Cloud Access Security Broker

Ein Cloud Access Security Broker (CASB) ist eine Sicherheitskomponente zwischen Nutzer:innen und Cloud-Diensten, die Zugriffe überwacht und Sicherheitsrichtlinien durchsetzt. Ein Cloud Access Security Broker (CASB) dient dazu, Schatten-IT sichtbar zu machen, Datenverlust zu verhindern und Compliance-Anforderungen zu unterstützen. Moderne CASB kombinieren Proxy- und API-Ansätze und integrieren sich in Zero-Trust- sowie SSE-/SASE-Architekturen.

Hintergrund und Entstehung von Cloud Access Security Brokern (CASB)

CASB entstanden in den 2010er-Jahren als Antwort auf die rasante Verbreitung von SaaS und die damit einhergehende Schatten-IT. Unternehmen benötigten einen zentralen Erzwingungspunkt, um Richtlinien über viele Cloud-Apps und Geräte hinweg einheitlich umzusetzen. Branchenanalysen strukturierten CASB früh entlang vier Funktionssäulen: Sichtbarkeit, Datensicherheit, Bedrohungsschutz und Compliance.

Mit verstärkter Remote-Arbeit und BYOD-Szenarien wurden CASB zu einem Baustein von Zero-Trust-Umgebungen. Parallel konkretisierte der DACH-Raum regulatorische Erwartungen an Cloud-Nutzung, etwa durch den BSI-Mindeststandard „Nutzung externer Cloud-Dienste“ sowie den Kriterienkatalog C5, der Mindestanforderungen an sicheres Cloud-Computing definiert. CASB unterstützen dabei insbesondere die Datensicherheit und Protokollierung.

Seit 2020 wird BSI C5 regelmäßig fortgeschrieben (aktuell Community Draft C5:2025). Für deutsche Unternehmen schafft C5 Transparenz bei der Auswahl und Bewertung von Cloud-Anbietern; CASB helfen, kundenseitige Pflichten wie DLP-Richtlinien oder Zugriffskontrollen technisch umzusetzen.

Wichtigste Merkmale und Kernelemente

Vier Säulen der CASB-Funktionalität

CASB bündeln typischerweise vier Funktionsbereiche: Sichtbarkeit (Entdeckung von Schatten-IT), Datensicherheit (z. B. DLP, Verschlüsselung), Bedrohungsschutz (z. B. Malware-Erkennung, Sandboxing) und Compliance (Unterstützung bei DSGVO und Branchenvorgaben).

Multimode-Bereitstellung

Moderne Lösungen kombinieren API-Scanning (Sicht auf ruhende Cloud-Daten) mit Inline-Kontrollen via Forward-Proxy und Reverse-Proxy (Richtlinien in Echtzeit, einschließlich Kontrolle auf nicht verwalteten Geräten). Dieser Multimode-Ansatz deckt genehmigte und nicht genehmigte Anwendungen ab.

Richtlinienerzwingung und Analytik

CASB fungieren als Policy Enforcement Point: Sie klassifizieren Anwendungen, bewerten Risiken, erkennen anomales Verhalten (etwa Ransomware-Indikatoren) und erzwingen granulare Controls wie kontextabhängigen Zugriff oder Download-Sperren. Häufig kommen dabei DLP-Engines, User- und Entity-Behaviour-Analytik (UEBA) sowie App-Risikokataloge zum Einsatz.

Integration in Sicherheitsarchitekturen

Typische Integrationen umfassen Identity Provider und Single Sign-on (IdP/SSO), Secure Web Gateway (SWG), Zero Trust Network Access (ZTNA), SIEM und Data-Security-Tooling. In SSE/SASE-Plattformen werden CASB zusammen mit SWG, ZTNA und DLP konsolidiert, um Richtlinien zentral zu definieren und durchzusetzen.

DACH-Compliance-Unterstützung

In Projekten unterstützen CASB unter anderem die Nachweisführung für Datenabflussschutz, Rollen-/Rechtekonzepte und Protokollierung – im Zusammenspiel mit BSI-C5, IT-Grundschutz (z. B. Baustein OPS.2.2 Cloud-Nutzung) und internen Richtlinien.

Bedeutung für Unternehmen und Praxisrelevanz

Für CISOs und IT-Leitungen liefern CASB einen zentralen Hebel, um Cloud-Risiken organisationsweit zu steuern. Sie schaffen Transparenz über alle genutzten Cloud-Dienste, reduzieren Schatten-IT und ermöglichen einheitliche Richtlinien über Standorte und Geräte hinweg.

Im DACH-Kontext erleichtern CASB die Erfüllung von Datenschutz- und Aufbewahrungspflichten sowie die technische Umsetzung von DLP-Vorgaben. In Audits (z. B. nach BSI C5) können CASB-Protokolle, Klassifizierungen und Richtlinienentscheidungen als Nachweise dienen, ersetzen jedoch keine Prüfung und Zertifizierung des Cloud-Anbieters.

Auf Basis von Projekterfahrungen zeigen früh eingeführte Multimode-CASB kürzere Erkennungs- und Reaktionszeiten bei Cloud-Vorfällen und senken Fehlkonfigurationen in SaaS-Umgebungen, insbesondere bei Remote- und BYOD-Nutzung.

Abgrenzung zu verwandten Begriffen

CASB vs. Secure Web Gateway (SWG)

Ein SWG filtert primär Web- und Internet-Traffic (z. B. HTTP/HTTPS) und setzt URL-Filterung, Malware-Schutz und Web-Richtlinien um. CASB fokussieren Cloud-Anwendungen (SaaS/PaaS/IaaS) und bieten app-spezifische Kontrollen, DLP-Funktionen und API-Integration. In SSE-Architekturen werden beide Funktionen oft konsolidiert.

CASB vs. Data Loss Prevention (DLP)

DLP ist eine Funktion zur Verhinderung von Datenabfluss. CASB nutzen DLP-Engines kontextbezogen für Cloud-Apps und ergänzen diese um Risikoanalytik, App-Klassifizierung, Zugriffskontrollen und Protokollierung. DLP liefert die inhaltliche Erkennung sensibler Daten, CASB steuert, wie diese Daten in Cloud-Diensten genutzt werden dürfen.

CASB vs. Cloud Security Posture Management (CSPM)

CSPM prüft Cloud-Konfigurationen – meist in IaaS- und PaaS-Umgebungen – auf Fehlkonfigurationen und Verstöße gegen Best Practices. CASB richtet den Fokus auf Nutzung und Datenflüsse in Cloud-Anwendungen; beide Technologien ergänzen sich, um Konfiguration (CSPM) und Nutzung (CASB) abzusichern.

Beispiele aus der Praxis

Beispiel 1: Industrieunternehmen (800 Mitarbeitende)

Nach einer Shadow-IT-Analyse identifizierte das Unternehmen 350 nicht genehmigte Cloud-Apps. Ein Multimode-CASB reduzierte diese Zahl um rund 70 % und erzwang kontextbasierten Zugriff für BYOD-Endgeräte. DLP-Regeln verhinderten über 200 potenzielle Datenabflüsse pro Quartal.

Beispiel 2: Gesundheitsdienstleister (250 Mitarbeitende)

Über API-Scanning wurden öffentlich freigegebene Dokumente mit personenbezogenen Daten in Microsoft 365 identifiziert und automatisch reklassifiziert. Ein Reverse-Proxy blockierte zusätzlich Downloads sensibler Dateien auf nicht verwaltete Geräte, ohne den Zugriff auf weniger kritische Daten einzuschränken.

Häufig gestellte Fragen

Was ist eine CASB-Lösung?

Eine CASB-Lösung ist ein Verbund von Sicherheitsdiensten, der als sicheres Gateway zwischen Mitarbeitenden und Cloud-Anwendungen fungiert. Sie bündelt unter anderem Authentifizierung, DLP, Analytik und Bedrohungsschutz, um Richtlinien einheitlich durchzusetzen.

Wie viele Arten von Integrationen gibt es für einen CASB?

Gängig sind drei Modelle: API-Scanning für ruhende Daten sowie Forward-Proxy und Reverse-Proxy für Inline-Kontrollen. Viele Anbieter kombinieren diese Ansätze als Multimode-CASB, um genehmigte und nicht genehmigte Anwendungen abzudecken.

Wofür wird ein CASB verwendet?

CASB schaffen Transparenz über Cloud-Nutzung, erzwingen DLP- und Compliance-Richtlinien, erkennen anomales Verhalten und blockieren Malware. Sie unterstützen Unternehmen beim sicheren Arbeiten mit SaaS-, PaaS- und IaaS-Diensten.

Wie lässt sich ein CASB in bestehende Sicherheitsarchitekturen integrieren?

Typische Integrationen sind IdP/SSO, SWG, ZTNA und SIEM. In SSE-/SASE-Architekturen werden CASB zusammen mit anderen Sicherheitsdiensten zentral bereitgestellt, um Richtlinien und Logging konsistent umzusetzen.

Quellen

[Q1] Cloudflare: „Was ist ein CASB?“, https://www.cloudflare.com/de-de/learning/access-management/what-is-a-casb/, Abrufdatum: 10.11.2025.

[Q3] Bundesamt für Sicherheit in der Informationstechnik (BSI): „Kriterienkatalog C5“ (inkl. C5:2025 Community Draft) sowie begleitende Unterlagen zur sicheren Nutzung von Cloud-Diensten und IT-Grundschutz-Baustein OPS.2.2 Cloud-Nutzung, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html, Abrufdatum: 10.11.2025.

[Q4] Microsoft: „Was ist ein Cloud Access Security Broker (CASB)?“, https://www.microsoft.com/de-de/security/business/security-101/what-is-a-cloud-access-security-broker-casb, Abrufdatum: 10.11.2025.

[Q5] CrowdStrike: „Sicherheits-Broker für den Cloud-Zugriff (Cloud Access Security Broker, CASB)“, https://www.crowdstrike.com/de-de/cybersecurity-101/cloud-security/cloud-access-security-broker-casb/, Abrufdatum: 10.11.2025.

[Q6] Palo Alto Networks: „Ein effektiverer Ansatz für die Cloud-Sicherheit: NGFW für Inline CASB“, https://www.paloaltonetworks.de/cyberpedia/more-effective-cloud-security-approach-NGFW-for-inline-CASB, Abrufdatum: 10.11.2025.