Cloud Security

Wirklich sicher ist nur die Gefahr

23.02.2021
Von 
Iris Lindner ist freiberufliche Journalistin für Elektronik und Automatisierung.
In der Cloud gibt es Security auf Knopfdruck – dieses Anspruchsdenken der Anwender stimmt leider nicht mit der Realität überein. Deshalb müssen Unternehmen ihren eigenen Weg finden und vor allem Security neu denken.
Cloud Security auf Knopfdruck gibt es leider nicht.
Cloud Security auf Knopfdruck gibt es leider nicht.
Foto: PopTika - shutterstock.com

Ein knappes Jahr ist nun her, dass Anfang März 2020 die Aufforderung kam, den Arbeitsplatz ins Homeoffice zu verlegen. Klar, dass dies ohne flächendeckende Security-Konzepte in der kurzen Zeit nicht funktionieren konnte. Security stand aber auch nicht ganz oben auf der Prioritätenliste, denn im ersten Schritt ging es den Unternehmen darum, dass die Mitarbeiter arbeitsfähig sind. Und so ließen viele ihre Mitarbeiter mit ihren privaten Rechnern in das Firmennetz - natürlich ohne einer entsprechenden Absicherung der Identitäten und der Endgeräte. Besser aufgestellt waren diejenigen, die sich schon vor der Pandemie überlegt hatten, wie sie den Zugang von aussen gestatten. Allerdings hat auch von ihnen bisher keiner damit angefangen, alles vernünftig umzubauen, weil es ja funktioniert hat - irgendwie. Obwohl sich die Angriffsfläche durch Homeoffice deutlich erweitert hat und neue Gefahren hinzugekommen sind, herrscht die Meinung vor: Viel ist ja nicht passiert und nach Corona wird alles wieder besser.

Informationen zu den Partner-Paketen der Cloud-Security-Studie

Wenn also selbst große Unternehmen - die zum Teil ausgeklügelte Strategien dafür haben, wie sie von einer On-Premises-Security-Lösung zu einer entsprechenden Homeoffice-Lösung kommen - die erforderlichen Maßnahmen bei weitem noch nicht umgesetzt haben, dann wundert es nicht, dass diejenigen ohne Strategie die Security auf den Anbieter abwälzen. Der (Irr-)Glaube: Mein Cloud-Partner wird sich schon darum kümmern, schließlich hat er ja ein ausfallsicheres System versprochen. Die Ernüchterung tritt spätestens dann ein, wenn man mehrere Hyperscaler nutzt und es dadurch zu Konfigurationsfehlern sowie zu Lücken im Identity- und Access-Management kommt. An einer umfassenden Security-Strategie führt also nach wie vor kein Weg vorbei.

Sicherheit für einen Apfel und ein Ei

Cloud Security führt nicht nur bei KMUs zu Verunsicherung. Auch die großen Unternehmen haben nicht immer das Ziel vor Augen, weil sie schlicht und ergreifend den Beweggrund für die Cloud nicht definiert haben. Erst wenn die Frage nach dem Warum eindeutig geklärt ist, können die entsprechenden Security-Maßnahmen angeknüpft werden. Und diese hängen maßgeblich davon ab, ob Vertraulichkeit oder Verfügbarkeit ausschlaggebend für den Schritt in die Cloud waren.

Jedoch hat sich die Frage "Cloud oder nicht Cloud" durch COVID-19 beziehungsweise Homeoffice bei den allermeisten Unternehmen von selbst beantwortet. Es geht ihnen um Lösungen, die in verteilten Umgebungen funktionieren müssen. Hier hat sich gerade im Public-Sektor gezeigt, dass Cloud-Lösungen stabiler, performanter und zuverlässiger sind, weshalb man dort auch nicht mehr zurück zu einer klassischen Vor-Cloud-Strategie gehen möchte.

Die Security-Angebote der großen Cloud-Anbieter sollten kritisch hinterfragt werden: Was funktioniert wirklich?
Die Security-Angebote der großen Cloud-Anbieter sollten kritisch hinterfragt werden: Was funktioniert wirklich?
Foto: Gorodenkoff - shutterstock.com

Und so sollte die versprochene Sicherheit der großen Cloud-Anbieter auch in Relation gesetzt werden: Was funktioniert denn insgesamt? Ist ein lokal gemanagtes System die Alternative? Immerhin sind wir mittlerweile im Jahr 2021 angekommen, wo man sich wirklich fragen muss, ob man noch operativ ist, wenn man nicht zu einem der drei großen Cloud-Anbieter geht. Gut, dass sich das Angebot nicht nur auf diese beiden Modelle beschränkt. Mit hybriden oder Multicloud-Strukturen umgeht man zwar einen Vendor Lock-in - von etlichen Cloud-Anbietern durch extrem preisgünstige Identity-Dienste bewusst herbeigeführt - , allerdings muss man dann für die Sicherheit mehr investieren. Der Grund: wirklich zielführend sind Hybrid- oder Multicloud-Strukturen laut Experten nur in Zusammenarbeit mit einem Dienstleister, der die Fäden in der Hand hat und das sichere Zusammenspiel managed.

Die Entscheidung, ob man sich Hals über Kopf in eine Abhängigkeit begibt, hängt aber nicht nur davon ab, wie viel einem seine Daten wert sind. Vielen Firmen fehlen die Kapazitäten, um zu testen, welches die passenden Ergänzungen zu ihrer hybriden Private-Cloud-Strategie sind. KMUs mit einer kleinen IT-Abteilung fehlt es zudem an Know-how.

Studie "Cloud Security 2021": Sie können sich noch beteiligen!

Zum Thema Cloud Security führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 384), René Krießan (rkriessan@idg.de, Telefon: 089 36086 322) und Bastian Wehner (bwehner@idg.de, Telefon: 089 36086 169) gerne weiter. Informationen zur Cloud-Security-Studie finden Sie auch hier zum Download (PDF).

So packt man Cloud Security richtig an

Nachdem als erstes die Fragen nach dem Warum und dem Was geklärt sind, geht es an die Umsetzung. Einer der Expertentipps lautet: Wählen Sie ein System, welches die Capabilities der Cloud nutzen kann, nicht aber vom Cloud-Anbieter selbst kommt. Zudem muss es auch mit Nicht-Cloud-Applikationen funktionieren, die trotzdem in der Cloud laufen sollen. Klingt relativ einfach, braucht aber oftmals einen Zwischenschritt, der unter anderem darin besteht, bei den Mitarbeitern eine Affinität für das Thema Security zu schaffen. Neben Mitarbeiterschulung ist auch die Unterstützung eines Partners empfehlenswert, der einen die ersten zwei Jahre begleitet. Auch hier der Rat: Der Technologiepartner sollte kein Hersteller sein, damit die Beratung tatsächlich technologieneutral und unabhängig ist. Ferner sollten sich die Verantwortlichen bewusst sein, dass man nicht alles ändern kann, die Lösung also sowohl zur Firma und zur Systemlandschaft aber auch zu den Leuten passen muss. Leider sind unabhängige Berater derzeit eher rar.

Aufgrund der unterschiedlichen Cloud-Spielarten wie IaaS, PaaS oder Office 365 gibt es kein Patentrezept für Security-Lösungen. Eine Grundzutat ist jedoch, das Risiko zu akzeptieren. Es ist allgegenwärtig, weshalb es bei den Lösungen nicht nur darum gehen sollte, Angriffe zu verhindern, sondern diese zu auch bemerken. Zu den Basisprinzipien eines Zero-Trust-Konzepts gehören deshalb zwingend eine Multifaktor-Authentifizierung, die Anomalieerkennung, die Endgeräteabsicherung sowie zahlreiche Backups. Nicht zu vergessen sind die Altlasten: Viele Firmen haben ein historisch gewachsenes Active Directory, welches nicht Cloud-fähig ist. Hier stehen unter Security-Aspekten oft Tür und Tor offen, weil Altlasten nicht entsorgt werden.

Security ist ein geschäftskritischer Prozess, der auch als solches betrachtet werden muss. Das Laufen der IT-Systeme gewährleistet nicht, dass auch die Firma weiterhin funktioniert. Und so gilt es, die einzelnen Themen nicht isoliert zu betachten, sondern deren Zusammenhang in einem übergreifenden Ansatz zu vereinen, wobei die einzelnen Strategien die Geschäftsstrategie widerspiegeln müssen. Das erfordert von den Unternehmen ein ebensolches Umdenken wie die Nutzung von Cloud-Diensten an sich, denn: Sie sind, wie sie sind. Das heißt, man muss die eigenen Prozesse auf das Angebot einstellen.

No risk, no security

Die Cloudifizierung gibt Unternehmen nicht nur die Möglichkeit, Geschäftsprozesse zu vereinfachen. Sie ist auch eine Chance, bewusst ein Risiko einzugehen. Natürlich nicht ohne den Abwägungsprozess genau zu dokumentieren, um später die Entscheidungen auch nachvollziehen zu können. Schließlich ändert sich die IT ständig und was gestern noch gut war, ist heute schon schlecht. Bewusste Entscheidungen sind bei der Cloud Security das A und O, weshalb ein Verantwortlicher genau wissen muss, warum er was macht. Besonders bei der Organisation von Cloud Security, um zum Beispiel Falschkonfigurationen zu vermeiden. Natürlich funktioniert die Überprüfung mit Diensten, die auch über SaaS angeboten werden. All die Lösungen haben jedoch Löcher und sind nicht plattformübergreifend. Bis es ein einheitliches Management gibt, wie wir es von früher kennen, wird noch viel Zeit ins Land gehen.

Letztlich braucht es eine grundlegende Governance und solange Administratoren Serversysteme von Hand installieren, lassen sich Konfigurationsfehler nicht ausschließen. Automatisierung gekoppelt mit entsprechenden Testszenarien vermeidet solche Fehler, setzt aber voraus, dass man bereits die richtige Konfiguration für das Setup gefunden hat. Allein das Finden ist eine Herausforderung, da die Angreifer mehr als nur ein Schlupfloch nutzen. Früher waren hier viele Leute damit beschäftigt, Abweichungen schnell zu erkennen. Heute versucht man, einfache Funktionen zu automatisieren. Hat die Konfiguration für diesen Fall nicht gereicht, muss sie angepasst werden. Und das ist vielleicht die wichtigste Erkenntnis, zu der viele Unternehmen noch kommen müssen: Security ist nicht an und fertig - das war es früher schon nicht und ist heute weniger als gestern der Fall.

Informationen zu den Partner-Paketen der Cloud-Security-Studie