Cloud-Sicherheit: Risiken, Trends und Herausforderungen

Unternehmen im Allgemeinen und IT-Abteilungen im Besonderen sehen sich bei der Gewährleistung der Sicherheit bei der Cloud-Nutzung vor nahezu beliebig komplexen Herausforderungen. Die eigenen Sicherheitsansprüche für die Cloud, in die Security-Strategie zu integrieren, ist häufig nicht nur aufwendig, sondern in der Praxis nicht immer einfach umzusetzen. Zudem sowohl die allgemeine Cloud-Entwicklung wie auch meist die Cloud-Nutzung im eigenen Unternehmen häufig sehr dynamisch ist.

Im Gespräch mit ComputerWeekly.de erläutert Danny O’Neill von Rackspace die aktuellen Trends und künftigen Herausforderungen in Sachen Cloud-Sicherheit. Danny O‘Neill ist Leiter von Rackspace Managed Security (RMS) für EMEA. Als Leiter des Cybersicherheitsteams schützt Danny O‘Neill nicht nur Rackspace und seine Kunden vor Bedrohungen, sondern entwickelt und erweitert auch die Fähigkeiten des Unternehmens weiter, indem er Prozesse intelligenter und effizienter gestaltet.

Welchen aktuellen Herausforderungen müssen Unternehmen in Sachen Cloud-Sicherheit begegnen?

Danny O’Neill: Der Talentpool für IT-Sicherheit ist nach wie vor eine Herausforderung für Unternehmen, da es immer noch viele Teams gibt, die nicht über das richtige Fachwissen verfügen, um zu verhindern, dass ihre Organisation von den neuesten modernen Bedrohungen angegriffen wird. Einen „Lift and Shift“-Ansatz für die Sicherheit zu verfolgen ist nicht möglich – Investitionen in die richtigen Mitarbeiter und den Einsatz Cloud-basierter Lösungen sind die geeignetsten Methoden zur Sicherung der Cloud.

Hinzukommen die sich immer schneller verändernde technische Infrastruktur, die digitale Transformation und der zunehmende Cloud-Einsatz, die die Security-Anforderungen für Unternehmen erheblich verändern. Wer die Vorteile der Cloud nutzt und auf Geschwindigkeit, Agilität, fortgeschrittene Analysen oder Big Data setzt, muss auch die möglicherweise größere Gefahr durch stärker verteilte Netzwerke berücksichtigen.

Vor allem die Dynamik der Public Cloud führt zu einer komplexen Steuerungsebene. Hier scheinen sich schützenswerte Daten oft in einer Umgebung zu befinden, die das Sicherheitsteam des Unternehmens nicht kontrollieren oder überwachen kann. So erfordert die Cloud neben herkömmlichen Security-Lösungen zusätzliche Maßnahmen für die Cybersicherheit, die gemeinsam mit den Providern zu treffen sind.

Welche neuen Sicherheitsbedrohungen und Trends sind bei der Cloud-Sicherheit für 2020 zu erwarten?

O’Neill: Die Insider-Bedrohung erlebt eine neue Dimension, ebenso wie kompromittierte Zugangsdaten. Ein Angreifer kann schnell die „Schlüssel zur Cloud“ erhalten – und übermäßig privilegierter Zugriff oder falsch konfigurierte IAM-Richtlinien können zu großen Schäden führen. Außerdem entwickeln sich ungesicherte APIs zu einer der größten Gefahren in der Cloud und gehören laut OWASP zu den Top 10 der Sicherheitsrisiken für Anwendungen.

Kriminelle werden sich weiterhin auf den finanziellen Gewinn konzentrieren, so dass wir eine Zunahme von Angriffen auf Regierungsebene beobachten werden, die auf globaler Ebene stattfinden.

Welche Rolle spielen unbewusste Fehlkonfigurationen und Missverständnisse in Bezug auf die geteilte Verantwortung bei der Cloud-Absicherung?

O’Neill: Cloud-Security ist mehr denn je eine gemeinsame Verantwortung. Wer dabei für was verantwortlich ist, hängt vom Cloud-Modell ab. Bei IaaS (Infrastructure as a Service) ist meist der Cloud Service Provider (CSP) für die Infrastruktur-Komponenten verantwortlich, das Unternehmen für Gastbetriebssystem sowie Konfiguration von nativen Cloud-Sicherheitsfunktionen, Anwendungen und Kontrollen. Im Rahmen eines SaaS-Modells (Software as a Service) kümmert sich der CSP weitgehend um Infrastruktur- und Anwendungskomponenten, das Unternehmen um das Management der Netzwerkaktivitäten.

Klassische Kontrollen, Technologien und Fähigkeiten bieten allerdings oft nur eine unvollständige oder gar keine Transparenz in der Cloud. Die sehr guten und umfassenden Sicherheitsfunktionen der Provider sollten zwar genutzt werden, bedürfen aber der Verwaltung und Überwachung. Zudem sind native Security-Funktionen in eine umfassende Architektur für die Überwachung, Erkennung und Reaktion zu integrieren. Denn sie verfolgen zwar bewährte Ansätze für Security und Compliance, sind aber kein Ersatz für eine ganzheitliche End-to-End-Sicherheitsstrategie.

Welchen Einfluss auf die Cloud-Sicherheit hat die Nutzung unterschiedlicher Cloud-Provider im Unternehmen in Bezug auf die Durchsetzung von Sicherheitsrichtlinien und unterschiedlichen Vorgehensweisen bei unterschiedlichen Plattformen?

O’Neill: In Kombination mit der sich verändernden Bedrohungslandschaft müssen Security-Teams ihren Ansatz weiterentwickeln und Sicherheitslösungen für die Hybrid und Multi Cloud integrieren. Doch viele Teams verlieren sich in der Komplexität und verwalten nur einzelne Technologien und Richtlinien, statt wirklich umfassende Cybersicherheitsprozesse durchzuführen.

Hinzu kommen allgemeine Herausforderungen wie der weltweite Fachkräftemangel im Bereich Cybersicherheit. Dies erschwert es Unternehmen, die richtigen Personen einzustellen, auszubilden und zu halten, um Cyberangriffe abzuwehren. Ein Managed Security Service Provider (MSSP) kann diese Aufgabe übernehmen und weitere Anforderungen erfüllen. Er entlastet das Unternehmen von Zeit- und Ressourcen-Aufwand zur Erkennung eines Angriffs und bietet Sicherheitslösungen für Hybrid- und Multi-Cloud-Umgebungen.

Vor welchen Problemen stehen Unternehmen in Bezug auf die Einhaltung des Datenschutzes und der Cloud-Nutzung?

O’Neill: Auf technischer Ebene müssen Unternehmen Lösungen zur proaktiven Überwachung und Erkennung einsetzen, um Daten zu schützen und eine Kompromittierung zu verhindern. Dies sollten sie durch eine starke Verschlüsselung der Daten – sowohl im Ruhezustand als auch während der Übertragung – ergänzen.

„Auf technischer Ebene müssen Unternehmen Lösungen zur proaktiven Überwachung und Erkennung einsetzen, um Daten zu schützen und eine Kompromittierung zu verhindern.“

Danny O’Neill, Rackspace

Eine große Herausforderung stellt aber die rechtliche Situation von US-Unternehmen dar, die in Europa tätig sind – wie einige Cloud-Provider. Diese sollten vertraglich dazu verpflichtet werden, dem Kunden jeden rechtsverbindlichen Antrag auf Zugang zu Daten nach dem US-amerikanischen CLOUD-Act mitzuteilen.

Diese Anträge von US-Behörden könnten die Compliance mit der EU-DSGVO untergraben. Denn sie verpflichten ein US-Unternehmen möglicherweise dazu, Zugriff auf Daten von EU-Bürgern zu gewähren und damit gegen DSGVO-Richtlinien zu verstoßen – es sei denn, das Unternehmen kann nachweisen, dass nicht alle erforderlichen Kriterien erfüllt werden und den Antrag ablehnen. Vorab ist anhand möglicher Szenarien festzustellen, welche Regelung Vorrang hat.

Wie wirken sich die Trends zu vernetzten industriellen Geräten und Edge Computing auf die Cloud-Sicherheit aus?

O’Neill: Gerade in Bereichen, in denen schon wenige Millisekunden Latenzzeit problematisch sein können, bietet Edge Computing einen großen Vorteil – aber nicht ohne Risiken. Insbesondere wenn Endpunkte ungesichert sind, kann bei einem weit verteilten Netzwerk und einer sich so schnell entwickelnden Technologie die Sicherheit eine erhebliche Herausforderung darstellen.

Unternehmen müssen solche Gefahren erkennen, die realen Anforderungen verstehen und dürfen sich nicht in der Komplexität der Technologie verlieren. Dann können sie die jeweils erforderlichen Personen, Prozesse und Technologien für ihre Sicherheit ermitteln und effizient einsetzen.

Welche Rolle spielt das Thema künstliche Intelligenz in Bezug auf die Cloud-Sicherheit?

O’Neill: Einerseits ermöglicht KI (künstliche Intelligenz) wichtige neue Funktionen für die Cybersicherheit. Zum Beispiel können sich Security-Lösungen dynamisch und proaktiv an komplexe Bedrohungen anpassen, indem sie Verhaltensmuster erkennen, erlernen und modellieren. Damit lassen sich Angriffe schneller erkennen und blockieren.

Andererseits werden auch Cyberkriminelle versuchen, KI-Technologien und -Techniken zu nutzen. So können sie eventuell KI-basierte Security-Modelle täuschen und umgehen sowie groß angelegte, komplexe Angriffe durchführen – unter anderem mit sich verändernder Malware, die als vertrauenswürdig erscheint, mit selbstlernenden Botnetzen oder intelligenteren Methoden für unbefugtem Zugang. Entsprechend wird KI das alte „Katz und Maus“-Spiel zwischen Kriminellen und Security-Verantwortlichen weiter intensivieren.

Insgesamt jedoch kann sie für eine höhere Sicherheit sorgen, da die Erkennung von Angriffen nicht nur auf bekannten statischen Indikatoren basiert, sondern auch auf anomalen Verhaltensweisen der Endpunkte. Zudem trägt sie dazu bei, den Fachkräftemangel zu lindern, wobei sie aber nicht das menschliche Fachwissen vollständig ersetzen kann.

KI reduziert manuelle Eingriffe und erhöht Effizienz, Effektivität und Skalierbarkeit. So können Unternehmen ihre Cyber-Security-Ressourcen personell und technologisch optimieren, um sich besser zu schützen.