Foto: androfroll - shutterstock.com
Fast alle Unternehmen in Deutschland setzen heute in irgendeiner Form Cloud Computing ein, so eine aktuelle IDG-Studie. Nur noch 2,2 Prozent nutzen ausschließlich On-Premises-IT. Die Cloud ermöglicht nicht nur die Agilität, Flexibilität und Skalierbarkeit, die Unternehmen heute benötigen, um neue Geschäftsmodelle zu entwickeln und auf einem globalisierten Markt wettbewerbsfähig zu bleiben. In der Corona-Pandemie hat sich auch gezeigt, wie wichtig sie für die Geschäftskontinuität ist.
Die zunehmende Cloud-Nutzung erschwert jedoch auch die Absicherung der IT-Umgebung. Security-Verantwortliche haben es mit immer komplexeren Infrastrukturen zu tun, die sich von On-Premises-Legacy-Systemen über verschiedenste Cloud-Services erstrecken. Dadurch vergrößert sich die Angriffsfläche. Auch die Security-Architektur ist meist historisch gewachsen und zu einem Flickenteppich an Lösungen geworden, der nur schwer zu managen ist. Laut Gartner haben 78 Prozent der CISOs 16 oder mehr Security-Tools im Einsatz, zwölf Prozent sogar 46 oder mehr Tools.
Diese Vielfalt erhöht die Komplexität, kostet wertvolle Zeit und verhindert Transparenz. Ein zentraler Blick auf das Security-Geschehen in der gesamten IT-Umgebung ist aber unverzichtbar, um Bedrohungen schnell zu erkennen und einzudämmen. Denn Cybervorfälle werden immer komplexer und verlaufen heute häufig mehrstufig und über verschiedene Ebenen hinweg. In vielen Organisationen fehlen jedoch Security-Experten, um die wachsenden Herausforderungen zu meistern. So geben laut Gartner 80 Prozent der Unternehmen an, dass sie Probleme haben, Mitarbeiter in diesem Bereich zu finden. 72 Prozent sagen sogar, dass der Fachkräftemangel ihre Fähigkeit beeinträchtigt, Security-Projekte durchzuführen.
Für viele Unternehmen ist Cloud-Security noch Neuland
Auch in Zeiten der Corona-Pandemie gelten Cyber-Bedrohungen als größtes Geschäftsrisiko, so die IDG-Studie. Jedes zweite Unternehmen erlitt 2020 wirtschaftlichen Schaden durch einen Cyber-Angriff. Fast die Hälfte verzeichnete bereits eine Cloud-Attacke. Jeder zehnte der Befragten weiß jedoch gar nicht, wie es um die Sicherheit der genutzten Cloud-Dienste steht.
Für viele Unternehmen ist Cloud-Security noch Neuland. Häufig herrscht zum Beispiel noch Unsicherheit darüber, um was sich Security-Teams überhaupt kümmern müssen. Denn anders als oft vermutet, ist auch die Public-Cloud kein Rundum-Sorglos-Paket. Vielmehr gilt das Prinzip der geteilten Verantwortung: Der Provider sorgt zwar für die Absicherung von Hardware, Software, Netzwerk und Einrichtungen, auf denen der Cloud-Service ausgeführt wird. Für den Schutz dessen, was Kunden innerhalb der Cloud betreiben, also ihre Applikationen, Daten und das Gesamtbetriebssystem, sind sie aber selbst zuständig.
Security von Anfang an mitdenken
Dabei besteht ein häufiges Problem darin, dass Security-Teams erst spät in Cloud-Projekte einbezogen werden. Meist drängen Fachabteilungen auf eine Migration, um möglichst schnell neue Services bereitstellen zu können. Cloud-Architekten arbeiten Konzepte aus, ohne dabei an wichtige Security- und Compliance-Fragen zu denken. Welche Daten dürfen zum Beispiel wohin verschoben werden und wie? Welche Anforderungen müssen die Cloud Services hinsichtlich DSGVO, PCI DSS, IT-Sicherheitsgesetz oder Branchenstandards erfüllen?
Meist wird in den Regularien Security "nach Stand der Technik" gefordert. Dazu gehört unter anderem zum Beispiel Malware-Schutz und Patch-Management. Unternehmen müssen eine Risikobetrachtung durchführen, Schwachstellen identifizieren und schließen. Außerdem müssen sie in der Lage sein, Logfiles auszuwerten, verdächtige Vorfälle zu erkennen und schnell zu reagieren. Ganz wichtig ist zudem, Fehlkonfigurationen von Cloud-Spaces zu vermeiden.
Um eine sichere Cloud-Migration zu ermöglichen, sollten Cloud-Architekten, DevOps/CloudOps-Verantwortliche und Security-Teams bereits in der Konzeptionsphase eng zusammenarbeiten. Sie müssen von Anfang an geeignete Sicherheitsmaßnahmen einplanen, auswählen und umsetzen, sodass Workloads und Daten vor, während und nach der Migration gleichermaßen geschützt sind.
Cloud-Security als Markt-Chance
Auch für Channel-Partner bringt die Cloud-Transformation ihrer Kunden einen strukturellen Wandel mit sich. Durch die Verlagerung der Infrastruktur in die Cloud steht der Verkauf von Hard- und Software immer weniger im Fokus, weil die Assets dem Kunden beziehungsweise Partner nicht mehr gehören. Dagegen entsteht bei den Kunden ein erhöhter Bedarf an Beratung und Managed Services.
Für IT-Dienstleister, die den Mehrwert für ihre Kunden langfristig erhalten möchten, ist es immens wichtig, mit den Wertschöpfungsstrategien der Kunden vertraut zu sein. Gerade im Bereich Cloud-Security fehlen in vielen Unternehmen Experten, sodass sie Unterstützung bei externen Dienstleistern suchen. Channel-Partner sollten diese Chance ergreifen und sich als kompetenter Cloud-Partner positionieren.
In der Cloud wird IT-Security neu konzipiert. Daher spielen Partner zukünftig eine noch stärkere Rolle: konzeptionell-strategisch, beratend bis hin zum Service. Sie können Kunden zum Beispiel bei der Migration in die Cloud unterstützen, indem sie sich in die agilen Unternehmensstrukturen eingliedern und Silo-übergreifendes Arbeiten sowie gegenseitiges Verständnis zwischen DevOps, CloudOps und Security-Teams fördern. Auch während des laufenden Entwicklungsprozesses kann IT-Sicherheit bereits auf Code-Ebene miteinbezogen werden. Zudem können Partner mit Services für den sicheren Cloud-Betrieb und das Cloud Security-Management punkten.
Cloud-Sicherheit für den Channel muss einfach, automatisiert und agil sein und Compliance bieten. Sie muss es Partnern ermöglichen, mit geringem eigenen Aufwand leistungsstarke Cloud- und Security-Management-Dienste anzubieten. Wichtig sind zudem einfache Abrechnungsmöglichkeiten im "Pay as you go"- oder Committed-Consumption-Modell.
Mehr zum Thema "Cloud Computing" und "Managed Security Services":
Trend Micro belohnt Top-Partner
Erste Professional Services Partner in Deutschland
Moderne Lösungen für SOCs
IDG-Studie Cloud Security 2021
IT-Security in der Cloud