Deutsche Unternehmen hinken hinterher

So wollen Security-Experten Firmen die Scheu vor der Cloud nehmen

22.01.2019 von Iris Lindner

Konservativ und vorsichtig im Handeln, im Denken ein Ingenieur – jahrzehntelang haben sich deutsche Unternehmen damit weltweit ihren guten Ruf für ausgezeichnete Qualität erworben. Bei der Migration in die Cloud bremst diese Tugend jedoch besonders Mittelständler ein. Auf Einladung der COMPUTERWOCHE sprachen Security-Experten über Bedenken und Unklarheiten und wie sich diese beseitigen lassen.

Virtuelle Sicherheit in der Cloud? Vielen Unternehmen fehlt hier noch das Vertrauen.
Foto: bestfoto77 - shutterstock.com

Im Vergleich zu anderen Ländern agiert Deutschland bei der Nutzung der Cloud relativ konservativ. Diese Erfahrung nahm Anja Hinnemann zum Anlass, gemeinsam mit den anderen Diskussionsteilnehmern zum Thema Cloud Security der Zurückhaltung auf den Grund zu gehen. Die Leiterin des Bereichs Cybersecurity DACH bei Capgemini macht dieses Verhalten dabei nicht allein am Security-Aspekt fest: "Die Haltung in den deutschen Unternehmen ist generell sehr klassisch, konservativ und vorsichtig. Dadurch vergibt sich das eine oder andere Unternehmen auch Chancen." Blickt man vergleichsweise zum Beispiel nach England, wo Cloud-Anbieter schon sehr früh Umsätze erwirtschaften konnten, hinkt Deutschland ein bis zwei Jahre hinterher. Warum sind hierzulande die Vorbehalte so groß? "Liegt es daran, dass Consulting-Unternehmen, Experten und Spezialisten es nicht schaffen, das Thema im Markt so zu platzieren, dass das Gefühl der Sicherheit bei den Unternehmen auch ankommt?", will Hinnemann von der Runde wissen.

Tatsache ist: Die Sicherheit in der Cloud ist virtuell und somit nicht greifbar. Auch ist sie schwer vermittelbar. Die Unternehmen müssen den Anbietern glauben und vertrauen, während sie die Sicherheit der eigenen Umgebung abschätzen können. Obwohl das Kosten-Nutzen-Verhältnis oftmals für die Cloud sprechen würde, werden viele Entscheidungen der IT nicht vom Business heraus getroffen. "Viele Entscheider wollen die Angelegenheit trotzdem gern in eigener Hand wissen, um vermeintlich Herr der Sache zu bleiben", sagt Eckhard Schaumann, Country Manager Germany bei RSA, und führt damit ein beliebtes Argument gegen die Cloud an. In der Cloud muss man einen Teil der Verantwortung in andere Hände geben und sich gewissen Normen unterwerfen. Dies widerstrebt dem deutschen Ingenieursdenken, denn die Möglichkeit, selbst daran herumzuschrauben, wird einem dadurch genommen. Daher rührt auch die Angst vor der Haftung und der Gesetzgebung. Doch nicht alle haben Hemmungen: Je größer die Unternehmen, desto Cloud-freundlicher sind sie.

Informationen zu den Partnerpaketen für die Cloud-Security-Studie

Die Großen sind vornedran

Stimmen zum Round-Table Cloud Security

Anja Hinnemann, Capgemini Outsourcing Services GmbH
„Absolute Sicherheit gibt es nicht, denn jedes Unternehmen hat eine Schatten-IT – schon aus dem Grund, weil jedes Unternehmen E-Mails nutzt. Viele schicken sich Informationen auf die private E-Mail-Adresse weiter. Natürlich ist das nicht erlaubt, aber es wird trotzdem gemacht. Eine große Rol-le spielt daher die Awareness. Ich bin überzeugt, dass viele Unternehmen da noch viel zu wenig tun.“ Anja Hinnemann, Head of Cybersecurity DACH bei Capgemini Outsourcing Services GmbH.

Eckhard Schaumann, RSA
„Es ist nicht einfach, eine User Experience so zu machen, dass die Leute nicht verzweifeln, wenn sie bei jedem Cloud-Anbieter eine andere Authentifizierung oder eine andere Zugriffsmöglichkeit haben. Hier muss man lokal selbst entscheiden, wie man die Zugriffe in die Cloud sicher macht, zum Beispiel durch eine vorgeschaltete einheitliche Authentifizierung. Genau hier lauert die Gefahr und nicht darin, dass Daten in der Cloud geklaut werden.“ Eckhard Schaumann, Country Manager Germany bei RSA.

Ibrahim Köse, Spike Reply GmbH
„Ich kenne keine Firma, die entweder komplett im Rechenzentrum arbeitet oder komplett in der Cloud. Es werden beide Lösungen verwendet, und die Daten wandern zwischen diesen Welten. Daher sollte die Konzentration auf die Datensicherheit gelegt, die Schwerpunkte sollten dafür aber verschoben werden. Denn obwohl dieselbe Technologie dahintersteckt, macht es einen Unter-schied, ob man auf Daten im Rechenzentrum zugreift oder auf Daten aus der Cloud.“ Ibrahim Köse, Senior Manager Cloud Security bei der Spike Reply GmbH.

Konstantin Agouros, matrix technology AG
„Wenn Sie bei AWS in die Rechte-/Rollenstruktur reinschauen, was Sie wie an Rechten vergeben können – das ist supergranular. Sie können alles super genau absichern, aber das System zu be-dienen ist so komplex, dass ich in meiner Seele nachvollziehen kann, dass ein Admin, der zwei Stunden gegen dieses Rechte-/Rollenkonzept gekämpft hat, sagt: Komm, Sternchen.“ Konstantin Agouros, Head of IT-Consulting Open Source & AWS bei der Matrix AG.

Kurt Knochner, Fortinet GmbH
„Es ist für Unternehmen nicht inhärent erkennbar, dass die Cloud sicher ist. Die deutschen Mittel-ständler hosten lieber im Data Center, weil sie dadurch das gute Gefühl haben, sie könnten hinfah-ren, sich das anschauen und die Festplatte anfassen – wohl wissend, dass sie das nie tun werden. Der psychologische Aspekt – man kann die Daten real erreichen – spielt eine wesentliche Rolle bei der Cloud-Migration. Die Aufgabe der Beratungsunternehmen ist es, den Kunden diese diffusen Bedenken zu nehmen und die Vorteile der Cloud für die Unternehmen zu verdeutlichen.“ Kurt Knochner, Cyber Security Experte bei der Fortinet GmbH.

Martin Mangold, DriveLock SE
„Viele Lösungsanbieter können den Mehrwert einer cloud-basierten Lösung noch nicht optimal er-klären. Wenn es um Security aus der Cloud geht, liegt der Mehrwert insofern auf der Hand, als sich hier Experten unternehmensübergreifend um die Sicherheit ihrer Daten kümmern – insbesondere auch mithilfe von AI/KI.“ Martin Mangold, Director Cloud Business bei DriveLock SE.

Ramon Mörl, it Watch GmbH
„Ich bin in circa 40 Verbänden und Arbeitskreisen aktiv und habe dort versucht, folgende These in den Raum zu stellen: Lasst uns als IT-Anbieter, Berater und Rechtsanwälte kollektiv eine Lösung als Referenz entwickeln, die alle Regularien nachweisbar erfüllt. Ich habe nicht einen gefunden, der es anpacken wollte, sondern 100, die mir erklärt haben, warum genau das nicht geht.“ Ramon Mörl, Geschäftsführer der it Watch GmbH

Uwe Maurer, NTT Security
„Die Fachabteilungen machen Projekte, und die werden – auch in Deutschland – zum großen Teil in der Cloud realisiert. Und das ist auch gut so, denn nicht die IT sollte das Geschäft treiben, son-dern das Geschäft die IT. Das Geld für die IT kommt aus dem Geschäft. Dass sich die IT hier an-ders etabliert, ist mir eigentlich fremd.“ Uwe Maurer, Chief Architect Cyber Defense EMEA bei NTT Security.

André Fenchel, Rackspace
„Wir sehen die Schwierigkeit darin, dass den Kunden keineswegs klar ist, welchen Schritt sie zuerst machen sollen – vor allem, wenn sie die Vorteile mehrerer Cloud-Anbieter nutzen und sich nicht mit einem verheiraten wollen. Hat man dafür genügend Spezialisten im Security-Umfeld, im Netz-werkumfeld, im Applikationsumfeld? Deutschland ist hier sehr ingenieurgetrieben, während die An-gelsachsen viel mehr die geschäftlichen Möglichkeiten sehen, die eine Cloud-Infrastruktur abbilden kann.“ André Fenchel, Account Manager bei Rackspace.

Fabian Guter, SecurEnvoy GmbH
„Der Unterschied zwischen den einzelnen Ländern liegt auch darin, dass Endkunden bei ihrer Cloud-Migration beziehungsweise Cloud-Strategie nicht an die Hand genommen werden. Der Bedarf entsteht durch Beratung – und da ist bei uns in der Partnerlandschaft noch einiges hintendran.“ Fabian Guter, Geschäftsführer der SecurEnvoy GmbH.

In der Vorstandsetage großer Unternehmen lautet die Parole "Cloud first". Dort erkennt man die Vorteile wie Kosten und Flexibilität der Cloud. Zudem müssen diese Firmen auch Services in der Cloud anbieten. Der Mittelstand steht zurzeit vor der Herausforderung, dass die IT die Cloud noch nicht richtig verstanden hat. Fachabteilungen nutzen Services aus der Cloud, weil diese das Business viel flexibler und agiler unterstützen, ohne jedoch die IT darüber zu informieren. Spätestens wenn sie dafür Daten aus dem lokalen Datacenter benötigen oder Kunden anbinden müssen, ist die IT plötzlich in ein Problem involviert, das sie bis dahin noch gar nicht gesehen hat. Zudem reagiert die IT in vielen Fällen nicht so agil, wie es das Business braucht. Und auch die fehlende Flexibilität im Job lässt viele IT-ler an On-Premise-Lösungen festhalten.

Wenn die Unternehmen nicht so schnell in die Cloud gehen, kann das in den Augen von Uwe Maurer von NTT Security auch daran liegen, dass sie die Use-Cases nicht sehen. Es ist kaum anzunehmen, dass Weltmarktführer solche Entscheidungen emotional treffen. Allerdings ist das scheinbar größere Vertrauen in die lokale IT kaum rational nachvollziehbar: "Den Leuten wird langsam klar, dass der Fritz noch lange keine gute IT macht, nur weil sie den Fritz kennen".

Die echte Antwort auf die Frage, warum in Deutschland alles anders ist, glaubt Ramon Mörl zu kennen. Für den itWatch-Geschäftsführer lautet sie Sorgenfreiheit: "Wir haben einen ganz anders regulierten Markt. Die CEOs in Deutschland sind sehr scheu bei Themen, bei denen Haftung nicht delegierbar ist. Sie brauchen irgendjemanden, der stempelt und sagt: Hier ist alles in Ordnung. Vorher werden sie die hohen Transformationskosten nicht tragen." Die Einzigen, die hierzu bereit sind, sind sehr margenträchtige Branchen. Nur der, der einen hohen Marktstatus hat, kann auch investieren, um diesen zu verteidigen und sich auf seine Kernkompetenzen zu konzentrieren. Aber gerade die brauchen laut Mörl eine All-in-One-Lösung - die es nicht gibt. Dass der deutsche Markt stärker reguliert sei als andere, sieht Schaumann nicht so: "Die verschiedenen Branchen sind einfach hoch reguliert, allen voran die Finanz- und Pharmabranche. Aber das ist kein deutsches Phänomen, sondern das findet man auch außerhalb der EU."

Ist Cloud Security nur ein Buzzword der IT?

Security-Experten aus unterschiedlichen Bereichen diskutierten beim COMPUTERWOCE-Round-Table Cloud Security über Sicherheitfragen rund um die Cloud.
Foto: Michaela Handrek-Rehle

Liegt der wahre Grund für die Scheu vor der Cloud vielleicht gar einfach nur im Verständnis? Martin Mangold hält den Begriff Cloud Security per se für missverständlich. Oft beschränkt sich der Begriff für ihn nur auf die Security in der Cloud. Genauso einseitig ist es seiner Meinung nach, von Endpoint Security zu sprechen. Der Head of Cloud Operations von DriveLock veranschaulicht die ganzheitliche Betrachtung der Security: "Entscheidend ist ein umfassendes Security-Konzept. Es bringt nichts, die Haustür mit einem dicken Schloss zu verriegeln, wenn Sie nebenan das Fenster offen lassen." Auch für Kurt Knochner, Cyber Security Strategist bei FORTINET, scheint der Begriff Cloud Security etwas überladen, "weil die Leute alles hineininterpretieren". Dabei ist es seiner Meinung nach recht einfach: "Das, was wir in den vergangenen Jahren im Security-Bereich getan haben, das müssen wir einfach konsequent weitermachen." Nach wie vor werden es Angreifer auf Personen und Infrastruktur absehen. Es muss also darauf geachtet werden, dass die Mitarbeiter geschult werden, dass Endpoints abgesichert werden und dass man bei Infrastrukturanwendungen in der Cloud die gleichen Security-Mechanismen implementiert wie bei on premises. Das hat sich auch in den Projekten der zurückliegenden Jahre gezeigt: Sobald die Kunden verstehen was sie in der Cloud sichern müssen, sind sie in der Lage die richtigen Lösungen und Maßnahmen auszuwählen. Hier bedarf es Beratung durch Unternehmen, die sowohl die Cloud als auch die klassische IT-Security verstehen.

Doch Vorsicht: Eine Angriffsfläche, die neu dazugekommen ist und von vielen außer Acht gelassen wird, ist das Cloud-API. Und hier fordert Ramon Mörl mehr Transparenz für die Konsumenten, denn das kryptografische Material, das zur Authentisierung verwendet wird, hat immer einen Angriffspunkt. "Die Vertraulichkeit, die ich will, benötigt immer eine digitale Identität, um auf die vertraulichen Daten zuzugreifen. Für echte Vertraulichkeit muss ich meine Schlüssel von den Daten trennen. Dann kann ich aber die Applikationen nicht auf fremden Systemen meine Daten mit meinen Schlüsseln auspacken lassen - dazu müsste ich ja meine Schlüssel und meine Daten an die gleiche fremde Stelle geben." Die Bewegung in unterschiedlichen Serviceklassen und die Entscheidung darüber, ob Verfügbarkeit, Integrität des Services, Beweisbarkeit und Vertraulichkeit mit der gleichen Identität erreicht werden sollen, müssen für den Entscheider transparent werden. Berater sollten daher nicht über Cloud Security sprechen, sondern darüber, dass Identität-Providen etwas anderes ist als Schlüsselmanagement. Erst dann kann über Vertraulichkeit und Verfügbarkeit diskutiert werden.

In der virtuellen Welt bleibt der Mensch die reale Fehlerquelle

Ebenfalls muss klar gemacht werden, dass das Arbeiten in der Cloud dieselbe Sorgfalt erfordert wie im Rechenzentrum.Die Bedienbarkeit von Rollen- und Rechtekonzepten ist jedoch sehr komplex und selbst für Spezialisten oft zu aufwendig. Aber die Rechte werden und sollen auch nicht von der IT vergeben werden, sondern von den Fachabteilungen. Und weil es in dieser, auf Cloud-Diensten basierenden Schatten-IT keinen IT-Spezialisten gibt, muss das Rollen- und Rechtekonzept sinnvoll vereinfacht und vor allem einmal sauber konzipiert werden. Dabei spielt es keine Rolle, ob das in der Cloud ist oder on premises.

Aktuell ist die Balance zwischen Sicherheit und Usability noch eine große Baustelle. In dem Moment nämlich, in dem die Sicherheit jemanden daran hindert zu arbeiten, wird versucht, sie zu umgehen. Letzten Endes sind also die Anwender das größte Risiko - auf allen Ebenen. Da hilft nur Awareness oder eben den Menschen so weit wie möglich als Verursacher herauszunehmen. Sicherheit darf nicht abhängig vom Nutzerverhalten sein - schwierig, solange Firmen versuchen, ihre Sicherheit manuell herzustellen. Für die Automatisierung von Sicherheitskonzepten spricht aus Sicht von Uwe Maurer noch ein weiterer Aspekt: "Wir haben situativ abhängige Berechtigungen sowohl vom User aus als auch vom System. Je nachdem, in welcher Bedrohung ich mich gerade befinde. Wer soll denn das noch managen? Da brauchen wir Maschinen, die uns helfen. Und da brauchen wir Konzepte, weil da eben auch Nicht-Menschen handeln." Welche Konzepte dafür auch immer die Zukunft bringen wird, für Maurer steht fest: "Wir werden nicht aufgeben, die Dinge sehr sicher zu machen."

Informationen zu den Partnerpaketen für die Cloud-Security-Studie