Services aus allen Bereichen der IT "sind durch das Cloud Computing besser vermarktbar geworden", stellt Claudia Eckert fest, die dem Fachbereich IT-Sicherheit an der Technischen Universität München vorsteht und das Fraunhofer Institut für Angewandte und Integrierte Sicherheit (AISEC) in Garching leitet. Es sei heute so einfach wie nie zuvor, solche Dienste anzubieten und zu nutzen. Ganz besonders gelte das für die IT-Sicherheit. Es ist deshalb wenig verwunderlich, dass im Rahmen der IT-Security-Messe it-sa in Nürnberg jede Menge "neue" Cloud-Services vorgestellt wurden. Anwender sollen ihre IT-Security damit wesentlich bequemer und kostengünstiger gewährleisten können, als es im "Prä-Cloud-Zeitalter" jemals möglich gewesen ist.
Foto: cirosec GmbH
Dennoch ist Vorsicht angebracht - Sicherheitsanbieter übertreiben schließlich besonders gerne, wenn es um die Innovationskraft ihrer Produkte geht. "Das ist alter Wein in neuen Schläuchen, die Hersteller packen einfach nur das Cloud-Label oben drauf", winkt Stefan Strobel, Geschäftsführer der Beratungsfirma cirosec, ab. Vergleichbare Produkte gab es auch früher schon, da hießen sie nur wahlweise Managed Security Services (MSS) oder "Security as a Service" - je nach Grad der Administration durch den Dienstleister. Lediglich die Anbieterlandschaft habe sich durch zahlreiche Akquisitionen und Umstrukturierungen ein wenig gewandelt, beobachtet Strobel.
Foto: Euroforum/Constantin Meyer
Eckert hält dagegen: Selbstverständlich könne es sein, dass bereits bestehende Angebote einen frischen "Cloud-Anstrich" erhalten hätten. "Gleichzeitig sind aber auch neue Dienste entstanden", stellt sie fest. Diese setzten auf bekannten Web-Service-Technologien auf und entwickelten diese weiter. Anwendern würden damit neue Möglichkeiten in der IT-Sicherheit eröffnet.
Wer kann es den Anbietern also übel nehmen, dass sie kräftig die PR-Trommel rühren und ihre Dienstleistungen mit dem auch in Anwenderkreisen begehrten Begriff "Cloud" aufwerten wollen? Zumal das Geschäft zunehmend lohnt: Den Marktforschern von Gartner zufolge werden Unternehmen weltweit in zwei Jahren insgesamt rund 50 Milliarden Dollar (38 Milliarden Euro) jährlich für Security-Services ausgeben - fast ein Drittel mehr als derzeit.
Fast alles gibt es als Service
Der Blick in die Praxis zeigt: In vielen Konzernen sind die Dienste schon lange im Einsatz - zumeist aber als Teil eines größeren IT-Outsourcing-Deals, der Security-Services einschließt, und nicht als gesonderte Baustelle. Beliebt sind die Dienstleistungen der Marke "rundum sorglos" vornehmlich im operativen Bereich - es betrifft Mail-/Spam-Filter, Intrusion-Prevention-Systeme, Proxy-Server, Web-Gateways, Authentifizierungsdienste oder den Betrieb von Virtual Private Networks. Es sei "ein etabliertes Geschäft, das alle wichtigen Player anbieten", berichtet Dror-John Röcher, Lead Consultant Secure Information bei Computacenter.
Mit der zunehmenden Verbreitung von Cloud-Infrastrukturen wandeln sich nun die Anforderungen. Je mehr Daten ein Unternehmen nicht mehr inhouse vorrätig hält, sondern auf virtuellen Maschinen oder in einer Private/Public Cloud speichert, desto wichtiger wird es, diese Informationen auch direkt dort zu schützen. Zudem tragen mobile Geräte dazu bei, dass IT-Landschaften heute per se so verteilt und unsicher sind wie noch nie und neue, zentralisierte Lösungen erfordern. Gleichzeitig steigt der Datenverkehr, der überwacht und gesichert werden muss. Eckert räumt den Bereichen Identitätsverwaltung/Authentifizierung und sichere (Web-)Collaboration deshalb die aktuell größten Entwicklungschancen im Security-Service-Bereich ein.
Unbestrittene Vorteile
Ein wachsendes Angebot gibt es besonders bei den Authentifizierungslösungen "aus der Cloud". Ihre Funktion besteht meist darin, die Vielzahl von Login-Prozessen und mobilen Geräten per Single-Sign-on zusammenzuführen. Ein Anwender authentisiert sich dabei einmalig bei einem zentralen Service, dieser wiederum fragt damit einen Datenbankserver ab, der den Nutzer dann bei übereinstimmenden Informationen authentifiziert. Diese Berechtigung gilt dann für alle Dienste, auf die von einem bestimmten Client aus zugegriffen wird. Das ist technisch gesehen ein alter Hut, findet aber erst jetzt seinen Weg zu den Anwendern, weshalb der Eindruck einer gänzlich neuen Technologie entstehen kann. Das Bedürfnis nach einer solchen Lösung war bislang nur dürftig vorhanden, wächst nun aber umso stärker, weil das Feature "Cloud" den Einsatz erleichtert. Anwender können von überall und von jedem Gerät auf diese Lösungen zugreifen, weil sie nicht mehr innerhalb des Unternehmensnetzes vorgehalten werden, sondern bei einem Dienstleister.
- Bitkom, Branchenverband der ITK-Branche
Cloud-Security-Aktivitäten: Cloud-Computing-Leitfaden; IT-Sicherheit und Datenschutz / Relevanz: 3 von 5 Punkten - BSI
Cloud-Security-Aktivitäten: BSI-ESCC (Eckpunktepapier Sicherheitsempfehlungen für Cloud-Computing-Anbieter); IT-Grundschutz-Katalog / Relevanz: 4 von 5 Punkten - CSA, Organisation für Sicherheit im Cloud Computing
Cloud-Security-Aktivitäten: Katalog zu den Sicherheitsbedrohungen im Cloud Computing; Sicherheitsleitfaden für kritische Handlungsfelder in der Cloud; CTP (Cloud Trust Protocol); CSA Security, Trust & Assurance Registry (STAR); Certificate of Cloud Security Knowledge (CCSK); Cloud Trust Protocol (CTP) / Relevanz: 5 von 5 Punkten - ENISA (Europäische Agentur für Netz- und Informationssicherheit)
Cloud-Security-Aktivitäten: Leitfaden zur Informationssicherheit im Cloud Computing; Sicherheit und Zuverlässigkeit in öffentlichen Clouds / Relevanz: 4 von 5 Punkten - EuroCloud Deutschland_eco, europäisches Cloud-Computing- Business-Netzwerk
Cloud-Security-Aktivitäten: Leitfaden Recht, Datenschutz und Compliance; EuroCloud-SA (EuroCloud Star Audit): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten - Fraunhofer SIT (Fraunhofer-Institut für Sichere Informationstechnologie)
Cloud-Security-Aktivitäten: Studie zur Cloud-Computing-Sicherheit / Relevanz: 4 von 5 Punkten - NIST (National Institute of Standards and Technology), US-Behörde
Cloud-Security-Aktivitäten: NIST-UC (Cloud Computing Use Cases); SCAP (Security Content Automation Protocol) / Relevanz: 2 von 5 Punkten - Cloud Software Program, Initiative des finnischen Strategie-Centers für Wissenschaft, Technologie und Innovation (20 Unternehmen und acht Forschungsinstitute)
Cloud-Security-Aktivitäten: Schutzmaßnahmen und Sicherheitskonzepte für die finnische Softwareindustrie; Best Practices im Cloud Computing / Relevanz: 3 von 5 Punkten - Secure by Design, Initiative der IBM
Cloud-Security-Aktivitäten: Secure Engineering Framework, eine Anleitung und Checklisten für Softwareentwickler, das Management und die Sicherheitsverantwortlichen / Relevanz: 2 von 5 Punkten - Security Working Group (USA), Federal Cloud Computing Initiative (FCCI)
Cloud-Security-Aktivitäten: Prozesse und Handlungsempfehlungen für den öffentlichen Sektor / Relevanz: 2 von 5 Punkten - ISACA, Berufsverband mit mehr als 95.000 praxisorientierten Information-Systems-(IS-)Fachleuten aus mehr als 160 Ländern
Cloud-Security-Aktivitäten: Praxis-Leitfaden zur Informationssicherheit; Vorträge zu Cloud-Sicherheit / Relevanz: 4 von 5 Punkten - AICPA (American Institute of Certified Public Accountants) mit über 350.000 Mitgliedern in 128 Ländern
Cloud-Security-Aktivitäten: SSAE 16 (Statement on Standards for Attes-tation Engagements No. 16): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten - NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e.V.)
Cloud-Security-Aktivitäten: Konzepte für den Schutz vor Angriffen aus dem Datennetz / Relevanz: 3 von 5 Punkten - Trusted Cloud, Initiative des Bundesministeriums für Wirtschaft und Technologie (BMWi)
Cloud-Security-Aktivitäten: Cloud-Sicherheit und Interoperabilität; Förderprojekte / Relevanz: 5 von 5 Punkten
Das Business nähert sich der IT-Security an
Foto: Computacenter
Skalierbarkeit und Überall-Verfügbarkeit gelten als wichtigste Vorteile von Cloud-Services. Zudem sind die Prozesse der Dienstleister oft besser getrimmt als es die der Anwender jemals sein könnten. Das hat Auswirkungen auf die Art der Nachfrage nach Security-Services: Es ist zu beobachten, dass sich diese von den bekannten Tools hin zu strategischen Analysewerkzeugen für den Bereich Risiko-Management verschiebt. Das hänge damit zusammen, dass IT-Sicherheit zunehmend "kein rein technisches Thema mehr ist, sondern von den Anforderungen des Business getrieben wird", erklärt Ralf Nitzgen, Geschäftsführer von Allgeier IT Solutions. Computacenter-Experte Röcher ergänzt: "Mittlerweile werden auch höherwertige Security Services eingekauft." Ein gutes Beispiel sind die Security Operation Center (SOC), deren Dienste häufig für einen bestimmten Zeitraum in Anspruch genommen werden, um ein Sicherheits-Lagebild zu erstellen und später damit eine strategische Risikoeinschätzung abgeben zu können. Diese Analysen führen dann wiederum auch zur Bedarfsermittlung an technischen Tools.
Auch in diesem Bereich zeigen sich große Unternehmen aufgeschlossener als Mittelständler. Bei den KMUs ist die Verbreitung von Security-Diensten trotz aller Herstellerversprechen und jahrelang bekannten Technologien noch durchwachsen. "Es hat viel mit der Firmenphilosophie zu tun", erklärt Röcher. Größere Organisationen seien eher bereit, ihre Security herauszugeben. Mittelständler vertrauten lieber ihren eigenen Lösungen. Entscheidend sei für sie darüber hinaus, keine halbe Sachen zu machen: "Hybride Modelle sind die teuersten." Wer den Teil einer Sicherheitslösung als Cloud-Service bezieht, einen Teile aber weiterhin intern entwickle, zahle auch doppelt, so der Computacenter-Vertreter.