IT-Sicherheit 2012: Aktuelle und künftige Security-Risiken in Unternehmen

Security-Risiken durch Cloud-Technologien

Die Cloud-Services bieten Unternehmen die Möglichkeiten, ihr Business effizient und somit kostengünstig zu betreiben. Allerdings eröffnet es Angreifern auch neue "Betätigungsfelder", da herkömmliche Sicherheitslösungen keinen ausreichenden Schutz mehr bieten. Daher die Frage an unsere Experten: Welche Veränderungen in puncto Sicherheit bringen die Cloud-Technologien 2012?

Markus Hennig, Sophos / Astaro: "Die Absicherung dieser (virtuellen) Systeme ist eine der wichtigsten Herausforderungen im kommenden IT-Security-Jahr. Nur mit überzeugenden Sicherheitskonzepten kann es gelingen, Vertrauen bei den Kunden aufzubauen. Es gilt zunächst, die Basis mit Technologien wie VPN und Encryption zu legen, bevor das enorme Leistungspotenzial der Cloud ohne flaues Gefühl in der Magengrube abgerufen werden kann.

Danach gilt es, wachsam zu bleiben: Datenschutz in einer virtuellen Welt mit extrem schnelllebigen Systemwechseln und Informationsflüssen ist eine Mammutaufgabe, bei der aber nicht nur der Anwender in der Pflicht ist, sondern sich auch der Anbieter die Frage stellen muss, was er tun kann, um für mehr Sicherheit zu sorgen."

Sascha Krieger, eleven: "Hier sind zwei Aspekte wichtig: Erstens verlagern viele Unternehmen immer mehr IT-Aufgaben in die Cloud - teils aus Kostengründen, teils aufgrund der wachsenden Mobilität ihrer Mitarbeiter. Damit entsteht ein komplett neuer Datenraum, den es zu schützen gilt. Verschlüsselte Datenübertragung und -zugriff spielen hier ebenso eine Rolle wie die Datensicherung. Viele Cloud-Dienste bieten keine ausreichend redundanten Speichersysteme. Das heißt: Fällt ein System aus oder wird ein Anbieter Opfer eines DDoS-Angriffs, gehen im schlimmsten Fall alle dort gespeicherten Daten verloren - wie 2011 bei einigen führenden Anbietern geschehen.

Hinzu kommt das Thema Datenschutz: Vertraut ein Unternehmen ausländischen Anbietern, zum Beispiel aus den USA, sind seine Daten weitreichenden Zugriffsmöglichkeiten staatlicher Behörden, beispielsweise im Rahmen des Patriot Act, ausgesetzt. Auch wenn die Daten nur in Europa gespeichert werden, reicht dies nicht aus: Es gilt der Unternehmenssitz des Anbieters. Europäische Infrastrukturen von US-Providern sind damit genauso unsicher. Unternehmen sollten daher möglichst auf deutsche Anbieter setzen, da diese dem strengen deutschen Datenschutzrecht unterliegen.

Der zweite wichtige Aspekt ist die Nutzung der Cloud für die IT-Sicherheit. Insbesondere im Bereich der E-Mail-Sicherheit bieten Cloud-basierte Services Unternehmen Chancen, ihre Sicherheit zu erhöhen und dabei Kosten zu sparen. So können gefährliche oder unerwünschte E-Mails bereits außerhalb des Unternehmens abgefangen werden gemäß dem Motto: Was das Unternehmen nicht erreicht, kann dort auch keinen Schaden anrichten. Gleichzeitig entfallen Investitionskosten für Hard- und Software, regelmäßige Anpassungen der IT-Infrastruktur sowie jeglicher Wartungs- und Pflegeaufwand. Die Kosten werden langfristig planbar und liegen zumeist deutlich unter denen aufwendiger Inhouse-Lösungen."

Stefan Ortloff, Kaspersky Lab: "Durch die Auslagerung von Services in die Cloud betreibt man nicht nur Outsourcing auf der Anwendungsebene, sondern auch bei der IT-Security. Man muss also dem Cloud-Betreiber diese Aufgabe zutrauen und ihm auch vertrauen."

Toralv Dirro, McAfee: "Cloud-Technologien in Sicherheitsprodukten bieten die Möglichkeit, neueste Informationen über Malware, bösartige Webseiten oder andere Bedrohungen nahezu in Echtzeit zur Verfügung zu stellen, ohne dass die Software auf den Clients erst aktualisiert werden muss. Seit der Einführung dieser Technologie in unseren AV Produkten (unter dem Namen "Artemis") vor wenigen Jahren hat sich dies als De-facto-Standard für die schnelle Erkennung neuer Malware etabliert. Auch im Spam-Schutz und für die Bewertung von Webseiten ist dies heutzutage die wichtigste Grundlage.

Cloud-Technologien sind allerdings auch ein zweischneidiges Schwert: Schon bei diesen Reputationsdienstleistungen muss dem Anbieter vertraut werden, da allein das Abfragen zum Beispiel der Reputation einer Website die Information preisgibt, dass einen die Reputation eben dieser Website interessiert. Gerade bei sehr sensiblen Kunden wie Regierungen oder Militär gewinnen deshalb sogenannte "Private Cloud"-Lösungen an Bedeutung.

Die gleichen Bedenken treffen auch - und das in viel stärkerem Ausmaß - auf die Auslagerung von Daten und Geschäftsprozessen in die Cloud zu. Es lassen sich zwar für Unternehmen erhebliche Einsparungen und Optimierungen erreichen, doch muss kritisch hinterfragt werden, wem genau man seine Daten anvertraut, wo diese aufbewahrt und verarbeitet werden und ob der Anbieter den Anforderungen im Bereich Datenschutz gerecht wird."

Thomas Hemker, Symantec: "Cloud Computing ruft bei IT-Verantwortlichen oft gemischte Gefühle hervor. Beim Weg in die Wolke bereitet vor allem das Thema IT-Sicherheit den Unternehmen noch Kopfzerbrechen. Einer Symantec-Studie zufolge sehen Firmen hier immer noch große Risiken: Vor allem wenn es darum geht, geschäftskritische Applikationen zu virtualisieren und in die Cloud zu verlagern, zögern Unternehmen. Bisher migriert weltweit nur ein Drittel der in der Studie befragten Unternehmen geschäftskritische Anwendungen in die Wolke. Dennoch können Dienstleistungsangebote wie Platform-as-a-Service oder Infrastructure-as-a-Service wesentliche Vorteile für die IT-Sicherheit bieten. Im Bereich Mobile Security stellen Cloud-Lösungen beispielsweise eine Alternative zu internen Sicherheitsanwendungen dar. Sie lassen sich oft schnell und einfach umsetzen und passen sich leicht Veränderungen in der Belegschaft an.

Prinzipiell aber gilt: Egal ob Unternehmen auf Private-Cloud-, Hybrid-Cloud- oder Public-Cloud-Technologien setzen, die IT muss bei den Informationen und Daten ansetzen, die es zu schützen gilt. Davon ausgehend sollte dann ein umfassendes Sicherheitskonzept konzipiert und umgesetzt werden."

Raimund Genes, Trend Micro: "Wie angedeutet, machen Cloud-Technologien den klassischen Perimeterschutz obsolet. Denn die virtuellen Ressourcen "wandern" und damit auch die wertvollen Unternehmensdaten, die begehrte Beute der Cyber-Kriminellen. Also muss es 2012 darum gehen, diese Beute etwa durch konsequentes Verschlüsseln wertlos zu machen. Sicherlich gelingt dies erstens nur, wenn die zugehörigen Schlüssel nicht bei den Daten liegen. Zweitens muss jede virtualisierte Ressource ihr Schutzniveau bei jeder Änderung des physischen Aufenthaltsortes zuverlässig beibehalten. Und drittens werfen Cloud-Technologien Rechtsfragen auf: In welchem Land entstehen meine Daten, dürfen sie das Ursprungsland verlassen, welche Datenschutzstandards gelten am jeweiligen Aufbewahrungsort? Die Veränderungen sind also nicht nur technischer, sondern auch strategischer Natur und verlangen strategische Überlegungen und Antworten des Managements." (hal)