Security in und aus der Cloud

Derzeit nutzen nach Erkenntnissen von Check Point bereits mehr als 90 % der Unternehmen Cloud-Services, wobei 67 % der Sicherheitsabteilungen eine mangelnde Transparenz ihrer Cloud-Infrastruktur und -Compliance beklagen. Das deckt sich mit den Ergebnissen der letzten <kes>/Microsoft-Sicherheitsstudie, wo ebenfalls rund zwei Drittel der Befragten die Transparenz und Kontrollierbarkeit externer Dienste (Managed-Security- und Cloud-Services sowie Outsourcing) im Vergleich zu Inhouse-Lösungen als etwas oder erheblich schlechter eingeschätzt haben.

Einer neueren Studie von IDG Connect und Snow Software zufolge sorgen sich fast 90 % der Befragten IT-Führungskräfte um bevorstehende Lieferanten-Audits in Cloud-Umgebungen. Die Teilnehmer der Umfrage hätten zudem Bedenken geäußert, dass sie mit der Dezentralisierung der Beschaffung von Services für etwas verantwortlich gemacht werden, das sie gar nicht kontrollieren können – mehr als die Hälfte (59 %) gab an, dass in den nächsten zwei Jahren eine bessere Transparenz der IT-Landschaft erreicht werden müsse.

Sanjay Castelino, Chief Product Officer bei Snow, kommentiert: „Die Möglichkeit einzelner Business-Units, von ihnen benötigte Technologie selbst zu kaufen, ist eine weitgehend positive Entwicklung. Sie stellt aber eine Herausforderung dar, wenn es um Transparenz und Kontrolle geht.“ Es sei wichtiger denn je, dass Unternehmen einen vollständigen Überblick und umfassende Kontrolle über ihr gesamtes IT-Ökosystem haben.

Transparenz zu schaffen, sieht auch Forcepoint als wesentlichen Schritt einer Sicherheitsstrategie für Cloud-Umgebungen an – ein „naiver Weg in die Cloud“ gehört für das Unternehmen zu den größten IT-Bedrohungen für 2020: „Unternehmen und Behörden managen ihre Daten in hybriden Konstrukten aus Firmennetzwerk und verschiedenen Cloud-Lösungen. In den Hintergrund gerät dabei häufig, dass die Verantwortung für die Datensicherheit immer beim Unternehmen bleibt, auch wenn die Daten bei einem Provider liegen.“

Die schlechte(re) Transparenz und Kontrollierbarkeit von MSS/Cloud-Security hat auch die <kes> in den Mittelpunkt der Expertenumfrage für den vorliegenden Beitrag gestellt. Zunächst wollten wir aber auch wissen, welche Aufgaben/Maßnahmen der Informationssicherheit sich heute besonders für die Nutzung als Service in oder aus der Cloud eignen – und welchen Reifegrad solche Angebote heute erreicht haben.

Prädestinierte Aufgaben

cirosec-Geschäftsführer Stefan Strobel antwortete: „Services, die möglichst wenig Abhängigkeiten und Kommunikationsbedarf mit internen Systemen haben, eignen sich schon immer besonders gut als Cloud-Services. Dazu zählen insbesondere Schwachstellen-Scanner, die das Kundennetzwerk von außen scannen, Content-Security-Gateways für Mail und Web-Zugriffe, die ohnehin Kommunikation mit dem Internet behandeln, oder auch Threat-Intelligence-Services, die vor allem extern Informationen für den Kunden aufbereiten. Derartige Services sind inzwischen etabliert und ausgereift. Zudem verlagern auch immer mehr deutsche Unternehmen Teile ihrer IT in Cloud-Umgebungen wie AWS oder Azure, was dazu führt, dass auch zugehörige technische Sicherheitsmaßnahmen in die Cloud verlagert werden – bei IT in der Cloud drängt sich natürlich auch die Sicherheit aus der Cloud auf.“

Auch Murat Yildiz, Partner bei Deloitte Deutschland im Bereich Cyber Risk, sieht viele Möglichkeiten: „Je nach Verfügbarkeit interner Skills/Kapazität können die meisten operativen Aufgaben aus dem Informationssicherheitsumfeld in die Cloud verlagert werden, die aktuell entweder ‚on-premise‘ vom Kunden gehostet oder durch eine Strategic-Outsourcing-Vereinbarung aus einem Rechenzentrum heraus dem Kunden zur Verfügung gestellt werden. Klassische Securityfunktionalitäten wie Security-Information-und -Event-Management (SIEM), Managed-Firewall und -DDoS-Protection, Malware-Schutz, Identity- und Access-Management und so weiter werden immer mehr als cloudbasierte Managed Security-Services (MSS) angeboten, was je nach Größe und Schutzbedarf eines Unternehmens durchaus sehr sinnvoll sein kann.“

Inés Atug, Senior Expert bei HiSolutions, sieht das ähnlich: „Ihre großen Vorteile spielt die Cloud auch in der Informationssicherheit dort aus, wo sie Skalierbarkeit bietet, die Organisationen alleine nicht stemmen können oder wollen: (D) DoS-Schutz, geografische Redundanz / Notfallstandorte, technische Threat-Intelligence, um drei Beispiele zu nennen. Aber die Dienste müssen weiterhin konfiguriert und verwaltet, Dienstleister müssen gesteuert werden – was Skills verlangt, die häufig noch nicht im Unternehmen vorhanden und auch schwer am Markt zu finden sind.“ Einen einzigartigen Vorteil böten Cloud-Dienste allerdings darüber hinaus, der ansonsten immer sehr schwer zu finden sei: „Durch den hohen Automatisierungsgrad bekommt man Asset-Management / Configuration-Management-Database (CMDB) bis zu einem gewissen Grad frei Haus, was die Basis fundierter Security-Prozesse ist. Gepaart mit sorgsam designten gehärteten Images und Basiskonfigurationen kann so schon ‚out of the Box‘ ein hohes Grundniveau der Security für Fachbereiche vorgegeben werden“, erläutert Atug.

„Prinzipiell sind die meisten Sicherheitsaufgaben für die Nutzung als Service geeignet“, sagt Eckhard Schaumann, Country Manager DACH bei RSA: „Speziell wo die Analyse von Daten geschieht, gegebenenfalls (aus der Sicht des Anbieters) über Kundengrenzen hinweg, haben Cloud-Lösungen oft Vorteile: Anomalien werden schneller erkannt, der Anbieter kann entsprechend reagieren. Aber auch Sicherheitsmaßnahmen brauchen Pflege und müssen in Bezug auf Schwachstellen verwaltet werden – insbesondere wenn sie geteilt und häufig aktualisiert werden.“

Thomas Koch, Area Manager Large Enterprise Germany bei Zscaler, mahnt eine Differenzierung an: „Es existieren zwei Internet-Security-Ansätze auf dem Markt, die sich zwar beide ‚Cloud‘ nennen, aber auf unterschiedlichen Architekturmodellen beruhen. Native Cloud-Modelle wurden von Grund auf für die Anforderungen im Cloud-Zeitalter entwickelt.“ Dem stünden Security-Ansätze gegenüber, die auf vorhandener Hardware aufsetzen, um ähnlich wie eine reine Cloud-Lösung zu funktionieren: „Dabei wird lediglich Hardware in die Cloud verlagert, um Hybrid-Modelle oder Cloud-washed Security anzubieten – die Grenzen zum Managed-Service-Modell sind fließend. Echte Cloud-Security-Lösungen wurden für die Anforderungen im Zeitalter der digitalen Transformation entwickelt und können ihre Vorzüge in Multi-Cloud-Umgebungen und für die zunehmende Mitarbeitermobilität ausspielen: Eine Cloud-native Security-Lösung kann alle Module von Web-Security über Cloud-Sandbox, SSL-Scanning und Data-Leakage/Loss-prevention (DLP) bis hin zur Next-Generation-Firewall auf einer hochintegrierten Plattform zusammenfassen und durch Geschwindigkeit beim Update von Sicherheitspatterns ebenso punkten wie durch die Interoperabilität beim Austausch von Logs mit einem SIEM-System.“

Transparenz und Kontrollierbarkeit

Koch betont: „Cloud-native Ansätze basieren auf der Elastizität der Cloud und berücksichtigen bereits in der Design-Phase Servicequalität, Multimandantenfähigkeit oder auch Authentifizierung sowie Datenschutz und -sicherheit. Damit erfüllen sie die modernen Anforderungen, die Gartner im ‚Secure-Access-Service-Edge‘-(SASE)-Framework definiert hat, und bieten Sicherheit für alle User beim Zugriff auf ihre benötigten Anwendungen – unabhängig vom Standort des Mitarbeiters oder davon, ob diese im Rechenzentrum oder in Multi-Cloud-Umgebungen vorgehalten werden.“

„Transparenz bezüglich des angebotenen Sicherheitsniveaus wird durch eine ISO-27001-Zertifizierung und durch einen SOC-2-/-Type2-Report gewährleistet – eventuell auch durch andere Zertifizierungen des Cloud-Providers wie PCI/DSS (Payment) oder nach Cloud-Computing-Compliance-Controls-Catalogue (C5)“, kommentiert Yildiz (Deloitte) und ergänzt: „Was das Thema Datenschutz der auf einer cloudbasierten Lösung zu verarbeitenden Daten angeht, sollte genau hinterfragt werden, wo das Hosting erfolgen wird. Dabei sollte man auf jeden Fall auch genau nachvollziehen, wie der Provider die Mandantentrennung und Einhaltung der benötigten Sicherheitsstandards gewährleistet. Außerdem sollte der Kunde sich ein professionelles Service-Reporting für die operative Security-Service-Qualität sowie ‚Right-to-Audit‘-Möglichkeiten vertraglich zusichern lassen, um sich bei Bedarf vom Sicherheitsniveau der angebotenen Services persönlich zu überzeugen.“

„Viele der grundlegenden Anforderungen (z. B. eine Auftragsverarbeitungs-Vereinbarung nach Art. 28 DSGVO) sind inzwischen zum Glück weit verbreitet – auch ISO-27001- oder SOC-2-Type-1&2-Zertifizierungen sind häufiger anzutreffen“, sagt Schaumann (RSA): „Gerade die Infrastructure- (IaaS) und Platform-as-a-Service-Anbieter (PaaS), die von vielen Anbietern von Sicherheitslösungen als Hosting-Plattformen verwendet werden, haben hinsichtlich Compliance große Fortschritte gemacht (inklusive diverser Zertifizierungen). Die DSGVO hat viele Anbieter gezwungen, ihre Technik und Prozesse zu überprüfen, zu dokumentieren und anzupassen.“

Atug (HiSolutions) gibt jedoch zu bedenken, dass Security as a Service (SaaS) ein zweischneidiges Schwert sei: „Security-Vorteile werden häufig mit Datenschutz-Risiken erkauft – auch wenn die DSGVO hier zu einem Umdenken in vielen Organisationen geführt hat. Technisch benötigen Security-Services auch immer eine Verbindung zwischen Cloud und lokaler Umgebung, die grundsätzlich als Einfallstor genutzt werden kann. Compliance in der Cloud ist heute dank neuer Standards und modernisierter Regulierung machbar – wenn auch mit viel Arbeit. Mehr Sorge macht die tatsächliche praktische Absicherung der komplexen, dynamischen Dienste, die sicherheitstechnisch noch nicht gleichermassen gut erforscht sind wie klassische Enterprise-IT.“

Aussichten: Heiter oder wolkig?

Auf unsere Frage nach den spannendsten Entwicklungen, größten Fortschritten sowie wesentlichen Änderungen der näheren Zukunft in Sachen „Security-Services aus der Cloud“ antwortete David Fuhr, Head of Research bei HiSolutions: „Als Security-Services aus der Cloud stehen bereits viele Angebote rund um Themen wie Notfallmanagement, Zugriffsmanagement sowie Detektion und Reaktion zur Verfügung. Gerade in diesen Bereichen gilt es, große Datenmengen zu verarbeiten und zu analysieren. So kommt es zunehmend, dass auch künstliche Intelligenz (KI) und maschinelles Lernen (ML) Teil dieser Lösungen sind. Hier erwarten wir eine weitere Zunahme dieser Entwicklung: Diese Methoden sind zwar für Big-Data-Analysen prädestiniert, ersetzen aber auf absehbare Zeit nicht die Expertise erfahrener Analysten. Zumindest sollten Experten weiterhin die Ergebnisse validieren – und zwar (false?) Positives wie (false?) Negatives!“ Schließlich könne niemand eine – absichtlich oder unabsichtlich – erfolgte Verfälschung ausschließen.

Strobel (cirosec) ergänzt: „Immer mehr Hersteller von Sicherheitslösungen bieten Management-Komponenten bevorzugt oder sogar nur noch in der Cloud an – dadurch vereinfachen sie die Installation und den Betrieb ihrer Lösung. Dies funktioniert als Verkaufsargument vor allem in Ländern außerhalb der EU, die eine höhere Affinität zu Cloud-Themen haben als wir in Deutschland. Moderne Lösungen bringen oft auch KI-Funktionen mit, die auf große Datenmengen angewiesen sind und auch aus diesem Grund alle Informationen in einer cloudbasierten Lösung zusammenziehen; Microsofts Defender ATP oder auch die Endpoint-Security-Lösung von Crowdstrike sind Beispiele hierfür.“ Generell werde der aktuelle Trend zur Verlagerung von Services in Cloud-Umgebungen kaum aufzuhalten sein: „Entsprechend wandern damit verbundene Sicherheitsmaßnahmen mit in die Cloud. Am Beispiel von Office 365 sieht man das recht deutlich: Unternehmen, die ihr Sharepoint in die Cloud migrieren oder ihr Mail-System auf Exchange-Online umstellen, werden selbstverständlich auch die zugehörigen Sicherheitsfunktionen von Microsoft nutzen.“

Auch Yildiz (Deloitte) sieht klare Tendenzen zur Verlagerung in die Cloud: „Der Zugriff auf cloudbasierte Services erfolgt über Standardschnittstellen und APIs, die Cloud-Anbieter den Kunden zur Verfügung stellen. Wir sehen den Trend, dass die klassischen Security-Tool-Anbieter ihre Cyber-Defense immer mehr im Cloud-Kontext anbieten werden, indem sie ihre Lösungen für den Cloud-Einsatz (IaaS und SaaS) optimieren.“ Dabei dürfe man aber nicht vergessen, dass Unternehmen durch die Migration zentraler Securityfunktionalität in die Cloud einen Teil ihrer Kontrollmöglichkeiten an eine externe Funktion übergeben: „Aus meiner Sicht sollte genau beleuchtet werden, ob und welche Funktionen – hinsichtlich Business-Kritikalität sowie Schutzbedarf – unter welchen Bedingungen in die Cloud migriert werden können“, mahnt Yildiz. Tatsächlich beobachte man bei Deloitte aktuell, dass immer mehr Organisationen unternehmensweite „Cloud-Readiness“-Programme durchführen, um auf Basis technischer und organisatorischer Parameter eine Entscheidung für oder gegen eine Migration in die Cloud zu treffen.

Schaumann (RSA) sieht teils schon eine Umkehrung des Auslagerungstrends: „Eine spannende Entwicklung ist, dass in manchen Bereichen einige der Funktionen, die in die Cloud gewandert sind, ‚zurückkehren‘, aber trotzdem zentrale Analysen und Management möglich bleiben. Ein gutes Beispiel sind IoT-Sicherheitslösungen, die – zumindest zeitweise – autark arbeiten, um beispielsweise das Verhalten von Devices im Internet of Things (IoT) zu überwachen.“

Einen softwaredefinierten Zugriff auf Basis des „Zero-Trust“-Konzepts stellt Koch (Zscaler) in den Mittelpunkt seiner Aussichten: „So wird für Remote-User der Zugang zu intern und extern vorgehaltenen Anwendungen aufbauend auf ihrer Identität gewährt und kontinuierlich überwacht, ohne dass manuelle Interaktion erforderlich ist. Der Broker, der die Zugriffsanfrage des Users mit einem Outbound-Tunnel der Anwendung verbindet, sitzt dabei in der Cloud.“ Damit trage man der allseits geforderten Anwenderfreundlichkeit Rechnung: „Der Anwender merkt heute im Idealfall nicht einmal mehr, ob seine Anwendung in der Cloud oder im Rechenzentrum vorgehalten wird. Zukünftig wird der Trend über den Zero-Trust-Network-Access hinaus für den sicheren Zugang zu Services in Richtung SASE gehen“ – auch hier könne native cloudbasierte Security schon heute Lösungsansätze bieten.