Experten diskutieren "Security as a Service"

Die Cloud macht Security planbar

12.04.2023 von Florian  Stocker
Cloud-Infrastrukturen ermöglichen den lange fälligen Security-Paradigmenwechsel: Weg von der Schadensbegrenzung, hin zu präventiven Ansätzen wie XDR.
Security-Planungen? Die Cloud macht's möglich.
Foto: Pixels Hunter - shutterstock.com

Stellen Sie sich folgendes Szenario vor: Sie wohnen in einem Haus, das Sie nach allen Regeln der Kunst abgesichert haben. Kameras erfassen die Bewegungen in jedem Winkel, Alarmanlagen geben sofort Meldung, wenn sie etwas entdecken. Sie haben für ein komplexes, hochsicheres Setup gesorgt - bis auf ein kleines Detail: Ihre Haustür steht offen.

Was im echten Leben paradox klingt, gehört in der Unternehmens-IT zum Alltag. Das bestätigen Experten wie Fabian Böhm vom Düsseldorfer IT-Berater Teal im Rahmen einer COMPUTERWOCHE-Diskussionsrunde zum Thema "Security as a Service": "Ein ganzheitliches Sicherheitskonzept besteht aus vier Dimensionen: Identify, Protect, Respond und Recover. Vor allem in der Protect-Dimension wird heute am wenigsten investiert, weil es auch nicht so viele Tools gibt."

Aus Böhms Sicht ist die Haustür - um beim Vergleich zu bleiben - aus dem Fokus gerückt. Das kann vor allem daran liegen, dass das "Haus" auch nicht mehr so leicht zu bestimmen ist. In On-Premises-Umgebungen war das immer das Firmennetzwerk, klar abgegrenzt nach außen und geschützt durch eine Firewall. In der Cloud ist diese Grenze nicht mehr gegeben. "Innen" und "Außen" sind potenziell überall - und aus diesem Grund auch schwerer zu schützen.

Wo SIEM hinter den Erwartungen zurückbleibt

Security wandelt sich in der Cloud, wie in vielen anderen Bereichen, von einer Programmierungs- zu einer Orchestrierungsaufgabe. In der jüngeren Vergangenheit setzten Unternehmen vor allem auf Security-Information-And-Event-Management-Systeme (SIEM). Im Mittelpunkt von SIEM steht die Zusammenführung und Analyse aller sicherheitsrelevanten Informationen aus verschiedenen Datenquellen. Dadurch sollen Risiken früh erkannt und möglichst eliminiert werden - so das Versprechen. Die Praxis zeigte aber, dass die aufwendige Einführung in vielen Unternehmen bisher noch nicht den großen Durchbruch brachte, wie Marc Schiener von Trend Micro feststellt: "Vor allem im Bereich der Korrelation von gesammelter Telemetrie bleibt SIEM bisher unter den Erwartungen zurück."

Schiener und die anderen Teilnehmer der Diskussion sehen den Trend mittlerweile mehr in der Ergänzung beziehungsweise Weiterentwicklung von SIEM zu Managed- oder auch Extended Detection and Response (MDR und XDR). "XDR hat eine klare Abgrenzung in der automatisierten und standardisierten Verarbeitung im Vergleich zu SIEM", so Schiener.

Expertenstimmen "Security as a Service" (3)
Oliver Frommherz, BWI
"Cloud-Strategie und Sicherheitsstrategie müssen kulturell im Unternehmen verankert werden. Und das gelingt nur, wenn beides auf die Gesamtstrategie aufbaut. Cloud First ist sicher zu empfehlen. Ich bin aber immer dafür, die ausgewogene Balance zwischen Risikoakzeptanz und Sicherheitsbedürfnis zu wahren.<br /><br />Die Industrie kann in puncto Personalbeschaffung flexibler als der Bund bei der Steigerung der eigenen Attraktivität und Wettbewerbsfähigkeit agieren."
Martin Mangold, Drivelock
"Auf kommunaler Ebene herrscht deutlich mehr Pragmatik als auf Landes- oder Bundesebene. Allein durch fehlende personelle Ressourcen sind die Verwaltungen gezwungen, cloudbasierte Anwendungen zu nutzen – und machen gute Erfahrungen damit.<br /><br /> Es gibt Branchen wie den Finanzsektor, die sehr homogen und standardisiert sind. Im Gesundheitswesen ist das komplett anders: Hier finden Sie in jedem Krankenhaus eine andere IT, viel Schatten-IT und veraltete Software. Es ist kein Zufall, dass so viele Krankenhäuser Opfer von Ransomware-Attacken werden."
Marc-André Dumont, Ergon Informatik
"Der Vorteil von Cloud Security liegt allein schon in der Umsetzungsgeschwindigkeit, aber auch die Einfachheit von SaaS-Lösungen ist ein wichtiges Argument. Durch die neuen Möglichkeiten gegenüber On-Prem wecke ich aber auch neue Erwartungen.<br /><br /> Auch in hybriden Szenarien sollte die Konfiguration für den lokalen Server aus dem Cloud Service abgeleitet werden. Dadurch sind beide Sphären aufeinander abgestimmt und es entstehen weniger Fehler und damit weniger Angriffsmöglichkeiten.<br /><br /> Der Fokus der Security verlagert sich mehr auf die Identity. Aktuell – um bei der Hausmetapher zu bleiben – laufen einfach zu viele Personen mit zu vielen Schlüsseln durch die Gegend. Eine zentrale Verwaltung von Identities in der Cloud verschafft Übersicht, die in verteilter Verwaltung über lokale Legacy-Applikationen schwierig zu verwalten ist.<br /><br /> Der CISO hat vor allem eine unterstützende Funktion, das Heft liegt aber in der Hand der Fachabteilungen. Aus diesem Grund nimmt die Bedeutung von UX auch in der Security immer mehr zu.
Helge Schroda, Microsoft
"Ein CISO ist heute vor allem KommunikatorIn. Angefangen bei Infrastrukturen, über Applikationen, bis hin zu Geräten und Anwendern, können wir Security nur im Team denken – Wettbewerber eingeschlossen.<br /><br /> Die KI-Debatte bietet auch Chancen auf eine Normalisierung des Security-Themas, das teilweise unnötig verkompliziert wird. Je mehr Security automatisiert passiert, desto eher hat das Management auch die Chance, sich auf das Wesentliche zu konzentrieren."
Frank Strecker, Skaylink
"Ein Hauptrisiko liegt in der Komplexität der Infrastruktur mit unzähligen Datenpunkten, die alle von einem Angriff betroffen sein können. Darauf müssen wir mit ganzheitlichen Strategien reagieren. <br /><br /> Die Diskussion wird meistens technisch geführt, Security ist aber ein Business-Thema. Nach einem Incident geht es immer um die Wiederherstellung der Geschäftsfähigkeit und wenn ein Unternehmen um das Überleben kämpft, dann hat es keinen großen Verhandlungsspielraum mehr. Darum: Vorher die richtigen Schritte ergreifen und die Security-Sprache in Business-Sprache übersetzen."
Michael Veit, Sophos
"Etwa 40 Prozent der Unternehmen hatten allein im vergangenen Jahr einen Ransomware-Angriff. Danach benötigt man im Schnitt 30 Tage, um wenigstens die IT-Basisdienste wieder zum Laufen zu kriegen. Zwei bis drei Tage schaffen die Unternehmen vielleicht noch ohne IT, aber danach ist Schluss.<br /><br /> Wenn jemand sagt “ich darf nicht in die Cloud”, dann meint er eigentlich “ich will nicht in die Cloud” – bei den Kosten und der Skalierbarkeit liegen die Vorteile eigentlich auf der Hand. <br /><br /> Ein Teil der Analysten, die bei der Analyse großer Datenmengen die Spreu vom Weizen trennt, kann zukünftig von KI ersetzt werden. Das bedeutet aber lediglich, dass weniger Spezialisten eine größere Anzahl von Unternehmen bedienen können – der Mensch wird aber auch in einer KI-Welt nie verschwinden."
Fabian Böhm, Teal Technology
"Wenn die IT-Forensiker – zum Beispiel nach einer Ransomware-Attacke – weg sind, geht es darum, für die Zukunft vorzubeugen und die Angriffsfläche systematisch zu verkleinern.<br /><br /> Die Frage nach dem Budget ist eine Frage nach dem Zeitpunkt. Denn insbesondere nach einem Vorfall muss alles möglichst schnell wieder funktionieren und Geld spielt keine Rolle mehr. Es ist immer ratsam, schon im Vorfeld angemessene Ressourcen und Budgets für Cybersecurity einzuplanen, um das Risiko von Cyberattacken zu minimieren und im Falle eines Vorfalls schneller reagieren zu können.<br /><br /> Es geht darum, gute Industriestandards zu erfüllen, ohne in Panik zu geraten oder unüberlegte Aktionen zu unternehmen. Wenn diese Standards eingehalten werden, sind auch Führungskräfte in rechtlichen Belangen geschützt."
Marc Schiener, Trend Micro
"Aktuell verstärkt sich der Trend in die Richtung, Detection-and-Response-Funktionalitäten wegen des Fachkräftemangels outzusourcen, um überhaupt noch eine Versicherbarkeit zu ermöglichen und Compliance-Anforderungen zu erfüllen.<br /><br /> Das kommunale Selbstbestimmungsrecht sorgt für eine gewisse Freiheit. Es kommt daher oft vor, dass Stadtwerke besser ausgestattet sind als Bundesbehörden. Der Zugriff auf moderne Cloud-Plattformen ist aufgrund geringerer Regulatorik einfacher.<br /><br /> Die Unternehmensgröße ist eigentlich kein herausragender Faktor, ein viel wichtigerer Treiber ist die Regulatorik.<br /><br /> Folgende Fragen sind die Entscheidungsträger beim Outsourcing: Was kann ich herausgeben? Bekomme ich überhaupt das Personal? Ist es am Ende für mich günstiger?"

Outsourcing statt Aufrüstung

Da der Umfang, die Vielfalt und die Raffinesse von Cyberbedrohungen immer weiter zunehmen, haben Unternehmen Schwierigkeiten, Security-Ressourcen (personell und technologisch) aufrecht zu erhalten. MDR-Anbieter schließen diese Lücke mit einem Set an Dienstleistungen. Den Kern von MDR-Services bilden spezialisierte Analysten, die immer die modernsten Sicherheitstools und aktualisierte globale Datenbanken nutzen, die normalerweise für das Unternehmen nicht wirtschaftlich (oder durch den Fachkräftemangel unmöglich) zu nutzen wären.

Helge Schroda von Microsoft betont, dass die Cloud-Migration ein Haupt-Enabler dafür ist, Managed Services auch in der Security zu nutzen. "MSSP, das sind vor allem MDR- und SIEM-Provider. Diese Anbieter haben heute aber meistens nicht die Möglichkeit, Incidents bis in die letzte Ecke zu verfolgen. Dafür wird oft Organisationswissen und Know-how beispielsweise der Application-Owner gebraucht. Wenn ich in die Cloud migriere, schaffe ich mehr Anknüpfungspunkte für diese MSSP."

Die Cloud ist dabei auch nicht nur die Voraussetzung für Managed Services - die Nutzung von MSSP ist umgekehrt aus Sicht des Microsoft-Experten auch die logische Konsequenz aus der Cloud, vor allem in Multi-Cloud-Szenarien: "Wenn ich mehrere Cloud-Lösungen nutze, dann gehört auch das Security-Management dieser Lösungen in die Cloud. Nach Möglichkeit sollten diese verschiedenen Security-Produkte in einer Security-Plattform konsolidiert werden. Die Verbindung und Analyse aller anfallenden Logfiles ist sonst nicht zu schaffen. Bei Microsoft fallen etwa 60 Billionen Signale pro Tag an, das ist ohne leistungsfähige Cloud-Plattformen unmöglich zu verarbeiten."

Studie "Security as a Service 2023": Sie können sich noch beteiligen!

Zum Thema Security as a Service führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Verantwortlichen durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Regina Hermann (rhermann@idg.de, Telefon: 089 36086 161) und Manuela Rädler (mraedler@idg.de, Telefon: 089 36086 271) gerne weiter. Informationen zur Studie finden Sie auch hier zum Download (PDF).

Mit Managed Services gegen den Fachkräftemangel

Security ist also auch ein Cloud-Thema und sollte als solches behandelt werden. Das bedeutet zuallererst, auch einen konstruktiven Blickwinkel darauf zu entwickeln, statt nur an den Super-GAU "Cyberattacke" zu denken und danach zu handeln. Aus Sicht der Experten ist es nämlich nach wie vor so, dass es erst eines konkreten Vorfalls bedarf, um die Security in der Prioritätenliste nach oben rücken zu lassen. Durch solche Übersprungshandlungen entstehen Ineffizienzen, Tool-Flickenteppiche und vor allem höhere Kosten im Vergleich zu einem koordinierten Vorgehen. Wenn die IT erstmal lahm liegt, ist kein Budget der Welt zu hoch.

Dass der Incident oft die Strategie vorgibt, kann auch Frank Strecker von Skaylink aus eigener Erfahrung bestätigen: "Wir haben viele Kunden, die ihr Geschäftsmodell digitalisiert haben, ohne an die Security zu denken. Jetzt ziehen sie impulsartig nach ohne eine architektonische Vorgehensweise - mit dem Ergebnis einer vergrößerten Angriffsfläche." Für ihn liegt die Ursache für diese stiefmütterliche Sicht auf Security auch im Image gegenüber anderen Fokusthemen: "Cloud verkauft Digitalisierung, Security verkauft Angst. Diese tradierte Denke müssen wir überwinden. Beides ist gleich wichtig und Security verdient eine positivere Konnotierung".

Positiv festzustellen ist, dass dieser "Mindset Shift" aber vielerorts schon einsetzt. Aufgrund des Fachkräftemangels ist das Outsourcing von Security oft alternativlos. Und wenn der durchaus große Schritt dann gegangen wurde, fällt das Hinzufügen weiterer Services wie Extended Detection and Response (XDR) auch leichter.

XDR meint den bisher holistischsten Security-Ansatz, der den Schutz von Endpunkten, Servern, Cloudanwendungen und E-Mails einschließt. Er kombiniert so alle eingangs erwähnten Dimensionen: Identify, Protect, Respond und Recover, zum Beispiel durch Analysen, korrelierte Vorfallswarnungen und automatische Reaktionen. XDR-Lösungen sind allerdings oft so komplex, dass sie vor allem von Service Providern genutzt werden: "Für XDR brauche ich hochspezialisiertes Personal, vor allem in kleineren Unternehmen ist das nicht zu bekommen", stellt Michael Veit von Sophos klar. "Das Outsourcing des 24/7-Betriebs zur Bedrohungserkennung und -reaktion ist daher die logische Konsequenz."

Entscheidungen treffen statt aufschieben

Insgesamt bleibt festzuhalten, dass die "Servicierung" der IT-Security in den kommenden Jahren in der Cloud noch zunehmen wird und diese dadurch den Stellenwert bekommt, den sie eigentlich schon seit Jahren haben sollte. Besonders wichtig ist hierbei aber, dass Unternehmen bereit sind, die volle Distanz zu gehen. Während in anderen Bereichen das "Einfach mal machen" zum Konzept gehört, ist die Entscheidung für SIEM- oder MDR immer eine weitreichende. Das mag erklären, warum die Hemmschwelle für Entscheider entsprechend höher ist.

Dass das Thema aber eine gesamtunternehmerische Aufgabe darstellt, unterstreicht Oliver Frommherz von BWI, dem IT-Systemhaus der Bundeswehr: "Cloud-Strategie und Sicherheitsstrategie müssen kulturell im Unternehmen verankert werden. Und das gelingt nur, wenn beides auf die Gesamtstrategie aufbaut."

Was wiederum auch fast zwangsläufig zur Finanzierungsfrage führt. Hier gilt das, was Martin Mangold von Drivelock abschließend feststellt: "Die Budgets sind flächendeckend gewachsen in den vergangenen Jahren. Was allerdings geblieben ist, ist eine gewisse Scheu vor Entscheidungen, vor allem im Topmanagement, weil Security keinen direkten Beitrag zur Wertschöpfung liefert."

Services Provider sollten daher den Fokus auf die Überzeugungsarbeit legen, indem sie ihre Security-Konzepte in Business-Sprache übersetzen. Langfristig wird die Popularität von SaaS-Lösungen aber dafür sorgen, dass Managed-Ansätze auch in der Security zum Standard werden. Dadurch schwindet auch die aktuell noch vorhandene Kleinteiligkeit und der Wunsch, jedes technische Detail selbst bestimmen zu wollen - einfach weil die Komplexität zu groß wird.

"Entscheidend ist, wie viel Infrastruktur am Ende in die Cloud wandert", schließt Mangold. "Viele Security-Themen, über die wir heute reden, sind dann nämlich gar nicht mehr relevant. Meine Idealvorstellung ist eine cloudifizierte Zukunft, in der Security zur Commodity geworden ist".