"Nach wie vor ist der Mensch das schwächste Glied in der Kette."
CW: Warum jagt die Sicherheitsbranche den Cybersecurity-Kriminellen immer hinterher? Liegt das auch daran, dass Security immer ein nachgelagerter Prozess ist?
Solari: Nach wie vor ist der Mensch das schwächste Glied in der Kette. Die meisten komplexen Angriffe starten mit Social Engineering, zum Beispiel "Phishing".
Pistone: Es fängt in über 80 Prozent der Fälle mit Mitarbeitern an, die ihrem eigenen Unternehmen bewusst oder unbewusst schaden.
Solari: Deshalb versuchen wir, die Stellen zu eleminieren, von denen häufig die Schäden ausgehen. Nehmen Sie beispielsweise unsere Dynamic Desktops. Sie beziehen alle Daten und Applikationen aus dem Netz. Sie verfügen weder über USB-Schnittstellen noch Festplatten. So schalten wir zumindest dieses eine Risiko aus.
CW: An dieser Stelle wird das Hase-und-Igel-Spiel sehr deutlich. Wenn Sie den Desktop der Mitarbeiter absichern, dann macht das nur Sinn, wenn Sie Netzwerk und Server umso besser schützen.
Solari: Ja klar, aber man kann Desktops mit eigenen Speichermöglichkeiten nicht komplett absichern. Bei Servern besteht eine viel größere Chance.
CW: Oft entstehen Sicherheitslücken gar nicht durch böse Absicht von Mitarbeitern oder Fremden, sondern schlicht und einfach deshalb, weil Sicherheit unbequem ist. Sie dauert, sie verringert die Leistung, sie macht zusätzliche Schritte in Prozessen notwendig etc. Muss IT-Security nicht komfortabler und einfacher werden?
Solari: Unbedingt! Wir sehen diese Entwicklung bereits. Nehmen Sie Windows 7. Gegenüber älteren Windows-Versionen denkt es sicherheitstechnisch schon mit. Aber es ist natürlich nicht in Ordnung, wenn Sicherheitsroutinen zeitweise fast sämtliche Rechenpower aufsaugen. Sicherheit muss simpler werden. Dieser Prozess steht am Anfang, aber hat definitiv begonnen. Viele Sicherheitsaufgaben werden künftig in der Carrier Cloud erledigt. Das macht Sicherheit ein Stück bequemer.
- Die 10 größten Security-Risiken in der Cloud
Lesen Sie, welche Security-Risiken der Einsatz einer Public oder Hybrid Cloud birgt und was Sie dagegen tun können. - Verletzung der Vertraulichkeit und Integrität der Daten:
Eine Lokalisierung der Daten ist in einer Public oder Hybrid Cloud für den Dateneigentümer nicht mehr einfach möglich. Daher ist der Schutz der Daten auf der Infrastruktur-, Plattform und Applikationsebene häufig nicht mehr mit üblichen Mitteln zu gewährleisten. - Löschung von Daten:
Daten müssen in vielen Fällen (etwa aufgrund gesetzlicher Bestimmungen) gelöscht werden. Auch hier besteht das Risiko einer nur unzureichenden oder unvollständigen Löschung auf allen Plattformen und Datenbanken der Cloud, da die Lokalisierung der Daten nur schwer möglich ist. - Ungenügende Mandantentrennung:
Bei nicht ausreichend abgesicherter Mandantentrennung besteht die Gefahr, dass Dritte unautorisiert Daten einsehen oder manipulieren können. - Verletzung der Compliance:
Da Daten in einer Public Cloud prinzipiell in allen Ländern der Welt in deren spezifischen Rechtsordnungen verarbeitet werden können, ist die Erfüllung aller gesetzlicher Anforderungen eine wesentliche Aufgabe bei der Nutzung von Public Cloud Leistungen. - Verletzung von Datenschutzgesetzen:
Es ist nicht von vornherein klar, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software die Daten gespeichert und verarbeitet werden. - Insolvenz des Providers:
Die Insolvenz eines Providers bedeutet meist nicht die Insolvenz aller Rechenzentren, die der Provider verwendet hat. Rechenzentren werden zudem bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft werden. - Problematik der Subunternehmer:
Ein weiteres Problem stellt die Auftragsweitergabe an Subunternehmer dar. Der Provider wird häufig Subunternehmer für gewisse Leistungen verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer häufig verborgen (und soll ja nach der Philosophie des Cloud Computing verborgen bleiben). - Beschlagnahmung von Hardware:
Eine Beschlagnahme von Hardware kann in allen Ländern erfolgen, in denen der Provider Computing-Ressourcen nutzt. Meist werden sich Daten des Auftraggebers auf beschlagnahmten Servern befinden. - Handel mit Ressourcen wird denkbar:
Denkbar ist auch, dass Provider einen Handel mit ihren Ressourcen untereinander aufbauen und damit eine "Ressourcenbörse" realisieren wie sie in obiger Abbildung angedeutet ist. Auf dieser Börse werden Ressourcen zu einem bestimmten Preis angeboten. - Erpressungsversuche:
Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis mit Administrationsaufgaben für Ressourcen der Public Cloud unüberschaubar groß ist. Das eingesetzte Personal verfügt im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein.
CW: Wird Sicherheit also in Zukunft als zusätzliche Ebene in der Cloud angeboten, in die sich alle einklinken und sich so von Security-Risiken befreien?
Solari: Es wird nicht eine Sicherheitslösung geben. Es werden immer mehrere nötig sein. Aber definitiv wird das Netzwerk mehr Elemente übernehmen können als heute. Man kann heute schon Denial-of-Service-Attaken im Netz erkennen, andere Bedrohungen auch. Aber es sind natürlich viele rechtliche Fragen zu klären, damit zum Beispiel der an Sie adressierte Spam vom Provider oder einem Dritten aus dem Netz entfernt werden kann. Das ist nicht simpel.
CW: CSC unternimmt große Anstrengungen, um Clouds abzusichern. Was tun Sie konkret?
Solari: Das kommt natürlich immer auf die jeweilige Kundensituation an. Aber im Prinzip sorgen wir zusammen mit unseren Technologiepartnern dafür, dass die getroffenen Sicherheitsmaßnahmen gegenüber dem Kunden sichtbar sind; wir stellen sicher, dass sie den regionalen und lokalen Bestimmungen entsprechen und, vielleicht das Wichtigste: Wir übernehmen die Verantwortung für das vereinbarte Sicherheitsniveau und zwar in der Public, in der Private und in der Hybrid Cloud.