Unabhängig davon, ob Unternehmen bereits in der Cloud sind oder nicht, ihre Mitarbeiter sind es bereits! Dies stellt Unternehmen vor neue Herausforderungen – gerade in Hinblick auf die EU-DSGVO in Verbindung mit der Schatten-IT.
Wie oft höre ich in Gesprächen den Satz „Wir nutzen keine Cloud-Dienste und haben alles unternommen, damit dies nicht möglich ist.“– und frage mich dann: Wirklich alles?!
Ports, Webseiten etc. werden zwar gesperrt, aber wo ein Wille ist auch ein Weg. WhatsApp ist hierfür ein gutes Beispiel. Doch einfallsreiche Benutzer finden auch immer Dienste, die nicht geblockt werden.
Am 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung (EU-DSGVO) wirksam, woraus sich für Unternehmen ein zusätzlicher Handlungsbedarf ableitet. Zur Einhaltung der neuen gesetzlichen Normen sollten diese Unternehmen personenbezogene Daten daher besonders in der Schatten-IT identifizieren und auf datenschutzrechtliche Probleme untersuchen. Ein erster Ansatzpunkt für die Identifikation solcher Dienste und den damit verbundenen Daten bieten Tools von unterschiedlichen Herstellern. Im Rahmen meines Blogbeitrags möchte ich auf Microsoft Cloud App Security eingehen und hier im speziellen auf die erste Analyse der verwendeten Cloud-Applikationen – mit besonderem Fokus auf die Schatten-IT:
- Was ist Microsoft Cloud App Security?
- Bereitstellung, Analyse und Bewertung
- Cloud App Security: EU-DSGVO & Schatten-IT
- Fazit
Lesetipp: Microsoft Compliance Manager erleichtert Einhaltung von DSGVO
Was ist Microsoft Cloud App Security?
Microsoft Cloud App Security ist das Ergebnis der Übernahme des Cloud-Sicherheitsspezialisten Adallom im Jahre 2015. Cloud App Security ist eine herstellerübergreifende SaaS-Lösung, die auf einem ganzheitlichen Security Framework beruht. Die folgende Tabelle gibt eine anschauliche Übersicht über ihre Funktionen:
Bereitstellung, Analyse und Bewertung
Im ersten Schritt ist es wichtig, die eingesetzten Cloud-Applikationen aufzudecken und zu analysieren. Hierfür kommt das in Cloud App Security enthaltene Cloud Discovery Tool zum Einsatz. Es bedarf keiner aufwendigen Bereitstellung on Premise, da es sich um SaaS-Anwendungen handelt, die bereitgestellte Protokolle von Firewalls und Proxys mittels des Protokollsammlers von Cloud App Security (ggf. auch automatisiert) auswerten kann. Microsoft unterstützt hierbei eine Vielzahl von Herstellern. In diesem Zusammenhang spielt auch der Datenschutz eine nicht unerhebliche Rolle. Microsoft schreibt hierzu:
„Wenn Cloud App Security eine Inhaltsuntersuchung durchführt, wird Datenschutz erzwungen. Ihre Daten werden nicht in der Cloud App Security-Datenbank gespeichert, nur die Metadaten der Dateidatensätze und die Verstöße, die identifiziert wurden. Weitere Informationen finden Sie in unseren Datenschutzrichtlinien .“
Sobald die Protokolle bereitgestellt wurden, startet die Analyse. Diese benötigt lediglich wenige Minuten. Für die Analyse und Auswertung selbst wird auf den Cloud-App-Katalog zurückgegriffen. In diesem wurden mehr als 15.000 Cloud-Apps hinterlegt, beschrieben und anhand von mehr als 60 Kriterien eingestuft und bewertet.
Wie die folgenden Screenshots veranschaulichen, können die ausgewerteten Daten im Rahmen eines Dashboards bereitgestellt und bis auf Applikationsebene ausgewertet werden:
Um eine Auswertung der erhobenen Daten bzw. Apps zu vereinfachen, bewertet Microsoft diese anhand von mehr als 60 Risikofaktoren und stuft sie in einer Risikoskala von 1 (hoch) bis 10 (gering) ein. Diese Bewertung lässt sich individuell an Ihre Anforderungen anpassen – siehe Link. Aus meiner Sicht ist nicht nur die Bewertung wichtig, denn dem Dashboard können gleichzeitig Benutzeranzahl, Datenverkehr, Uploadvolumen, Transaktionen etc. entnommen werden, um daraus Rückschlüsse für weitere Maßnahmen abzuleiten.
Für jede gelistete Cloud-Applikation können detailliertere Informationen (Allgemeine Informationen, Sicherheit und Compliance) abgerufen werden, wodurch eine erste tiefergehende Bewertung möglich wird.
Cloud App Security: EU-DSGVO & Schatten-IT
Gerade in Hinblick auf die EU-DSGVO wird es für Unternehmen zukünftig unumgänglich sein, die eingesetzten Lösungen inkl. Schatten-IT zu beurteilen und ggf. entsprechende Maßnahmen zu hinterlegen bzw. einzuleiten. Damit dies gelingen kann, bietet Cloud App Security eine Vielzahl an Möglichkeiten/Tools an. An dieser Stelle möchte ich besonders die Detailinformationen zu den eingesetzten Cloud-Applikationen hervorheben. In der Detailübersicht können bereits sehr wichtige Informationen entnommen werden. So hinterlegt Microsoft beispielsweise Links zu den Datenschutzrichtlinien der einzelnen Anbieter, …
… aber auch Links zu den DSGVO-Informationen des Anbieters, sofern diese vorhanden bzw. allgemein zugänglich sind.
Fazit
Cloud-Applikationen und -Dienste bieten viele Vorteile. Das haben auch die unzähligen Mitarbeiter in den Unternehmen erkannt. Wenige Klicks genügen, schon kann die Applikation genutzt werden. Langwierige Antragsprozesse entfallen ausnahmslos. Diese Leichtigkeit, mit der sich Cloud-Anwendungen nutzen lassen, ist daher auch ein wesentlicher Grund für das starke Wachstum der Schatten-IT. Welche Sanktionen und Bußgelder den Unternehmen (Bsp. DSGVO) drohen, ist dem Mitarbeiter meist nicht bekannt, schließlich will er nur seine Arbeit erledigen.
Einfache Blockaden entsprechender Cloud-Apps oder Cloud-Webadressen greifen schon lange zu kurz und sind ein zeitraubendes und schwieriges Unterfangen für die IT-Abteilung. Fast täglich werden neue Apps veröffentlicht und es kommt zu einem Spießrutenlauf zwischen Mitarbeitern und IT-Abteilungen, den keine Seite für sich entscheiden kann.
Dass es auch anders geht, zeigt die aufgezeigte Lösung in diesem Blogbeitrag. Sie setzt die IT-Abteilung zurück in den Driverseat und bereitet dem Spießrutenlauf ein Ende, ohne alle Cloud-Apps seitens des Unternehmens verbieten und blockieren zu müssen. Sie ermöglich den IT-Abteilungen erstmals einen ganzheitlichen Überblick über die genutzten Applikationen, ohne diese manuell (und somit sehr zeitaufwendig) erfassen und auswerten zu müssen. Anhand der gewonnen Erkenntnisse können weitere Maßnahmen abgeleitet werden. Diese müssen nicht immer das Blockieren der entsprechenden Applikationen sein, sondern auch die „Legalisierung“ als Unternehmenslösung ist ein denkbarer Ansatz.
Sicherheit ist kein erreichbarer Status, sondern ein Prozess, bei dem SaaS-Lösungen wie Microsoft Cloud App Security eine wichtige Rolle spielen.
Bei Fragen zu diesem Themenkomplex stehe ich Ihnen gerne zur Verfügung.
Grüße,
Thino Ullmann
Weiterführende Informationen
- Cloud App Security Homepgae
- Cloud App Security Dokumentationen
- Cloud App Security Video: Deep Dive Training
Alle Angaben ohne Gewähr, Irrtümer und Änderungen vorbehalten.