Das Angebot von Cloud Service Providern ist für viele Unternehmen zum festen Bestandteil der IT-Ressourcen geworden. Eine Kernanforderung: Cloud-Sicherheit.
Cloud-Technologien, Cyber-Kriminalität und neue Vorschriften entwickeln sich in atemberaubendem Tempo parallel zueinander. Entsprechend verändert sich auch die Sicherheitslandschaft rasend schnell. Besonders deutlich lassen sich diese Veränderungen an der Art und Komplexität der Sicherheitsbedrohungen ablesen bzw. daran, wie sich diese entwickelt haben. Die Hacker-Industrie hat ein erstaunliches Niveau an Perfektion und Professionalität erreicht. Große kriminelle Organisationen sind entstanden, die mit dem Diebstahl, der Überwachung, der Verschlüsselung und Manipulation von Daten Gewinne erzielen. Mit dem Datenklau lässt sich zum Teil ordentlich verdienen, und die Methoden sind vielfältig. Mal wird Lösegeld für die Rückgabe sensibler Daten verlangt, mal werden wertvolle Informationen an Dritte verkauft oder aber die Daten werden direkt für eigene illegale Geschäfte genutzt. Hinzu kommt, dass diese Straftaten häufig nicht geahndet werden können und die Täter straffrei ausgehen. All das macht den Handel mit gestohlenen Daten zu einem lukrativen und vergleichsweise risikoarmen Geschäft für kriminelle Banden.
Technische Sicht
Aus technischer Sicht wird das Sicherheitsproblem dadurch verschärft, dass die Zahl der Endgeräte immer weiterwächst. Diese bieten Cyber-Kriminellen zusätzliche Angriffspunkte, die noch dazu häufig nicht ausreichend geschützt sind. Haben sich Hacker erst einmal Zutritt verschafft, können sie relativ unkompliziert auf Daten zugreifen oder Nachrichten abfangen. Die Daten am Netzwerkrand befinden sich in der Regel außerhalb der Kontrolle des Dienstleisters (CSP; Cloud Service Provider/ Cloud-Service-Anbieter). Umso größer ist die Gefahr, denn vom Endgerät können die Daten schnell in das System des Providers gelangen. Mit der Entwicklung und Verbreitung neuer Technologien entstehen auch neue Verfahren, die diese Technologien schützen sollen. Leider erzielen diese Verfahren nicht immer das gewünschte Ergebnis. Es gibt nur wenige Sicherheitslösungen, die viele verschiedene Arten von Angriffen abwehren können, und häufig müssen CSPs ihre Systeme mithilfe mehrerer Produkte schützen, die jeweils auf eine ganz bestimmte Bedrohung ausgerichtet sind.
Gesetzliche Richtlinien
Natürlich spielen auch Veränderungen der gesetzlichen Richtlinien für CSPs eine Rolle, wenn es um Sicherheit geht. Eine der am stärksten diskutierten neueren Vorschriften ist die Datenschutz-Grundverordnung der Europäischen Union (DSGVO), die seit dem 25. Mai 2018 wirksam ist. Die Verordnung legt erstmals fest, dass alle Instanzen, die Daten von EU-Bürgern be- bzw. verarbeiten, zu gleichen Teilen für die Sicherheit dieser Daten verantwortlich sind. Zuvor lag die alleinige Verantwortung bei der Organisation, der die Daten gehören bzw. die darüber verfügt. Bei Nichteinhaltung droht CSPs im Falle einer Datenschutzverletzung eine Strafe von bis zu 4 Prozent des Jahresumsatzes bzw. 20 Millionen Euro – plus eine angemessene Entschädigung für alle, deren Datenschutzrechte verletzt wurden. Die DSGVO verlangt außerdem, dass personenbezogene Daten in bestimmten Ländern gespeichert werden. Das setzt voraus, dass nachvollziehbar ist, in welchem Land sich die einzelnen Daten jeweils befinden – keine einfache Sache für internationale IaaS-Provider.
Anforderung an CSPs: Sicherheitsoptimierung
Die virtuellen Sicherheitsbedrohungen werden nicht nur immer komplexer, Angriffe aus dem Cyberspace reichen auch immer weiter in den Verarbeitungs-Stack hinein und verlagern sich von der Soft- auf die Hardware. CSPs müssen sich die grundsätzliche Frage stellen, inwieweit die bisherigen Methoden zur Sicherung der heutigen Systeme überhaupt noch geeignet sind. Perimeter-basierte Sicherheitsmodelle, wie Datenklassifizierung und Firewalling, sind längst überholt und bieten gegen neuartige Bedrohungen keinen ausreichenden Schutz. Um Workloads heute und in Zukunft erfolgreich zu schützen, ist eine umfassende Sicherheitsstrategie erforderlich, die alle Schichten des Verarbeitungs-Stacks einbezieht.
CSPs sollten Systeme entwickeln, die von vornherein auf größtmögliche Sicherheit ausgelegt sind. Dazu sollten sie eine Sicherheits- oder Vertrauenskette („chain of trust“) schaffen, die Hardware-basiert ist und sich lückenlos vom Systemkern bis nach außen durchzieht. Die Cloud-Plattformen der neuen Generation bieten umfassende, Hardware-gestützte Lösungen, mit denen CSPs für größtmögliche Sicherheit sorgen können, zum Beispiel:
- Aufbau einer Hardware-basierten Vertrauenskette, die sich durch die gesamte Plattform zieht.
- Die Plattformsicherheit mithilfe von Prozessor-, Chipsatz-und BIOS-Erweiterungen erhöhen, die die Startumgebung überwachen.
- Mithilfe von Analytics die kontinuierliche Überwachung der Systeme sicherstellen.
Forderungen der Kunden
Anwender haben ganz klare Anforderungen an ihre Cloud Service Provider und eine sicherheitsoptimierte Cloud-Infrastruktur:
- „Root of Trust“: Plattformen mit Hardware-basierten Vertrauenspunkten.
- Eine lückenlose Verschlüsselung.
- Einsatz von Analytics für Transparenz und Kontrolle.
