Sicherheit aus der Cloud - pro und contra

Die Zukunft der Security-Services

14.02.2013
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.

Nur bedingt preisgünstiger

Festung oder Luftschloss? Bringen Security-Services aus der Cloud wirklich etwas?
Festung oder Luftschloss? Bringen Security-Services aus der Cloud wirklich etwas?
Foto: fotolia.com/crimson

Die vermeintlich niedrigeren Kosten, mit denen die Hersteller ihre Services bewerben, ziehen sowieso nur bedingt als Argument. Einerseits wird die Einbindung von IT-Sicherheit in die Infrastruktur einfacher, was den Anwendern einiges an Implementierungsaufwand einspart. Andererseits ist die Auswahl der passenden Lösung schwieriger geworden. "Der Grundsatz lautet immer: Qualität kostet", warnt Strobel. Dieses Prinzip ist im heutigen Cloud-Geschäft aber kaum zu verfolgen, weil unter Anbietern ein heftiger Preiskampf ausgetragen wird. Das verhindert häufig, dass die Provider von sich aus Sicherheitsprodukte und -services in ihre Plattformen einbauen. Der cirosec-Geschäftsführer appelliert an die Anwender, sich deshalb nicht von vermeintlich abgesicherten, dennoch preisgünstigen Cloud-Angeboten blenden zu lassen. Selbst Prüfsiegel gäben keinen Aufschluss über die Sicherheit, da die Prüfkataloge selten eingesehen würden und wenn, dann nur wenig über die Praxistauglichkeit des Produktes aussagten.

Cloud oder nicht Cloud?

Aufpassen müssen Anwender auch bei der Bezeichnung "Cloud-Service". Nicht alles, was als Sicherheit aus der Wolke verkauft wird, hat diesen Terminus auch verdient. Strobel weist auf die Cloud-Definition des National Institute of Standards and Technology (NIST) hin, nach der viele neue Lösungen mit Cloud nichts zu tun hätten. Lagert ein Unternehmen Teile seines IT-Security-Betriebs an einen Dienstleister aus oder bezieht es Leistungen "as a Service", sind weiterhin interne oder externe Ressourcen gefragt, diese Services zu steuern. Ein Cloud-Dienst zeichnet sich jedoch dadurch aus, dass ein IT-System diese Aufgaben automatisiert löst, ohne dass ein Mensch noch "Hand anlegen" muss. Deshalb lässt sich feststellen, dass sich die technische Basis vieler so genannter "Cloud-Security-Services" zwar in der Wolke befindet, der Betrieb aber weiterhin über klassisches Hosting mit oder ohne Dienstleister umgesetzt wird.

Was sich derzeit als vermeintliche Innovation darstellt, entpuppt sich deshalb oft noch als heiße Luft. Somit ist besonders für unerfahrene und kleinere Anwender im Umfeld der Cloud-Security-Services erhöhte Vorsicht geboten. Vermehrt kommen beispielsweise "Web-Gateways aus der Cloud" auf, die den aus- und eingehenden Datenverkehr prüfen und reinigen ('Clean Pipe'). Sie setzen so die Unternehmens-Policies um, die festlegen, welche Art von Mails, Websites und Social-Media-Angeboten ein Unternehmensnetz erreichen oder verlassen dürfen. Wo Anwender solche Gateways früher vielleicht selbst in ihrem Rechenzentrum betrieben, befinden sich diese nun zwar auf dem Server eines Dienstleisters und damit "in der Cloud", müssen aber nach wie vor meist mit internen Ressourcen betreut werden. Die Policies sind schließlich nicht "mit der Gießkanne" auf alle Kunden eines Dienstleisters übertragbar, sondern variieren. Das Cloud-Etikett ist hier fehl am Platz.

Gut zu Gesicht steht die Bezeichnung "Cloud-Service" hingegen so genannten DDoS Mitigation Services, die ausschließlich in der Cloud betrieben werden können. Diese filtern den Webtraffic vor und leiten ihn bei Bedarf um ein Unternehmensnetz herum, um einer übermäßigen Auslastung der Datenleitungen entgegen zu wirken. Breitbandattacken lassen sich so stark eindämmen oder sogar ganz verhindern. Als "einziges Szenario, das den Namen Cloud Security Service aktuell auch verdient" bezeichnet Strobel diese Dienste.

Was nicht geht

Ralf Nitzgen sieht den Security Services Grenzen gesetzt, wenn es um geschäftskritische Daten geht.
Ralf Nitzgen sieht den Security Services Grenzen gesetzt, wenn es um geschäftskritische Daten geht.
Foto: Allgeier IT Solutions

Auch wenn heute fast überall "Cloud" draufsteht, ist also nicht überall auch Cloud drin. Unbestritten ist beispielsweise, dass es Security-Bereiche gibt, die sich zumindest mittelfristig nicht als Cloud-Dienst werden beziehen lassen - ganz gleich, was die Anbieter versprechen. Nitzgen nennt beispielsweise DLP-Produkte (Data Leakage Prevention), weil diese direkt an der Schnittstelle zu geschäftskritischen Daten eingesetzt würden. Schon aus datenschutzrechtlichen Gesichtspunkten sei ein ausgelagerter Dienst, der diese Daten verarbeitet, nicht möglich. Röcher führt andere geschäftsnahe Prozesse wie Risiko-Management, Security Governance und Compliance-Management ins Feld. Diese ließen sich nicht auslagern, weil auch sie sich zu stark am "Herz des Unternehmens" ausrichteten und nur über interne Arbeitsabläufe abgebildet werden könnten. Bestimmte Branchen seien zudem per se nicht dafür vorgesehen, IT-Security auch nur teilweise als Service zu beziehen - dazu gehören nach der Meinung von Röcher unter anderem Rüstungskonzerne und Geheimdienste.

Fazit

Cloud-Dienste sind die Weiterentwicklung bekannter Web-Service-Technologien und bieten auch im Security-Umfeld neue Möglichkeiten. Relevant werden sie, weil es vermehrt um die Absicherung dezentraler IT-Landschaften und verteilter Datenmengen geht. Besonders durch den Trend zu mobilen Geräten im Unternehmensumfeld ist eine neue Herangehensweise an die IT-Sicherheit notwendig geworden. Einige neue Dienste sind bereits entstanden, der Meinung der Experten nach werden noch viele folgen. Das überbordende Angebot macht die Auswahl für den Anwender jedoch schwieriger. Zudem muss er genau aufpassen, wofür er bezahlt. Hat er seine Wahl erst einmal getroffen und kann sicher sein, dass seine Sicherheitsanforderungen erfüllt sind, ist es ihm letztlich egal, ob der Security-Service nun ein "richtiger" Cloud-Dienst ist oder nicht.