Experten-Roundtable Cloud Security

Der Provider wird's schon richten

21.12.2018 von Florian Stocker

Beim Thema Cloud denken Unternehmen zuallererst an den Nutzen von Technologie. Die Security bleibt allerdings noch häufig auf der Strecke. Die Gründe sind vielfältig: Hohe Komplexität, unklare rechtliche Zuständigkeiten und fehlende Strategien führen dazu, dass vor allem kleinere Unternehmen die Security-Verantwortung beim Provider sehen – ein Trugschluss, der im schlimmsten Fall schwere Folgen haben kann.

Der Automobilvergleich gehört wohl zum liebsten Stilmittel deutscher Diskussionsrunden. Das gilt auch und insbesondere dann, wenn es um Sicherheitsthemen geht. Und so generierte der IDG Roundtable zum Thema Cloud Security Formulierungen wie "Cloud ist wie 250 auf der linken Spur" oder "ein Auto funktioniert erstmal auch ohne Sicherheitsgurt".

Mit der zunehmenden Cloud-Nutzung rückt auch der Security-Aspekt immer mehr in den Fokus der Verantwortlichen.
Foto: Blackboard - shutterstock.com

Der Vergleich mit dem Automobil passt vor allem in einer Dimension: Wenn die Sicherheit vernachlässigt wird, kann dies unbestreitbar verheerende Folgen haben. Doch auch diese heute selbstverständliche Erkenntnis hat es erst nach und nach in die Köpfe der Autofahrer geschafft. Das belegen die teils sehr amüsanten Artikel, die regelmäßig an die "hysterische" Reaktion der Autofahrer bei der Einführung der Gurtpflicht im Jahr 1975 erinnern.

Erst der Nutzen, dann die Sicherheit - ein Mechanismus, der auch beim Thema Cloud keine Ausnahme macht, wie die geladenen Experten beim IDG Roundtable in München bestätigen. "Ähnlich wie beim Autofahren ohne Sicherheitsgurt tritt ein Bewusstseinswandel erst ein, wenn etwas passiert ist", betont etwa Oliver Lürssen, Executive Consultant beim IT-Berater CGI Deutschland.

Informationen zu den Partnerpaketen für die Cloud-Security-Studie

Nachdem heute der Nutzen der Cloud kaum mehr bestritten wird (wie auch die aktuelle CW-Studie zum Thema Cloud-Migration bestätigt), lässt der Einzug eines flächendeckenden Security-Bewusstseins noch auf sich warten. Bei der Suche nach den Gründen dafür fällt auf, dass vor allem kleine und mittlere Unternehmen der Entwicklung hinterherhinken - ein Umstand, der auch etwas mit den verfügbaren Ressourcen zu tun hat.

Geteilte Verantwortung - ganzheitliche Security?

Die wenigsten Unternehmen setzen in ihrem Alltag auf eine singuläre Cloud-Lösung, sondern nutzen meist eine Multi-Cloud-Struktur, die in ihrem Aufbau individuell auf die Unternehmensanforderungen zugeschnitten ist. Die Betriebe nutzen verschiedene Anbieter für Filesharing, Virtualisierung oder Kollaboration und nicht selten eine Kombination aus On-Premise- und Cloud-Lösungen. Doch je individueller und modularer das Setup ist, desto mehr Schnittstellen tun sich auf - potenzielle Sollbruchstellen für die Sicherheit des Gesamtsystems. Diese Komplexität kann vor allem kleine Unternehmen schnell überfordern. Das Resultat ist vor allem Unsicherheit, die dazu führt, dass die Verantwortung gerne auf den Schultern des jeweiligen Providers abgeladen wird.

Cloud Security Roundtable

Frank Kölmel, Palo Alto Networks
"Viele verlassen sich bei der Sicherheit ihrer Daten alleine auf den Provider. Public Cloud-Anbieter wie AWS übernehmen aber natürlich keine Endverantwortung, die liegt immer beim Anwender – doch nur ein Bruchteil der Unternehmen ist sich darüber im Klaren. Unsere Aufgabe besteht darin, das Bewusstsein dafür zu schaffen, Sinn zu vermitteln und nach und nach das nötige Know-How in die Unternehmen zu tragen. Bei dem Begriff „Cloud“ schwingt bei vielen ein Zwiespalt zwischen Produktivität und Sicherheit mit. Diese Fehleinschätzung gilt es zu überwinden, denn sichere und zugleich effiziente Clouds sind möglich."

Jan-Michael Sunkel, Telefonica Deutschland Holding
"In den Köpfen heißt Cloud meistens: Vereinfachung. Die Industrie steht aktuell noch am Anfang einer fundamentalen Entwicklung im Bereich Cloud und IoT. Neue Cloud-Lösungen lassen kontinuierlich neue Geschäftsmodelle und damit aber auch potentielle neue Risiken entstehen. Diese Risiken im Vorfeld nach allen erdenklichen Möglichkeiten zu eliminieren ist eine Herausforderung."

Jürgen Seiter, DXC Technology
"Als Servicedienstleister sehen wir uns oft mit dem Thema Outsourcing konfrontiert. Hier wird die Sicherheit teilweise sehr stiefmütterlich behandelt. Angesichts sich ständig ändernder Schnittstellen steigt die technische Komplexität – und genau hier tun sich viele Kunden schwer. Die Einführung umfassender Sicherheitsrichtlinien für Cloud und On-Premise Umgebungen sowie die Implementierung geeigneter Cloud Sicherheitskontrollen sind hierbei der Schlüssel zum Erfolg."

Kai Dörnemann, genua GmbH
"Der Effizienzgedanke hat sich mittlerweile auch im öffentlichen Sektor durchgesetzt, wo die private Cloud ein großes Wachstum verzeichnet. Die Public Cloud wird dort aber nie eine flächendeckende Alternative sein können. Beim Aufbau einer Infrastruktur ist die Einfachheit immer noch der beste Garant für Sicherheit. Jeder zusätzliche Layer erhöht die Komplexität und damit auch die Wahrscheinlichkeit von Sicherheitslücken."

Lukas Höfer, ConSol
"Es wird oft vergessen, dass laxe Sicherheit nicht erst seit der Cloud besteht. Ein mangelhafter Passwortschutz etwa konnte schon vorher einen immensen Schaden im Unternehmen verursachen. Durch die Cloud wird allerdings die Angriffsfläche noch einmal deutlich größer. In puncto Sicherheitsbewusstsein bestehen nicht nur große Unterschiede zwischen den Unternehmen, sondern sogar zwischen einzelnen Teams innerhalb einer Organisation. Insgesamt gilt hier noch viel zu oft die Devise „Effizienz vor Sicherheit”, obwohl mittlerweile so viele Tools verfügbar sind, die beides angemessen verbinden."

Oliver Lürssen, CGI Deutschland
"Die Erfahrungen von CGI zeigen, dass ein fehlendes Sicherheitskonzept zu einem großen Problem werden kann. Ähnlich wie beim Autofahren ohne Sicherheitsgurt tritt ein Bewusstseinswandel erst ein, wenn etwas passiert ist. Doch es lohnt sich, in Expertenwissen zu investieren. Sicherheit kann Kosten und Aufwände verursachen, aber sie stehen in keiner Relation zu den potenziellen Kosten und Schäden bei einem Cyberangriff."

Sebastian Spann, Microfocus
"Die digitale Transformation erlaubt es Mitarbeitern heute flexibel über unzählige Systeme, Anwendungen und Geräte auf Daten und geistiges Eigentum zugreifen, um Aufgaben zeit- und ortsunabhängig zu erledigen. Die Folge sind Risiken durch zahlreiche Schwachstellen und mögliche Compliance Verstöße. Um die Vielfalt der Cyber-Risiken in Echtzeit bewerten und kontrollieren zu können, sollten Unternehmen einen ganzheitlichen End-to-End Security Ansatz fahren. In großen Unternehmen hat das Thema Security an Wichtigkeit zugenommen und es bereits in den Boardroom geschafft. Kleinere und mittlere Unternehmen müssen hier dringend aufholen, um den Sicherheitsanforderungen bei der Voranschreitenden Digitalisierung Rechnung zu tragen. Viele sehen die Verantwortung alleinig beim Provider, der aber niemals die volle Haftung übernehmen kann. Dementsprechend sollte hier ein Model der „Shared Responsibility“ angestrebt werden, welches durch den Einsatz unserer softwarebasierten Sicherheitslösungen umgesetzt werden kann."

Thomas Neumann, SHE Informationstechnologie
"Durch die Cloud und die rasante technologische Entwicklung wird Security für Unternehmen weniger planbar und zum „Moving Target”. Wo es früher reichte, bestimmte Maßnahmen zu definieren und umzusetzen, ist Sicherheit heute eher eine infrastrukturelle Frage. Dabei gilt: Wer die Security von Anfang an berücksichtigen will, muss sie zum Teil des Entwicklungsprozesses machen. Doch man kann von hochspezialisierten Entwicklern nicht erwarten, dass sie dies von heute auf morgen einfach so „mitdenken”. So etwas funktioniert nur, wenn die richtigen Personen in den DevOps-Prozess integriert werden."

Michael von der Horst, Cisco Systems GmbH
"Die Frage, inwieweit man selbst bei der Nutzung von Cloud-Angeboten für Sicherheit verantwortlich ist hängt sehr vom Einsatz ab. Bei SaaS ist i.w. der Anbieter in der Verantwortung, bis auf Authentizierungs- und Autorisierungsthemen. Bei der Auslagerung von Infrastruktur muss ich diese genauso in der virtuellen Welt schützen, wie ich es einer physischen Data-Center-Welt machen würde. Hinzu kommt noch die Absicherung der Schnittstellen. Am besten verwendet man dazu eine integrierte 360° Sicherheitsarchitektur."

Dieser ist allerdings nur teilweise haftbar, denn in der Regel stützt sich die Zusammenarbeit zwischen Anwender und Cloud-Anbieter auf das sogenannte "Modell der gemeinsamen Verantwortung" (Shared Responsibility). Demnach sind Provider nur für die Infrastruktur selbst verantwortlich, während Unternehmen für den Schutz ihrer eigenen Daten und Anwendungen haften.

Dies gilt umso mehr mit einem Blick auf die rechtliche Situation. Der US Cloud Act, der den US-Sicherheitsbehörden in bestimmten Fällen den Zugriff auf Daten europäischer Kunden erlaubt, schafft eine Situation, in der viele Provider die Wahl haben, entweder die Regeln des Cloud Act oder die der DSGVO zu brechen. Das schafft eine rechtliche Unsicherheit, deren Lösung aktuell nicht in Sicht ist. Die Anwender müssen also selbst dafür sorgen, dass ihre Daten nicht in die falschen Hände geraten.

Es geht dabei um Daten, die längst im gesamten Unternehmen gesammelt und verarbeitet werden. Security muss analog dazu auf allen Ebenen greifen. Noch immer werden die Verantwortlichkeiten dafür oft delegiert oder in bestehende Prozesse integriert, die noch aus Zeiten stammen, in denen alleine die IT-Abteilung die Unternehmensinfrastruktur managte. Diese Zeiten sind, so die einhellige Meinung in der Runde, vorbei.

"Um die Vielfalt der Cyber-Risiken in Echtzeit bewerten und kontrollieren zu können, sollten Unternehmen einen ganzheitlichen End-to-End Security Ansatz fahren. In großen Unternehmen hat das Thema Security an Wichtigkeit zugenommen und es bereits in die Boardrooms geschafft. Kleinere und mittlere Unternehmen müssen hier dringend aufholen, um den Sicherheitsanforderungen bei der voranschreitenden Digitalisierung Rechnung zu tragen", bemerkt Sebastian Spann von Microfocus.

Security muss von Anfang an greifen

Spätestens seit Inkrafttreten der DSGVO und potenziell drakonischer Strafen bei Verstößen gegen das Regelwerk stehen Datenschutz und Datensicherheit allerdings auch im Fokus der Chefetagen. Und seit dem flächendeckenden Einsatz von Cloud-Lösungen sind entsprechende Vorkehrungen auch dringend geboten. Dabei rückt aber oft in den Hintergrund, dass laxe Sicherheitsmaßnahmen in Unternehmen kein neues Phänomen sind. Auch früher schon konnten etwa mangelhaft geschützte Passwörter einen immensen Schaden im Unternehmen verursachen. Durch die Cloud wird das Risiko allerdings noch deutlich größer - weil sie durch die Vielzahl von Schnittstellen schlicht mehr Angriffsfläche bietet. Schließlich erhöht jede zusätzliche Softwareschicht die Komplexität um ein Vielfaches - und damit auch die Wahrscheinlichkeit von Sicherheitslücken.

Security-Experten aus unterschiedlichen Bereichen und Firmen diskutierten beim COMPUTERWOCE-Round-Table Cloud Security über Sicherheitsfragen rund um die Cloud.
Foto: IDG Business Media GmbH

Die Entwicklung und der Betrieb von Cloud-basierten Geschäftsanwendungen lässt es heute außerdem nicht mehr zu, dass Sicherheit im Nachhinein als "Add-On" zu einer bestehenden Infrastruktur einfach hinzugepackt werden kann. Der flächendeckende Siegeszug von DevOps verlangt einen "Security by Default"-Ansatz, der der Dynamik moderner Softwareentwicklung gerecht wird. Wenn Entwicklung zum Prozess wird, dann muss auch Security prozessual gedacht werden.

"Durch die Cloud und die rasante technologische Entwicklung wird Security für Unternehmen weniger planbar und zum "Moving Target". Wo es früher reichte, bestimmte Maßnahmen zu definieren und umzusetzen, ist Sicherheit heute eher eine infrastrukturelle Frage. Dabei gilt: Wer die Security von Anfang an berücksichtigen will, muss sie zum Teil des Entwicklungsprozesses machen", betont Thomas Neumann, Executive Manager Infrastructure Solutions bei SHE. Da man aber von hochspezialisierten Entwicklern nicht erwarten könne, dass sie dies von heute auf morgen einfach so "mitdenken" würden, funktioniere dies nur, wenn man die richtigen Personen in den DevOps-Prozess integriert.

Es zeigt sich: Auch an dieser Stelle ist die Umsetzung einer flächendeckenden Security-Strategie eine Frage der richtigen Verteilung von Ressourcen.

Produktivität und Sicherheit müssen sich nicht widersprechen

Viele Unternehmen sehen noch immer einen Widerspruch zwischen Produktivität und Sicherheit. Diese Fehleinschätzung gilt es laut den Diskussionsteilnehmern zu überwinden. Wenn entsprechende Security-Konzepte von Anfang an mitgedacht werden, in den Entwicklungsprozess einfließen und auch auf kultureller Ebene greifen, sind sichere und gleichzeitig effiziente Cloud-Lösungen realisierbar.

Informationen zu den Partnerpaketen für die Cloud-Security-Studie

Die Notwendigkeit eines umfassenden Bewusstseinswandels gilt umso mehr, weil die Entwicklung gerade erst begonnen hat: Die technologischen Möglichkeiten der Cloud lassen neue, datenbasierte Geschäftsmodelle entstehen. Das Internet of Things schafft eine Vielzahl an zusätzlichen Schnittstellen, die ihrerseits immer wieder völlig neue, smarte Sicherheitskonzepte erfordern. Am Ende dieser Entwicklung steht der Einsatz von künstlicher Intelligenz - sowohl in der Analyse, als auch in der Sicherung von Daten.