Aktuelle Entwicklung der Cloud-Security

com! professional: Wie entwickelt sich Cloud-Security derzeit?

Hölzle: Neben der Komplexität sehe ich ein Hauptproblem in der Skepsis gegenüber neuer Technik. Container-Systeme sind aktuell die beste Wahl für einen effizienten IT-Betrieb, da bereits VMs, Betriebssysteme, Netzwerkkom­ponenten und so weiter integriert sind. Die Firewall-Kon­figuration fällt für Anwender schon mal weg und dadurch mögliche Lücken in der Cyberabwehr. Ich merke aber - vor allem bei Kunden in Europa -, dass viele an ihren in der On-Premise-Welt bewährten Konzepten festhalten und diese auf die Cloud übertragen wollen.

com! professional: Was stört Sie daran?

Hölzle: Das kann man machen, nur schleppt man dann die gesamte Komplexität der On-Premise-Welt mit in die Cloud. Dabei führt genau diese Komplexität immer wieder zu Sicherheitsproblemen. Der Kardinalfehler ist, dass sich die Entscheider kaum Zeit nehmen, ihre IT-Architektur an die Cloud anzupassen und zu planen. Containerization bedeutet nicht, dass man all seine Software auf Microservices umschreiben muss. Aber es macht Sinn, möglichst viele Workloads über Container zu betreiben. Das erspart einen ganzen Security-Layer, um den man sich nicht mehr selbst kümmern muss.

com! professional: Das sehen einige IT-Verantwortliche wohl anders. Auch haben sich ihre Systeme bewährt. Weshalb sollten sie einen derartigen Aufwand treiben?

Hölzle: Der Initialaufwand für den Systemwechsel ist da, aber die Mühe, sich in diese Welt einzuarbeiten, ist sicher geringer, als noch weitere zwei, drei Jahre Phishing und andere Angriffe zu bekämpfen. Manche scheuen vor dem Schritt auch aus Kostengründen zurück. Aber es lohnt sich, durchzurechnen, was über die Jahre günstiger käme. Meist realisiert man dann, dass der Erstaufwand deutlich kostengünstiger ist als die laufenden Sicherheitsmaßnahmen und das Loch, das ein Schadensfall nach einer erfolg­reichen Attacke in die Finanzen reißen würde.

com! professional: Wer Workloads und Daten einem Cloud-Anbieter überträgt, gibt ein Stück Kontrolle ab. Wie nehmen Sie Kunden Befürchtungen?

Hölzle: Der Schlüssel zum Vertrauen ist Transparenz. Wenn jemand von uns auf VMs von Kunden zugreift, etwa um eine Datenbank zu reparieren, erscheint dort ein entsprechender Log-Eintrag. Wir informieren also Kunden aktiv darüber, was wir tun. So weiß der Kunde Bescheid, dass wir das waren und niemand Unbefugtes. Das nennen wir Access Transparency. Soweit mir bekannt ist, bieten das bisher nur wir an. Mit Access Approval melden wir uns zuvor beim Kunden und erst wenn dieser uns die Erlaubnis erteilt, greifen wir auf seine Ressourcen für den Support zu.

Ich betone es nochmals: Wir greifen nur auf Ihren Wunsch auf Ihre Daten zu!