Zuletzt aktualisiert: Fr, 22. November 2019
Die Wolke liegt total im Trend. Egal, wo man sich in der IT-Branche umhört, seit Kurzem dreht sich alles nur noch um die Cloud. Jeder will dabei sein, frei nach dem Motto „In ist, wer drin ist“.
Aber was soll der Hype? Ich gebe meine Firmendaten doch nicht raus – ganz zu schweigen von meinen privaten Unterlagen, Fotos etc. Das widerspricht komplett dem, was uns IT-Admins seit Jahrzehnten eingebrannt wurde: Vertrauliche Daten dürfen niemals das abgeschottete Firmennetzwerk verlassen! Und jetzt sollen wir dieses Credo einfach so komplett über den Haufen werfen und alles in eine große, graue Wolke schieben?! Angriffe auf die Cloud sind doch viel einfacher, weil jeder darauf zugreifen kann. Meine Daten sind in meinem abgeschirmten, lokalen IT-Netzwerk doch viel sicherer!
So oder so ähnlich hören sich die Meinungen vieler IT-Admins an.
Cloud oder On-Premises: Was ist sicherer?
Aber gehen wir das ganze Thema doch mal ganz nüchtern an; ganz ohne Cloud-Hype, aber auch ohne nostalgische Gefühle beim Gedanken an unsere On-Premises-Netzwerke.
Aktuell fahren wir alle das sogenannte Festungsmodell zur Absicherung unserer Daten. Das heißt, zur Vermeidung von Angriffspunkten, haben wir unser IT-Netzwerk maximal abgeschottet. Eine starke Firewall trennt das LAN und das Internet strikt voneinander ab und verhindert Zugriffe von außen.
Dieses Vorgehen ist sehr wirkungsvoll und Angreifer haben so gut wie keine Angriffspunkte. Job erfolgreich erledigt!
Mobilität wird immer wichtiger
Seit ein paar Jahren aber wandelt sich die Business-Welt gewaltig. Es gibt fast keinen Außendienstmitarbeiter mehr, der kein Smartphone oder Tablet besitzt und damit beim Kunden auf Firmendaten zugreifen muss. Aber auch viele andere Kollegen wollen auf einmal mobil sein und von zuhause aus oder beim Pendeln arbeiten können. Und da es vor allem die Chefs sind, die mit Ihren iPhones und iPads jederzeit und überall auf ihre Daten zugreifen wollen, müssen schnell sichere Lösungen her. Die dafür notwendigen Freigaben reißen nun nach und nach Löcher in unser schön abgedichtetes IT-Netzwerk. Dabei sind die immer mehr werdenden Firewall-Freigaben bei Weitem nicht das größte Problem für die IT-Sicherheit. Vor allem die Lösungen, die sich die Mitarbeiter selbst gesucht haben, um Ihre Bedarfe zu decken, reißen riesen Löcher in die bisherigen Sicherheitskonzepte. Das ist von den jeweiligen Mitarbeitern auch gar nicht böse gemeint. Wenn es zum Beispiel keine offizielle Möglichkeit gibt, beim Kunden auf benötigte Dateien zuzugreifen, werden die Mitarbeiter diese halt an ihre privaten E-Mail-Adressen schicken, auf die sie überall Zugriff haben. Und schon sind Firmendaten im Netz unterwegs, ohne dass der Firmen-Admin noch Kontrolle darüber hat. Genau das passiert tagtäglich, in so gut wie jedem Unternehmen. Manche IT-Firmen bieten zum Beispiel den Dienst an, Unternehmen auf diese sogenannte Shadow IT zu prüfen.
Das zeigt, uns bleibt gar keine andere Wahl, als uns von dem starren Korsett des Festungsmodells abzuwenden, hin zu einem Sicherheitskonzept das mindestens genauso sicher, dabei aber deutlich flexibler ist. Wie sieht so ein Modell also aus?
Cloud: Flexibel aber trotzdem sicher?
Das sogenannte Citymodell fährt hierbei einen komplett anderen Ansatz: Grundsätzlich kommt erst einmal jeder ins Netzwerk rein, kann dort aber nichts machen. Nur wer explizite Berechtigungen auf die einzelnen Ordner und Dateien besitzt, kann diese auch lesen, bearbeiten etc. Das schafft Flexibilität, da die Mitarbeiter nicht mehr zwingend in der Firma sitzen müssen, um auf Daten zugreifen zu können. Um fremde Personen dennoch nicht komplett frei wüten zu lassen, wird das Netzwerk mittels verschiedener Mechanismen von einer selbstlernenden Künstlichen Intelligenz (KI) überwacht.
Man geht also weg von der Komplett-Abschottung, hin zur Schadensbegrenzung. Wie ist das gemeint?
Wenn man das Ganze mit einer Siedlung vergleicht, wird es vielleicht ein bisschen klarer.
Das Festungsmodell hat, wie der Name schon sagt, eine starke, dicke Mauer außen herum. Diese hält einen sehr großen Teil der Angreifer ab. Sollte es aber trotzdem mal jemandem gelingen diese Mauer zu überwinden, stehen die dahinterliegenden Häuser fast schutzlos da.
Beim Citymodell hingegen kann jeder in die Stadt kommen. In die Häuser rein kommt aber nur derjenige, der auch den passenden Schlüssel besitzt. Sollte es dennoch einmal gelingen in ein Haus einzudringen, hat der Täter nur Zugang zu diesem einen Haus, alle anderen sind nach wie vor abgesichert. Zudem werden Personen, die sich verdächtig verhalten, weil sie von Tür zu Tür gehen und diverse Schlüssel ausprobieren, von der „KI-Polizei“ aufgehalten.
IT-Sicherheit im Wandel
Wie wir an diesem Beispiel gut erkennen können, ändert sich dadurch der Sicherheitsansatz teilweise drastisch. Hing beim Festungsmodell noch der Großteil der Sicherheit von einer starken Firewall ab, liegt nun der Schwerpunkt beim Schutz der Identitäten. Moderne Cloud-Umgebungen bauen daher auf folgende Säulen in ihren Sicherheitskonzepten:
• Verlässliche Identitäten
• Detailliertes Rechte-/Rollenmanagement
• Künstliche Intelligenz
• Zusammenspiel der Lösungen
Verlässliche Identitäten
Das Citymodell beruht auf der Prämisse, dass jeder auch wirklich der ist, für den er sich ausgibt. Aus diesem Grund ist in der Cloud der Schutz der einzelnen Identitäten das höchste Gebot. Dazu reicht die bisher verwendete Benutzername-Passwort-Absicherung allerdings nicht mehr aus, weshalb in den meisten Fällen auf eine zweistufige Prüfung gesetzt wird. Bei jeder Anmeldung werden verschiedene Daten, wie zum Beispiel der Rechner, von dem aus sich der Anwender anmeldet, die Geoposition, die Uhrzeit etc. gesammelt. Aus diesen Daten wird ein Nutzungsprofil erstellt. Kommt jetzt ein Anmeldeversuch von einem fremden Gerät oder von einem anderen Ort, Land, Kontinent als gewöhnlich, wird dieser entweder direkt abgelehnt oder der Anmeldende wird aufgefordert seine Identität mittels eines zweiten Faktors zu verifizieren. In der Regel handelt es sich dabei um eine Zahl, die per SMS oder Anruf an eine hinterlegte Telefonnummer gesendet wird. Es ist aber auch eine Bestätigung in einer speziellen App auf einem zuvor registrierten Handy möglich.
Detailliertes Rechte-/Rollenmanagement
Die nächste Stufe ist ein detailliertes Rechte- und Rollenmanagement. Denn sollte es, trotz der oben genannten Maßnahmen, einmal gelingen einen Account zu hacken, dann sollte dieser zumindest nicht auch noch mit weitreichenden Administratoren-Rechten ausgestattet sein. Und sind wir mal ehrlich, wer braucht im Unternehmen wirklich Administratoren-Rechte? Bestimmt nicht jeder der aktuell welche besitzt. Aber auch der Großteil von uns IT-Admins benötigt diese Berechtigungen nicht den ganzen Tag und teilweise sogar nicht einmal täglich. Aus diesem Grund sollten wir alle auch hier umdenken. Wenn die IT-Admins ihre umfangreichen Rechte nur noch werktags von zum Beispiel 6 bis 20 Uhr hätten, könnte jeder regulär arbeiten. Aber in den restlichen Zeiten wären schon wieder ein paar potenzielle Sicherheitslücken geschlossen. Alternativ kann man die Administratoren-Rechte auch On-Demand vergeben. Ein Punkt, über den man mal nachdenken sollte.
Künstliche Intelligenz
Hat man diese Punkte alle beachtet und bestenfalls auch umgesetzt, schützt die Cloud sich zusätzlich auch noch selbst – durch den Einsatz von KI (Künstliche Intelligenz). Nein, das sind keine menschenähnlichen Roboter, die uns allen Böses wollen, wie uns Hollywood immer weißmachen möchte. Die KI ist ein selbstlernendes System, das mittels Echtzeit-Analysen Abweichungen vom Standardbetrieb erkennt und dadurch Angriffe verhindert. Aber dies passiert nicht nur auf einem Server, sondern auf allen in der jeweiligen Cloud gehosteten Systemen. Das heißt, egal welcher Server, welches Projekt oder welche Firma angegriffen wird, die KI erkennt den Angriff und unternimmt auf allen Systemen Abwehrmaßnahmen. Sollte also ein Angreifer versuchen einen Account einer Firma zu hacken, wird er sofort in der gesamten Cloud und somit für alle dort gehosteten Systeme aller Firmen blockiert. Dadurch entsteht ein Gemeinschutz, ähnlich einer Grippe-Impfung.
Die KI kann aber noch mehr. Sie analysiert auch sämtliche Konfigurationen und Einstellungen und schlägt proaktiv Verbesserungen vor. Auch dabei fließen wieder Ergebnisse von allen Cloud-Nutzern ein.
Zusammenspiel der Lösungen
Dieses systemübergreifende Vorgehen ist der große Pluspunkt der Cloud. Auch bei der Administration der einzelnen Lösungen trifft das zu. Müssen auf On-Premises-Systemen getrennte Lösungen (z. B. E-Mail und File-Ablage) noch mühsam jeweils einzeln konfiguriert werden, werden User, Berechtigungen, Sicherheitseinstellungen etc. in der Cloud zentral an einer Stelle verwaltet. Doppelte Arbeit und potenzielle Sicherheitslücken entfallen dadurch. Zusätzlich ist das Arbeiten auch noch komfortabel, da Dashboards einen schnellen Überblick über alle relevanten Informationen schaffen.
Fazit
Bestehende On-Premises-Lösungen können die modernen Anforderungen eines immer mobiler werdenden Alltags nur noch schwer erfüllen. Die Cloud hingegen ermöglicht sicheres Arbeiten jederzeit und (fast) überall.
Das Hosten vieler unterschiedlicher Systeme, vieler verschiedener Nutzer in ein und derselben Cloud, birgt also kein Sicherheitsrisiko. Ganz im Gegenteil, das dadurch entstehende Schwarmwissen und die Künstliche Intelligenz der Cloud sorgen für erheblichen Sicherheitsgewinn.