Security zwischen Cloud, IoT und Unternehmens-IT „Mega-Verunsicherung aufgrund von Mega-Trends“
25. November 2016Mit der Verlagerung von Unternehmensdaten und -anwendungen in die Cloud verlieren das interne Netzwerk und gleichzeitig die traditionellen Unternehmensgrenzen ihre Bedeutung. Bislang wurden kritische Daten und Workloads innerhalb der Unternehmensgrenzen gesichert – die Cloud hat dieses Konzept jedoch erschüttert. Künftig gilt es, die Workloads nachzuverfolgen und dort zu schützen, wo sie gerade genutzt werden. Dafür müssen Unternehmen ihre hausinternen Sicherheitskontrollen in die Cloud verlagern. Die Herausforderung besteht darin, ein Richtlinien- und Ereignismanagement zu installieren, das ungeachtet des Ortes der Anwendung oder der Daten zentral gesteuert und kontrolliert werden kann.
Angriffsflächen
„Praktisch jeder einzelne Nutzer, aber insbesondere Unternehmen stehen heute mit Blick auf digitale Risiken vor einer veränderten und sich kontinuierlich verändernden Gefährdungssituation.“ Mit dieser Aussage skizziert Matthias Reinwarth, Senior Analyst bei KuppingerCole die Realität in heutigen IT-Infrastrukturen. „Die allgegenwärtige Digitalisierung mit neuen Infrastrukturkonzepten, neuen Geschäftsprozessen und neuen Nutzerkreisen stellt hierbei eine grundlegende Vergrößerung der Angriffsflächen dar.“
Für Mirco Rohr, Global Evangelist bei Bitdefender, stellen vor allem die virtuelle Umgebungen als einer der heutigen Mega-Trend auch eine Mega-Verunsicherung: „Wer von Cloud- und IoT-Projekten spricht, redet im Grunde von Virtualisierung. Um solche Projekte erfolgreich umzusetzen, müssen aber auch die bestehenden Geschäftsprozesse zuverlässig weiterlaufen und geistiges Eigentum geschützt werden.“ Bei IT-Verantwortlichen, so Rohr weiter, die sich für die Migration der Systeme in eine virtualisierte Umgebung entscheiden, herrsche aufgrund der wachsenden Komplexität und erweiterten Angriffsoberflächen jedoch Verunsicherung: „Es gilt Frage zu klären wie etwa: Wie schütze ich meine Daten – sowohl im Speicher als auch bei der Übertragung im Internet? Wie bekomme ich die Vielzahl der Bedrohungen durch externe Angriffe, Schwachstellen, Sabotage oder Anwenderfehler zuverlässig in den Griff?“ Diese Sorgen rauben nach seiner Einschätzung vielen IT-Verantwortlichen bereits den Schlaf. „Und in virtualisierten Umgebungen“, so Rohr weiter, „kommen weitere Fragen hinzu, etwa nach Transparenz, Effizienz, Richtlinien, Datenhoheit sowie Zugriffsschutz“.
Für Tolga Erdogan, Director Solutions & Consulting Dimension Data Germany, ist die Verlagerung der IT in die Cloud eine Entwicklung, die man nicht mehr aufhalten kann. Vielmehr müsse man die Anwendungen nachverfolgen und dort schützen, wo sie gerade genutzt werden. Dafür müssten Unternehmen ihre hausinternen Sicherheitskontrollen in die Cloud verlagern.
„Darüber hinaus wird es schon sehr bald eine Voraussetzung für Innovation sein, dass sich der Fokus des Risikomanagements auf die zunehmend lebenswichtigen Datenverbindungen zwischen Unternehmen verlagert“, ist Erdogan überzeugt. „Die meisten Unternehmen müssen im Rahmen erweiterter, plattformbasierter digitaler Angebote sowohl Kunden als auch Betriebsdaten mit anderen Unternehmen austauschen. Agile Unternehmen, die ihre Systeme wirksam schützen, besitzen dann einen noch größeren Wettbewerbsvorteil.“
Sicheres Zusammenführen
„Im Rahmen der digitalen Transformation werden Prozessketten gebildet, die nicht an den Unternehmensgrenzen enden“, stellt Dr. Jörg Spilker, Leiter Datenschutz und Informationssicherheit bei der Datev eG, fest. „Deshalb öffnet sich Datev bewusst auch für Systeme anderer Anbieter. Wir müssen immer mehr Beteiligte samt ihren Systemen daran anbinden und für einen reibungslosen Datenfluss sorgen. Gerade die Verknüpfung von unterschiedlichen Cloud-Ökosystemen ist eine der größten Herausforderungen. Die Daten möglichst schnell und reibungslos zwischen diesen Systemen auszutauschen und dabei sicher zu sein, keine potenziell gefährlichen Elemente ins eigene Netz zu lassen, ist extrem anspruchsvoll.“
Aus dem Blickwinkel der IT-Sicherheit ist laut seiner Einschätzung die zunehmende Nutzung von Cloud-Services grundsätzlich eine positive Entwicklung: „Schließlich kann ein Dienstleistungsrechenzentrum mit seiner zentral betriebenen, professionellen Infrastruktur ein viel höheres Schutzniveau bieten, als ein mittelständisches Unternehmen dies normalerweise selbst zu realisieren in der Lage wäre.“ Indem es die entsprechenden technischen Komponenten und Überwachungsabläufe in großem Stil für eine Vielzahl von Anwendern auf der gleichen Infrastruktur einsetzt, könne es Sicherheit günstiger realisieren als einzelne Anwender dies individuell mit eigenen Maßnahmen schaffen.
„So steigt für den Anwender bei gleichen oder sogar geringeren Kosten das Sicherheitsniveau signifikant an“, ist Spilker überzeugt. „Von zentraler Bedeutung ist aber die Wahl des Cloud-Modells: Geschäftsrelevante und kundenbezogene Daten gehören nicht in eine Public Cloud. Für solche Daten und Anwendungen, die damit arbeiten, sollten ausschließlich so genannte Trusted-Cloud-Konzepte zum Einsatz kommen, bei denen Anbieter und Anwender in einer festen Geschäftsbeziehung zueinander stehen.“
Allerdings ist für den Datev-Datenschutzbeauftragten ein wirksamer Zugriffsschutz ein Muss: „Für den Anwender ist in der Regel schwer zu beurteilen, ob eine Cloud-Lösung Datenschutz und Datensicherheit hinreichend berücksichtigt. Ein sehr wichtiges Element ist dabei der Bereich Authentifizierung und Access Management. Der Zugriff auf Daten und Anwendungen sollte dabei über stärker abgesichert werden als lediglich über Nutzername und Passwort.“
Für Milad Aslaner ist die Sicherheit von Endpunkten ist heute eines der wichtigsten Themen für Unternehmen. Der Senior Subsidary Product Marketing Manager für Windows Commercial bei Microsoft verweist dabei auf das aktuelle Client-Betriebssystem aus dem eigenen Haus: „Wir stellen mit dem Windows Defender Advanced Threat Protection (WDATP) eine Lösung auf Basis von Machine-Learning zur Verfügung, die Verhaltensmuster erkennt und Unternehmen die Möglichkeit gibt, komplexe Angriffe oder Datenlecks im Netzwerk schneller selbst zu erkennen, zu untersuchen und zu beseitigen.“ Vor einigen Jahren waren vor allem größere Konzerne und bestimmte Industrien im Visier der Angreifer, so Aslaner, doch inzwischen habe sich das geändert: „Jedes Unternehmen, egal ob groß oder klein, kann für bestimmte kriminelle Organisationen interessant sein. Aus diesem Grund stellt Microsoft mit dem Anniversary Update für Windows 10 umfangreiche Funktionen zur Verfügung.“
IoT-Auswirkungen
„Das Internet of Things (IoT) ist gleichzeitig ein neuer vielversprechender Markt und derzeit eine der massivsten Sicherheitsbedrohungen“, so lautet die Einschätzung von Matthias Reinwarth, Senior Analyst bei KuppingerCole. Dies beruhe auf sicherheitstechnisch unzureichenden Implementierungen, mangelnder rechtlicher Regelung, einem Mangel an akzeptierten Standards und fehlender Wartung und Updates. Nicht zuletzt die Schlagzeilen über durch IoT-Botnetze durchgeführten Angriffe belegen dies nachdrücklich.
Gleichzeitig sind laut Reinwarth die Themen IT Security, Governance und Compliance endgültig in den Unternehmen angekommen: „Eine Absicherung der eigenen Prozesse, die Erfüllung rechtlicher Anforderungen, insbesondere im Datenschutz, aber auch neue Anforderungen etwa durch, die EU-Datenschutzgrundverordnung, das IT-Sicherheitsgesetz und die zunehmende Internationalisierung sind essentielle Anforderungen." Dies zeige insbesondere auch die aktuelle Studie „Big Data und Informationssicherheit“ , die von KuppingerCole gemeinsam mit BARC durchgeführt wurde.
Als zusätzliches Problem sieht Reinwarth mehr und mehr den „Skill Gap“: „Der Arbeitskräftemangel in der Cyber-Security bleibt für Unternehmen, aber auch ganze Staaten, eine kritische Schwachstelle.“ Zentrale Trends, die sich diesen Sicherheitsherausforderungen widmen, umfassen:
• Die Absicherung von hybriden Cloud-Infrastrukturen durch Cloud Access Security Broker (CASB)
• Die grundlegende Integration von Security by Design in Unternehmens-Prozesse und Systeme.
• Die Blockchain wird derzeit auf ihren Einsatz im Security-Umfeld betrachtet: Hierbei ist eine einheitliche, durch kryptographische Verfahren nachträglich nicht veränderbare Datenbasis (Ledger) auf einer Vielzahl von Rechnern verteilt und dezentral gespeichert. Sie dient als zentrale, verifizierende Auskunftsquelle für den Nachweis gespeicherter Informationen und ist durch die Kombination aus Verschlüsselung und ihrem massiv verteilten Charakter Ersatz für klassische Beglaubiger (Bank, Notar, u.v.a.). Solche mit Zeitstempeln versehene Blockchain-Ledger könnten Grundlage für neue Ansätze für DNS-Strukturen, PKI, das Konfigurationsmanagement, die Integritätsprüfung von Geräten, Systemen und Informationen sowie Anwendungsszenarien im Auditing sein.
• Die Nutzung von Identität als neuem Perimeter unter Verwendung starker Identitäten, starker Authentifikation (MFA) und der Betrachtung von Kontext und Risiko für Nutzer-Autorisierung. Auch in diesem Umfeld wird wiederum die Blockchain von zentralem Nutzen sein.
• Big Data Security / Cognitive Security Systeme, die sehr große Mengen an Sicherheitsdaten über viele Quellen in Echtzeit sammeln, speichern und analysieren. Die Idee ist hierbei, integrierte Sicherheitssysteme zu schaffen, die den Zyklus Vermeidung-Erkennung-Reaktion automatisieren, um mehr Schwächen schneller mit weniger Betriebsmitteln zu adressieren.
Als gemeinsamer Nenner ist laut Reinwarth zu erkennen, dass in steigendem Maße hochaktuelle Technologien, insbesondere Big Data und lernende Systeme genutzt werden, um den heutigen und kommenden sicherheitstechnischen Herausforderungen zu begegnen. (rhh)