Cloud Security

Corona zeigt gnadenlos die Schwächen auf

12.02.2021
Von 
Florian Stocker ist Inhaber der Kommunikationsagentur "Medienstürmer".
Die Corona-Krise und der Wechsel ins Homeoffice verlangen nach neuen Security-Konzepten. Doch die Situation war laut Branchenexperten schon vorher "katastrophal". Die Cloud eröffnet nun neue Chancen, dringend nötige Modernisierungsvorhaben endlich anzugehen.
My IT is my Castle - das war vielleicht einmal, gilt aber heute längst nicht mehr.
My IT is my Castle - das war vielleicht einmal, gilt aber heute längst nicht mehr.
Foto: herryfaizal - shutterstock.com

Das Verständnis von IT-Security verändert sich: Verglich man früher IT-Infrastrukturen mit Burgen, die umso sicherer sind, je besser sie nach außen abgeschirmt werden - also mit einem möglichst tiefen und breiten Burggraben - lösen sich die Grenzen heute mehr und mehr auf. Solche klar abgrenzbaren IT-Burgen findet man heute kaum noch. Das Security-Mittelalter scheint sich langsam aber sicher seinem Ende zuzuneigen. Die Herausforderungen werden damit aber nicht geringer.

Corona macht Cloud-Security-Pessimismus

Natürlich hat die Corona-Krise daran einen großen Anteil. Die Pandemie hat schlagartig offen gelegt, wie unvorbereitet die Unternehmen auf den Wechsel ihrer Mitarbeiter ins Homeoffice wirklich waren. "Bei Kunden, die von heute auf morgen ins Homeoffice gewechselt sind, gab es erschreckend viele Security-Defizite", stellt Alexander Kirchner vom Identitätsmanagement-Provider Okta fest. "Unternehmen mussten ihre Mitarbeiter schnell enablen, aus ihrer Küche heraus zu arbeiten. Das bringt natürlich immense Risiken mit sich."

Corona brachte keine digitale Revolution. Die Pandemie ermöglichte aber eine Bestandsaufnahme und bestätigte dabei die Befürchtungen: Die Situation ist vor allem aus Security-Perspektive deprimierend. Eine spontane, nicht repräsentative Umfrage im Rahmen des IDG Roundtables "Cloud Security", an dem Vertreter von Service Providern, Beratungsunternehmen und Softwareunternehmen aus den verschiedensten Bereichen teilnahmen, ergab einstimmig ein eher pessimistisches Meinungsbild. Alle Teilnehmer sahen beim Thema Security dringenden Handlungsbedarf.

Doch hat die schnelle Zunahme der Nutzung von Cloud-Technologien im Kontext von Remote Work hier vielleicht auch zu Verbesserungen geführt? Nein - im Gegenteil, findet Michael Hoos vom Unternehmenssoftware-Anbieter Micro Focus: "Die Pandemie hat mit Blick auf die IT-Security nichts verbessert: Die Situation war vorher schwierig und ist auch heute noch schwierig. Viele Projekte in diesem Bereich wurden erstmal abrupt gestoppt, weil andere Dinge wichtiger waren. Diese Verzögerungen haben das Sicherheitsniveau nicht gesteigert."

Die Pandemie sorgte im Security-Kontext nicht nur für die Verschiebung von notwendigen Modernisierungsprojekten: Viele Unternehmen sehen sich auch mit einer komplett neuen Situation konfrontiert. Der vorher klar abgegrenzte Perimeter "Firmengelände" - die Burg - verwandelt sich zunehmend in geografisch verteilte IT-Umgebungen, was den Schutz der Mitarbeiter vor externen Gefahren nicht gerade einfacher macht.

"Wo es früher darum ging, die IT-Umgebung als ganzes nach außen zu sichern, ist heute der Mitarbeiter selbst zum Perimeter geworden. Gerade im Entwicklungsbereich wird auch gar nicht mehr unbedingt auf Corporate-Geräten gearbeitet. Wir müssen Security also dorthin bringen, wo sie benötigt wird: In die Cloud", betont Frank Limberger von Forcepoint.

Informationen zu den Partner-Paketen der Cloud-Security-Studie

Cloud Security neu denken

Wenn jeder Mitarbeiter einen eigenen, zu schützenden Perimeter darstellt, muss sich auch das Verständnis von Security insgesamt wandeln. Jedes "Burggraben-Denken" wird vor diesem Hintergrund zum Hindernis: Denn nur wenn ein Bewusstsein dafür herrscht, dass jeder Endpunkt ein potenzielles Einfallstor ist, können Administratoren die Basis dafür legen, dass künftige Vorfälle angemessen behandelt werden.

Das bedeutet vor allem: Mit dem Risiko zu leben und Szenarien für den Ernstfall zu entwickeln. Incident Management wird gegenüber der Prävention in der Bedeutung drastisch zunehmen, prognostiziert Frank Kölmel von Cybereason: "Unternehmen müssen immer damit rechnen, dass Angriffe auch erfolgreich sein können. Schließlich bewegen sich die Angreifer oft schon mehrere Monate im Firmennetz, bevor ihr Eindringen überhaupt bemerkt wird. Es ist also wichtig, Mechanismen für die Erkennung von und die Reaktion auf Angriffe zu entwickeln und zu implementieren."

Große Potenziale sehen die Experten dabei in der Nutzung von KI und Machine Learning. Nun werden beide Technologien, gerne auch synonym, in fast jedem IT-bezogenen Kontext als vielversprechende und zukunftsträchtige Hoffnungsträger tituliert, allerdings sprechen gerade im Security-Bereich besonders gute Argumente für den Einsatz von künstlicher Intelligenz: KI erkennt Veränderungen, Verschiebungen und andere Anomalien in Datensätzen viel schneller und zuverlässiger, als es bisherige softwaregestützte Verfahren jemals konnten - ganz zu schweigen von einem Menschen. Gerade die Fähigkeit, Muster in großen Datenmengen zu erkennen und zu analysieren macht die KI prädestiniert für forensische Verfahren zur "Anomaly Detection". Anders gesagt: Nur wer überhaupt weiß, wie die Normalität in den eigenen Daten aussieht, weiß auch, wann das Verhalten eines Users - oder eines Bots - von dieser Normalität abweicht und kann entsprechend reagieren.

Studie "Cloud Security 2021": Sie können sich noch beteiligen!

Zum Thema Cloud Security führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 384), René Krießan (rkriessan@idg.de, Telefon: 089 36086 322) und Bastian Wehner (bwehner@idg.de, Telefon: 089 36086 169) gerne weiter. Informationen zur Cloud-Security-Studie finden Sie auch hier zum Download (PDF).

Vorteil Public Cloud?

Nun sind KI-Szenarien in der Theorie schnell und leicht formuliert und klingen zunächst auch absolut plausibel. Doch die Umsetzung in der Praxis war gerade von kleineren Unternehmen in der Vergangenheit eher schwierig zu stemmen. Hier - so versichern es vor allem die Hyperscaler - entfalten die Cloud-Plattformen ihre Stärken.

"Die Cloud bietet immense Hilfe bei der Realisierung tragfähiger Security-Konzepte. Durch KI und Machine Learning lassen sich automatisierte Abwehrmechanismen integrieren, die den Menschen zwar nicht ablösen werden, aber eine schnellere Reaktion mit weniger Ressourceneinsatz ermöglichen", betont Stratos Komotoglou von Microsoft.

Für Matthias Pfützner von Red Hat liegt in der Größe der Public-Cloud-Anbieter auch deren entscheidender Security-Vorteil: "Sicherlich führt die Marktkonzentration, die sich gerade vollzieht, zu gewissen positiven Effekten, weil das Security-Know-How an einem zentralen Ort gebündelt ist. Mit einem Sicherheitspatch lässt sich heute ein Bug bei 40.000 Installationen gleichzeitig fixen."

Die Aussage ist vor allem bemerkenswert, weil sie von einem Vertreter eines der größten Open-Source-Projekte kommt. Ist sie vielleicht sogar ein Indikator dafür, dass sich die traditionelle Trennlinie zwischen Open Source und proprietären Herstellern im Lichte der Cloudifizierung langsam verschwimmt und andere Faktoren in den Vordergrund rücken? Dafür sprechen nicht nur die Marktbewegungen der letzten Jahre (wie zum Beispiel Microsofts Übernahme von Github oder der Red-Hat-Kauf durch IBM).

Open Source werde auch technologisch weiterhin seinen festen Platz haben, davon ist Andrea Wörrlein von VNC überzeugt: "In hochsensiblen Projekten sind SaaS-Lösungen keine Option. Hier müssen Unternehmen zwangsläufig auf On-Premises oder eine abgesicherte Cloud setzen und lange Penetration-Test-Phasen einplanen. In solchen Projekten reicht es auch nicht, sich lediglich die Infrastruktur anzuschauen, sondern man muss auch in den Code der einzelnen Anwendungen. Code Reviews sind in vielen Projekten zwingend notwendig, auch um Backdoors und Wirtschaftsspionage zu verhindern." Vieles spricht also dafür, dass Open Source und propriätere Software künftig noch enger miteinander verzahnt werden.

Technologie ist kein Allheilmittel

Doch egal welches technologische Setup man wählt, Unternehmen werden damit nicht mehr als etwa ein Drittel der Sicherheitsrisiken bannen können. Wie dieser Wert zustande kommt, rechnet Matthias Pfützner vor: "Security findet auf drei Ebenen statt: People, Processes, Products. Die Hauptfehler, die zu einem Angriffsrisiko führen, finden sich zu jeweils etwa einem Drittel in einem dieser Bereiche. Das bedeutet im Umkehrschluss: Sie können mit Technologie nur rund 30 Prozent des Risikos abdecken, der Rest muss organisatorisch erfolgen."

Trotz aller disruptiver Möglichkeiten, die KI und Machine Learning für die Security bringen, bleibt deshalb auch hier am Ende die Gewissheit, dass es noch lange der Mensch sein wird, der letzten Endes die finale Entscheidung trifft.

Informationen zu den Partner-Paketen der Cloud-Security-Studie