Cloud und BYOD: Alptraum vom Kontrollverlust

1 Kommentar Drucken

Zwei Trends in der IT werden insbesondere von vielen IT-Sicherheitsverantwortlichen als Alptraum vom Kontrollverlust wahrgenommen: Cloud und BYOD (Bring Your Own Device).

Die Verlagerung von Daten, Applikationen, Diensten und IT-Ressourcen in den Kontrollbereich externer Provider, gemeinhin als Public Cloud bekannt, bedeutet in der Tat für das Unternehmen, das Cloud Services nutzt, die Aufgabe der Vorstellung, man behalte über alle Komponenten der Speicherung, Übertragung und Verarbeitung von Daten die Kontrolle.

Die Nutzung von Public Cloud ist gleichbedeutend mit dem Ende der Situation, in der IT-Manager und Sicherheitsverantwortliche des Unternehmens die physikalischen Grenzen um das Firmengebäude und um ihr Rechenzentrum als die Grenzen ihres Kontrollbereichs wahrnehmen konnten und sich in der Sicherheit wähnten, innerhalb dieser Grenzen Herren des IT-Geschehens zu sein. Je nach Ausprägung des Cloud-Dienstes werden Unternehmensdaten irgendwo auf Speichermedien eines Vertragspartners gespeichert, oder die Arbeitsfähigkeit des Unternehmens hängt von der Verfügbarkeit der Rechenressourcen des Vertragspartners ab. Da der Bestand von immer mehr Unternehmen mit ihrer IT und ihren Daten steht und fällt, ist die Preisgabe eines Teils der bisher als weitgehend vollständig wahrgenommenen Kontrolle über die eigene IT in ihrem Ausmaß vergleichbar mit der Umstellung, welche Privat- und Kaufleute erlebt haben müssen, als sie ihr Geld unter den Kissen und Dielenbrettern hervorholten und Banken anvertrauten.

Ein weiterer Schlag gegen das Paradigma der totalen Kontrolle über die eigene IT und Daten versetzt BYOD. Bisher galt für die meisten Unternehmen, der Zugriff auf die Unternehmensdaten soll nur von Geräten aus erfolgen, die unter der vollständigen Kontrolle des Unternehmens stehen. Auf diese Geräte wurden Sicherheitsrichtlinien des Unternehmens angewandt. Konzepte für Berechtigungen, Virenschutz, Authentisierung, Verschlüsselung und Datensicherung sollten dasselbe Niveau an Sicherheit für die Daten und Applikationen dadurch sicherstellen, dass sie alle Endgeräte erfassten, von stationären Desktops bis zu mobilen Laptops und Smartphones. Die Administration der Endgeräte sollte zentral und gemäß den Vorgaben des Unternehmens erfolgen. BYOD bricht mit diesem Ansatz. Die Mitarbeiter erhalten Zugriff auf Applikationen und Daten ihres Arbeitgebers, auch wenn sie eigene, nicht unter der administrativen Hoheit des Arbeitgebers stehende Endgeräte einsetzen. Wie bei Cloud geben die Unternehmen ein Stück weit die Kontrolle über die Mittel aus der Hand, mit denen Daten im Sinne des Unternehmens verarbeitet werden und somit für das Unternehmen Mehrwert produziert wird.

Welche Rolle spielen die IT-Sicherheitsverantwortlichen in diesem Prozess. Zumindest in Deutschland überwog unter ihnen lange nach Aufkommen der Cloud-Idee die Skepsis, ja sogar kategorische Ablehnung. Viele Sicherheitsbeauftragte wurden zu Verfechtern der aus ihrer Sicht bewährten Kontrollidee, die besagt, dass das Unternehmen die vollständige Kontrolle über alle IT-Ressourcen und Daten behalten muss, mit denen Mehrwert für das Unternehmen produziert wird. Nach dieser Idee darf es nicht sein, dass externe Provider mit der Speicherung der Unternehmensdaten, der Sicherung dieser, mit der Bereitstellung der erforderlichen Rechenkapazität für die Anwendungen des Unternehmens beauftragt werden und die Daten die physikalischen Grenzen der Firmengebäude verlassen. Dieser Kontrollidee kam die Interpretation von europäischen Richtlinien zum Datenschutz zur Hilfe, die jegliche Speicherung kritischer, zum Beispiel personengebundener Daten außerhalb der Grenzen der Europäischen Union im Widerspruch zu jenen Richtlinien sieht. Die Nutzung der Dienste globaler Cloud-Anbieter verbietet sich aus dieser Perspektive allein deshalb, dass solche Anbieter die ausschließliche Speicherung der Daten innerhalb der EU-Grenzen nicht zusichern und andererseits nicht auszuschließen ist, dass zu den Unternehmensdaten auch solche Daten gehören, die unter gesetzlichem Schutz stehen.

Nun finden aber Angebote Einzug in den Cloud-Markt, die genau das zusichern, was die Datenschützer fordern, nämlich die ausschließliche Speicherung der Daten innerhalb der EU-Grenzen. Dem Argument, Public Cloud verstoße gegen gesetzliche Regelungen, wird ganz schön viel Wind aus den Segeln genommen.

Wie lange hält das Bollwerk der Kontrolle noch Stand? Die Zahl der Unternehmen, die aus verschiedenen Gründen Public Clouds nutzen und BYOD anwenden, nimmt zu. Zu den verschiedenen Gründen gehören die folgenden:

  • Kosteneinsparung: Kontrolle kostet Geld, insbesondere wenn dazu ein relativ komplexes Instrumentarium geschaffen und unterhalten werden muss. Eine solche Sicherheitsapparatur muss mit Hardware, Lizenzen und Personal am Leben gehalten werden. Je aufwändiger und eingehender die Kontrolle und je kleiner die Zahl der Arbeitsplätze, die dieser Kontrolle unterzogen werden, desto höher sind die Stückkosten, die sich letztlich negativ auf die Bilanz des Unternehmens auswirken. Ökonomisch gesehen ist Cloud nichts anderes als die Reduzierung der Stückkosten durch Konzentration. Ein Provider kann die Kosten für einen Dienst für eine Million Nutzer anders kalkulieren als eine IT-Abteilung die Kosten für einen Dienst, den nur tausend Nutzer in Anspruch nehmen.
  • Effizienz: In einer Zeit, in der Mitarbeiter nicht von neun bis siebzehn Uhr im Büro, sondern zunehmend verteilt über den ganzen Tag und die ganze Woche, an verschiedenen Orten und unterwegs für das Unternehmen tätig sind, wird es immer schwieriger, zwischen Privatem und Dienstlichem zu unterscheiden. Die arbeitenden Menschen können nicht ständig mit zwei Laptops und zwei Smartphones unterwegs sein, um sowohl privat als auch dienstlich die IT zu nutzen und zu kommunizieren. Wird dagegen nicht mehr zwischen dienstlichem und privatem Endgerät unterschieden, können die Mitarbeiter viel flexibler ihre Arbeit auf den Tag und die Woche verteilen. Sie müssen nicht mit verschiedenen Endgerätetypen umgehen. Folglich steigt insgesamt die Effizienz.

Mit der Cloud-Nutzung sieht es ähnlich aus. Auch hier gibt es handfeste Gründe für viele Unternehmen, auf Public Clouds zu setzen:

  • Viele nicht sehr kritische Applikationen und die dazu gehörigen Daten verursachen einen unverhältnismäßig hohen Anteil an den IT-Kosten. Es kommt nicht selten vor, dass die Speicher- und Rechenkapazitäten, die für Standardapplikationen wie Textverarbeitung, Präsentationen, E-Mail und Webzugriff im Unternehmen vorgehalten werden müssen, jene für unternehmenskritische Anwendungen und Datenbanken übertreffen. Da es sich vielfach nicht lohnt, verschiedene Klassen und Rechen- und Speicherressourcen zu betreiben, wird alles entsprechend den Verfügbarkeits- und Sicherheitsanforderungen der wichtigsten Applikationen ausgelegt. Die Folgen sind ein atemberaubendes Wachstum an redundant und gespiegelt gespeicherten Daten, ein immer größerer Aufwand für die Datensicherung sowie steigende Kosten für unternehmenseigene Netze und Server. Die unternehmensinternen IT-Planer und –Projektmitarbeiter kommen angesichts immer kürzer werdender Innovations- und Redesignzyklen nie zur Ruhe. Aus der Sicht vieler Unternehmen ist die Verlagerung zumindest eines Teils der IT in die Cloud der einzige Ausweg.
  • Während die Public Cloud als Medium nur das Internet benötigt, das fast überall mit immer mehr Leistung zur Verfügung steht, erfordern private Netze, insbesondere private Wide Area Networks, eine von langer Hand vorbereitete Implementierung, ein großes Budget und die Überwindung vieler Unwägbarkeiten. Dabei weisen viele Anwendungen durch die Beschränkung auf das private Netz des Unternehmens im Vergleich zu Applikationen im Internet häufig längere Antwortzeiten und ein schlechteres Benutzererlebnis auf. Das Rechenzentrum des Unternehmens ist eben nicht über alle Regionen und Netze verteilt.

Es gibt also plausible Gründe für die neuen Trends Cloud und BYOD. Die IT-Sicherheitsbeauftragten können diese Trends nicht aufhalten. In vielen Unternehmen wird das Management die nicht zu übersehenden Risiken im Zusammenhang mit den neuen Trends hinnehmen, sich über die Warnungen der Sicherheitsexperten hinwegsetzen und die neuen Möglichkeiten des Marktes nutzen.

Nicht Blockade, sondern aktives Mitgestalten dieser Trends ist die kluge Strategie der IT-Sicherheit im Umgang mit den neuen Trends. Diese Trends werden die IT in vielen Unternehmen so grundlegend umgestalten, dass ein Umdenken und eine Umstellung der IT-Sicherheit unumgänglich werden. Sicherheitskonzepte sehen in der Ära von Cloud und BYOD anders aus als davor.

Beispiel Cloud: Der IT-Sicherheit muss es darum gehen, erstens bei der Entscheidung, welche Daten und Applikationen in welche Art von Cloud verlagert werden, mitzureden, und zweitens bei der Gestaltung des Vertragsverhältnisses für Cloud Service die Belange der IT-Sicherheit gebührend zur Geltung zu bringen. Ein solches Vertragsverhältnis kann im Sinne der IT-Sicherheit zum Beispiel folgende Inhalte aufnehmen:

  • Auditmechanismen können dazu dienen, dass das Sicherheitsinstrumentarium des Cloud-Providers einmalig oder regelmäßig auf Übereinstimmung mit den Richtlinien des Kunden überprüft werden.
  • Compliance-Anforderungen des Kunden, die möglichst vollständig zu erfassen sind, können auch Vertragsbestandteil im Verhältnis mit dem Provider werden.
  • Die Rechte auf die Daten, die dem Cloud-Provider anvertraut werden, müssen im Vertragsverhältnis eindeutig geklärt werden.
  • Die Mechanismen für Authentisierung, Autorisierung und Identity und Access Management (IAM) sind im Vertragsverhältnis in Übereinstimmung mit den Anforderungen des Kunden festgelegt werden.
  • Die vom Provider vorgesehenen Mechanismen für den Schutz der Integrität und Vertraulichkeit der gespeicherten, verarbeiteten und übertragenen Daten müssen in Übereinstimmung mit den Richtlinien des Kunden sein.
  • Die Mechanismen der Sicherstellung der Verfügbarkeit von Daten und Applikationen, der Datensicherung und –wiederherstellung und die Vorkehrungen für Disaster Recovery prüfen sind im Vertrag vorzusehen.
  • Es ist vertraglich zu klären, wie, nach welchen Prozessen, mit welchen Werkzeugen und mit welchen zu erwartenden Ergebnissen der Provider auf Incidents, u. a. Security Incidents, welche die Applikationen und Daten in der Cloud betreffen, reagiert.

Cloud Services sind nicht gleich Cloud Services. Im Markt werden verschiedene Modelle von den Providern angeboten, die sich in ihrer Architektur, den eingesetzten Virtualisierungstechniken, den Mechanismen für die Mandantentrennung etc. unterscheiden. Diese Merkmale von Cloud Services sind sicherheitsrelevant (natürlich auch relevant in anderer Hinsicht). Die Auswahl des geeigneten Modells und des geeigneten Providers muss u. a. unter Berücksichtigung dieser Merkmale getroffen werden. Die Risiken, die mit jedem Modell verbunden sind, sind zu bewerten und die Übernahme der Restrisiken nach Umsetzung aller Gegenmaßnahmen zu klären.

Ähnliches gilt für BYOD. BYOD bedeutet ein Übereinkommen mit Mitarbeitern, das auch hinsichtlich der Verantwortung beider Seiten für die IT-Sicherheit Klarheit schaffen muss. Welche Security Incidents im Zusammenhang mit den eingesetzten Endgeräten die Benutzer dem Arbeitgeber melden müssen, wie sie mit Unternehmensdaten auf ihren Endgeräten umgehen, welche Unterstützung sie vom Arbeitgeber erwarten dürfen, sind nur einige Aspekte, die einer Klärung bedürfen.

Auch technische Konzepte im Zusammenhang mit BYOD-Sicherheit fallen nicht vom Himmel. Die IT-Sicherheit in den Unternehmen, die BYOD umsetzen wollen, muss bei der Ausarbeitung des Nutzungskonzeptes für BYOD aktiv mitwirken. Welche Daten und Applikationen auf BYOD-Endgeräte verlagert werden können, auf welche Dienste und Anwendungen von solchen Geräten aus zugegriffen werden darf, welche Konzepte für Authentisierung, Zugriffsberechtigung, Verschlüsselung etc. im Zusammenhang mit BYOD umgesetzt werden, sind Fragen die eine aktive Beteiligung der IT-Sicherheit erfordern.

zugeordnete Kategorien: LAN
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Ein Kommentar zu "Cloud und BYOD: Alptraum vom Kontrollverlust":

  1. Dr.Kauffels schreibt:

    Vielen Dank für diesen hervorragenden Artikel ! Die Haltung der IT-Verantwortlichen und auch mancher Consultants zu BYOD und Cloud entspricht dem, was ich in jahrzehntelanger Erfahrung als Deutsche Krankheit bezeichne. Ich erinnere z.B. daran, dass hierzulande vor 20 oder 25 Jahren flächendeckend für viel Geld abgeschirmte Verkabelungen verlegt wurden, deren Leistungsspektrum NIE ausgenutzt werden konnte (und jetzt für 40 Gigabit nicht mehr ausreicht). Weltweit gab es nirgendwo eine vergleichbare Fehlentwicklung. Eine aktuelle Studie von Cisco zeigt, dass das Thema BYOD in den USA sehr potitiv aufgenommen wird, trotz vielleicht anfangs bestehender technischer Probleme. Beim Thema Cloud ist es so, dass man einerseits zu wenig differenziert („die“ Public Cloud gibt es nicht, es sind immer spezifische Angebote von Providern) und andererseits zu sehr polarisiert. EMC hat in diesen Tagen auf der EMC-World einen (wenn auch auf sehr hohem Niveau) meines Erachtens sehr tragfähigen Kompromiss vorgestellt: die (spezielle Ausprägung) einer Hybrid Cloud. Verwendet ein Unternehmen das Enterprise Produkt VMAX und ein Cloud Provider das Provider-Produkt Isilon (eine ScaleOut-Speicherlösung, die bis 10 PetaByte skaliert), können die Betriebssysteme und Sicherheitselemente dieser Lösungen kooperieren. Ein Unternehmen kann also seine eher unwichtigen Daten in die Cloud auslagern ohne die Kontrolle vollständig abgeben zu müssen und die dem Unternehmen extrem wichtigen eben selbst speichern. Eine Initiative namens EMC Velocity fördert, dass Provider genau das als Leistung anbieten. Das Ganze ist völlig unabhängig von den Anwendungen. Andere Ausprägungen wären funktional angereichete Cloud Dienste, die sich mit der Zeit entwickeln werden. Immerhin benutzen wir schon seit vielen Jahren eMail. Und das ist streng genommen ein solcher angereicherter Cloud Dienst. Und wenn man schon vorsichtig sein möchte, sollte man sich eben an der Möglichkeit der Implementierung von gesetzlichen Auflagen orientieren, wie sie z.B. in Europa für verschiedene Bereiche durch Basel III und in den USA sehr streng durch die neuen Bestimmungen der Börsenaufsicht SEC 17a-4 definiert werden. Das wird noch ein spannendes Jahr :-)

Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.