Das Thema Cloud beschert vielen CEOs ein ambivalentes Gefühl im Magen. Einerseits möchten sie die vielen Chancen von Cloud Computing und der Digitalisierung nutzen, um ihr Unternehmen fit für die Zukunft zu machen. Andererseits sind sie aber als oberstes Leitungsorgan des Unternehmens verantwortlich, wenn es zu Ausfällen oder Datenschutzverletzungen kommt. Daher besteht häufig der Reflex, lieber doch die ganze Unternehmens-IT im eigenen Rechenzentrum zu betreiben, weil das vermeintlich sicherer ist. Doch ist dies tatsächlich der sinnvollste Weg? In diesem Artikel wird das Thema Cloud Security deshalb genauer beleuchtet.
Hätten Sie vor zehn Jahren damit gerechnet, dass Startups mit so komisch anmutenden Namen wie Uber, Airbnb und Zalando ganze Dienstleistungsbereiche auf den Kopf stellen würden? Hätten Sie vor ein paar Jahren die Möglichkeit gehabt, an der Supermarktkasse mit Ihrem Mobiltelefon oder gar Ihrer Uhr zu bezahlen und wie stark hat es sich für Sie schon zu einer Selbstverständlichkeit entwickelt, Serien nicht mehr im Fernsehen sondern auf Netflix zu schauen?
Alle Unternehmen hinter diesen neuartigen Dienstleistungen haben eines gemeinsam: Sie sind sehr innovativ und investieren viel Geld in die Entwicklung neuer Dienstleistungen und bringen damit bisherige Anbieter mehr und mehr in Bedrängnis. Damit sie dies tun können setzen sie konsequent auf Digitalisierung. Das bedeutet, dass sie ihre Prozesse optimiert und digitalisiert haben und so alle notwendigen Daten so konsequent wie möglich digital und automatisiert verarbeiten können.
Was sie auf dieser digitalisierten Grundlage geschaffen haben sind perfekte Beispiele für die Digitale Transformation. Sie haben Veränderungen in unserem Konsumverhalten herbeigeführt, wie wir Leistungen beziehen und wie wir für diese bezahlen. Bei einer Veränderung der Nachfrage oder des Nutzerverhaltens können diese Unternehmen ihr Angebot und ihre Prozesse sehr einfach anpassen. Solche Anpassungen müssen rasch von statten gehen, sonst laufen die Unternehmen Gefahr nicht die ersten mit einem neuen Angebot zu sein.
Ein wichtiger Faktor dabei ist die Möglichkeit, für den gesamten Entwicklungs- und Betriebsprozess benötigte IT-Ressourcen schnell, unkompliziert und gezielt bereitstellen zu können – und hier kommt das Thema Cloud ins Spiel. Benötigte Speicher- und Rechenleistung, Server mit unterschiedlichen Betriebssystemen, Datenbanken, Funktionen wie KI-basierende Datenanalytik und auch ganze Anwendungen können bei Cloud Service Providern sehr rasch bestellt und genutzt und bei Nichtgebrauch wieder abbestellt werden. Hinzu kommen interessante Verrechnungsmodelle, welche sicherstellen, dass nur das bezahlt werden muss, was tatsächlich genutzt wird (Pay-per-Use).
Nun ist nicht jedes Unternehmen in der Kategorie von Uber, Netflix und Co. Dennoch kann nahezu jedes Unternehmen von gleichartigen Cloud Services und deren beschriebenen Eigenschaften profitieren, wie sie diese grossen Firmen auch einsetzen. Diese Eigenschaften sind wichtige Grundpfeiler, wenn es darum geht, eine Organisation agil aufzustellen und dadurch fit für die eigene Weiterentwicklung und das Weiterbestehen in einem immer härter umkämpften Markt zu gestalten.
Nebst den ändernden Business-Anforderungen kommen auf die Unternehmen auch immer neue Herausforderungen aus dem Bereich Cybersecurity hinzu. Durch die immer intensivere IT-Nutzung erhalten Angreifer laufend neue Möglichkeiten Angriffe zu lancieren – auch mittels Nutzung von Cloud Services. So können etwa Angriffsinfrastrukturen mit enormer Rechenleistung leicht bei einem Cloud Service Provider aufgebaut werden, anstatt die benötigte Hard- und Software für teures Geld zu kaufen.
Ein Angreifer kann so sehr rasch auf eine bekannt gewordene Schwachstelle reagieren und versuchen diese auszunutzen. Leider gelingt diese allzu oft auch tatsächlich, da für viele IT-Abteilungen das Schliessen relevanter Sicherheitslücken und das Aktualisieren von Anwendungen, Server-Landschaften und Betriebssoftware eine enorme Herausforderung bedeutet und nebst dem täglichen Betrieb und dem Projektgeschäft auch noch irgendwie gestemmt werden muss. Dies wurde bei der Exchange-Lücke im März 2021 einmal mehr sehr deutlich, als weltweit innert kürzester Zeit hunderttausende Systeme kompromittiert wurden.
Zu den technischen Herausforderungen kommen laufend deren rechtliche wie die EU-DSGVO hinzu, welchen ebenfalls Rechnung getragen werden muss und für viel Arbeit sorgen.
Wenn die Digitale Transformation die Taktzahl für Veränderungen dann noch einmal erhöht, kann die eigene IT-Security-Abteilung (wenn überhaupt vorhanden) oft nicht mehr mithalten. Die Ressourcen müssten drastisch erhöht werden, doch damit würden auch die Kosten explodieren. Deshalb ist es sinnvoll, im Entscheidungsprozess über eine allfällige Auslagerung von Teilen der eigenen IT in die Cloud nicht nur die Funktionalität, sondern auch die Security zu berücksichtigen. Ein entscheidender Vorteil von Cloud Services ist nämlich, dass, im Vergleich zur kompletten internen Bereitstellung der IT-Dienstleistungen, der Cloud Service Provider gewisse Security-Aufgaben übernimmt. Welche dies sind, hängt vom genutzten Service-Modell ab. Im Cloud-Security-Bereich ist dann die Rede von geteilter Verantwortung oder eben «Shared Responsiblity», welche nachfolgend anhand einer Illustration von Microsoft dargestellt wird:
Quelle: Microsoft
Das Modell zeigt auf, dass bei der Nutzung von Cloud-Dienstleistungen ein Teil der Aufgaben an den Cloud Service Provider übergehen, wodurch eine erste Entlastung des Kunden stattfindet. Je mehr sich der Kunde via IaaS (Infrastructure-as-a-Service) und PaaS (Platform-as-a-Service) in Richtung SaaS (Software-as-a-Service) bewegt, desto mehr sicherheitsbezogene Aufgaben übernimmt der Cloud Service Provider.
Dies ist insofern vorteilhaft, als dass für Cloud Service Provider das Thema Security absolut zentral ist. Negative Presse und dadurch eine schlechte Reputation können sie sich nicht leisten. Als Konsequenz wurden und werden insbesondere von den sogenannten Hyperscalern (Microsoft, Google, Amazon) immense Summen in Tools, in hochqualifizierte Cybersecurity Experten sowie in die Entwicklung neuer Methoden für das Management der Sicherheit gesteckt.
Diese Bemühungen werden offenbar von Erfolg gekrönt. Dies zeigt auch die durch Bitkom Research im Auftrag der KPMG erstellte Cloud-Monitor-2020-Erhebung: Bei Unternehmen, welche bereits Public Cloud Services nutzen, kam es bei den selbst aufgesetzten und betriebenen IT-Systemen zu eindeutig mehr Sicherheitsfällen als bei den eingesetzten Public Cloud Services.
Dies würde nun eigentlich dafür sprechen möglichst rasch alles in die Public Cloud auszulagern. Doch Vorsicht, so einfach ist die Welt nicht. Sie dürfen nämlich nicht vergessen, dass die Verantwortung für ausgelagerte Daten sowie für den Zugriff auf dieselben immer bei Ihnen als Kunde liegt. Diese Verantwortung können Sie nicht an den Provider delegieren.
Ein besonderes Augenmerk müssen Sie auch auf diejenigen Bereiche richten, bei welchen sowohl der Cloud Service Provider als auch Sie als Kunde eine gemeinsame Verantwortung übernehmen müssen. Genau in solchen, auf den ersten Blick vielleicht etwas unscharf definierten Bereichen, entstehen rasch Missverständnisse und somit Sicherheitslücken, welche wiederum von Angreifern ausgenutzt werden können.
Ein Security-Konzept unterstützt Sie darin, oben beschriebene Punkte zu adressieren. Ein Security-Konzept sollten Sie sowieso haben, unabhängig davon, ob Sie in Ihrem Unternehmen Public Cloud Services nutzen oder nicht. Setzen Sie jedoch solche Cloud-basierende Services ein ist es umso wichtiger sich systematisch damit zu befassen, welche Daten wohin ausgelagert werden dürfen und wie Sie nach wie vor die Kontrolle über diese Daten behalten können. Im Cloud-Monitor 2020 gaben 77% der Unternehmen, welche Cloud-Lösungen nutzen an, für alle oder ausgewählte Cloud Anwendungsfälle über ein solches Security-Konzept zu verfügen:
Gegenüber dem Vorjahr ist dies eine erfreuliche Zunahme von 20% und zeigt auf, dass das Thema ernst genommen wird. Die Studie zeigt aber auch, dass mindestens 20% der Unternehmen Public Cloud Services ohne ein entsprechendes Cloud-Security-Konzept nutzen.
Die Public Cloud ermöglicht Unternehmen jeder Grösse die Nutzung neuester Technologien, wie sie auch von Vorreitern der Digitalen Transformation eingesetzt werden. Da gerade für Public Cloud Service Provider die Sicherheit ein kritischer Erfolgsfaktor ist, nehmen sie dieses Thema sehr ernst und investieren sehr viel in diesem Bereich. Dies ermöglicht Ihnen als Kunde abermals, von den gleichen (Security-)Möglichkeiten zu profitieren wie die grossen Unternehmen.
Gehen Sie den Weg in die Cloud nicht konzeptlos, sondern machen Sie sich einen Plan, wie Sie auf sicherem Weg dorthin kommen können. Benötigen Sie auf Ihrer Reise Unterstützung, steht Ihnen Netrics als sachkundiger Begleiter zur Seite.