Ein knappes Jahr ist nun her, dass Anfang März 2020 die Aufforderung kam, den Arbeitsplatz ins Homeoffice zu verlegen. Klar, dass dies ohne flächendeckende Security-Konzepte in der kurzen Zeit nicht funktionieren konnte. Security stand aber auch nicht ganz oben auf der Prioritätenliste, denn im ersten Schritt ging es den Unternehmen darum, dass die Mitarbeiter arbeitsfähig sind. Und so ließen viele ihre Mitarbeiter mit ihren privaten Rechnern in das Firmennetz - natürlich ohne einer entsprechenden Absicherung der Identitäten und der Endgeräte. Besser aufgestellt waren diejenigen, die sich schon vor der Pandemie überlegt hatten, wie sie den Zugang von aussen gestatten. Allerdings hat auch von ihnen bisher keiner damit angefangen, alles vernünftig umzubauen, weil es ja funktioniert hat - irgendwie. Obwohl sich die Angriffsfläche durch Homeoffice deutlich erweitert hat und neue Gefahren hinzugekommen sind, herrscht die Meinung vor: Viel ist ja nicht passiert und nach Corona wird alles wieder besser.
Informationen zu den Partner-Paketen der Cloud-Security-Studie
Wenn also selbst große Unternehmen - die zum Teil ausgeklügelte Strategien dafür haben, wie sie von einer On-Premises-Security-Lösung zu einer entsprechenden Homeoffice-Lösung kommen - die erforderlichen Maßnahmen bei weitem noch nicht umgesetzt haben, dann wundert es nicht, dass diejenigen ohne Strategie die Security auf den Anbieter abwälzen. Der (Irr-)Glaube: Mein Cloud-Partner wird sich schon darum kümmern, schließlich hat er ja ein ausfallsicheres System versprochen. Die Ernüchterung tritt spätestens dann ein, wenn man mehrere Hyperscaler nutzt und es dadurch zu Konfigurationsfehlern sowie zu Lücken im Identity- und Access-Management kommt. An einer umfassenden Security-Strategie führt also nach wie vor kein Weg vorbei.
- Michael von der Horst, Cisco
„Soll eine Multifaktor-Authentizierung plattform-übergreifend und sicher sein, dann empfiehlt es sich, nicht die eines SaaS-Anbieter zu nehmen. Sehr oft wird auch die Absicherung des Endgeräts vergessen. Habe ich kein sicheres Endgerät, kann ich in Richtung Cloud Security machen was ich will – letztendlich bleibt ein ungeschützter Angriffsvektor. Zusätzlich ist es hilfreich den Rückkanal für Malware zu blockieren, also den DNS-Layer inhaltlich zu schützen.“ - Roman Hugelshofer, Ergon
„Die Preise der großen Cloud-Anbieter für ihre Security- und IAM-Services sind deshalb so gering, weil man damit einen Lock-in der Kunden erreichen will. Wer plant, seine Apps auf eine andere Plattform zu übertragen, oder eine Mutlicloud-Strategie zu fahren, steht am Ende da wie der Esel am Berg. Meiner Meinung nach ist es zielführender, einen Dienstleister zu wählen, der Lösungen unabhängiger Hersteller in der Cloud für seine Kunden betreibt.“ - Dr. Steffo Weber, ForgeRock
„Bei großen Unternehmen würde ich bei 90 Prozent der Anwendungen immer das Least Privilege in Frage stellen, vor allem für die Absicherung der Arbeitsplätze. Als wir noch alle ins Büro gehen konnten, konnte ich ohne weiteres an den Schreibtisch meines Kollegen gehen. Da war nichts abgesichert. Wenn wir also das Ganze managerbar und handhabbar machen wollen, sollten wir dann nicht einfach von diesen überdimensionierten Least-Privilege-Anforderungen einen Schritt zurück gehen und dies einfacher gestalten? Bei der Cloudifizierung geht es ja auch um eine Vereinfachung von Geschäftsprozessen.“ - Sascha Spangenberg, Lookout
„Sehr oft reichen die von der Firma bereitgestellten Services nicht aus. Es beginnt schon beim Teilen einer Datei über Googledrive zum Beispiel. Hat der Empfänger keinen Account, müsste der Sender die Datei für jedermann im Internet freigeben. Und so werden Tools aus der Schatten-IT genutzt. Wenn also keinerlei Cloud-Tools zur Verfügung stehen, wird allein das Datei-Sharing schon extrem schwierig. Und da reden wir noch gar nicht von Collaboration. An solchen Dingen sehe ich, dass viele die Digitalisierung verpasst haben, während andere bereits Tools wie Slack oder Teams nutzen, mit denen man schön zusammenarbeiten kann.“ - Alexander Häußler, TÜV Süd
„Education ist eines der Kernthemen. Der Mangel an Spezialisten ist ein großes Problem, das wir mit der Cloud zum Teil zu lösen versuchen. Ganz nach dem Motto: Wir haben nicht die richtigen Leute, also schieben wir es in die Cloud, dann kümmert sich jemand darum. Dass man diesen Leuten aber auch auf die Finger sehen oder sagen muss, was man eigentlich braucht, um die Daten sicher zu machen, wird übersehen. Und so macht man die Fehler, die man früher im Office-Umfeld gemacht hat, nun in der OT und in der Cloud. Wir scheinen nicht aus den Fehlern gelernt zu haben, die uns die Vergangenheit gezeigt hat.“ - Andreas Müller, Vectra
„Früher war der Gedankenweg: ich baue eine große Mauer und dann passt alles. Bildlich gesprochen sind die Angreifer aber einfach aussen herum gelaufen. Das funktionierte, weil hinten meist ein Tor offen stand. Das ist der große Gedankenfehler, den wir auch heute immer noch machen. Diejenigen, die jetzt für die Cloud Security zuständig sind, stammen aus der selben alten Denke. Deshalb liegt die große Herausforderung genau darin, diese überholte Denkweise über Bord zu werfen und neu anzufangen. Security ist ein geschäftskritischer Prozess. Diese Erkenntnis muss in den Unternehmen ankommen. Erst dann kann man sich um die individuell richtige Antwort auf das Warum, Was und Wie kümmern. Auch weil es technologisch nicht die eine Standardauskunft für alle Gegebenheiten und Eventualitäten gibt.“ - Arno Edelmann, Verizon
„Viele User nutzen Cloud-Dienste auf dem Desktop. Und so ist bei vielen Firmen die Cloud bereits da, obwohl es die Kollegen nicht wissen. Dementsprechend muss ich das ins Kalkül nehmen, bevor ich überhaupt den Weg in die Cloud beschreite. Skandinavien ist uns bei der Cloud-Adaption und bei der Planung um Lichtjahre voraus. Gerade bei Kollegen in Finnland und Norwegen sehe ich Dinge, die ich in der Form in Deutschland selbst bei sehr großen Firmen nur selten finde.“ - André Röhrich, q.beyond AG
„Nachdem man sich darüber im Klaren ist, was man eigentlich schützen will, muss man sich fragen: Können wir das? Wenn nicht, was ist notwendig, damit wir es können? So komisch das auch klingen mag, aber man muss sich fragen, ob die eigene Mannschaft das trotz Aus- und Weiterbildung stemmen kann. Oder kann vielleicht ein externes SOC (Security Operation Center) eine Etappe auf der Cyber-Security-Reise sein, Und das ohne erst fünf Security-Spezialisten einzustellen, die aufgrund des Fachkräftemangels sowieso nicht zu bekommen sind? Denkbar ist auch ein Hybridmodus: die eigenen Mitarbeiter ausbilden und einen Partner dazu nehmen, der einen auf dieser Reise begleitet und die eigenen Mitarbeiter coacht.“
Sicherheit für einen Apfel und ein Ei
Cloud Security führt nicht nur bei KMUs zu Verunsicherung. Auch die großen Unternehmen haben nicht immer das Ziel vor Augen, weil sie schlicht und ergreifend den Beweggrund für die Cloud nicht definiert haben. Erst wenn die Frage nach dem Warum eindeutig geklärt ist, können die entsprechenden Security-Maßnahmen angeknüpft werden. Und diese hängen maßgeblich davon ab, ob Vertraulichkeit oder Verfügbarkeit ausschlaggebend für den Schritt in die Cloud waren.
Jedoch hat sich die Frage "Cloud oder nicht Cloud" durch COVID-19 beziehungsweise Homeoffice bei den allermeisten Unternehmen von selbst beantwortet. Es geht ihnen um Lösungen, die in verteilten Umgebungen funktionieren müssen. Hier hat sich gerade im Public-Sektor gezeigt, dass Cloud-Lösungen stabiler, performanter und zuverlässiger sind, weshalb man dort auch nicht mehr zurück zu einer klassischen Vor-Cloud-Strategie gehen möchte.
Und so sollte die versprochene Sicherheit der großen Cloud-Anbieter auch in Relation gesetzt werden: Was funktioniert denn insgesamt? Ist ein lokal gemanagtes System die Alternative? Immerhin sind wir mittlerweile im Jahr 2021 angekommen, wo man sich wirklich fragen muss, ob man noch operativ ist, wenn man nicht zu einem der drei großen Cloud-Anbieter geht. Gut, dass sich das Angebot nicht nur auf diese beiden Modelle beschränkt. Mit hybriden oder Multicloud-Strukturen umgeht man zwar einen Vendor Lock-in - von etlichen Cloud-Anbietern durch extrem preisgünstige Identity-Dienste bewusst herbeigeführt - , allerdings muss man dann für die Sicherheit mehr investieren. Der Grund: wirklich zielführend sind Hybrid- oder Multicloud-Strukturen laut Experten nur in Zusammenarbeit mit einem Dienstleister, der die Fäden in der Hand hat und das sichere Zusammenspiel managed.
Die Entscheidung, ob man sich Hals über Kopf in eine Abhängigkeit begibt, hängt aber nicht nur davon ab, wie viel einem seine Daten wert sind. Vielen Firmen fehlen die Kapazitäten, um zu testen, welches die passenden Ergänzungen zu ihrer hybriden Private-Cloud-Strategie sind. KMUs mit einer kleinen IT-Abteilung fehlt es zudem an Know-how.
Studie "Cloud Security 2021": Sie können sich noch beteiligen! |
Zum Thema Cloud Security führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 384), René Krießan (rkriessan@idg.de, Telefon: 089 36086 322) und Bastian Wehner (bwehner@idg.de, Telefon: 089 36086 169) gerne weiter. Informationen zur Cloud-Security-Studie finden Sie auch hier zum Download (PDF). |
So packt man Cloud Security richtig an
Nachdem als erstes die Fragen nach dem Warum und dem Was geklärt sind, geht es an die Umsetzung. Einer der Expertentipps lautet: Wählen Sie ein System, welches die Capabilities der Cloud nutzen kann, nicht aber vom Cloud-Anbieter selbst kommt. Zudem muss es auch mit Nicht-Cloud-Applikationen funktionieren, die trotzdem in der Cloud laufen sollen. Klingt relativ einfach, braucht aber oftmals einen Zwischenschritt, der unter anderem darin besteht, bei den Mitarbeitern eine Affinität für das Thema Security zu schaffen. Neben Mitarbeiterschulung ist auch die Unterstützung eines Partners empfehlenswert, der einen die ersten zwei Jahre begleitet. Auch hier der Rat: Der Technologiepartner sollte kein Hersteller sein, damit die Beratung tatsächlich technologieneutral und unabhängig ist. Ferner sollten sich die Verantwortlichen bewusst sein, dass man nicht alles ändern kann, die Lösung also sowohl zur Firma und zur Systemlandschaft aber auch zu den Leuten passen muss. Leider sind unabhängige Berater derzeit eher rar.
Aufgrund der unterschiedlichen Cloud-Spielarten wie IaaS, PaaS oder Office 365 gibt es kein Patentrezept für Security-Lösungen. Eine Grundzutat ist jedoch, das Risiko zu akzeptieren. Es ist allgegenwärtig, weshalb es bei den Lösungen nicht nur darum gehen sollte, Angriffe zu verhindern, sondern diese zu auch bemerken. Zu den Basisprinzipien eines Zero-Trust-Konzepts gehören deshalb zwingend eine Multifaktor-Authentifizierung, die Anomalieerkennung, die Endgeräteabsicherung sowie zahlreiche Backups. Nicht zu vergessen sind die Altlasten: Viele Firmen haben ein historisch gewachsenes Active Directory, welches nicht Cloud-fähig ist. Hier stehen unter Security-Aspekten oft Tür und Tor offen, weil Altlasten nicht entsorgt werden.
Security ist ein geschäftskritischer Prozess, der auch als solches betrachtet werden muss. Das Laufen der IT-Systeme gewährleistet nicht, dass auch die Firma weiterhin funktioniert. Und so gilt es, die einzelnen Themen nicht isoliert zu betachten, sondern deren Zusammenhang in einem übergreifenden Ansatz zu vereinen, wobei die einzelnen Strategien die Geschäftsstrategie widerspiegeln müssen. Das erfordert von den Unternehmen ein ebensolches Umdenken wie die Nutzung von Cloud-Diensten an sich, denn: Sie sind, wie sie sind. Das heißt, man muss die eigenen Prozesse auf das Angebot einstellen.
No risk, no security
Die Cloudifizierung gibt Unternehmen nicht nur die Möglichkeit, Geschäftsprozesse zu vereinfachen. Sie ist auch eine Chance, bewusst ein Risiko einzugehen. Natürlich nicht ohne den Abwägungsprozess genau zu dokumentieren, um später die Entscheidungen auch nachvollziehen zu können. Schließlich ändert sich die IT ständig und was gestern noch gut war, ist heute schon schlecht. Bewusste Entscheidungen sind bei der Cloud Security das A und O, weshalb ein Verantwortlicher genau wissen muss, warum er was macht. Besonders bei der Organisation von Cloud Security, um zum Beispiel Falschkonfigurationen zu vermeiden. Natürlich funktioniert die Überprüfung mit Diensten, die auch über SaaS angeboten werden. All die Lösungen haben jedoch Löcher und sind nicht plattformübergreifend. Bis es ein einheitliches Management gibt, wie wir es von früher kennen, wird noch viel Zeit ins Land gehen.
Letztlich braucht es eine grundlegende Governance und solange Administratoren Serversysteme von Hand installieren, lassen sich Konfigurationsfehler nicht ausschließen. Automatisierung gekoppelt mit entsprechenden Testszenarien vermeidet solche Fehler, setzt aber voraus, dass man bereits die richtige Konfiguration für das Setup gefunden hat. Allein das Finden ist eine Herausforderung, da die Angreifer mehr als nur ein Schlupfloch nutzen. Früher waren hier viele Leute damit beschäftigt, Abweichungen schnell zu erkennen. Heute versucht man, einfache Funktionen zu automatisieren. Hat die Konfiguration für diesen Fall nicht gereicht, muss sie angepasst werden. Und das ist vielleicht die wichtigste Erkenntnis, zu der viele Unternehmen noch kommen müssen: Security ist nicht an und fertig - das war es früher schon nicht und ist heute weniger als gestern der Fall.
Informationen zu den Partner-Paketen der Cloud-Security-Studie