Wie lassen sich Unternehmensdaten in der Cloud wirkungsvoll schützen? Wir sprachen exklusiv mit Rolf Haas, Senior Enterprise Technology Specialist bei McAfee, über die Herausforderung professioneller Cloud Security.
„Microsoft ringt um Sicherheit“, titelte die Computerwoche jüngst und griff die sich häufenden Ausfälle, Angriffe und ungepatchten Exploits auf, die das Branchenschwergewicht aus Redmond bei seinen Cloud-Produkten immer öfter in Erklärungsnot bringen [1]. Unternehmenskunden in Deutschland und der Schweiz erlebten chaotische Zustände, als sie zuletzt zeitweise von ihren E-Mail-Accounts abgeschnitten wurden. Nicht der erste Vorfall dieser Art, wie die Computerwoche betont.
Lag die Ursache wirklich in der Fehlfunktion der „Advanced Threat Protection“, welche statt gefährliche Inhalte übereifrig gleich sämtliche Verbindungen blockiert haben soll? Und wie sicher können Cloud-Nutzer sein, dass ihre Daten künftig vor Untergang oder unberechtigtem Zugriff durch Dritte geschützt sind, wenn beispielsweise Sicherheitslecks mitunter erst spät beseitigt und gestohlene Anmeldeinformationen laufend im Dark Web angeboten werden?
Der Vollständigkeit halber sei erwähnt, dass das Beispiel Microsoft zufällig gewählt wurde. Denn das Dilemma zunehmender Cyber-Angriffe auf Cloud-Dienste bei gleichzeitig wachsender Abhängigkeit von dieser Technologie ist losgelöst von der Frage des Anbieters als grundsätzliche Herausforderung unserer Zeit zu diskutieren.
Was also ist zu tun, damit der Traum vom global verteilten Arbeiten und einer schlanken IT-Organisation nicht zum Albtraum wird? Als Teil unserer Serie zur Zukunft der Cybersicherheit sprachen wir darüber exklusiv mit Rolf Haas, Senior Enterprise Technology Specialist bei McAfee.
RGBMAG: Herr Haas, manche behaupten ja, ein gravierendes Problem unserer Zeit sei die Monokultur in den Vorständen. Vielfach bestehen diese nur noch aus Ökonomen und Juristen. Kurzfristiges Kostendenken steht im Mittelpunkt, Prozesswissen bleibt hingegen auf der Strecke. Hierzu passt vielleicht, worauf Max Heinemeyer vom KI- und Cybersecurity-Spezialisten Darktrace hingewiesen hat, dass nämlich der Schritt in die Cloud nicht dazu führen darf, die eigene Sicherheitsinfrastruktur zu demontieren [2].
Ist Cloud, sofern man es richtig macht, in Wahrheit nicht viel komplexer und personalintensiver, als es Controller glauben? Und ist somit der Verzicht auf eigenes IT-Know-how aus dem Irrglauben heraus, sichere und lauffähige IT ließe sich von der Stange zum Flatrate-Tarif ordern, nicht langfristig brandgefährlich? Aus Ihrem eigenen Hause stammende Analysen zeigen, dass Unternehmen mehrheitlich eine Vielzahl verschiedener Public Cloud-Dienste zusätzlich zu Private Clouds und On-Premise-Systemen nutzen. Wer will da den Überblick behalten?
Rolf Haas: In unserem aktuellen Cloud Adoption and Risk Report konnten wir feststellen, dass Unternehmen inzwischen durchschnittlich insgesamt 1935 Cloud-Dienste nutzen. Die IT hat heute eine so große Komplexität erreicht, dass zwangsläufig vielfältige Sichtweisen in ihre Strategie einfließen müssen, die allesamt auch ihre Daseinsberechtigung haben. Schließlich laufen heutzutage quasi alle Prozesse IT-gestützt ab, weshalb juristische und ökonomische Aspekte ebenso wichtig für den Unternehmenserfolg sind wie die Meinung von IT-Fachkräften und Security-Spezialisten.
Neben gesetzlichen Vorgaben wie der DSGVO gilt es beim Aufbau der Infrastruktur auch, genau abzuwägen, welche Lösungen in den Kostenplan passen, einfach zu verwalten sind und gleichzeitig auf die eigenen Anforderungen des täglichen Geschäfts passen.
RGBMAG: Könnten Sie aus dem Blickwinkel des IT-Security-Fachmanns kurz den Aufbau einer typischen IT-Infrastruktur umreißen, wie man sie in einem gut aufgestellten mittelständischen Unternehmen heutzutage antrifft?
Rolf Haas: Die Cloud ist in Unternehmen jeder Größe ein bestimmendes Thema der IT-Planung und so gut wie alle befinden sich in einem Stadium der Migration von On-Premise in die Cloud. Die wenigsten beschließen, einen Hard Cut zu machen und komplett in die Cloud zu migrieren, weshalb hybride Infrastrukturen die Norm darstellen.
Große Unternehmen sind bei der Adoption meistens ein paar Schritte weiter, schlicht und einfach, weil Mittelständlern meistens das nötige Know-how fehlt. Unser Cloud Adoption and Risk Report [3] hat gezeigt, dass 40 Prozent der Unternehmen die Adoption einbremsen mussten, weil sie nicht über ausreichende Cyber-Security-Kenntnisse verfügen.
RGBMAG: Cloud Security, so ist überall zu lesen, müsse zur Top-Priorität gemacht werden. Kein Wunder, liegen dort schließlich zunehmend die Datenschätze, auf die es Kriminelle oder staatlich organisierte Hacker abgesehen haben. Dennoch befinden sich die Einfallstore für Angriffe häufig im Unternehmen selbst. Was sind nach Ihrer Erfahrung die größten Gefahren und wichtigsten Angriffsmuster, mit denen wir es heute zu tun haben?
Rolf Haas: Über die Cloud können heutzutage direkt Angriffe auf die Infrastruktur eines Unternehmens durchgeführt werden. Dabei besteht die Gefahr für die Cloud einerseits durch spezielle Cloud-Malware wie beispielsweise Knockknock, ein Botnet, das gezielt die System-Accounts von Office 365 angreift. Andererseits machen es Unternehmen Hackern manchmal auch allzu leicht und ermöglichen den Einbruch direkt in Cloud-Dienste, indem sie nur auf Ein-Faktor-Authentifizierung zurückgreifen. Mit einer Zwei-Faktor-Authentifizierung, die neben dem Passwort noch einen zweiten Sicherheitstoken, wie beispielsweise eine SMS mit einem speziell generierten Sicherheitscode verlangt, ließen sich viele Einfallstore zuverlässig schließen.
RGBMAG: Würde man lediglich die Schlagzeilen verfolgen, käme man sicher schnell zu dem Eindruck, dass man das Katz-und-Maus-Spiel gegen Cyber-Angreifer kaum gewinnen kann. Allzu leicht wird übersehen, welche Fortschritte die IT-Sicherheit tatsächlich macht. Stimmen Sie zu, dass der „Security by Design“-Ansatz, der Sicherheit ins Zentrum aller Überlegungen rückt – während diese früher meist als nachgelagerter Aspekt betrachtet wurde –, ein Game-Changer ist?
Rolf Haas: Sicherheit ist tatsächlich immer mehr eine Designfrage und immer mehr Cloud-Lösungen verfolgen diesen Ansatz, Sicherheit von Anfang an integrieren zu können, statt sie nur dazuzukaufen und nachträglich hinzuzufügen. Auf lange Sicht werden sich nur die Cloud-Dienste halten können, die Sicherheit auch von Anfang an integriert haben.
RGBMAG: Durch das Zusammenwachsen von IT und Operational Technology (OT) dürfte sich Ihr Aufgabenkatalog einmal mehr ändern und das Thema IT-Security insgesamt erneut vielschichtiger werden. Sind Unternehmen überhaupt hinreichend vorbereitet, um Produktionsanlagen, Gebäudesteuerung, Smart Devices und vieles andere über Cloud-Dienste miteinander zu vernetzen? Und ist das viel zitierte Vulnerability-Management, das unter anderem alle an einem Netzwerk angeschlossenen Geräte auf mögliche Angriffspunkte prüfen soll, ein Schlüssel zu mehr Sicherheit im IoT-Zeitalter oder doch nur ein Buzzword?
Rolf Haas: Vulnerability Management ist heute nur ein Teilbereich der IT-Sicherheit, da es unzählige Angriffsvektoren gibt, die Unternehmen abdecken müssen und deren Gewichtung je nach Abteilung unterschiedlich ist. In Produktionsanlagen besteht die Herausforderung darin, Maschinen zu vernetzen und abzusichern, die bei der Implementierung gar nicht für permanente Vernetzung konzipiert waren. Einen Ansatz stellt hier das sogenannte Whitelisting dar, bei dem sämtlichen Geräten standardmäßig automatisch der Netzwerkzugriff verweigert wird, außer er wurde explizit gestattet.
Im Büro hingegen besteht eine größere Gefahr, dass sensible Informationen durch unvorsichtige Mitarbeiter oder gehackte Nutzerkonten in fremde Hände gelangen, weshalb hier Data Loss Prevention (DLP) eine wichtigere Rolle spielt.
RGBMAG: Stephan Scheuer vom Handelsblatt propagiert in seinem neuen Buch über Chinas Aufstieg zur digitalen Weltmacht ein „Made in Germany“-Gütesiegel für Datensicherheit [4]. Würden Sie zustimmen, dass Deutschland als so etwas wie ein „Natural Owner“ von Alleinstellungsmerkmalen wie Qualität und Zuverlässigkeit mit einer entsprechenden Cloud-Industrie international große Erfolgschancen hätte?
Rolf Haas: IT-Sicherheit als nationales, also limitiertes Alleinstellungsmerkmal etablieren zu wollen, ist über kurz oder lang nicht nur hinderlich, sondern auch riskant. Sicherheit lebt heutzutage von einem reibungslosen Informationsaustausch, der sich über Länder- und Plattformgrenzen hinweg erstreckt, um der Anzahl und Komplexität an neuen Bedrohungen begegnen zu können. Daher ist das Design von Sicherheitslösungen anhand von internationalen Standards und Zertifizierungen entscheidend.
RGBMAG: Zum Schluss eine rein hypothetische Frage, die sich eigentlich nicht beantworten lässt, weil sich seit Beginn des Cloud-Zeitalters sowohl die Methoden und Strategien der IT-Security als auch die der Angreifer gewandelt haben. Versuchen wir es trotzdem: Was ist sicherer, Cloud-basierte oder klassische IT?
Rolf Haas: Der Erfolg oder Misserfolg beider Ansätze liegt jeweils in ihrer Konfiguration begründet. Der Gartner CASB Report 2017 hat ergeben, dass bis 2020 95 Prozent der Angriffe auf Infrastrukturen die Folge von fehlerhafter Konfiguration sind [5]. Eine On-Premise-Infrastruktur kann deutlich sicherer sein als die Cloud-Infrastruktur, wenn sie besser konfiguriert ist. Genauso verhält es sich umgekehrt.
RGBMAG: Herr Haas, wir danken Ihnen für das Gespräch.
Die Fragen stellte Michael Graef.
Weitere Informationen:
McAfee
www.mcafee.com/de
Quellen:
[1] https://www.computerwoche.de/a/microsoft-ringt-um-sicherheit,3546503
[2] https://www.computing.co.uk/ctg/sponsored/3037260/trusting-the-cloud-the-dangers-of-unencrypted-data-upload
[3] https://cloudsecurity.mcafee.com/cloud/en-us/forms/white-papers/wp-cloud-adoption-risk-report-2019-banner-cloud-mfe.html
[4] Scheuer, S. (2018): Der Masterplan: Chinas Weg zur Hightech-Weltherrschaft. Freiburg im Breisgau. S. 206 ff.
[5] https://www.gartner.com/smarterwithgartner/is-the-cloud-secure/
