Das Verständnis von IT-Security verändert sich: Verglich man früher IT-Infrastrukturen mit Burgen, die umso sicherer sind, je besser sie nach außen abgeschirmt werden - also mit einem möglichst tiefen und breiten Burggraben - lösen sich die Grenzen heute mehr und mehr auf. Solche klar abgrenzbaren IT-Burgen findet man heute kaum noch. Das Security-Mittelalter scheint sich langsam aber sicher seinem Ende zuzuneigen. Die Herausforderungen werden damit aber nicht geringer.
Corona macht Cloud-Security-Pessimismus
Natürlich hat die Corona-Krise daran einen großen Anteil. Die Pandemie hat schlagartig offen gelegt, wie unvorbereitet die Unternehmen auf den Wechsel ihrer Mitarbeiter ins Homeoffice wirklich waren. "Bei Kunden, die von heute auf morgen ins Homeoffice gewechselt sind, gab es erschreckend viele Security-Defizite", stellt Alexander Kirchner vom Identitätsmanagement-Provider Okta fest. "Unternehmen mussten ihre Mitarbeiter schnell enablen, aus ihrer Küche heraus zu arbeiten. Das bringt natürlich immense Risiken mit sich."
Corona brachte keine digitale Revolution. Die Pandemie ermöglichte aber eine Bestandsaufnahme und bestätigte dabei die Befürchtungen: Die Situation ist vor allem aus Security-Perspektive deprimierend. Eine spontane, nicht repräsentative Umfrage im Rahmen des IDG Roundtables "Cloud Security", an dem Vertreter von Service Providern, Beratungsunternehmen und Softwareunternehmen aus den verschiedensten Bereichen teilnahmen, ergab einstimmig ein eher pessimistisches Meinungsbild. Alle Teilnehmer sahen beim Thema Security dringenden Handlungsbedarf.
Doch hat die schnelle Zunahme der Nutzung von Cloud-Technologien im Kontext von Remote Work hier vielleicht auch zu Verbesserungen geführt? Nein - im Gegenteil, findet Michael Hoos vom Unternehmenssoftware-Anbieter Micro Focus: "Die Pandemie hat mit Blick auf die IT-Security nichts verbessert: Die Situation war vorher schwierig und ist auch heute noch schwierig. Viele Projekte in diesem Bereich wurden erstmal abrupt gestoppt, weil andere Dinge wichtiger waren. Diese Verzögerungen haben das Sicherheitsniveau nicht gesteigert."
- Frank Kölmel, Cybereason
Die Security-Lage hat sich im Vergleich zu früher eher verschärft, vor allem durch die zunehmende Remote-Arbeit. Endpoints, Mobile Devices, Apps, Identitäten – nur wer diese verschiedenen Elemente sinnvoll verknüpft, kann auch eine gute Cyberabwehr aufbauen. - Frank Limberger, Forcepoint
Ein Hacker bricht nicht ein, sondern er loggt sich ein. Aus diesem Grund ist reiner Passwortschutz auch nicht mehr ausreichend – ich muss darüber hinaus auch wissen, ob die Person, die sich anmeldet, auch tatsächlich die berechtigte Person ist. Das kann ich am Ende nur über Behavioural Analytics herausfinden. Credentials kann man klauen, aber das Verhalten von Nutzern zu kopieren, das ist nicht so einfach. - Stefan Gutekunst, Logicalis
Auch wenn Remote Work erstmal zu einem gestiegenen Sicherheitsbedürfnis geführt hat, hat sich der Stellenwert dieses Themas im Rest der Wirtschaft nicht nennenswert erhöht und befindet sich nach wie vor auf einem unverändert katastrophalen Niveau – zum Beispiel in der industriellen Produktion. - Michael Hoos, Micro Focus
Natürlich haben die Hyperscaler ein sicheres Cloud-Angebot. Doch die sicherste Cloud-Umgebung bringt nichts, wenn die Verantwortung für die eigenen Daten weiterhin beim Nutzer und Unternehmen liegt. Auf dieser Ebene liegt eine immense Verantwortung und Mitarbeiter*innen müssen lernen, diese auch erfüllen zu können. - Stratos Komotoglou, Microsoft
Die Cloudifizierung führt auch zu einer Veränderung der Rolle, die die IT im Unternehmen spielt. Es wird sicherlich mehr darauf ankommen, Daten auszuwerten und Protokolle zu überwachen. Das führt am Anfang vielleicht auch zu einer erhöhten Angst in der IT um den eigenen Job. Dieser Angst muss man entgegenwirken, indem man proaktiv den Dialog sucht. Die IT wird nicht abgeschafft, sondern wandelt sich eher zur internen Serviceorganisation. - Alexander Kirchner, Okta
Bei Kunden, die von heute auf morgen ins Home Office gewechselt sind, gab es erschreckend viele Security-Defizite. Unternehmen mussten ihre Mitarbeiter schnell enablen, aus ihrer Küche heraus zu arbeiten. Das bring natürlich immense Risiken mit sich. Das Identitätsmanagement rückt hier vermehrt in den Fokus. - Matthias Pfützner, Red Hat
Security wurde bislang immer vernachlässigt und als Add-On betrachtet, egal bei welcher Technologie. Beim iPhone gibt es zum Beispiel bis heute, über 10 Jahre nach Einführung, keine vernünftige Mailverschlüsselung. Hier muss dringend ein Umdenken einsetzen. Security sollte von Anfang an als Kernelement einer Infrastruktur mitgedacht werden. - Andrea Wörrlein, VNC
Als Team waren wir es auch vor Corona schon gewohnt, virtuell zusammenzuarbeiten. Wir konnten über die Jahre einen Open-Source-Stack an Kollaborations- und Kommunikationslösungen aufbauen, der unseren Kunden trotz aller Flexibilität auch die größtmögliche Sicherheit bietet. - Kevin Schwarz, Zscaler
Zero Trust ist einfach das neueste Buzzword, das in den Marketingabteilungen zirkuliert. Da es sich dabei um ein Architekturmodell handelt, kann es nicht von der Stange geordert werden - sondern muss jeweils an den Bedarf des Unternehmens angepasst werden.
Die Pandemie sorgte im Security-Kontext nicht nur für die Verschiebung von notwendigen Modernisierungsprojekten: Viele Unternehmen sehen sich auch mit einer komplett neuen Situation konfrontiert. Der vorher klar abgegrenzte Perimeter "Firmengelände" - die Burg - verwandelt sich zunehmend in geografisch verteilte IT-Umgebungen, was den Schutz der Mitarbeiter vor externen Gefahren nicht gerade einfacher macht.
"Wo es früher darum ging, die IT-Umgebung als ganzes nach außen zu sichern, ist heute der Mitarbeiter selbst zum Perimeter geworden. Gerade im Entwicklungsbereich wird auch gar nicht mehr unbedingt auf Corporate-Geräten gearbeitet. Wir müssen Security also dorthin bringen, wo sie benötigt wird: In die Cloud", betont Frank Limberger von Forcepoint.
Informationen zu den Partner-Paketen der Cloud-Security-Studie
Cloud Security neu denken
Wenn jeder Mitarbeiter einen eigenen, zu schützenden Perimeter darstellt, muss sich auch das Verständnis von Security insgesamt wandeln. Jedes "Burggraben-Denken" wird vor diesem Hintergrund zum Hindernis: Denn nur wenn ein Bewusstsein dafür herrscht, dass jeder Endpunkt ein potenzielles Einfallstor ist, können Administratoren die Basis dafür legen, dass künftige Vorfälle angemessen behandelt werden.
Das bedeutet vor allem: Mit dem Risiko zu leben und Szenarien für den Ernstfall zu entwickeln. Incident Management wird gegenüber der Prävention in der Bedeutung drastisch zunehmen, prognostiziert Frank Kölmel von Cybereason: "Unternehmen müssen immer damit rechnen, dass Angriffe auch erfolgreich sein können. Schließlich bewegen sich die Angreifer oft schon mehrere Monate im Firmennetz, bevor ihr Eindringen überhaupt bemerkt wird. Es ist also wichtig, Mechanismen für die Erkennung von und die Reaktion auf Angriffe zu entwickeln und zu implementieren."
Große Potenziale sehen die Experten dabei in der Nutzung von KI und Machine Learning. Nun werden beide Technologien, gerne auch synonym, in fast jedem IT-bezogenen Kontext als vielversprechende und zukunftsträchtige Hoffnungsträger tituliert, allerdings sprechen gerade im Security-Bereich besonders gute Argumente für den Einsatz von künstlicher Intelligenz: KI erkennt Veränderungen, Verschiebungen und andere Anomalien in Datensätzen viel schneller und zuverlässiger, als es bisherige softwaregestützte Verfahren jemals konnten - ganz zu schweigen von einem Menschen. Gerade die Fähigkeit, Muster in großen Datenmengen zu erkennen und zu analysieren macht die KI prädestiniert für forensische Verfahren zur "Anomaly Detection". Anders gesagt: Nur wer überhaupt weiß, wie die Normalität in den eigenen Daten aussieht, weiß auch, wann das Verhalten eines Users - oder eines Bots - von dieser Normalität abweicht und kann entsprechend reagieren.
Studie "Cloud Security 2021": Sie können sich noch beteiligen! |
Zum Thema Cloud Security führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 384), René Krießan (rkriessan@idg.de, Telefon: 089 36086 322) und Bastian Wehner (bwehner@idg.de, Telefon: 089 36086 169) gerne weiter. Informationen zur Cloud-Security-Studie finden Sie auch hier zum Download (PDF). |
Vorteil Public Cloud?
Nun sind KI-Szenarien in der Theorie schnell und leicht formuliert und klingen zunächst auch absolut plausibel. Doch die Umsetzung in der Praxis war gerade von kleineren Unternehmen in der Vergangenheit eher schwierig zu stemmen. Hier - so versichern es vor allem die Hyperscaler - entfalten die Cloud-Plattformen ihre Stärken.
"Die Cloud bietet immense Hilfe bei der Realisierung tragfähiger Security-Konzepte. Durch KI und Machine Learning lassen sich automatisierte Abwehrmechanismen integrieren, die den Menschen zwar nicht ablösen werden, aber eine schnellere Reaktion mit weniger Ressourceneinsatz ermöglichen", betont Stratos Komotoglou von Microsoft.
Für Matthias Pfützner von Red Hat liegt in der Größe der Public-Cloud-Anbieter auch deren entscheidender Security-Vorteil: "Sicherlich führt die Marktkonzentration, die sich gerade vollzieht, zu gewissen positiven Effekten, weil das Security-Know-How an einem zentralen Ort gebündelt ist. Mit einem Sicherheitspatch lässt sich heute ein Bug bei 40.000 Installationen gleichzeitig fixen."
Die Aussage ist vor allem bemerkenswert, weil sie von einem Vertreter eines der größten Open-Source-Projekte kommt. Ist sie vielleicht sogar ein Indikator dafür, dass sich die traditionelle Trennlinie zwischen Open Source und proprietären Herstellern im Lichte der Cloudifizierung langsam verschwimmt und andere Faktoren in den Vordergrund rücken? Dafür sprechen nicht nur die Marktbewegungen der letzten Jahre (wie zum Beispiel Microsofts Übernahme von Github oder der Red-Hat-Kauf durch IBM).
Open Source werde auch technologisch weiterhin seinen festen Platz haben, davon ist Andrea Wörrlein von VNC überzeugt: "In hochsensiblen Projekten sind SaaS-Lösungen keine Option. Hier müssen Unternehmen zwangsläufig auf On-Premises oder eine abgesicherte Cloud setzen und lange Penetration-Test-Phasen einplanen. In solchen Projekten reicht es auch nicht, sich lediglich die Infrastruktur anzuschauen, sondern man muss auch in den Code der einzelnen Anwendungen. Code Reviews sind in vielen Projekten zwingend notwendig, auch um Backdoors und Wirtschaftsspionage zu verhindern." Vieles spricht also dafür, dass Open Source und propriätere Software künftig noch enger miteinander verzahnt werden.
Technologie ist kein Allheilmittel
Doch egal welches technologische Setup man wählt, Unternehmen werden damit nicht mehr als etwa ein Drittel der Sicherheitsrisiken bannen können. Wie dieser Wert zustande kommt, rechnet Matthias Pfützner vor: "Security findet auf drei Ebenen statt: People, Processes, Products. Die Hauptfehler, die zu einem Angriffsrisiko führen, finden sich zu jeweils etwa einem Drittel in einem dieser Bereiche. Das bedeutet im Umkehrschluss: Sie können mit Technologie nur rund 30 Prozent des Risikos abdecken, der Rest muss organisatorisch erfolgen."
Trotz aller disruptiver Möglichkeiten, die KI und Machine Learning für die Security bringen, bleibt deshalb auch hier am Ende die Gewissheit, dass es noch lange der Mensch sein wird, der letzten Endes die finale Entscheidung trifft.
Informationen zu den Partner-Paketen der Cloud-Security-Studie