Im Gespräch mit Kai Grunwitz von NTT Security

Wie sehen die Herausforderungen bei Cloud-Security aus und welche Bedeutung haben die Datenschutz-Grundverordnung und Compliance-Vorgaben? com! professional spricht darüber mit Kai Grunwitz, Senior Vice President EMEA beim IT-Sicherheits-Dienstleister NTT Security.

Kai Grunwitz: Zu den neuen Risiken gehören nach unserer Auffassung Data-Analytics-Projekte in der Cloud (SaaS). Hier kann ein un­autorisierter Zugriff auf Daten durch Service- beziehungsweise Infrastruktur- Provider erfolgen. Das kann selbst dann der Fall sein, wenn Daten durch Key-Management-Services (KMS) geschützt sind, der Key aber nicht selber verwaltet werden kann, was ja der Standardfall ist.

Bei Anbietern aus den USA kann der Zugriff auf Daten behörd­licherseits mit einem „National Security Letter“ erzwungen werden, und es ist diesen Unternehmen sogar verboten, ihre Kunden darüber zu informieren. Entsprechende vertragliche Abmachungen mit dem Provider sind daher völlig nutzlos. Eine gute Alternative wäre hier die Key-Verwaltung durch einen unabhängigen externen Key-Verwalter oder die Anonymisierung der Daten in der Cloud.

Grunwitz: Leider wird die Cloud im Zusammenhang mit der DSGVO oft nur als Nebenthema gesehen. Es gab sogar Stimmen, die meinten, dass die DSGVO keine Relevanz habe, wenn die Daten in der Cloud liegen. Das ist ein geradezu schockierendes Missverständnis. Tatsächlich aber wissen die IT und Sicherheitsteams oft nicht, welche Daten des Unternehmens in der Cloud liegen, und in den Security-Konzepten werden diese Daten schnell übersehen. Jedes Unternehmen sollte sich darüber klar sein, dass die Cloud unter Security-Aspekten nur eine Erweiterung der herkömmlichen On-Premise-IT und Datacenter-Strukturen darstellt und folglich für diese natürlich die gleichen Sicherheitsrichtlinien gelten müssen.

Zudem ist wichtig, dass für das Cloud-Computing die juristische Zuständigkeit klar geregelt ist, was bei einem Großkonzern durchaus eine He­rausforderung sein kann. Dürfen zum Beispiel personenbezogene Informationen nur in Europa gehostet werden beziehungsweise darf nur aus Europa darauf zugegriffen werden? Konzepte wie Follow-the-Sun oder Offshoring-Services müssen angepasst werden. Security und Datenschutz müssen deshalb lernen, bei Cloud-Evaluierungen und -Prüfungen Hand in Hand zu arbeiten. Die DSGVO selbst schafft lediglich eine neue Visibilität für eine unter Sicherheitsexperten bekannte Problematik.

Grunwitz: Die Security-Aktivitäten der Cloud-Provider sind immer abhängig vom jeweiligen Delivery Model, also ob man Platform as a Service (PaaS), Software as a Service (SaaS) oder Infrastructure as a Service (IaaS) anbietet. Entsprechend unterscheidet sich auch die Rolle der IT-Security. Es gibt hier ein Shared-Security-Responsibility-Konzept, das die Verantwortlichkeiten je nach Delivery Model regelt. Je nach Modell sind die Verantwortlichkeiten zwischen Nutzer und Provider anders verteilt; wobei der Nutzer natürlich die Leistungen der Provider weiterhin zu überwachen hat.

Vielen Cloud-Nutzern ist nicht bekannt, wofür sie selbst verantwortlich sind, sodass dann die Daten nur unzureichend geschützt sind, zum Beispiel wenn Nutzer ihren Simple-Storage-Service nicht abgesichert haben. Oft sind auch Schnittstellen per Default „offen“ und müssen erst noch konfiguriert werden. Gerade dieses Versäumnis führte schon zu zahlreichen Datenverlusten und Daten lagen für jeden zugreifbar in der Cloud. In aller Fairness muss gesagt werden, dass die Provider die Verantwortungsbereiche immer offen und transparent dokumentieren und kommunizieren.

Beim SaaS-Modell müssen Service-Provider zudem sicherstellen, dass Security-Anforderungen in ihren Verträgen mit Subunternehmen eingebettet sind, und sie müssen diese auch nachweislich prüfen. Es muss ferner sichergestellt werden, dass die nötigen Zertifizierungen und unabhängige Prüfzertifikate vorliegen; etwa eine ISO-27001-Zertifizierung, die über das reine Hosting hinausreicht und auch Service-, Support- und Entwicklungsbereiche abdeckt.

Eine wichtige Anforderung an die Provider bleibt zudem der Zugriff auf und der Export von Log-Daten, um die Cloud-Plattform in das ganzheitliche Security-Monitoring- und Threat-Detection-System integrieren zu können.

Grunwitz: Zusätzliche Lösungen werden unter anderem zur Unterstützung bei der Entwicklung einer integrierten Cloud-Sicherheitsstrategie benötigt. Hier geht es um die Frage, was aus den bestehenden Security-Konzepten in die Cloud übernommen werden kann. Weitere Aufgabenbereiche für Dritt­anbieter sind Secure-Cloud-Design, Identity- and Access-Management sowie Multi-Factor-Authentication, die Perimeter-Defense-Erweiterung in die Cloud, SIEM (Security and Information Event Management) und Threat-Detection mit speziellen Cloud-Logs und entsprechenden Use-Cases, das Key-Management und das große Thema Encryption.

Grunwitz: Edge-Computing hat weitreichende Folgen. Hier werden Datenflüsse verschoben und damit wird auch gleich die Daten-Ownership mitverschoben, sie wandert zu den Instanzen an der Edge. Auch die Analyse-Funktionen – und deren sensible Daten – werden dadurch verlagert. Schnell hat man auf einmal kri­tische Daten an Stellen, an denen sie vorher nie aufgetaucht sind. Das stellt dann womöglich auch wieder die Frage nach der juris­tischen Zuständigkeit. Prinzipiell wird sich vermutlich die Komplexität der Schutzmaßnahmen, also beispielsweise von Datenflussanalysen oder Daten-Klassifizierungen sowie deren Durchsetzung und Auditierung, um einiges erhöhen.