Wie sicher ist die Cloud?
Viele Unternehmen sind misstrauisch gegenüber der Cloud.
Was spricht dafür / was dagegen?
Beginnen wir
- 1 Cloud – ein neuer Trend?
- 2 Pro – Sicherheit in der Cloud
-
3
Contra – Hackerparadies in der Cloud
- 3.1 #1 Single Point of Failure
- 3.2 #2 Verlust der Datenhoheit
- 3.3 #3 Die Cloud glänzt nicht mit Datenschutz
- 3.4 #4 Angebote bestehen nicht ewig
- 3.5 #5 Hackers liebste Zielscheibe
- 3.6 #6 Preisabhängigkeit und Vendor Lock-in
- 3.7 #7 Abhängigkeit von der Internetleitung
- 3.8 #8 VPN Pflicht
- 3.9 #9 IT-Sicherheit muss im Unternehmen passieren
Cloud – ein neuer Trend?
Cloud ist ein Begriff, den die Marketingabteilungen von großen Tech-Konzernen in den letzten Jahren geprägt haben, obwohl das technische Konzept alt ist:
Vor dem Personal Computer (PC) stand nur ein Zentralrechner im Keller des Unternehmens, der „echte“ Rechenpower hatte. Jeder Nutzer besaß einen „dummen“ Client, der nur die Tastaturanschläge zum Zentralrechner übermittelt hat.
Der Zentralrechner verarbeitet die Eingaben und sendet die Antwort zum Client zurück.
Trend – Chance oder Gefahr
Wenn ein neuer Trend aufpoppt, sollten die Unternehmen der Masse niemals bedingungslos folgen.
Steffen Lippke
Die Marketingabteilung locken die Unternehmen mit einem trendy klingenden Buzzword-Bingo an:
Treffe eine begründete Entscheidung.
Viele vergessen auch, dass man nicht komplett in die Cloud „umziehen“ muss. Du kannst unternehmenskritische Anwendungen auf dem lokalen Server belassen, während Deine Unternehmenswebseite in der Cloud liegt.
Steffen Lippke
Pro – Sicherheit in der Cloud
Die folgenden Argumente sollen das Pro und Contra bezüglich IT-Sicherheit und Cloud darstellen. Wirtschaftliche Gründe und Engpässe beim IT-Sicherheitspersonal können die Migration in die Cloud verführerisch machen.
#1 Physische Sicherheit der Rechenzentren
Die Cloud ist nicht nur mit Passwörtern geschützt, sondern dessen Server stehen in Hochsicherheitsgebäuden mit Kameras und Biometrie-Türen. Nur ausgewählte System-Admin mit einer lupenreinen Vergangenheit dürfen dort arbeiten, um z. B. Festplatten auszutauschen.
Selbst die CEOs haben kein Zugang zu den Serverräumen, weil sich sonst Imitatoren (Schauspieler) einschleichen könnten.
#2 Höhere Ausfallsicherheit
Die Cloud bietet mehr Redundanzen und weniger Dateiverlustrisiko.
Die Server sind weltweit verteilt, sodass das Aufrufen wie bei einem Content Delivery Network deutlich schneller geht. Die Cloud-Anbieter nutzen dazu ein RAID-System, mit deren Sie weltweit verteilte Kopien der Festplatten anlegen. Brennt eine Festplatte oder Rechenzentrum ab, sollte immer noch eine exakte Kopie auf der anderen Seite der Welt existieren.
#3 IT-Sicherheitssorgen „auslagern“
Kleine und Mittelständige (und einige große) Unternehmen haben keine Experten für die IT-Sicherheit.
Statt sich Personal zu beschaffen, die einen sicheren Server aufsetzen, bietet die Cloud für jede Unternehmensgröße Sicherheit. Weil IT-Sicherheitspersonal ein rares Gut ist, kommen die KMUs nur schwer an das gewünschte Wissen.
#4 Populäres Bug Bounty Programm
Viele Ethical Hacker arbeiten für die großen Cloud-Anbieter, um Sicherheitslücken vor den echten Hackern zu finden. Ein kleines Unternehmen wird kaum genügend Hacker mit einem Bug Bounty Programm finden und bezahlen können.
#5 Erweiterte und ausführlichere Überwachung
Ein Security Operations Center (Abteilung in der IT) kann mit einem Sicherheits-, Informations- und Event-Management Software (SIEM) gefährliche Ereignisse (Hacks) entdecken. Diese Ereignisse verarbeitet eine Security Orchestration Automation und Response Software, die das Eindringen des Hackers unterbindet.
Flippig ausgedrückt: Der Aufbau diese „Hacker-Sonars mit automatischer Abschussanlage“ kann Jahre dauern und das Security Operations Center sollte rund um die Uhr die Systeme überwachen.
Steffen Lippke
Viele Cloud-Anbieter bieten einen solchen Service an, welches ein kleines Unternehmen nicht leisten kann.
#6 Wirtschaftlichkeit der Sicherheit
Der Aufbau eines SIEM, SOARs und SOC braucht mehrere Jahre, bis die Systeme alle Datenquellen nutzen und korrekt verarbeiten. Die Mengen-Kosten-Einsparung in der Cloud sinken, je größer die benötigte Rechenkapazität und Speicherkapazität ist.
#7 Echter DDoS-Schutz
Weil die Cloud-Anbieter Server-Farmen zu Verfügung haben, können diese DDoS-Angriffe besser und effektiver abwehren als eine On-premise Lösung.
DDoS-Schutz ist separat für die bestehenden On-premise Lösung erhältlich. Die eingehenden Anfragen werden über einen Cloud-Anbieter geroutet und gefiltert. Der eigentliche Dienst liegt auf dem On-premise Server.
Contra – Hackerparadies in der Cloud
Jede Option hat Vorteile und Nachteile …
#1 Single Point of Failure
Das größte Risiko der Cloud ist der Single Point of Failure.
Steffen Lippke
Wenn der Cloud-Anbieter X gehackt ist, dann sind alle Kunden von X gehackt.
Branchenübergreifend und unabhängig von der Unternehmensgröße sind alle Kunden betroffen (Veröffentlichungen von Kundendaten der Kunden, Patente und Passwörter Leaks).
#2 Verlust der Datenhoheit
Wenn ein Unternehmen ihre IT in Cloud verlagert, gibt das Unternehmen die Macht über ihr Wissen / Intelligenz ab. Die Unternehmensdaten, Infrastruktur und Anwendung halten viele moderne Unternehmen am Laufen.
Wenn ihr Cloud-Anbieter ihr Geschäft als „unethisch“, „unsozial“ oder anderen Gründe ansieht, kann der Cloud-Anbieter seine Dienste verweigern (Hahn von heute auf morgen abdrehen).
Mein Server. Meine Daten. Meine Kontrolle.
Mein Schatz!
#3 Die Cloud glänzt nicht mit Datenschutz
Das Gesetz macht strenge Vorgaben bezüglich der Datensicherheit und Privatsphäre.
Der Cloud-Anbieter muss DSGVO-konforme Lösungen zu Verfügung stellen. Das Unternehmen haftet, wenn der Cloud-Anbieter Regeln missachtet.
Selbst wenn sich das Unternehmen gerichtlich gegen den Cloud-Anbieter durchsetzen kann, ist der Ruf des Unternehmens verloren. Viele Cloud-Anbieter sitzen in der USA (oder haben ihre Rechenzentren dort), was dazu führt, dass die NSA (in)offiziell auf die Daten Zugriff hat.
#4 Angebote bestehen nicht ewig
Was passiert, wenn der Cloud-Anbieter Pleite geht? Viele Unternehmen sichern sich lange Verträge und bauen die Infrastruktur nur bei einem Anbieter auf.
#5 Hackers liebste Zielscheibe
Hacker lieben die Cloud.
Statt nur 1 Unternehmen mit den erbeuteten Kundendaten zu erpressen, hacken die Hacker lieber die 1 Cloud-Anbieter. Jetzt können Sie 1 Cloud-Anbieter und 1000x Kunden erpressen
Das Worst-Case Szenario ist, dass es ein Hacker schafft aus einer virtuellen Maschine auszubrechen und Root-Rechte über den Hypervisor erhält. Der Hypervisor managet alle virtuelle Maschinen alle Kunden.
#6 Preisabhängigkeit und Vendor Lock-in
Was macht ein Unternehmen, wenn der Cloud-Anbieter die Preise von heute auf morgen verdoppelt?
Die ganze Infrastruktur liegt bei 1 Anbieter… die Kosten könnten explodieren.
Ein Transfer zu dem nächsten Anbieter ist auf die Schnelle nicht möglich, weil die ihr Unternehmen anbieterspezifischen Code und Konfigurationen nutzt. Sie müssen bei 0 beginnen.
#7 Abhängigkeit von der Internetleitung
Internet ist in einer Großstadt eine Selbstverständlichkeit.
In den ländlichen Regionen ist Deutschland schlechter aufgestellt als viele Entwicklungsländer.
Ist ein Unternehmen mit ausgelagerter IT überhaupt noch fähig zu arbeiten, wenn ein unachtsamer Bauarbeiter das falsche Rohr durchtrennen?
Ein eigener Server bedeutet …
- Autonomie von der Deutschen Telekom
- Kabel-Sicherheit
- Viel höhere Geschwindigkeiten bis 44.000 GB/s pro Sekunden
#8 VPN Pflicht
Ohne VPN können sich das Unternehmen nicht sicher mit ihrer Cloud verbinden. Das VPN reduziert die Bandbreite und ist ein weiterer Störfaktor. Der Kanal zu dem Cloud-Anbieter ist per se unsicher, weil die Signale über das Internet geroutet werden.
#9 IT-Sicherheit muss im Unternehmen passieren
Wenn Sie sich entscheiden Security Experten in ihrem Unternehmen einzustellen, dann haben sie das Wissen im Unternehmen.
Die Cloud-Provider bieten oft nur einen sicheren Rahmen und verbessern nicht ihre unsicheren Anwendungen.
Ein Experte im Unternehmen kann diese Risiken erkennen und sichere Alternativen vorschlagen. Der Cloud-Provider führt aus. Die Cloud-Anbieter reiben dem Unternehmen noch IT-Sicherheitsberater unter die Nase, die sie mit einer Festanstellung wesentlich günstiger erhalten.