Münchner Sicherheitskonferenz

Die Cloud im Cyberwar

| Autor / Redakteur: Oliver Schonschek / Florian Karlstetter

Cloud Computing wird auch auf Regierungs- und auf Militär-Ebene immer wichtiger. Das birgt aber auch gewisse Risiken, wie die Podiumsdiskussion „Dark Clouds on the Horizon? Computing and Geopolitics“ auf der Münchner Sicherheitskonferenz zu Tage brachte.
Cloud Computing wird auch auf Regierungs- und auf Militär-Ebene immer wichtiger. Das birgt aber auch gewisse Risiken, wie die Podiumsdiskussion „Dark Clouds on the Horizon? Computing and Geopolitics“ auf der Münchner Sicherheitskonferenz zu Tage brachte. (Bild: gemeinfrei (12019 / pixabay))

Auf der Münchner Sicherheitskonferenz wird „Cyberwar“ zunehmend zu einem Schwerpunktthema. Gemeinsam mit dem Veranstalter richtete die Internet Economy Foundation eine Paneldiskussion zum Thema „Dark Clouds on the Horizon? Computing and Geopolitics“ aus. Wir sprachen mit einem der Panel-Teilnehmer, Wim Coekaerts, Senior Vice President bei Oracle, über die Cloud-Sicherheit im Cyberwar.

Cloud Computing wird auch auf Regierungs- und damit auch auf Militär-Ebene immer wichtiger. Dabei stellt sich die Frage, welches Bezugsmodell bei den Cloud-Services die sehr hohen Sicherheitsanforderungen einhalten kann. Wo liegen die Vor- und Nachteile von „Single-Cloud-Ansätzen“ gegenüber „Multi-Cloud-Ansätzen“?

Die Cloud als Thema auf der Münchner Sicherheitskonferenz

Die Münchner Sicherheitskonferenz (MSC) verlegt ihren Schwerpunkt langsam von Betrachtungen über konventionelle Auseinandersetzungen immer stärker auch in Richtung „Cyberwar“.
Die Münchner Sicherheitskonferenz (MSC) verlegt ihren Schwerpunkt langsam von Betrachtungen über konventionelle Auseinandersetzungen immer stärker auch in Richtung „Cyberwar“. (© Stiftung Münchner Sicherheitskonferenz)

Viele Regierungen und Militärs folgen schon heute dem Beispiel privater Unternehmen und steigen auf Cloud-Lösungen um, so auch die Internet Economy Foundation. Doch im Gegensatz zu dem vom Privatsektor verfolgten „Multi-Cloud-Ansatz“ setzen öffentliche Einrichtungen häufig auf eine einzige Cloud.

Ein prominentes Beispiel ist Joint Enterprise Defense Infrastructure (JEDI) des US-Verteidigungsministeriums. Das Pentagon möchte demnach einen einzelnen Cloud-Provider beauftragen und damit einem Single-Cloud-Ansatz folgen. Was meinen die Experten auf der Münchner Sicherheitskonferenz dazu? Wie sollten sich Unternehmen verhalten? Wir fassen die Ergebnisse zusammen.

Cloud-Sicherheit versus On-Premises-Sicherheit

Die Gründe, warum sich Unternehmen wie auch Regierungsorganisationen für Cloud-Dienste entscheiden, sind letztlich die gleichen. Es geht ihnen zum Beispiel um Kostenreduktion bei gleichzeitig steigender Skalierbarkeit und Performance. Anstatt eigene Hardware anzuschaffen und zu betreiben, können die Dienste des Cloud-Providers genutzt werden. Die entstehenden Kosten sind bei Cloud-Diensten vielfach nutzungsabhängig.

Doch auch die Sicherheit spricht für Cloud-Dienste, so die Experten. Vergleicht man die Möglichkeiten, die ein einzelnes Unternehmen hat, um für die Sicherheit bei On-Premises-Lösungen zu sorgen, besteht ein deutlicher Unterschied zu den Sicherheitsmaßnahmen, die ein professioneller Cloud-Service-Provider durchführt. Das Patchmanagement des Anbieters im Vergleich zum Umgang mit Schwachstellen bei vielen Unternehmen ist nur ein Beispiel. Ebenso lassen sich bei Cloud-Diensten leichter einheitliche Sicherheitsvorgaben durchsetzen als in der meist uneinheitlichen, internen IT.

Doch während ein Unternehmen weiß oder wissen sollte, welchen Umfang die eigenen IT-Sicherheitsmaßnahmen haben, besteht nicht immer die richtige Vorstellung, was die Sicherheit des Cloud-Anbieters umfasst. Lädt man eine Datei in einen Cloud-Storage-Dienst, sind die Daten nicht automatisch sicher, es kommt immer auf den konkreten Umfang der Cloud-Sicherheit an.

Cloud-Standards sind die Basis des Cloud-Erfolgs

Neues eBook „Cloud Security Standards“

Cloud-Standards sind die Basis des Cloud-Erfolgs

26.02.18 - Cloud-Anbieter und Cloud-Nutzer profitieren von der Entwicklung der neuen Cloud-Standards, vorausgesetzt, sie kennen die Standards und nutzen sie. Dabei will das neue eBook helfen. lesen

Der Weg in die Cloud

Unternehmen, die unsicher sind, ob sie Cloud-Services nutzen sollen oder nicht, könnten damit beginnen, die Cloud-Technologien im eigenen Rechenzentrum einzusetzen, für die On-Premises-Lösungen. Wenn man als Unternehmen darauf achtet, Technologien eines Cloud-Anbieters einzusetzen, der einheitliche Schnittstellen verwendet, kann das Unternehmen später Schritt für Schritt auf Cloud-Dienste wechseln, entsprechend des eigenen Bedarfs.

Es bleibt die Frage, ob Unternehmen oder staatliche Einrichtungen eher den Single-Cloud-Ansatz oder den Multi-Cloud-Ansatz verfolgen sollten.

Single Cloud versus Multi-Clouds

Bei der Paneldiskussion auf der Münchner Sicherheitskonferenz wurden die Vor- und Nachteile eines „Single-“ vs. „Multi-Cloud-Ansatzes“ diskutiert. Mit dem Single-Cloud-Ansatz sind demnach mehrere Probleme verbunden: Sollten sich alte Muster, wie zum Beispiel bei digitalen Plattformen oder Betriebssystemen, wiederholen, könnte es auch im Cloud-Markt schnell zu strategischen Abhängigkeiten, zu einem Lock-In kommen.

Die Konzentration auf einen Anbieter erfolgt oftmals, um die Vorteile einer Standardisierung zu nutzen. Diese Standardisierung birgt allerdings erhebliche Risiken, wie die Diskussion ergab, sie führt zu weniger Marktinnovation und zu einer verminderten Resilienz bei Cyberangriffen. Nutzt ein Angreifer zum Beispiel die Schwachstellen bei einem Cloud-Anbieter aus, läuft die Attacke nicht bei allen, aber bei vielen anderen Cloud-Providern ins Leere.

Was für den Multi-Cloud-Ansatz spricht

Für Unternehmen und für Regierungsorganisationen macht die Verwendung mehrerer Cloud-Service-Provider und damit der Multi-Cloud-Ansatz Sinn: Zum einen haben die verschiedenen Cloud-Anbieter unterschiedliche Stärken, zum Beispiel im Bereich Cloud-Datenbanken oder Cloud-Applikationen. Andererseits setzen viele Cloud-Anbieter auf einheitliche Sicherheitsstandards, so dass man bei der parallelen Nutzung verschiedener Cloud-Anbieter nicht damit rechnen muss, dass sich die Cloud-Sicherheit von Anbieter zu Anbieter völlig unterscheidet.

Auch Regierungsorganisationen sollten deshalb ein Multi-Cloud-Konzept wählen, wie die Teilnehmer an der Paneldiskussion erklärten. Ein Programm wie JEDI, der Plan des Pentagons auf einen Single-Cloud-Ansatz zu setzen, wurde in der Diskussion aus Sicherheitsgründen kritisch gesehen.

Die Cloud und Cyberwars

Betrachtet man Cloud Computing und die möglichen Risiken durch Cyberwars, wird die Cloud als die richtige Antwort auf die neuen Bedrohungen gesehen. Die Security-Services, die Cloud-Provider erbringen können, haben Vorteile gegenüber den Bemühungen einzelner Unternehmen, da die Erkennung von Attacken schneller und besser funktioniert mit der Security Intelligence und den Machine-Learning-Diensten bei den Cloud-Providern.

Die Sorge, Cloud-Dienste könnten auch als Angriffswerkzeuge genutzt werden und zu Bad Clouds werden, ist nach Meinung der Experten ebenfalls ein Grund, der für die Nutzung von Cloud-Providern spricht und für die Nutzung von Multi-Clouds. Professionelle Cloud-Anbieter überwachen die Cloud-Nutzung und suchen nach verdächtigen Aktivitäten.

Ein Missbrauchsversuch bei Cloud-Resourcen wird demnach in aller Regel schneller entdeckt als der Versuch, On-Premises-Lösungen zu missbrauchen, wie dies zum Beispiel bei Bot-Netzwerken der Fall ist. Kommt es zu einem Angriff durch eine Bad Cloud, ist es erneut besser, einen Multi-Cloud-Ansatz zu fahren, denn die Wahrscheinlichkeit, dass alle genutzten Cloud-Dienste getroffen werden, ist geringer, als dass eine Single Cloud attackiert wird.

Die Cloud erscheint deshalb als Antwort auf die Bedrohung durch Cyberwars und zwar in Form von Multi-Clouds.

Special „Rechtssicheres Cloud Computing“

Special Rechtssicheres Cloud ComputingSicherheit hat viele Facetten, dies gilt auch und insbesondere beim Cloud Computing. Vielen Unternehmen fehlt es an Vertrauen, wenn es darum geht, Daten, Anwendungen und Teile der eigenen IT-Infrastruktur an einen externen Provider auszulagern. Im Special auf CloudComputing-Insider finden Sie nützliche Informationen rund um die Themen Rechtssicherheit, dazu Lösungsansätze, Standards und Initiativen aus der Industrie.  

Zum Special „Rechtssicheres Cloud Computing“

Dieser Beitrag erschien zuerst auf unserem Schwesterportal CloudComputing Insider.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45757477 / Kommunikation)