Die Bedeutung des Themas Sicherheit für die Entwicklung des Cloud-Marktes hat sich gewandelt: vom Killer- zum Verkaufsargument." So formuliert Steve Janata, Senior Advisor bei der Experton Group, eines der zentralen Ergebnisse des aktuellen "Cloud Vendor Benchmark". Und sein Kollege Carlo Velten, ebenfalls Senior Advisor des Analysten- und Beratungshauses, erklärt: "In den Anfangszeiten des Cloud Computings wurde die Security-Keule immer dann herausgeholt, wenn man der Geschäftsführung das Cloud-Thema ausreden wollte.
Inzwischen haben die Anbieter und ihre Technologielieferanten wie etwa Trend Micro das Sicherheitsniveau der angebotenen Services verbessert und reden offen über das Thema Sicherheit, das früher gerne mal unter den Teppich gekehrt wurde. Dabei zeigt sich, dass dieses Thema den Verkauf fördern kann - teilweise sogar stärker als das Thema Kosten." Das liege daran, dass sich Sicherheit anhand von bestimmten Parametern relativ gut messen, diskutieren und dokumentieren lässt. Und für manchen Kunden sei die Umsetzung seiner Sicherheitsanforderungen wichtiger als die Kostenersparnis.
Interne IT muss sich öffnen
Den Grund für diese Entwicklung sehen die beiden Experton-Experten in den Geschäftsstrategien von Anbietern und Anwendern. Velten: "Lange hatten die Unternehmen verschiedene IT-Sys-teme im Einsatz, die wie parallele, in sich geschlossene Welten funktionierten. Im Zentrum stand die Enterprise-IT mit den kritischen Datenbank- und ERP-Systemen, internen Portalen und vielleicht noch einem Extranet, das Ganze umgeben von einer harten Schale wie eine Kokosnuss. Zugriff von außen gab es nur über dedizierte oder zumindest per VPN komplett abgesicherte Leitungen. Am Beispiel von SAP und SuccessFactors lässt sich nun zeigen, wie diese harte Schale geöffnet wurde - in Richtung Cloud und mobiles Internet: Heute kann ein SAP-Anwender mit der iPad-App von SuccessFactors auf die kritischen Mitarbeiterdaten eines HR-Moduls in SAP R/3 zugreifen."
Damit ergibt sich aus Sicht der Analysten ein Paradigmenwechsel in der IT-Sicherheit: Es komme nicht mehr allein auf die Sicherheit des Data Centers an, sondern auf die Absicherung des kompletten Netzwerks Ende-zu-Ende. Aus technischer Sicht sei es dabei unerheblich, ob die Daten im Unternehmen oder beim Provider lagern, solange alle Komponenten vom Server über die Verbindungsleitungen bis hin zum Thin Client, PC, Notebook, Smartphone oder Tablet durchgängig abgesichert sind - und zwar auf der physikalischen Ebene genauso wie auf der Ebene der Netzwerkprotokolle, der Virtualisierungssoftware sowie auch auf Applikationsebene.
Sicherheit steuern
Auf Anwenderseite wird die Entwicklung getrieben von den digitalen Wertschöpfungsketten. Steve Janata argumentiert: "Wenn ich einen Großteil meines Kundensupport, meines digitalen Marketings und zunehmend meinen Verkauf über das Internet mache, dann befinden sich die Geschäftsprozesse und Daten ohnehin im Internet. Das heißt: Enterprise-IT und die Internet-Welt wachsen zusammen. Firmen müssen die Sicherheit der Daten und Prozesse auch im Internet, in der Cloud steuern."
Bis vor Kurzem sei es unkritisch gewesen, die unterschiedlichen Teile eines Sicherheitssystems wie Endpoint Security, Identity-Management, Firewall und Intrusion Detection von verschiedenen Herstellern zu beziehen. Das wird in der Cloud nach Einschätzung von Experton schwieriger. Security sollte aus einer Hand kommen und zentral gesteuert werden, weil die Sys-teme besser zusammenspielen müssen. Denn, so Velten: "Die Hacker nutzen gezielt Schwachstellen zwischen den Lösungen verschiedener Anbieter. Bei der Auswahl von Sicherheitslösungen empfehlen wir deshalb, auf ein umfassendes Lösungsportfolio des Anbieters zu achten. Außerdem sollte er die Funktionalität der Systeme gezielt auf den Einsatz in der Cloud ausrichten. Hier hat Trend Micro unserer Ansicht nach derzeit einen Vorsprung vor der Konkurrenz."
Als wichtigste Trends im Bereich der Cloud-Sicherheit nennen Velten und Janata drei Themen:
-
Software Defined Networks (SDN): Grundsätzlich gilt im Cloud-Bereich: "Follow the logics, not the physics." IT-Sicherheitsexperten müssen viel mehr Komplexität beherrschen. Offen ist aber noch, ob diese zusätzliche Komplexität es auch den Hackern erschwert, konkrete Angriffspunkte zu identifizieren.
-
Continuous Penetration Testing: Laut Experton reicht es nicht, alle zwei Jahre einmal einen Hacker-Angriff von Spezialisten des Chaos Computer Clubs oder vom TÜV simulieren zu lassen. Velten: "Die Intervalle müssen stark verkürzt werden." Unternehmen sollten nicht warten, bis sie vom Gesetzgeber verpflichtet werden, Hacks zeitnah zu veröffentlichen. Sie müssen vorher handeln."
-
Highscale-Encryption-Management: Zu einer Ende-zu-Ende-Sicherheitsstrategie gehört auch die Verschlüsselung der Daten im Rechenzentrum. Bei sehr großen Datenmengen, die häufig aktualisiert werden, etwa im E-Commerce, erfordert das einen hohen Aufwand und kann die Performance der Systeme beeinträchtigen. Hier sind spezielle Verfahren für Highscale-Encryption-Management gefordert.
Ein in der Vergangenheit wenig beachteter Aspekt des Themas Cloud Security sind Sicherheitsdienste, die als Cloud-Services angeboten werden. Das wird sich nach Einschätzung von Experton künftig ändern. Velten: "Dabei reden wir nicht nur über E-Mail-Security oder Firewall-Services, die ja schon bekannt sind, sondern beispielsweise auch über Identitäts-Management und Single-Sign-on aus der Cloud, wie es die Firma Okta anbietet." Anwender könnten so mit einmaliger Eingabe ihres Passworts bei der Anmeldung nicht nur die internen Unternehmenssysteme nutzen, sondern auch die für sie zugelassenen Anwendungen in der Cloud.
Beispiel Qualys
Als weiteres Beispiel nennen Velten und Janata Qualys: "Die Firma hat ursprünglich damit begonnen, Internet-Auftritte und E-Commerce-Content auf Malware-Befall zu untersuchen, auch Content von Drittanbietern. Um dieses Angebot herum entstand ein breites Portfolio von Infrastruktur- und Sicherheits-Management-Tools, die aus der Cloud heraus nutzbar sind. Wir bei Experton schätzen diesen Bereich als einen der wichtigsten Wachstumsbereiche im Cloud-Markt ein."
Auch die Neuregelung des elektronischen Zahlungsverkehrs mit der für alle Unternehmen verpflichtenden Einführung von SEPA bietet neue Möglichkeiten zum Einsatz von Cloud-Lösungen. Dabei gilt es für Anwender, die drei Prüfungsbereiche Server, Zertifikatsaustausch und Zugriff zu untersuchen. Zum Beispiel bestimmen im Bereich Server Betriebsort und Herkunft des Anbieters die Rahmenbedingungen für den Datenschutz aufgrund der jeweiligen nationalen Gesetzgebungen. Christian Fink, Zahlungsverkehrsexperte bei NTT Data, betont: "Cloud-Lösungen, die europäische Sicherheitsstandards erfüllen, sind vor allem für hoch vernetzte Unternehmensprozesse mit geschäftskritischen Daten geeignet."
Der deutsche Sonderweg
Frank Pototzki, Principal Manager Application Services Capgemini Deutschland, meint: "Im deutschen Markt muss die Nutzung von Cloud-Services den Anforderungen des Bundesdatenschutzgesetzes sowie spezifischen Regelungen aus dem Telekommunikationsgesetz für Netzdienstleister oder dem Sozialgesetzbuch für öffentliche Dienstleister genügen." Vor allem die Auftragsdatenverarbeitung sei ein kritischer Punkt. Vor Vertragsabschluss müsse mit dem Cloud-Anbieter verifiziert werden, wo die Daten gespeichert sind und wie auf sie zugegriffen wird. Persönliche gesundheitliche Befunde, oder Gesprächsdaten dürften beispielsweise nicht außerhalb Deutschlands gespeichert werden.
"Unabhängig vom tatsächlichen Speicherort spielt es für den Datenschutz eine wichtige Rolle, ob ein Cloud-Anbieter ausschließlich deutschem Recht oder beispielsweise dem US Patriot Act verpflichtet ist", sagt der Experte. Hierbei sei nicht relevant, mit wem der Vertrag geschlossen wird, sondern wer die Leistung letztlich erbringt. "In unserer globalisierten und vernetzten Welt ist es für die Anbieter von Cloud-Services und Integratoren von Cloud-basierten Lösungen eine besondere Herausforderung, diesen Nachweis zu erbringen."