[English]Aktuell strebt ja gefühlt jedes Unternehmen mit seiner IT in die Cloud oder wird von den Anbietern mehr oder weniger dazu gezwungen. Häufig liest man, dass das Ganze einfacher und sicherer beim Wechsel in die Cloud werde – der Cloud-Anbieter kümmere sich ja darum. Das Ganze kann aber in Punkto Sicherheit zur Herausforderung werden, speziell, wenn gleich mehrere Cloud-Anbieter zu administrieren sind.
Anzeige
Christine Schönig von Check Point Software Technologies hat sich mit dem Thema Cloud-Sicherheit auseinander gesetzt und einige Gedanken zusammen geschrieben. Diese wollte ich der Leserschaft nicht gänzlich vorenthalten, denn so einige Randbedingungen dürften uns künftig noch einige Kopfschmerzen bereiten.
Denn Cloud-Umgebungen unterscheiden sich jedoch erheblich von Infrastrukturen traditioneller Rechenzentren. Daher dürften herkömmliche Sicherheitslösungen und -Ansätze in der Cloud nicht immer effektiv funktionieren. Die meisten Unternehmen nutzen zudem eine Multi-Cloud-Umgebung mit mehreren Anbietern. Dies ermöglicht es ihnen zwar, die einzigartigen Vorteile verschiedener Cloud-Konzepte, die für bestimmte Anwendungsfälle optimiert sind, in vollem Umfang zu nutzen. Der Nebeneffekt ist aber, dass sich dadurch auch der Umfang und die Komplexität der Cloud-Anbindung erhöht. Infolgedessen stehen viele Unternehmen bei der Absicherung ihrer Cloud-Infrastruktur vor erheblichen Herausforderungen:
- Multi-Cloud handhaben: Laut dem Cloud Security Report 2022 nutzen 76 Prozent der Unternehmen zwei oder mehr Anbieter von Cloud-Diensten und immerhin 24 Prozent nutzt mehr als fünf Cloud-Anbieter. Diese Komplexität macht es schwierig, sämtliche Cloud-Umgebungen konsequent zu überwachen und zu sichern. Darüber hinaus ist mehr als die Hälfte der Unternehmen der Meinung, dass die integrierten Sicherheitsangebote der Cloud-Anbieter nicht so effektiv sind, wie die Lösungen von Drittanbietern.
- Mangel an qualifiziertem Personal: In der IT-Sicherheit herrscht ein erheblicher Fachkräftemangel und spezialisierte Fachleute sind noch schwieriger zu finden. Infolgedessen findet weniger als die Hälfte der Unternehmen (45 Prozent) qualifiziertes Personal, um kritische Cloud-Sicherheitsfunktionen zu verwalten. Die fehlende Kenntnis und Expertise der Mitarbeiter erschweren auch die Einhaltung von Vorschriften in der Cloud, da nicht nur Kenntnisse über die erforderlichen Kontrollen gefragt sind, sondern auch darüber, wie diese in Cloud-Umgebungen umgesetzt werden können. Mehr als die Hälfte (55 Prozent) der Unternehmen geben an, dass dieses Fehlen des kombinierten Wissens über Vorschriften und die Cloud an sich die größte Herausforderung darstellt.
- Einhaltung von Vorschriften: Die meisten Unternehmen unterliegen vielen verschiedenen Compliance-Vorschriften, während sich die Vorschriftenlandschaft rapide erweitert. Wegen der Umstellung auf eine Cloud geben 39 Prozent der Unternehmen an, das Erreichen, Aufrechterhalten und Nachweisen der Einhaltung von Vorschriften in dieser sehr unterschiedlichen IT-Umgebung als große Herausforderung einzustufen. Außerdem sei es schwierig, konsistente Sicherheitsrichtlinien festzulegen. Bei der Nutzung mehrerer Cloud-Umgebungen werden Unternehmen zudem mit einer Vielzahl unterschiedlicher integrierter Tools und Einstellungen konfrontiert. Infolgedessen meinen 32 Prozent der Unternehmen, dass die Aufrechterhaltung einheitlicher Sicherheitsrichtlinien in ihrer Cloud-Infrastruktur eine Hürde darstellt. Außerdem sind Compliance-Audits und Risikobewertungen ein wichtiger Aspekt. Zwar können diese vor Ort, wo das Unternehmen die gesamte Infrastruktur besitzt und kontrolliert, etwas nervig sein, aber in der Cloud mit ihrem begrenzten Zugriff auf die zugrunde liegende Infrastruktur ist die saubere Bewältigung des Vorgangs eine Herausforderung, wie 42 Prozent der Unternehmen sagen. [Anmerkung: Die Unsicherheiten bezüglich der Einhaltung der DSGVO-Vorschriften beim Zugriff auf die Cloud-Anbieter außerhalb der EU sind in obigem Text überhaupt noch nicht thematisiert.]
- Mangelnde Übersicht: Cloud-Implementierungen funktionieren nach dem Modell der Geteilten Verantwortung, weil die Verantwortung für die IT-Sicherheit zwischen dem Cloud-Anbieter und dem Kunden aufgeteilt ist. Ersterer schützt die Infrastruktur, letzterer muss selbstständig seine Daten und Anwendungen bewachen. Ohne Überblick und Kontrolle auf den unteren Ebenen der Infrastruktur, und ohne die Möglichkeit, herkömmliche Sicherheitslösungen einzusetzen, tun sich 35 Prozent der Unternehmen schwer, die Sicherheit passend zu gestalten.
Jede Cloud-Plattform besitzt ihre eigenen Sicherheitskonfigurationen und die meisten Unternehmen arbeiten nun mal mit mehreren Cloud-Anbietern zusammen. Für 33 Prozent der Unternehmen ist es aufgrund der Komplexität ihrer Cloud-Umgebungen daher eine Herausforderung, Fehlkonfigurationen schnell zu erkennen und zu korrigieren, bevor sie von einem Angreifer ausgenutzt werden können.
Mit dem Ausbau der Multi-Cloud-Infrastruktur vergrößert sich außerdem die digitale Angriffsfläche eines Unternehmens. Die ständige Prüfung von Cloud-Anwendungen auf Schwachstellen ist darum unerlässlich. Dieses Schwachstellen-Management ist aber für viele Unternehmen kaum zu bewältigen.
Anzeige
Automatisierung der Cloud-Sicherheit
Kontinuierliche und automatisierte Sicherheitskontrollen sind unerlässlich, um das Risiko und die Auswirkungen von IT-Attacken auf Cloud-basierte Strukturen zu minimieren. Allerdings haben 31 Prozent der Unternehmen Probleme bei der Umsetzung dieser automatisierten Kontrollen.
Der Umfang von Multi-Cloud-Umgebungen macht es ihnen unmöglich, die Sicherheit in der gesamten Umgebung manuell zu konfigurieren und durchzusetzen. Eine automatisierte Durchsetzung ist aus diesem Grund unumgänglich geworden, wird aber von 28 Prozent der Unternehmen als Hürde genannt.
Vor- und Nachteile
Eine Cloud-basierte IT-Infrastruktur kann, laut Check Point, für ein Unternehmen erhebliche Vorteile bringen. Denn diese bietet eine größere Flexibilität und Skalierbarkeit sowie die Möglichkeit, Kosten und Überlastung zu reduzieren, weil die Verwaltung eines Großteils der Infrastruktur eines Unternehmens an den Cloud-Anbieter ausgelagert wird.
Diese Vorteile sind jedoch auch mit Kosten und dem Aufwand verbunden, die Herausforderungen zu bestehen. Wenn Unternehmen von On-Premise-Umgebungen auf eine Cloud-basierte Infrastruktur umsteigen, müssen sie ihre Cloud-Implementierungen in ihre bestehenden Sicherheitsrichtlinien und -architekturen integrieren. Die erheblichen Unterschiede zwischen On-Premise- und Cloud-basierten Infrastrukturen können dies zu einem ziemlich anstrengenden Unterfangen machen, weswegen die Automatisierung der Verwaltung und die Konsolidierung der IT-Sicherheitsarchitektur sehr zu empfehlen ist. Die Vorteile nach der durchdachten Umstellung sind jedoch unschlagbar.
Anzeige
"Eine Cloud-basierte IT-Infrastruktur kann, laut Check Point, für ein Unternehmen erhebliche Vorteile bringen. Denn diese bietet eine größere Flexibilität und Skalierbarkeit sowie die Möglichkeit, Kosten und Überlastung zu reduzieren, weil die Verwaltung eines Großteils der Infrastruktur eines Unternehmens an den Cloud-Anbieter ausgelagert wird."
Es ist immer wieder amüsant zu lesen, dass in puncto Cloud noch immer von "Kostenreduktion" oder "Kosteneinsparung" gesprochen wird. Ich persönlich kenne bislang keinen einzigen Endkunden, der durch die Cloud Kosten reduziert / gespart hat.
Warum?
1. Die Migration in die Cloud kostet Geld.
2. Das Service-Level-Agreement (SLA) kostet Geld.
3. Die Cloud-Services selbst kosten Geld.
4. Backup-Lösungen für die Cloud kosten Geld.
5. Multi-Cloud-Lösungen kosten noch mehr Geld.
6. Man benötigt trotzdem IT-Fachkräfte, die Geld kosten.
7. IT-Sicherheitslösungen für die Cloud kosten Geld.
…
Ich sehe in der täglichen Praxis, wie naiv viele Endkunden an das Thema Cloud ran gehen. Sie hören nur "Oh, wir können Kosten sparen", aber sie übersehen sehr schnell, dass die Rechnungen auf anderen Papieren geschrieben werden.
Da werden die eigenen Geschäftsprozesse ignoriert, Failover-Lösungen stiefmütterlich behandelt, die Portabilität der in die Cloud migrierten Infrastruktur übersehen, die Ausfallkosten nach einem IT-Sicherheitsvorfall oder einer simplen Störung beim Cloud-Dienst kaum beachtet.
Die Wechselbarrieren sind extrem hoch, da jeder Cloud Service Provider (CSP) seine eigene Architektur betreibt. Die haben auch schlicht kein Interesse daran, dass ihre Kunden ihre virtuelle Infrastruktur einfach umziehen können.
Wer die beauftragten CSP-/MSP-Dienstleister nach Erfahrungen zur "Cloud-Migration" bzw. zum "Cloud-Umzug" fragt, bekommt hoffentlich ein ehrliches "ähm" als Antwort.
Man sollte das Cloud Computing nicht verteufeln, allerdings konstruktiv kritisch betrachten. Und bevor man in die Cloud migriert, sollte man seine eigene IT-Infrastruktur sowie die Betriebsorganisation aufräumen, ansonsten wird es in der Cloud nicht besser.
imho würde ich schon sagen, daß die Cloud Kosten sparen kann, was jedoch abhängig vom Use Case ist und so immer eine individuelle Betrachtung des ganzen ist. Nehmen wir mal SharePoint 20xx vs Online, ja Online kostet monatlich Geld, jedoch muss ich mich nicht um ein Host System, OS, Backup, Migration von OS/App etc auseinandersetzen. Da sage ich schon daß reine SaaS Applikationen für Endwander günstiger sein kann, wie selbst hostet. Wer jedoch IaC bzw. IaaS anstrebt, sind die Kosten vergleichbar wie mit OnPrem. Wobei es hier auch Use Cases gibt, wie Container, Smoke Tests, wo kurzfristig mal ein "Host" System gebraucht wird, auch Ident/Günstiger sein kann, wie OnPrem ein System hochzuziehen. Cloud ist je nach Einsatzgebiet günstiger bis gleich was die Kosten angeht, der Use Case und die Strategie sind die Punkte welche die Kosten treiben imho.
also dass man für Cloud Services kein Backup benötigt, ist leider ein weit verbreiteter hartnäckiger Irrglaube. Folglich um's Backup sollte man sich schon kümmern – auch wenn's unbequem ist.
Es wird kein "klassisches" Backup benötigt bei löschen von Inhalten von einem Benutzer, dafür reicht es locker aus die Anwender zu schulen und den Papierkorb zu nutzen, was bei 93 Tage auch ausreicht. Zumal gibt es Retention Policies um spezielle Inhalte vor dem löschen etc zu schützen. Es wird lediglich ein "neues" Backup benötigt, Stichwort Ransomware. Da machts aber kein Sinn wenn dann ein Backup nach OnPrem laufen soll, also muss die Ransomware "Protection" auch mit einer SaaS Lösung laufen. Ideal wenn der Anbieter bei einem anderen Cloud Hoster wie der eigene unterwegs ist ;-) Haken an der Sache, es lässt sich nicht alles mit einem Backup sichern. Bsp M365 gibt es keine wirkliche SaaS Lösung für Forms, Stream Classic, Power Automate und und und. Sicherung von Inhalten ist das eine, jedoch fehlen oft dann sekundäre Informationen, wie die Berechtigungen und Identitäten, oder die Freigaben. Schlimmer finde ich jedoch eher das es kein wirklichen Export/Import von Tenant Settings OOTB von MS gibt :(
Internet geht nicht, Cloud geht nicht, Firma tot.
Internet geht immer durch redudante Leitungsarten/Wege als auch Anbieter. Das ist doch schon immer so ein "Standard", wer Internet Commercial nutzt. Wer das nicht macht, mal überlegen ob sowas mal Sinn macht ;-)
> Internet geht immer…
Ja, genau, bis es dann eben nicht geht.
Totale externe Abhängigkeiten für den Betrieb einer Firma sind ein Irrweg.
Ok, angenommen du has teinen on Prem Server und zwei weitere Firmenstandorte. Internet fällt am Hauptstandort aus. Die anderen Firmenstandorte sind tot.
Cloud: Hauptstandort fällt aus, die anderen können weiter arbeiten.
Alles Ansichtssache.