Deutsche Unternehmen hinken hinterher

So wollen Security-Experten Firmen die Scheu vor der Cloud nehmen

22.01.2019
Von 
Iris Lindner ist freiberufliche Journalistin für Elektronik und Automatisierung.
Konservativ und vorsichtig im Handeln, im Denken ein Ingenieur – jahrzehntelang haben sich deutsche Unternehmen damit weltweit ihren guten Ruf für ausgezeichnete Qualität erworben. Bei der Migration in die Cloud bremst diese Tugend jedoch besonders Mittelständler ein. Auf Einladung der COMPUTERWOCHE sprachen Security-Experten über Bedenken und Unklarheiten und wie sich diese beseitigen lassen.
Virtuelle Sicherheit in der Cloud? Vielen Unternehmen fehlt hier noch das Vertrauen.
Virtuelle Sicherheit in der Cloud? Vielen Unternehmen fehlt hier noch das Vertrauen.
Foto: bestfoto77 - shutterstock.com

Im Vergleich zu anderen Ländern agiert Deutschland bei der Nutzung der Cloud relativ konservativ. Diese Erfahrung nahm Anja Hinnemann zum Anlass, gemeinsam mit den anderen Diskussionsteilnehmern zum Thema Cloud Security der Zurückhaltung auf den Grund zu gehen. Die Leiterin des Bereichs Cybersecurity DACH bei Capgemini macht dieses Verhalten dabei nicht allein am Security-Aspekt fest: "Die Haltung in den deutschen Unternehmen ist generell sehr klassisch, konservativ und vorsichtig. Dadurch vergibt sich das eine oder andere Unternehmen auch Chancen." Blickt man vergleichsweise zum Beispiel nach England, wo Cloud-Anbieter schon sehr früh Umsätze erwirtschaften konnten, hinkt Deutschland ein bis zwei Jahre hinterher. Warum sind hierzulande die Vorbehalte so groß? "Liegt es daran, dass Consulting-Unternehmen, Experten und Spezialisten es nicht schaffen, das Thema im Markt so zu platzieren, dass das Gefühl der Sicherheit bei den Unternehmen auch ankommt?", will Hinnemann von der Runde wissen.

Tatsache ist: Die Sicherheit in der Cloud ist virtuell und somit nicht greifbar. Auch ist sie schwer vermittelbar. Die Unternehmen müssen den Anbietern glauben und vertrauen, während sie die Sicherheit der eigenen Umgebung abschätzen können. Obwohl das Kosten-Nutzen-Verhältnis oftmals für die Cloud sprechen würde, werden viele Entscheidungen der IT nicht vom Business heraus getroffen. "Viele Entscheider wollen die Angelegenheit trotzdem gern in eigener Hand wissen, um vermeintlich Herr der Sache zu bleiben", sagt Eckhard Schaumann, Country Manager Germany bei RSA, und führt damit ein beliebtes Argument gegen die Cloud an. In der Cloud muss man einen Teil der Verantwortung in andere Hände geben und sich gewissen Normen unterwerfen. Dies widerstrebt dem deutschen Ingenieursdenken, denn die Möglichkeit, selbst daran herumzuschrauben, wird einem dadurch genommen. Daher rührt auch die Angst vor der Haftung und der Gesetzgebung. Doch nicht alle haben Hemmungen: Je größer die Unternehmen, desto Cloud-freundlicher sind sie.

Informationen zu den Partnerpaketen für die Cloud-Security-Studie

Die Großen sind vornedran

In der Vorstandsetage großer Unternehmen lautet die Parole "Cloud first". Dort erkennt man die Vorteile wie Kosten und Flexibilität der Cloud. Zudem müssen diese Firmen auch Services in der Cloud anbieten. Der Mittelstand steht zurzeit vor der Herausforderung, dass die IT die Cloud noch nicht richtig verstanden hat. Fachabteilungen nutzen Services aus der Cloud, weil diese das Business viel flexibler und agiler unterstützen, ohne jedoch die IT darüber zu informieren. Spätestens wenn sie dafür Daten aus dem lokalen Datacenter benötigen oder Kunden anbinden müssen, ist die IT plötzlich in ein Problem involviert, das sie bis dahin noch gar nicht gesehen hat. Zudem reagiert die IT in vielen Fällen nicht so agil, wie es das Business braucht. Und auch die fehlende Flexibilität im Job lässt viele IT-ler an On-Premise-Lösungen festhalten.

Wenn die Unternehmen nicht so schnell in die Cloud gehen, kann das in den Augen von Uwe Maurer von NTT Security auch daran liegen, dass sie die Use-Cases nicht sehen. Es ist kaum anzunehmen, dass Weltmarktführer solche Entscheidungen emotional treffen. Allerdings ist das scheinbar größere Vertrauen in die lokale IT kaum rational nachvollziehbar: "Den Leuten wird langsam klar, dass der Fritz noch lange keine gute IT macht, nur weil sie den Fritz kennen".

Die echte Antwort auf die Frage, warum in Deutschland alles anders ist, glaubt Ramon Mörl zu kennen. Für den itWatch-Geschäftsführer lautet sie Sorgenfreiheit: "Wir haben einen ganz anders regulierten Markt. Die CEOs in Deutschland sind sehr scheu bei Themen, bei denen Haftung nicht delegierbar ist. Sie brauchen irgendjemanden, der stempelt und sagt: Hier ist alles in Ordnung. Vorher werden sie die hohen Transformationskosten nicht tragen." Die Einzigen, die hierzu bereit sind, sind sehr margenträchtige Branchen. Nur der, der einen hohen Marktstatus hat, kann auch investieren, um diesen zu verteidigen und sich auf seine Kernkompetenzen zu konzentrieren. Aber gerade die brauchen laut Mörl eine All-in-One-Lösung - die es nicht gibt. Dass der deutsche Markt stärker reguliert sei als andere, sieht Schaumann nicht so: "Die verschiedenen Branchen sind einfach hoch reguliert, allen voran die Finanz- und Pharmabranche. Aber das ist kein deutsches Phänomen, sondern das findet man auch außerhalb der EU."

Ist Cloud Security nur ein Buzzword der IT?

Security-Experten aus unterschiedlichen Bereichen diskutierten beim COMPUTERWOCE-Round-Table Cloud Security über Sicherheitfragen rund um die Cloud.
Security-Experten aus unterschiedlichen Bereichen diskutierten beim COMPUTERWOCE-Round-Table Cloud Security über Sicherheitfragen rund um die Cloud.
Foto: Michaela Handrek-Rehle

Liegt der wahre Grund für die Scheu vor der Cloud vielleicht gar einfach nur im Verständnis? Martin Mangold hält den Begriff Cloud Security per se für missverständlich. Oft beschränkt sich der Begriff für ihn nur auf die Security in der Cloud. Genauso einseitig ist es seiner Meinung nach, von Endpoint Security zu sprechen. Der Head of Cloud Operations von DriveLock veranschaulicht die ganzheitliche Betrachtung der Security: "Entscheidend ist ein umfassendes Security-Konzept. Es bringt nichts, die Haustür mit einem dicken Schloss zu verriegeln, wenn Sie nebenan das Fenster offen lassen." Auch für Kurt Knochner, Cyber Security Strategist bei FORTINET, scheint der Begriff Cloud Security etwas überladen, "weil die Leute alles hineininterpretieren". Dabei ist es seiner Meinung nach recht einfach: "Das, was wir in den vergangenen Jahren im Security-Bereich getan haben, das müssen wir einfach konsequent weitermachen." Nach wie vor werden es Angreifer auf Personen und Infrastruktur absehen. Es muss also darauf geachtet werden, dass die Mitarbeiter geschult werden, dass Endpoints abgesichert werden und dass man bei Infrastrukturanwendungen in der Cloud die gleichen Security-Mechanismen implementiert wie bei on premises. Das hat sich auch in den Projekten der zurückliegenden Jahre gezeigt: Sobald die Kunden verstehen was sie in der Cloud sichern müssen, sind sie in der Lage die richtigen Lösungen und Maßnahmen auszuwählen. Hier bedarf es Beratung durch Unternehmen, die sowohl die Cloud als auch die klassische IT-Security verstehen.

Doch Vorsicht: Eine Angriffsfläche, die neu dazugekommen ist und von vielen außer Acht gelassen wird, ist das Cloud-API. Und hier fordert Ramon Mörl mehr Transparenz für die Konsumenten, denn das kryptografische Material, das zur Authentisierung verwendet wird, hat immer einen Angriffspunkt. "Die Vertraulichkeit, die ich will, benötigt immer eine digitale Identität, um auf die vertraulichen Daten zuzugreifen. Für echte Vertraulichkeit muss ich meine Schlüssel von den Daten trennen. Dann kann ich aber die Applikationen nicht auf fremden Systemen meine Daten mit meinen Schlüsseln auspacken lassen - dazu müsste ich ja meine Schlüssel und meine Daten an die gleiche fremde Stelle geben." Die Bewegung in unterschiedlichen Serviceklassen und die Entscheidung darüber, ob Verfügbarkeit, Integrität des Services, Beweisbarkeit und Vertraulichkeit mit der gleichen Identität erreicht werden sollen, müssen für den Entscheider transparent werden. Berater sollten daher nicht über Cloud Security sprechen, sondern darüber, dass Identität-Providen etwas anderes ist als Schlüsselmanagement. Erst dann kann über Vertraulichkeit und Verfügbarkeit diskutiert werden.

In der virtuellen Welt bleibt der Mensch die reale Fehlerquelle

Ebenfalls muss klar gemacht werden, dass das Arbeiten in der Cloud dieselbe Sorgfalt erfordert wie im Rechenzentrum.Die Bedienbarkeit von Rollen- und Rechtekonzepten ist jedoch sehr komplex und selbst für Spezialisten oft zu aufwendig. Aber die Rechte werden und sollen auch nicht von der IT vergeben werden, sondern von den Fachabteilungen. Und weil es in dieser, auf Cloud-Diensten basierenden Schatten-IT keinen IT-Spezialisten gibt, muss das Rollen- und Rechtekonzept sinnvoll vereinfacht und vor allem einmal sauber konzipiert werden. Dabei spielt es keine Rolle, ob das in der Cloud ist oder on premises.

Aktuell ist die Balance zwischen Sicherheit und Usability noch eine große Baustelle. In dem Moment nämlich, in dem die Sicherheit jemanden daran hindert zu arbeiten, wird versucht, sie zu umgehen. Letzten Endes sind also die Anwender das größte Risiko - auf allen Ebenen. Da hilft nur Awareness oder eben den Menschen so weit wie möglich als Verursacher herauszunehmen. Sicherheit darf nicht abhängig vom Nutzerverhalten sein - schwierig, solange Firmen versuchen, ihre Sicherheit manuell herzustellen. Für die Automatisierung von Sicherheitskonzepten spricht aus Sicht von Uwe Maurer noch ein weiterer Aspekt: "Wir haben situativ abhängige Berechtigungen sowohl vom User aus als auch vom System. Je nachdem, in welcher Bedrohung ich mich gerade befinde. Wer soll denn das noch managen? Da brauchen wir Maschinen, die uns helfen. Und da brauchen wir Konzepte, weil da eben auch Nicht-Menschen handeln." Welche Konzepte dafür auch immer die Zukunft bringen wird, für Maurer steht fest: "Wir werden nicht aufgeben, die Dinge sehr sicher zu machen."

Informationen zu den Partnerpaketen für die Cloud-Security-Studie