Die Debatte darüber, ob die Enterprise-IT durch Cloud Computing sicherer oder unsicherer geworden ist, wird schon länger geführt. Eine klare Antwort gibt es dennoch nicht. Inzwischen zeigt das aktuelle Anwenderverhalten - auch im Zusammenhang mit Remote Work während der Pandemie -, dass die Sicherheitsfrage höchstens am Rande über die Nutzung der Cloud entscheidet. Die IT-Hersteller haben längst Fakten geschaffen, die von den Anwender dankbar angenommen wurden. Es geht jetzt darum, eine möglichst hohe Cloud-Sicherheit zu erreichen.
Ein Roundtable zur Cloud Security 2021 brachte zahlreiche Security-Experten an den virtuellen Tisch. Übereinstimmend verneinten die Diskutanten, dass Cloud-Nutzung automatisch zu mehr Datensicherheit führe. Thomas Uhlemann, Security-Spezialist bei ESET, sieht spezifische Sicherheitsvorteile durch die Cloud, wenn es etwa um Ausfallsicherheit oder Backups geht. "Per se ist die Cloud aber nicht sicherer", urteilt der Experte.
"Es gibt Risiken, aber die Cloud bietet auch eine Chance, die Sicherheit zu steigern", konzediert Ibrahim Koese, Associate Partner bei Spike Reply. "Es kommt unter anderem auf die Unternehmensgröße an: Kleinere Firmen, die bei der Absicherung ihrer On-Premises-IT vor Herausforderungen stehen, können von den Sicherheitsmaßnahmen der Cloud-Provider durchaus profitieren."
Es komme zunächst einmal darauf an, was unter Cloud-Sicherheit überhaupt zu verstehen sei, sagte André Staffe, Security Solutions Architect bei NTT. "Bereiche wie Monitoring, Zertifizierung oder Sicherheitstests funktionieren in der Cloud gut. Insgesamt wird die Sicherheit durch Cloud Computing für die Administratoren und die Geschäftsführung aber sehr komplex." Ein Mangel am notwendigem Spezialwissen führe immer mal wieder zu Fehlkonfigurationen, die für manche Sicherheitsvorfälle bei Hyperscalern die Ursache gewesen seien, so Staffe.
- Kristian Beckers, Airbus CyberSecurity
Die Cloud-Risiken sind den Unternehmen nicht bewusst genug. Durch Cloud-Dienste erhöht sich die Zahl der Schnittstellen, und die Gefahr des Datenabflusses ins Internet steigt. Mein Tipp ist, mit Pen-Testing bei Cloud-Diensten mehr Awareness für mögliche Cloud-Schwachstellen zu schaffen. - Andreas Nolte, Arvato Systems
Mir sind Fälle bekannt, wo eine große Zahl von Laptops im Handel gekauft wurden und direkt in den Homeoffices zum Einsatz kamen. Eine sichere Konfiguration fehlte ebenso wie die zuverlässige Versorgung mit Patches. Hätten sich die Unternehmen schon vorher um eine cloudbasierte Lösung bemüht, hätte dies viele zusätzliche Risiken vermieden. - Tobias Olgemöller, Axians
Häufig kümmert sich nicht das Mail-Team um die Sicherheit von Office 365, welches den Schutz der internen Mailserver verantwortet. Stattdessen übernimmt häufig das Azure-Team im Unternehmen die Mail-Sicherheit. Mangels fachlichen Know-how kann es dadurch zu gefährlichen Konfigurationsfehlern kommen. - John-Erik Horn, BDO Cyber Security
Was wir in dem letzten Jahrzehnt erlebt haben, jede Unternehmensfunktion hat sich ihre eigene Lieblings-SaaS-Lösung am Markt ausgesucht. Nun sind die Tools etabliert, und der Enterprise Architect versucht für Datenkonsistenz und effiziente Process Flows zu sorgen. Derweil steht der CISO vor diesem Spaghetti an Schnittstellen und Datentöpfen, schlägt sich die Hände über den Kopf und überlegt sich einen Karrierewechsel. Die Vielzahl und Komplexität der eingesetzten Tools, insbesondere in der Cloud, verlangen nach ganzheitlichen Lösungsansätzen, um ein angemessenes Sicherheitsniveau sicherzustellen. Hier ist der Trusted Advisor gefragt, der nicht vom einzelnen Anbieter abhängt, sondern die optimale Lösung für den Kunden entwickeln kann. - Thomas Uhlemann, ESET
Bei dem Wechsel ins Homeoffice fehlten vielfach betriebliche Endgeräte, BYOD war die Folge. Ohne VPN, Mehr-Faktor-Authentifizierung und mit unzureichendem Cloud-Wissen starteten viele Beschäftigte die Cloud-Nutzung. Viele Systeme waren über die Cloud offen zugänglich. Wir haben eine starke Zunahme an RDP-Angriffen festgestellt. - Christian Nern, KPMG
Als die Beschäftigten ad hoc in großer Zahl ins Homeoffice gewechselt sind, entstanden Risiken hinsichtlich Informationssicherheit bzw. Datenschutz durch unautorisierte Datentransfers, durch die Veränderung von Verhaltensmustern in IT-Netzwerken mussten die Erkennungsregeln für Netzwerkanalysen dringend angepasst werden. - Andre Staffe, NTT
Cloud-Risiken gehen mit Überforderung einher. In vielen Unternehmen müssen die Cloud-Migrationen nicht zuletzt durch Corona zügig ablaufen, bei gleichzeitigem Ressourcenengpass. Fehlerhafte Cloud-Konfigurationen können die Folge sein und Cloud-Sicherheitsvorfälle ermöglichen. - Ibrahim Koese, Spike Reply
Für das Cloud Security Management gibt es viele Konzepte, Vorgaben und Standards, wie die CSA Cloud Control Matrix, Providerempfehlungen oder den Kriterienkatalog C5 des Bundesamtes für Sicherheit in der Informationstechnik. Daran mangelt es nicht, doch die Umsetzung darf nicht fehlen.
Cloud-Risiken: Konfigurationsfehler sind menschlich
Wenn es um IT-Sicherheit in der Cloud geht, denken die meisten Unternehmen erst einmal technisch. Im Fokus stehen die genutzten Cloud-Dienste, die Verbindungen und Netzwerke oder die Endpoints, über die auf die Clouds zugegriffen wird. Weniger Beachtung finden die Menschen in ihren Rollen als Entscheider, Administratoren und Endnutzer. Dabei haben viele Sicherheitsrisiken mit einem Mangel an menschlichem Know-how und an Erfahrungen zu tun. So kommt es insbesondere während der Cloud-Migration zu Fehlern.
"Die Unternehmen haben einen hohen Beratungsbedarf", stellt Andreas Nolte fest, Head of Cyber Security bei Arvato Systems. "Geht es in die Cloud, werden viele Sicherheitsmaßnahmen, die On-Premises vorgesehen sind, schlicht vergessen. Dies wird zum Beispiel bei Einführungsprojekten von Microsoft 365 sichtbar. Die Mail-Sicherheit, die bei einem eigens betriebenen Mailserver selbstverständlich ist, wird oft nicht vollständig auf die Konfiguration des Cloud-Mail-Dienstes übertragen."
Der in der klassischen IT starke Sicherheitsfokus auf Netzwerk und Perimeter richtet sich in der Cloud eher auf Identitäten, Daten und APIs. Christian Nern, Partner bei KPMG im Bereich Financial Services, stellt denn auch fest, dass es sich um eine unternehmensweite Aufgabe handele, die eine klare Architektur brauche und sowohl die Governance als auch Standards und Kontrollen sowie die technologische Umsetzung einschließe.
Wie sehr es auf die Organisation und nicht nur auf die Technik ankommt, zeigen die Fehler in Cloud-Konfigurationen, die nach Angaben der Analysten von Gartner die meisten Cloud-Sicherheitsvorfälle überhaupt erst ermöglichen. Falsche Konfigurationen können auf vielen Wegen zustande kommen, doch immer haben Menschen dabei die Finger im Spiel.
Wie das passiert, macht Tobias Olgemöller, Senior IT Security Consultant bei Axians, an einem Beispiel deutlich: "Häufig kümmert sich nicht das Mail-Team um die Sicherheit von Office 365, das den Schutz der internen Mail-Server verantwortet. Stattdessen übernimmt das Azure-Team die Mail-Sicherheit." Würden Zuständigkeiten und Prozesse nicht geklärt, komme es zu Unklarheiten in der Aufgabenverteilung. "Mangels Spezialwissen kann es dann zu den gefährlichen Konfigurationsfehlern kommen", so Olgemöller.
John-Erik Horn, Geschäftsführer der BDO Cyber Security GmbH, sieht in der aus seiner Sicht in vielen Betrieben legalisierten Schatten-IT eine Ursache für die vielen Fehlkonfigurationen bei Cloud-Diensten. Fachbereiche entschieden über die Nutzung von SaaS- und Cloud-Diensten, hätten aber nicht das notwendige Wissen rund um sichere Konfigurationen.
"Konfigurationsfehler gab es auch schon in der On-premises-IT. Doch da befanden sich die Betriebe noch innerhalb ihres geschützten Perimeterbereichs. Durch die Public Cloud sind die Konfigurationsfehler zu einem größeren Problem geworden, die Angriffsoberfläche ist jetzt deutlich größer", so BDO-Geschäftsführer Horn.
Studie "Cloud Security 2021": Sie können sich noch beteiligen! |
Zum Thema Cloud Security führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 384), René Krießan (rkriessan@idg.de, Telefon: 089 36086 322) und Bastian Wehner (bwehner@idg.de, Telefon: 089 36086 169) gerne weiter. Informationen zur Cloud-Security-Studie finden Sie auch hier zum Download (PDF). |
Cloud-Sicherheit erfordert eine andere Fehlerkultur
Keine Erfahrung und wenig Know-how sind schlechte Voraussetzungenn, um einen Cloud-Dienst sicher zu konfigurieren. "Oft fehlt den Unternehmen auch richtige Fehlerkultur", stellt NTT-Mann Staffe fest. "Mitarbeiter trauen sich nicht um Hilfe zu bitten oder auch einfache, aber lehrreiche Fehler zu machen. Dafür müsste mehr Raum eingeräumt werden."
KPMG-Experte Christian Nern diagnostiziert sogar eine grundsätzlich problematische Sicht auf das Thema IT-Sicherheit in vielen deutschen Unternehmen. Es gehe ja nicht nur um das Überstehen von Audits oder um Dokumentationen und Regulatoriknachweise. "Zur wirklichen Verbesserung der Security benötigen Unternehmen einen ganzheitlichen Ansatz aus Technik und Fachlichkeit, der die aufgestellten Regelwerke und Prozesse in der Informationssicherheit durch die technischen Maßnahmen automatisiert und das Sicherheitsniveau auf Basis von festgelegten KPIs tagesaktuell aufzeigt. Auf diese Weise wird nicht nur die Security eines Unternehmens nachhaltig verbessert, sondern es können auch Effizienzen zur Refokussierung der Spezialisten auf weitere IT Security-Aufgaben geschaffen werden."
Nern empfiehlt, Security nicht als lästige Investition zu sehen, sondern als Voraussetzung dafür, die Vorteile einer Cloud-Nutzung zu realisieren. John-Erik Horn von BDO hat dazu einen pragmatischen Vorschlag: Er empfiehlt, einen Teil der Einsparungen durch Cloud-Dienste abhängig vom Risiko für das Security-Budget zu verwenden.
Informationen zu den Partner-Paketen der Cloud-Security-Studie
Cloud Security Management braucht Trusted Advisors
Lösungen für Cloud-Sicherheit und das Cloud-Security-Management gibt es viele, ebenso Standards, Leitlinien und Zertifizierungen. Für die Entscheider in den Unternehmen ist es nicht leicht, sich im Dschungel der Anbieter und in der Fülle an Vorgaben zurecht zu finden. Die Diskussionsteilnehmer empfehlen deshalb durch die Bank die Zusammenarbeit mit einem "Trusted Advisor", der eine ganzheitliche Sicht hat und das Vertrauen des Unternehmen genießt.
"Viele Unternehmen wissen nicht, an wen sie sich wenden können, wenn sie Lösungen suchen und Anforderungen umsetzen wollen", sagt Thomas Uhlemann von ESET. "Der Fachkräftemangel in der Security erschwert ein erfolgreiches Cloud-Security-Management. Trusted Advisors können hier helfen."
Die Cloud-Zukunft bleibt hybrid
Bei allen Herausforderungen in der Cloud-Sicherheit: Cloud Computing ist gekommen, um zu bleiben. Ob es eher Multi-Cloud sein wird oder eine Fokussierung auf nur einen Anbieter, darüber entscheiden viele Parameter. "Dabei ist auch wichtig zu klären, was genau jeweils unter einer Multi-Cloud verstanden wird", meint Ibrahim Koese von Spike Reply. "Werden mehrere Cloud-Dienste parallel genutzt oder tatsächlich miteinander verknüpft?"
Was jedoch für die Security-Experten unstrittig ist: Es wird nicht alles in die Cloud wandern, es bleibt bei der hybriden Cloud. Kritische Anwendungen und Daten verbleiben On-Premises, so die Prognose.
Cloud-Datenschutz treibt GAIA-X
Der Datenschutz wird nach Expertenmeinung weiterhin eine zentrale Rolle für die Cloud und die Cloud-Sicherheit haben. Das Ende von Privacy Shield zum Beispiel hat dazu geführt, dass Cloud-Nutzer auf andere rechtliche Datentransferinstrumente setzen müssen wie die Standardvertragsklauseln der EU. Für diese sind je nach Datenschutzniveau des Ziellandes bei einer Datenübermittlung ergänzende Schutzmaßnahmen notwendig. Hier sind die Unternehmen selbst gefordert, risikoabhängig die geeigneten Sicherheitsmaßnahmen zu bestimmen.
Der Datenschutz führt auch zu einem Interesse an Vorhaben wie GAIA-X. "Die Anfragen nach Cloud-Angeboten aus Deutschland haben sich vermehrt", berichtet Andreas Nolte von der Arvato Systems.
Ob jedoch tatsächlich Angebote von GAIA-X zum Tragen kommen, hängt für die Experten auch von der Firmengröße ab. Für den Mittelstand könnten die entsprechenden Angebote zu teuer werden, die größeren Unternehmen sind meist global aufgestellt und suchen deshalb eher nach internationalen Cloud-Angeboten mit entsprechender weltweiten Verfügbarkeit.
Wenn es jedoch um Geschäftsgeheimnisse geht, wird man eher auf On-Premises-Lösungen oder eine Cloud-Lösung aus Deutschland oder der EU greifen. Der Datenschutz kann hier also zum Wettbewerbsvorteil für EU-Angebote werden, wenn es um unternehmenskritische und sensible Daten geht.
Informationen zu den Partner-Paketen der Cloud-Security-Studie