IT Blog

Cloud oder On-Premises: Wo sind meine Daten wirklich sicher?

Fr, 29. November 2019

Egal ob in Foren oder Fachzeitschriften, online oder offline, überall dreht sich seit einiger Zeit alles um die Cloud.

Dabei gehen die Meinungen stark auseinander: Von „Wer nicht dabei ist wird abgehängt und kann direkt zusperren“ bis hin zu „Die Cloud ist das Verderben, weil ich überhaupt keine Kontrolle mehr über meine Daten habe“ ist alles dabei.

Fakt ist, dass jeder Admin viel Arbeit, Zeit und Schweiß in den Aufbau und die Absicherung „seines“ IT-Netzwerks gesteckt hat. Dabei wurde jedes noch so kleine Loch gestopft, um das eigene Netzwerk so gut wie möglich von der Außenwelt abzuschotten. Und jetzt soll das alles einfach weggeworfen und alle Daten in eine große, unbekannte Wolke geschoben werden?! Das verunsichert und verärgert natürlich viele.

On-Premises ist sicher … oder?

Aber räumen wir mal alle „Muttergefühle“ für unsere On-Premises-Umgebung und auch den Hype um die Cloud beiseite und analysieren das Thema ganz nüchtern.

On-Premises-Netzwerke werden aktuell mit dem sogenannten Festungsmodell abgesichert. Dabei wird das IT-Netzwerk maximal abgeschottet, um Angriffspunkte zu minimieren. Technisch wird dies mit Hilfe einer Firewall erreicht, die LAN und Internet strikt voneinander trennt und Zugriffe von Außen verhindert.

Dadurch werden Angreifer wirkungsvoll abgewehrt, weil es so gut wie keine Angriffspunkte gibt. Job erfolgreich erledigt!

Mobilität rückt in den Fokus

In den letzten Jahren geht allerdings ein merklicher Wandel durch die Business-Welt. Jeder muss auf einmal mobil sein! Alle besitzen mittlerweile Smartphones und/oder Tablets und wollen damit beim Kunden, von zuhause oder unterwegs auf Firmendaten zugreifen. Vorallem die Chefs müssen überall und jederzeit mit ihren iPhones und iPads an ihre Daten kommen. Dafür sind Firewall-Freigaben notwendig, die Löcher in das perfekt abgedichtete IT-Netzwerk reißen. Aber das ist nur der Anfang. Weitaus schlimmer ist die dadurch entstehende sogenannte Shadow IT. Dabei handelt es sich um Lösungen, die komplett an der IT-Abteilung vorbeigehen. Wenn die Firmen-IT-Systeme die Bedarfe der Mitarbeiter nicht abdecken, suchen sich diese eigene Lösungen. So ist es gängige Praxis Firmendaten an private E-Mail-Adressen, auf die von überall zugegriffen werden kann, zu schicken, wenn es keine offizielle Lösung für den externen Zugriff gibt. Und schon sind Unternehmensdaten im Netz unterwegs, ohne dass der Firmen-Admin noch Kontrolle darüber hat. Das ist noch nicht einmal böse gemeint, reißt aber riesige Löcher in die IT-Sicherheitskonzepte. Einige IT-Dienstleister bieten mittlerweile den Service an, Unternehmen auf diese Shadow IT zu prüfen.

Es bleibt also gar keine andere Wahl als das starre Festungsmodell abzulegen und sich hin zu einer flexibleren, aber mindestens genauso sicheren, Lösung weiterzuentwickeln. Aber wie sieht so ein Modell aus?

Cloud ist flexibel … aber auch sicher?

Im Gegensatz dazu steht das sogenannte Citymodell. Hier hat ersteinmal jeder Zugang zum Netzwerk. Aber nur wer über explizite Berechtigungen auf einzelne Ordner und Dateien verfügt, kann diese auch bearbeiten, lesen etc. Dadurch müssen die Mitarbeiter für den Zugriff auf Firmendaten nicht mehr zwingend im Büro anwesend sein. Das schafft Flexibilität. Damit nicht berechtigte Personen im Netzwerk nicht gänzlich tun und lassen können was sie wollen, wird dieses von einer selbstlernenden Künstlichen Intelligenz (KI) überwacht.

Das Sicherheitskonzept wandelt sich also von einer kompletten Abschottung, hin zur Begrenzung des Schadens. Was heißt das?

Am verständlichsten wird das Ganze, wenn man es mit einer Stadt vergleicht.

Beim Festungsmodell wird die Stadt von einer starken, dicken Mauer außen herum geschützt. Den meisten Angreifern gelingt es nicht diese Mauer zu überwinden. Im Falle, dass es allerdings doch mal jemand schafft, sind die dahinterliegenden Häuser dem Angreifer fast schutzlos ausgeliefert.

Das Citymodell dagegen lässt jeden in die Stadt. Die Häuser können aber nur diejenigen betreten, die auch die passenden Schlüssel dafür haben. Wenn es doch mal einem Angreifer gelingt ein Haus zu knacken, hat er nur Zugang zu diesem einen Haus. Alle anderen Häuser sind nachwievor sicher. Zusätzlich überwacht die „KI-Polizei“ Personen, die sich verdächtig verhalten, weil sie zum Beispiel von Haus zu Haus gehen und verschiedene schlüssel ausprobieren.

IT-Sicherheit wandelt sich

Dieses Beipiel zeigt anschaulich, wie sehr sich der Sicherheitsansatz gerade ändert. Basierte die Sicherheit beim Festungsmodell noch großteils auf einer starken Firewall, steht nun der Schutz der Identitäten im Vordergrund. Die Sicherheitskonzepte von Cloud-Umgebungen bauen daher immer auf den selben Grundsätzen auf:

  • Verlässliche Identitäten
  • Detailliertes Rechte- und Rollenmanagement
  • Künstliche Intelligenz
  • Zusammenspiel der Lösungen

Verlässliche Identitäten

Jeder ist der, für den er sich ausgibt. So einfach lautet das Grundprinzip des Citymodells. Damit dies auch sichergestellt werden kann, hat der Schutz jeder einzelnen Identität höchste Priorität. Benutzername und Passwort reichen da zur Absicherung natürlich nicht mehr aus. Aus diesem Grund wird in den meisten Fällen eine sogenannte Multi-Faktor-Authentisierung (MFA) gefordert. Dabei sind neben Benutzername/Passwort noch weitere identifizierende Faktoren notwendig. Das können entweder Einmal-Passwörter, die der Anwender manuell eingeben muss, wie zum Beispiel SMS-TANs, sein oder aber auch verschiedene Systeminformationen, die automatisch abgeglichen werden. 

Detailliertes Rechte- und Rollenmanagement

Sind die Identitäten geklärt, geht es im nächsten Schritt um die zugeteilten Rechte und Rollen. Die größte Gefahr beim Citymodell besteht darin, dass ein Nutzer-Account mit umfassenden Administratorenrechten gehackt wird. Dem kann entgegengewirkt werden, indem jeder wirklich nur die Rechte hat, die er für seine tägliche Arbeit benötigt. Selbst Mitarbeitet der IT-Abteilung benötigen die administrativen Rechte meist nicht den ganzen Tag, ganz zu schweigen von nachts und am Wochenende. Daher sollte auch hier ein Umdenken erfolgen, weg vom „allmächtigen“ IT-Admin hin zu On-Demand-Rechten.

Künstliche Intelligenz

Sind diese Punkte gewissenhaft umgesetzt, hat das IT-Netzwerk bereits ein sehr hohes Sicherheitsniveau erreicht. Zusätzlich schützt sich die Cloud aber auch noch selbst. Eine Künstliche Intelligenz aus selbstlernenden Systemen führt ständig Echtzeit-Analysen aus, kann anhand von Abweichungen Angriffe erkennen und eigenständig Abwehrmaßnahmen ergreifen. Da dies auf allen in der jeweiligen Cloud gehosteten Systemen passiert entsteht eine Art Gemeinschutz, ähnlich einer Impfung. Bei einem Angriff auf nur ein System in der Cloud, werden automatisch alle abgesichert.

Darüber hinaus analysiert die KI auch sämtliche Konfigurationen und schlägt anhand von Erfahrungen aktiv Verbesserungen vor.

Zusammenspiel der Lösungen

Dieser systemübergreifende Ansatz ist die Stärke der Cloud. Denn nicht nur bei der Sicherheit sondern auch bei der Administration geht die Cloud so vor. Das getrennte Verwalten einzelner Lösungen, wie zum Beispiel E-Mail oder File-Ablage, gehört der Vergangenheit an. In der Cloud werden User, Berechtigungen, Sicherheitseinstellungen etc. für alle Lösungen zentral administriert. Das erspart nicht nur Arbeit, sondern schließt auch potentielle Sicherheitslücken.

Fazit

Der Alltag wird immer mobiler. Da können bestehende On-Premises-Lösungen nur noch schwer mithalten. Die Cloud bricht das starre Festungsmodell auf und ermöglicht mit dem flexiblen Citymodell die heutzutage geforderte Mobilität. Der Ansatz viele verschiedene Systeme, vieler unterschiedlicher Nutzer auf der selben Cloud zu hosten ist dabei kein Sicherheitsrisko. Die selbstlernenden Abwehrmechanismen der Künstlichen Intelligenz profitiert davon und schaffen dadurch ein neues Level an Sicherheit.