Ab in die Cloud? Aber sicher!

Agilität, Skalierbarkeit und Innovation – Unternehmen wird heute eine Menge abverlangt, wenn sie an den Verheissungen des digitalen Zeitalters teilhaben wollen. Ein Thema ist dabei oft nicht weit: die Cloud. Egal ob für Applikationen, die Bereitstellung von Services oder für interne Prozesse: Cloud Computing wird als zen­trale Voraussetzung für die digitale Transformation wahrgenommen und entsprechend viele Unternehmen ver­lagern ihre IT in eine Public Cloud der grossen Hyperscaler.

Laut einer Umfrage des US-Unternehmens Nutanix von Ende 2019 setzt fast die Hälfte aller Schweizer Unternehmen Cloud Computing ein. Das sind zwar etwas weniger als im europäischen Vergleich, der Trend weist aber eindeutig in Richtung Cloud, während das eigene Rechen­zentrum stetig an Bedeutung verliert. Allein Microsoft ver­kündete für sein viertes Quartal 2020 ein Wachstum von 47 Prozent für die Azure Cloud.

Der Siegeszug der Cloud setzt sich also fort und die Cloud-Betreiber werden nicht müde, sie als Lösung aller mög­lichen IT-Probleme anzupreisen. Ein häufig genannter Aspekt ist die Cybersicherheit. Die Provider werben mit den hohen Standards für Sicherheit und Compliance.

Das Versprechen umfassender Cybersicherheit hat allerdings einen Haken, denn es führt dazu, dass viele Kunden glauben, sie müssten sich in der Cloud nicht mehr aktiv um die Sicherheit kümmern. Aber genau das Gegenteil ist der Fall. Konfigurationsfehler, schwache Passwörter, unverschlüsselte Daten oder ungesicherte Accounts, öffentlich zugängliche Workflows mit veralteten Betriebssystemen – die Liste möglicher Sicherheitsprobleme in der Cloud ist lang.

Ein klassisches Szenario in Corona-Zeiten: Während des Lockdowns arbeiteten die Mitarbeitenden daheim. Somit standen die Clients beim Home Office plötzlich direkt im Internet, weil der vermeintliche Router im Bridge-Modus arbeitet, NAT disabled. Für Hacker ein leichter Eintrittspunkt für die nächste Attacke und für das Unternehmen ein GAU, da Angreifer über das Endgerät des Mitarbeitenden schnell im Firmennetz zuschlagen können.

Gut vorgesorgt hat hier dasjenige Unternehmen, das seine Cloud mit Tools abgesichert hat, die in der Lizenz des Providers bereits inbegriffen sind. So haben zum Beispiel Azure-Kunden Zugriff auf die Microsoft-Defender-Produkte, die geografisch unabhängig arbeiten; sprich der Schutz existiert auch ausserhalb der Firmen-Perimeter, sodass Angriffe wie RDP-Brute-Force-Attacken (Remote Desktop Protocol) auf Clients detektiert werden können. In diesem Fall schlägt die Endpoint Detection Response (EDR) an und alarmiert das Security Operations Center (SOC), das die Bedrohung rechtzeitig abwehren und weitere Schutzmassnahmen ergreifen kann.

Ein Unternehmen, das mit der Cloud-Lizenz bereits eine Cyber-Defense-Plattform erworben hat, darf sich nicht in falscher Sicherheit wiegen, damit schon genug für den Schutz getan zu haben. Es braucht Wartung und ständiges Tuning, um mit den Hackern Schritt zu halten. Das Szenario zeigt, wie wichtig das Zusammenspiel zwischen der Cyber-Defense-Plattform (CDP) und dem SOC ist.

Die CDP umfasst die Summe aller Sicherheitskomponenten, die ein Unternehmen benötigt. Der SOC-Engineer muss wissen, wie er die CDP für die Cloud richtig konfiguriert, wie Prozesse automatisiert werden – Stichwort Security Orchestration, Automation, Response (SOAR) – und er muss über genügend Know-how verfügen, um zu erkennen, welche Komponente in der CDP ergänzt werden muss, um die Security-Maturität zu steigern.

Eine CDP besteht aus einem Mix verschiedener Tools für das SOC. Gartner listet im Magic Quadrant allein für EDR-Tools rund 20 Hersteller wie Microsoft, Cybereason oder Kaspersky; nochmals gleich viele für SIEM und Network Detection Response (NDR). Angesichts dieser Vielfalt ist es für Unternehmen wichtig, SOC-Services auszuwählen, die unabhängig vom Produkt erbracht werden, sodass beim Wechsel des Herstellers die Servicekontinuität gewährleistet bleibt. Egal, welches Produkt den Alarm auslöst, der SOC-Analyst muss wissen, was detektiert wurde, wo die Schwachstelle lag und wie darauf reagiert werden muss.

Um mittels CDP die Cybersicherheit auch in der Cloud zu garantieren, hat sich in der Praxis ein Drei-Säulen-Prinzip bewährt. Dieses besteht aus dem Kunden, der die Cloud nutzt, dem Integrator, der den Betrieb gewährleistet, und einem Security-Dienstleister, der sich um Erkennung von und Verteidigung gegen Cyberbedrohungen kümmert. Die Arbeitsteilung sieht dann so aus:

Der Kunde kann sich nicht völlig aus dem Thema Security zurückziehen. Gewisse Aufgaben kann nur er erledigen: die Definition schützenswerter Daten, das Risikomanagement, die Aufstellung von Policies und das Corporate In­cident Management. In der Recovery-Phase übernimmt  der Kunde zudem oft Aufgaben zur Wiederherstellung der Betriebsbereitschaft.

Der Integrator ist der Fachmann für das Betriebssystem und den Betrieb der Clients. Er verantwortet das Hardening, also alle Basisvorkehrungen für die Sicherheit als Grundvoraussetzung weiterer Massnahmen. Dies umfasst das Entfernen unnötiger Software, rechtzeitige Updates, die Überwachung unprivilegierter Benutzerkonten, das Port-Handling oder die Verschlüsselung. Bei grossen Unternehmen wird diese Funktion meist von einem spezialisierten internen Team übernommen. Für KMU lohnt sich die Zusammenarbeit mit einem externen Partner, da der Aufbau von internem Know-how oft teurer kommt und die Ressourcen sprengt.

Den Security-Dienstleister braucht es für die Aufgaben in der Phase «Detect & Response». Die Analysten und Engineers, die als Experten über jahrelange Erfahrung ver­fügen, spüren Schwachstellen auf, analysieren Alarme und greifen durch aktives Bedrohungsmonitoring bei einem Vorfall sofort ein. Ganz wichtig – obwohl der Kunde es häufig vergisst: Das Security-Team muss seine Werkzeuge nach jedem Sicherheitsvorfall tunen und wenn nötig Konfigurationen anpassen, damit Hacker beim nächsten Angriff noch schneller gestoppt werden. Nur so wird der Schutz kontinuierlich erhöht.

Cloud-Plattformen stellen leistungsfähige Security-Tools bereit, wenn der Nutzer diese zu gebrauchen weiss und sich dort Unterstützung holt, wo er sie benötigt. Dabei ist es zentral, die Kontrolle zu behalten. Das Unternehmen, das in die Cloud geht, darf die Verantwortung für die Security nicht komplett an den Cloud-Anbieter abgeben. Ein Mittel dazu ist eine Cyber-Defense-Plattform, die mit all ihren Kom­ponenten entscheidend für den Reifegrad der Security in einem Unternehmen ist. Wichtig ist in diesem Kontext auch, die Unabhängigkeit zu wahren. Die SOC-Cloud-Services müssen unabhängig vom Herstellerprodukt funktionieren.

Es bietet sich zudem an, auf eine Arbeitsteilung zu setzen. So lässt sich das Know-how der verschiedenen Fachbereiche für OS-Integration und Security am effizientesten nutzen und die Zuständigkeiten können geregelt werden, bevor die Cybersecurity im Ernstfall aktiv werden muss.