Wettbewerbsvorteil "deutsche Cloud"?
CW: Die ersten Cloud-Rechenzentren lagen anfangs physisch meist in Asien und anderswo. Insbesondere bei den Themen Vertragsgestaltung und RZ-Auswahl legen die für die Studie befragten Unternehmen mittlerweile großen Wert auf deutsches oder europäisches Recht sowie einem RZ-Standort möglichst in Deutschland oder zumindest in der EU. Entspricht das auch Ihren Erfahrungen und wenn ja, wie geht Accenture damit um?
VON SPRETI:Auf diese Anforderungen reagieren die meisten Cloud-Provider mittlerweile. Auch Amazon beispielsweise hat eine Strategie für Unternehmen entwickelt, die ihre Daten ausschließlich in der EU ablegen möchten: Das kann man jetzt in Frankfurt am Main, Dublin oder an beiden Standorten haben. Früher gab es diese Transparenz nicht in dieser Form und es war auch nicht klar, wo die Daten physisch gespeichert sind. Auch andere werden, sofern sie es noch nicht getan haben, nachziehen.
BLESSIN: Ich sehe es als absoluten Wettbewerbsvorteil und fast schon geschäftskritisch an, eine Cloud in Deutschland oder zumindest in der EU anbieten zu können.Wenn man in unserer Region groß in das Geschäft einsteigen will, geht es gar nicht mehr ohne. Auch die einstigen Cloud-Pioniere wie Salesforce bieten mittlerweile Rechenzentren in Deutschland an; allerdings sind nicht alle gängigen US-Produkte auch in der deutschen Cloud verfügbar. Bei vielen unserer Kunden stellen wir daher fest, dass diejenigen Produkte und Services, die nicht in der deutschen Cloud zur Verfügung stehen, wesentlich seltener eingesetzt werden. In der Finanzwirtschaft etwa, also bei Banken und Versicherungen, ist Datenhaltung in Nicht-EU-Staaten meist ein absolutes No-Go.
- Security-Verantwortlichkeiten
Ihr Cloud-Provider ist für die IT-Sicherheit seiner Infrastruktur verantwortlich. Ihr Unternehmen ist hingegen dafür verantwortlich, welche Nutzer Zugriff auf seine Ressourcen und Applikationen erhalten. Mit anderen Worten: Sie müssen sich um das Management der Zugriffsrechte kümmern und dafür sorgen, dass sich User und Devices, die Cloud-Zugriff benötigen, authentifizieren. <br><br /> Tipp für CISOs: Erstellen Sie Security-Protokolle wie Authentifizierungs-Richtlinien, Verschlüsselungs-Schemata und Datenzugriffs-Richtlinien. Benutzen Sie IAM (Identity & Access Management) um den Nutzerzugriff auf Services und Daten abzusichern und einzuschränken. Außerdem sollten Sie ein Audit durchführen, um Compliance-Verstöße oder unauthorisierten Zugriff sichtbar zu machen. - Unmanaged Traffic
Es gab eine Zeit, da war es in Unternehmen Gang und Gäbe, dass alle User Connections durch einen allgemeingültigen Security-Checkpoint müssen. In Zeiten von Netzwerk-Vielfalt und mobilen Devices ist das nicht mehr praktikabel. Unmanaged Traffic bezeichnet im Übrigen Bandbreitennutzung, über die Sie nichts wissen. Das kann von Usern verursachter Datenverkehr sein, oder Cloud-to-Cloud-Traffic, der in der Regel signifikant ausfällt. Datenverkehr, der Ihnen nicht bekannt ist, kann auch nicht durch den Security Checkpoint geleitet werden. <br><br /> Tipp für CISOs: Cloud Services mit einem Checkpoint - also Proxy - abzusichern, sorgt für zahlreiche Sicherheitslücken. Sie sollten deshalb Nutzer und Daten des Cloud Services über APIs absichern. Unauthorisierten Zugriff decken sie über Monitoring, privilegierte Administratoren und Apps von Drittanbietern auf. - Managed Traffic
Wenn Sie sich dafür entscheiden, den Datenverkehr, über den Sie Bescheid wissen - also den Managed Traffic - durch einen zentralen Checkpoint zu leiten, kann darunter die Performance leiden. Der Grund: große Datenmengen sorgen für Stau im Netzwerk. Fällt die Performance ab, führt das wiederum dazu, dass frustrierte User Wege suchen, den Stau zu umgehen. <br><br /> Tipp für CISOs: Bewerten Sie in Frage kommende Sicherheitslösungen nach Ihren Use Cases. Einige Drittanbieter haben Security Tools im Programm, die sämtliche Cloud Services - also SaaS, PaaS und IaaS - ohne zentralen Checkpoint absichert. - User-Eigenmacht
Eigenmächtige User können für die Entstehung neuer Sicherheitsrisiken sorgen, wenn sie unbemerkt Traffic verursachen. Eine weitere Folge kann ein Erstarken der sogenannten Schatten-IT sein. In diesem Fall könnten User ohne Wissen der IT-Abteilung Applikationen und andere Ressourcen nutzen, die nicht authorisiert sind. <br><br /> Tipp für CISOs: Schatten-IT sorgt für Compliance-Verstöße und kann für ineffiziente und inkonsistente Prozesse verantwortlich sein. Sie sollten deshalb gemeinsam mit Ihrem Team die Nutzung von Schatten-IT im Unternehmen identifizieren und auf dieser Grundlage Richtlinien entwerfen, die nicht nur der IT-Abteilung, sondern auch allen anderen Abteilungen helfen, im Sinne der IT-Sicherheit produktiv und effizient zusammenzuarbeiten. - Kein Mut zur Lücke
Die meisten Cloud-Security-Lösungen legen ihren Fokus auf den Schutz von SaaS-Applikationen - was wiederum für grobe Sicherheitslücken sorgen kann. Für eine ganzheitliche Security-Strategie sollten Sie den Schutz aller Daten, User und Devices über SaaS-, IaaS- und PaaS-Applikationen forcieren. <br><br /> Tipp für CISOs: Die Risiken und Schwachstellen von IaaS-, PaaS- und SaaS-Modellen unterscheiden sich grundlegend. Sie sollten deshalb nach einer ganzheitlichen Lösung Ausschau halten, die die Cloud in ihrer Gesamtheit abdeckt. - Wahl der richtigen Security-Lösung
Derzeit gibt es zwei grundlegende Ansätze für das Deployment einer Cloud-Security-Lösung: den Proxy- und den API-Ansatz. Beide haben ihre vOr- und Nachteile - aber woher weiß man, welcher Ansatz der richtige ist? <br><br /> Tipp für CISOs: Denken Sie an die Bedürfnisse Ihres Unternehmens. Suchen Sie nach einer Proxy-Lösung, die Überwachung in Echtzeit ermöglicht? Oder ist der ganzheitliche API-Ansatz besser geeignet, der eine serviceübergreifende Absicherung aller Daten, Nutzer und Devices ermöglicht?
CW: Unternehmen legen der Cloud-Security-Studie zufolge großen Wert auf Compliance, Datensicherheit und Verschlüsselung. Kann diese Erwartungshaltung von den Anbietern überhaupt erfüllt werden?
VON SPRETI:Ja! Die Cloud Provider beherrschen heute die Themenfelder Compliance, Datensicherheit und Verschlüsselung aus dem Effeff; das ist deren Geschäftsgrundlage. Gerade was das Thema Compliance betrifft, sind viele Cloud-Provider heute so aufgestellt, dass sie die gängigen Best Practices, Industry Practices oder auch die gängigen gesetzlichen Regelungen innerhalb der einzelnen Länder verwirklicht haben. Das wäre in der eigenen IT oder in der Private Cloud nur mit sehr hohem Aufwand möglich.
Das Thema Verschlüsselung ist absoluter Standard, aber auch nur ein kleiner Baustein in einer Ende-zu-Ende-Sicherheit. Diese geht heute so weit, dass der Cloud-Provider noch nicht einmal den Schlüssel für einen Datenzugriff hat, der Anwender sich also hundertprozentig sicher sein kann, dass nur er die Daten sehen kann. Das ist die Geschäftsgrundlage eines Cloud-Unternehmens und wird zu Recht auch eingefordert.
Foto: Accenture GmbH
"Gegen Geheimdienste wird man sich nicht absichern können"
CW: Ein weiterer spannender Punkt der IDG-Studie Cloud Security 2016 ist die Skepsis vieler Anwender gegenüber Techniken aus China, Russland oder auch den USA. Es herrschen Ängste vor, dass indirekt Informationen in diese Länder abgezogen werden...
VON SPRETI: Das ist ein spannendes und zugleich auch ein philosophisches Thema. Damit kommt gleichzeitig ein neuer Faktor in die Gleichung hinein: Die Cloud-Anwender wollen nicht, dass Geheimdienste ihre Daten ausspionieren können, dass möglicherweise eine ‚Backdoor‘ in Tier-1-Netzwerkdevices eingebaut ist, um die globale Kommunikation, die über solche Geräte abläuft, zu extrahieren.
Wenn wir alle diese potenziellen Risiken ausschließen wollen, wird das Thema Sicherheit unbezahlbar werden. Das Schutzniveau muss in einem sinnvollen Maß zu den tatsächlichen Business-Risiken stehen. Gegen hochprofessionelle und mit Milliardenbudgets ausgestattete Geheimdienste wird man sich nach menschlichem Ermessen niemals wirklich absichern können.
CW: Gibt es bei den zentralen Studienergebnissen weitere Punkte, die aus Accenture-Sicht in puncto Relevanz oder auch wegen kontroverser Sichtweise in den Fokus gerückt werden sollten?
BLESSIN: Die Studie bestätigt unsere Erfahrung im SaaS-Umfeld: die Pharma- und Life-Science-Branchen, wo es durchaus um sensible Daten geht, sind ein Zugpferd dieser Entwicklung. Hier ist die erste Welle an großen Transformationen auf Basis von SaaS bereits umgesetzt. Unstrittig ist: Einige Industrien sind Vorreiter in der Cloud, bei anderen wiederum geht es mit dem Cloud Computing jetzt erst richtig los, so beispielsweise in der Produktion und dem ‚Industrial Equipment‘. Dort wie auch im Konsumgüterumfeld und im Handel sehen wir zurzeit die größte Dynamik. Im Banken- und Versicherungsbereich dagegen tut sich die Cloud noch schwer.
VON SPRETI: Im Großen und Ganzen sind uns bei der Lektüre der IDG-Studie "Cloud Security 2016" keine Dinge untergekommen, wo wir eine komplett entgegengesetzte Sicht vertreten. An einzelnen Stellen ist unsere Gewichtung eben eine etwas andere. Wir haben in 2016 aber auch keine 335 Unternehmen zu dem Thema Cloud-Security befragt, sondern verfügen aktuell über einen guten Querschnitt von Enterprise- und gehobenen Mittelstands-Unternehmen, die wir in Deutschland oder auch global beraten. Insofern handelt es sich in der Summe um eine gute, gelungene Studie. An der einen oder anderen Stelle hätte ich mir allerdings mehr Details gewünscht, beispielsweise zu der Frage, wie hoch denn die Durchdringung des Unternehmens mit Cloud-Anwendungen - also die ´Cloud Adoption Rate‘ wirklich ist. Sie deckt auf jeden Fall einen großen Teil der Fragestellungen ab, mit denen auch wir uns beschäftigen.
BLEYER: Da kann ich voll und ganz zustimmen, vieles deckt sich mit dem Eindruck aus unseren Kundengesprächen. Überrascht hat mich vor allem, dass den Studienteilnehmern das Thema "Schatten-IT" keine größeren Sorgen bereitet. Generell wird davon ausgegangen, dass von IT-Seite aus alles unter Kontrolle ist. Wir erfahren aber in Kundengesprächen immer wieder: "Das Business macht da schon was in Richtung SaaS-Lösung, aber die IT ist nicht mit im Boot." Das kommt in der Studie so nicht vor. (sh)
Die COMPUTERWOCHE-Studie "Cloud Security 2016" finden Sie in unserem Shop neben anderen Studien der IDG Research Services als PDF-Download. Dort können Sie ebenfalls ein Print-Exemplar der Studie (inkl. PDF-Download) bestellen.
- Datenverlust
Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können. - Gestohlene Benutzerdaten
Datenverluste und andere Angriffe folgen häufig aus einem zu lockeren Authentifizierungsprozess, aus zu schwachen Passwörtern und einem schlechten Schlüsselmanagement. Unternehmen kämpfen mit dem Thema Identitätsmanagement, wenn es um die Zuordnung von Zugriffsrechten auf Benutzerrollen geht. Wenn Mitarbeiter die Stelle wechseln oder das Unternehmen ganz verlassen, werden ihre Zugriffsrechte häufig zu spät oder gar nicht angepasst. - Geknackte Interfaces und APIs
Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss. - Ausgenutzte Schwachstellen
Durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden Schwachstellen zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht. - Account Hijacking
Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können. - Insider mit bösen Absichten
Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren. - Der APT-Parasit
APTs (Advanced Persistent Threats) bewegen sich in der Regel seitlich durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden. - Dauerhafter Datenabfluss
Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden. - Fehlende Sorgfalt
Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist gebührende Sorgfalt angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht. - Missbrauch von Cloud-Diensten
Es kommt vor, dass Cloud-Services missbraucht werden, um damit kriminelle Aktivitäten zu unterstützenen. Um einen DDoS-Angriff (Distributed Denial of Service) zu starten oder eine Verschlüsselung zu knacken, braucht es eine leistungsstarke Hardwareumgebung - und Cloud-Ressourcen erfüllen dieses Kriterium. - DoS-Attacken
DoS-Attacken (Denial of Service) verbrauchen eine große Menge Rechnleistung - die Rechnung zahlt der Kunde. Auch wenn die breitbandigen DDoS-Angriffe weit verbreitet und gefürchtet sind - ebenso gewappnet sollten Unternehmen für assyametrische DoS-Attacken auf Anwendungsebene sein, die Sicherheitslücken in Webservern und Datenbanken betreffen. - Geteite Technik, doppelte Gefahr
Verschiedene Cloud Provider teilen sich Infrastruktur, Plattformen und Anwendungen - liegt irgendwo hier eine Verwundbarkeit vor, sind gleich alle betroffen. Wenn beispielsweise eine zentrale Komponente wie ein Hypervisor oder eine Anwendung erfolgreich angegriffen wurde, ist gleich die komplette Cloud-Umgebung unsicher.