Cloud Computing Auch KMU setzen auf die Rechenpower aus der Wolke, um Vorteile wie höhere Effizienz, bessere Skalierbarkeit und gesteigerte Agilität zu nutzen.

Trotz allen Vorteilen birgt Cloud Computing nach wie vor Herausforderungen. Und es liegt in der Verantwortung des Kunden, seine Daten in Cloud-Umgebungen zu sichern. Unternehmen setzen Cloud Computing weiterhin in rasantem Tempo ein, Anbieter von Public-Cloud-Diensten wie Amazon Web Services, Microsoft Azure oder Google Cloud Platform expandieren – nicht zuletzt auch in den Schweizer Markt.

Diese Nähe bringt zwar geringere Latenzzeiten mit sich, bezüglich Rechts- und Datensicherheit sind aber durchaus kritische Überlegungen angebracht. Für nicht besonders schützenswerte Daten sowie Workloads kann eine Auslagerung in die Public Cloud sinnvoll sein. Bei sensitiven Workloads und Daten mit hohen Compliance-Anforderungen müssen spezifische Anforderungen der nationalen Regulierung erfüllt werden.

Ob man sich für ein Public-, Private oder Hybrid-Cloud-Modell entscheidet, eines bleibt gleich: Es liegt in der Verantwortung des Kunden, die Daten in Cloud-Umgebungen zu sichern. Bei der Cloud-Sicherheit gilt das Modell der «shared responsibilities»: Der Cloud-Provider ist verantwortlich für die Sicherheit der Cloud-Infrastruktur, die er zur Verfügung stellt; das Unternehmen kümmert sich um die Daten und Applikationen in der Cloud.

Weiterentwicklung der Angriffswege

In den meisten Fällen greifen mehrere Nutzer auf die Cloud zu, was eine Verschlüsselung der Daten, die Kontrolle von Zugriffen und die damit verbundenen Rechte und das Identitätsmanagement unabdingbar macht. Hierfür können sowohl Cloud-Nutzer als auch Anbieter Massnahmen aus einem Baukasten von Regeln, Prozessen und technischen Möglichkeiten etablieren, um sicherzustellen, dass Daten sicher verwaltet und genutzt werden können, Anwendungen ausreichend geschützt sind und gesetzliche Vorgaben eingehalten werden.

Cloud Security umfasst Sicherheit für Daten, Plattformen, Anwendungen, Netzwerkstrukturen und -zugänge sowie Server, die physische Sicherheit des Rechenzentrums und eine umfassende Kontrolle von Schlüsseln und Zugangsprivilegien. Schadprogramme und Angriffswege entwickeln sich ständig weiter, was eine Vernachlässigung der Cloud Security somit undenkbar macht. Auch die damit verbundene Hardware (Anbieterseite) muss gesichert werden – und das bereits beim Design. Sicherheitslücken, die in der Hardware-Architektur verankert sind, können ohne einen Austausch der Hardware auch mit nachträglichen Updates nicht geschlossen werden – Stichwort Meltdown oder Spectre. Die betroffenen Chips sind zu Millionen ab Werk verbaut.

Anzeige

Unternehmen setzen in vielen Fällen noch auf Sicherheitsvorkehrungen, die Attacken der sogenannt zweiten oder dritten Generation entsprechen und diese abwehren können. Bei Cyber-Angriffen der aktuellen fünften Generation handelt es sich aber um moderne Hacking-Tools, die den Kriminellen ein schnelles Vorgehen und eine weitreichende Infizierung von Unternehmen und deren Netzwerken ermöglichen. Um diese Multi-Vektor-Angriffe abwehren zu können, bedarf es einer integrierten und einheitlichen Sicherheitsstruktur – frühere Generationen der Security-Technologien, die nur auf die Angriffserkennung ausgelegt sind, sind modernen Angriffen nicht gewachsen. Im Idealfall baut eine Cloud-Security-Lösung auf unterschiedlichen Prinzipien auf. Sicherheitsdienste sollten automatisch in das Netzwerk eingefügt und entsprechend konfiguriert werden. IT-Tools sollten problemlos in die Cloud integriert und Sicherheitsrichtlinien implizit angepasst werden können, um die Anzahl der Anwendungen nach Bedarf sicher zu erhöhen.

Neben der Compliance ist auch die Transparenz im Falle eines Angriffs eine wichtige Eigenschaft. Es muss erkannt werden, welche Unternehmenseinheit von welchem Problem betroffen ist, um eine entsprechende Problembehebung und entsprechende Analysen durchführen zu können. Ausserdem sollte das Sicherheitsmanagement zentral und einheitlich aufgesetzt werden, um über all e Vorgänge zeitnah zu informieren und entsprechend Massnahmen einleiten zu können.

Das Sicherheits-Management sollte zentral und einheitlich aufgesetzt sein.

Anzeige

Verhindern, vorbeugen, detektieren

Die Sicherheitsstruktur basiert also idealerweise auf einer Kombination von abschreckenden, verhindernden, vorbeugenden, detektierenden und korrigierenden Verfahren. Das heisst, dass sowohl Warnhinweise an die Cyberkriminellen vor dem unerlaubten Eindringen abgegeben als auch präventive, reagierende und folgenreduzierende Massnahmen ergriffen werden, um so die Vorteile einer cloudbasierten Infrastruktur bedenkenlos nutzen zu können. Automatisierte Bereitstellung und Orchestrierung sowie eine zentrale Verwaltung der physischen und virtuellen Umgebung sind wesentliche Merkmale einer funktionierenden Sicherheitsstruktur.

Sonja Meindl, Country Manager, Check Point Software Technologies Schweiz/Österreich, Zürich.