Microsoft

Office 365: DLP-Richtlinien für die Cloud umsetzen

Mit Hilfe eines Cloud Access Security Broker können Unternehmen ihre Daten in Office 365 schützen. Wie das genau funktioniert, zeigen die folgenden Anwendungsszenarien.

SharePoint und OneDrive zählen zu den beliebtesten Cloud-Anwendungen im Unternehmensbereich. Sie erleichtern sowohl die interne als auch die externe Zusammenarbeit und Kommunikation. Doch die Gefahr ist groß, dass Mitarbeiter sensible Inhalte in die Wolke laden oder mit Unbefugten teilen. Mit einem Cloud Access Security Broker (CASB) können Unternehmen ihre Daten in Office 365 schützen.

Immer mehr Unternehmen setzen auf Office 365 und profitieren von den Kollaborations-Möglichkeiten in der Cloud. Doch je einfacher man Dateien mit anderen teilen kann, desto größer ist auch die Gefahr für den Verlust von Unternehmensgeheimnissen. So zeigt eine aktuelle Studie, dass rund 17 Prozent der Dateien in OneDrive und SharePoint sensible Daten enthalten, darunter Kreditkartennummern oder andere personenbezogenen Daten. Im Durchschnitt hat ein Unternehmen über 200 Excel- oder Word-Dokumente in der Cloud, die Passwörter und Usernamen enthalten. Um Dateien mit externen Partnern zu teilen, nutzen Mitarbeiter zu 5,5 Prozent Links, die man beliebig weiterversenden kann. Jeder, der einen solchen Link erhält, hat dann Zugriff auf das entsprechende File. Erschreckende 2,2 Prozent der Dateien in SharePoint oder OneDrive sind sogar öffentlich übers Internet zugänglich und per Suchmaschine auffindbar.

Wie bekommt man diese Risiken in den Griff? Für Office 365 gilt in puncto Sicherheit wie bei allen SaaS-Angeboten das Prinzip der geteilten Verantwortung: Microsoft kümmert sich um die technische Absicherung der Software. Für die Datensicherheit ist der Anwender selbst zuständig. Während Unternehmen für ihre On-Premises-Software bereits seit Langem DLP-Policies (Data Loss Prevention) umgesetzt haben, müssen sie diese nun auch auf die Cloud übertragen. Ein CASB unterstützt sie dabei. Er ermöglicht es, Policies zu definieren, auf die Cloud anzuwenden und bei Verletzungen automatisierte Aktionen zur Risikominimierung durchzuführen. Wie das funktioniert, zeigen die folgenden beiden Anwendungsszenarien.

Sensible Daten aus der Cloud entfernen und den Upload blockieren

Manchen Dateien haben partout nichts in der Cloud verloren. Das trifft zum Beispiel auf Produktionsgeheimnisse, Passwörter oder Gesundheitsinformationen zu. Jedes Unternehmen hat eigene Richtlinien, welche Daten besonders vertraulich behandelt werden müssen. Ein CASB kann dafür sorgen, dass diese Policies auch eingehalten werden. Zunächst muss er in der Lage sein, sensible Dateien zu erkennen. Dafür prüft er sie anhand festgelegter Kriterien. Hier einige Beispiele:

  • Abgleich mit einem umfangreichen Keyword-Lexikon, das Begriffe enthält, die auf sensible Daten hindeuten, zum Beispiel Namen von verschreibungspflichtigen Medikamenten oder Aktiensymbole.
  • Suche nach Datenklassifizierungs-Tags, die in den Metadaten vorkommen, zum Beispiel „vertraulich“ oder „nur für den internen Gebrauch“.
  • Identifikation von gängigen alphanumerischen Mustern, die bestimmten, festgelegten Regeln entsprechen, etwa Länge, Präfix, Suffix oder Prüfsumme (beispielsweise Sozialversicherungsnummer, Kreditkartennummern).
  • Identifikation von unternehmensspezifischen, alphanumerischen Mustern, die bestimmten, festgelegten Regeln entsprechen, zum Beispiel Nummern von Bauteilen oder Produktartikelnummern.
  • Suche nach allen Versionen von konkreten Dokumenten, einschließlich des exakten Files oder beliebiger Derivate des Files, zum Beispiel CAD-Dateien für die Produktion oder Verträge.
  • Identifikation von Content, der sich auf einen aktuellen oder früheren Kunden bezieht. Dafür kann der CASB zum Beispiel ein beliebiges Feld aus einer strukturierten Datenbank mit personenbezogenen Daten von 300 Millionen Kunden heranziehen.

Entdeckt der CASB kritische Dateien, kann er deren Upload blockieren. Liegen sie bereits in der Cloud, lassen sie sich mit Echtzeit-Aktionen schützen. Er kann Dokumente zum Beispiel löschen oder in Quarantäne nehmen. Sicherheitsverantwortliche haben die Möglichkeit, Policy-Verletzungen in verschiedene Stufen einzuteilen und Aktionen je nach Schweregrad zuzuweisen, etwa Löschen für gravierende Übertretungen oder Warnmeldungen für leichte.

Deployment-Arten und Zusammenspiel mit anderen Systemen

Ein CASB unterstützt verschiedene Deployment-Arten, die unterschiedliche Funktionalitäten bieten. Damit er Policies auf Dateien anwenden kann, die bereits in der Cloud liegen oder direkt in der Cloud erstellt wurden, muss er sich per API in Office 365 integrieren lassen.

Parallel dazu empfiehlt es sich, den CASB als Reverse Proxy einzusetzen. In diesem Modus kann er alle Dateien kontrollieren, die in die Cloud hochgeladen oder aus ihr heruntergeladen werden. Dabei bietet er zusätzliche Funktionen, die im API-Modus nicht zur Verfügung stehen. So kann er zum Beispiel Dateien verschlüsseln, bevor sie in der Cloud gespeichert werden, oder Zugriffskontrollen durchführen.

 „Manchen Dateien haben partout nichts in der Cloud verloren. Das trifft zum Beispiel auf Produktionsgeheimnisse, Passwörter oder Gesundheitsinformationen zu.“

Daniel Wolf, Skyhigh Networks

Außerdem arbeitet ein guter CASB nahtlos mit bestehenden Sicherheitssystemen zusammen. Er kann Policies aus On-Premises-DLP-Lösungen übernehmen und auf die Cloud übertragen. Verfügt ein Unternehmen über ein SIEM (Security Information and Event Management), übergibt der Cloud Access Security Broker DLP-Verletzungen via Syslog in einem Echtzeitfeed, so dass sie in die zentralen Sicherheitsberichte einfließen.

Wer Office 365 einsetzt, muss selbst für die nötige Datensicherheit sorgen. Ein CASB ermöglicht es, DLP-Richtlinien in SharePoint und OneDrive umzusetzen. So können Unternehmen verhindern, dass Mitarbeiter sensible Daten mit Unbefugten teilen oder vertrauliche Informationen in der Cloud speichern. Gute CASBs bieten verschiedene Deployment-Arten und arbeiten nahtlos mit bestehenden Security-Systemen zusammen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

 

Nächste Schritte

Wichtige Sicherheitsfragen zu Office 365

Mit Office 365 Secure Score die Sicherheit optimieren

Die Security-Features von Office 365

Artikel wurde zuletzt im August 2017 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close