Wie IT-Chefs unternehmenskritische Daten auch in der Public Cloud wirksam schützen und außerdem für mehr Collaboration sorgen, zeigt ein Webcast der Computerwoche.
Die alten Vorstellungen von Firewalls und Intrusion-Prevention-Systemen werden heutigen Herausforderungen nicht mehr gerecht. Heute müssen IT-Chefs sensible Daten direkt schützen, unabhängig von ihrer Umgebung. Hinzu kommt, dass Business und Belegschaft nach Collaboration verlangen.
Bruno Quint, Director Cloud Encryption bei Rohde & Schwarz Cybersecurity, und Frank Heuer, Senior Advisor bei der Information Services Group, zeigen auf, wie Unternehmen etwa Microsoft Office 365 und Sharepoint sicher nutzen und wie Daten über jede Cloud-Infrastruktur hinweg ausgetauscht und gemeinschaftlich bearbeitet werden können. Fachjournalist Thomas Hafen moderiert den Webcast und will zunächst einmal wissen, wie sich das Thema aus Sicht der Zuschauer darstellt. Welche Public Cloud-Ressource nutzen sie? Eine Ad-hoc-Umfrage liefert deutliche Ergebnisse: Eine Mehrheit von 53 Prozent nennt Microsoft Azure, weitere 25 Prozent AWS. 28 Prozent verzichten auf die Public Cloud.
Diese 28 Prozent könnten sich in absehbarer Zeit verringern. Das legt zumindest ein Blick auf den Markt nahe. „Die Public Cloud ist stark gefragt und das wird auch zunehmen“, stellt Analyst Heuer fest. Der Markt für die Public Cloud umfasst in Deutschland derzeit rund zehn Milliarden Euro. Bis 2020 rechnet Heuer mit einem durchschnittlichen Wachstum von 30 Prozent. Damit lässt die Public Cloud den Private Cloud Markt hinter sich. Die Ausgaben für „traditionelle“ Software liegen höher, nehmen jedoch ab.
Der Analyst führt diese Entwicklung auf vier Vorteile der Public Cloud zurück: Flexibilität, Skalierbarkeit, einfacher Zugriff und geringer Aufwand für Investitionen und Betrieb. „Ich gebe nur Geld für das aus, was ich gerade nutze“, schließt er. Doch die Public Cloud stellt IT-Chefs vor Herausforderungen. Erstens läuft der Betrieb häufig außerhalb Deutschlands oder der EU. Zweitens ist die Public Cloud durch die hohe Anwenderzahl Zielscheibe für Hacker. Und drittens kann sie in Konflikt mit internen und externen Richtlinien stehen. Passwörter bieten nur bedingt Schutz, gibt der Analyst zu bedenken.
Vier von zehn arbeiten mit Verschlüsselung
Sicherer wäre Verschlüsselung – die aber erschwert die gemeinsame Arbeit in der Cloud. Viele Unternehmen entscheiden sich dann aus praktischen Gründen für die Nutzbarkeit, beobachtet Heuer. Eine weitere Zuschauer-Umfrage ergibt: 54 Prozent der Zuschauer schützen sich mit Benutzername/Passwort, 51 Prozent nutzen außerdem die 2-Faktoren-Authentifizierung. Verschlüsselung setzen 41 Prozent ein.
Die Herausforderung Sicherheit kumuliert aus Sicht von Quint in der Frage, wie Unternehmen die Security von On Premise in die Cloud transformieren. Die ersten Maßnahmen um 2011 herum bezogen sich auf Identity Access Management. „Heute fragt man sich: Was schützen wir? Was verändert sich?“, so Quint. Denn Infrastruktur und oft auch Applikationen gehören dem Unternehmen nicht mehr. „Man ist nur noch Mieter und hat keine komplette Kontrolle mehr im Vergleich zu früher“, sagt der Experte. Um gleich anzufügen: „Was mir aber weiterhin gehört, sind meine Daten. Und die sind das Schutzziel!“ Eben das ist der Gedanke hinter der Entwicklung vom Infrastruktur- zum datenzentrischen Ansatz. Die Daten sind in der Cloud direkt zu schützen, egal, wo sie liegen.
„Verschlüsselung ist wichtig“, stellt Quint fest. Doch er weiß um die drei Fragen, die daraus resultieren: „Wie können wir mit verschlüsselten Daten arbeiten? Wie können wir Arbeitsabläufe durchführen? Wie können wir in verschlüsselten Dokumenten suchen?“ Sein Rat: vor dem Start eine genaue Analyse durchführen. Was will das Unternehmen verschlüsseln? Hierbei muss von Anfang an der Kollaborationsgedanke im Fokus stehen statt der alten Silos. „Man möchte weltweit in einer Public Cloud zusammenarbeiten“, so Quint. Gleichzeitig müssen die Originaldaten verschlüsselt und fragmentiert in konfigurierbaren Speichersystemen im Inland gespeichert werden. „Dafür erzeugen wir aus dem Originaldokument ein virtuelles Dokument“, erklärt der Rohde & Schwarz-Manager.
Der User soll weiterarbeiten können wie bisher
Der Workflow bleibt unverändert, den Zugriff auf Inhalte steuert das R&S Trusted Gate. So bleibt ein transparenter Zugriff für die berechtigten Nutzer erhalten, erklärt Quint. Der neue Ansatz dahinter sei „schon erklärungsbedürftig“, gibt Quint offen zu. Analyst Heuer befürwortet diesen datenzentrierten Ansatz, weil Unternehmen damit Nutzbarkeit und Sicherheit stärker als bisher vereinen können. Wichtigstes Ziel für IT-Entscheider ist, dem Endanwender die Arbeit möglichst einfach zu machen. Der User soll nach Möglichkeit genauso weiterarbeiten wie bisher.
Übrigens hat Quint noch kein Unternehmen gesehen, das wirklich alle Daten verschlüsselt. Im Schnitt sind es zehn bis 30 Prozent der Daten, die als hochsensibel gelten. „Den Speiseplan in der Kantine müssen sie nicht verschlüsseln“, schmunzelt er.