Cloud Access Security Broker
Policy-Durchsetzungspunkt zwischen Nutzern und SaaS-Diensten — mit Sichtbarkeit, Compliance, Datenschutz und Bedrohungsabwehr in vier Säulen.
Ein Cloud Access Security Broker (CASB) ist ein Durchsetzungspunkt für Sicherheitsrichtlinien, der zwischen den Nutzern eines Unternehmens und den von ihnen verwendeten Cloud-Diensten sitzt. Der Begriff wurde von Gartner geprägt und beschreibt eine Werkzeugkategorie, die Sichtbarkeit über die genutzten SaaS-Anwendungen schafft, regulatorische Vorgaben durchsetzt, Datenabflüsse verhindert und Bedrohungen in Cloud-Umgebungen erkennt. Während CSPM sich um die Konfiguration der Cloud-Infrastruktur kümmert, adressiert CASB die Ebene darüber: die Nutzung der SaaS-Dienste selbst — also Microsoft 365, Google Workspace, Salesforce, Box, Slack und hunderte weitere Plattformen, die heute aus jedem Browser heraus erreichbar sind.
Die vier Säulen nach Gartner
Gartner definiert vier funktionale Säulen, an denen sich CASB-Lösungen messen lassen. Die erste Säule ist Sichtbarkeit: Welche Cloud-Dienste werden tatsächlich genutzt, von wem und mit welchen Daten? Hier deckt ein CASB sogenannte Shadow IT auf — also nicht freigegebene SaaS-Anwendungen, die Mitarbeiter eigenständig in Betrieb genommen haben. Die zweite Säule ist Compliance: Findings werden auf regulatorische Anforderungen wie DSGVO, ISO 27001 oder branchenspezifische Vorgaben gemappt, sodass nachgewiesen werden kann, dass personenbezogene Daten nur in zulässigen Diensten verarbeitet werden. Die dritte Säule ist Datensicherheit: Über integrierte DLP-Funktionen und Verschlüsselungsmechanismen wird verhindert, dass sensible Inhalte unkontrolliert in die Cloud abfließen. Die vierte Säule ist Bedrohungsabwehr: User and Entity Behavior Analytics (UEBA), Malware-Scanning von Cloud-Anhängen und Anomalieerkennung schützen vor kompromittierten Konten und schadhaften Inhalten.
Deployment-Modi
CASB-Plattformen lassen sich auf drei grundsätzlich verschiedene Arten in eine bestehende Umgebung einbinden. Jeder Modus hat eigene Stärken — in der Praxis kombinieren reife Implementierungen meist mehrere Ansätze.
| Modus | Funktionsweise | Stärken | Grenzen |
|---|---|---|---|
| API-basiert | Out-of-band-Integration über die Admin-APIs von M365, Google, Salesforce u. a. | Sieht alle Aktivitäten und Daten nachträglich, kein Trafficeingriff, keine Latenz | Reaktiv — Verstöße werden erst nach dem Ereignis erkannt |
| Forward Proxy | In-line-Inspektion des Nutzer-Traffics über Agent oder PAC-Datei | Echtzeit-Durchsetzung, blockiert Aktionen vor Ausführung | Setzt verwaltete Geräte voraus, Aufwand für Zertifikate und SSL-Inspektion |
| Reverse Proxy | Browser-seitig ohne Agent durch URL-Umleitung des Identity Providers | Funktioniert auch auf unverwalteten BYOD-Geräten | Nur für browserbasierte SaaS, App-Kompatibilität teils eingeschränkt |
Der API-basierte Modus eignet sich hervorragend für Compliance-Audits, weil er rückwirkend jeden Zugriff und jede Dateioperation auswerten kann. Forward-Proxy-Modi sind das Mittel der Wahl, wenn Aktionen wie das Hochladen sensibler Dateien aktiv verhindert werden sollen. Reverse Proxy ist die einzige Option, wenn Zugriffe von nicht verwalteten Geräten — etwa von externen Beratern oder privaten Endpunkten — kontrolliert werden müssen, ohne dass Software installiert werden kann.
Konvergenz mit SASE und SSE
In den letzten Jahren hat sich CASB als eigenständige Produktkategorie weitgehend aufgelöst. Hersteller wie Netskope, Zscaler, Microsoft (Defender for Cloud Apps) und Palo Alto (Prisma Access) bündeln CASB-Funktionen heute in umfassenderen SASE-Plattformen, also in Secure-Access-Service-Edge-Architekturen, die Netzwerk- und Sicherheitsfunktionen aus der Cloud bereitstellen. Innerhalb von SASE wird CASB häufig als Teil des Security Service Edge (SSE) geführt, gemeinsam mit Secure Web Gateway, ZTNA und DLP. Für Unternehmen bedeutet das in der Praxis, dass die Entscheidung selten zwischen reinen CASBs fällt, sondern zwischen integrierten Plattformen, die CASB-Funktionalität als Modul mitbringen. Wer Microsoft-365-zentriert arbeitet, erhält über Defender for Cloud Apps und Conditional Access bereits ein leistungsfähiges CASB-Setup, ohne ein zusätzliches Produkt einführen zu müssen.
Typische Anwendungsfälle
In Assessments begegnen uns drei Szenarien besonders häufig. Der erste Fall ist Shadow-AI: Mitarbeiter laden vertrauliche Dokumente in nicht freigegebene KI-Tools hoch, um sich Zusammenfassungen oder Übersetzungen erstellen zu lassen. Ein CASB erkennt sowohl die Nutzung dieser Dienste als auch die Art der hochgeladenen Inhalte und kann den Upload abhängig von der Datenklassifikation blockieren — siehe Shadow AI. Der zweite Fall ist der Datenabfluss in private Konten: Mitarbeiter leiten geschäftliche Inhalte per Drag-and-drop in ihren privaten OneDrive oder Google Drive weiter, häufig sogar in guter Absicht. CASB-Regeln unterscheiden zwischen Unternehmens- und Privat-Tenants derselben Plattform und unterbinden die Übertragung gezielt. Der dritte Fall ist OAuth-App-Governance: Über OAuth eingebundene Drittanbieter-Apps erhalten oft weitreichende Berechtigungen auf Postfächer und Drive-Inhalte. CASBs inventarisieren diese konsentierten Apps, bewerten sie nach Risiko und ermöglichen den Entzug überprivilegierter Zugriffe.
Abgrenzung zu verwandten Werkzeugen
CASB wird in der Praxis häufig mit anderen Cloud-Sicherheitswerkzeugen verwechselt. CSPM überwacht die Konfiguration von Cloud-Infrastruktur (IaaS und PaaS), CASB hingegen die Nutzung von SaaS-Anwendungen. DLP klassifiziert Daten und definiert Regeln für deren Bewegung, CASB ist das Durchsetzungsorgan, das diese Regeln in Cloud-Kontexten anwendet. ZTNA regelt den Zugriff auf interne Anwendungen nach dem Zero-Trust-Prinzip, CASB den Zugriff auf externe SaaS-Dienste. Diese Werkzeuge sind komplementär und nicht austauschbar — eine moderne Cloud-Security-Architektur kombiniert sie typischerweise.
Relevanz für KMUs
Auch für mittelständische Unternehmen ist CASB heute kein theoretisches Thema mehr. Die Nutzung von Cloud-Diensten ist in nahezu jedem Betrieb angekommen, und mit ihr die typischen Risiken: ungenehmigte SaaS-Anwendungen, Datenabflüsse in private Konten, unkontrollierte KI-Tools. Der pragmatische Einstieg gelingt selten über die Anschaffung einer eigenständigen CASB-Plattform, sondern über die Aktivierung der CASB-Funktionen, die in bestehenden Lizenzpaketen oft bereits enthalten sind — Microsoft Defender for Cloud Apps gehört in vielen M365-E5-Verträgen dazu, und auch Google Workspace bringt vergleichbare Funktionen mit. Wir finden in Assessments regelmäßig Umgebungen, in denen diese Komponenten lizenziert, aber nicht konfiguriert sind. Schon ein moderat eingerichtetes CASB-Modul deckt die häufigsten Anwendungsfälle ab und schafft Sichtbarkeit, auf der sich weitergehende Maßnahmen wie ein vollständiges Zero-Trust-Konzept oder eine SSE-Architektur aufbauen lassen.