Security as a Service

Wie Snowden den Cloud-Sicherheitsmarkt beeinflusst

21.11.2013 von Michael P. Wagner
Durch die Snowden-Enthüllungen erscheint vielen Anwendern das Internet nicht mehr vertrauenswürdig. Doppelt von diesem Vertrauensentzug betroffen sind "Security as a Service"-Anbieter, die Internet-Sicherheitsdienste verkaufen. Sind deren Angebote noch zeitgemäß oder steigen ihre Chancen gerade jetzt?
Ist Security as a Service aus der Cloud noch sicher für Unternehmen?
Foto: Maksim Kabakou - Fotolia.com

Viele Anwender sind durch die Enthüllungen der letzten Monate zum Teil extrem verunsichert. Es vergeht kaum ein Tag ohne neue Hiobsbotschaften über die Verletzlichkeit unserer modernen Informationssysteme. Trotz allen Vorwissens überraschen doch gerade Umfang und Intensität von Überwachungs- und Speicher-Techniken. Schon ist vom "Ende des Internets", zumindest aber vom "Ende des Cloud Computings" die Rede, das ohnehin in Deutschland seit jeher als kritisch angesehen wird. E-Mails, Web-Seiten-Abrufe, Aktivitäten in sozialen Netzen: Nahezu der gesamte personenbezogene Internetverkehr wird offensichtlich gescannt und ein wesentlicher Teil der Daten auf unbekannte Zeit gespeichert. Eine vertrauensvolle, geschweige denn vertrauliche Kommunikation zwischen Unternehmen scheint so nicht möglich.

Geradezu ins Mark treffen muss diese Entwicklung die noch junge "Security as a Service" (SECaaS) - Industrie, der quasi über Nacht das Geschäftsmodell abhanden zu kommen scheint. Im Prinzip ist es keine schlechte Idee, Sicherheitsdienste und -expertise über das Web zu verkaufen. So muss nicht jedes Unternehmen teure Experten vorhalten. Die Frage ist eher, wie sicher diese Dienste sein können, wenn die von ihnen genutzten Leitungen überwacht werden. Alles steht und fällt mit der Verschlüsselung der übertragenen Daten, also mit der Frage, ob diese nur für den Sender und Empfänger zugänglich sind.

Entwarnung vom BSI

Matthias Gärtner hält heutige Verschlüsselungsmethoden für absolut zeitgemäß.
Foto: BSI

Das für solche Fragen zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigt sich von den Snowden-Veröffentlichungen wenig überrascht. "Wir sehen, dass das, was technisch machbar ist, auch gemacht wird" fasst BSI-Sprecher Matthias Gärtner die Position des Amtes zusammen. Zum Schutz der Daten meint er: "Was mit Kryptografie möglich ist, reicht aus, sollte aber auch angewandt werden." Er verweist auf die Empfehlungen des hauseigenen Algorithmenkatalogs zu Verschlüsselungstechniken. Auch im Lichte der jüngeren Erkenntnisse über die Überwachung des Internet bestehe für diesen kein Anpassungsbedarf. Selbst die empfohlenen Schlüssellängen stellten nach wie vor den Stand der Technik dar. Heißt: Bis auf das bekannte Problem, dass bei der Schlüsselgenerierung keine wirklichen Zufallszahlen verwendet werden, sind die Algorithmen nach heutigem Stand sicher.

Eine Verschlüsselung der Kommunikation alleine löse die Probleme ohnehin nicht, so Gärtner. Auch eine verschlüsselte Nachricht könne beispielsweise Spähsoftware enthalten. Deshalb sehe beispielsweise das Konzept der "DE-Mail" die Überprüfung der Nachrichteninhalte auf Schadcode durch vertrauenswürdige Provider vor.

Das weitaus größere Problem sieht das BSI auf der Client-Seite, also an den Endpunkten der Kommunikation, an denen eine Information entschlüsselt vorliegt. Die Clients seien aufgrund der Komplexität der Software und des notwendigen Patch-Aufwandes als notorisch gefährdet anzusehen. Das sei auch mit einer der Gründe, warum SECaaS-Konzepte in Zukunft eher an Bedeutung gewinnen würden, meint Gärtner. Ein weiterer Grund sei der zunehmende Mangel an IT-Sicherheitsexperten.

Nachdenkliche Anbieter

Oliver Dehing sieht Standortvorteile für deutsche Security-Anbieter.
Foto: Marcel Dubiel

Wer SECaaS einsetze, solle sich in jedem Fall um ein hohes Datenschutzniveau bemühen, so der BSI-Sprecher. Ähnlich sieht das Oliver Dehning, Geschäftsführer des Hannoveraner E-Mail-Security-Dienstleiters antispameurope. Er sieht hier große Standortvorteile für deutsche Anbieter. Schließlich sind amerikanische Dienstleister nach den Ereignissen des 11. September 2001 durch den Patriot Act zur Kooperation mit den US-Bundesbehörden verpflichtet. Kein Anbieter unter US-amerikanischer Jurisdiktion kann sich dem sogenannten "National Security Letter" entziehen, der von einem Geheimgericht ausgestellt wird und ihn zu Handlungen verpflichten kann, über die er Stillschweigen zu wahren hat. Hierzulande sieht das ein wenig anders aus: Das Bundesdatenschutzgesetz verbietet es auch SECaaS-Anbietern, Kundendaten herauszugeben - es sei denn, es liegt ein öffentlich überprüfbarer Gerichtsbeschluss vor.

Die bereits erwähnte Sicherheit der Datenverschlüsselung sieht Dehning als grundsätzlich gegeben, auch wenn Fehler bei der Verschlüsselung die Sicherheit beeinträchtigen könnten. Außerdem bestehe in seinen Augen ein theoretisches Restrisiko, dass die Sicherheit von Verschlüsselungsverfahren durch Entdeckung eines gegenläufigen Rechenverfahrens doch aufgehoben sein könnte. Dafür gebe es derzeit aber keine Anzeichen, da der Einsatz eines solchen Verfahrens sicherlich auffallen würde. So biete antispameurope mit gutem Gewissen E-Mail-Verschlüsselung und verschlüsselte Datenspeicherung in der Cloud als SECaaS-Dienste an - von Deutschland aus.

Die größten Sicherheitsprobleme sieht Dehning vielmehr auf Seiten der mobilen Geräte, wo die Grenzen zwischen geschäftlicher und privater Nutzung verschwimmen. Der klassische Perimetergedanke der Abgrenzung des internen Netzwerkes, etwa durch Firewalls, gleiche hier eher einem "löchrigen Zaun". Abhilfe kann nur eine vollständige Verschlüsselung der Smartphones und Tablets bieten. Über entsprechende Dienstleistungen auch zur Patchverwaltung denke man laut Dehning bei antispameurope nach, da die Nachfrage inzwischen merklich gestiegen sei.

Herausforderung Cloud Security -
Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen:
Mangel an Kontrolle:
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public-Cloud-Services. Da
Unzureichende Transparenz:
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen.
Virtualisierung:
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter.
Ort der Datenspeicherung:
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud-Service-Providers.
Public Clouds:
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet.
Zugriff auf die Cloud von privaten Systemen aus:
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile-Device- Management-Software.
Audits und Überwachung von Sicherheits-Policies:
Compliance- Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service- Provider im Spiel ist, sind entsprechende Audits aufwendig.
Risiken durch gemeinsame Nutzung von Ressourcen:
In Cloud- Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.

Services am Endpunkt

Jens Westphal rät zur gründlichen Risikoanalyse.
Foto: secunet

Der Problematik der unsicheren mobilen Endgeräte hat sich der Essener Sicherheitsspezialist secunet angenommen. Das Unternehmen bietet Sicherheitsberatung als Basis für dedizierte SECaaS-Dienstleistungen an und hat unter anderem ein voll verschlüsseltes BusinessBook im Programm. Vertriebsleiter Jens Westphal merkt an, dass Security-Services eine trügerische Sicherheit vermitteln können, wenn nicht das gesamte sicherheitsrelevante Umfeld mit betrachtet und die vorhandenen Werkzeuge bewusst eingesetzt werden. Es sei wichtig, vor Abschluss eines SECaaS-Vertrags den eigenen Schutzbedarf genau zu ermitteln. Zudem sei jedes Unternehmen gut beraten, einen vertrauenswürdigen lokalen Anbieter auszuwählen, dessen Umfeld und Hintergrund bekannt sind. Auch wenn dieser im Einzelfall teurer sei als ein globaler Player.

Kampf den Hintertüren

Thorsten Urbanski verlangt mehr User-Komfort bei Security-Produkten.
Foto: Sascha Reklau

Die Vorzüge des deutschen Rechtsraumes weiß auch Thorsten Urbanski vom Bochumer Softwarehersteller G Data zu schätzen. Das Unternehmen bietet neben IT-Security-Produkten wie beispielsweise Virenschutz-Lösungen für Unternehmen, mit zertifizierten Partnern auch SECaaS in Form von Managed Services an. G Data führt wie über sechzig andere deutsche Hersteller das ITSMIG-Logo ("IT-Security made in Germany") des Branchenverbandes TeleTrusT. Das Unternehmen hat sich damit öffentlichkeitswirksam verpflichtet, keine Hintertüren für Behörden und Geheimdienste in seine Softwareprodukte einzubauen.

Urbanski, der dem ITSMIG-Arbeitskreis vorsteht, sieht die größte Gefahr im mangelhaften Patch-Management auf den Endgeräten. Nach seiner Meinung seien bei über 70 Prozent der erfolgreichen Exploits im Unternehmen entsprechende Patches bereits verfügbar gewesen. Das zeige, dass IT-Sicherheitsdienste einfach zu bedienen sein müssten und den Anwendern nicht zur Last fallen dürfen. Es komme auf die für den Anwender richtige Kombination aus interner Administration, Softwareunterstützung und externen Dienstleistungen an.

Wandel des Anbieterspektrums

Das sieht auch Forrester-Analyst Andrew Rose so. SECaaS-Anbieter müssten sich als Ergänzung zu internen Teams verstehen, um sich in Zukunft unverzichtbar zu machen. SECaaS könne den Anwendern insbesondere in Verbindung mit Cloud Computing viel Routinearbeit abnehmen, wenn es etwa um die Analyse von Logs oder den Release von Patches gehe. Durch das Testen aller im Unternehmen vorhandenen PC-Konfigurationen auf virtuellen Maschinen lasse sich nach den Erfahrungen von Rose die Zeit für einen Patch-Release von Monaten auf Tage oder gar Stunden reduzieren. Zeit, die im Kampf gegen virtuelle Einbrecher aller Art Gold wert ist.

SECaaS könne - so Rose - zudem dem schwächsten Glied in der Sicherheitskette helfen - dem Nutzer. Gerade in den vergangenen zwei bis drei Jahren nimmt die Zahl der Angriffe auf einzelne Personen, meist aus dem Top-Management - rapide zu. Diese so genannten "Slow Attacks" oder auch "Advanced Persitent Threats" können sich über Wochen und Monate hinziehen. Administratoren entdecken diese Art der Angriffe meist nur zufällig, spezielle SECaaS-Dienste könnten sie nach Meinung des Analysten automatisiert unterstützen.

Was den SECaaS-Anbietermarkt angeht, nimmt Rose einen Trend zum verstärkten Engagement von TK-Carriern und Hardware-Herstellern wahr. Große Carrier wie British Telekom oder Verizon wollten "saubere Datenströme" aus einer Hand anbieten. Auf der anderen Seite des Spektrums bringen große Hardwarehäuser wie HP oder IBM zunehmend eigene Security-Services an den Start. Für rein auf SECaaS spezialisierte Anbieter wird der Markt also kleiner.

In der Entwicklung

Kristof Kloeckner glaubt, dass Standards für die SECaaS-Einbindung in Software zunehmend wichtiger werden.
Foto: IBM

Kristof Kloeckner, Software-Manager bei IBM, ist dann auch der Meinung, dass SECaaS sowohl für Hersteller als auch Kunden unverzichtbar wird. IBM berücksichtige die gestiegenen Sicherheitsanforderungen deshalb bereits während der Entwicklung der Software, sowohl für die Server- als auch für die Client-Seite. Security-Prüfungen seien bereits ein fester Bestandteil der auf dem DevOps-Konzept basierenden Entwicklungsmechanismen für Continous Delivery bis in die Cloud. "Die Kombination von DevOps und Cloud ermöglicht es, das Fenster der Verwundbarkeit zu minimieren" so Kloeckner. Die Bedeutung von Standard-Schnittstellen in der Software für die Einbindung von SECaaS-Diensten werde daher wachsen.

IBM habe seine Entwicklungswerkzeug und Cloud-Angebote gehärtet und könne mit dem Zukauf des Spezialanbieters "Fiberlink Communications" auch eine umfassenden Service für das Mobile Device Management anbieten. Ein laut Kloeckner notwendiger Schritt, um die Diskrepanz in den Sicherheitsmechanismen zwischen den "Systems of Engagement", die den direkten Kontakt zum Kunden herstellen - oft mobil über soziale Netze - und den "Systems of Record", die die langjährigen Daten halten, mit SECaaS zu überbrücken.

Milliardenmarkt

Matthias Zacher räumt Security-Services sehr gute Zukunftsaussichten ein.
Foto: Uwe Noelke MENSCHENfotografie

Dass Unternehmen zunehmend Probleme haben, den Überblick über den Sicherheitsstatus ihrer Systeme zu gewinnen, berichtet IDC-Berater Matthias Zacher. Laut einer Studie zur IT-Security in Deutschland benötigen 70 Prozent der Unternehmen mehr als einen Tag, um ihren genauen Sicherheitsstatus zu ermitteln, und selbst dann ist seine Vollständigkeit nicht immer gegeben.

Aufgrund dieser Erkenntnis bescheinigen die IDC-Marktforscher Security as a Services ein hohes Wachstumspotenzial - von 13,7 Prozent bis 2017 ist die Rede. Als wichtiges Wachstumsfeld streicht Zacher hier den Bereich des Mobile Device Management (MDM) heraus. Darüber hinaus erkennt er einen Trend hin zu "Rundum-Sorglos"-Paketen im Security-Umfeld - also Sicherheitssuiten eines einzigen Anbieters, der alle relevanten Unternehmensbereich übergreifend mit Lösungen versorgt. Weil diese Pakete häufig aber nicht organisch, sondern durch Zukäufe seitens der großen Anbieter entstehen, ist Zacher skeptisch, ob die Zusammenführung der verschiedenen Lösung in jedem Fall erfolgreich sein kann oder ob nicht die Gefahr neuer Angriffsflächen besteht.

IDC erwartet für Security-Services bis 2017 ein starkes Wachstum.
Foto: IDC

Fazit

Edward Snowden hat die Aufmerksamkeit für das Thema Internet-Sicherheit und die Nachfrage nach entsprechenden Lösungen wachsen lassen. Diese Nachfrage ist so hoch, dass selbst Startups wie SecurCloud bereits in der Funding-Phase profitieren. Der "Noch-Nicht-Anbieter" konnte seine Investment-Summe noch am ersten Zeichnungstag auf 500.000 Euro verdoppeln und voll realisieren. Das Projekt zählt damit zum den erfolgreichsten Investments des Jahres auf Online-Plattformen. SECaaS-Dienste liegen also voll im Trend. (sh)

SECaaS-Checkliste

Liegt der juristische Sitz in Deutschland oder Europa?
Stehen auch die Server und alle Spiegel in Europa oder Deutschland?
Wenn Daten gespeichert werden, garantiert der Anbieter einen Standort in Europa?
Wird schon auf den Client verschlüsselt (insbesondere bei mobilen Geräten) und entspricht die Verschlüsselung den Empfehlungen des BSI?
Sind die Primärschlüssel nur dem Kunden zugänglich und schützt ein nachvollziehbares Prozedere die Kunden vor Schaden?
Wenn Daten gespeichert werden, werden diese regelmäßig gesichert? Und wer hat Zugriff zu den Backups?
Ist die Herausgabe und Löschung aller Daten gewährleistet, wenn es zu einer Kündigung kommt bzw. gibt es eine Nachfolgeregelung?