Was ist ein CASB? Der Türsteher für Ihre Cloud-Dienste
Schatten-IT, Datenabfluss, KI-Uploads: Ein Cloud Access Security Broker kontrolliert, wer auf Cloud-Dienste zugreift und was mit den Daten passiert. Die vier Säulen nach Gartner, typische Funktionen, Bereitstellung und Auswahlkriterien im Überblick.
Ein Vertriebsteam legt Kundendaten in einem Cloud-Speicher ab, den die IT nicht kennt. Jemand probiert ein KI-Tool aus und lädt dabei ein internes Dokument hoch. Beides passiert in Minuten, und ohne passende Kontrolle bemerkt es niemand. Mit der Verlagerung der Arbeit in SaaS-Dienste hat die IT einen Teil ihrer Sicht verloren: Daten liegen außerhalb des eigenen Netzes und sind von jedem Gerät und jedem Ort aus erreichbar.
Ein Cloud Access Security Broker (CASB) holt diese Sicht zurück. Man kann ihn sich als Türsteher für Cloud-Dienste vorstellen: Er prüft, wer hinein will, achtet darauf, was hinausgetragen wird, und kennt die Gästeliste. Dieser Beitrag erklärt, was ein CASB leistet, welche vier Säulen Gartner dafür definiert hat, wie die Bereitstellung funktioniert und worauf es bei der Auswahl ankommt.
Was ist ein CASB?
Ein CASB ist eine Sicherheitslösung, die zwischen Nutzern und Cloud-Diensten sitzt, Aktivitäten überwacht und Sicherheitsrichtlinien durchsetzt. Sie schützt SaaS-Anwendungen ebenso wie IaaS- und PaaS-Umgebungen vor Angriffen und Datenlecks. Meist wird ein CASB selbst als Cloud-Dienst bereitgestellt; Varianten als lokale Software oder Hardware gibt es ebenfalls.
Hinter dem Begriff steckt kein einzelnes Werkzeug. Ein CASB bündelt mehrere Sicherheitstechnologien in einem Paket, darunter die Erkennung von Schatten-IT, Zugriffskontrolle und Data Loss Prevention (DLP). Das Türsteher-Bild greift deshalb fast zu kurz: Ein CASB arbeitet eher wie ein komplettes Sicherheitsteam mit Einlasskontrolle, Kameraüberwachung und Rundgängen durchs Gebäude.
Die vier Säulen eines CASB
Das Analystenhaus Gartner beschreibt die Aufgaben eines CASB in vier Säulen:
- Sichtbarkeit: Ein CASB spürt Schatten-IT auf, also Cloud-Dienste, die im Unternehmen genutzt werden, ohne offiziell dokumentiert oder freigegeben zu sein. Solche Dienste bringen Risiken mit, die niemand bewertet hat.
- Datensicherheit: Ein CASB verhindert, dass vertrauliche Daten die kontrollierten Systeme verlassen. Mit der Verbreitung von KI-Tools hat das Thema an Schärfe gewonnen, weil Mitarbeitende geschützte Daten in solche Werkzeuge hochladen können. Zugriffskontrolle und DLP sind hier die tragenden Techniken.
- Bedrohungsschutz: Ein CASB blockiert Angriffe von außen und stoppt Datenlecks, etwa über Malware-Erkennung, Sandboxing, Paketprüfung, URL-Filterung und Browser-Isolation.
- Compliance: Die Cloud ist verteilt und liegt nie vollständig in der Hand eines einzelnen Unternehmens. Vorgaben wie SOC 2, HIPAA oder die DSGVO lassen sich damit schwerer nachweisen. Ein CASB setzt Kontrollen durch, die diese Nachweise unterstützen.
Welche Funktionen stecken konkret dahinter?
Die meisten CASB-Lösungen liefern einen Baukasten aus mehreren Techniken. Typisch sind:
- Identitätsprüfung: stellt sicher, dass Nutzer die sind, für die sie sich ausgeben, etwa über Passwort und einen zweiten Faktor.
- Zugriffskontrolle: regelt, was ein Nutzer in einer Anwendung sehen und tun darf.
- Schatten-IT-Erkennung: findet Systeme und Dienste, die ohne Freigabe dienstlich genutzt werden.
- Data Loss Prevention (DLP): schließt Datenlecks und verhindert, dass Daten die Plattformen des Unternehmens verlassen.
- URL-Filterung: blockiert Websites, die für Phishing oder Malware-Verteilung genutzt werden.
- Paketprüfung: untersucht ein- und ausgehenden Verkehr auf bösartige Aktivität.
- Sandboxing: führt verdächtige Programme in einer isolierten Umgebung aus, um ihr Verhalten zu prüfen.
- Browser-Isolation: verlagert das Surfen auf einen entfernten Server, damit Schadcode das Endgerät nicht erreicht.
- Malware-Erkennung: identifiziert Schadsoftware.
Zwei dieser Bausteine haben wir bereits ausführlich beschrieben: Data Loss Prevention mit Cloudflare One und Browser Isolation .
Vollständig ist diese Liste nicht, und manche Technik steckt auch in anderen Produkten. Viele Firewalls beherrschen Paketprüfung, viele Endpoint-Produkte erkennen Malware. Die Besonderheit eines CASB liegt in der Bündelung dieser Techniken speziell für die Cloud-Nutzung.
Warum Unternehmen einen CASB einsetzen
Cloud-Daten sind von jedem internetfähigen Gerät und aus jedem Netz erreichbar. Die Anmeldung an einer Firmen-SaaS-Anwendung vom privaten Laptop im offenen WLAN ist technisch kein Problem; bei einer klassischen On-Premises-Anwendung wäre sie es. Diese Offenheit macht produktiv und zugleich verwundbar, denn das Unternehmen kontrolliert weder den Speicherort der Daten vollständig noch jeden Zugriffsweg.
Wer die Cloud absichern will, braucht deshalb cloudbasierte Sicherheitsdienste. Werden sie einzeln eingekauft (eine Plattform für DLP, eine für Identität, eine für Malware-Schutz), entstehen mehrere Verträge, mehrfach gepflegte Richtlinien und dauerhafter Verwaltungsaufwand. Ein CASB löst das durch Bündelung: Die Techniken greifen ineinander, die IT verhandelt mit einem Anbieter, und die Verwaltung läuft häufig über ein einziges Dashboard.
Bereitstellung: Proxy oder API
Für den Einsatz gibt es zwei grundlegende Wege. Als Proxy schaltet sich der CASB in den Datenverkehr zwischen Nutzern und Cloud-Diensten und prüft ihn im Durchfluss. Über APIs integriert er sich direkt mit den Cloud-Diensten und kontrolliert sie von innen, ohne im Verkehrspfad zu stehen. Multimode-CASBs kombinieren beide Ansätze. Üblich ist außerdem die Anbindung an einen Identitätsanbieter, damit Zugriffs- und Authentifizierungsrichtlinien fein abgestuft pro Nutzer greifen.
Worauf Sie bei der Auswahl achten sollten
- Skalierbarkeit: Ein CASB verarbeitet große Datenmengen über mehrere Cloud-Plattformen hinweg. Der Anbieter muss mit dem Unternehmen mitwachsen können.
- Abwehr statt nur Alarm: Manche CASBs erkennen Bedrohungen, können sie aber nicht stoppen. Ohne Blockierfunktion bleibt der Nutzen begrenzt.
- Integration: Der CASB muss alle relevanten Systeme anbinden. Lücken in der Integration bedeuten blinde Flecken bei Schatten-IT und Bedrohungen.
- Datenschutz: Wie geht der Anbieter selbst mit den Kundendaten um, und wo verarbeitet er sie? Für Unternehmen unter strengen Datenschutzvorgaben ist das eine zentrale Frage.
Wer braucht einen CASB?
Fast jedes Unternehmen, das nennenswert mit der Cloud arbeitet, profitiert von einem CASB. Besonders gilt das für Organisationen, denen die Schatten-IT über den Kopf wächst, und das sind heute viele. Schon eine Handvoll nicht freigegebener SaaS-Dienste kann Datenabflüsse ermöglichen, die lange niemand bemerkt.
CASB als Teil von SASE/SSE
Ein CASB bündelt Sicherheitsdienste für die Cloud. SASE/SSE geht einen Schritt weiter und bündelt zusätzlich das Netzwerk: Secure Access Service Edge vereint SD-WAN mit CASB, Secure Web Gateway, Zero Trust Network Access und Firewall-as-a-Service auf einer Plattform, betrieben über ein globales Netz. Cloudflare One etwa integriert CASB, DLP, SWG und Browser-Isolation in einem Dienst und stellt ihn nah am Nutzer bereit.
Wie dieses Modell insgesamt funktioniert, erklärt unser Beitrag Was ist SASE/SSE? .
CASB mit KAEMI
Als Managed Service Provider und Cloudflare-Partner integrieren wir bei KAEMI CASB-Funktionen als Teil einer SASE/SSE-Architektur : von der Aufnahme der tatsächlichen Cloud-Nutzung über die Richtliniendefinition bis zum laufenden Betrieb. Wenn Sie wissen möchten, welche Cloud-Dienste in Ihrem Unternehmen wirklich im Einsatz sind, sprechen Sie mit uns .
Grundlage dieses Beitrags ist der Lernartikel von Cloudflare („Was ist ein CASB?“).