Microsoft Defender for Cloud Apps: Shadow-IT-Kontrolle für Berliner KMU
Die meisten Organisationen haben eine Liste genehmigter Cloud-Anwendungen — und eine viel längere Liste von Cloud-Apps, die Mitarbeiter ohne IT-Genehmigung verwenden. Dateifreigabe über privates Dropbox, Projektmanagement in nicht genehmigten Trello-Workspaces, KI-Tools, die Geschäftsdaten verarbeiten — das ist Shadow IT, und es entstehen Datenschutz-, Compliance- und Sicherheitsrisiken, die traditionelle Perimeter-Kontrollen nicht sehen können.
Microsoft Defender for Cloud Apps bietet Transparenz über den gesamten Cloud-App-Datenverkehr, klassifiziert Apps nach Risiko und ermöglicht richtlinienbasierte Kontrolle — ohne vollständige Proxy-Bereitstellung.
Shadow-IT-Erkennung
Cloud App Discovery analysiert Netzwerkverkehrsprotokolle — für KMU am einfachsten über den bereits auf verwalteten Geräten installierten Defender-for-Endpoint-Sensor. Jeder Cloud-Dienst, mit dem ein Gerät kommuniziert, wird protokolliert und gegen Microsofts Katalog von über 31.000 Cloud-Apps klassifiziert. Jede App erhält einen Risiko-Score auf Basis von Faktoren wie Datenspeicherort, Verschlüsselungsstandards, DSGVO-Konformitätsstatus und Zertifizierungen.
Der Erkennungsbericht zeigt typischerweise 5–10-mal mehr Cloud-Apps als von der IT dokumentiert — einschließlich Consumer-Tools, die Geschäftsdaten verarbeiten.
App-Governance-Maßnahmen
| Maßnahme | Was sie tut | Anwendungsfall |
|---|---|---|
| Genehmigen | Als genehmigt markieren; konsistente Überwachung anwenden | Microsoft 365, Salesforce, genehmigte Tools |
| Ablehnen | Zugriff über integrierte Firewall/Proxy-Durchsetzung sperren | Hochriskante Dateifreigabe, Shadow-KI-Tools |
| Überwachen | Alle Zugriffe protokollieren ohne Sperrung; bei Anomalien warnen | Graubereiche-Apps, die von bestimmten Teams verwendet werden |
| Sitzungskontrolle | Sitzung proxyen, um Kontrollen durchzusetzen (Download/Upload sperren, Wasserzeichen) | Vertrauenswürdige Apps von nicht verwalteten Geräten aus |
Integration mit Conditional Access App Control
Wenn eine Entra-ID-Conditional-Access-Richtlinie eine Sitzung durch Defender for Cloud Apps leitet, werden In-Session-Kontrollen verfügbar — auch für Apps, die Sie nicht besitzen. Sie können Dateidownloads auf nicht verwaltete Geräte sperren, Copy/Paste von sensiblen Inhalten verhindern, Wasserzeichen auf im Browser geöffnete Dokumente anwenden — alles ohne Änderung der Anwendung selbst.
Anomalieerkennung
- Unmögliche Bewegung: Anmeldung aus Berlin, gefolgt von einer Anmeldung aus einem anderen Land 30 Minuten später
- Massendownload: Nutzer lädt Hunderte von Dateien aus SharePoint oder OneDrive in kurzer Zeit herunter
- Admin-Aktivität aus einem neuen Land: Admin-Konto aus einer unbekannten Geografie verwendet
- Ransomware-Aktivität: Dateierststellungsmuster, das mit Ransomware-Verschlüsselung konsistent ist
DSGVO und Datenspeicherort
Defender for Cloud Apps kann identifizieren, welche Cloud-Apps Daten außerhalb der EU speichern, welchen ein DSGVO-Auftragsverarbeitungsvertrag fehlt und welche Sicherheitsvorfälle hatten. Für Berliner KMU, die personenbezogene Daten von EU-Bürgern verarbeiten, unterstützt diese Auditfähigkeit die Compliance nach Art. 28 DSGVO.
Möchten Sie eine Shadow-IT-Erkennung für Ihr Berliner Unternehmen durchführen? Kontaktieren Sie uns — wir können ein vollständiges App-Inventar in wenigen Tagen bereitstellen.