Die Cloud bietet mehr Sicherheit und macht Ressourcen frei

Im Zuge der Digitalisierung werden mehr und mehr Arbeitsschritte und Daten in die Cloud verlagert. So viele Vorteile die Datenwolke auch hat, die Risiken sind nicht zu unterschätzen. Sebastian Ganschow, Principal Security Solutions Architect von NTT hat anlässlich der it-sa 2019 mit com! professional darüber gesprochen, welche Herausforderungen mit digitalen Arbeitsplätzen verbunden sind und wie man diesen am besten entgegentreten sollte.

com! professional: Herr Ganschow, ist es aus Security-Sicht sinnvoll, alle Daten und Vorgänge eines Unternehmens in die Cloud zu verlagern?

Sebastian Ganschow: Unternehmen gewinnen durch die Cloud viel an Sicherheit und zusätzlicher Unterstützung dazu. Neben den eigenen Maßnahmen erhält der Kunde außerdem die Security-Vorrichtungen einer ganzen Plattform. Dazu gehören das komplette Computing, das Storage und so weiter. Die Cloud-Provider garantieren ein gewisses Maß an Sicherheit. Zum Beispiel, dass die APIs so abgesichert sind, dass kein Fremder auf die Umgebung des Kunden zugreifen kann.

Daneben bringt die Cloud für Unternehmen aber auch den Vorteil, dass im Unternehmen schlicht weniger Security-Aufgaben auf die eigene IT-Abteilung abfallen. Diese Mitarbeiter sind ohnehin schwer zu finden und oft bleibt durch den Mangel an Fachkräften zu wenig Zeit für wichtige Aufgaben. Liegen hingegen die Daten in der Cloud, fallen viele nebensächliche Aufgaben weg.

com! professional: Worin liegt der Unterschied im Bereich Sicherheit bei einer Cloud-Umgebung und einer On-Premise-Architektur.

Ganschow: Sicher sind beide mit den entsprechenden Maßnahmen. Nur weil die Daten in der Cloud liegen, heißt das ja nicht, dass diese immer und von überall aus erreichbar sind. Für die Cloud gelten im Großen und Ganzen dieselben Grundsätze wie für On-Premise-Umgebungen. Wichtig ist nur, dass auch in der Datenwolke auf richtige Perimeter geachtet wird. Oder anders formuliert: Es besteht die Möglichkeit in AWS, Azure und Co. eine eigene kleine Welt zu schaffen. Und diese lässt sich dann genauso absichern wie ein lokales Rechenzentrum. Zusätzlich unterstützen kann hier dann zum Beispiel ein Managed Security Service.

Ganschow: Zunächst müssen die individuellen Herausforderungen, die das jeweilige Unternehmen zu bewältigen hat, betrachtet werden. Wichtig ist vor allem, herauszuarbeiten, welche Risiken bestehen und wie hoch das Risikobewusstsein des Betriebes ist. Daraus ergibt sich dann eine ganze Reihe an Maßnahmen, die es zu ergreifen gilt. Es wird eruiert, auf welchem Reifegrad sich das Unternehmen befindet und wo es eigentlich stehen sollte. Aus den herausgefilterten Ergebnissen wird dann eine Roadmap erstellt, um das gesteckte Ziel zu erreichen. Eine Universallösung für alle gibt es allerdings nicht.

com! professional: Ist ein Trend auszumachen, mit welchen Herausforderungen die meisten Unternehmen zu kämpfen haben?

Ganschow: Wir konnten in der Vergangenheit feststellen, dass Unternehmen das Thema IT-Sicherheit oft sehr taktisch betrachtet haben. In den verschiedenen Bereichen wurden zwar die richtigen Maßnahmen ergriffen, diese waren jedoch nicht immer im Einklang mit den eigentlichen Business-Zielen. Es ist weniger sinnvoll, Systeme wie Fort Knox abzusichern, wenn der jeweils dahinterstehende Prozess für das Unternehmen eigentlich relativ bedeutungslos ist. Abgesichert werden sollten vorwiegend jene Bereiche, die von hoher Relevanz für die Firma sind.

Das ist immer dann der Fall, wenn der Ausfall einer dieser Bereiche kritische Auswirkungen haben könnte. Auch das sind höchst unterschiedliche Dinge. So kann es für das eine Unternehmen höchst bedrohlich werden, wenn der Kantinenserver ausfällt, weil dann die Schichtarbeiter kein Mittagessen erhalten. Für andere wiederum ist die Kantine eher unwichtig und es gelten andere Maximen. Genau dafür muss die richtige Lösung gefunden werden, die durch Managed Security Services unterstützt werden kann.

Ganschow: Prognosen für die IT-Sicherheit sind immer extrem schwierig. Das liegt vor allem daran, weil sich die Bedrohungen und Maßnahmen der Angreifer extrem schnell weiterentwickeln und einem großen Wandel unterworfen sind. Darauf muss sich die Security-Branche einstellen und immer so schnell wie möglich darauf reagieren. Grundsätzlich bin ich der Meinung, dass die IT-Security mit den vorherrschenden Trends mitgehen muss. Sonst kann es leicht passieren, dass ausgerechnet die Security zum Hemmnis wird.

Die Fachkräfte direkt in den Unternehmen werden sich in Zukunft hoffentlich mehr darum kümmern, die richtigen Security-Maßnahmen zu erhalten, statt beispielsweise selbst an der Härtung des verwendeten Betriebssystems zu basteln. Das bedeutet nicht, dass es künftig weniger Spezialisten in den Firmen geben wird, nur weil auf die Hilfestellung von außen zurückgegriffen wird. Vielmehr werden so wieder Ressourcen dafür frei, die eigentlichen Geschäftsprozesse intensiver zu verstehen und zu schützen. Allerdings bleiben immer noch ausreichend viele Aufgaben für die Firmen-ITler übrig. Auch ein Managed-Security-Service-Provider ist nicht dazu in der Lage, die Kritikalität eines Business-Prozesse zu durchdringen. Dazu bedarf es schlicht interne Kenntnisse. Außerdem fungieren die IT-Mitarbeiter als Schnittstelle zwischen dem Unternehmen und dem Provider.