Services aus allen Bereichen der IT "sind durch das Cloud Computing besser vermarktbar geworden", stellt Claudia Eckert fest, die dem Fachbereich IT-Sicherheit an der Technischen Universität München vorsteht und das Fraunhofer Institut für Angewandte und Integrierte Sicherheit (AISEC) in Garching leitet. Es sei heute so einfach wie nie zuvor, solche Dienste anzubieten und zu nutzen. Ganz besonders gelte das für die IT-Sicherheit. Es ist deshalb wenig verwunderlich, dass im Rahmen der IT-Security-Messe it-sa in Nürnberg jede Menge "neue" Cloud-Services vorgestellt wurden. Anwender sollen ihre IT-Security damit wesentlich bequemer und kostengünstiger gewährleisten können, als es im "Prä-Cloud-Zeitalter" jemals möglich gewesen ist.
Dennoch ist Vorsicht angebracht - Sicherheitsanbieter übertreiben schließlich besonders gerne, wenn es um die Innovationskraft ihrer Produkte geht. "Das ist alter Wein in neuen Schläuchen, die Hersteller packen einfach nur das Cloud-Label oben drauf", winkt Stefan Strobel, Geschäftsführer der Beratungsfirma cirosec, ab. Vergleichbare Produkte gab es auch früher schon, da hießen sie nur wahlweise Managed Security Services (MSS) oder "Security as a Service" - je nach Grad der Administration durch den Dienstleister. Lediglich die Anbieterlandschaft habe sich durch zahlreiche Akquisitionen und Umstrukturierungen ein wenig gewandelt, beobachtet Strobel.
Eckert hält dagegen: Selbstverständlich könne es sein, dass bereits bestehende Angebote einen frischen "Cloud-Anstrich" erhalten hätten. "Gleichzeitig sind aber auch neue Dienste entstanden", stellt sie fest. Diese setzten auf bekannten Web-Service-Technologien auf und entwickelten diese weiter. Anwendern würden damit neue Möglichkeiten in der IT-Sicherheit eröffnet.
Wer kann es den Anbietern also übel nehmen, dass sie kräftig die PR-Trommel rühren und ihre Dienstleistungen mit dem auch in Anwenderkreisen begehrten Begriff "Cloud" aufwerten wollen? Zumal das Geschäft zunehmend lohnt: Den Marktforschern von Gartner zufolge werden Unternehmen weltweit in zwei Jahren insgesamt rund 50 Milliarden Dollar (38 Milliarden Euro) jährlich für Security-Services ausgeben - fast ein Drittel mehr als derzeit.
Fast alles gibt es als Service
Der Blick in die Praxis zeigt: In vielen Konzernen sind die Dienste schon lange im Einsatz - zumeist aber als Teil eines größeren IT-Outsourcing-Deals, der Security-Services einschließt, und nicht als gesonderte Baustelle. Beliebt sind die Dienstleistungen der Marke "rundum sorglos" vornehmlich im operativen Bereich - es betrifft Mail-/Spam-Filter, Intrusion-Prevention-Systeme, Proxy-Server, Web-Gateways, Authentifizierungsdienste oder den Betrieb von Virtual Private Networks. Es sei "ein etabliertes Geschäft, das alle wichtigen Player anbieten", berichtet Dror-John Röcher, Lead Consultant Secure Information bei Computacenter.
Mit der zunehmenden Verbreitung von Cloud-Infrastrukturen wandeln sich nun die Anforderungen. Je mehr Daten ein Unternehmen nicht mehr inhouse vorrätig hält, sondern auf virtuellen Maschinen oder in einer Private/Public Cloud speichert, desto wichtiger wird es, diese Informationen auch direkt dort zu schützen. Zudem tragen mobile Geräte dazu bei, dass IT-Landschaften heute per se so verteilt und unsicher sind wie noch nie und neue, zentralisierte Lösungen erfordern. Gleichzeitig steigt der Datenverkehr, der überwacht und gesichert werden muss. Eckert räumt den Bereichen Identitätsverwaltung/Authentifizierung und sichere (Web-)Collaboration deshalb die aktuell größten Entwicklungschancen im Security-Service-Bereich ein.
Unbestrittene Vorteile
Ein wachsendes Angebot gibt es besonders bei den Authentifizierungslösungen "aus der Cloud". Ihre Funktion besteht meist darin, die Vielzahl von Login-Prozessen und mobilen Geräten per Single-Sign-on zusammenzuführen. Ein Anwender authentisiert sich dabei einmalig bei einem zentralen Service, dieser wiederum fragt damit einen Datenbankserver ab, der den Nutzer dann bei übereinstimmenden Informationen authentifiziert. Diese Berechtigung gilt dann für alle Dienste, auf die von einem bestimmten Client aus zugegriffen wird. Das ist technisch gesehen ein alter Hut, findet aber erst jetzt seinen Weg zu den Anwendern, weshalb der Eindruck einer gänzlich neuen Technologie entstehen kann. Das Bedürfnis nach einer solchen Lösung war bislang nur dürftig vorhanden, wächst nun aber umso stärker, weil das Feature "Cloud" den Einsatz erleichtert. Anwender können von überall und von jedem Gerät auf diese Lösungen zugreifen, weil sie nicht mehr innerhalb des Unternehmensnetzes vorgehalten werden, sondern bei einem Dienstleister.
Das Business nähert sich der IT-Security an
Skalierbarkeit und Überall-Verfügbarkeit gelten als wichtigste Vorteile von Cloud-Services. Zudem sind die Prozesse der Dienstleister oft besser getrimmt als es die der Anwender jemals sein könnten. Das hat Auswirkungen auf die Art der Nachfrage nach Security-Services: Es ist zu beobachten, dass sich diese von den bekannten Tools hin zu strategischen Analysewerkzeugen für den Bereich Risiko-Management verschiebt. Das hänge damit zusammen, dass IT-Sicherheit zunehmend "kein rein technisches Thema mehr ist, sondern von den Anforderungen des Business getrieben wird", erklärt Ralf Nitzgen, Geschäftsführer von Allgeier IT Solutions. Computacenter-Experte Röcher ergänzt: "Mittlerweile werden auch höherwertige Security Services eingekauft." Ein gutes Beispiel sind die Security Operation Center (SOC), deren Dienste häufig für einen bestimmten Zeitraum in Anspruch genommen werden, um ein Sicherheits-Lagebild zu erstellen und später damit eine strategische Risikoeinschätzung abgeben zu können. Diese Analysen führen dann wiederum auch zur Bedarfsermittlung an technischen Tools.
Auch in diesem Bereich zeigen sich große Unternehmen aufgeschlossener als Mittelständler. Bei den KMUs ist die Verbreitung von Security-Diensten trotz aller Herstellerversprechen und jahrelang bekannten Technologien noch durchwachsen. "Es hat viel mit der Firmenphilosophie zu tun", erklärt Röcher. Größere Organisationen seien eher bereit, ihre Security herauszugeben. Mittelständler vertrauten lieber ihren eigenen Lösungen. Entscheidend sei für sie darüber hinaus, keine halbe Sachen zu machen: "Hybride Modelle sind die teuersten." Wer den Teil einer Sicherheitslösung als Cloud-Service bezieht, einen Teile aber weiterhin intern entwickle, zahle auch doppelt, so der Computacenter-Vertreter.
Nur bedingt preisgünstiger
Die vermeintlich niedrigeren Kosten, mit denen die Hersteller ihre Services bewerben, ziehen sowieso nur bedingt als Argument. Einerseits wird die Einbindung von IT-Sicherheit in die Infrastruktur einfacher, was den Anwendern einiges an Implementierungsaufwand einspart. Andererseits ist die Auswahl der passenden Lösung schwieriger geworden. "Der Grundsatz lautet immer: Qualität kostet", warnt Strobel. Dieses Prinzip ist im heutigen Cloud-Geschäft aber kaum zu verfolgen, weil unter Anbietern ein heftiger Preiskampf ausgetragen wird. Das verhindert häufig, dass die Provider von sich aus Sicherheitsprodukte und -services in ihre Plattformen einbauen. Der cirosec-Geschäftsführer appelliert an die Anwender, sich deshalb nicht von vermeintlich abgesicherten, dennoch preisgünstigen Cloud-Angeboten blenden zu lassen. Selbst Prüfsiegel gäben keinen Aufschluss über die Sicherheit, da die Prüfkataloge selten eingesehen würden und wenn, dann nur wenig über die Praxistauglichkeit des Produktes aussagten.
Cloud oder nicht Cloud?
Aufpassen müssen Anwender auch bei der Bezeichnung "Cloud-Service". Nicht alles, was als Sicherheit aus der Wolke verkauft wird, hat diesen Terminus auch verdient. Strobel weist auf die Cloud-Definition des National Institute of Standards and Technology (NIST) hin, nach der viele neue Lösungen mit Cloud nichts zu tun hätten. Lagert ein Unternehmen Teile seines IT-Security-Betriebs an einen Dienstleister aus oder bezieht es Leistungen "as a Service", sind weiterhin interne oder externe Ressourcen gefragt, diese Services zu steuern. Ein Cloud-Dienst zeichnet sich jedoch dadurch aus, dass ein IT-System diese Aufgaben automatisiert löst, ohne dass ein Mensch noch "Hand anlegen" muss. Deshalb lässt sich feststellen, dass sich die technische Basis vieler so genannter "Cloud-Security-Services" zwar in der Wolke befindet, der Betrieb aber weiterhin über klassisches Hosting mit oder ohne Dienstleister umgesetzt wird.
Was sich derzeit als vermeintliche Innovation darstellt, entpuppt sich deshalb oft noch als heiße Luft. Somit ist besonders für unerfahrene und kleinere Anwender im Umfeld der Cloud-Security-Services erhöhte Vorsicht geboten. Vermehrt kommen beispielsweise "Web-Gateways aus der Cloud" auf, die den aus- und eingehenden Datenverkehr prüfen und reinigen ('Clean Pipe'). Sie setzen so die Unternehmens-Policies um, die festlegen, welche Art von Mails, Websites und Social-Media-Angeboten ein Unternehmensnetz erreichen oder verlassen dürfen. Wo Anwender solche Gateways früher vielleicht selbst in ihrem Rechenzentrum betrieben, befinden sich diese nun zwar auf dem Server eines Dienstleisters und damit "in der Cloud", müssen aber nach wie vor meist mit internen Ressourcen betreut werden. Die Policies sind schließlich nicht "mit der Gießkanne" auf alle Kunden eines Dienstleisters übertragbar, sondern variieren. Das Cloud-Etikett ist hier fehl am Platz.
Gut zu Gesicht steht die Bezeichnung "Cloud-Service" hingegen so genannten DDoS Mitigation Services, die ausschließlich in der Cloud betrieben werden können. Diese filtern den Webtraffic vor und leiten ihn bei Bedarf um ein Unternehmensnetz herum, um einer übermäßigen Auslastung der Datenleitungen entgegen zu wirken. Breitbandattacken lassen sich so stark eindämmen oder sogar ganz verhindern. Als "einziges Szenario, das den Namen Cloud Security Service aktuell auch verdient" bezeichnet Strobel diese Dienste.
Was nicht geht
Auch wenn heute fast überall "Cloud" draufsteht, ist also nicht überall auch Cloud drin. Unbestritten ist beispielsweise, dass es Security-Bereiche gibt, die sich zumindest mittelfristig nicht als Cloud-Dienst werden beziehen lassen - ganz gleich, was die Anbieter versprechen. Nitzgen nennt beispielsweise DLP-Produkte (Data Leakage Prevention), weil diese direkt an der Schnittstelle zu geschäftskritischen Daten eingesetzt würden. Schon aus datenschutzrechtlichen Gesichtspunkten sei ein ausgelagerter Dienst, der diese Daten verarbeitet, nicht möglich. Röcher führt andere geschäftsnahe Prozesse wie Risiko-Management, Security Governance und Compliance-Management ins Feld. Diese ließen sich nicht auslagern, weil auch sie sich zu stark am "Herz des Unternehmens" ausrichteten und nur über interne Arbeitsabläufe abgebildet werden könnten. Bestimmte Branchen seien zudem per se nicht dafür vorgesehen, IT-Security auch nur teilweise als Service zu beziehen - dazu gehören nach der Meinung von Röcher unter anderem Rüstungskonzerne und Geheimdienste.
Fazit
Cloud-Dienste sind die Weiterentwicklung bekannter Web-Service-Technologien und bieten auch im Security-Umfeld neue Möglichkeiten. Relevant werden sie, weil es vermehrt um die Absicherung dezentraler IT-Landschaften und verteilter Datenmengen geht. Besonders durch den Trend zu mobilen Geräten im Unternehmensumfeld ist eine neue Herangehensweise an die IT-Sicherheit notwendig geworden. Einige neue Dienste sind bereits entstanden, der Meinung der Experten nach werden noch viele folgen. Das überbordende Angebot macht die Auswahl für den Anwender jedoch schwieriger. Zudem muss er genau aufpassen, wofür er bezahlt. Hat er seine Wahl erst einmal getroffen und kann sicher sein, dass seine Sicherheitsanforderungen erfüllt sind, ist es ihm letztlich egal, ob der Security-Service nun ein "richtiger" Cloud-Dienst ist oder nicht.
Die gängigsten Security-Services
Nicht jede Security-Lösung ergibt als Service einen Sinn. Anwender sollten sich ihren Bedarf genau anschauen, bevor sie den Verlockungen der Hersteller erliegen. Werden Cloud-Services bezogen, ist die Verschlüsselung aller ausgetauschten (Meta-)Daten und auch der Übertragungswege unbedingt zu empfehlen. Es ist besonders darauf zu achten, dass die Schlüssel zu jeder Zeit beim Anwender verbleiben und getrennt von den an den Cloud-Provider weitergegebenen Informationen gespeichert sind. Wir führen im Folgenden die Bereiche auf, in denen es aktuell die meisten (Cloud-)Security-Service-Angebote gibt.
-
Authentifizierung / Single-Sign-on: Um mit möglichst nur einem Login Zugriff auf verschiedene Dienste erhalten zu können, meldet sich der Client bei einem zentralen Service an (Authentisierung). Dieser prüft die Login-Daten und schaltet den Zugang bei entsprechender Berechtigung frei (Authentifizierung). Die Anmeldung gilt solange, wie der Anwender vom gleichen Client respektive der gleichen Sitzung aus arbeitet. Ist besonders für verteilte Netze mit vielen Mobilgeräten empfehlenswert.
-
Web-Gateway / Web-Proxy: Datenverkehr ins und aus dem Internet wird über ein Gateway umgeleitet. Hier wird er anhand von Black-/Whitelisting und/oder Paketinspektion analysiert, bevor er den Nutzer bzw. den Zielserver erreicht. So lassen sich beispielsweise bestimmte Webangebote/Social Networks für bestimmte Nutzerkreise sperren. Aber auch das Eindringen von Schadcode in das Unternehmensnetz wird so verhindert.
-
Mail-Filter / Spam-Filter: Gleiche Funktionsweise wie beim Web-Gateway, nur für E-Mails.
-
DDoS Mitigation: Eingehender Datenverkehr wird durch Hochleistungs-Netze umgeleitet (wichtigster Unterschied zum Web-Gateway) und gefiltert, damit nur "sauberer" Traffic sein Ziel erreicht. Breitbandattacken / DDoS-Angriffe lassen sich so verhindern. Empfehlenswert für solche Unternehmen, deren Geschäftsmodell maßgeblich auf der Verfügbarkeit von Web-Services beruht. Ist aber auch nicht ganz billig.
-
Anti-Virus: Der signatur- und verhaltensbasierte Scan von Dateien auf einzelnen Clients findet außerhalb des stationären Unternehmensnetzes statt. Vorteil: Die Signaturdatenbanken sind immer auf dem neuesten Stand. Nachteil: Hilft nur Unternehmen, die ihre komplette Desktop-Umgebung virtualisiert und/oder in der Cloud betreiben, weiter. Ergibt sonst nur im E-Mail-Umfeld Sinn.
-
Intrusion Detection / Intrusion Prevention: Funktionieren ähnlich wie Anti-Virus, aber client-übergreifend. Die Traffic-Analyse erfolgt vor Eintritt in das Unternehmensnetz. Detection-Systeme überwachen den Datenverkehr passiv und melden Annomalien. Prevention-Systeme filtern aktiv. Beides wird häufig zusammen und als Ergänzung von (Web-Application-)Firewall-Lösungen angeboten. Nachteil: Lässt sich durch DDoS-Attacken aushebeln.
-
Network Access Control / Network Admission Control: Unterstützt die genannten Analysewerkzeuge. Neue Endgeräte im Unternehmensnetz werden auf Patch-Level und Nutzerberechtigungen geprüft und gegebenenfalls auf den Stand gebracht. Erst danach dürfen sie auf das Netz zugreifen. Ist als Service nur in virtualisierten Umgebungen zu empfehlen.
-
Virtual Private Network: Über eine Netzwerkschnittstelle werden verschiedene Netze miteinander verknüpft, ohne dass diese zueinander kompatibel sein müssen. Ein externer Client bekommt beispielsweise direkten Zugriff auf das interne Netz eines Unternehmens oder nur auf Teile dieses Netzes (SSL-VPN). Auch Web-Anwendungen, die nur einem bestimmten Nutzerkreis zur Verfügung stehen sollen, lassen sich darüber absichern.
-
Daten-Monitoring / -Analyse: Diese recht neuen Services überwachen große Mengen (unstrukturierter) Daten und bewerten sie ihrer Kritikalität nach. Spielt besonders im Risiko-Management eine Rolle.
-
Backup: Datensicherung im Rechenzentrum eines Dienstleisters. Ist aus datenschutzrechtlichen Gründen meist nur für unkritische Informationen realisierbar.