COMPUTERWOCHE-Roundtable Cloud-Security

Cloud-Security ist kein Thema der Technik sondern der Compliance

14.04.2016 von Jürgen Hill
Mit dem Internet of Things (IoT) und der Digitalisierung der Wirtschaft gewinnt die Frage nach der Cloud-Security immer mehr an Bedeutung. Am COMPUTERWOCHE-Roundtable "Cloud-Security" diskutierten CIOs mit CW-Redakteuren und Herstellern kontrovers über das Thema.
Lebhaft diskutierten die Teilnehmer am COMPUTERWOCHE-Roundtable das Thema Cloud-Security.
Foto: Armin Weiler

An der Cloud führt im Prinzip kein Weg mehr vorbei. Darüber waren sich die Teilnehmer Dr. Werner Gutau, verantwortlich für die Sicherheit der Division Chip Card &Security der Infineon Technologies AG, Thomas Schott, ehemals CIO bei Rehau, Dr. Rolf Reinema, Head of Technology Field IT-Security bei der Siemens AG sowie Gerald Götz, CIO beim Städtischem Klinikum München, des COMPUTERWOCHE-Roundtable "Cloud-Security" einig. So sprach Thomas Schott, dessen Unternehmen seit 2007 auf eine Private Cloud setzt, für viele, wenn er meinte, die heute geforderte Agilität und Schnelligkeit im Geschäftsleben könne nur noch durch Cloud-Lösungen gewährleistet werden.

Ein differenzierteres Bild zeigt sich dagegen bei der Frage Private oder Public Cloud. Hier spielen gleich mehrere Aspekte eine Rolle. So war unter den Teilnehmern eine weit verbreitete Skepsis gegenüber den Public-Cloud-Angeboten hinsichtlich der Sicherheit zu spüren. "Für unsere sensiblen Daten kommt nur die Private Cloud in Frage", bekräftigte Götz, "zumal wir in der Public Cloud keinen deutlichen Vorteil sehen." Ferner wurde noch der Geschäftsnutzen vermisst und die Reife manches Cloud-Modells hinterfragt.

Die Top 12 Sicherheitsrisiken in der Cloud
Datenverlust
Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können.
Gestohlene Benutzerdaten
Datenverluste und andere Angriffe folgen häufig aus einem zu lockeren Authentifizierungsprozess, aus zu schwachen Passwörtern und einem schlechten Schlüsselmanagement. Unternehmen kämpfen mit dem Thema Identitätsmanagement, wenn es um die Zuordnung von Zugriffsrechten auf Benutzerrollen geht. Wenn Mitarbeiter die Stelle wechseln oder das Unternehmen ganz verlassen, werden ihre Zugriffsrechte häufig zu spät oder gar nicht angepasst.
Geknackte Interfaces und APIs
Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss.
Ausgenutzte Schwachstellen
Durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden Schwachstellen zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht.
Account Hijacking
Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können.
Insider mit bösen Absichten
Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren.
Der APT-Parasit
APTs (Advanced Persistent Threats) bewegen sich in der Regel seitlich durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden.
Dauerhafter Datenabfluss
Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden.
Fehlende Sorgfalt
Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist gebührende Sorgfalt angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht.
Missbrauch von Cloud-Diensten
Es kommt vor, dass Cloud-Services missbraucht werden, um damit kriminelle Aktivitäten zu unterstützenen. Um einen DDoS-Angriff (Distributed Denial of Service) zu starten oder eine Verschlüsselung zu knacken, braucht es eine leistungsstarke Hardwareumgebung - und Cloud-Ressourcen erfüllen dieses Kriterium.
DoS-Attacken
DoS-Attacken (Denial of Service) verbrauchen eine große Menge Rechnleistung - die Rechnung zahlt der Kunde. Auch wenn die breitbandigen DDoS-Angriffe weit verbreitet und gefürchtet sind - ebenso gewappnet sollten Unternehmen für assyametrische DoS-Attacken auf Anwendungsebene sein, die Sicherheitslücken in Webservern und Datenbanken betreffen.
Geteite Technik, doppelte Gefahr
Verschiedene Cloud Provider teilen sich Infrastruktur, Plattformen und Anwendungen - liegt irgendwo hier eine Verwundbarkeit vor, sind gleich alle betroffen. Wenn beispielsweise eine zentrale Komponente wie ein Hypervisor oder eine Anwendung erfolgreich angegriffen wurde, ist gleich die komplette Cloud-Umgebung unsicher.

Eine Meinung, die so nicht alle Diskussionsteilnehmer mittrugen. So fährt man etwa bei Siemens zweigleisig und setzt sowohl auf Public als auch Private Cloud. Gerade Standardprozesse wie etwa Reisekostenabrechnungen sahen etliche Teilnehmer gut in der Public Cloud aufgehoben. Für Infineon stellte Gutau fest, "Private Clouds haben wir bereits seit vielen Jahren. Für diese kommen aber angesichts der Sicherheitsproblematik nur ausgesuchte Services mit unkritischen Daten in Frage." So kann sich etwa Siemens-Manager Reinema gut vorstellen, dass etwa Anwendungen für das Smart Home standardmäßig aus der Cloud kommen. Grundsätzlich stellt sich für ihn aber die Frage, "wem gehören die Daten in der Cloud eigentlich?" und wie kann man durch mehr Transparenz dem gefühlten Kontrollverlust entgegenwirken. Wie wichtig diese Kontrollmöglichkeiten sind, verdeutlicht Infineon-Manager Gutau, "denn bei uns geht es neben dem Datenschutz oft um die Exportkontrolle in andere Länder und bei Verstößen drohen nicht selten harte Sanktionen".

Unbewusst in der Hybrid-Cloud?

Allerdings ist die Frage, ob sich diese Unterscheidung Private oder Public Cloud in der Praxis wirklich so eindeutig treffen lässt. Eventuell befinden sich viele Unternehmen bereits bewusst oder unbewusst in einer Hybrid Cloud, da ihre Mitarbeiter Public-Cloud-Dienste nutzen - und sei es nur auf dem eigenen Smartphone. Aber bekanntlich bestimmt ja das schwächste Glied einer Kette die Gesamtsicherheit.

Gerald Götz hat aufgrund des bayerischen Datenschutzgesetzes keinen Spielraum in Sachen Cloud.
Foto: Armin Weiler

CIO Götz drückt der Schuh in Sachen Cloud und Security an ganz anderer Stelle. "Uns lässt das bayerische Datenschutzgesetz keinen Spielraum", klagt Götz. "Die Cloud könnte nämlich für die Patienten einen Quantensprung bei der Behandlung bringen", schwärmt der IT-Verantwortliche. Götz denkt dabei etwa an folgendes Szenario: In der Notfallaufnahme eines Krankenhauses könnten die Helfer dann sofort mit der Behandlung beginnen, statt langwierig Blutgruppe und Vorerkrankungen etc. zu recherchieren, weil sie diese Daten aus der Cloud direkt auf das Tablet erhielten. Gerade im medizinischen Umfeld lassen sich viele Anwendungsfälle finden, die von Cloud-Lösungen profitieren würden, wenn es denn die Gesetzeslage erlauben würde, "die Sicherheitstechnik ist nicht das Problem", so Götz.

Compliance und Recht sind ein Minenfeld

Für Infineon-Manager Gutau geht es neben dem Datenschutz oft um die Exportkontrolle.
Foto: Armin Weiler

So ist für die Diskussionsteilnehmer am Security-Roundtable weniger die Sicherheitstechnik eine Frage, sondern eher das Thema Compliance und Recht ein Problemfeld, wenn nicht gar ein Minenfeld. Wer hat Zugriff auf die Daten? Von wo darf er Zugriff haben? Wann exportiert ein Mitarbeiter die Daten? Ist ein Monitoring der Cloud durch den Admin bereits ein Datenabruf? So oder ähnlich lauten die Fragen, mit denen sich die CIOs in ihrer täglichen Arbeit konfrontiert sehen, wenn es um das Thema Cloud und Sicherheit geht. Fragen, die sich unabhängig davon ergeben, ob der Cloud-Partner ein Data Center in Deutschland oder einem anderen Land betreibt. Gerade bei Informationen, die der Exportkontrolle unterliegen, stelle sich die Frage, so Gutau, ob unterwegs der Zugriff auf die Daten dann einen nicht erlaubten Export darstelle.

Dabei treibt Gutau neben dem Thema Datenschutz vor allem die Frage um, wie geistiges Eigentum geschützt wird, "da spielen die Standorte der Cloud-Anbieter eine untergeordnete Rolle. Wichtig ist, ob ein Anbieter unsere Daten effektiv schützen kann. Das Risiko, kritische Daten zu verlieren, können wir nicht eingehen, da behalten wir lieber selbst die Kontrolle." Auch Datenschutzgesetz und andere gesetzliche Regelungen sollen hier keine ausreichende Sicherheit bieten, "denn derartige Gesetze sind in der Umsetzung komplex und können gebrochen werden", führt Gutau weiter aus.

Das setzt IT-Security-Verantwortliche unter Druck
Fehlende Fachkenntnisse
Die IT-Industrie wächst schneller, als die Universitäten qualifizierte Fachkräfte in den Markt bringen können. So bleiben zahlreiche IT-Abteilungen unterbesetzt und unterqualifiziert. 76 Prozent der von Trustwave für die Studie Befragten fühlen sich deshalb genötigt, sich selbst in ihrer täglichen Arbeit ständig zu übertreffen, um den Fachkräftemangel etwas zu kaschieren. Trustwave-Marketingchef Cas Purdy sieht externe Security-Service-Unternehmen wie sein eigenes in einer guten Position, IT-Abteilungen zu unterstützen.
Ungeduldiger Vorstand
Vier von zehn Security-Experten mögen Vorstandssitzungen überhaupt nicht. Direkt vor oder nach einem solchen Meeting haben sie nämlich den meisten Stress. Damit ist die Zahl derer, die sich von den eigenen Chefs stark unter Druck gesetzt fühlen sogar knapp höher als die Zahl derer, die sich unmittelbar nach einem großen Datendiebstahl gestresst fühlen (39 Prozent der von Trustwave Befragten).
Erkennen vs. vorbeugen
Die Erkennung von Schwachstellen, Malware und schädlichen Netzwerkaktivitäten stellt für jeden zweiten IT-Security-Experten eine Aufgabe im Tagesgeschäft dar, die mit großem Druck verbunden ist. Es geht darum, Hintertüren in den Systemen zu entdecken, die als Einfallstor missbraucht werden könnten und diese zu schließen, bevor es zu einem Sicherheitsvorfall kommt. Ein Katz-und-Maus-Spiel, was einen gewissen Druck entstehen lässt.
Zu frühe Releases
Wenn IT-Produkte veröffentlicht werden, bevor sie wirklich fertig sind – das ist ein Problem, das 77 Prozent der von Trustwave Befragten nur zu gut kennen. Denn zumeist mangelt es den neuen Errungenschaften gerade an einem – an Sicherheit. Dennoch werden Sicherheitsspezialisten häufig von ihren Unternehmen dazu genötigt, das unfertige Produkt so schnell wie möglich aus der Tür zu bringen.
Internet der Dinge
Wenn alles mit allem vernetzt ist und entsprechend viele neue Angriffspunkte entstehen, sind neue Aufgaben für Security-Experten nicht weit. Das Internet der Dinge (IoT) beherrscht viele Unternehmen und stellt IT-Verantwortliche vor die Aufgabe, entsprechende Lösungen zu entwickeln und zu integrieren. Mehr als jeder zehnte Security-Verantwortliche fühlt sich dadurch unter Druck gesetzt, dass ihm gar nicht die Wahl gelassen wird, ob er IoT-Technologie überhaupt als sinnvoll erachtet. Es geht oftmals nur darum, sie schnellstmöglich einzubauen – unter Sicherheitsaspekten alle andere als schnell erledigt.
Big Data
Der Diebstahl von Kundendaten und von Intellectual Property bestimmt die Schlagzeilen – entsprechend groß ist die Angst von Unternehmensverantwortlichen, dass ihnen so etwas auch widerfahren könnte. Security-Verantwortliche haben großen Druck dadurch, fast die Hälfte von ihnen fürchtet sich vor einem Hack im großen Stil – dass erst Kundendaten abhandenkommen, dann auch noch Firmengeheimnisse verschwinden und es anschließend neben dem herben Imageverlust auch noch zu Gerichtsverfahren kommt. Ganz unbegründet ist diese Angst nicht – zahlreiche reale Fälle, die genau so oder ähnlich abgelaufen sind, geben dieser Befürchtung Nahrung.
Angebot und Nachfrage
Dass es an Security-Personal fehlt, wurde bereits deutlich. Der Bedarf an Experten ist dennoch erstaunlich: Fast jeder Dritte für die Trustwave-Studie Befragte wünscht sich eine Vervierfachung des IT- und IT-Security-Personalstamms im eigenen Unternehmen. Jeder zweite immerhin eine Verdoppelung. Ähnlich groß ist der Wunsch nach einem höheren IT-Security-Budget.
Sicherheit des Arbeitsplatzes
Wenn es zu einem Security-Vorfall gekommen ist, fürchtet nur jeder zehnte Verantwortliche um seinen Job – was maßgeblich mit dem Fachkräftemangel zusammenhängt. Sollte doch einmal die Entlassung drohen, finden Security-Experten schnell wieder einen Arbeitgeber. Also immerhin ein Punkt, an dem sich nur wenige größere Sorgen machen müssen.

Ohne Cloud geht es nicht

Schott, ehemals CIO bei Rehau, warnt, dass die Welt um Deutschland herum beim Thema Security anders tickt.
Foto: Armin Weiler

Angesichts solcher und anderer Unwägbarkeiten kann sich die Diskussionsrunde nur schwer mit dem Gedanken anfreunden, dass in einigen Jahren eine Erbringung von IT-Leistungen ohne Cloud Services eventuell komplett unmöglich ist. So ist etwa Schott überzeugt, dass man künftig um gewisse Cloud-Anwendungen nicht herumkommen werde, nachdem er bereits heute dediziert Cloud-Anwendungen wie zum Beispiel Salesforce einsetzt. Deshalb sei es wichtig die Cloud so kompatibel wie möglich zu den Standards der Anwenderunternehmen zu gestalten, um agil und flexibel handeln zu können. Gutau von Infineon unterstützt dies durchaus, weist aber darauf hin, dass sein Unternehmen Kundenbeziehungen pflege, die geschützt werden müssten.

Dies sei mit den momentan verfügbaren Sicherheitsmechanismen in der Public Cloud nicht gewährleistet. "Und was machen Sie, wenn zwei Unternehmen mergen, die bei unterschiedlichen Cloud-Anbietern sind", fragt Gutau weiter und kommt zu dem Schluss, "die Zusammenführung der Daten kann je nach vertraglicher Situation sehr problematisch sein". Letztlich, so sein Credo, müsse jedes Unternehmen für sich klären, wie es mit diesen Fragen umgeht.

Die German Ängstler

Götz wirft die These in den Raum, dass "wenn wir deutsches Recht umsetzen die Sache eigentlich OK sein müsste, schließlich seien wir weltweit als die German Ängstler bekannt." Allerdings hat er mit einer Besonderheit zu kämpfen, obwohl das Gesundheitswesen als einer der Wachstumsmärkte der Zukunft gilt, sieht sich Götz immer wieder mit steinzeitlichen Vorstellungen konfrontiert, etwa einem Bayerischen Krankenhausgesetz Art 27, das im Jahr 2016 noch Vorschriften zur Verarbeitung vom Mikrofilmen enthält und nur die Datenverarbeitung in anderen Krankenhäusern erlaubt, oder wie es Götz formuliert, "einen Cloud-Service der Patientendaten verarbeitet, dürfte ich nur von einem anderen Krankenhaus beziehen."

Götz sieht sich hier mit einem Spannungsbogen zwischen Datenschutz und Praktikabilität konfrontiert, die etwa seinen Medizinern eine Teilnahme an US-Studien unmöglich macht, da hier private Daten per Patriot Act in fremde Hände gelangen könnten. Ebenso sieht er durchaus die Schwierigkeiten von Safe Harbor und kann die Entscheidung des EuGH nachvollziehen. "Vielleicht sollten wir uns einmal überlegen, wo wir hinwollen, denn hier haben wir im Gesundheitswesen einen Spannungsbogen zwischen einem der globalen Wachstumsmärkte der Zukunft und der nationalen Rechtsauffassung", so Götz, "letztlich sind wir hier ein bisschen schizophren."

Siemens Manager Reinema fährt zweigleisig und nutzt sowohl Public als auch Private Cloud.
Foto: Armin Weiler

Auch Schott betrachtet die Datenschutz-Compliance als wichtig, warnt jedoch davor, "dass die Welt um Deutschland herum komplett anders tickt und wir es uns nicht leisten können, da wir hinterherzuhinken drohen." So sei etwa Deutschland eines der letzten Länder das die Rollout-Quote der EU für die Smartmeter erfüllen werde, weil wir immer noch diskutieren, welche Daten, wo, wann und wie gespeichert und verarbeitet werden dürfen. "Wir können darüber noch zehn Jahre diskutieren", stellt Schott frustriert fest, " die Welt um uns herum ist dann aber schon fertig." Er plädiert deshalb dafür, dass Deutschland schnellstmöglich handlungsfähig wird und die Standards und Regeln setzt, wobei die 100 Prozent Sicherheit nicht zu erreichen seien - da der Mensch im das schwächste Glied bleiben wird.

Die COMPUTERWOCHE führt derzeit auch eine Studie zum Thema Cloud-Security durch. Die Studie wird ab Juni verfügbar sein.
Foto: Melpomene - shutterstock.com

Security und Innovation

Eine Argumentation, der Infineon-Manager Gutau durchaus folgen kann, wobei dies für ihn weniger eine technische Frage ist, als eine politische Diskussion verschiedener Interessensgruppen. Hierbei lasse sich, so Reinema, eine Tendenz beobachten, nämlich alles tot zu regulieren. Ein Punkt der besonders für den Security-Bereich zutreffe, wo immer versucht werde das Risiko gegen Null zu reduzieren, während auf der anderen Seite die Kosten exponentiell gegen Unendlich steigen. Dabei übersehen laut Reinema viele, dass Security auch einen Einfluss auf die Innovationsfähigkeit einer Organisation hat: "Tue ich zu wenig, kappe ich Innovationen, weil ich ständig an die Wand fahre, sind die Restriktionen zu strikt, schneide ich Innovationen ab, noch bevor sie entstehen." Letzteres sei beim Thema Cloud Computing auch ein Stück weit passiert, als die Datenschützer schweres Geschütz dagegen auffuhren, noch bevor überhaupt die ersten Geschäftsmodelle hinter den Cloud-Gedanken gefunden waren.

"Hier hätte man einige Leitplanken setzen müssen, innerhalb derer sich die Cloud-Player frei bewegen dürfen, statt gleich die volle Breitseite der Regularien abzufeuern, was dazu führt, dass Innovationen nicht in Deutschland entstehen, sondern in anderen Ländern." Erschwerend käme hinzu, dass mit steigenden Security-Hürden die Bereitschaft der User steige sich workarounds wie Dropbox etc. zu suchen, "so dass ich am Ende als Security-Verantwortlicher mit diesen engen Leitplanken weniger erreicht habe als ich wollte." Eine Argumentation der Götz zustimmt, "hätte die Politik vor zehn Jahren bei der Gesundheitskarte die Leitplanken gesetzt und gesagt, wir haben in Deutschland 2.000 Krankenhäuser und wir wollen jetzt Patientendaten sicher speichern und verarbeiten im Sinne des Patienten, dann stünden wir heute ganz anders da."

So kann er denn auch nicht verstehen, dass wir im 21. Jahrhundert in Europa immer noch nicht in der Lage sind, Patientendaten grenzüberschreitend auszutauschen und deshalb Patienten sterben. Zumal es mittlerweile auch gute Krankenhauslösungen aus der Cloud gibt - wenn auch aus den USA.

Die COMPUTERWOCHE führt derzeit auch eine Studie zum Thema Cloud-Security durch. Die Studie wird ab Juni verfügbar sein. Vorbestellungen sind unter vertriebsmarketing@idg.de möglich.