Cloud-Schutz: Daten verknüpfen statt Systeme zu zentralisieren

Das Trugbild der zentralen Lösung

Viele Unternehmen denken bei Cloud-Sicherheit reflexartig an zentrale Lösungen: eine Plattform, ein Dashboard, alles an einem Ort. Doch dieser Ansatz stößt schnell an seine Grenzen. Zentrale Systeme im klassischen Sinne skalieren nicht gut, schaffen Engpässe und können selbst zum Single Point of Failure (SPOF) werden. Die Vorstellung, alle Sicherheitsdaten physisch oder logisch an einer Stelle zu sammeln, widerspricht den Anforderungen moderner Cloud-Architekturen.

Der eigentliche Mehrwert liegt nicht in der Zentralisierung der Systeme, sondern in der Zentralisierung der Informationen. Es geht um eine operationelle Verknüpfung verschiedener Datenquellen, nicht um deren physische Konsolidierung. Security Hubs moderner Prägung verstehen sich daher als Systeme zur Zusammenführung von Information. Sie verknüpfen Daten aus verschiedenen Silos, ohne diese Daten selbst speichern zu müssen. Die Prozesse, Menschen und Technologien bleiben dezentral und nur der Informationsfluss wird koordiniert.

Individualisierte Maßnahmen sind essenziell

Sicherheit entsteht nicht durch Technologie allein. Erst die Kombination aus technischen Lösungen, durchdachten Strategien und gut ausgebildeten Mitarbeitern schafft einen wirksamen Schutz. Diese Erkenntnis klingt trivial, wird in der Praxis jedoch häufig ignoriert. Unternehmen investieren Millionen in modernste Sicherheitstechnologie, kümmern sich aber nicht um interne Prozesse und menschliche Aspekte.

Hinzu kommt: Der Begriff Best Practice führt in die Irre, weil er universelle Lösungen suggeriert, die es nicht gibt. Besser ist es, von industriebezogenen und erfolgreichen Verfahrensweisen zu sprechen, die an den jeweiligen Kontext angepasst werden müssen. Was für ein Unternehmen funktioniert, muss für ein anderes nicht die richtige Lösung sein. Eine global operierende Bank benötigt andere Sicherheitskonzepte als ein regionales Start-up.

Manche Unternehmen implementieren etwa aufwendige Konsolidierungsplattformen für Sicherheitsdaten. Dabei vergessen sie, Prozesse für sich zu definieren. Wer darf im Ernstfall entscheiden, dass kritische Systeme abgeschaltet werden? Wer hat die Befugnisse, ganze Bereiche digital vom Netz zu nehmen, wenn ein Angriff läuft? Solche Fragen müssen im Vorfeld geklärt sein. Die beste Technologie nutzt wenig, wenn die Entscheidungswege unklar sind.

Informationen verknüpfen statt Daten speichern

Der Unterschied zwischen modernen Security Hubs und klassischen SIEM-Systemen liegt im Umgang mit Daten. SIEM-Lösungen leben traditionell davon, möglichst viele Rohdaten zu sammeln, zu indizieren und zu speichern. Ihr Geschäftsmodell basiert auf dem Volumen der verarbeiteten Events. Für moderne Security Hubs empfiehlt sich ein anderer Ansatz: Sie sollten keine Rohdaten speichern, sondern sie verknüpfen Informationen aus verschiedenen Quellen.

Die Architektur hat hier unterschiedliche Ebenen. Auf der unteren Ebene sehen die Teams nur die für sie relevanten Sicherheitsereignisse – etwa die SAP-Abteilung oder das Webshop-Team. Sie benötigen eine zentrale Sicht auf ihre eigenen Anwendungen, haben aber kein Interesse an Events aus anderen Bereichen. Eine Ebene darüber befindet sich typischerweise ein Security Operations Center (SOC), das die verschiedenen Informationsquellen verbindet. Erst hier wird erkennbar, wenn SAP-System und Webshop vom selben Akteur mit denselben Methoden angegriffen werden. Die Verknüpfung der Informationen macht den Unterschied.

Risiken priorisieren durch Kontext und Asset-Kenntnis

Wenn die Abwehr überlastet ist, muss sich das Sicherheitsteam auf das Wesentliche konzentrieren. Doch was ist wesentlich? Die Antwort beginnt mit einem vollständigen Inventar der Assets und einer klaren Definition der Schutzziele. Welche Systeme sind geschäftskritisch? Was kann im Notfall temporär abgeschaltet werden? Diese Fragen klingen selbstverständlich, werden allerdings erstaunlich selten systematisch beantwortet.

Die Schutzstrategie hängt maßgeblich vom Geschäftsmodell ab. Ein reiner Online-Händler, der ohne funktionierende Webshop-Infrastruktur kein Geschäft macht, benötigt andere Prioritäten als ein Einzelhändler mit zusätzlichem Offline-Geschäft. Letzterer kann im Ernstfall den Online-Shop abschalten und auf physische Stores ausweichen. Ein weiterer Ansatz zur Risikominimierung besteht darin, Systeme von vornherein so zu designen, dass Risiken und kritische Assets getrennt bleiben.

„Die beste Technologie bleibt wirkungslos ohne funktionierende und durchdachte Prozesse. Unternehmen verfügen häufig über ausgefeilte Systeme zum Sicherheitsmanagement, wissen jedoch nicht, wie sie im Ernstfall reagieren sollen. Doch auch Prozesse allein genügen nicht. Die Menschen müssen sie kennen und anwenden können.“

Bertram Dorn, Amazon Web Services (AWS)

Für eine effektive Priorisierung reicht jedoch die bloße Kenntnis der Assets nicht aus. Entscheidend ist der Kontext jedes Sicherheitsereignisses. Moderne Sicherheitsplattformen liefern nicht nur die Information über eine verdächtige IP-Adresse, sondern das komplette Paket: Welcher Akteur steckt dahinter? Welches Asset ist betroffen? Und wie hoch ist die Severity-Einstufung? Die Analyse von Ressourcenbeziehungen zeigt die Angriffspfade auf und Visualisierungen machen komplexe Zusammenhänge verständlich.

Von einzelnen Events zu Angriffsmustern

Sicherheitsereignisse sind für sich genommen oft unauffällig. Viele Aktivitäten lösen einzeln gesehen keinen Alarm aus, weil sie zum normalen Betrieb gehören können. Die Situation ändert sich fundamental, wenn mehrere Events demselben Akteur zugeordnet werden und ein zeitlicher Zusammenhang besteht. Erst diese Korrelation zeigt das eigentliche Angriffsmuster – die Bildung von Signalketten aus einzelnen, zunächst harmlosen Ereignissen.

Das Konzept der Signalketten wird besonders deutlich am Beispiel verlorener Access Keys. Wenn ein Key versehentlich öffentlich wird, ist das zwar ein ernstes Problem, aber zunächst nur ein potenzielles Risiko. Die wichtige Frage lautet: Wird dieser Key tatsächlich genutzt? Wenn der Schlüssel plötzlich für Aktivitäten aus Australien verwendet wird, obwohl das Unternehmen dort nie operiert hat, schlägt das System Alarm. Doch Angreifer sind selten so offensichtlich. Oft verbergen sich Signalketten im normalen Datenstrom.

Moderne Threat Detection korreliert automatisch Sicherheitssignale über verschiedene Datenquellen hinweg. Sie identifiziert mehrstufige Angriffssequenzen. Dabei kompromittiert ein Angreifer etwa zunächst eine Containeranwendung, dann erlangt er privilegierte Service-Account-Tokens. Diese nutzt er schließlich, um auf sensible Kubernetes-Inhalte zuzugreifen. Das Mapping solcher Angriffe hilft Security-Teams, die verwendeten Taktiken und Techniken besser zu verstehen und entsprechend zu reagieren.

Klare Prozesse, kompetente Mitarbeiter

Die beste Technologie bleibt wirkungslos ohne funktionierende und durchdachte Prozesse. Unternehmen verfügen häufig über ausgefeilte Systeme zum Sicherheitsmanagement, wissen jedoch nicht, wie sie im Ernstfall reagieren sollen. Manche Kunden melden Sicherheitsprobleme per E-Mail oder über normale Support-Tickets und wundern sich, warum die Reaktion ausbleibt. Der Grund ist einfach: Eine E-Mail mit vagen Hinweisen auf ein Sicherheitsproblem landet in Warteschlangen. Die Lösung liegt in klaren Eskalationsprozessen. Ein korrekt erstelltes Priority-Ticket für Sicherheitsvorfälle erreicht innerhalb von wenigen Sekunden die richtigen Experten.

Doch Prozesse allein genügen nicht. Die Menschen müssen sie kennen und anwenden können. Viele Mitarbeiter verfügen nicht über das Know-how, um die generierten Daten richtig zu interpretieren. Wenn ein Team nicht mit Log-Analysen umgehen kann, nützt die beste Logging-Infrastruktur nichts. Hier hilft entweder der Aufbau interner Expertise oder die Einbindung von Partnern und Dienstleistern, die diese Lücke schließen. Ein bewährtes Instrument zum Training sind Tabletop Exercises, bei denen Krisenszenarien durchgespielt werden. Solche Übungen decken Schwachstellen in Abläufen auf, bevor der Ernstfall eintritt.

Ausblick: KI-Agenten und Identity Management

Prozesse, Menschen und Technologie bilden das Fundament. Doch wie entwickelt sich dieses Zusammenspiel weiter? Die nächste Entwicklungsstufe im Bereich Cloud-Sicherheit wird durch KI-Agenten geprägt sein. Diese Systeme können Informationen zusammenfassen, relevante Zusammenhänge auffinden und Sicherheitsereignisse kontextualisieren. Der Einsatz von generativer KI (Gen AI) im Sicherheitsbereich erfordert jedoch besondere Vorsicht: Das System darf nicht halluzinieren, sondern muss auf überprüfbaren Fakten basieren.

Die Grundlage für alle Sicherheitsmaßnahmen sollte weiterhin ein sicheres Identity and Access Management (IAM) bleiben. Unternehmen sollten zunächst ihre IAM-Infrastruktur auf ein solides Fundament stellen, bevor sie in erweiterte Lösungen investieren. Standardisierte Datenformate ermöglichen zudem einen nahtlosen Datenaustausch zwischen verschiedenen Sicherheitslösungen. Der Schlüssel zum Erfolg liegt in der intelligenten Verknüpfung von Informationen, durchdachten Prozessen und gut ausgebildeten Menschen – abgestimmt auf die individuellen Anforderungen jedes Unternehmens.

Über den Autor:
Bertram Dorn ist Principal in the Office of the CISO bei Amazon Web Services (AWS).

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.