Sicherheit in der Cloud: Darauf müssen Unternehmen achten

Glenfis hat am 16. Mai im Clouds einen weiteren "Cloud Talk" veranstaltet. Dieses Mal ging es um IT-Sicherheit in der Cloud. Erstmals gab es eine App, mit der die Teilnehmer die Referenten bewerten konnten. Wie immer am Cloud Talk präsentierte Glenfis unterschiedliche Blickwinkel auf ein einziges Thema.

Antonio Kulhanek, Security Consultant bei Gosecurity, führte als Experte in die Thematik ein. Philipp Kislig, Senior Product Manager und Cloud Solution Consultant AWS / Azure bei Swisscom, präsentierte die Provider-Sicht. Sascha Maier, Head of IT & Cyber Resilience bei IWC Schaffhausen, zeigte die Herausforderungen von Kunden auf. Und Ralf Winter, Head Pontine, teilte Erfahrungen von Glenfis.

Die bisherigen Ausgaben der Event-Reihe drehten sich unter anderem um künstliche Intelligenz, die Herausforderung Cloud und die digitale Transformation.

Bevor die Präsentationen starteten, ergriff Daniel Wolf, Principal Consultant und Partner von Glenfis, das Wort. Er erinnerte an eine Studie von KPMG, laut der heute zwei von drei Unternehmen auf Cloud Computing setzen. 75 Prozent der befragten 223 Firmen gaben an, unkritische Business-Informationen in der Cloud zu lagern. "Aber auch kritische Daten landen immer öfters in der Cloud", sagte Wolf.

Welche Werte soll ein Unternehmen schützen?

Kulhanek von Gosecurity machte in seinem Referat auf Gefahren in der Cloud aufmerksam und erinnerte daran, dass es auch bei den grossen Providern und Hyperscalern grobe Sicherheitsvorfälle geben kann. Erst gerade im April kam zum Beispiel raus, dass Microsoft Passwörter für Office 365 im Klartext übermittelte, und der grosse Hack von Dropbox ist noch nicht mal drei Jahre her.

Wie können sich Firmen gegen solche Vorfälle wappnen? "Sie müssen sich fragen, wie sie ihre Werte schützen können", sagte Kulhanek. Essenziell seien Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität. Gosecurity teste nicht nur die Infrastruktur seiner Kunden, sondern auch die Mitarbeiter. Das Unternehmen verschicke zum Beispiel E-Mails, die über eine gefälschte Website Log-in-Daten für Office 365 abgreifen. Es gebe immer einige, die darauf reinfielen, sagte Kulhanek.

Die Melde- und Analysestelle Informationssicherung (Melani) des Bundes sage heute noch, dass das einzig wahre Back-up offline sein sollte. "Die Entschädigungen, die Cloud-Dienstleister bei Ausfällen zahlen, sind meist sehr tief", sagte Kulhanek. "Auch darum sind Back-ups so wichtig."

Unternehmen sollten zudem darauf achten, wie Cloud-Provider zertifiziert sind. ISO 27001 sei zwar wichtig, aber auch trügerisch: Das Zertifikat decke oft nur einen Teilbereich des Angebots ab. So könne etwa ein Rechenzentrum ISO-27001-zertifiziert sein, der Software-as-a-Service, der darauf laufe - etwa Exchange - aber nicht.

Jedes Unternehmen sollte laut Kulhanek eine Strategie erarbeiten, um die definierten Schutzziele zu erreichen. Und das Restrisiko könne man als Firma eventuell auf eine Versicherung abwälzen, wobei das sehr teuer sein kann.

Die Fertigungstiefe ist entscheidend

Einer der beliebtesten Cloud-Provider in der Schweiz ist Swisscom. Der Telko hat über 6000 Enterprise-Kunden. "Rund die Hälfte der Schweizer Firmen wollen ihr Rechenzentrum vollständig in die Cloud verschieben", sagte Kislig.

Beim Thema IT-Sicherheit empfehle Swisscom ein Modell, dass die Verantwortung zwischen Kunde und Provider aufteile. Die beiden Parteien sollten gemeinsam die Fertigungstiefe definieren und dabei folgende Frage beantworten: Was wird intern produziert und was ist Sache des Providers?

Je nach Modell sind die Verantwortlichkeiten unterschiedlich. Bei einem Software-as-a-Service sei der Kunde zwar für seine Daten, nicht aber für die Sicherheit der Applikationen und des Betriebssystems verantwortlich. Bei Platform-as-a-Service übernehme er auch die Verantwortung für die Apps, bei Infrastructure-as-a-Service zusätzlich die für das Betriebssystem. Um zu testen, ob man bereit ist für die Cloud, empfiehlt Swisscom das Well-Architected Framework. Mehr dazu lesen Sie hier.

Auch Winter von Glenfis empfahl das Shared-Responsibility-Modell. Gartner gehe davon aus, dass bis 2020 rund 95 Prozent der Sicherheitsvorfälle in der Cloud Fehler der Kunden sein werden. Darum sei es um so wichtiger, zu klären, wer bei einem Vorfall für was verantwortlich sei, so Winter.

Bloss nicht den guten Ruf verlieren!

Maier von IWC sprach über die Sicherheitsanforderungen, die der Uhrenmacher an seine Lieferanten stellt. "85 Prozent unserer Projekte laufen in der Cloud", sagte er. Für IWC gebe es viele Risiken: Reputationsverlust, Industriespionage, Datenlecks, Identitätsklau sowie Fälschungen und Replikas. "Wir nehmen jeden Monat über 100 Websites offline, die Fakes unserer Produkte verkaufen", sagte Maier.

Die Daten über die Kunden und ihre Bedürfnisse seien sehr wichtig für IWC. Die Firma sei gerade dabei, ihre Aktivitäten in den USA zu verstärken. Dafür habe man Bradley Cooper für eine Werbekampagne gebucht und einen neuen Partner gesucht. Einer der Kandidaten habe gesagt, dass es nicht möglich sei, die Kundendaten vom Rest der Daten zu trennen. "Wir sagten ab", sagte Maier. "Gut so - es war Cambridge Analytica."

Vor fünf Jahren habe IWC ein Cyber-Intelligence-Programm gestartet, das Lieferanten überwache. Etwa deren Infrastruktur, ihre Reputation und Äusserungen auf Social Media. IWC scanne die Partner nach Sicherheitslücken ab, "in Absprache mit den Kunden" und soweit es möglich sei. Das 24/7-Monitoring laufe automatisiert ab.