•  

Was taugen Cloudbasierte Sicherheitslösungen?

Cloudbasierte Sicherheitslösungen dringen vermehrt in die Bereiche vor, die bisher den klassischen „On-Premise“ oder Hosting-Lösungen vorbehalten waren. Eine Firewall mittels weniger Clicks bereitgestellt und nach Zeit abgerechnet, funktioniert mittlerweile zuverlässig. Umfangreiches Monitoring inklusive Compliance-Checks als Zusatzleistung zum Cloud-Service ist ebenfalls schon Stand der Technik. Dieser Artikel möchte einen Einblick in die aktuellen aber teils sehr unterschiedlichen cloudbasierten Sicherheitslösungen geben.

Die klassischen Cloud-Nutzungsszenarien, wie z.B. Infrastructure as a Service (IaaS) oder Software as a Service (SaaS) mit bekannten Vertretern wie Microsoft Azure, Amazon Web Services oder Salesforce sind wohlbekannt und werden bereits verbreitet genutzt. Das Thema Sicherheit wird natürlich auch adressiert. Der Fokus der Betrachtung liegt dabei aber häufig auf der Zugangssicherheit (Authentisierung, Übertragungsverschlüsselung) oder auf grundsätzlichen Compliance Entscheidungen (Datenschutz, Klassifizierung von Informationen).

Das Thema Sicherheit und Cloud umfasst jedoch viel mehr. Klassische Managed Security Services werden weiterentwickelt und erhalten Cloud-spezifische Features (leichtes Deployment, Skalierbarkeit, etc.). Die Cloud-Anbieter erweitern permanent ihr Portfolio an internen Sicherheits-features, die ihre bestehenden Cloudlösungen absichern und an die unterschiedlichen Sicherheitsanforderungen der Kunden anpassbar machen. Zusätzlich werden neue Sicherheitsangebote entwickelt, die zugeschnitten sind auf spezifische Cloud-Services.

Integrierte Sicherheitsfeatures der Cloudanbieter

Mit der Einführung und Nutzung von Cloud-Services endet nicht die Verantwortung der Unternehmen für die Daten. In unserem Security Journal Artikel „Cloud und Security - nicht nur eine technische Herausforderung“ (Ausgabe #99) wurde aus organisatorischer Sicht die Einführung von Cloud-Diensten in Unternehmen behandelt. Wichtige Aspekte dabei waren die Identifikation der eigenen Sicherheitsanforderungen und daraus resultierend die Definition von Sicherheitsvorgaben, die bei der Auswahl und der Nutzung von Cloud-Diensten erfüllt werden müssen.

Während mit kleinen Cloud-Anbietern die Sicherheitsvorgaben häufig individuell verhandelt und umgesetzt werden können, wird dies bei den großen Anbietern und fest vorgegebenen Diensten (SaaS) eher nicht gelingen. Bei diesen ist man auf die vorhandenen Sicherheitsfeatures und –verfahren angewiesen. Natürlich haben diese Anbieter bereits einen umfangreichen Katalog an Sicherheitsfeatures für ihre Produkte entwickelt und bewerben sie auch direkt. Es stellt sich die Frage, ob diese wirklich ausreichend sind?

Quelle: https://downloads.cloudsecurityalliance.org/assets/research/top-threats/treacherous-12-top-threats.pdf

Sicherheitsfeatures in Microsoft Azure und Office 365

Wir haben uns für die Darstellung typischer Sicherheitsfeatures und -maßnahmen exemplarisch Microsoft Office 365 als einen der bekanntesten SaaS Vertreter ausgesucht.

Grundlegende Sicherheitsmaßnahmen werden von allen Cloud-Anbietern getroffen und müssen nicht extra vom Cloud-Nutzer gebucht werden. Sie sind unabhängig vom einzelnen Cloud-Nutzer und für die Sicherheit aller Services gleichermaßen relevant. Sie sorgen sozusagen für die Basis-Sicherheit der Cloud-Services. Unter Umständen kann eine Organisation ihre Sicherheit in bestimmten Bereichen allein durch Nutzung eines Cloud-IaaS oder SaaS erhöhen. Die grundlegenden Sicherheitsmaßnahmen betreffen:

•  Physische Sicherheit
•  Logische Sicherheit
•  Datensicherheit

Umfangreiche Beschreibungen der einzelnen Maßnahmen liefert Microsoft z.B. im Dokument Sicherheit der Azure Infrastruktur. Dem Kunden wird so die Möglichkeit gegeben, den Sicherheitslevel mit den eigenen Anforderungen abzugleichen. Außerdem lässt sich Microsoft gegen eine Reihe von internationalen und branchenspezifischen Standards prüfen (z.B. ISO/IEC 27001, 27017, 27018, SOC 1/2/3, siehe auch Microsoft Complianceangebote).

Beispiele für die dort getroffenen grundlegenden Sicherheitsmaßnahmen sind: Mehrfaktor-Authentifizierung inklusive biometrischem Zugangsschutz zu den Cloud-Rechenzentren, umfangreiche Überwachung der Rechenzentren, sichere und zertifizierte Prozesse zur Entsorgung von Hardware, streng überwachte Eskalationsprozesse beim Zugriff auf Kundendaten, Threat-Management-Teams, aktive Netzwerküberwachung oder Verschlüsselung von Daten im Ruhezustand. Zusätzlich existiert eine ganze Reihe von Sicherheitsfunktionen, die durch Kunden der Cloud-Services selber bedient werden können. Diese Sicherheitsfunktionen adressieren z.B. die Bereiche:

• Data Loss Prevention
• E-Mail Verschlüsselung
• Multi-Factor Authentisierung
• Mobile Device Management
• Advanced Threat Protection für integrierte Antiviren- und Antispamprogramme
• Zentrales Sicherheits-Dashboard (Azure Security Center)

Natürlich sind all diese Sicherheitsfunktionen auch außerhalb von Cloud-Lösungen bereits weit entwickelt. Jedoch bietet die enge Integration von Client-Systemen, Cloud-Services und kundenübergreifender Analyse des Sicherheitsbedarfs durch einen einzelnen Cloud-Anbieter einen ganzheitlichen Schutz im Vergleich zu klassischen, auf diverse Sicherheitsanbieter verteilten Lösungen.

Zum Beispiel verbessert es den Ansatz der Data Loss Prevention (DLP), dass Informationen in Form von Dokumenten komplett innerhalb des Office 365-Kosmos erzeugt und verarbeitet werden. Der Anwender kann (bzw. muss je nach Richtlinie) beim Anlegen eines Dokumentes eine Klassifizierung hinzufügen. Dies erfolgt als eine auswählbare Funktion in der Menüzeile. Diese Klassifizierung ist dann gleichzeitig die Grundlage dafür, wo dieses Dokument gespeichert werden kann und ob es möglicherweise per E-Mail (unverschlüsselt) weitergegeben werden darf. Für unklassifizierte Informationen können allgemeine Richtlinien erstellt werden, so dass z.B. Kreditkartennummern in einem Dokument zu einer automatischen Klassifizierung und dem entsprechenden Umgang gemäß der Unternehmensrichtlinie für die Behandlung von sensiblen Informationen führen.

Die Advanced Threat Protection bei den Antiviren- und Antispamfunktionen hat ebenfalls den Vorteil, nicht nur die einzelne Datei oder E-Mail untersuchen zu können, sondern Informationen aus einer ganzen Reihe weiterer Quellen des Kunden in die Bewertung einzubeziehen. So können z.B. aus einem lokalen Active Directory die Benutzeraktivitäten und -informationen (z.B. Gruppenmitgliedschaften) oder Systemaktivitäten auf kritischen Systemen (mittels Sensoren) in die Bewertung miteinbezogen werden.  Darüber hinaus kann Microsoft anonymisiert kundenübergreifend aktuelle Bedrohungen und Sicherheitsereignisse auswerten und berücksichtigen.

Im Azure Security Center führt Microsoft die verschiedenen Datenquellen in einer gemeinsamen Übersicht zusammen. Eine ähnliche Überwachung für On-Premise Lösungen ist natürlich möglich, erfordert aber einen hohen Aufwand bei Einführung und Betrieb.


 
Quelle Microsoft (Azure Security Center) 1

Neben der zentralen Darstellung von sicherheitsrelevanten Informationen, bietet das Azure Security Center auch Compliance-Bewertungen. So werden aus bestimmten Sicherheitszielen der verschiedenen Normen und Branchenstandards (z.B. ISO/IEC 27001) verbindliche technische Vorgaben abgeleitet und Abweichungen im Rahmen des „Policy & Compliance“ Dashboards aufgezeigt. Ein Beispiel: Der Anwender kann für bestimmte Ressourcen angeben, ob eine „Sichere Übertragung“ notwendig ist. Ab diesem Moment werden die entsprechenden Konfigurationen der Ressource überwacht und Abweichungen gemeldet (Beispiel aus Tuturial: Verbessern der Einhaltung gesetzlicher Vorschriften).

Die Kehrseite ist natürlich, dass der Cloud-Anbieter Zugriff auf zahlreiche Informationen seiner Kunden hat, auch abseits der eigentlichen in der Cloud verarbeiteten Dokumente. Aber scheinbar ist der Mehrwert durch die Nutzung aller Services aus der Hand eines Anbieters so groß, dass sich Compliance-optimierte Angebote nur schwer am Markt durchsetzen. So hat Microsoft die Vermarktung seiner „Deutschen Cloud“ eingestellt (Heise Online, Auslaufmodell: Micorosoft Cloud Deutschland, 08/2018). Diese Lösung war angetreten, um europäischen Kunden datenschutzkonform eine europäische Cloud von Microsoft anzubieten. Dazu war die deutsche Telekom treuhänderisch Betreiber der Microsoft Azure Cloud. Zugriffe von amerikanischen Administratoren waren technisch unterbunden. Jedoch besaß diese Treuhänderlösung etliche technische Einschränkungen und konnte nicht mit allen Features aufwarten, die die „echte“ Azure Cloud bot.

Sicherheitsfeatures in Amazon Web Services

Als weiteres Beispiel wollen wir noch kurz einen Blick auf die Sicherheitsfeatures von AWS werfen.

Für die allgemeinen Sicherheitsmaßnahmen stellt Amazon ebenso eine umfangreiche Sicherheitsdokumentation zur Verfügung (zum Beispiel AWS - Unsere Kontrollen oder Overview of security processes). Als zentrales Steuerungsinstrument (nicht nur) für die Sicherheit dient der AWS Security Hub. Er bietet einen Überblick über wichtige Sicherheitsmeldungen, gefundene Schwachstellen und stellt ebenso wie das Azure Security Center den Compliance-Status dar. Die Hauptunterschiede zwischen Microsoft und Amazon sind in der eingesetzten darunterliegenden Technik zu finden, die eigentlichen Angebote ähneln sich sehr.

Sicherheitslösungen aus der Cloud

Eine typische Eigenschaft von Cloud-Services sind die definierten und fixen Schnittstellen. Der Zugriff erfolgt nur über die vom Anbieter vorgesehenen Oberflächen und APIs. Wer mit dem angebotenen Funktionsumfang nicht zufrieden ist oder Interoperabilitätsprobleme feststellt, muss ergänzende Anbieter und alternative Szenarien in Betracht ziehen. Security-Anbieter entwickeln ihre Sicherheitslösungen stetig für Nutzungsszenarien in der Cloud weiter. Die Art dieser Lösungen unterscheiden sich jedoch sehr.


Managed Firewall in IaaS-Umgebungen

Managed Firewall Services können zu diversen Hosting-Angeboten hinzugebucht werden, um die vom selben Anbieter bezogenen gemanagten Server und Anwendungs-Instanzen zu schützen. Die Anbieter betreiben dazu Firewall-Produkte namhafter Hersteller in ihrer eigenen Rechenzentrumsumgebung und sagen eine gewisse Verfügbarkeit zu. Die Bereitstellung des Managed Firewall Services kann einen Tag oder länger dauern, einschließlich der Anpassung durch den Hosting-Anbieter. IT-Security Know-How des Auftraggebers ist dafür in der Regel nicht nötig.

Einige Firewall-Hersteller stellen ihre Produkte als Software-Image bereit, welches wahlweise auf physischen oder virtualisierten Servern, etwa in einer IaaS-Umgebung, installiert werden kann. Dieser Ansatz wurde konsequent für die Cloud weiterentwickelt und ermöglicht NextGen-Firewalls mit Rapid Deployment als Cloud Service. Die Bereitstellung erfolgt direkt nach Buchung in der Bezahlplattform eines einschlägigen IaaS-Cloud-Anbieters, z.B. Amazon oder Google. Den Betrieb der virtuellen Firewall-Appliance übernimmt der Cloud-Anbieter, während der Security-Anbieter ein Backend betreibt, z.B. für Pattern-Updates. Das ermöglicht Unternehmen die Erstellung eines cloudbasierten Firewall-Services beinahe auf Knopfdruck. Im Gegensatz zu klassischen Managed Firewall Services ist in der Regel noch ein Basiswissen des Auftraggebers über IT-Netzwerke erforderlich, um die Firewall-Anpassung in der grafischen Oberfläche des Cloud-Anbieters zu vervollständigen. Die IaaS-Anbieter sind auf dem Weg, hierfür ebenfalls Managed Cloud Security Services anzubieten, welche den Firewall-Service automatisch auf die vom IaaS-Anwender gebuchte Infrastruktur anpasst. Die zukünftige Entwicklung bleibt abzuwarten.

In jedem Fall kann ein Basisschutz mit wenig Zeitaufwand erreicht werden. Benötigt eine Organisation spezielle Sicherheitsfunktionen und Filter für ihre Anwendungen in der IaaS-Umgebung, etwa ein blockierendes IPS für den Schutz sensibler Daten und Abläufe, muss der Firewall-Service individuell von der Organisation selbst oder durch einen weiteren Dienstleister darauf angepasst werden. Die verfügbaren Sicherheitsfunktionen und die Konfigurationstiefe hängen von der Benutzeroberfläche des Cloud-Anbieters und der eingesetzten NextGen-Firewall-Software ab. Gängige Features sind VPN, Remote Access, Anwendungs-Filter, Virenscanner oder Anti-Bot-Filter. Für besondere anwendungsbezogene Anpassungen kann auf eine klassische Managed Firewall-Appliance zurückgegriffen werden.

Werden verschiedene Security-Anbieter kombiniert, können Interoperabilitätsprobleme einiger Sicherheitsfunktionen, etwa der VPN-Kopplung, auftreten. Dies sollte von Anfang an in der Cloud-Sicherheitsplanung berücksichtigt werden. Das heißt, dass das Thema Sicherheit bereits in der Proof-of-Concept-Phase eines Cloud-Vorhabens enthalten sein muss.

Web Application Firewalls und DDoS Schutz

Bei weit verbreiteten Cloud-Anbietern kann davon ausgegangen werden, dass sie eine Resilienz gegen DDoS-Angriffe aufweisen und mit Web Application Firewalls (WAF) zumindest ihre eigenen Cloud-Buchungs- und Bedienportale schützen. Im Zweifel lohnt eine Anfrage hierzu oder ein Blick in die Sicherheitsdokumentation des Anbieters.

Eine Web Application Firewall sicher zu konfigurieren, ohne die Erreichbarkeit der zu schützenden Webapplikationen zu beeinträchtigen, setzt fortgeschrittenes Security Know-How und einen gewissen Zeitaufwand voraus. Deshalb kann es bei der Nutzung kleinerer Cloud-Services effektiver sein, einen cloudbasierten DDoS- und Web Application-Schutz als Proxy einzubinden, insbesondere, wenn der Cloud-Anbieter in seinen AGBs oder SLAs nicht belastbar auf Beeinträchtigungen durch Sicherheitsprobleme eingeht.

Der Vorteil bei DDoS/WAF-Anbietern wie z.B. Cloudflare ist, dass sie durch ihr Content Delivery Network (CDN) an verschiedensten Orten auf Angriffe reagieren müssen und laut eigener Aussage die Erkenntnisse daraus in neue Erkennungsmuster des cloudbasierten WAF-Services einfließen lassen können. Dadurch muss der Cloud-Anwender nicht jede aktuelle Bedrohung sofort selbst analysieren und Gegenmaßnahmen ergreifen. Allerdings erhält er in der Regel keine Sicherheitszusagen, hat Technologie-bedingt kaum spezialisierte Anpassungsmöglichkeiten und erhält nur eingeschränkte Informationen darüber, was gefiltert wurde bzw. wird, wenn es etwa um Fehlersuche bei der Auslieferung von Webseitenoder um die forensische Untersuchung von Angriffsversuchen geht.

Anti-Malware

Gegen Phishing und Malware in E-Mails bieten etablierte SaaS-Anbieter wie Microsoft Azure die eigenen Anti-Malware Features mittlerweile auch als dedizierten Cloud-Service an. Er kann in andere E-Mail-Lösungen On-Premise oder in der Cloud als Proxy eingebunden werden, um vorgefilterte E-Mails zu empfangen oder zu versenden. Dieses Prinzip war bereits vor der Cloud-Nutzung etabliert und kann somit Vorteile hinsichtlich der Interoperabilität bringen. Die cloudbasierten Proxys werden über Bedien- und Buchungsportale bezogen, mit denen sich die Nutzungsintensität und der Umgang mit False Positives (Fehlalarmen) ad-hoc skalieren lässt.

SIEM

Dem Security Information und Event Management (SIEM) liegt das Prinzip zugrunde, dass relevante Daten über die Sicherheit in verschiedenen Stellen in der Cloud und der On-Premise-Infrastruktur anfallen und es wesentlich einfacher ist, unerwartete Trends und Muster zu erkennen, wenn man alle diese Daten an einer zentralen Stelle nahezu in Echtzeit auswerten kann. Bei einer verteilten Cloud-Landschaft mit mehreren Anbietern kommt dieser Fähigkeit eine besondere Bedeutung zu. Während Gesetze und Vorschriften die Einführung von SIEM in großen Unternehmen vorangetrieben haben, haben Bedenken hinsichtlich der Advanced Persistent Threats (APTs) kleinere Unternehmen dazu bewogen, die Angebote von SIEM Managed Security Service Providern (MSSP) genauer zu betrachten.

Einige Hersteller bieten etablierte SIEM-Software als SaaS-Variante an, z.B. LogRythm. Über Konnektoren und Agents kann sukzessive die gesamte Landschaft in die Überwachung aufgenommen werden. Typischerweise werden die Protokollierungsfunktionen der IaaS-basierten Virtuellen Maschinen (Syslog, Eventlog, Anwendungslogs) ausgelesen. Zum anderen entwickeln die SIEM-Service-Anbieter Cloud-spezifische Konnektoren zu den Protokollierungsschnittstellen (API’s) anderer SaaS-Anbieter, etwa Office 365 und NextGen-Firewall-Services.

SIEM-Programmierung ist normalerweise langwierig und komplex. SIEM-Services sehen in der Regel bereits gängige Szenarien mit sicherheitsrelevanten Alarmen und Machine Learning-basierten Anpassungsphasen vor. Die Komplexität und Relevanz der Alarmierung kann somit in kontrolliertem Maße mit dem tatsächlichen Überwachungs- und Reaktionsbedarf mitwachsen.

Die Grenzen der Überwachung bestehen in der fehlenden passiven Überwachungsmöglichkeit von Datenkommunikation auf Netzwerkebene. Dies muss gegebenenfalls durch Features oder Services innerhalb der IaaS-Umgebung realisiert werden. Organisationen und Branchen, die durch Gesetze und Vorschriften zum Einsatz von IDS/IPS verpflichtet sind, müssen vor der Entscheidung für einen Cloud-Service also den tatsächlichen Überwachungsbedarf auf den verschiedenen Ebenen berücksichtigen.

IAM / SSO

Cloudbasierte Identity and Access Management (IAM) und Single Sign On (SSO) Lösungen können einen Brückenschlag zwischen der lokalen und cloudbasierten Anwendungswelt (wie z.B. Salesforce) sein. So kann der IAM Anbieter OneLogin lokale Verzeichnisdienste integrieren und ermöglicht die einfache Einbindung von aktuellen Authentisierungsverfahren. Darüber hinaus integriert er bei Bedarf lokale Anwendungen und cloudbasierte Lösungen in den SSO-Prozess. Selbst in dezentralen Benutzerverwaltungen unterstützter Anwendungen können die IAM-Services das Anlegen, Verwalten und Löschen der anwendungsspezifischen Benutzer übernehmen.

Dieser Komfort bedeutet jedoch auch, Teile der Kernkomponenten einer Sicherheitsinfrastruktur zumindest teilweise aus der Hand des Unternehmens zu geben. Und als Public-Cloud Service werden diese Dienste von vielen Unternehmen genutzt. Man ist auf die funktionierende Mandantentrennung und hohe Sicherheitsstandards des Anbieters angewiesen. Wenn durch Software- oder Administrationsfehler diese nicht mehr gegeben sind, sind sämtliche lokale wie auch in den Cloud-Service eingebundenen Anwendungen in Gefahr kompromittiert zu werden (siehe auch das Kapitel „Sicherheitsvorfälle bei Cloud Anbietern“).  

Sicherheitslösungen für die Cloud

Klassische Sicherheitsprodukte mit Cloud-Label

Auch die klassischen Sicherheitslösungen werden immer häufiger mit einem Cloud-Label im Produktnamen beworben. So werden bekannte On-Premise-Lösungen, wie lokale Firewalls, lokale Schwachstellenscanner oder lokale Virenschutzsoftware als Ergänzung zu Cloud-Lösungen beworben. Ob es sich dabei nur um Kompatibilität zu dem Cloud-Dienst handelt, oder die Lösung als weitere Sicherheitsstufe zu betrachten ist oder ob sogar eine Integration in die Administrationsoberfläche der Cloud-Services möglich ist, ist im Einzelfall genau zu prüfen.

Sicherheits-Services Cloud-only

Und da wären noch die Sicherheitslösungen, die neu entwickelt wurden und nur auf die APIs der Cloud-Anbieter ausgerichtet sind. Sicherheitsbezogene Lösungen haben wir bei dieser engen Definition nur wenige gefunden, bzw. sind diese nicht wirklich von den Lösungen aus dem Kapitel „Sicherheitslösungen für und mit Cloud-Services“ zu unterscheiden. Ein echtes Beispiel für solch eine vollständige Cloud-Lösung ist das Backup von Microsoft Office 365 Daten. Office 365 selber bietet zwar hohe Verfügbarkeit der Daten, die üblichen Anforderungen an Backup und Archivierung kann der Service jedoch nicht erfüllen. Diese Lücke haben andere Anbieter gefüllt. So bietet zum Beispiel Acronis eine direkte Datensicherung der Office 365 Daten (Exchange, OneDrive, Sharepoint). Die zu sichernden Daten werden direkt aus der Azure Cloud in unabhängige Acronis-Rechenzentren transportiert. Den damit erlangten Vorteil (das Backup wird dezentral gespeichert und findet ohne eine Belastung der Internetanbindung des Unternehmens statt) erkauft man sich aber mit der Notwendigkeit bei allen Sicherheitsbetrachtungen einen weiteren Dienstleister vollumfänglich zu berücksichtigen. Das ist in dem genannten Beispiel ein Anbieter mit eigenen Rechenzentren nach eigenen Sicherheitsstandards und gleichzeitig sehr weitreichendem Zugriff auf Unternehmensdaten des Auftraggebers.

Sicherheitsvorfälle bei Cloud-Anbietern

In den vorherigen Kapiteln wurden die Vorteile der Nutzung von Cloud Sicherheitslösungen dargestellt. Jedoch bieten natürlich auch Cloud-Anbieter keine absolute Sicherheit. Vielmehr sind auch die Großen der Branche immer wieder von Hacking und Data Losses betroffen. So findet sich zum Beispiel in Blog Dashlane, „Data Breaches 2018: The 20 Biggest Breaches of the Year“ fast schon ein Who ist Who der Branchengrößen (Twitter, Facebook, Google+, T-Mobile, etc.). Während es sich bei dieser Liste an Unternehmen aus Sicht dieses Artikels eher um Kunden der Cloud-Anbieter handelt, gibt es auch bei den Cloud-Anbietern selber bekannte Sicherheitsvorfälle, wie zum Beispiel in „Storagecraft, 7 infamous cloud security breaches“ gelistet (mit Apple iCloud, Dropbox oder Yahoo).

Auch einige der in diesem Artikel erwähnten Anbieter waren schon von Sicherheitsvorfällen betroffen. So gab es erst kürzlich „Sicherheitslücken und mangelnder Datenschutz in Office 365“, (Heise Online, 04/2019). Der bekannte IAM/SSO Anbieter OneLogin war in 2017 Opfer eines Hacks („Einbruch bei Passwort-Manager OneLogin“, Heise Online, 06/2017). Kunden des Anbieters waren aufgefordert, sämtliche damit verbundenen Passworte, Authentisierungstokens und Schlüssel zu ersetzen.

Cloud-Services sind nach wie vor ein attraktives Ziel für Angreifer. Nicht immer gelingt es den Cloud-Anbietern ihre Kunden vor Angriffen zu schützen.

Fazit

Cloud-Anbieter haben das Thema „Hohe Sicherheit“ als Werbemittel schon länger für sich entdeckt und erweitern stetig die Liste an integrierten Sicherheitsfeatures. Gleichzeitig steigt auch die Verfügbarkeit an Sicherheitslösungen aus der Cloud. Beides eröffnet Chancen zur Erhöhung der Sicherheit und Ausweitung der Cloud-Nutzung insgesamt. Nicht außer Acht lassen darf man jedoch, dass der Einsatz von Cloud-Security Services nicht automatisch das Gesamtrisiko minimiert. Ein Bewusstsein über Chancen und Sicherheitsrisiken hinsichtlich der eigenen Geschäftsbedarfe ist also eine Voraussetzung, um zukunftssichere Cloud-Services erfolgreich einzubinden und zu betreiben. Lenkende Abläufe des Sicherheitsmanagements leisten hierzu einen wichtigen Beitrag. Sicherheit bleibt auch in Security-as-a-Service Zeiten weiterhin ein ständiges Abwägen zwischen Funktionalität, Sicherheitsbedarf und Kosten. Hier den richtigen Mittelweg zu finden zwischen Security-Outsourcing und Security-Eigenbetrieb dürfte weiterhin ein heikles Thema bleiben. Vor- und Nachteile sind dabei genauestens abzuwägen.

Autor: Ralf Stange, GAI NetConsult GmbH

 

Diesen Artikel empfehlen