 

… aber auch Links zu den DSGVO-Informationen des Anbieters, sofern diese vorhanden bzw. allgemein zugänglich sind.

 

Der Bild zeigt am Beispiel box.com die Informationen zur DSGVO des Herstellers
Quelle: Microsoft Cloud App Security – Cloud App Detail-Information Box.com

 

Fazit

Cloud-Applikationen und -Dienste bieten viele Vorteile. Das haben auch die unzähligen Mitarbeiter in den Unternehmen erkannt. Wenige Klicks genügen, schon kann die Applikation genutzt werden. Langwierige Antragsprozesse entfallen ausnahmslos. Diese Leichtigkeit, mit der sich Cloud-Anwendungen nutzen lassen, ist daher auch ein wesentlicher Grund für das starke Wachstum der Schatten-IT. Welche Sanktionen und Bußgelder den Unternehmen (Bsp. DSGVO) drohen, ist dem Mitarbeiter meist nicht bekannt, schließlich will er nur seine Arbeit erledigen.

Einfache Blockaden entsprechender Cloud-Apps oder Cloud-Webadressen greifen schon lange zu kurz und sind ein zeitraubendes und schwieriges Unterfangen für die IT-Abteilung. Fast täglich werden neue Apps veröffentlicht und es kommt zu einem Spießrutenlauf zwischen Mitarbeitern und IT-Abteilungen, den keine Seite für sich entscheiden kann.

Dass es auch anders geht, zeigt die aufgezeigte Lösung in diesem Blogbeitrag. Sie setzt die IT-Abteilung zurück in den Driverseat und bereitet dem Spießrutenlauf ein Ende, ohne alle Cloud-Apps seitens des Unternehmens verbieten und blockieren zu müssen. Sie ermöglich den IT-Abteilungen erstmals einen ganzheitlichen Überblick über die genutzten Applikationen, ohne diese manuell (und somit sehr zeitaufwendig) erfassen und auswerten zu müssen. Anhand der gewonnen Erkenntnisse können weitere Maßnahmen abgeleitet werden.  Diese müssen nicht immer das Blockieren der entsprechenden Applikationen sein, sondern auch die „Legalisierung“ als Unternehmenslösung ist ein denkbarer Ansatz.

Sicherheit ist kein erreichbarer Status, sondern ein Prozess, bei dem SaaS-Lösungen wie Microsoft Cloud App Security eine wichtige Rolle spielen.

 

Bei Fragen zu diesem Themenkomplex stehe ich Ihnen gerne zur Verfügung.

Grüße,

Thino Ullmann

 

Weiterführende Informationen

 


Alle Angaben ohne Gewähr, Irrtümer und Änderungen vorbehalten.


 

Betrieben von WordPress | Theme: Baskerville 2 von Anders Noren.

Nach oben ↑