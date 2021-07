Im März 2021 kündigte Google Cloud ein neues Angebot names "Risk Protection Program" an, das seinen Cloud-Kunden - zunächst in den USA, demnächst auch in Deutschland - dabei unterstützen soll, Sicherheitsrisiken zu reduzieren. Dazu hat sich Google mit zwei Partnern zusammengetan, nämlich den Münchner Versicherungsunternehmen Allianz und Munich Re. Die Versicherer haben eine spezielle Cyberversicherungspolice für Google-Cloud-Kunden entwickelt, die sich "Cloud Protection+" nennt.

Das Ziel des Angebots, das laut Google die erste Partnerschaft zwischen einem großen Cloud-Anbieter und führenden Cyberversicherern darstellt, ist es, Vertrauen zu schaffen. Und zwar in erster Linie bei Unternehmen, die eine Verlagerung kritischer Workloads in die Cloud erwägen. Bestandteil ist auch ein neues Sicherheitsdiagnose-Tool namens "Risk Manager". Damit sollen die Kunden ihr Risiko in der Google Cloud messen und verwalten können sowie ein Reporting über ihre Sicherheitslage erhalten. Das kann potenziell dazu führen, dass Anwenderunternehmen weniger für spezifische Cyberversicherungen investieren müssen.

Unsere US-Kollegen von CSO haben mit Phil Venables, Vice President und CISO von Google Cloud und ehemals CISO von Goldman Sachs, über Cloud-Sicherheitstrends und darüber gesprochen, welche Auswirkungen Services wie das neue Google-Angebot haben.

"Digitales Immunsystem für unsere Kunden"

Inwieweit ist es für CISOs ein Problem, Compliance-Fragebögen ausfüllen zu müssen, um die eigene Cloud-Sicherheitslage für potenzielle Partner und Kunden zu zertifizieren?

Phil Venables: Anfragen von Kunden, Prüfern und Aufsichtsbehörden zu beantworten, ist ein notwendiger Bestandteil jedes kritischen Service. Bei der Standardisierung solcher Bewertungs-Frameworks gab es zuletzt große Fortschritte, nicht zuletzt im Hinblick auf die verfügbaren Zertifizierungen von ISO, SOC1/2 und mehr. Ein Vorteil eines Compliance-freundlichen Cloud-Services ist, dass eine Reihe von Zertifizierungen verfügbar sind. Sie helfen dem CISO und seinem Team (oder anderen Teams), indem sie alle notwendigen Informationen als Teil der Nutzung des Services bereitstellen.

Wie adressieren neue Services, wie das kürzlich angekündigte Risk Protection Program, dieses Problem?

Venables: Aufbauend auf dem, was wir für die Analyse des Sicherheitszustands und die Compliance-Berichterstattung tun, ermöglicht das Risk Manager Tool in unserem Risikoschutzprogramm eine effizientere und genauere Messung und Verwaltung der Risiken in Google Cloud. Das Risk Manager Tool generiert einen Bericht, der Unternehmen dabei hilft, ihre Sicherheitsrisikolage zu verstehen und als Indikator für ihre Sicherheits-Grundlinie dient. So müssen Unternehmen weniger Zeit dafür aufwenden, ihre Sicherheitseinstellungen zu kommunizieren und können diese durch das Tool effizienter verwalten. Der Bericht kann dann direkt mit unseren Versicherungspartnern Allianz und Munich Re geteilt werden, um die Eignung für spezielle Cyberversicherungen zu beurteilen.

Welche Rolle spielt die Telemetrie bei der Bewertung der Sicherheitslage eines Unternehmens in der Cloud?

Venables: Eine erhöhte Tiefe, Breite und Häufigkeit in Sachen Observability der Sicherheitskonfiguration ist entscheidend und einer von vielen Sicherheits- und Kontrollvorteilen in der Cloud. Es ist wichtig, die Sicherheitsmetriken und die Genauigkeit bei der Risikomessung zu verbessern. Als Cloud-Anbieter nehmen wir eine Sonderrolle ein, in der wir eine Art digitales Immunsystem für unsere Kunden werden können, da wir Probleme erkennen und schnell Unterstützung bieten können. Ein Bestandteil dieser Arbeit ist es, bessere Metriken und Messungen rund um die Sicherheit zu entwickeln. Ich denke jedoch, dass wir Gefahr laufen, zu sehr davon besessen zu sein, den perfekten Satz an Metriken für jeden Kontext zu finden. Mit dem Risk Manager starten wir ein Programm, das auf Best Practices für die Konfiguration von Cloud-Ressourcen des Center for Internet Security Standards basieren.

Was mich an dem Programm begeistert, ist die Möglichkeit, den Kreislauf zu schließen: Unsere Versicherungspartner werden Daten darüber sammeln, welche Indikatoren mit Verlusten korreliert sind und die Tiefe des Feedbacks, das wir unseren Kunden zum Thema Risiko geben, kontinuierlich verbessern.

Kristian Beckers, Airbus CyberSecurity

Die Cloud-Risiken sind den Unternehmen nicht bewusst genug. Durch Cloud-Dienste erhöht sich die Zahl der Schnittstellen, und die Gefahr des Datenabflusses ins Internet steigt. Mein Tipp ist, mit Pen-Testing bei Cloud-Diensten mehr Awareness für mögliche Cloud-Schwachstellen zu schaffen. Andreas Nolte, Arvato Systems

Mir sind Fälle bekannt, wo eine große Zahl von Laptops im Handel gekauft wurden und direkt in den Homeoffices zum Einsatz kamen. Eine sichere Konfiguration fehlte ebenso wie die zuverlässige Versorgung mit Patches. Hätten sich die Unternehmen schon vorher um eine cloudbasierte Lösung bemüht, hätte dies viele zusätzliche Risiken vermieden. Tobias Olgemöller, Axians

Häufig kümmert sich nicht das Mail-Team um die Sicherheit von Office 365, welches den Schutz der internen Mailserver verantwortet. Stattdessen übernimmt häufig das Azure-Team im Unternehmen die Mail-Sicherheit. Mangels fachlichen Know-how kann es dadurch zu gefährlichen Konfigurationsfehlern kommen. John-Erik Horn, BDO Cyber Security

Was wir in dem letzten Jahrzehnt erlebt haben, jede Unternehmensfunktion hat sich ihre eigene Lieblings-SaaS-Lösung am Markt ausgesucht. Nun sind die Tools etabliert, und der Enterprise Architect versucht für Datenkonsistenz und effiziente Process Flows zu sorgen. Derweil steht der CISO vor diesem Spaghetti an Schnittstellen und Datentöpfen, schlägt sich die Hände über den Kopf und überlegt sich einen Karrierewechsel. Die Vielzahl und Komplexität der eingesetzten Tools, insbesondere in der Cloud, verlangen nach ganzheitlichen Lösungsansätzen, um ein angemessenes Sicherheitsniveau sicherzustellen. Hier ist der Trusted Advisor gefragt, der nicht vom einzelnen Anbieter abhängt, sondern die optimale Lösung für den Kunden entwickeln kann. Thomas Uhlemann, ESET

Bei dem Wechsel ins Homeoffice fehlten vielfach betriebliche Endgeräte, BYOD war die Folge. Ohne VPN, Mehr-Faktor-Authentifizierung und mit unzureichendem Cloud-Wissen starteten viele Beschäftigte die Cloud-Nutzung. Viele Systeme waren über die Cloud offen zugänglich. Wir haben eine starke Zunahme an RDP-Angriffen festgestellt. Christian Nern, KPMG

Als die Beschäftigten ad hoc in großer Zahl ins Homeoffice gewechselt sind, entstanden Risiken hinsichtlich Informationssicherheit bzw. Datenschutz durch unautorisierte Datentransfers, durch die Veränderung von Verhaltensmustern in IT-Netzwerken mussten die Erkennungsregeln für Netzwerkanalysen dringend angepasst werden. Andre Staffe, NTT

Cloud-Risiken gehen mit Überforderung einher. In vielen Unternehmen müssen die Cloud-Migrationen nicht zuletzt durch Corona zügig ablaufen, bei gleichzeitigem Ressourcenengpass. Fehlerhafte Cloud-Konfigurationen können die Folge sein und Cloud-Sicherheitsvorfälle ermöglichen. Ibrahim Koese, Spike Reply

Für das Cloud Security Management gibt es viele Konzepte, Vorgaben und Standards, wie die CSA Cloud Control Matrix, Providerempfehlungen oder den Kriterienkatalog C5 des Bundesamtes für Sicherheit in der Informationstechnik. Daran mangelt es nicht, doch die Umsetzung darf nicht fehlen.

"Geteilte Verantwortung hinter sich lassen"

Wie viel zusätzliche Transparenz und Sicherheit kann die Telemetrie schon jetzt bieten und was muss geschehen, damit sich das weiter verbessert?

Venables: Das Risk Protection Program ist der erste Schritt, unseren Versicherungspartnern den Zugang zu verwertbaren Daten zu ermöglichen, auf denen sie aufbauen können. Die Daten aus dem Tool helfen ihnen, ihre Underwriting-Prozesse zu optimieren und ihre Versicherungspolicen mit der datengesteuerten Technologie, die ihre Versicherten einsetzen, weiterzuentwickeln.

Ich bin der festen Überzeugung, dass wir die Sicherheitsgrundlage allgemein verbessern können, wenn die Kosten für Kontrollen sinken. Je mehr Kontrollfunktionen unsere Plattform bietet, desto mehr profitieren unsere Kunden davon. Dabei brauchen wir Kunden, die die von uns angebotene Sicherheitstechnologie aktiv annehmen, stehen jedoch in der Pflicht, den jeweiligen Business Case herauszuarbeiten und den Adoptionsprozess zu vereinfachen. Unsere besten Sicherheitsfunktionen sind die, über die der Kunde nie nachdenken muss.

Gehen Cloud-Anbieter dazu über, das Compliance-Reporting zu automatisieren? Was bedeutet das für CISOs und ihre Teams?

Venables: Ein wichtiger Teil des Cloud-Betriebs ist die Möglichkeit, die beabsichtigte Konfiguration deklarativ zu definieren und so die kontinuierliche Einhaltung zu überwachen. Dieser Richtlinien- oder "Controls as Code"-Ansatz ist ein wichtiger Bestandteil des Continuous Controls Monitoring. Zusammen mit der Zuordnung dieser Kontrollen zu den Risiko- und Compliance-Zielen ist dies wiederum die Grundlage für ein automatisiertes Reporting, das den Aufwand, der durch Compliance-Sicherung entsteht, drastisch reduziert.

Wie bedeutsam ist es, dass ein Cloud-Anbieter und Versicherungsunternehmen bei so etwas zusammenarbeiten?

Venables: Dies ist die erste Zusammenarbeit zwischen einem großen Cloud-Anbieter und führenden Cyberversicherungsunternehmen. Zu lange waren die Kunden für den Aufbau effektiver Cloud-Sicherheitsprogramme selbst verantwortlich. Das Ergebnis ist, dass Unternehmen die Cloud als ein zu verwaltendes Risiko angesehen haben, statt als eine Plattform für Risikomanagement. Mit dem Risk Protection Program ermöglichen wir unseren Kunden, das alte Modell der geteilten Verantwortung hinter sich zu lassen und zu einem neuen Modell des geteilten Schicksals überzugehen. Dieses beinhaltet detaillierte Anleitungen zur Optimierung der Cloud-Sicherheit, Tools zur Verwaltung der laufenden Sicherheits- und Compliance-Anforderungen und jetzt auch einen vereinfachten Zugang zu Cyberversicherungen mit Preisen, die direkt an eine starke Sicherheitslage gekoppelt sind.

"Cloud erleichtert Risikotransparenz"

In der Vergangenheit haben Sie von "strukturellen Veränderungen" wie der Schaffung von Informationsaustausch- und Analyse-Zentren sowie einer Aufwertung der Rolle des CISO gesprochen. Gibt es in letzter Zeit weitere erwähnenswerte Entwicklungen auf dieser Ebene?

Venables: Die Cloud insgesamt ist ein gutes Beispiel dafür. Vor allem die Skaleneffekte der Cloud verändern die IT-Sicherheit grundlegend. Das Tempo der Sicherheitsverbesserung und in dem Sicherheitsfunktionen zu Produkten hinzugefügt werden - zu sicheren Produkten, nicht zu Sicherheitsprodukten - beschleunigt sich. Die anderen Cloud-Anbieter haben natürlich ähnliche Fortschritte gemacht. Diese massive, globale Beschleunigung, um die Sicherheit im Einklang mit Agilität und Produktivität zu erhöhen, ist für alle von Vorteil.

Gibt es weitere vielversprechende neue Technologien oder Prozesse, die Ihrer Meinung nach einen großen Einfluss auf Cloud und Sicherheit haben werden?

Venables: Unternehmen benötigen Echtzeit-Geschäftskontext für Sicherheitsdaten. Die Zuordnung von Sicherheitsproblemen zum Business-Kontext, um eine Risikostufe zu bestimmen, ist ein zeitaufwändiger Prozess. Diese Verzögerung führt letztlich dazu, dass Unternehmen einem höheren Risiko für einen Sicherheitsvorfall ausgesetzt sind. Mit der Cloud geht der Trend in eine positive Richtung, denn die Technologie erleichtert die Risikotransparenz - von gut beleuchteten Sicherheitspfaden über deklarative Ansätze wie Configuration as Code, bis hin zu präziseren Inventaren und Diagnosen. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.