Mit Vollgas in die Cloud – aber mit Sicherheitsgurt!

Portrait Wolfgang KurzKeine Frage: Die Zukunft liegt in der Cloud. Doch der Weg dorthin will gut geplant sein – insbesondere im Hinblick auf die Security. Denn oft fehlen in der Wolke die gewohnten Sicherheitsmechanismen. Um unbeschadet durchzustarten, sollten Unternehmen also einen virtuellen Sicherheitsgurt anlegen. Ein Managed Security Service Provider kann dabei wertvolle Unterstützung leisten.

Unternehmen verlagern zunehmend Workloads in die Cloud. Die digitale Wolke lockt nicht nur mit Flexibilität und Skalierbarkeit. Vor allem ermöglicht sie es, Komplexität zu reduzieren und damit das IT-Management zu vereinfachen. Gerade vor dem Hintergrund des anhaltenden Fachkräftemangels ist das ein entscheidendes Argument. Denn IT-Abteilungen sind heute meist knapp besetzt und müssen gut mit ihren Ressourcen haushalten. Gleichzeitig forcieren die großen Software-Hersteller Cloud-Strategien und versuchen Kunden zum Umstieg auf As-a-Service-Angebote zu bewegen. Microsoft treibt dies beispielsweise mit Office 365 voran und wirbt damit, wie einfach die Migration ist. Unternehmen sollten sich dadurch jedoch nicht verleiten lassen, übereilt zu handeln.

In der Praxis beobachten wir jedoch häufig, dass Fachabteilungen oder das C-Level-Management im Alleingang entscheiden, eine Applikation in die Cloud zu verschieben – in der Hoffnung, dadurch schnell ein aktuelles Problem zu lösen. Die IT-Security-Abteilung nicht miteinzubeziehen, kann jedoch fatale Folgen haben. Denn in Cloud-Umgebungen fehlen die gewohnten Sicherheitsmechanismen wie Firewalls und Backup. Während Applikationen On-Premises in der Regel in eine bewährte, gut funktionierende Security-Architektur eingebettet sind, werden sie jetzt aus diesem Öko-System herausgerissen und in eine ungeschützte Umgebung katapultiert. Wer sich vor der Migration nicht sorgfältig um die Absicherung kümmert, geht hohe Risiken ein. Das zeigt das Beispiel des Mietwagenanbieters Buchbinder, der im Januar mit einem der größten Datenlecks in der Geschichte der Bundesrepublik Schlagzeilen machte. Weil das Unternehmen einen Backup-Server nicht ausreichend absicherte, standen drei Millionen Kundendaten frei zugänglich im Netz.

Alle relevanten Abteilungen einbeziehen

Um sicher in die Cloud durchzustarten, sollten Unternehmen die Security von Anfang an mitdenken. Dabei ist es wichtig, alle relevanten Abteilungen mit an Bord zu holen und die Migration sorgfältig zu planen. Neben den Applikationsverantwortlichen sollten die IT-Security- und auch die Netzwerkspezialisten eingebunden sein. Bevor man eine Applikation in die Cloud verschiebt, gilt es genau zu überlegen, wie man dort für einen sicheren Betrieb sorgen kann. Wie sieht es zum Beispiel mit Viren- und Spam-Schutz für Exchange Online aus? Meist lassen sich On-Premises-Security-Lösungen nicht eins zu eins in die Cloud übertragen, sodass man nach Alternativen suchen muss. Reicht außerdem die Bandbreite für den Cloud-Zugriff aus? Denn wenn plötzlich alle Mitarbeiter Exchange Online nutzen, vervielfacht sich der Traffic.

Das passende Backup-Konzept entwickeln

Eine zentrale Rolle für einen sicheren Betrieb von Applikationen in der Cloud spielt das Thema Backup. Denn anders, als viele Kunden vermuten, sichert die Cloud nicht automatisch Daten. Unternehmen müssen sich also selbst um eine Backup-Lösung kümmern und überlegen, wie viel Datensicherheit sie benötigen. Microsoft bietet zwar ein rudimentäres, integriertes Backup für seine Services an. Das entspricht aber nicht den Möglichkeiten und dem Komfort der bisherigen Enterprise-Lösung. Außerdem stellt sich die Frage: Wo möchte man sensible Daten überhaupt sichern? Von Cloud zu Cloud oder doch lieber im eigenen Rechenzentrum? Auch davon hängt das Backup-Konzept ab. Dabei sollte man an die Kosten für den Datentransfer denken. So ist es zum Beispiel meist erheblich teurer, Daten aus der Cloud ins Rechenzentrum zu übertragen als umgekehrt.

Verfügbarkeit in der Cloud variiert stark

Ein weiterer Irrtum ist die Annahme, die Cloud sei grundsätzlich immer verfügbar. Alle Cloud Infrastrukturen bauen auf Rechenzentren auf. Zwar gibt es einige Verfügbarkeits-Layer, die Cloud-Anbieter einziehen. Dennoch kann es zu Ausfällen kommen, wie es in der Vergangenheit bereits des Öfteren geschehen ist. Je nach Angebot variiert die Verfügbarkeit stark. Die günstigen Einsteigertarife liegen in der zugesicherten Verfügbarkeit meist unter den Erwartungen und Anforderungen. Viele Systeme, die im eigenen Rechenzentrum als Cluster betrieben werden, lassen diese Option in der Cloud nicht zu. Spätestens beim ersten Update werden Unternehmen dann mit Downtimes konfrontiert. So ist die Überraschung oft groß, wenn Applikationen in der Cloud weit weniger verfügbar sind als dies in der Vergangenheit im eigenen Rechenzentrum der Fall war. Daher sollte auf die Verfügbarkeit der Cloud Services geachtet und die SLAs der Provider genau geprüft werden. Denn nicht alle Angebote sind automatisch hochverfügbar – hier gibt es erhebliche Unterschiede.

Zugangskontrollen und Compliance mitdenken

Ein weiterer wichtiger Punkt sind Zugangskontrollen. Denn zunächst einmal ist in der Cloud alles offen beziehungsweise nur mit statischen Passwörtern gesichert. Unternehmen müssen selbst mit zusätzlicher Absicherung dafür sorgen, dass nur berechtigte Nutzer und Applikationen auf Daten zugreifen können. Dabei sollten sie auf sichere Passwörter achten und zusätzlich auf Zwei-Faktor-Authentisierung setzen. Zudem muss genau geplant werden, welche Freischaltungen in der Firewall nötig sind. Fehlkonfigurationen und Standard-Passwörter sind schon im lokalen Netzwerk gefährlich. In der Cloud aber können sie fatal sein, weil sie Hackern Tür und Tor öffnen.

Eng mit dem Thema Zugangskontrollen verbunden sind Compliance- und Datenschutzfragen. Vielleicht haben Unternehmen eine Vereinbarung zur Auftragsdatenverarbeitung mit ihren Kunden, die eine Migration in die Cloud von vornherein verbietet. Vielleicht geht es auch um medizinische Daten, deren Verarbeitung in der Cloud aufgrund ihrer Sensibilität eine besondere Herausforderung darstellt. Solche Daten lassen sich zum Beispiel mit Ende-zu-Ende-Verschlüsselung in der Cloud verarbeiten. Dabei ist es entscheidend, dass das Schlüsselmanagement im eigenen Haus bleibt und nicht in der Cloud liegt.

So kann ein MSSP unterstützen

Viele Unternehmen sind mit der Komplexität, die die Absicherung der Cloud mit sich bringt, überfordert, da sie weder die zeitlichen noch die personellen Ressourcen haben, sich tiefgehend mit der Thematik zu befassen. Ein Managed Security Service Provider (MSSP) kann sowohl bei der Planung der Cloud-Migration als auch im Nachgang helfen und zum Beispiel die passenden Firewalls installieren und konfigurieren. Er verfügt über spezialisiertes Know-how und ein breites Portfolio an etablierten Security-Lösungen. Dadurch ist er in der Lage, geeignete Produkte auszuwählen und eine Sicherheitsinfrastruktur in der Cloud aufzubauen, die mit der On-Premises-Umgebung vergleichbar ist. Zudem macht der MSSP die Kosten, die durch die Sicherheitslösungen entstehen, transparent und kalkulierbar. So lauern keine bösen Überraschungen.

Fazit: Erst die Security planen – dann migrieren

Viele Unternehmen stellen am Ende fest, dass die Cloud nicht billiger ist, als IT-Systeme im eigenen Rechenzentrum zu betreiben. Auch die Migration ist nicht ganz so einfach, wie die großen Anbieter versprechen. Trotzdem bringt die Cloud viele Vorteile und ist das Modell der Zukunft. Unternehmen sollten jedoch nicht übereilt handeln, sondern den Weg dorthin genau planen und die Security von Anfang an mitdenken. Zentrale Themen sind Backup, Zugangskontrollen und Verfügbarkeit. Ein MSSP hilft dabei, passende Konzepte und Lösungen zu entwickeln. Wenn Unternehmen diesen „Sicherheitsgurt“ anlegen, können sie mit Vollgas in die Cloud starten und deren Potenzial ohne unnötige Risiken ausschöpfen.