Mehr Sicherheit - trotz oder aber mittels Cloud
Wolke mit zwei Gesichtern
Dieser Tage konzentriert sich die Debatte um Cloud-Sicherheit stark auf den Aspekt der Informationssicherheit. Hintergrund ist das Safe-Harbor-Abkommen, das der Europäische Gerichtshof (EuGH) kürzlich für ungültig erklärt hat. Cloud Security umfasst aber noch zahlreiche weitere wichtige Aspekte: Das Spektrum reicht vom App Testing über den Zugriffsschutz bis hin zur Reaktion auf Sicherheitsvorfälle (Incident Response).Cloud-Sicherheit ist eine Medaille mit zwei Seiten: Die einen sehen in der Cloud vor allem eine Gefahr, die anderen (zumindest unter anderem) ein Hilfsmittel, um die Sicherheit der eigenen IT zu erhöhen. Für beide Ansichten lassen sich gute Argumente finden: Viele Administratoren fürchten vor allem die Fülle teils mangelhaft gesicherter Consumer-Services, die bei ihren Endanwendern so beliebt sind, zum Beispiel um Dateien in der Cloud abzulegen und mit anderen Nutzern zu teilen. Ein Alptraum wäre es für den IT-Verantwortlichen, sensible Unternehmensdaten in einem öffentlichen Dropbox-Ordner oder einem ähnlichen Fileshare wiederzufinden. Unabhängig vom Leichtsinn einzelner Endanwender sehen manche Fachleute die Informationssicherheit in der Wolke grundlegend gefährdet: Die Veröffentlichungen Edward Snowdens machten deutlich, wie löchrig der Datenschutz und die Informationssicherheit im Cloud-Zeitalter sind - während aber der Sony-Hack vor einem Jahr erkennen ließ, dass wichtige Daten auch auf eigenen Servern nicht besser geschützt sind, wenn kompetente Angreifer mittels Social Engineering und/oder APT-Einsatz (Advanced Persistent Threat) zu Werke gehen. Cloud-Skeptiker, die die Informationssicherheit in fremden (meist US-amerikanischen) Rechenzentren als gefährdet einstufen, können sich durch das neue EuGH-Urteil bestätigt sehen: Der Europäische Gerichtshof kippte das Safe-Harbor-Verfahren schließlich deshalb, weil man die Daten in US-Rechenzentren als unzureichend geschützt betrachtet (siehe dazu "Siegeszug des ,Sowohl? als auch?" unter Link). Die Marktdominanz der US-Provider hat angesichts der Snowden-Enthüllungen und des EuGH-Urteils vermehrt Stimmen auf den Plan gerufen, die nun eine deutsche oder europäische Cloud fordern. Dabei ist es einer Wolke - um in der Cloud-Metaphorik zu bleiben - egal, über welche Länder sie hinwegzieht: Grenzen sind für eine Wolke kein Hindernis - und ebensowenig aus technischer Sicht für das Cloud Computing. Ob sich also Daten in einem deutschen RZ effektiver vor dem Zugriff fremder Geheimdienste schützen lassen (sei es der US-amerikanische, russische, chinesische oder welcher Dienst auch immer), das ist zumindest mit einem Fragezeichen zu versehen - Stichwort: Bundestag-Hack. Gleiches gilt für die Frage, ob ein deutscher Provider die Applikationen und Daten seiner Kunden wirkungsvoller vor APTs bewahren kann als AWS, Google, Microsoft und Co. Die "deutsche Cloud" ist damit vor allem ein Marketing-Instrument im weltweiten Wettbewerb um die beste Marktposition - erst danach kommen rechtliche Aspekte wie etwa eine nationale Residenzpflicht für Kundendaten, die manche Länder nun einfordern. Gefragt ist hier schlicht nachweisliche - also auditierbare - RZ-Sicherheit. Sonnenschein am Horizont So vertrackt die Lage auf der einen Seite der Medaille auch ist: Die Kehrseite ist umso spannender. Denn im Rahmen von Hybrid-Cloud-Architekturen (die häufig eine lokale, vom Kunden kontrollierte Datenhaltung vorsehen) lassen sich Cloud-Services sehr gut nutzen, um die Sicherheit des Gesamtkonstrukts zu erhöhen. Dies gilt umso mehr, wenn man zu den eigentlichen Cloud-Services (etwa gemäß Gartner-Definition) auch die Vielzahl Web-basierter Security-Services hinzurechnet - was insbesondere die Anbieter solcher Web- oder Managed-Security-Services gerne machen, um ihre Angebote schicker und moderner erscheinen zu lassen: Da werden dann schon mal Dienste wie Virenmuster-Updates per Internet als Service "aus der Cloud" angepriesen - obwohl es dafür häufig unerheblich ist, ob die dahinter stehende RZ-Infrastuktur nach Cloud-Art dynamisch skaliert oder nicht. Ob nun "Cloud-basierte Security" im engeren oder im Marketing-förderlich weiteren Sinne: Lokale IT-Sicherheitsmaßnahmen lassen sich heute durch diverse extern erbrachte und häufig auf Abruf verfügbare Angebote von MSSP-Seite (Managed Security Service Provider) sinnvoll ergänzen. Das Spektrum reicht von der Absicherung gehosteter Private Clouds über DDoS-Mitigation (Distributed Denial of Service) bis hin zu Incident Response als MSSP-Angebot. Von Sicherheitsfachleuten hört man immer häufiger, dass der traditionelle Fokus auf die möglichst umfassende Perimetersicherheit nicht mehr zeitgemäß sei und man sich vor allem auf die schnelle, effiziente Eindämmung von Vorfällen per Incident Response konzentrieren müsse. Incident-Response-Angebote gibt es heute von diversen Anbietern, darunter Alientvault, Blue Coat, Fireeye, IBM, Intel, Resilient Systems oder RSA. Zur Durchsetzung von Security-Richtlinien bei der Cloud-Nutzung etablieren sich zudem CASB-Lösungen (Cloud Access Security Broker); Blue Coat hat kürzlich den CASB-Anbieter Elastica akquiriert. Viele IT-Organisationen haben jedoch nicht die nötigen Spezialisten. So könnten "As a Service"-Angebote etwa für Incident Response, Threat Mitigation, App Testing oder den Cloud-Zugriffsschutz (CASB) künftig dafür sorgen, dass die Cloud ihr Image als Schmuddelkind der IT-Security loswird.
Lesen Sie mehr zum Thema
