Experten diskutieren "Security as a Service"

Die Cloud macht Security planbar

12.04.2023
Von 
Florian Stocker ist Inhaber der Kommunikationsagentur "Medienstürmer".
Cloud-Infrastrukturen ermöglichen den lange fälligen Security-Paradigmenwechsel: Weg von der Schadensbegrenzung, hin zu präventiven Ansätzen wie XDR.
Security-Planungen? Die Cloud macht's möglich.
Security-Planungen? Die Cloud macht's möglich.
Foto: Pixels Hunter - shutterstock.com

Stellen Sie sich folgendes Szenario vor: Sie wohnen in einem Haus, das Sie nach allen Regeln der Kunst abgesichert haben. Kameras erfassen die Bewegungen in jedem Winkel, Alarmanlagen geben sofort Meldung, wenn sie etwas entdecken. Sie haben für ein komplexes, hochsicheres Setup gesorgt - bis auf ein kleines Detail: Ihre Haustür steht offen.

Was im echten Leben paradox klingt, gehört in der Unternehmens-IT zum Alltag. Das bestätigen Experten wie Fabian Böhm vom Düsseldorfer IT-Berater Teal im Rahmen einer COMPUTERWOCHE-Diskussionsrunde zum Thema "Security as a Service": "Ein ganzheitliches Sicherheitskonzept besteht aus vier Dimensionen: Identify, Protect, Respond und Recover. Vor allem in der Protect-Dimension wird heute am wenigsten investiert, weil es auch nicht so viele Tools gibt."

Aus Böhms Sicht ist die Haustür - um beim Vergleich zu bleiben - aus dem Fokus gerückt. Das kann vor allem daran liegen, dass das "Haus" auch nicht mehr so leicht zu bestimmen ist. In On-Premises-Umgebungen war das immer das Firmennetzwerk, klar abgegrenzt nach außen und geschützt durch eine Firewall. In der Cloud ist diese Grenze nicht mehr gegeben. "Innen" und "Außen" sind potenziell überall - und aus diesem Grund auch schwerer zu schützen.

Wo SIEM hinter den Erwartungen zurückbleibt

Security wandelt sich in der Cloud, wie in vielen anderen Bereichen, von einer Programmierungs- zu einer Orchestrierungsaufgabe. In der jüngeren Vergangenheit setzten Unternehmen vor allem auf Security-Information-And-Event-Management-Systeme (SIEM). Im Mittelpunkt von SIEM steht die Zusammenführung und Analyse aller sicherheitsrelevanten Informationen aus verschiedenen Datenquellen. Dadurch sollen Risiken früh erkannt und möglichst eliminiert werden - so das Versprechen. Die Praxis zeigte aber, dass die aufwendige Einführung in vielen Unternehmen bisher noch nicht den großen Durchbruch brachte, wie Marc Schiener von Trend Micro feststellt: "Vor allem im Bereich der Korrelation von gesammelter Telemetrie bleibt SIEM bisher unter den Erwartungen zurück."

Schiener und die anderen Teilnehmer der Diskussion sehen den Trend mittlerweile mehr in der Ergänzung beziehungsweise Weiterentwicklung von SIEM zu Managed- oder auch Extended Detection and Response (MDR und XDR). "XDR hat eine klare Abgrenzung in der automatisierten und standardisierten Verarbeitung im Vergleich zu SIEM", so Schiener.

Outsourcing statt Aufrüstung

Da der Umfang, die Vielfalt und die Raffinesse von Cyberbedrohungen immer weiter zunehmen, haben Unternehmen Schwierigkeiten, Security-Ressourcen (personell und technologisch) aufrecht zu erhalten. MDR-Anbieter schließen diese Lücke mit einem Set an Dienstleistungen. Den Kern von MDR-Services bilden spezialisierte Analysten, die immer die modernsten Sicherheitstools und aktualisierte globale Datenbanken nutzen, die normalerweise für das Unternehmen nicht wirtschaftlich (oder durch den Fachkräftemangel unmöglich) zu nutzen wären.

Helge Schroda von Microsoft betont, dass die Cloud-Migration ein Haupt-Enabler dafür ist, Managed Services auch in der Security zu nutzen. "MSSP, das sind vor allem MDR- und SIEM-Provider. Diese Anbieter haben heute aber meistens nicht die Möglichkeit, Incidents bis in die letzte Ecke zu verfolgen. Dafür wird oft Organisationswissen und Know-how beispielsweise der Application-Owner gebraucht. Wenn ich in die Cloud migriere, schaffe ich mehr Anknüpfungspunkte für diese MSSP."

Die Cloud ist dabei auch nicht nur die Voraussetzung für Managed Services - die Nutzung von MSSP ist umgekehrt aus Sicht des Microsoft-Experten auch die logische Konsequenz aus der Cloud, vor allem in Multi-Cloud-Szenarien: "Wenn ich mehrere Cloud-Lösungen nutze, dann gehört auch das Security-Management dieser Lösungen in die Cloud. Nach Möglichkeit sollten diese verschiedenen Security-Produkte in einer Security-Plattform konsolidiert werden. Die Verbindung und Analyse aller anfallenden Logfiles ist sonst nicht zu schaffen. Bei Microsoft fallen etwa 60 Billionen Signale pro Tag an, das ist ohne leistungsfähige Cloud-Plattformen unmöglich zu verarbeiten."

Studie "Security as a Service 2023": Sie können sich noch beteiligen!

Zum Thema Security as a Service führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Verantwortlichen durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Regina Hermann (rhermann@idg.de, Telefon: 089 36086 161) und Manuela Rädler (mraedler@idg.de, Telefon: 089 36086 271) gerne weiter. Informationen zur Studie finden Sie auch hier zum Download (PDF).

Mit Managed Services gegen den Fachkräftemangel

Security ist also auch ein Cloud-Thema und sollte als solches behandelt werden. Das bedeutet zuallererst, auch einen konstruktiven Blickwinkel darauf zu entwickeln, statt nur an den Super-GAU "Cyberattacke" zu denken und danach zu handeln. Aus Sicht der Experten ist es nämlich nach wie vor so, dass es erst eines konkreten Vorfalls bedarf, um die Security in der Prioritätenliste nach oben rücken zu lassen. Durch solche Übersprungshandlungen entstehen Ineffizienzen, Tool-Flickenteppiche und vor allem höhere Kosten im Vergleich zu einem koordinierten Vorgehen. Wenn die IT erstmal lahm liegt, ist kein Budget der Welt zu hoch.

Dass der Incident oft die Strategie vorgibt, kann auch Frank Strecker von Skaylink aus eigener Erfahrung bestätigen: "Wir haben viele Kunden, die ihr Geschäftsmodell digitalisiert haben, ohne an die Security zu denken. Jetzt ziehen sie impulsartig nach ohne eine architektonische Vorgehensweise - mit dem Ergebnis einer vergrößerten Angriffsfläche." Für ihn liegt die Ursache für diese stiefmütterliche Sicht auf Security auch im Image gegenüber anderen Fokusthemen: "Cloud verkauft Digitalisierung, Security verkauft Angst. Diese tradierte Denke müssen wir überwinden. Beides ist gleich wichtig und Security verdient eine positivere Konnotierung".

Positiv festzustellen ist, dass dieser "Mindset Shift" aber vielerorts schon einsetzt. Aufgrund des Fachkräftemangels ist das Outsourcing von Security oft alternativlos. Und wenn der durchaus große Schritt dann gegangen wurde, fällt das Hinzufügen weiterer Services wie Extended Detection and Response (XDR) auch leichter.

XDR meint den bisher holistischsten Security-Ansatz, der den Schutz von Endpunkten, Servern, Cloudanwendungen und E-Mails einschließt. Er kombiniert so alle eingangs erwähnten Dimensionen: Identify, Protect, Respond und Recover, zum Beispiel durch Analysen, korrelierte Vorfallswarnungen und automatische Reaktionen. XDR-Lösungen sind allerdings oft so komplex, dass sie vor allem von Service Providern genutzt werden: "Für XDR brauche ich hochspezialisiertes Personal, vor allem in kleineren Unternehmen ist das nicht zu bekommen", stellt Michael Veit von Sophos klar. "Das Outsourcing des 24/7-Betriebs zur Bedrohungserkennung und -reaktion ist daher die logische Konsequenz."

Entscheidungen treffen statt aufschieben

Insgesamt bleibt festzuhalten, dass die "Servicierung" der IT-Security in den kommenden Jahren in der Cloud noch zunehmen wird und diese dadurch den Stellenwert bekommt, den sie eigentlich schon seit Jahren haben sollte. Besonders wichtig ist hierbei aber, dass Unternehmen bereit sind, die volle Distanz zu gehen. Während in anderen Bereichen das "Einfach mal machen" zum Konzept gehört, ist die Entscheidung für SIEM- oder MDR immer eine weitreichende. Das mag erklären, warum die Hemmschwelle für Entscheider entsprechend höher ist.

Dass das Thema aber eine gesamtunternehmerische Aufgabe darstellt, unterstreicht Oliver Frommherz von BWI, dem IT-Systemhaus der Bundeswehr: "Cloud-Strategie und Sicherheitsstrategie müssen kulturell im Unternehmen verankert werden. Und das gelingt nur, wenn beides auf die Gesamtstrategie aufbaut."

Was wiederum auch fast zwangsläufig zur Finanzierungsfrage führt. Hier gilt das, was Martin Mangold von Drivelock abschließend feststellt: "Die Budgets sind flächendeckend gewachsen in den vergangenen Jahren. Was allerdings geblieben ist, ist eine gewisse Scheu vor Entscheidungen, vor allem im Topmanagement, weil Security keinen direkten Beitrag zur Wertschöpfung liefert."

Services Provider sollten daher den Fokus auf die Überzeugungsarbeit legen, indem sie ihre Security-Konzepte in Business-Sprache übersetzen. Langfristig wird die Popularität von SaaS-Lösungen aber dafür sorgen, dass Managed-Ansätze auch in der Security zum Standard werden. Dadurch schwindet auch die aktuell noch vorhandene Kleinteiligkeit und der Wunsch, jedes technische Detail selbst bestimmen zu wollen - einfach weil die Komplexität zu groß wird.

"Entscheidend ist, wie viel Infrastruktur am Ende in die Cloud wandert", schließt Mangold. "Viele Security-Themen, über die wir heute reden, sind dann nämlich gar nicht mehr relevant. Meine Idealvorstellung ist eine cloudifizierte Zukunft, in der Security zur Commodity geworden ist".