Wie sicher ist die Cloud?

LinkedIns Andres Bang, Gary Clark von Juniper, Tom Leighton von Akamai, Gordon Ritter von Emergence Capital und Cristina Alesci von Bloomberg

Wie sicher ist die Cloud? Eine Reihe von Diskussionsteilnehmern auf dem Bloomberg Enterprise Technology Summit in der vergangenen Woche diskutierte über dieses Thema, insbesondere nach den Enthüllungen von Snowden und der Verletzung des Ziels. Die meisten äußerten sich optimistisch über das Potenzial öffentlicher Cloud-Anbieter, eine bessere Sicherheit zu bieten als fast jeder interne Datendienst. Doch selbst die optimistischsten gaben zu, dass sich viele Unternehmen wohler fühlen, wenn sie mehr Kontrolle über ihre Daten haben.

Andres Bang, Leiter Global Sales & Operations Systems bei LinkedIn, sagte beispielsweise, seine Firma sei ein großer Kunde von öffentlichen Cloud-Diensten und daher von solchen Anbietern abhängig. Das Unternehmen habe seine Mitgliedsinformationen jedoch in einer privaten Cloud gespeichert, um mehr Kontrolle zu haben. Gary Clark, IT-CTO von Juniper Networks, sagte, dass sich viele IT-Abteilungen zu Cloud-Service-Brokern entwickeln, wobei sich 80 Prozent oder mehr ihrer Anwendungen in der Cloud und der Rest in einer privaten Cloud befinden. Im Allgemeinen sah er, dass Unternehmen ihre privatesten Informationen intern verwahrten.

Laut Tom Leighton, CEO und Mitbegründer von Akamai Technologies, hängt die Sicherheit im Rechenzentrum von einem Modell ab, das kurz vor dem Scheitern steht. Es reicht nicht aus, sich nur mit Produkten im Rechenzentrum zu verteidigen. Sie müssen abfangen und verarbeiten, bevor es in das Rechenzentrum gelangt.

CIA: Sie sind "nur so stark wie Ihr schwächstes Glied".

Gus Hunt, ehemaliger Chief Technology Officer der CIA

In einer anderen Sitzung stellte Gus Hunt, der ehemalige Chief Technology Officer der Central Intelligence Agency (CIA) und derzeitige CEO von Hunt Technology, fest, dass die großen Cloud-Anbieter alle über "wirklich hervorragende" Sicherheit verfügen, weil sie diese benötigen, um Kunden anzulocken. Er sprach darüber, wie die CIA die Amazon-Cloud nutzte, wenngleich in einer speziellen Kopie, die Amazon hinter den Mauern der CIA verwaltet (die wiederum durch Waffen und andere physische Sicherheitsvorkehrungen geschützt sind).

Aber er merkte an, dass Sicherheit "nur so stark ist wie Ihr schwächstes Glied". Er erklärte, dass diese Sicherheitsanfälligkeiten weiterhin bestehen, wenn Sie eine Workload mit einer Sicherheitsanfälligkeit über einem Cloud-Anbieter haben. Eine Sicherheitsanfälligkeit in einem Workload wirkt sich jedoch nicht auf andere Workloads in der Cloud aus. Die Sicherung Ihrer eigenen Workloads sei daher nach wie vor eine wichtige Aufgabe.

Hunt sagte, dass das Sicherheitsproblem zu einer "hartnäckigen und schwierigen Sache" werde und es für jedes einzelne Unternehmen wirklich schwierig sei, herauszufinden, wie es sich schützen könne. So sah er den Aufstieg von Security-as-a-Service-Unternehmen, die Ihr Netzwerk instrumentieren und die Sicherheit kontrollieren werden. Aber er sagte, dies sei ein "reibungsloses Wettrüsten", bei dem Informationen über Malware fast augenblicklich ausgetauscht würden, was es immer schwieriger mache.

Letztendlich, sagte er, werden wir uns mehr auf den Schutz von Daten als auf Netzwerke konzentrieren. "Es sind die Daten, dumm", sagte er. Wir müssen es so gestalten, dass es schwierig ist, die Daten zu finden. Aber wenn jemand durchkommt, muss es schnell erkannt und behoben werden.

Auf lange Sicht, so Hunt, werden die Menschen dank Techniken wie Verschlüsselung und Entschlüsselung und der Möglichkeit, Standorte zu fälschen, mehr Kontrolle über ihre Daten und ihre Privatsphäre erlangen. Das sei großartig für Privatpersonen, stellt aber die Strafverfolgung vor große Herausforderungen. "Sie werden in der Lage sein, Ihre Daten bis zu einer feinen Körnung zu kontrollieren."

Risikominderung und der "Snowden-Effekt"

Wade Baker von Verizon Enterprise Solutions, Mike K. Brown von BlackBerry, Dr. Burt Kaliski Jr. von VeriSign, John N. Stewart von Cisco

John N. Stewart, Chief Security Officer von Cisco, stellte fest, dass ein Problem darin besteht, dass die Unternehmenssicherheit nicht gut oder schlecht definiert ist. Daher ist es schwierig, die Sicherheit eines Cloud-Anbieters mit einer Unternehmenswolke zu vergleichen. Und Wade Baker, Managing Principal für Research und Intelligence bei Verizon Enterprise Solutions, sagte, dass Sicherheitsprobleme zwar in der Cloud auftreten können, jedoch häufig keine Rolle spielen, da sie selten durch die Cloud verursacht werden.

Burt Kaliski, Chief Technology Officer von VeriSign, brachte auch das Konzept eines "informationszentrierten Ansatzes" mit vielen Schutzmechanismen auf den Punkt, der jedoch für den Endbenutzer größtenteils unsichtbar bleibt.

Laut Stewart rückt die Cloud-Sicherheit lediglich "jede Sünde, die wir nicht gelöst haben" in den Vordergrund und nennt Themen wie das Problem von Benutzernamen und Passwörtern. Er sagte, die Unternehmen hätten sich zu sehr auf den Perimeter konzentriert - das "knusprige Äußere" - und nicht auf das Zentrum ihrer Daten, und das müsse sich ändern. Er merkte an, dass der Schutz der Daten mit DRM einen schlechten Ruf erlangt hat, sich aber als sehr wichtig erweisen könnte. Aber er warnte: "Die meisten Benutzer kümmern sich nicht um Risiken, sie kümmern sich darum, ihre Arbeit auf die effizienteste Art und Weise zu erledigen."

Laut Kaliski gibt es viele andere wichtige Faktoren für die Unternehmenssicherheit, einschließlich eines guten Informationsmanagements, das sich auf das Vertrauen aller Elemente in ein System, die Prüfung und das Schlüsselmanagement konzentriert.

Alle waren sich einig, dass der "Snowden-Effekt" die Aufmerksamkeit auf Sicherheitsprobleme gelenkt hat. Viele internationale Verbraucher betrachten die USA inzwischen als böse, während andere der Meinung sind, dass dies bedeutet, dass die USA wissen, wie man Dinge repariert.

Raimund Gene von Trend Micro, Rick Howard von Palo Alto Networks, Cedric Leighton, ehemals NSA, Michael Riley von Bloomberg News

Es folgte eine weitere Sitzung nur zu den Auswirkungen von Snowden, die laut Oberst Cedric Leighton, ehemaliger stellvertretender Direktor für Schulungen bei der NSA und jetzt CEO von Cedric Leighton Associates, zu der "Tribalisierung des Internets" führte. Er bemerkte, dass das Internet global ausgelegt sei, aber jetzt hören wir neben der "großen Firewall Chinas" auch Dinge wie eine "deutsche Wolke" oder eine "Schweizer Wolke". Die Enthüllungen von Snowden seien eine Entschuldigung für die Renationalisierung der Dinge, und dies habe einen erheblichen Nachteil für die Welt und das Internet mit vielen unbeabsichtigten Folgen.

Raimund Genes, Chief Technology Officer von Trend Micro, stellte fest, dass Snowden auch eine Diskussion über die Sicherheit im Allgemeinen in Gang setzte. "Wenn Snowden Dokumente von der NSA erhalten kann, was sagt das über unsere Branche aus?" er hat gefragt. Er sprach darüber, wie schwierig es sei, internen Auftragnehmern zu vertrauen und wie wichtig es sei, ein sichereres Internet im Allgemeinen zu schaffen, und sagte, er glaube, die Regierung habe eine Rolle.

Er stimmte zu, dass das "Internet geschaffen wurde, um global zu sein", und sagte, dass einige der neuen europäischen Regeln, mit denen Daten innerhalb des Ursprungslandes oder der Ursprungsregion aufbewahrt werden sollen, lächerlich sind.

Während er und Leighton sich einig waren, dass die Regierung eine Rolle bei der Verbesserung der Sicherheit des Internets spielt, sagte Rick Howard, Chief Security Officer von Palo Alto Networks, der Vorfall habe bewiesen, dass die Branche gute Arbeit bei der Bereitstellung von Sicherheit geleistet habe Es muss besser sein, Sicherheit in mehr Lösungen zu integrieren. "Die Kunden müssen sicher sein, unabhängig davon, was die Regierung tut", sagte er.