Microsoft Defender for Cloud Apps: CASB für kleine Unternehmen in Berlin
Shadow-IT ist das verborgene Risiko, das die meisten Berliner Kleinunternehmen in ihren Sicherheitsprogrammen übersehen. Mitarbeiter nutzen Dropbox zum Austausch von Dateien, private Gmail-Konten, um Anhängegrößenlimits zu umgehen, und kostenlose Kollaborationstools, die nie auf DSGVO-Konformität geprüft wurden. Microsoft Defender for Cloud Apps – früher Microsoft Cloud App Security (MCAS) – ist der Cloud Access Security Broker (CASB), der in Microsoft 365 integriert ist und Shadow-IT sichtbar macht, riskante Anwendungen sperrt oder überwacht und Datenschutzrichtlinien in Echtzeit über alle Cloud-Dienste hinweg durchsetzt.
Dieser Leitfaden erklärt, wie Defender for Cloud Apps Shadow-IT erkennt, wie die Conditional-Access-App-Control Sitzungsrichtlinien durchsetzt und wie Berliner Unternehmen es zur Erfüllung der DSGVO-Rechenschaftspflicht bei der Cloud-Anwendungsnutzung einsetzen können.
Was ist ein CASB und warum ist er für Berliner KMU wichtig?
Ein Cloud Access Security Broker sitzt zwischen Benutzern und Cloud-Diensten und bietet vier Kontrollebenen:
- Sichtbarkeit: Entdeckung jeder Cloud-Anwendung, die Mitarbeiter nutzen, bewertet nach Sicherheits- und Compliance-Risiko
- Compliance: Identifizierung von Anwendungen, die personenbezogene EU-Daten außerhalb DSGVO-konformer Gerichtsbarkeiten speichern
- Datensicherheit: Anwendung von DLP-Richtlinien auf in Cloud-Anwendungen gespeicherte und geteilte Dateien
- Bedrohungsschutz: Erkennung anomaler Aktivitäten – Massen-Downloads, unmögliche Reisen, Anmeldedaten-Kompromittierung – in Cloud-App-Sitzungen
Cloud Discovery: Shadow-IT-Inventar
Cloud Discovery analysiert den Netzwerkverkehr, um einen Katalog jeder im Unternehmen genutzten Cloud-Anwendung aufzubauen. Es gibt zwei Erkennungsmethoden:
Protokoll-Upload: Exportieren Sie Verkehrsprotokolle von Ihrer Firewall, Ihrem Proxy oder Netzwerkgerät und laden Sie diese (manuell oder über einen Protokollsammler) in Defender for Cloud Apps hoch. Unterstützte Quellen umfassen Cisco ASA, Palo Alto, Meraki, Fortinet, Zscaler und Dutzende weitere.
Defender-for-Endpoint-Integration: Wenn Microsoft Defender for Endpoint auf verwalteten Geräten bereitgestellt ist, speist es automatisch Netzwerkverkehrsmetadaten in Cloud Discovery ein. Dies ist die Zero-Touch-Option – kein Protokollsammler erforderlich, und sie erfasst auch Remote-Mitarbeiter, die nicht hinter dem Büro-Perimeter sind.
Der Microsoft-Cloud-App-Katalog enthält Risiko-Scores (1–10) für über 31.000 Cloud-Dienste, bewertet nach 90 Risikofaktoren, darunter:
- Verschlüsselungsstandards für ruhende und übertragene Daten
- DSGVO-Compliance-Zertifizierung und Auftragsverarbeitungsvertrag
- SOC-2-/ISO-27001-Zertifizierung
- Datenstandort – ob EU-Daten in der EU verbleiben
- Verletzungshistorie und Offenlegungspraktiken
Das resultierende Dashboard zeigt jede entdeckte Anwendung mit ihrem Risiko-Score, der Anzahl der Benutzer und dem Gesamtverkehrsvolumen. Anwendungen können als Autorisiert, Überwacht oder Nicht autorisiert (gesperrt) gekennzeichnet werden.
App-Governance: Sperren nicht autorisierter Apps
Wenn Sie eine Anwendung als Nicht autorisiert markieren, generiert Defender for Cloud Apps Sperr-Indikatoren für die bekannten IP-Bereiche und Domänen der Anwendung. Diese Indikatoren können direkt als Netzwerkschutzregeln an Microsoft Defender for Endpoint übergeben werden, wodurch der Zugriff von allen MDE-verwalteten Geräten blockiert wird – ohne Firewall- oder Proxy-Änderungen.
Conditional Access App Control
Conditional Access App Control leitet Cloud-Anwendungssitzungen über einen Reverse-Proxy von Defender for Cloud Apps weiter und ermöglicht so Echtzeit-Inspektion und -Durchsetzung. Die Integration erfolgt über Entra-ID-Conditional-Access: Eine Zugriffsrichtlinie leitet Sitzungen für bestimmte Anwendungen zum Proxy weiter.
Sobald eine Sitzung proxiert wird, können Sitzungsrichtlinien Dateiaktivitäten in Echtzeit behandeln:
| Sitzungsrichtlinien-Aktion | Anwendungsfall |
|---|---|
| Download blockieren | Verhindern des Herunterladens sensibler Dateien von SharePoint auf nicht verwaltete Geräte |
| Upload blockieren | Verhindern des Uploads von Dateien mit personenbezogenen Daten in nicht autorisierte Cloud-Speicher |
| Stufenweise Authentifizierung verlangen | Erneute Authentifizierung verlangen, wenn ein Benutzer von einem unbekannten Standort auf eine sensible Anwendung zugreift |
| Vertraulichkeitsbezeichnung beim Download anwenden | Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf aus SharePoint auf persönliche Geräte heruntergeladene Dateien |
| Nur überwachen | Alle Aktivitäten in einer Anwendung protokollieren, ohne zu blockieren |
API-Konnektoren: Tiefe Sichtbarkeit in autorisierte Apps
Für autorisierte Anwendungen verbindet sich Defender for Cloud Apps über OAuth-API, um tiefgehende Aktivitätsüberwachung ohne Proxying von Sitzungen bereitzustellen. Unterstützte API-Konnektoren umfassen Microsoft 365, Salesforce, GitHub, Box, Dropbox, Google Workspace und ServiceNow.
Informationsschutz: DLP für Cloud-Anwendungen
Defender for Cloud Apps enthält eine native DLP-Engine, die in verbundenen Cloud-Anwendungen gespeicherte Dateien auf sensible Inhalte scannt. Die Integration mit Microsoft Purview DLP erweitert bestehende DLP-Regeln auf Cloud-Anwendungsspeicher. Die Integration mit Microsoft Purview Sensitivity Labels ermöglicht es Defender for Cloud Apps, Bezeichnungsrichtlinien in Drittanbieteranwendungen durchzusetzen: Eine als Vertraulich klassifizierte Datei in SharePoint behält diese Bezeichnung, wenn sie über einen API-Konnektor nach Box oder Dropbox geteilt wird.
Anomalieerkennung und Bedrohungsschutz
Defender for Cloud Apps enthält integrierte Anomalieerkennungsrichtlinien, die maschinelles Lernen verwenden:
- Unmögliche Reise: Anmeldung aus Berlin, gefolgt von einer Anmeldung aus Singapur 90 Minuten später
- Aktivität von anonymer IP: Zugriff von einem Tor-Exitknoten oder bekannten Anonymisierungs-Proxy
- Massen-Download: Ein Benutzer lädt 300 Dateien aus SharePoint in 10 Minuten herunter – anomal relativ zu seiner täglichen Baseline
- Ransomware-Aktivität: Schnelle sequentielle Dateiumbenennung in OneDrive, die bekannten Ransomware-Erweiterungsmustern entspricht
DSGVO-Anwendungs-Governance für Berliner Unternehmen
DSGVO-Artikel 28 verlangt, dass Datenverantwortliche (Ihr Unternehmen) nur Auftragsverarbeiter (Cloud-Dienste) einsetzen, die ausreichende Garantien für eine DSGVO-konforme Verarbeitung bieten. Ein praktischer DSGVO-Workflow für Berliner KMU:
- Cloud Discovery 30 Tage lang betreiben, um ein genaues Shadow-IT-Inventar aufzubauen
- Entdeckte App-Liste nach „DSGVO-Compliance: Nein“ oder „Datenstandort: Nur USA“ filtern
- Gegen die Liste der Anwendungen abgleichen, in die Mitarbeiter Dateien mit personenbezogenen Daten hochladen
- Identifizierte Anwendungen als Nicht autorisiert kennzeichnen und Sperr-Indikatoren an Defender for Endpoint übergeben
- Review und Sperrentscheidungen als Nachweis der DSGVO-Artikel-25-Compliance (Datenschutz durch Technik) dokumentieren
Lizenzierung
Defender for Cloud Apps ist in Microsoft 365 E5, Microsoft 365 E5 Security und Enterprise Mobility + Security E5 enthalten. Er ist als eigenständiges Add-On für ca. 3,50 € pro Benutzer und Monat verfügbar. Für Berliner Unternehmen mit Microsoft 365 Business Premium ist Cloud Discovery (die Shadow-IT-Inventarfunktion) über die Defender-for-Endpoint-Integration ohne zusätzliche Lizenzkosten verfügbar.
Weiterfuehrende Artikel
- Conditional Access: Sitzungen über Defender-for-Cloud-Apps-Proxy weiterleiten für Echtzeit-App-Control
- Microsoft Purview DLP: DLP-Richtlinien mit Defender for Cloud Apps auf nicht autorisierte Cloud-Anwendungen ausweiten
- Sensitivity Labels: Vertraulichkeitsbezeichnungen in Box, Dropbox und anderen Cloud-Apps über CASB-Sitzungssteuerung durchsetzen