Die IT-Umgebungen vieler Unternehmen wandern zunehmend in die Cloud. Auch die Security-Maßnahmen müssen mitziehen. (Bild: Illustration: Andreas Croonenbroeck)
In Umfragen zeigt sich mittlerweile eine Trendumkehr bei der Cloud-Skepsis: So stellte kürzlich eine Studie von IDC im Auftrag von Google fest, dass 84 Prozent der 2.000 weltweit befragten IT-Führungskräfte glauben, die Daten seien in der Cloud sicherer als On-Premises. Ein Drittel war zudem der Meinung, dass Sicherheitsbedenken Innovation verhindern.
Gerade in der Autoindustrie stellen insbesondere in der Produktion gewachsene IT-Systeme und Infrastruktur aus den Achtzigern und Neunzigern eine Hürde dar, weiß Sebastian Schäffer aus Erfahrung in der Branche. Um diese in die Cloud zu verlagern, seien mit Blick auf Security einige Anstrengungen nötig, meint der Vertriebsleiter des auf Cloud-Security spezialisierten Dienstleisters Alice&Bob Company. „Oft sind Anhängigkeiten zwischen den Daten und die Datenstruktur von Altsystemen, die vielleicht für ein kritisches Teil relevant sind, nicht mehr bekannt. Damit nicht Produktionsvorgänge oder auch personenbezogene Daten plötzlich in der Cloud sichtbar werden, müssen die Systeme verstanden und Cloud-native transformiert werden“, erklärt Schäffer. Sie einfach als Black Box in die Cloud zu verschieben, reiche nicht aus.
Security muss immer mitgedacht werden
„Das Credo ‚Security ist Job zero‘ hat seine Berechtigung. Es ist wichtig, dass Unternehmen die Sicherheit in der Cloud von Anfang an mit planen“, sagt Schäffer. Kein Thema also, das nebenbei laufen oder später nachgezogen werden könne. Denn vor allem habe es mit Trainings der IT-Crew und dem kulturellen Wandel von der Wasserfallmethodik hin zu agilen Methoden zu tun. Aus DevOps müsse DevSecOps werden, postuliert der Security-Spezialist. In die cross-funktionalen Teams aus Entwicklern und Fachexperten – zum Beispiel aus der Produktion – sollten auch Sicherheitsexperten dazukommen. Gerade im Security-Bereich gelte es aufgrund des Fachkräftemangels, möglichst weitgehend zu automatisieren und das vorhandene Sicherheits-Know-how an möglichst vielen Stellen einzubinden.
Dabei helfen in der AWS-Welt viele Standard-Services, bei Microsoft Azure und auch bei der Google Cloud Platform sieht es ähnlich aus. Ein zentraler Baustein ist das AWS KMS Key Management System, das für die Datenverschlüsselung vor allem von personenbezogenen Daten sorgt. „Hier gilt es, die Daten sinnvoll zu klassifizieren, denn die Verschlüsselungstaktiken kosten unterschiedlich viel Geld“, rät Schäffer. Personenbezogene Daten oder Zahlungsdaten brauchen höheren Schutz.
Auch AWS GuardDuty gehört zu den wichtigsten Sicherheits-Services und sorgt für Angriffserkennung und -prävention. Mittels Machine Learning werden zum Beispiel Muster analysiert, Konten vor Angriffen geschützt und Malware identifiziert. Zudem erhält die IT Informationen zu Security-Vorfällen und kann regelmäßige Vulnerability-Scans machen. Ebenfalls wichtig: AWS Config sorgt dafür, dass sämtliche am System vorgenommenen Änderungen protokolliert und überwacht werden. Sobald Änderungen erfolgen, die nicht mit den Compliance-Vorgaben übereinstimmen, können sie automatisiert rückgängig gemacht werden. Dabei kommen selbst definierte Standards zum Tragen, auch ISO 27001 kann integriert werden.
Hybride Umgebungen sind die Regel
Cloud-interne Security-Services reichen jedoch nur bei einer Single-Cloud-Strategie aus, doch diese bleibt in der Praxis selten. „Gerade der Mittelstand hat immer auch On-Premises-Anteile, wer Office 365 nutzt, ist automatisch schon in der Microsoft-Cloud. Für Multicloud- und hybride Umgebungen braucht es weitere Werkzeuge“, konstatiert Sebastian Schäffer. Dazu gehören zum Beispiel Tools wie Okta für Identitäts- und Zugriffsmanagement, Lacework für Multicloud Security oder F5 für Firewalls. Insbesondere dann, wenn es sich um geistiges Eigentum handelt, das in die Cloud wandern soll, empfiehlt es sich, Sicherheitsexperten an Bord zu holen. Da Systeme und Prozesse immer sehr individuell sind, gibt es keine Standardlösung für Security-by-Design, es muss jeweils der einzelne Fall betrachtet werden.
Geht es um Plattformen, auf denen Daten mit Auftraggebern oder Wettbewerbern ausgetauscht werden sollen, ist das zum Beispiel über S3 Buckets möglich, sogenannte Objektspeicher, in denen Daten verschlüsselt zur Verfügung gestellt werden können. Immer dort, wo Daten aus der Produktion in die Cloud wandern sollen, entsteht potenziell eine neue Angriffsfläche. Aus Sicht von Christian Haas, Gruppenleiter Industrielle Cybersicherheit am Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, ist es deshalb wichtig, die Netztrennung aufrecht zu erhalten und entsprechende Dienste in einer „demilitarized zone“ zu hosten. „Durch diese Architekturmaßnahme können die Daten abgegriffen werden, ohne dass ein direkter Zugriff auf das Produktionsnetz entsteht“, so Haas.
Die Cloud ist kein Hexenwerk
Die Praxis zeigt, die meisten Probleme lassen sich lösen: selbst wenn es um tiefes Spezialwissen in Produktionsprozessen geht, für die rechenintensive Simulationen in der Cloud gefahren werden sollen. Dafür sind jedoch fundierte Verträge mit den Hyperscalern und beteiligten Cloud-Partnern zu schließen. Dazu gehören beispielsweise der Auftragsdatenverarbeitungsvertrag, in dem der Dienstleister ausschließt, Daten selbst zu nutzen, das Data Processing Adendum oder SCC (Standard Contractual Clauses) und Binding Corporate Rules (BDR). DSGVO-Compliance lässt sich in deutschen und europäischen Cloud-Rechenzentren gewährleisten.
Für die betroffenen Abteilungen, zum Beispiel die Produktion, bedarf es eines Frameworks, das die Prozesse rund um Sicherheit festlegt, und einer passenden Policy. Die Anwenderinnen und Anwender müssen verstehen, wie diese Prozesse funktionieren und sich daran halten. Auch die IT-Abteilung braucht viel neues Wissen für die Cloud-Sicherheit, denn hier ist vieles anders als on-Premises gewohnt. Immer wieder führen Fehler wie die Vergabe falscher Berechtigungen oder falsch gewählte Voreinstellungen zu Sicherheitslücken. Das Marktforschungsunternehmen Gartner geht davon aus, dass bis 2025 ganze 99 Prozent der Cloud-Sicherheitsausfälle vom Kunden selbst verschuldet werden. Die meisten Cloud-Anbieter haben heute Managed Security Services im Programm, mit denen auch ohne viele eigene IT-Ressourcen und Security-Know-how das Thema Sicherheit abgedeckt werden kann.
