Sicherheit aus der Cloud - pro und contra

Die Zukunft der Security-Services

Simon Hülsbömer
Simon verantwortet auf der Computerwoche redaktionell leitend die Themenbereiche IT-Sicherheit, Risiko-Management, Compliance und Datenschutz. Er hat aber auch Trends wie Big Data, Analytics und Cloud Computing sowie IT-Projekte in den Fachabteilungen im Blick. Außerdem betreut der studierte Media Producer den täglichen Früh-Newsletter der Computerwoche und ab und an die iPad-Ausgaben der Computerwoche. Aufgaben als Computerwoche-Online-News-Aushelfer, in der Traffic- und Keyword-Analyse, dem Content Management sowie die inoffizielle Funktion "redaktioneller Fußballexperte" runden sein Profil ab.
Email:
Connect:
Wer seine IT-Sicherheit nicht selbst gewährleisten will oder kann, kauft sie ein. Cloud-Angebote erweitern die Möglichkeiten für Security-Services, die Anwender auch dankend annehmen. Aber Vorsicht: Hier steckt noch viel heiße Luft drin.

Services aus allen Bereichen der IT "sind durch das Cloud Computing besser vermarktbar geworden", stellt Claudia Eckert fest, die dem Fachbereich IT-Sicherheit an der Technischen Universität München vorsteht und das Fraunhofer Institut für Angewandte und Integrierte Sicherheit (AISEC) in Garching leitet. Es sei heute so einfach wie nie zuvor, solche Dienste anzubieten und zu nutzen. Ganz besonders gelte das für die IT-Sicherheit. Es ist deshalb wenig verwunderlich, dass im Rahmen der IT-Security-Messe it-sa in Nürnberg jede Menge "neue" Cloud-Services vorgestellt wurden. Anwender sollen ihre IT-Security damit wesentlich bequemer und kostengünstiger gewährleisten können, als es im "Prä-Cloud-Zeitalter" jemals möglich gewesen ist.

Stefan Strobel warnt vor zuviel Euphorie um vermeintlich "neue" Cloud Security Services.
Stefan Strobel warnt vor zuviel Euphorie um vermeintlich "neue" Cloud Security Services.
Foto: cirosec GmbH

Dennoch ist Vorsicht angebracht - Sicherheitsanbieter übertreiben schließlich besonders gerne, wenn es um die Innovationskraft ihrer Produkte geht. "Das ist alter Wein in neuen Schläuchen, die Hersteller packen einfach nur das Cloud-Label oben drauf", winkt Stefan Strobel, Geschäftsführer der Beratungsfirma cirosec, ab. Vergleichbare Produkte gab es auch früher schon, da hießen sie nur wahlweise Managed Security Services (MSS) oder "Security as a Service" - je nach Grad der Administration durch den Dienstleister. Lediglich die Anbieterlandschaft habe sich durch zahlreiche Akquisitionen und Umstrukturierungen ein wenig gewandelt, beobachtet Strobel.

Claudia Eckert sieht in Cloud-Services die logische Weiterentwicklung der Web-Service-Technologie.
Claudia Eckert sieht in Cloud-Services die logische Weiterentwicklung der Web-Service-Technologie.
Foto: Euroforum/Constantin Meyer

Eckert hält dagegen: Selbstverständlich könne es sein, dass bereits bestehende Angebote einen frischen "Cloud-Anstrich" erhalten hätten. "Gleichzeitig sind aber auch neue Dienste entstanden", stellt sie fest. Diese setzten auf bekannten Web-Service-Technologien auf und entwickelten diese weiter. Anwendern würden damit neue Möglichkeiten in der IT-Sicherheit eröffnet.

Wer kann es den Anbietern also übel nehmen, dass sie kräftig die PR-Trommel rühren und ihre Dienstleistungen mit dem auch in Anwenderkreisen begehrten Begriff "Cloud" aufwerten wollen? Zumal das Geschäft zunehmend lohnt: Den Marktforschern von Gartner zufolge werden Unternehmen weltweit in zwei Jahren insgesamt rund 50 Milliarden Dollar (38 Milliarden Euro) jährlich für Security-Services ausgeben - fast ein Drittel mehr als derzeit.

Fast alles gibt es als Service

Der Blick in die Praxis zeigt: In vielen Konzernen sind die Dienste schon lange im Einsatz - zumeist aber als Teil eines größeren IT-Outsourcing-Deals, der Security-Services einschließt, und nicht als gesonderte Baustelle. Beliebt sind die Dienstleistungen der Marke "rundum sorglos" vornehmlich im operativen Bereich - es betrifft Mail-/Spam-Filter, Intrusion-Prevention-Systeme, Proxy-Server, Web-Gateways, Authentifizierungsdienste oder den Betrieb von Virtual Private Networks. Es sei "ein etabliertes Geschäft, das alle wichtigen Player anbieten", berichtet Dror-John Röcher, Lead Consultant Secure Information bei Computacenter.

Mit der zunehmenden Verbreitung von Cloud-Infrastrukturen wandeln sich nun die Anforderungen. Je mehr Daten ein Unternehmen nicht mehr inhouse vorrätig hält, sondern auf virtuellen Maschinen oder in einer Private/Public Cloud speichert, desto wichtiger wird es, diese Informationen auch direkt dort zu schützen. Zudem tragen mobile Geräte dazu bei, dass IT-Landschaften heute per se so verteilt und unsicher sind wie noch nie und neue, zentralisierte Lösungen erfordern. Gleichzeitig steigt der Datenverkehr, der überwacht und gesichert werden muss. Eckert räumt den Bereichen Identitätsverwaltung/Authentifizierung und sichere (Web-)Collaboration deshalb die aktuell größten Entwicklungschancen im Security-Service-Bereich ein.

Unbestrittene Vorteile

Ein wachsendes Angebot gibt es besonders bei den Authentifizierungslösungen "aus der Cloud". Ihre Funktion besteht meist darin, die Vielzahl von Login-Prozessen und mobilen Geräten per Single-Sign-on zusammenzuführen. Ein Anwender authentisiert sich dabei einmalig bei einem zentralen Service, dieser wiederum fragt damit einen Datenbankserver ab, der den Nutzer dann bei übereinstimmenden Informationen authentifiziert. Diese Berechtigung gilt dann für alle Dienste, auf die von einem bestimmten Client aus zugegriffen wird. Das ist technisch gesehen ein alter Hut, findet aber erst jetzt seinen Weg zu den Anwendern, weshalb der Eindruck einer gänzlich neuen Technologie entstehen kann. Das Bedürfnis nach einer solchen Lösung war bislang nur dürftig vorhanden, wächst nun aber umso stärker, weil das Feature "Cloud" den Einsatz erleichtert. Anwender können von überall und von jedem Gerät auf diese Lösungen zugreifen, weil sie nicht mehr innerhalb des Unternehmensnetzes vorgehalten werden, sondern bei einem Dienstleister.

Das Business nähert sich der IT-Security an

Laut Dror-John Röcher werden zunehmend höherwertige Security Services von außen eingekauft.
Laut Dror-John Röcher werden zunehmend höherwertige Security Services von außen eingekauft.
Foto: Computacenter

Skalierbarkeit und Überall-Verfügbarkeit gelten als wichtigste Vorteile von Cloud-Services. Zudem sind die Prozesse der Dienstleister oft besser getrimmt als es die der Anwender jemals sein könnten. Das hat Auswirkungen auf die Art der Nachfrage nach Security-Services: Es ist zu beobachten, dass sich diese von den bekannten Tools hin zu strategischen Analysewerkzeugen für den Bereich Risiko-Management verschiebt. Das hänge damit zusammen, dass IT-Sicherheit zunehmend "kein rein technisches Thema mehr ist, sondern von den Anforderungen des Business getrieben wird", erklärt Ralf Nitzgen, Geschäftsführer von Allgeier IT Solutions. Computacenter-Experte Röcher ergänzt: "Mittlerweile werden auch höherwertige Security Services eingekauft." Ein gutes Beispiel sind die Security Operation Center (SOC), deren Dienste häufig für einen bestimmten Zeitraum in Anspruch genommen werden, um ein Sicherheits-Lagebild zu erstellen und später damit eine strategische Risikoeinschätzung abgeben zu können. Diese Analysen führen dann wiederum auch zur Bedarfsermittlung an technischen Tools.

Auch in diesem Bereich zeigen sich große Unternehmen aufgeschlossener als Mittelständler. Bei den KMUs ist die Verbreitung von Security-Diensten trotz aller Herstellerversprechen und jahrelang bekannten Technologien noch durchwachsen. "Es hat viel mit der Firmenphilosophie zu tun", erklärt Röcher. Größere Organisationen seien eher bereit, ihre Security herauszugeben. Mittelständler vertrauten lieber ihren eigenen Lösungen. Entscheidend sei für sie darüber hinaus, keine halbe Sachen zu machen: "Hybride Modelle sind die teuersten." Wer den Teil einer Sicherheitslösung als Cloud-Service bezieht, einen Teile aber weiterhin intern entwickle, zahle auch doppelt, so der Computacenter-Vertreter.

Newsletter 'CP Business-Tipps' bestellen!