Experten-Roundtable Cloud Security

Der Provider wird's schon richten

21.12.2018
Von 
Florian Stocker ist Inhaber der Kommunikationsagentur "Medienstürmer".
Beim Thema Cloud denken Unternehmen zuallererst an den Nutzen von Technologie. Die Security bleibt allerdings noch häufig auf der Strecke. Die Gründe sind vielfältig: Hohe Komplexität, unklare rechtliche Zuständigkeiten und fehlende Strategien führen dazu, dass vor allem kleinere Unternehmen die Security-Verantwortung beim Provider sehen – ein Trugschluss, der im schlimmsten Fall schwere Folgen haben kann.

Der Automobilvergleich gehört wohl zum liebsten Stilmittel deutscher Diskussionsrunden. Das gilt auch und insbesondere dann, wenn es um Sicherheitsthemen geht. Und so generierte der IDG Roundtable zum Thema Cloud Security Formulierungen wie "Cloud ist wie 250 auf der linken Spur" oder "ein Auto funktioniert erstmal auch ohne Sicherheitsgurt".

Mit der zunehmenden Cloud-Nutzung rückt auch der Security-Aspekt immer mehr in den Fokus der Verantwortlichen.
Mit der zunehmenden Cloud-Nutzung rückt auch der Security-Aspekt immer mehr in den Fokus der Verantwortlichen.
Foto: Blackboard - shutterstock.com

Der Vergleich mit dem Automobil passt vor allem in einer Dimension: Wenn die Sicherheit vernachlässigt wird, kann dies unbestreitbar verheerende Folgen haben. Doch auch diese heute selbstverständliche Erkenntnis hat es erst nach und nach in die Köpfe der Autofahrer geschafft. Das belegen die teils sehr amüsanten Artikel, die regelmäßig an die "hysterische" Reaktion der Autofahrer bei der Einführung der Gurtpflicht im Jahr 1975 erinnern.

Erst der Nutzen, dann die Sicherheit - ein Mechanismus, der auch beim Thema Cloud keine Ausnahme macht, wie die geladenen Experten beim IDG Roundtable in München bestätigen. "Ähnlich wie beim Autofahren ohne Sicherheitsgurt tritt ein Bewusstseinswandel erst ein, wenn etwas passiert ist", betont etwa Oliver Lürssen, Executive Consultant beim IT-Berater CGI Deutschland.

Informationen zu den Partnerpaketen für die Cloud-Security-Studie

Nachdem heute der Nutzen der Cloud kaum mehr bestritten wird (wie auch die aktuelle CW-Studie zum Thema Cloud-Migration bestätigt), lässt der Einzug eines flächendeckenden Security-Bewusstseins noch auf sich warten. Bei der Suche nach den Gründen dafür fällt auf, dass vor allem kleine und mittlere Unternehmen der Entwicklung hinterherhinken - ein Umstand, der auch etwas mit den verfügbaren Ressourcen zu tun hat.

Geteilte Verantwortung - ganzheitliche Security?

Die wenigsten Unternehmen setzen in ihrem Alltag auf eine singuläre Cloud-Lösung, sondern nutzen meist eine Multi-Cloud-Struktur, die in ihrem Aufbau individuell auf die Unternehmensanforderungen zugeschnitten ist. Die Betriebe nutzen verschiedene Anbieter für Filesharing, Virtualisierung oder Kollaboration und nicht selten eine Kombination aus On-Premise- und Cloud-Lösungen. Doch je individueller und modularer das Setup ist, desto mehr Schnittstellen tun sich auf - potenzielle Sollbruchstellen für die Sicherheit des Gesamtsystems. Diese Komplexität kann vor allem kleine Unternehmen schnell überfordern. Das Resultat ist vor allem Unsicherheit, die dazu führt, dass die Verantwortung gerne auf den Schultern des jeweiligen Providers abgeladen wird.

Dieser ist allerdings nur teilweise haftbar, denn in der Regel stützt sich die Zusammenarbeit zwischen Anwender und Cloud-Anbieter auf das sogenannte "Modell der gemeinsamen Verantwortung" (Shared Responsibility). Demnach sind Provider nur für die Infrastruktur selbst verantwortlich, während Unternehmen für den Schutz ihrer eigenen Daten und Anwendungen haften.

Dies gilt umso mehr mit einem Blick auf die rechtliche Situation. Der US Cloud Act, der den US-Sicherheitsbehörden in bestimmten Fällen den Zugriff auf Daten europäischer Kunden erlaubt, schafft eine Situation, in der viele Provider die Wahl haben, entweder die Regeln des Cloud Act oder die der DSGVO zu brechen. Das schafft eine rechtliche Unsicherheit, deren Lösung aktuell nicht in Sicht ist. Die Anwender müssen also selbst dafür sorgen, dass ihre Daten nicht in die falschen Hände geraten.

Es geht dabei um Daten, die längst im gesamten Unternehmen gesammelt und verarbeitet werden. Security muss analog dazu auf allen Ebenen greifen. Noch immer werden die Verantwortlichkeiten dafür oft delegiert oder in bestehende Prozesse integriert, die noch aus Zeiten stammen, in denen alleine die IT-Abteilung die Unternehmensinfrastruktur managte. Diese Zeiten sind, so die einhellige Meinung in der Runde, vorbei.

"Um die Vielfalt der Cyber-Risiken in Echtzeit bewerten und kontrollieren zu können, sollten Unternehmen einen ganzheitlichen End-to-End Security Ansatz fahren. In großen Unternehmen hat das Thema Security an Wichtigkeit zugenommen und es bereits in die Boardrooms geschafft. Kleinere und mittlere Unternehmen müssen hier dringend aufholen, um den Sicherheitsanforderungen bei der voranschreitenden Digitalisierung Rechnung zu tragen", bemerkt Sebastian Spann von Microfocus.

Security muss von Anfang an greifen

Spätestens seit Inkrafttreten der DSGVO und potenziell drakonischer Strafen bei Verstößen gegen das Regelwerk stehen Datenschutz und Datensicherheit allerdings auch im Fokus der Chefetagen. Und seit dem flächendeckenden Einsatz von Cloud-Lösungen sind entsprechende Vorkehrungen auch dringend geboten. Dabei rückt aber oft in den Hintergrund, dass laxe Sicherheitsmaßnahmen in Unternehmen kein neues Phänomen sind. Auch früher schon konnten etwa mangelhaft geschützte Passwörter einen immensen Schaden im Unternehmen verursachen. Durch die Cloud wird das Risiko allerdings noch deutlich größer - weil sie durch die Vielzahl von Schnittstellen schlicht mehr Angriffsfläche bietet. Schließlich erhöht jede zusätzliche Softwareschicht die Komplexität um ein Vielfaches - und damit auch die Wahrscheinlichkeit von Sicherheitslücken.

Security-Experten aus unterschiedlichen Bereichen und Firmen diskutierten beim COMPUTERWOCE-Round-Table Cloud Security über Sicherheitsfragen rund um die Cloud.
Security-Experten aus unterschiedlichen Bereichen und Firmen diskutierten beim COMPUTERWOCE-Round-Table Cloud Security über Sicherheitsfragen rund um die Cloud.
Foto: IDG Business Media GmbH

Die Entwicklung und der Betrieb von Cloud-basierten Geschäftsanwendungen lässt es heute außerdem nicht mehr zu, dass Sicherheit im Nachhinein als "Add-On" zu einer bestehenden Infrastruktur einfach hinzugepackt werden kann. Der flächendeckende Siegeszug von DevOps verlangt einen "Security by Default"-Ansatz, der der Dynamik moderner Softwareentwicklung gerecht wird. Wenn Entwicklung zum Prozess wird, dann muss auch Security prozessual gedacht werden.

"Durch die Cloud und die rasante technologische Entwicklung wird Security für Unternehmen weniger planbar und zum "Moving Target". Wo es früher reichte, bestimmte Maßnahmen zu definieren und umzusetzen, ist Sicherheit heute eher eine infrastrukturelle Frage. Dabei gilt: Wer die Security von Anfang an berücksichtigen will, muss sie zum Teil des Entwicklungsprozesses machen", betont Thomas Neumann, Executive Manager Infrastructure Solutions bei SHE. Da man aber von hochspezialisierten Entwicklern nicht erwarten könne, dass sie dies von heute auf morgen einfach so "mitdenken" würden, funktioniere dies nur, wenn man die richtigen Personen in den DevOps-Prozess integriert.

Es zeigt sich: Auch an dieser Stelle ist die Umsetzung einer flächendeckenden Security-Strategie eine Frage der richtigen Verteilung von Ressourcen.

Produktivität und Sicherheit müssen sich nicht widersprechen

Viele Unternehmen sehen noch immer einen Widerspruch zwischen Produktivität und Sicherheit. Diese Fehleinschätzung gilt es laut den Diskussionsteilnehmern zu überwinden. Wenn entsprechende Security-Konzepte von Anfang an mitgedacht werden, in den Entwicklungsprozess einfließen und auch auf kultureller Ebene greifen, sind sichere und gleichzeitig effiziente Cloud-Lösungen realisierbar.

Informationen zu den Partnerpaketen für die Cloud-Security-Studie

Die Notwendigkeit eines umfassenden Bewusstseinswandels gilt umso mehr, weil die Entwicklung gerade erst begonnen hat: Die technologischen Möglichkeiten der Cloud lassen neue, datenbasierte Geschäftsmodelle entstehen. Das Internet of Things schafft eine Vielzahl an zusätzlichen Schnittstellen, die ihrerseits immer wieder völlig neue, smarte Sicherheitskonzepte erfordern. Am Ende dieser Entwicklung steht der Einsatz von künstlicher Intelligenz - sowohl in der Analyse, als auch in der Sicherung von Daten.