Das Vertrauen in die Cloud steigt

2009 wurde Google von professionellen Hackern angegriffen. Ein Weckruf, sagt Urs Hölzle, der die technische In­fra­struktur der Google Cloud weltweit verantwortet. Und heute? Im Interview spricht Hölzle über zögerliche Entscheider und wie Google Firmen hilft, die Cloud sicher zu nutzen. Der aus der Schweiz stammende Hölzle war Professor an der Universität Santa Barbara, als er 1999 als Mitarbeiter Nummer 8 zu Google stieß.

com! professional: Warum sorgen Sie sich um Cloud-Sicherheit?

Urs Hölzle: Viele meinen, die IT-Sicherheit in der Cloud sei entscheidend. Sie ist wichtig, klar. Aber wenn man Berichte von Sicherheitsvorfällen durchliest, stößt man meist auf die eine Person, die auf das Falsche geklickt hat. Da hilft das stärkste Abwehrsystem nichts, wenn die falschen Leute mit den richtigen Zugangsdaten in ein System eingelassen werden. Daher bilden Endkunden sowie professio­nelle Anwender nach wie vor die größten Risikogruppen und sind zugleich am wenigsten geschützt.

com! professional: Aber es gibt auch positive Entwicklungen …

Hölzle: Natürlich! Immer mehr Entscheider werden sich der Bedeutung von IT-Security wie auch der Folgen im Ereignisfall bewusst. Dadurch verändert sich auch die Sicht auf das Cloud-Computing. Noch vor einigen Jahren herrschte in vielen IT-Abteilungen die Einstellung vor, dass On-Premise verwaltete IT sicherer sei als IT in der Cloud. Diese Sichtweise hat sich gewandelt. Das Vertrauen in die Cloud steigt.

com! professional: Wie kommt es zu diesem Sinneswandel?

Hölzle: In den Unternehmen hat man erkannt, wie viele Sicherheitsmechanismen heute in Cloud-Lösungen implementiert sind, die es On-Premise kaum oder überhaupt nicht gibt. Zum Beispiel verfügen die wenigsten On-Premise-Systeme über Sicherheitsmechanismen wie Zero Trust. Zero Trust erkennt, dass Applikation A Software B aufrufen darf, aber nur Leserechte erhält. Die entsprechende Firewall-Konfiguration wird im Hintergrund automatisiert erledigt. Diese Vereinfachung der IT-Security macht es wahrscheinlicher, dass man die Sicherheitsfunktionen korrekt einsetzt.

com! professional: Wie verändert das die Sicht auf die Cloud?

Hölzle: Die Frage, die sich IT-Verantwortliche heute stellen, lautet: Bin ich als Anwender in der Lage, die Cloud sicher zu nutzen? In jüngster Zeit gab es immer wieder Vorfälle wie Datenbanken, die praktisch ungeschützt öffentlich zugänglich waren. Kürzlich passierte dies sogar Microsoft mit 250 Millionen Datensätzen aus dem Kunden-Support. Die Lücke wurde nach Bekanntwerden sofort geschlossen. Solche Sicherheitsvorfälle sind aber kein typisches Cloud-Security-Pro­blem im Sinne eines technischen Fehlers, sondern Folgen menschlichen Versagens.

com! professional: Was sind die Folgen?

Hölzle: IT-Verantwortliche entwickeln ein Risikodenken. Man weiß, dass die Cloud-Infrastruktur technisch sicher ist, aber man weiß nicht genau, wie man sie korrekt nutzen muss, um Fehler im Umgang mit der Technik zu vermeiden. Das führt zu dem Trugschluss, dass die IT beim Betrieb in der Cloud unsicherer ist, als wenn man sie im eigenen Data-Center betreibt.

com! professional: Wie begegnen Sie diesem Dilemma?

Hölzle: Darauf gibt es keine einfache Antwort. Tatsächlich sprechen wir hier über eines der größten Hindernisse beim Einsatz von Cloud-Computing. Natürlich sind wir dafür verantwortlich, dass unsere Technologien funktionieren. Aber die Frage ist, wie wir Kunden helfen können, keine Datenbank versehentlich öffentlich zugänglich zu machen. Eine Möglichkeit wäre, eine Policy für alle Accounts eines Kundenunternehmens zu setzen. So könnte man etwa verhindern, einen Public Bucket auf einer Google-Cloud-Instanz anzulegen. Hier wird die Gemengelage aber komplex.

com! professional: Wieso das?

Hölzle: Wenn man die Sicherheit der IT komplett an uns abtreten würde, müssten wir Kunden wiederum Rechte an ihrer IT wegnehmen - das ist weder praktikabel noch wünschenswert. Daher versuchen wir, dieser Situation mit der Vereinfachung und Automatisierung von Rechtevergaben zu begegnen. Wir unterstützen hier die Kunden, sodass es am Ende stets das Regelwerk des Anwenderunternehmens bleibt. Speziell im Hinblick auf die Automatisierung von Cloud-Security braucht es daher eine tiefe Zusammen­arbeit zwischen Anbietern und Anwendern.

com! professional: Worauf kommt es bei der Zusammenarbeit von Dienstleistern und Kunden bei der Cloud-Sicherheit an?

Hölzle: Man muss sich zunächst darüber einig sein, welche Workloads überwacht werden müssen und welche Partei wofür verantwortlich zeichnet.

com! professional: Wie entwickelt sich Cloud-Security derzeit?

Hölzle: Neben der Komplexität sehe ich ein Hauptproblem in der Skepsis gegenüber neuer Technik. Container-Systeme sind aktuell die beste Wahl für einen effizienten IT-Betrieb, da bereits VMs, Betriebssysteme, Netzwerkkom­ponenten und so weiter integriert sind. Die Firewall-Kon­figuration fällt für Anwender schon mal weg und dadurch mögliche Lücken in der Cyberabwehr. Ich merke aber - vor allem bei Kunden in Europa -, dass viele an ihren in der On-Premise-Welt bewährten Konzepten festhalten und diese auf die Cloud übertragen wollen.

com! professional: Was stört Sie daran?

Hölzle: Das kann man machen, nur schleppt man dann die gesamte Komplexität der On-Premise-Welt mit in die Cloud. Dabei führt genau diese Komplexität immer wieder zu Sicherheitsproblemen. Der Kardinalfehler ist, dass sich die Entscheider kaum Zeit nehmen, ihre IT-Architektur an die Cloud anzupassen und zu planen. Containerization bedeutet nicht, dass man all seine Software auf Microservices umschreiben muss. Aber es macht Sinn, möglichst viele Workloads über Container zu betreiben. Das erspart einen ganzen Security-Layer, um den man sich nicht mehr selbst kümmern muss.

com! professional: Das sehen einige IT-Verantwortliche wohl anders. Auch haben sich ihre Systeme bewährt. Weshalb sollten sie einen derartigen Aufwand treiben?

Hölzle: Der Initialaufwand für den Systemwechsel ist da, aber die Mühe, sich in diese Welt einzuarbeiten, ist sicher geringer, als noch weitere zwei, drei Jahre Phishing und andere Angriffe zu bekämpfen. Manche scheuen vor dem Schritt auch aus Kostengründen zurück. Aber es lohnt sich, durchzurechnen, was über die Jahre günstiger käme. Meist realisiert man dann, dass der Erstaufwand deutlich kostengünstiger ist als die laufenden Sicherheitsmaßnahmen und das Loch, das ein Schadensfall nach einer erfolg­reichen Attacke in die Finanzen reißen würde.

com! professional: Wer Workloads und Daten einem Cloud-Anbieter überträgt, gibt ein Stück Kontrolle ab. Wie nehmen Sie Kunden Befürchtungen?

Hölzle: Der Schlüssel zum Vertrauen ist Transparenz. Wenn jemand von uns auf VMs von Kunden zugreift, etwa um eine Datenbank zu reparieren, erscheint dort ein entsprechender Log-Eintrag. Wir informieren also Kunden aktiv darüber, was wir tun. So weiß der Kunde Bescheid, dass wir das waren und niemand Unbefugtes. Das nennen wir Access Transparency. Soweit mir bekannt ist, bieten das bisher nur wir an. Mit Access Approval melden wir uns zuvor beim Kunden und erst wenn dieser uns die Erlaubnis erteilt, greifen wir auf seine Ressourcen für den Support zu.

Ich betone es nochmals: Wir greifen nur auf Ihren Wunsch auf Ihre Daten zu!

com! professional: Wer eine Cloud betreibt, strebt eine hohe Verfügbarkeit an, aber sicher soll auch alles sein. Wie wägt man bei Google Agilität gegen Sicherheit ab?

Hölzle: Das geht nur, wenn die Prüfung der Sicherheits­bestimmungen automatisiert durchgeführt wird und nicht manuell. Hier zeichnet sich eine interessante Entwicklung ab. Heute werden ein- bis zweimal pro Jahr Sicherheits­-Audits durchgeführt. Was man aber eigentlich anstrebt, ist ein Audit pro Sekunde. Security-Probleme lassen sich so verhindern. Bevor beispielsweise ein neuer Software-Release live geht, gibt es noch einen Check. Und wenn dabei fest­gestellt wird, dass eine Compliance-Regel verletzt wurde, wird das Update nicht freigegeben. Wenn man sekündlich ein Audit durchführen kann, verschwindet der Widerspruch zwischen Sicherheit und Geschwindigkeit. Das ist sozusagen das Nirwana!

com! professional: Wie nahe ist Google dem bereits?

Hölzle: Auf einem niedrigen technischen Level sind wir dem Ideal relativ nahe. Wenn etwa Daten in der Schweiz bleiben sollen und jemand versucht, einen Datensatz außerhalb anzulegen, dann funktioniert das nicht. Da greift das Echtzeit-Audit. Eine Zertifizierung der Eidgenössischen Finanzmarktaufsicht Finma automatisiert zu implementieren, steht dagegen noch in den Sternen. Zukunftsmusik ist auch, Standards wie die EU-DSGVO automatisiert zu implementieren.

com! professional: Weshalb?

Hölzle: Ein Grund ist die Auslegungsbreite der Regeln. Es wird ja noch darüber diskutiert, was bestimmte Vorgaben für die Praxis genau bedeuten. Aber selbst wenn die Regeln exakt definiert sind, gibt es Interpretationsspielräume. Zum Beispiel besagt die EU-DSGVO, dass der Benutzer informiert zustimmen muss, dass man seine Daten benutzen darf. Was bedeutet das? Ist es ein richtiges Einverständnis oder hat man unter Umständen die Anwender getäuscht? Das ist keine technische, sondern eine psychologische Angelegenheit.

com! professional: Wie lässt sich das maschinell lösen?

Hölzle: Indem wir einen Dialog anbieten, durch den der Nutzer bewusst informiert ist. Man kann das dann einer Applikation einprogrammieren, dass sie stets diesen Dialog mit dem Nutzer führt, bevor dieser die Anwendung nutzen kann. Dadurch wissen wir, dass der Anwender eine bewusste Entscheidung getroffen hat, diese Applikation einzusetzen. Auch wenn man nicht alles automatisieren kann, lässt sich doch die Hälfte der manuellen Arbeiten einsparen. Das ist doch schon ein großer Schritt vorwärts.

com! professional: Google hat vor etwa einem Jahr die Cloud-Management-Plattform Anthos lanciert. Warum?

Hölzle: Anwenderunternehmen werden zunehmend auf hy­bride Cloud-Architekturen setzen. Dafür müssen sie sich bei der Orchestrierung Dutzender Cloud-Anbieter auf die Sicherheit der einzelnen Dienste verlassen können. In den nächsten fünf Jahren werden Kunden das vermehrt von Cloud-Providern einfordern. Wir müssen hier die Standards anheben. Anthos-basierte SaaS-Lösungen etwa enthalten Sicherheits-Features wie die Authentifizierung nach Policies.

com! professional: Wie zeigt sich das in der Praxis?

Hölzle: In Bezug auf Cloud-Sicherheit liegt ein entscheidender Vorteil in der Machine-Learning-unterstützten Automatisierung. Man kann etwa verschiedene Access Groups in der Google Cloud Platform einstellen. Ein auf Machine Learning basierendes Werkzeug analysiert die Konfigurationen der Gruppen, aber auch, was die Anwender darin tatsächlich mit den Cloud-Anwendungen machen. Basierend auf den Erkenntnissen empfiehlt das Tool bestimmte Handlungen, etwa dass in der Zugangsgruppe eins 17 Leute enthalten sind, dabei sollten bestenfalls drei bestimmte Personen für Zugriffe berechtigt sein. Diese Muster müssen maschinell erfasst werden können und für Anwender nachvollziehbar sein. Nur so kann man rasch reagieren und mit der Zeit häufige Fehler erkennen. Das erhöht das Verständnis für Abläufe beim menschlichen Anwender wie bei der lernenden Maschine.

com! professional: Und mit Anthos reagieren Sie darauf?

Hölzle: Genau. Technisch ist die IT-Security heute sehr gut. Ein Datenpaket oder den Zugriff eines Anwenders zu blockieren, ist gelöst. Nicht gelöst ist die massive Komplexität der liegenden Technik, die zu fehlerhaften Einstellungen führen kann. Der einzige Weg, das Dilemma zu lösen, ist die Einführung eines übergeordneten Levels, um Sicherheitseinstellungen einfach zu justieren, während die Technik darunter automatisiert die korrekten Einstellungen übernimmt. Das sehe ich momentan als den größten Trend.

com! professional: Wie ist der Zuspruch seitens des Marktes?

Hölzle: Das Interesse an Anthos ist enorm, ins­besondere von großen Unternehmen. Der Einsatz einer hybriden Cloud sollte simpel sein und nicht mühsam oder unangenehm. Daher setzen wir auf Open Source. Unser Cloud-Management-Tool ist im Prinzip das erste System, das es einem ermöglicht, für die nächsten zehn Jahre in einer hybriden oder Multi-Cloud-Umgebung einfach zu arbeiten. Dieser Zeithorizont ist wichtig. Anthos ist nicht nur ein technisches Projekt, sondern eine strategisch bedeutsame Plattform für Google und seine Partner.