Im letzten Digital CIO Think Tank powered by Vectra wurde das Thema: „Wie kompatibel ist Ihre bestehende Security mit hybrider Cloud-Umgebung?“ heiß diskutiert.
Die Experten haben über Cybersecurity und ihre Risiken gesprochen, vor allem über die Kompatibilität bisheriger Sicherheitssysteme mit modernen Cloud-Umgebungen und auch wie sich die Komplexität in der Cloud reduzieren lässt.
Hier geht’s zur Aufzeichnung.
Die Experten zum Thema Komplexität in der Cloud als Sicherheitsrisiko
Herbert Lohninger
Universität Salzburg
Walter Hölblinger
Signa
Peter Friedwagner
Porsche Informatik
Stefan Würtemberger
Marabu Inks
Fabian Gentinetta
Vectra AI
Kaum ein Unternehmen kommt noch ohne Cloud und as a Service Produkten aus, sie wurden implementiert in die Infrastruktur und sind dort nicht mehr wegzudenken. Viele Bedenken der vergangenen Jahre Richtung Datenschutz, Richtung Cybersecurity haben sich dadurch ein bisschen abgeschwächt. Die Unternehmen haben Strategien, die heißen Cloud first oder sogar Cloud only. Die Frage ist hier, ob die Komplexität durch die Cloud aber nicht einen eigenen Status als Risikotreiber haben kann.“
Michael Ghezzo
Confare-Gründer und Moderator
Fabian Gentinetta
Vectra AI
Durch Cloud hat man die Chance bei einem Neuaufbau die Cybersecurity von Grund auf sauber und richtig zu machen, andererseits ist natürlich die Angfriffsoberfläche gewachsen, denn jede Ressource hat einen eigenen Zugang, es gibt keinen Perimeter mehr in der Platform und Software as a Service-Welt. Vorher hatte man einen oder wenige zentrale Zugänge, die man stark kontrolliert hat, jetzt hat jede App ein API, das oft auch von öffentlichen Netzen her verfügbar ist. Insgesamt gibt es zwar mehr Cybersecurity-Möglichkeiten durch die Cloud, aber da alles von überall her verfügbar ist, gibt es auch eine größere Angriffsoberfläche und durch Automatisierung besteht das Risiko dass sich Konfigurationsfehler vervielfältigen. Aus Cyber Defense Sicht müssen daher Risiken eingeschätzt werden, Prozesse definiert, und es muss Technik zur Verfügung gestellt werden. Ein eigenes Team sollte sich konstant darum kümmern, es wird in Zukunft vielleicht sogar zum Tagesgeschäft werden“
Aber nicht nur für Unternehmen war die Cybersecurity in der Coud ein neues Thema, auch Angreifer haben einen ähnlichen Prozess durchlaufen. Die neue Agilität, Flexibilität, Dynamik in der Cloud sind ein Vorteil für den Angreifer. Sie haben neue Techniken entwickelt, die von der Methodik her zwar ähnlich sind, aber es war auf beiden Seiten ein Umdenken nötig. Wie gehe ich als Unternehmen damit am besten um?
Es gibt einen Unterschied zwischen Sicherheit der Cloud und Sicherheit in der Cloud. Wenn man in die Cloud- Umgebung reinkommt, ist nicht mehr so viel an Technologie da. Will man wirklich die ganze Sicherheit auch noch in die Hände von denen geben, die die Infrastruktur zur Verfügung stellen? Ich würde es eher trennen. Damit hat man nochmal eine andere Sichtweise.“
Fabian Gentinetta
Vectra AI
Einer, der bereits eine Cyberattacke auf das Unternehmen überlebt hat, ist Stefan Würtemberger. Wie sich die Cybersecurity-Maßnahmen im Unternehmen seither verändert haben hat er im Talk verraten:
Stefan Würtemberger
Marabu Inks
Früher waren wir zu 0% in der Cloud, seit der Cyberattacke auf unser Unternehmen sind wir zu 60% in der Cloud. Wir haben dadurch die Chance uns moderner aufzustellen, Legacy ist quasi ausradiert worden, wir haben alles geshiftet und Security wurde maßgeblich etabliert. Das hat natürlich alles seine Vor- und Nachteile, denn ich stimme zu, die Cloud ist komplexer, aber der Vorteil ist, Cloudanwendungen sind wesentlich schneller wiederherzustellen. Wenn man von einer Cyberattacke betroffen ist, muss man es zuerst einmal wissen, dann läuft die Differenzik, welche Tools, welcher Parameter war das eigentliche Problem, damit man das Problem schließen kann, dann geht’s mit Recovery und neuem Prevention mode wieder los. Man kann es nach so einer Attacke nur besser machen, damit es nicht noch 5-6 mal passiert.“
Wie schnell eine Cyberattacke passieren kann erklärt Walter Hölblinger, CISO von Signa: „Es genügt ein schwaches Glied in der Kette, damit alles bricht“.
Angreifer haben oft ein leichtes Spiel weil sie sehr kreativ sind. Auf Unternehmensseite blickt man zu wenig oft auf die Gegenseite, man ist zu starr; seid kreativer, die Angreiferseite ist es auch tagtäglich! Um bei den Mitarbeitern Awareness zu schaffen muss man Fallbeispiele aus dem beruflichen und privaten Sektor nehmen und verknüpfen, die sollten auch immer brandaktuell sein. Wenn wir als Security-Team Dinge dediktieren, müssen wir proaktiv die User warnen, nicht übersensibilisieren, aber bei konkreten Gefahren wirklich warnen: „Passt auf in dieser Richtung ist wieder etwas unterwegs.“ Wichtig ist es dabei dem User zu vermitteln „Ihr seid ein wichtiges Teil der Sicherungskette““.
Walter Hölblinger
Signa
Mit der Cloudnutzung holt man sich Risiken ins Haus: Man wird permanent von Dritten gescannt und die Schwachstellen werden bei der Public Cloud von Angreifern schnell gefunden, daher muss man sich von Anfang an darauf konzentrieren richtig zu konfigurieren und die eigenen Mechanismen der Cloud richtig nutzen. Besonders die Absicherung von ID sieht Peter Friedwagner als eines der Schlüsselelemente, auf die geachtet werden muss, in der Public Cloud.
Peter Friedwagner
Porsche Informatik
Um Unternehmensdaten in der Cloud richtig schützen zu können ist eigenes Knowhow in diesem Bereich wichtig, sowie ein gutes Partnernetzwerk. Man muss in die Ausbildung von Administratoren investieren, auch Softwareentwicklung mit einbinden, unternehmensübergreifende Organisation mitnehmen. Wichtig ist die richtige Aufhängung der Elemente, wer macht was, wie wird mit Schwachstellen umgegangen und es muss geschaut werden, dass sie in der richtigen Reihenfolge und mit den richtigen Methoden abgearbeitet werden. Man muss also die Schwachstellen erkennen und kontrolliert abarbeiten, genauso wie Konfigurationsfehler.“
Auch Herbert Lohninger, CIO der Universität Salzburg, stimmt zu, dass es wichtig ist bereits entsprechendes Knowhow zu besitzen oder sich zu holen, wenn man als Unternehmen die Cloud nutzen möchte.
Ob Cloud ein Enabler sein kann, hängt von der Größe des Unternehmens ab. Der Weg in die Cloud ist wichtig, aber auch ein Know-how Thema, auch in puncto Security. Dabei ist Identity das größte Thema und natürlich Endpoint, also wie gehe ich mit privaten Geräten um, ect. Cloud kann aber auch hilfreich im Security-Bereich sein und ist auch in meiner Strategie ein essentieller Punkt. Aber man muss sich überlegen: Auf welches Deck setze ich? Man sollte nicht den ganzen Blumenstrauß enablen, sondern wirklich nur das, was notwendig ist. Die größten Schwachstellen sind die Konfiguration, vielleicht auch Tenant-Verschlüsselung. Konfiguration fängt schon beim Multifaktor an, wie sichere ich IDs ab, wie geht es weiter, welche Produkte will ich sonst noch deployen in der Public Cloud und wie konfiguriere ich, damit alles zusammenpasst? Solche Fragen muss man sich stellen.“
Herbert Lohninger
Universität Salzburg