Ein Cloud Access Security Broker (CASB) ist eine spezialisierte Sicherheitslösung – meist als cloudbasierter Dienst, seltener als lokale Hardware bereitgestellt –, die als zentraler Kontrollpunkt zwischen den Nutzern eines Unternehmens und den von ihnen verwendeten Cloud-Diensten (SaaS, PaaS, IaaS) fungiert. CASBs werden typischerweise in drei Varianten bereitgestellt: API-basiert (direkte Integration in Cloud-Dienste), Proxy-basiert (als Forward- oder Reverse-Proxy im Datenstrom) sowie agenten-basiert (über Software auf den Endgeräten) ,wobei rein lokale Hardware-Lösungen heute kaum noch eine Rolle spielen. Die primäre Aufgabe eines CASB ist es, die unternehmenseigenen Sicherheits- und Compliance-Richtlinien nahtlos auf alle externen Cloud-Ressourcen auszuweiten und dort konsequent durchzusetzen.
Schatten-IT und der Verlust des Perimeters
Der Bedarf an CASB-Lösungen resultiert aus dem fundamentalen Wandel der modernen Arbeitswelt. Klassische Firewalls schützen lediglich das lokale Unternehmensnetzwerk. Wenn Mitarbeitende jedoch aus dem Homeoffice direkt auf Cloud-Anwendungen wie Microsoft 365, Salesforce oder externe Datenspeicher zugreifen, verlieren herkömmliche Schutzmechanismen ihre Wirkung. Ein CASB schließt genau diese kritische Sicherheitslücke. Er macht zudem die sogenannte Schatten-IT sichtbar – also all jene Cloud-Dienste, SaaS-Applikationen wie Dropbox, Google Drive, Trello oder unkontrollierte KI-Tools wie ChatGPT, die von Mitarbeitenden eigenmächtig und völlig am IT-Team vorbei genutzt werden, was oft ein massives, unentdecktes Risiko für Datenabflüsse darstellt.
Die vier Kernsäulen einer CASB-Architektur
Um die Kontrolle über ausgelagerte Daten zurückzugewinnen, stützen sich vollumfängliche CASB-Lösungen auf vier fundamentale Funktionen:
- Sichtbarkeit (Visibility): Lückenlose Erfassung aller im Unternehmen genutzten (autorisierten und unautorisierten) Cloud-Dienste inklusive einer automatisierten Risikobewertung dieser Plattformen.
- Datensicherheit (Data Security): Einsatz von Verschlüsselung und Systemen zur Data Loss Prevention (DLP), die aktiv verhindern, dass sensible Unternehmensdaten richtlinienwidrig in die Cloud geladen oder auf private, ungesicherte Endgeräte heruntergeladen werden.
- Bedrohungsschutz (Threat Protection): Kontinuierliche Überwachung auf cloudbasierte Malware, Ransomware und kompromittierte Nutzerkonten durch die Analyse von Verhaltensanomalien (User and Entity Behavior Analytics, UEBA).
- Compliance: Sicherstellung und Dokumentation, dass die Datenspeicherung und -verarbeitung in der Cloud den geltenden Regularien entspricht, darunter die DSGVO, ISO 27001, BSI-Grundschutz sowie branchenspezifische Vorgaben wie PCI-DSS, HIPAA oder die NIS2-Richtlinie..
Unternehmerischer Nutzen und strategische Integration
Für Unternehmen ist ein CASB heute ein unverzichtbares Instrument, um die Agilität und Skalierbarkeit der Cloud sicher nutzen zu können, ohne dabei die Datenhoheit abzugeben. Oft fungiert der CASB dabei nicht mehr als isolierte Einzellösung, sondern ist ein integraler Baustein übergeordneter, moderner Sicherheitskonzepte wie SASE (Secure Access Service Edge) oder Security Service Edge (SSE).
Die Identifikation verborgener Schatten-IT und die passgenaue Integration eines CASB in die bestehende Infrastruktur erfordern eine tiefgehende Analyse der Datenströme – ein Prozess, bei dem IT-Entscheider auf die konzeptionelle und technische Begleitung von erfahrenen IT-Partnern wie der MR Datentechnik vertrauen.