RSA-Panel: Sicherheitsprofis müssen bei Cloud-Computing vorangehen

Cloud Computing ist ein wesentlicher Trend, um Unternehmen auf die Anforderungen im unternehmenskritischen Themenbereichen Sicherheit vorzubereiten.

Cloud-Computing ist ein unaufhaltsamer Trend. Teams für IT-Sicherheit können daran nichts ändern – aber sie können dafür sorgen, dass die Cloud auf sichere Weise zum Einsatz kommt. Zu diesem Schluss kam ein Panel von Führungskräften im Bereich Sicherheit auf der RSA Conference am Mittwoch. Cloud-Computing verbreite sich immer schneller, und Sicherheitsteams müssten sich darauf einstellen.

„Die meisten Leute in diesem Raum unterschätzen, wie schnell der Umstieg zur Cloud vor sich geht. Nach manchen Schätzungen kann Cloud-Computing die IT-Kosten um bis zu 85 Prozent senken. Da wird man Sicherheit nicht im Weg stehen lassen.“

Jerry Archer, Senior Vice President und CSO, Sallie Mae

„Die meisten Leute in diesem Raum unterschätzen, wie schnell der Umstieg zur Cloud vor sich geht“, sagte Jerry Archer, Senior Vice President und CSO bei Sallie Mae. Nach manchen Schätzungen könne Cloud-Computing die IT-Kosten um bis zu 85 Prozent senken. „Da wird man Sicherheit nicht im Weg stehen lassen“, so Archer, „es geht um eine riesige Welle. Es ist unaufhaltsam, und wir müssen dafür sorgen, dass es sicher ist.“

Chuck Deaton, Leiter für Informationssicherheit in Unternehmen bei Humana, Inc. verglich den Trend zum Cloud-Computing sogar mit den Borg-Figuren aus Star Trek. Von denen stammt die berühmte Aussage „Widerstand ist zwecklos. Sie werden assimiliert“.

Laut Archer muss die Sicherheitscommunity beim Umgang mit der Cloud nicht von vorne anfangen: Es habe bereits viele Forschungsprojekte dazu gegeben, und auch Werkzeuge stünden zur Verfügung, zum Beispiel von der Cloud Security Alliance. Organisationen müssten aber untersuchen, welche Risiken Cloud-Computing bringe, und herausfinden, wie sich diese Risiken verringern lassen. „Der Schlüssel ist, sich an die Spitze der Entwicklung zu stellen“, sagte er.

Das Board of Directors seines Unternehmens habe ihn aufgefordert, den Mitgliedern ein Briefing über die Cloud-Risiken zu geben. „Das ist ermutigend“, sagte Archer dazu, „es ist schön, wenn jemand fragt, bevor etwas passiert ist.“ In Zukunft, so Archer, werde es ein höheres Sicherheitsniveau geben als heute. Der Grund dafür sei, dass auch streng regulierte Unternehmen in die Cloud gehen.

Dave Cullinane, CISO bei eBay Inc., sieht nach eigener Aussage eine riesige Chance für Security as a Service. Denn Sicherheit lasse sich als Cloud-Dienst ausgesprochen effektiv zur Verfügung stellen. „Solche Sachen finde ich wirklich aufregend“, sagte er.

Bei Humana war der Einsatz von Web-Filterung als Security as a Service eine einfache Möglichkeit, sich in die Cloud vorzuwagen, berichtete Deaton: „Wir wollten nicht sofort unsere sensibelsten Daten in die Cloud bringen“. Trotzdem suche die Organisation derzeit nach weiteren Möglichkeiten. „Letztlich ist das Ziel nicht Sicherheit, sondern Gewinne. Sicherheit muss sich hier einfügen. Man muss eine Balance finden zwischen Sicherheit und den Vorteilen des Trends zur Cloud“.

Die Strategie des Bereichs Sicherheit bei Humana bestehe darin, das möglich zu machen, was das Unternehmen tun wolle, erklärte Deaton: „Wir müssen eine kreative Inspiration darstellen“. Führungskräfte von der Geschäftsseite erhofften sich vom Sicherheitspersonal Anregungen dafür, wie sich die Cloud nutzen lasse, ohne Kunden oder dem Unternehmen zu schaden. „Wenn man dem Board sechs bis zehn Ideen vorlegt, fängt es an, einen als Partner anzusehen“, sagt Deaton.

Allerdings gebe es hier einen beunruhigenden Trend, warnte Jason Witty, Senior Vice President und Leiter des Bereichs Informationsschutz bei der Bank of America: Angelockt von den Versprechungen zu Kostensenkungen durch die Cloud würden Manager auf Vorstandsebene derzeit ihre IT-Abteilungen umgehen und selbst Cloud-Dienste bestellen. Als Reaktion darauf seien viele Organisationen dabei, nach Möglichkeiten zur Nachverfolgung der Verbreitung von Cloud-Diensten im eigenen Haus zu suchen. Beispiele dafür seien Kontrollen bei den Einkaufsprozessen und andere Governance-Methoden, sagte Witty.

Cullinane von eBay warf eine andere Frage auf: „Wenn man nicht einmal sehen kann, wohin genau die Daten gehen – wie soll man dann Risiken effektiv steuern?“. Sein Rat dazu gleicht dem von Archer: „Man muss an die Spitze der Entwicklung kommen.“ Außerdem müssten Sicherheitsprofis ihre Arbeitsweise umstellen – „wir müssen agiler werden“.

Änderungen bei Audit-Ansätzen

Einer der Zuhörer bei der Podiumsdiskussion fragte danach, wie sich Cloud-Provider dazu bringen lassen, zu Sicherheit mehr als nur ein Whitepaper zur Verfügung zu stellen und eine Auditierung zu diesem Thema zuzulassen. Als Antwort rieten die Panel-Experten Sicherheitsteams dazu, Cloud-Provider mit anderen Augen zu betrachten.

Man solle nicht unbedingt das Recht auf ein Audit einfordern, hieß es, sondern überlegen, worum es wirklich geht. Laut Archer können auch unabhängige Bewertungen, SOC-Berichte und das STAR-Programm der CSA die nötigen Informationen liefern. „Es gibt andere Möglichkeiten, das Gewünschte zu bekommen, und wenn wir sie nicht nutzen, stehen wir nur im Weg“, sagte er.

Laut Witty werden Governance-Werkzeuge der CSA Organisationen mit der Zeit dabei helfen, ein kontinuierliches Monitoring der Sicherheitsmaßnahmen in der Cloud zu implementieren. „Solche Sachen werden das Recht auf Audits weniger relevant machen“, sagte er. Eine Auditierung beziehe sich ohnehin immer nur auf einen bestimmten Zeitpunkt, „als Branche bewegen wir uns aber in Richtung durchgehender Kontrollen.“

Deaton ist nach eigener Aussage kein großer Freund des traditionellen Audit-Prozesses. Dennoch habe auch Humana Transparenz-Anforderungen. Er empfahl, die Sicherheitspraxis der jeweiligen Cloud-Provider selbst zu untersuchen, insbesondere im Hinblick auf Segmentierung und Isolation von Daten. „Wenn Sie in die Cloud gehen, stellen Sie bitte die richtigen Fragen“, sagte er. Insgesamt seien die Anbieter hier reifer geworden und würden auf Sicherheitsbedenken der Kunden eingehen.

Technologien zur Verringerung von Cloud-Risiken

Aufgrund unterschiedlicher Regulierungsvorgaben ist der Standort von Daten bei Cloud-Sicherheit ein bedeutendes Thema, das die Branche laut Archer jedoch in den Griff bekommen werde. Daten werden stärker bewegt werden, und der Versuch, das zu verhindern, verringere nur die Chancen durch die Cloud, sagte er. „Daten lassen sich schützen, egal wohin sie wandern“, so Archer.

Als Beispiel dafür nannte er Verschlüsselung. Insbesondere vollständig homomorphe Verschlüsselung sei „ein riesiger Schritt in die richtige Richtung. Das ist eine der Lösungen, die Cloud-Computing unterstützen werden“, sagte er. Witty nannte als Möglichkeiten zum Umgang mit Standort-Risiken zusätzlich VM-Tagging und Tokenisierung.

Cloud bringt neue Rollen für Sicherheitsprofis

„Die Cloud bedeutet einen grundlegenden Wandel in der Art, wie Computing betrieben wird“, sagte Archer, „jeder in diesem Raum wird davon betroffen sein.“

Nach der Diskussion wurde er gefragt, wie man sich die Rolle von Sicherheitsprofis im Zuge des Wachstums von Cloud-Computing vorzustellen habe. Seine Antwort darauf: Die Experten müssten wohl ihr Wissen erweitern, unter anderem auf rechtliche und Vertragsfragen, würden aber unverzichtbar bleiben. „Wir sind immer noch die Schrankenwärter“, sagte er.

Erfahren Sie mehr über Datensicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close