Was Unternehmen beachten sollten

Sicherheit in der Cloud

27.06.2012

Viele Unternehmen nutzen bereits Cloud-basierte Dienste und Applikatione. Doch traditionelle Sicherheitsmaßnahmen können nur interne Anwendungs- und Datenumgebungen schützen. Welche Aspekte ein Cloud-fähiger Sicherheits-Service umfassen sollte, erläutert Wick-Hill-Geschäftsführer Helge Scherff im folgenden Gastbeitrag.

Helge Scherff, Geschäftsführer Deutschland bei Wick Hill
Foto:

Viele Unternehmen nutzen bereits Cloud-basierte Dienste und Applikationen. Doch traditionelle Sicherheitsmaßnahmen können nur interne Anwendungs- und Datenumgebungen schützen. Hier sind Cloud-fähigen Sicherheits-Services gefragt.
Gastbeitrag von Helge Scherff, (Geschäftsführer Deutschland bei Wick Hill)
Cloud Computing bietet eine Alternative zu herkömmlichen Methoden der Kapazitätssteigerung oder der sofortigen Kapazitätserweiterung - ohne Investitionen in neue Infrastruktur oder in die Schulung neuer Mitarbeiter und ohne Kauf neuer Softwarelizenzen. Cloud Computing umfasst alle Abonnement- oder kostenpflichtigen Services, die die bestehende IT-Kapazität erweitern. Die Bereitstellung erfolgt in diesem Fall über das Internet.
Im Wesentlichen ist Cloud Computing ein webbasiertes Computermodell, das Verbrauchern gemeinsam genutzte Ressourcen, Software und Informationen in abrufbereiter Form bereitstellt. Die Technologie ist inzwischen ausgereift und hat daher weite Verbreitung gefunden.

Cloud Markt & Meinungen

Cloud-Markt in Deutschland 2012 bis 2017: Investitionen und Ausgaben nach Segmenten (B2B) in Millionen Euro
Quelle: Experton Group 01/2013

Cloud-Technologien: Marktanteile in Deutschland 2013 (1,55 Milliarden Euro)
Quelle: Experton Group 01/2013

Das treibt Unternehmen in die Cloud:
mangelnde eigene IT-Ressourcen, Wunsch, vorhandene Ressourcen effizienter zu nutzen Wunsch nach Kostensenkung; schnellere Bereitstellungs- und Evaluierungszeiten (Druck aus Fachabteilungen); mehr Flexibilität; bessere Arbeitsabläufe; Verantwortung für IT-Betrieb stärker auf den Anbieter verschieben

Bereitstellungsmodelle

Unternehmen nutzen ganz einfach webbasierte Tools oder Anwendungen, die Benutzer über einen Webbrowser öffnen und verwenden können - genau wie bei einem auf ihrem eigenen Computer installierten Programm. Bei den meisten Services handelt es sich zurzeit um Einzelanwendungen, die eine spezifische Lösung bereitstellen.
Diese Lösungen lassen sich einer der drei folgenden Kategorien zuordnen, obwohl Aggregatoren und Integratoren zunehmend im Kommen sind:

Software as a Service (SaaS): Mithilfe einer skalierbaren mandantenfähigen Architektur werden tausenden von Nutzern Softwareanwendungen als Service angeboten, beispielsweise Symantec.cloud.
Infrastructure as a Service (IaaS) stellt eine Computerinfrastruktur (Speicher und virtuelle Speicher) bereit, auf die die IT-Abtteilung zugreifen kann. Kunden erwerben diese Ressourcen als vollständig ausgelagerten Service, anstatt ihn anzuschaffen.
Platform as a Service (PaaS): Hier wird eine Entwicklungs- und Bereitstellungsumgebung angeboten, im Gegensatz zur fertigen Anwendung. Paas bietet sich für Unternehmen an, die unternehmensspezifische Anwendungen entwickeln möchten.

Diese drei Cloud-Plattformen weisen ähnliche Eigenschaften auf, die besonders für den wachstumsstarken Mittelstand interessant sind.

Vorteil Mobilität

Der Benutzer kann über einen Webbrowser von jedem Standort und von praktisch jedem Gerät (z. B. PC, Handy) auf Systeme zugreifen. Da die Infrastruktur ausgelagert (sie wird in der Regel von einem externen Anbieter bereitgestellt) und über das Internet zugänglich ist, können Services praktisch überall bereitgestellt werden.

Kosten lassen sich so deutlich reduzieren, und Investitionen in laufende Ausgaben umwandeln. Einstiegsbarrieren werden verringert, da die Infrastruktur in der Regel von einem externen Anbieter bereitgestellt wird und für einmalige oder gelegentliche intensive Computeraufgaben nicht im Unternehmen selbst angeschafft werden muss.
Zudem ist die Verwaltung von Cloud Computing-Anwendungen weniger komplex. Die zentrale Bereitstellung bedeutet, dass Anwendungen einfacher unterstützt und verbessert werden können, da Änderungen sofort bei den Kunden ankommen. Die Verfügbarkeit wird verbessert.

Sicherheitsbedrohungen

Walter Jaeger, Kaspersky: "Händler bieten Kunden flexible Sicherheitssoftware."

Martin Ninnemann, Trend Micro: "Pattern-gestützte Erkennung ist nur ein Bestandteil der Sicherheitsstrategie"

Norbert Runser, Director Channel Central and Eastern Europe bei McAfee: "Mögliche Vorfälle und Schäden früher erkennen und verhindern"

Max Galland, Senior Manager SMB Sales EMEA Central Region Symantec: "Die Hälfte der Attacken ist gegen kleine und mittlere Firmen gerichtet"

Helmut Reketat, G Data Sales Director Global: "Klassischer Schadcode immer kurzlebiger"

IAN Kilpatrick, Wick Hill Group:"Angriffsvektoren mit unterschiedlichen Signaturen"

Markus Mertes, Panda Security: "Reaktive Erkennung von Schadprogrammen nicht mehr zeitgemäß"

Pierre Curien, Geschäftsführer von Doctor Web Deutschland: "Heuristik und Verhaltensanalyse im Kommen"

Alexander Neff, Quest Software: "Ganzheitliche Sicht auf alle sicherheitsrelevanten Vorgänge"

Sascha Beyer, COO bei Avira: "Die digitale Identität eines jeden Anwenders schützen"

Dr. Ronald Wiltscheck, ChannelPartner: "Neue Bedrohungen beflügeln das Geschäft mit IT_Securtiy"

Sicherheitsbedenken bei Cloud-Services

Cloud Computing bietet sich als Lösung für Business Continuity und Disaster Recovery an. Dennoch kommt es immer wieder vor, dass wichtige Services in der Cloud ausfallen. Da IT-Manager und Führungskräfte bei einem Ausfall bisweilen nur wenig tun können, sind Service-Levels ein wichtiger Bestandteil jeder Bereitstellungsvereinbarung.
Skalierbarkeit und Flexibilität werden erhöht, wenn Benutzer in der Lage sind, Anforderungen schnell zu erfüllen, ohne teure technologische Infrastrukturressourcen implementieren oder vorhalten zu müssen.
Der Schutz vor Bedrohungen ist in der Regel deutlich stärker, da er keine Auswirkungen auf das physische Unternehmen hat. Anwendungen sind "virtualisiert” und reduzieren somit die Bedrohung für die lokale Infrastruktur.

Beim Datenschutz Transparenz einfordern

Einige argumentieren, dass Kundendaten sicherer sind, wenn sie intern verwaltet werden. Andere halten dagegen, dass Cloud-Anbieter stärker motiviert sind, das Vertrauen von Kunden zu bewahren und deshalb auf mehr Sicherheit achten.
Einigen Cloud-Anbietern sind datenschutzrechtliche Probleme und Sicherheitsbedenken nicht unbekannt. In der Cloud verfügbare Daten befinden sich in der Regel zusammen mit Daten von anderen Kunden in einer gemeinsam genutzten Umgebung. Daher sollten sich Kunden vergewissern, ob ihre Daten ausreichend geschützt sind.
Dieser Schutz muss fest in die Infrastruktur integriert sein und darf keine zusätzlichen Kosten verursachen oder sich negativ auf die Nutzung der Lösung auswirken. Auch sollte geklärt sein, wie Anbieter mit illegalen oder verdächtigen Aktivitäten umgehen. Kunden müssen Transparenz fordern und sollten Anbieter vermeiden, die sich weigern, detailliert über Ziele für ihre Servicebausteine sowie über die Leistung im Hinblick auf die Erreichung dieser Ziele Auskunft zu geben.

Die zunehmende Verbreitung von Cloud-basierten Services wie salesforce.com bedeutet, dass viele mobile IT-Benutzer auf Geschäftsdaten und -services zugreifen, ohne dabei zwangsläufig auf das Unternehmensnetzwerk selbst zuzugreifen. Für Unternehmen wird es daher zunehmend wichtiger, Sicherheitskontrollen zwischen mobilen Benutzern und Cloud-basierten Services einzuführen.

Herkömmliche Sicherheitsmaßnahmen können interne Anwendungs- und Datenumgebungen schützen. Doch müssen diese durch Cloud-fähige Sicherheitsservices ergänzt werden, die sicherstellen, dass alle Remote-Verbindungen dasselbe Maß an Schutz erhalten.

Neben den offizielleren Cloud-Anwendungen nutzen viele Unternehmen auch soziale Medien wie Twitter, Facebook, Linked-in und andere. Dies führt dazu, dass die Grenzen zwischen Unternehmensdaten und persönlichen Daten zunehmend verwischen. Doch geht es um mehr als nur um Daten - die Sicherheit kann eventuell auch ganz einfach durch einen leitenden Mitarbeiter gefährdet werden, der das eigene iPad im Unternehmensnetzwerk nutzen möchte.

Unternehmen stehen also vor einer schwierigen Entscheidung wie sie ausreichende Sicherheit und höhere Produktivität, Effizienz und Benutzerfreundlichkeit erreichen können. Interessanterweise bietet Cloud Computing selbst innovative Wege für die Bereitstellung von Sicherheitskontrollen und -funktionen durch neue Service Provider.

Fazit

Angesichts der wirtschaftlichen Aspekte und Risiken dieser Services bietet sich als erste Investition möglicherweise der Bezug eines Cloud-basierten Sicherheitsservice an, der sich vollständig in die bestehende Umgebung des Kunden integrieren lässt.

Neben der Bereitstellung eines Fundaments für jede Art von IT-Optimierungsprogramm sorgt der "Backoffice”-Charakter dieser Services dafür, dass sie schnell und ohne nennenswerte Auswirkungen auf Benutzer implementiert werden können. Wie jede andere Cloud-basierte Anwendung muss der Sicherheitsanbieter die Service-Level-Vereinbarungen (SLAs) bereitstellen, die sowohl die aktuellen als auch die künftigen Anforderungen des Unternehmens erfüllen.

Die weit verbreitete Nutzung eines hybriden Cloud-Modells bedeutet, dass die sinnvollste Lösung ein Sicherheitsanbieter ist, der nahezu das gesamte Unternehmen wie eine flexible Membran überspannen und mit dem Wandel des Unternehmens Schritt halten kann.
(Der Beitrag basiert auf einem Whitepaper von Symantec.cloud)

(rb)