Wie sicher ist eine Cloud? Besonders wenn es darum geht, Daten in eine Cloud auszulagern, haben manche Unternehmen Bedenken. Bertram Dorn, Principal Solutions Architect Security and Compliance bei Amazon Web Services (AWS), im Interview. [...]
Welche Security-Bedrohungen sind Ihrer Meinung nach derzeit die gefährlichsten, bzw. welchen müsste man besondere Aufmerksamkeit schenken?
Bei der Sicherheitsfrage gilt es, zwischen allgemeinen Sicherheitsthemen und Bedrohungen im Cloud-Infrastruktur-Bereich zu unterscheiden. Derzeit sehen sich Unternehmen vermehrt mit Trojanern und Angriffen durch Erpressungs- oder Schadsoftware konfrontiert, die versuchen, Unternehmensnetzwerke lahmzulegen. Was die Cloud-Infrastruktur betrifft, sollte das Thema Identitäts- und Zugriffsmanagement in den Fokus rücken. Aus Erfahrung haben wir gelernt, dass die meisten Fehler auf weitreichenden und damit fehlerhaften Konfigurationen im Bereich Zugriffsmanagement basieren, denn viele Unternehmen entscheiden sich für den einfachen Weg und verteilen die Zugriffsrechte sehr großzügig. Das ist aus Sicht der Geschwindigkeitsagilität zwar von Vorteil, aber sicherheitstechnisch schwierig, vor allem bei langfristiger Rechtevergabe. Ein weiteres Thema, das mehr Aufmerksamkeit verdienen sollte, sind öffentlich zur Verfügung gestellte Ressourcen.
Wie soll eine den aktuellen Bedrohungen gemäße Security-Strategie von Unternehmen aussehen?
Das wichtigste ist die Ausrichtung an den individuellen Möglichkeiten, Kapazitäten und Risiken des Unternehmens. Was für Betrieb A die optimale Strategie ist, muss für Betrieb B nicht zwangsweise auch passen. Mit der bereits angesprochenen Identitäts- und Zugriffsverwaltung können sich Unternehmen vor aktuellen Bedrohungen gut schützen. Damit kann ganz genau reguliert werden, wer von wo Zugriff hat. Verfügbare Sensoren wie Log-Daten, API-Logs oder Meta-Informationen über Vorgänge im Netzwerk sollten in die Prozesse und das Vorgehen integriert werden und aktiv verarbeitet werden, gegebenenfalls durch Dienstleistungen wie Machine Learning oder Grafdatenbanken, um so neue Erkenntnisse zur Sicherheit zu gewinnen. AWS-Dienste wie etwa Amazon GuardDuty scannen kontinuierlich auf diverse bekannte Risiken und unbefugtes Verhalten und erkennen Anomalien. Auch Bereiche wie MapReduce (Amazon Elastic Map Reduce (EMR)) sind aus Sicherheitssicht sehr interessant um aus grossen Mengen an Log-Daten sinnvolle Informationen zu gewinnen.
Wie muss IT-Security im Zeitalter von Public, Hybrid und Private Cloud aussehen?
Kommunikationsstrecken sollten abgesichert werden, nicht nur durch Verschlüsselung, sondern auch in Bezug auf die Verfügbarkeit. Auch wenn sich momentan noch nicht viele Unternehmen daran herantrauen, können Public-, Hybrid- und Private-Cloud ohne große Sicherheitsbedenken im Verbund verwendet werden, sofern man die Zugriffsrechte gut verwaltet.
Viele Unternehmen haben immer noch Security-Bedenken, wenn es darum geht, Daten, Applikationen und die eigene IT-Infrastruktur in die Cloud auszulagern. Wie berechtig sind diese Bedenken?
Unternehmen, die ihre Infrastruktur in die Cloud verlagern, möchten ihre Anwendungen nicht blind verschieben und in die Hände eines Dritten legen. Ist dieser Sprung ins kalte Wasser aber gemacht, merken die Unternehmen bei einer Prüfung der vorgenommenen Maßnahmen schnell, dass die Sicherheit des Cloud-Anbieters viel tiefergehender und umfassender ist, als im eigenen Rechenzentrum. Bei Bedenken bezüglich der Sicherheit des Cloud-Anbieters empfehle ich grundsätzlich immer, sich Attestate, Prüfberichte und Zertifizierungen anzusehen – das sind meist sehr gute Anker, um die Qualität von Anbietern zu prüfen. AWS hat beispielsweise eine Reihe an solchen international anerkannten Zertifzierungen und Attestate, wie beispielsweise die ISO27001 für IT-Sicherheit, die ISO 27017 für Cloud-Sicherheit und die ISO 27018 für Datenschutz in der Cloud, sowie SOC1, SOC2, und SOC3. Zudem hat AWS erfolgreich die Prüfung nach dem C5-Standard abgeschlossen. So wurde etwa die Region Frankfurt nach diesem Standard auditiert. Bei C5 handelt es sich um den Cloud Computing Compliance Controls Catalogue, ein Regelwerk für höchste Anforderungen in Sachen Sicherheit und Datenschutz in Cloud-Umgebungen. Der Katalog wurde vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben.
Wie kann sicheres Cloud Computing gelingen?
Um Risiken zu minimieren, sollten sich Unternehmen auf jene Dienste beschränken, die relevant und notwendig sind und zum Risikoprofil des Unternehmens passen. Aber: Jeder unserer mehr als 175 Cloud-Dienste enthält Sicherheitsvorkehrungen, Unternehmen müssen sich also keine Sicherheitsdienste hinzu buchen.
Im Zeitalter der Multi-Cloud: Wie gelingt sicheres Cloud-Management und Cloud-Monitoring?
Sicheres Cloud-Management gelingt durch ein adäquates Identitäts- und Zugriffsmanagement, aber auch Single-Sign-On und Single-Access Dienste sind Bestandteile einer erfolgreichen Sicherheitsstrategie. Auch in Multi-Cloud-Szenarien benötigen Anwender und Administratoren einen möglichst flüssigen und reibungslosen Umgang mit der Technologie – der Schlüsselfaktor dazu sind Verzeichnis Dienste.
Wie lässt sich Cloud-Nutzung mit Datenkontrolle, der Einhaltung weltweiter Gesetzgebung, Data Residence und der Geschäftsführer-Haftung vereinbaren?
Immer, wenn mehrere Parteien beteiligt sind, wird die Verantwortung über die Sicherheit geteilt. Der Cloud-Anbieter muss die geltenden Vorgaben einhalten und sich regelmäßig durch vereidigte Wirtschaftsprüfer kontrollieren lassen. Unternehmen prüfen im Rahmen ihrer Aufsichts- und Sorgfaltspflicht ebenfalls ihren Cloud-Anbieter – idealerweise in regelmäßigen Abständen. Im Bereich Data Residency würde ich die Verträge und die Auftragsdatenvereinbarungen aufmerksam lesen und im Bedarfsfall auf den Cloud-Anbieter zugehen, falls es bestimmte Inhalte zu klären gibt. Bei AWS übergeben wir unseren Kunden standardmäßig die Inhaberschaft und Kontrolle über ihre Inhalte. Kunden können so bestimmen, wo ihre Kundeninhalte gespeichert werden, die Inhalte ihrer Kunden während der Übertragung oder Speicherung schützen und den Zugriff auf die AWS-Dienste und -Ressourcen verwalten.
Be the first to comment