Interview mit Security-Evangelist James Lyne zum Thema Cloud

Technologie

1.   Wie schätzen Sie den aktuellen Status in Sachen Cloud-Sicherheit ein und worauf müssen sich CSOs und CIOs konzentrieren?

Cloud-Lösungen – und natürlich auch die assoziierten Sicherheitsprogramme – sind in den letzten Jahren enorm gereift. Aus diesem Grund scheint es  zunächst auch selbstverständlich zu sein, dass die aktuellen Produkte in punkto Sicherheit oftmals das bessere Angebot im Vergleich zu äquivalenten Onsite-Produkte bieten. Das gilt vor allem für KMUs, wo höhere Investition in IT-Sicherheit oftmals nicht getätigt werden können. Jeder potentielle Cloud-Kunde muss sich allerdings darüber im Klaren sein, das diese Plattformen sehr unterschiedlich aufgebaut sind und entsprechend große Unterschiede bei den Sicherheitsangeboten bestehen, die nur sehr schwer zu überblicken sind. Und natürlich bedeutet der Schritt in die Cloud auch, das Unternehmen zumindest teilweise nicht mehr selbst für die Sicherheit der eigenen Daten verantwortlich sind, sondern diese Aufgabe an die Provider abgeben. Die IT-Verantwortlichen in Unternehmen müssen deshalb fordernder gegenüber den Anbieter werden und aktiv Informationen über den Umgang mit den Daten einsammeln anstatt einfach einer vermeintlichen seriösen und vertrauensvollen Marke zu vertrauen.

2. Immer wieder wird von den Kosteneinsparungen bei der Nutzung von Cloud-Services gesprochen. Was sind weitere Treiber für das explosive Wachstum dieser Technik und wie schätzen Sie die Gefahrenlage ein?

Der Kostenfaktor spielt natürlich auch eine Rolle, aber letztendlich summieren sich viele Cloud-Installationen auf ähnliche Beträge wie Onsite-Lösungen. Sie werden aber dennoch ausgerollt, da sie mit ihrer Flexibilität, leichten Bedienbarkeit und Kompatibilität einfach perfekt in die moderne Arbeitswelt passen. Gerade die Services für mobile Anwender und Geräte bieten entscheidende Vorteile gegenüber den traditionellen Systemen im Unternehmen selbst und machen die Kosten damit immer häufiger zu einem wichtigen, aber nicht immer entscheidenden Faktor. Wie auch immer, das extrem schnelle Wachstum der Cloud ist unumstritten und entsprechend ist die Technologie auf jeden Fall ein wichtiger Faktor im Gefahrenmodell, zu dem wir Lösungen präsentieren müssen.

4.  Wie hat sich das Sicherheitsrisiko bei der Cloud-Nutzung in den letzten ein bis zwei Jahren verändert?

Die Service-Bandbreite, die mittlerweile in die Cloud ausgelagert wird, hat sich enorm erweitert. Das heißt, dass immer mehr Daten, sowohl hinsichtlich Volumen als auch Typisierung ins Visier der Hacker geraten können. Während sich dieses Risiko erhöht hat, ist allerdings positiv zu verzeichnen, dass sich der AUZ-Level (Angst, Unsicherheit, Zweifel) gesenkt hat. Die Leute gehen mittlerweile sehr viel besonnener und zielgerichteter mit den Möglichkeiten der Cloud sowie deren Vor- und Nachteilen  um.

5.  Mit welchen Schritten sollten CIOs ihre Cloud-Strategie absichern?

Wie bereits angedeutet, ist der wichtigste Schritt eine detaillierte Überprüfung des Cloud-Anbieters. Viele Provider haben mehrstufige Sicherheitsrichtlinien für potentielle Vertragspartner, wobei die umfassenderen dort zum Einsatz kommen, wo ein Unternehmen im Lauf der Verhandlungen kritisch nachfragt. In der Folge kann dies bei manchen Providern bedeuten, dass Großkonzerne bessere Sicherheitsleistungen bekommen als KMUs. Ein praktischer Ansatz ist der Austausch mit Berufskollegen, um herauszufinden, welche Regeln bei Ihnen zum Einsatz kommen und wie nützlich sich diese im Alltag erwiesen haben. Zudem sollte eine Rückzugsstrategie ausgearbeitet werden, die sicher stellt, das in der Cloud gespeicherte Daten nicht einfach nur zurückgegeben werden, sondern dies in einer Form geschieht, die die Weiterverarbeitung, beispielsweise, bei einem neuen Provider, ohne großen Aufwand ermöglicht.

6.  Fällt Ihnen spontan eine Anekdote zum Thema Cloud-Sicherheit ein?

Ich kenne den Chief Information Security Officer eines großen Einzelhandelsunternehmens, der gleich zwei Cloud-Storage-Provider nutzte, um wichtige Daten ohne Risiko online nutzen zu können. Um die Verfügbarkeit sicher zu stellen, wurden sogar zwei voneinander unabhängige Konfigurationen vorgenommen. Als der CISO eines Morgens zur Arbeit kam, musste er feststellen, dass beide Provider offline waren. Was war passiert? Im Nachhinein stellte sich heraus, dass die beiden Anbieter dasselbe Back End verwendeten und die meisten Prozesse über dasselbe Datencenter abgewickelt wurden. Da dieses ausgefallen war, waren auch beide Dienste gleichzeitig betroffen. Dieses Szenario macht deutlich, wie wichtig es ist, die Strukturen des gewählten Cloud-Anbieters genau zu kennen. Nur so können eventuelle Schwächen aufgedeckt werden.

 

James Lyne ist Director of Technology Strategy bei Sophos.

Leave a Reply

Your email address will not be published.