Security im Multi-Cloud-Umfeld
Quelle: © iStock.com/weerapatkiatdumrong Posted on von Cloud Computing | Management | Sicherheit

Security im Multi-Cloud-Umfeld

Schmale Budgets, große Gefahren: In der IT-Sicherheit haben viele Unternehmen Nachholbedarf. Security-Experte Gerald Fehringer berichtet im Interview über aktuelle Herausforderungen und gibt Tipps, wie sich Firmen im Multi-Cloud-Zeitalter besser absichern können.

DWW: Herr Fehringer, Business-IT entwickelt sich bei vielen Unternehmen aktuell zu einer Kombination aus selbstbetriebener Infrastruktur, die mit Komponenten aus Public und Private Cloud kombiniert werden. Noch dazu werden häufig Lösungen unterschiedlicher Anbieter verknüpft – eine Multi-Cloud-Umgebung entsteht. Welche Herausforderungen ergeben sich daraus in Hinblick auf die Security?

Gerald Fehringer: Die IT entwickelt sich in der Tat weiter, aber die Herausforderungen bleiben die Altbekannten. Ich beschäftige mich jetzt seit fast zwei Jahrzehnten mit IT Security. Die Themen sind immer die gleichen, nur der Fokus verschiebt sich. Top-Thema Nummer eins ist aktuell der Datenschutz. Sprich: Welche Daten darf ich in welchem Cloud-Modell speichern und verarbeiten – da herrscht im Moment große Unsicherheit und Unwissenheit.

DWW: Viele propagieren gerade mit Blick auf die Datenschutzgrundverordnung, die für 2018 rechtsverbindlich wird, ausschließlich auf deutsche Anbieter mit Rechenzentren in Deutschland zu setzen. Wie sehen Sie das?

Fehringer: Das ist aus meiner Sicht viel zu kurz gesprungen. Man muss es differenzierter sehen. Als erstes sollten Unternehmen identifizieren, welche Workloads sinnvoll in die Cloud sollten. Dasselbe gilt für den Datenschutz. Man muss sich anschauen: Welche Art von Daten habe ich überhaupt, wo liegen sie und wer greift alles darauf zu? Dazu gehört eine klassische Risikoabwägung. Das heißt: Erst analysieren, was im Unternehmen wie und wo abliegt und was damit gemacht wird.

DWW: Je nach Unternehmensgröße kann das ganz schön kompliziert werden, oder?

Fehringer: Das hört sich immer komplexer an als in der Praxis. Man kann mit einfachen Mitteln innerhalb weniger Tage eine Datenklassifizierungsmatrix erstellen und damit einen guten Überblick über die Daten in den jeweiligen Fachabteilungen erhalten. Und auf dieser Basis dann entscheiden, ob und welche Daten in die Public Cloud dürfen, welche inhouse bleiben und welche zu einem trusted Hoster können.

DWW: Wie gehen Sie bei der Analyse vor?

Fehringer: Wir schauen uns in der Regel erst einmal das Organigramm eines Unternehmens an und verschaffen uns darüber ein Bild: Wo sind die Fachabteilungen aufgehängt und welche Services werden genutzt? So gewinnen wir eine Basis-Systemlandkarte. In der Regel sind es immer die gleichen Datenablagen: klassische Fileserver, Datenbanken – und dann haben wir oft eine dritte Unbekannte wie E-Mail-Server oder andere Collaboration-Tools, von denen keiner so genau weiß, was darüber eigentlich läuft. Wenn man das einmal geklärt hat, wird das Ganze relativ überschaubar und man bekommt sehr schnell ein Kommunikationsbild der wichtigen Unternehmensdaten.

DWW: Abgesehen vom Datenschutz – welche Herausforderungen gibt es noch?

Fehringer: Das Betriebsmodell ist ein hochkritischer Aspekt. Oft sind Unternehmen damit überfordert, die gesamte IT-Infrastruktur adäquat zu überwachen. Hier herrscht vielerorts Chaos, weil die öffentlichen Clouds alle ihre eigenen Schnittstellen für die Überwachung haben, die eigentlich völlig losgelöst von den klassischen Security Operations laufen. Die gesamte Struktur, also alle Clouds in ein Security-Modell zu integrieren, ist aktuell eine hehre Herausforderung für fast alle Unternehmen. Aber es hilft nichts: Um sauberes Security und Identity Management zu betreiben, muss ich jede einzelne Cloud individuell in mein Monitoring integrieren.

DWW: Welche technischen Möglichkeiten gibt es, um sich einen Überblick über die im Unternehmen genutzten Cloud-Dienste zu verschaffen?

Fehringer: Next Generation Firewalls sind hier ganz klar die neuralgischen Punkte, die bei Unternehmen ja bereits flächendeckend im Einsatz sind. Mit einschlägigen Firewall-Reports ermöglichen sie, ein klareres Bild der genutzten Clouddienste aufzuzeigen. Das ist der erste Ansatzpunkt, um eine Sichtung durchzuführen. Zudem dienen auch zentrale Web-Proxies, um entsprechende Clouddienste zu identifizieren, etwa Dropbox, Office 365 oder ähnliches.

DWW: Ab welchem Cloud-Komplexitätsgrad benötigen Unternehmen professionelle Hilfe von einem Dienstleister?

Fehringer: Das beginnt bereits bei einem Start-up mit fünf Leuten. Egal, ob ich nur eine Cloud oder viele verschiedene nutze – ein falscher Haken an zentralen Sicherheitseinstellungen kann später massive Auswirkungen haben. Daher sollte schon zu Beginn auf entsprechende Expertise zurückgegriffen werden.

DWW: Zum Beispiel?

Fehringer: Da gibt es Unzählige. Ein Beispiel ist OneDrive for Business. Das ist ein Feature von Office 365, mit dem Administratoren festlegen können, wie Dateien im Unternehmen geteilt werden dürfen. Standardmäßig erlaubt es, Dateien mit jedem zu teilen; auch außerhalb der Organisation. Das ist natürlich hochkritisch. Und das nur, weil bei den Einstellungen zwei oder drei Häkchen vergessen wurden. Solche Stolperfallen gibt es hundertfach – und damit ein entsprechend hohes Fehlerpotential. Hinzu kommt: Die IT ist bereits mit Legacy-Betrieb ausgelastet, sodass sie einfach kaum noch hinterherkommt, auch noch ein einheitliches Cloud-Sicherheitskonzept umzusetzen. Das heißt, die meisten brauchen dringend einen Partner, der ihnen dabei hilft, up to date zu bleiben sowie konkrete Unterstützung bei der Umsetzung.

DWW: Wie gut sind deutsche Unternehmen generell im Bereich Security aufgestellt?

Fehringer: Das ist branchenabhängig. Im Retail- und Logistikbereich sind die Margen enorm schmal, da wird entsprechend weniger in IT-Security investiert. Während Versicherungen und Banken naturgemäß einen viel größeren Wert darauf legen – schon allein aus Compliance-Gründen. Grundsätzlich sind viele Unternehmen aber schon ganz gut aufgestellt. Nur fehlt meines Erachtens noch immer ein Bewusstsein für die klassischen Fehler, die eigentlich jeder kennt, die aber trotzdem immer wieder begangen werden. Zum Beispiel unsichere Passwörter, die leicht zu knacken sind, oder Mitarbeiter, die versehentlich Schadsoftware installieren. Die Top 10 der Sicherheitslücken hat sich in meinem gesamten Berufsleben praktisch nicht verändert; höchstens die Reihenfolge innerhalb der Top 10. Es sind immer die Standard-Schwachstellen, die schon seit Jahren ausgenutzt werden.

DWW: Das hört man immer wieder. Woran liegt das?

Fehringer: Viele Unternehmen stehen einfach unter enormem Kostendruck. Da sind Features und Time-to-Market wichtiger als das Security-Konzept, das allgemein als Projekt-Showstopper wahrgenommen wird. Und deshalb fehlen der Unternehmens-IT häufig schlicht die Ressourcen, weil sie nicht als wichtig genug angesehen werden. Aus meiner Sicht ein fataler Fehler, der zum Bumerang werden kann, wie die regelmäßigen Datenlecks und Verschlüsselungstrojaner aufzeigen.

DWW: Herr Fehringer, vielen Dank für das Gespräch!

 

Gerald Fehringer beschäftigt sich bereits sein gesamtes Berufsleben mit IT Security. Nach diversen Stationen als IT-Sicherheitsexperte und Cloud-Architekt bei Systemhäusern und IT-Unternehmen berät Fehringer als Leiter Multi Cloud Consulting heute Mittelständler für die QSC AG unter anderem zu Sicherheitsfragen im komplexen Multi-Cloud-Umfeld.

zurück zur Startseite

Kommentar

Wenn Sie die E-Mail-Adresse eingeben, die Sie bei Twitter oder Gravatar verwenden, erscheint Ihr Bild neben dem Kommentar.

mit * gekennzeichnete Felder sind Pflichtfelder. Sie erhalten zur Freischaltung ihres Kommentars eine E-Mail. Ihre E-Mail-Adresse wird nicht veröffentlicht.