Nachrichten > “Verzicht auf die Cloud – kein gangbarer Weg!”

“Verzicht auf die Cloud – kein gangbarer Weg!”

teaser“Verzicht auf die Cloud – kein gangbarer Weg!”

Im Interview mit itsecurity-xpert.com spricht Thomas Hemker, Sicherheitsstratege bei Symantec, über einen zeitgemäßen Weg in die Cloud und Cloud Security.

 

In vielen Unternehmen ist es bereits eine Selbstverständlichkeit in der Cloud zu arbeiten. Bei kleineren Unternehmen scheint es aber noch eine gewisse Unbehaglichkeit zu geben, was das Speichern von Daten in der Cloud angeht. Können Sie diese Bedenken verstehen?

Die Bedenken kann man natürlich verstehen, denn durch das Speichern in der Cloud gibt man gefühlt Kontrolle ab. Die Frage ist natürlich, ob diese Kontrolle vorher überhaupt wirklich gegeben war. Fakt ist, dass die meisten Cloudanbieter inzwischen wesentlich sicherere Rechenzentren haben als normale Unternehmen. Das betrifft die physische Sicherheit ebenso wie die Ausfallsicherheit.

 

Ist die Cloud anfälliger für Datendiebstähle als lokale Speicher?

Allgemein lässt sich das nicht beantworten. Natürlich hat man insgesamt eine größere Angriffsfläche, weil ich von A nach B Daten „transportieren“ muss, die ich vorher nicht transportieren musste. Diesen Transportweg muss ich natürlich absichern. Auf der anderen Seite: Wie sicher war bisher die Speicherung lokal – gegen physische und digitale Angriffe? Und wie groß ist diese Sicherheit bei dem Cloud-Anbieter? Die meisten Unternehmen erhöhen ihre Sicherheit drastisch, wenn sie zu einem zertifizierten und vertrauenswürdigen Cloud-Anbieter gehen.

 

Dann lassen Sie uns doch tiefer ins Detail einsteigen. Welche Überlegungen sollte ein Unternehmen anstellen, das komplett oder zumindest in Teilen in der Cloud arbeiten möchte?

 

Man hat in der Vergangenheit an verschiedenen Beispielen gesehen, dass der Weg in die Cloud oftmals an der IT-Abteilung oder IT-Security-Abteilung vorbeigelaufen ist. Das entscheidet oft die Vertriebsmannschaft oder Marketinggruppe aus rein wirtschaftlichen Überlegungen heraus. Viele Abteilungen sind in dieser Hinsicht reifer geworden. Man versucht verstärkt die IT-Abteilung und die IT-Security-Abteilung einzubinden. Die IT Security-Verantwortlichen sollten zumindest eine Art Assessement machen. Ob das dann am Ende eine Public Cloud oder eine Private Cloud ist, hängt in erster Linie vom Einsatzzweck ab. Zuerst sollte man aber überprüfen, welche Cloud-Dienstleister überhaupt genutzt werden. Eine Lösung wie unser Cloud Access Security Broker könnte da hilfreich sein. Die meisten glauben, dass sie vierzig oder maximal hundert Dienste nutzen. In vielen Fällen geht die Zahl aber eher in Richtung tausend – das erfahren wir über die Logfiles der Firewalls. In solchen Fällen muss man natürlich fragen, ob das alles wirklich notwendig ist. Und diese Einschätzung kann unsere Lösung zusammen mit der Risikobewertung der einzelnen Cloud-Anbieter vornehmen. Am Ende kommt dabei eine Liste mit priorisierten oder empfohlenen Clouddiensten heraus, die für bestimmte Einsatzzwecke genutzt werden. Für die meisten wird dadurch klar, dass man eben einen Public Cloud-Dienst für den Dateiaustausch nutzen sollte und nicht zehn, zwanzig oder hundert. Bei den größeren Unternehmen und bei vielen kleineren wird es wahrscheinlich auf einen hybriden Ansatz hinauslaufen.

 

Jetzt haben Sie den Entscheider und den Entscheidungsprozess bereits angesprochen. Doch viele KMU verfügen vielleicht gar nicht über einen eigenen CIO oder CISO. Wie ist das fehlende Know-how auf Management-Ebene auszugleichen?

 

Das Wissen, die richtigen Entscheidungen treffen zu können, sollte man auf jeden Fall aufbauen. Das ist sogar noch wichtiger, als alles selber machen zu können. Dafür würde man nämlich mehr Fachleute brauchen, die am Markt noch gar nicht verfügbar sind. Aber man muss natürlich trotzdem in der Lage sein, verschiedene Cloud-Anbieter sowohl von der technischen, als auch von der vertraglichen Seite bewerten zu können. Ich würde also eher die Kapazitäten im Bereich Risikobewertung und Risikomanagement aufbauen und dafür weniger in eigene technische Expertise investieren.

 

Das Arbeiten in der Cloud hat ja sehr viel mit Flexibilität und der Arbeit von jedem Ort zu jedem Zeitpunkt zu tun. Mitarbeiter, die die Public Cloud nutzen, tun dies womöglich auch von ihren privaten Geräten aus. Ist die Nutzung von privaten Endgeräten in der Public Cloud problematisch?

Zum einen spielt da natürlich die Sicherheit der privaten Endgeräte eine Rolle. Die kann man nicht in dem Maße beeinflussen, wie man es in einem zentral verwalteten Unternehmen kann. Deshalb braucht man eine Zwischenschicht zwischen der Public Cloud und den Endgeräten. In dieser Zwischenschicht muss dann unterschieden werden, ob ein bestimmter Nutzer auf die Daten zugreifen darf. Wenn ja, muss das mit einem zweiten Faktor nochmal bestätigt werden – mit einem Fingerabdruck zum Beispiel. Und dann kann man per Richtlinie festlegen, was aus der Zwischenschicht in den lokalen Speicher geladen werden darf und was nicht. Man hat neben dem technischen also auch einen organisatorischen Part. Technisch gesehen kann man diese Herausforderung also bewältigen.

 

Wenn ich also all das möchte, diese Mobilität und Verfügbarkeit, aber trotzdem der Cloud misstraue. Gäbe es denn irgendwelche Alternativen?

Dann hat man eigentlich nur die Chance eine eigene Cloud aufzusetzen. Aber die bietet eben nicht die komplette Agilität. Ich kann natürlich das, was ich schon habe, mit einem Cloud-Betriebssystem effektiver nutzen, weil man brachliegende Rechenkapazitäten auch für bestimmte Anwendungen dazuschalten kann. Dem Cloud-Anbieter zu vertrauen bedarf natürlich zunächst einer vernünftigen vertraglichen Situation, dann einer Sicherheitsüberprüfung. Ein kompletter Verzicht auf die Cloud ist eigentlich fast kein gangbarer Weg. Denn allein durch Einsatz von vernetzten Arbeitsmaschinen hängen wir fast zwangsläufig an der Cloud.

 

Herzlichen Dank Thomas Hemker für dieses aufschlussreiche Interview!

Datum: 10 January 2018, 14:01 pm
Weiterlesen:
Wettbewerb um Talente im digitalen Zeitalter
Digitalisierung im Mittelstand - Daten analysieren und fundiert Entscheidungen treffen
Digitalisierung im Mittelstand - Industrie 4.0 erfolgreich gestalten
In der Cloud entscheiden und direkt handel
Tipps für die Bewertung Ihrer SD-WAN-Optionen
Ihr Leitfaden für das Multi-Cloud-Netzwerk
Strategie für die zukunftssichere Investition in Rechenzentrum und Cloud
Sicheres Arbeiten in Clouds und Collaboration-Tools
business-iq.net
Nachrichten
Themen
Whitepaper
Über uns
B2B Media Group
Rechtsinformation
Datenschutz
Herunterladebedingungen
Werbung
Kontakt
E-Mail
Pressekontakt
Redaktion
Beitrag leisten
© 2024 B2B Media Group GmbH, München. Alle Rechte vorbehalten.