Webdienste sind aus dem Geschäftsalltag nicht mehr wegzudenken. Sie bieten Flexibilität, ermöglichen den einfachen Datenaustausch und den Zugriff auf Anwendungen ohne Installation. Doch diese Vorteile bergen auch Sicherheitsrisiken. Um diese Risiken zu minimieren, hat der Verband der Automobilindustrie (VDA) das Information Security Assessment (ISA) entwickelt. Im Kapitel 1.3.3 vom VDA ISA wird festgelegt, wie Unternehmen externe IT-Dienste bewerten und genehmigen müssen, bevor sie genutzt werden.

Hier kommt Microsoft Cloud App Security (MCAS) als Bestandteil der Microsoft Defender for Cloud Apps ins Spiel. Als umfassende SaaS-Sicherheitslösung bietet MCAS tiefe Einblicke in die Nutzung von Cloud- und Webanwendungen, starke Datenkontrollen und erweiterten Bedrohungsschutz. Diese Lösung dient als Cloud Access Security Broker (CASB), der hilft, Sicherheitsrichtlinien durchzusetzen und den Zugriff auf Cloud-Apps zu kontrollieren.

Mit MCAS kann sichergestellt werden, dass Daten nicht in der Schatten-IT verschwinden.

In diesem Artikel erkläre ich, wie Sie Microsoft Cloud App Security nutzen können, um die Anforderungen des VDA ISA zu erfüllen. Ich werde darauf eingehen, wie MCAS zur Bewertung und Überwachung von Webdiensten beiträgt, Risiken minimiert und den Schutz sensibler Daten gewährleistet. So können Sie sicherstellen, dass Sie die strengen Sicherheits- und Compliance-Anforderungen einhalten, während Sie die Vorteile der von Ihnen genehmigten Webdienste in gewohnter Weise nutzen können.

Die Anforderungen aus dem VDA ISA Kapitel 1.3.3

Inwieweit wird sichergestellt, dass nur evaluierte und freigegebene organisationsfremde IT-Dienste zum Verarbeiten von Informationswerten der Organisation eingesetzt werden?

Insbesondere bei organisationsfremden IT-Diensten, die mit verhältnismäßig geringen Kosten oder kostenfrei genutzt werden können, besteht ein erhöhtes Risiko, dass die Beschaffung und Inbetriebnahme ohne geeignete Berücksichtigung der Informationssicherheitsanforderungen erfolgt und somit die Sicherheit nicht sichergestellt wird.

In vielen Unternehmen werden Webdienste genutzt, die von Drittanbietern stammen. Diese Dienste können erhebliche Sicherheitsrisiken mit sich bringen, insbesondere wenn sie ohne offizielle Genehmigung und Überprüfung verwendet werden. Um sicherzustellen, dass solche Dienste sicher genutzt werden, gibt es im VDA ISA strikte (muss) Anforderungen, die unbedingt eingehalten werden müssen:

+ Es werden keine organisationsfremden IT-Dienste ohne explizite Bewertung und Umsetzung der Informationssicherheitsanforderungen eingesetzt:

– Eine Risikobewertung der organisationsfremden IT-Dienste liegt vor,
– Gesetzliche, regulatorische und vertragliche Anforderungen sind berücksichtigt.

Externe IT-Dienste dürfen nicht ohne eine gründliche Bewertung und Genehmigung genutzt werden. Das bedeutet, dass für jeden Dienst eine detaillierte Risikobewertung durchgeführt werden muss. Diese Bewertung soll sicherstellen, dass der Dienst sicher ist und die notwendigen Informationssicherheitsanforderungen erfüllt. Bei der Bewertung muss auch geprüft werden, ob der Dienst alle relevanten gesetzlichen, regulatorischen und vertraglichen Anforderungen einhält. Dies schließt beispielsweise Datenschutzgesetze, branchenspezifische Vorschriften sowie vertragliche Vorgaben vom Kunden mit ein.

+ Die organisationsfremden IT-Dienste wurden auf den Schutzbedarf der verarbeiteten Informationswerte abgestimmt.

Jeder genutzte Dienst muss auf den Schutzbedarf der verarbeiteten Daten abgestimmt sein. Das bedeutet, dass besonders sensible Daten nur über Dienste verarbeitet werden dürfen, die über entsprechende Sicherheitsvorkehrungen verfügen. Diese Sicherheitsmaßnahmen müssen gewährleisten, dass die Daten vor unberechtigtem Zugriff und Verlust geschützt sind.

Beide genannten Anforderungen sind nicht verhandelbar und lassen keine Ausnahmen zu. Sie stellen sicher, dass nur geprüfte und genehmigte Webdienste im Unternehmen verwendet werden. Dies ist entscheidend, um die Sicherheit der Daten zu gewährleisten.

Im Kapitel 1.3.3 gibt es weitere (sollte) Anforderungen, die grundsätzlich umzusetzen sind:

+ Anforderungen bezüglich der Beschaffung, Inbetriebnahme und Freigabe im Zusammenhang mit der Nutzung von organisationsfremden IT-Diensten sind ermittelt und erfüllt.

Das bedeutet, dass das Unternehmen klare Prozesse und Kriterien definiert hat, wie externe Webdienste beschafft, getestet und genehmigt werden. Bevor ein Dienst genutzt wird, müssen alle Sicherheitsanforderungen überprüft und bestätigt werden. Dies stellt sicher, dass nur Dienste verwendet werden, die den Sicherheits- und Compliance-Anforderungen des Unternehmens entsprechen.

+ Ein Verfahren zur Freigabe unter Berücksichtigung des Schutzbedarfs ist etabliert.

Dies bedeutet, dass ein festgelegter Prozess existiert, der sicherstellt, dass nur Webdienste genutzt werden, die dem Schutzbedarf der verarbeiteten Daten entsprechen. Der Schutzbedarf wird dabei anhand der Sensibilität der Daten und der Risiken, die durch den Dienst entstehen könnten, bewertet. Nur Dienste, die diese Bewertung bestehen und entsprechend genehmigt werden, dürfen eingesetzt werden.

+ Organisationsfremde IT-Dienste und deren Freigabe sind dokumentiert.

Dies bedeutet, dass das Unternehmen eine vollständige und aktuelle Dokumentation über alle genutzten externen IT-Dienste und deren Genehmigungsstatus führt. Diese Dokumentation umfasst detaillierte Informationen darüber, welche Dienste genutzt werden, welche Sicherheitsbewertungen durchgeführt wurden und wer die Freigabe erteilt hat. Diese Transparenz ist entscheidend, um den Überblick über die IT-Infrastruktur zu behalten und nachweisen zu können, dass alle Dienste ordnungsgemäß geprüft und genehmigt wurden.

+ Es wird regelmäßig überprüft, dass nur freigegebene organisationsfremde IT-Dienste eingesetzt werden.

Diese Anforderung bedeutet, dass es regelmäßige Kontrollen gibt, um sicherzustellen, dass keine unautorisierten Webdienste genutzt werden. Dies hilft, die Nutzung von Schatten-IT zu verhindern und sicherzustellen, dass alle eingesetzten Dienste den festgelegten Sicherheitsstandards entsprechen. Diese Überprüfungen sind ein wichtiger Teil der laufenden Sicherheitsüberwachung und tragen dazu bei, dass das Unternehmen jederzeit auf dem neuesten Stand bleibt und potenzielle Sicherheitslücken frühzeitig erkannt werden.

Die Umsetzung der Anforderungen mit MCAS

+ Es werden keine organisationsfremden IT-Dienste ohne explizite Bewertung und Umsetzung der Informationssicherheitsanforderungen eingesetzt.

Microsoft Cloud App Security (MCAS) hilft Unternehmen sicherzustellen, dass keine externen IT-Dienste genutzt werden, ohne vorher eine detaillierte Sicherheitsbewertung durchzuführen. MCAS erkennt automatisch alle Cloud-Anwendungen, die im Netzwerk verwendet werden, und bietet eine umfassende Sicherheitsanalyse. Diese Analyse umfasst:

• Risikobewertung: MCAS bewertet jede Anwendung anhand einer Vielzahl von Sicherheitskriterien, darunter Datenverschlüsselung, Sicherheitszertifikate, Authentifizierungsverfahren und die Historie von Sicherheitsvorfällen. Diese Risikobewertung gibt Unternehmen einen klaren Überblick darüber, welche Anwendungen sicher genutzt werden können und welche potenzielle Risiken bergen.

• Berücksichtigung gesetzlicher, regulatorischer und vertraglicher Anforderungen: Die Lösung überprüft, ob die Anwendungen die relevanten gesetzlichen, regulatorischen und vertraglichen Anforderungen erfüllen. Dazu gehören internationale Standards wie ISO 27001, branchenspezifische Vorschriften und Datenschutzgesetze wie die DSGVO. MCAS stellt sicher, dass nur Anwendungen verwendet werden, die diesen Anforderungen entsprechen, und bietet somit eine rechtlich abgesicherte Grundlage für die Nutzung von Cloud-Diensten.

Microsoft bewertet Cloud-Anwendungen anhand einer Vielzahl von Kriterien, um einen umfassenden Risikowert zu bestimmen. Diese Kriterien umfassen mehrere Kategorien, darunter allgemeine Informationen, Sicherheitsmerkmale, Compliance-Standards und rechtliche Hinweise. Hier sind die spezifischen Bewertungsaspekte im Detail:

Allgemeine Informationen

• Kategorie der Anwendung: Zuordnung zu einer spezifischen Kategorie, wie z.B. Produktivität oder Entwicklungstools.

• Gründungsjahr: Das Jahr, in dem der Anbieter der Anwendung gegründet wurde.

• Domänenregistrierung: Informationen zur registrierten Domäne der Anwendung, die einen Hinweis auf die Legitimität des Anbieters geben können.

• Hauptsitz: Geografische Lage des Unternehmenssitzes.

• Rechenzentrum-Standorte: Länder, in denen die Datenzentren der Anwendung betrieben werden.

• Besitzverhältnisse: Ob die Anwendung privat oder öffentlich ist.

• Datenschutzrichtlinien: Verfügbarkeit und Qualität der Datenschutzrichtlinien.

• Datenspeicherung und -verarbeitung: Ort und Weise der Datenverarbeitung.

Sicherheitsmerkmale

• Letzte Sicherheitsverletzung: Information darüber, ob und wann die Anwendung eine Sicherheitsverletzung hatte.

• Überwachungsmaßnahmen: Implementierung von Mechanismen zur Überwachung und Protokollierung von Datenzugriffen.

• Datenklassifizierung: Unterstützung bei der Kategorisierung und Klassifizierung von Daten.

• Gültige Zertifikate: Vorhandensein und Aktualität von Sicherheitszertifikaten wie TLS/SSL.

• Unterstützung von SAML (Security Assertion Markup Language): Fähigkeit, SAML für die Authentifizierung zu verwenden.

• Multi-Faktor-Authentifizierung: Unterstützung und Umsetzung von MFA für den Zugriff.

• Verschlüsselungsmethoden: Verschlüsselung ruhender Daten und Daten in Bewegung.

• Patch-Management: Aktualität und Verwaltung von Sicherheitspatches.

• Penetrationstests: Durchführung von Penetrationstests zur Identifikation von Schwachstellen.

Compliance-Standards

• Internationale Standards: Einhaltung von Standards wie ISO 27001, ISO 27018, SOC 2, und PCI DSS.

• Branchenspezifische Anforderungen: Erfüllung branchenspezifischer Compliance-Standards wie HIPAA (Gesundheitswesen), FERPA (Bildung), und COPPA (Kinderschutz).

• Datenschutz-Governance: Implementierung von Governance-Praktiken, um den Datenschutz zu gewährleisten.

• Zertifizierungen und Audits: Vorhandensein von Zertifizierungen und regelmäßigen Audits, die die Sicherheitspraktiken und Compliance bestätigen.

Rechtliche Hinweise und Datenschutz

• Datenschutzrichtlinien: Transparenz und Klarheit der Datenschutzrichtlinien, einschließlich der Handhabung von Nutzerdaten.

• DSGVO-Konformität: Erfüllung der Anforderungen der Europäischen Datenschutz-Grundverordnung (DSGVO), insbesondere bezüglich Datenverarbeitung und Benutzerrechten.

• Meldung von Verstößen: Prozesse zur Meldung von Datenschutzverstößen und zum Schutz der Benutzerrechte.

Diese Kriterien können Unternehmen dabei helfen, eine fundierte Entscheidung über die Nutzung und Genehmigung von Cloud- und Webanwendungen zu treffen, indem sie das Risiko in Bezug auf Sicherheit und Compliance bewerten.

+ Die organisationsfremden IT-Dienste wurden auf den Schutzbedarf der verarbeiteten Informationswerte abgestimmt.

MCAS ermöglicht es die eingesetzten organisationsfremden IT-Dienste (Cloud- und Webanwendungen) zu identifizieren und eine Risikoeinschätzung vorzunehmen. Auf dieser Basis wiederum, kann das Unternehmen dann Vorgaben treffen, ob und welche klassifizierte Informationen dort verarbeitet werden dürfen. Diese Abstimmung auf den Schutzbedarf der Daten hilft, das Risiko von Datenverlusten oder -missbrauch zu minimieren.

+ Anforderungen bezüglich der Beschaffung, Inbetriebnahme und Freigabe im Zusammenhang mit der Nutzung von organisationsfremden IT-Diensten sind ermittelt und erfüllt.

MCAS ermöglicht eine umfassende Erkennung und Bewertung aller genutzten Webdienste. Es sammelt detaillierte Informationen zu Sicherheitsmaßnahmen, wie der Verschlüsselung von Daten, der Unterstützung von Multi-Faktor-Authentifizierung und der Einhaltung von Sicherheitszertifikaten. Diese Informationen werden von der Lösung verwendet, um eine Risikobewertung durchzuführen, deren Ergebnis vom Unternehmen für eine Entscheidung zur Nutzungsgenehmigung genutzt werden kann. Zugleich bieten die bereitgestellten Faktoren zur Risikobewertung einen guten Startpunkt für die Definition der Anforderungen bezüglich der Beschaffung und Inbetriebnahme sowie Freigabe organisationsfremder IT-Dienste.

+ Ein Verfahren zur Freigabe unter Berücksichtigung des Schutzbedarfs ist etabliert.

Mit MCAS können Unternehmen Richtlinien und Verfahren erstellen, die den Zugriff auf Webdienste basierend auf dem Schutzbedarf der verarbeiteten Daten regulieren.

+ Organisationsfremde IT-Dienste und deren Freigabe sind dokumentiert.

MCAS bietet umfangreiche Reporting- und Dokumentationsfunktionen, die es Unternehmen ermöglichen, alle genutzten Webdienste und deren Genehmigungsstatus transparent zu dokumentieren.

+ Es wird regelmäßig überprüft, dass nur freigegebene organisationsfremde IT-Dienste eingesetzt werden.

Die Lösung schafft kontinuierliche Überwachungs- und Kontrollmechanismen. Sie überprüft automatisch, ob die genutzten Dienste den Sicherheitsrichtlinien entsprechen und blockt die Nutzung nicht genehmigter Dienste. So wird sichergestellt, dass nur freigegebene und bewertete Webdienste genutzt werden, wodurch die Gefahr von Schatten-IT minimiert wird.

Zscaler und Netskope als Alternative zu Microsoft Cloud App Security

Neben Microsoft Cloud App Security (MCAS) gibt es weitere leistungsfähige Lösungen, um die Nutzung externer Webdienste abzusichern. Zwei davon sind zum Beispiel Zscaler und Netskope, beide Cloud-Sicherheitsanbieter, die umfassende Schutzmaßnahmen bieten, um den sicheren Einsatz von IT-Diensten zu gewährleisten.

Sichere Internet- und Web-Zugriffe

Zscaler und Netskope ermöglichen es Unternehmen, den Internet- und Webverkehr sicher zu verwalten. Beide Lösungen überprüfen eingehende und ausgehende Datenströme auf Bedrohungen und verhindern den Zugriff auf unsichere oder nicht autorisierte Dienste. Dadurch schützen sie Organisationen vor Cyberangriffen und Datenverlusten, indem sie die Nutzung nicht genehmigter Dienste blockieren.

Bedrohungsschutz und Compliance

Ähnlich wie MCAS bieten Zscaler und Netskope Funktionen zur Einhaltung von Sicherheitsrichtlinien und gesetzlichen Anforderungen. Sie scannen den Datenverkehr, um sicherzustellen, dass nur konforme Dienste genutzt werden. So helfen beide Lösungen, die strengen Anforderungen des VDA ISA zu erfüllen, insbesondere beim Schutz sensibler Daten.

Risikobewertung und Kontrolle

Sowohl Zscaler als auch Netskope bewerten die Sicherheit externer Webdienste, indem sie potenzielle Sicherheitslücken identifizieren und Risiken bewerten. Unternehmen können Richtlinien festlegen, die den Zugang zu bestimmten Diensten basierend auf ihrer Risikobewertung regulieren. Auf diese Weise wird sichergestellt, dass nur geprüfte und sichere Dienste verwendet werden, was das Risiko von Schatten-IT minimiert.

Integration und Benutzerfreundlichkeit

Zscaler und Netskope lassen sich nahtlos in bestehende IT-Infrastrukturen integrieren und bieten benutzerfreundliche Tools zur Verwaltung und Überwachung von Sicherheitsrichtlinien. Unternehmen können so einfach nachvollziehen, welche Dienste genutzt werden und wie sicher diese sind, was die Verwaltung und Durchsetzung von Sicherheitsstandards erleichtert.

Sowohl Zscaler als auch Netskope bieten damit neben MCAS umfassende Sicherheitsfunktionen, um die Nutzung externer Webdienste zu schützen. Unternehmen haben die Möglichkeit, je nach ihren individuellen Bedürfnissen eine passende Lösung zu wählen und sicherzustellen, dass alle genutzten Dienste den Sicherheits- und Compliance-Vorgaben entsprechen.