SaaS oder IT-Sicherheit aus der Wolke

Mehmet Toprak,
Big DataCloudData & StorageSicherheit

Eine Diskussion über IT-Sicherheit ist meistens eine undankbare Angelegenheit. Zumeist stehen am Ende mehr offene Fragen und ungelöste Probleme als Antworten im Raum. So war es auch bei einer von Dell veranstalteten Diskussion mit dem Titel »IT-Sicherheit im Spannungsfeld der Politik«.

Zur Diskussion im Konferenzraum eines feinen Münchner Hotels hatte Dell vier hochrangige Experten geladen. Andy Müller-Maguhn, Vorstandsmitglied des Chaos Computer Clubs, Dirk Heckmann, Professor für Öffentliches Recht, Sicherheits- und Internetrecht an der Universität Passau, Bernd Carstensen, Pressesprecher des Bundes Deutscher Kriminalbeamter und Paolo Balboni, geschäftsführender Direktor der European Privacy Association (EPA). Die EPA ist eine von der Wirtschaft finanzierte Organisation mit Sitz in Brüssel, die sich für Datensicherheitsinteressen der Unternehmen einsetzt.

Die Teilnehmer der Podiumsdiskussion über IT-Sicherheit (von links nach rechts): Paolo Balboni (EPA), Andy Müller-Maguhn (Chaos Computer Club), Bernd Seidel (Moderator), Bernd Carstensen (Bund Deutscher Kriminalbeamter), Prof. Dirk Heckmann (Universität Passau).

 

IT und Datensicherheit passen nicht zusammen

Das düsterste Statement kam erwartungsgemäß von Andy Müller-Maguhn. »IT und Sicherheit, das ist eine Illusion. Das passt einfach nicht zusammen.« Damit setzte er den Ton für die Diskussion. Professor Heckmann, der unter anderem auch als Gutachter für den Deutschen Bundestag tätig ist, wollte das nicht ganz so pessimistisch sehen. Schließlich hätte sich auch im Analog-Zeitalter jeder am Leitz-Ordner bedienen und Daten klauen können.

Im digitalen Zeitalter dagegen gebe es so etwas wie eine »gefühlte Unsicherheit«. Ist es in Wirklichkeit also gar nicht so schlecht bestellt um die Privatsphäre und den Datenschutz? Müller-Maguhn mochte da nicht zustimmen und verwies darauf, dass gegenüber der Leitz-Ordner-Ära eine blitzschnelle Auswertung und Analyse aller Daten möglich sei.

Datensauger aus Kalifornien

Einig waren sich allerdings alle Diskussionsteilnehmer, dass in Sachen Datenschutz mehr Transparenz nötig sei: klare Informationen für den Verbraucher, wie das jeweilige Unternehmen mit seinen Daten umgeht.

EPA-Mann Paolo Balboni wehrte sich allerdings gegen die Idee, Unternehmen sollten per Gesetz zur Transparenz verpflichtet sein. Er trat für eine freiwillige Selbstverpflichtung der Unternehmen ein, einen Code of Conduct wie sie mit den privaten Daten ihrer Kunden umgehen sollten.

Für das Problem, dass gigantische Datensammler wie Google oder Facebook ihren Firmensitz außerhalb Deutschlands, nämlich in Kalifornien haben und deshalb in Europa einer wirksamen Kontrolle weitgehend entzogen sind, hatte jedoch keiner der Teilnehmer eine schnelle Lösung.

Datenschutz mit Software as a Service

Die Probleme mit der Datensicherheit treffen aber nicht nur Privatanwender. Auch Unternehmen haben genügend Anlass, sich um die Sicherheit ihrer Daten zu sorgen. Hier versucht das Marktforschungsunternehmen Forrester in einem aktuellen Report den Nutzen von Software as a Service-Diensten für die Unternehmen zu beschreiben. Autor der Studie ist der Analyst Rick Holland.

Angesichts einer Flut neuer Endgeräte wie Smartphones, Tablet PCs oder Netbooks und dem Trend zum Cloud Computing wird der Job der IT-Sicherheitsverantwortlichen immer komplizierter. Zumal steigende Anforderungen nicht automatisch mit größerem Budget beantwortet werden. Vielmehr stehen die meisten IT-Experten und Administratoren vor der Herausforderung, mit stagnierendem Budget auf ein immer komplexeres Gefahrenszenario reagieren zu müssen.

Eine freiwillige Selbstverpflichtung der Unternehmen ist beim Datenschutz besser als gesetzliche Vorschriften, meint Paolo Balboni.

Andere Prioritäten verdrängen die Sicherheit

So berichten beispielsweise 33 Prozent der Security-Verantwortlichen aus einer Umfrage, dass notwendige Sicherheitsmaßnahmen häufig deshalb unterblieben, weil ihr Unternehmen gerade andere Prioritäten setze. 27 Prozent machen den Personalmangel für ungenügende Sicherheitsmaßnahmen ihres Unternehmens verantwortlich.

Basis der Befragung waren laut Forrester 2353 Security-Entscheider aus Nordamerika und Europa, darunter auch aus Deutschland.

Forrester empfiehlt den Unternehmen Software-as-a-Service-Dienstleister (SaaS) zu nutzen, die cloudbasierte Lösungen für Content Security anbieten. Damit könnten sich vor allem Chief Information Security Officers (CISOs) das Leben leichter machen.

Vorteile von Software a Service

Der Report führt eine ganze Reihe von Vorteilen von SaaS an. So seien herkömmliche Security-Lösungen sehr komplex, da nun mal sehr unterschiedliche Sicherheitsbereiche abgedeckt werden müssten. Diese reichen von klassischem Virenschutz und E-Mail-Verschlüsselung über Data Leak Prevention (DLP) bis hin zur Zugangskontrolle für einzelne Mitarbeiter. Und das Management der mobilen Endgeräte mit allen ihren potenziellen Sicherheitslücken macht den Job auch nicht gerade einfacher. Laut Juniper Networks sind die Angriffe auf Mobilgeräte mit Android seit Sommer 2010 um 400 Prozent gestiegen.

Ein grundlegender Vorteil von SaaS sei, dass Sicherheit deutlich weniger komplex und wesentlich flexibler zu gewährleisten sei als mit den herkömmlichen großen Sicherheits-Suiten, die im Firmennetzwerk installiert sind. Der IT-Administrator muss keine neue Hardware anschaffen, zudem ist ein SaaS-Dienst einfach und schnell zu skalieren. Wenn also beispielsweise neue Mitarbeiter für Projekte eingestellt werden, dann können diese und deren Endgeräte schnell und unkompliziert in die eingebunden werden.

Nur sechs Prozent für Content Security

Aus der Forrester-Umfrage geht weiter hervor, dass 66 Prozent aller Unternehmen 2012 genau so viel Geld für Security ausgeben wollen wie in diesem Jahr, davon allerdings nur sechs Prozent des Security-Budgets für Content Security. Offenbar soll hier gespart werden.

Laut Forrester ist SaaS eine besonders wirtschaftliche Art, Content Security zu gewährleisten. Denn typischerweise werden SaaS-Dienste Lösungen ja als Pay-per-Use abgerechnet, d.h. das Unternehmen zahlt nur für die Funktionen, die es tatsächlich nutzt und nur für die Arbeitsplätze, die tatsächlich davon profitieren. Darüber hinaus könnten die Dienste vertraglich flexibel geregelt sein. Statt sich für zehn Jahre an einen Anbieter zu binden, sind auch kurze Verträge von nur einem Jahr möglich.

Außerdem sparen IT-Manager Kosten, da sie die jeweiligen Sicherheitslösungen nicht mehr selbst installieren und verwalten müssen.

Auch für den Einsatz von Mobilgeräten könnten SaaS-Modelle auf vergleichsweise bequeme Weise die Sicherheit erhöhen. Laut Forrester wird bei SaaS der von Mobilgeräten verursachte Traffic innerhalb des nächsten Netzwerkknotens auf Malware inspiziert, so dass der Anwender keine Wartezeiten in Kauf nehmen muss, beispielsweise weil der Datenverkehr auf dem Firmenserver erst auf Malware inspiziert werden muss.

51 Prozent nutzen schon E-Mail-Filter

In Teilbereichen haben die Unternehmen den Umzug auf SaaS bereits vollzogen. So hatten 2010 nur 34 Prozent der IT-Verantwortlichen angegeben, dass sie über einen SaaS-Service für E-Mail-Filterung verfügen. In diesem Jahr sind es schon 51 Prozent.
Im gleichen Zeitraum ist die Rate der Unternehmen, die eine Filterfunktion für Web Content abonniert haben, von 21 auf 39 Prozent gestiegen.


Forrester zählt aber auch die Gegenargumente auf. Wer einen Cloud-Anbieter beauftragt, für Content Security zu sorgen, muss diesem Zugriff auf Daten gewähren und gibt damit auch die Kontrolle über die Daten auf. Dies ist ein Punkt, der 66 Prozent der IT-Manager Kopfschmerzen bereitet. Gleichzeitig bleibt aber die Verantwortung für die Daten beim Unternehmen selbst. Für Aspekte wie Einhaltung der Compliance-Vorschriften oder bestimmter Privatsphäre-Regeln nach wie vor das Unternehmen verantwortlich.

Hinzu kommt, dass kein Cloud-Anbieter perfekt ist. So muss man sich bei externen Anbietern durchaus auch auf Auszeiten oder Server-Ausfälle gefasst machen, so geschehen bei Amazons Webdienst der im August und im April 2011 zeitweise ausgefallen war.

Die von Unternehmen finanzierte European Privacy Association hat ihren Sitz in Brüssel und beschäftigt sich auch mit dem Thema Sicherheit und Cloud Computing.

Laut Forrester überwiegen aber letztlich die Vorteile wie Einfachheit, Flexibilität, Skalierbarkeit und Wirtschaftlichkeit.

Drei Wege zur Cloud

Unternehmen könnten drei verschiedene Strategien einschlagen. Sie könnten erstens die vorhandene IT-Infrastruktur so lange weiter nutzen bis die entsprechende Hardware am Ende ihres Lebenszyklus angelangt ist und währenddessen schrittweise auf SaaS-Dienste wie etwa Mail-Filter umsteigen.

Sie könnten zweitens eine hybride Vorgehensweise wählen und zusätzlich zu den vorhandenen Sicherheitssystemen ein SaaS-Angebot abonnieren.

Oder sie könnten drittens SaaS-Dienste für bestimmte Funktionen wie etwa Content-Filter nutzen und andere Bereiche wie etwa Data Loss Prevention (DLP) oder Verschlüsselung weiterhin auf konventionelle Weise erledigen.

Wenn es den Chief Information Security Officers dann auch noch gelingt, mobile Endgeräte der Mitarbeiter in die IT-Infrastruktur einzubinden, dürften sie in punkto Sicherheit auf dem bestmöglichen Stand sein.

IT-Professor Heckmann aus der Dell-Diskussionsrunde würde wahrscheinlich von einer »gefühlten Sicherheit« sprechen.

Lesen Sie auch :

Hälfte der Unternehmen nicht auf Datenschutz-Grundverordnung vorbereitet

Hortonworks Data Cloud jetzt auch über Amazon Web Services

BMC automatisiert S/4HANA-Workloads