Der Einsatz neuer Technologien gehört auf den Prüfstand

Die Cloud richtig absichern

Während der Pandemie wurde in vielen Unternehmen der Betrieb kurzfristig auf Cloud-Anwendungen umgestellt und Störungsbehebung oder Installationen per Fernwartung durchgeführt. Aufgrund des unerwarteten Zeitdrucks wurden die hierfür notwendigen Entscheidungen vielfach überstürzt getroffen und Risiko-Bewertung vernachlässigt. Nun sollten die neu eingeführten Konzepte hinsichtlich der IT-Sicherheit genauer analysiert werden.
Businessman searching virus in a internet cable
Bild: ©alphaspirit/stock.adobe.com

Fernwartung macht insbesondere aus Sicht der Kunden von Maschinen- und Anlagenbauern Sinn, denn für diese ist es essenziell, jederzeit den Betrieb aufrechtzuerhalten und Störungen konstant beheben zu können. So lässt es sich einerseits sicherstellen, dass es jederzeit möglich ist, auf die Steuerung der Maschine zuzugreifen als auch andererseits aktiv die Fehlersuche nach realen Defekten durchführen zu können. Um einen reibungslosen Ablauf zu garantieren, bieten Hersteller hierfür zunehmend eigene Cloud-Lösungen – denn diese sind schnell sowie einheitlich einzurichten und ein Großteil der Betriebsaufwände liegt beim Anbieter – an, teilweise erweitert mit Funktionalitäten für eine vorausschauende Wartung. Folglich hatte Cloud Computing in den letzten beiden Jahren einen enormen Zulauf – mittlerweile nutzen, so das Ergebnis einer repräsentativen Umfrage von Bitkom Research, acht von zehn Unternehmen Rechenleistungen aus der Cloud.

Vorteile liegen (theoretisch) auf der Hand

Im Rahmen von Cloud Computing stehen unterschiedliche Service-Modelle gegen Bezahlung zur Verfügung, die im Kern in drei Kategorien subsummiert werden können: Je nach Bedarf kann ein Unternehmen eine gesamte Infrastruktur (IaaS) oder Plattform (PaaS), aber auch einzelne Anwendungen oder dedizierte Software (SaaS) von einem Cloud Service Provider (CSP) in Anspruch nehmen. Dadurch lässt sich ein hochgestuftes Qualitätslevel der Dienste erreichen und kontinuierlich gewährleisten sowie die Höhe der Ausgaben verringern, da fixe Investitionskosten entfallen und die variablen Kosten an der tatsächlichen Inanspruchnahme der Dienste ausgerichtet sind. Hinzu könnte es als Vorteil angesehen werden, dass die Dienste kurzfristig skalierbar sind – sowohl nach oben als auch nach unten. Auch versprechen die Anbieter der verschiedenen Dienste mehr Sicherheit und Verfügbarkeit.

Die Kehrseite der Medaille

Mittlerweile wird offensichtlich, dass Vertrauenswürdigkeit ein zunehmend wichtiger Aspekt ist, der Entscheidungen von Unternehmen bezüglich des Einsatzes moderner IT-Technologien und der Digitalisierung insgesamt beeinflusst. Entgegengesetzt zum Trend der steigenden Nutzung ist das Vertrauen von Unternehmen in Cloud-Anwendungen jedoch heute nicht vollumfänglich gegeben. Es besteht oftmals noch die Befürchtung dahingehend, dass Unbefugte in der Cloud Zugriff auf vertrauliche Daten oder auch den Code – also das Softwareprogramm, mit dem die Daten in der Anwendung verarbeitet werden – erlangen könnten. Insbesondere unter dem Aspekt, dass immer mehr geschäftskritische Daten in die Cloud ausgelagert und diese zumeist an nur einer zentralen Stelle gespeichert werden, lässt die Cloud-Infrastruktur als ein attraktives Ziel für Cyber-Kriminelle erscheinen.

Vor allem Unternehmen im Kontext der kritischen Infrastruktur sollten sich des Themas annehmen, da es durchaus sein kann, dass angloamerikanische Cloudanbieter auf Grund der besonderen Rechtslage in den USA ohne Zusatzmaßnahmen nicht eingesetzt werden dürfen. Risiken sind definitiv nicht nur theoretisch gegeben und Bedenken keinesfalls unbegründet. Denn eine genauere Analyse moderner Software-Architekturen zeigt deutlich, dass vermehrt abstrakte Orchestrierungslösungen verwendet werden, die die technischen Implementierungsdetails von Sicherheitsmaßnahmen intransparent verstecken. Paradigmen aus der klassischen IT sind dabei in vielen Fällen auf den Kopf gestellt, z.B. durch Einschränkung des Zugangs zum Netzwerk, um das Ausnutzen von Schwachstellen durch Angreifer zu verhindern. Ein Vorteil und gleichzeitig das große Risiko der Cloud besteht darin, dass es möglich ist, auf diese in der Regel jederzeit – von jedem – von überall zuzugreifen. Infolgedessen wird für viele Anwendungen eine Reihe neuer Risikovektoren geschaffen, beispielsweise durch überlagernde Netzwerke auf Service-Ebene ohne klassischen Firewall-Schutz.

Wichtiges Wissen für mehr IT-Sicherheit

Die Aufgaben in Bezug auf die IT-Sicherheitsanforderungen in der Cloud sollten in einem geteilten Verantwortungsmodell zugeordnet sein. Wobei es keine Diskussion über die Verantwortlichkeit gibt: Diese liegt stets beim Kunden selber. Denn Verantwortung kann man nicht outsourcen, deshalb ist es immer geboten, die Sicherheitsarchitekturen der Cloudanbieter zu inspizieren und sich nicht von Namen oder leeren Phrasen davon abhalten zu lassen. Die Erfahrung zeigt, dass viele Schutzmaßnahmen, die in der klassischen IT-Welt selbstverständlich sind, oft nicht oder nur eingeschränkt vom Betreiber der Cloud angeboten werden. Zudem sind für viele zugesagte Sicherheitsmaßnahmen Wirksamkeit sowie Verlässlichkeit im besten Falle intransparent und in der Praxis häufig nicht gegeben. Von daher müssen die Verantwortlichen der Unternehmen Fragen stellen. Zum Beispiel: Ist die genutzte Umgebung zertifiziert, etwa nach ISO27001 und werden regelmäßige Sicherheitsüberprüfungen, unter anderem mittels Pentesting durchgeführt. Wie sehen Patchmanagement und Berechtigungen oder weiteres in der geteilten Umgebung aus. Gibt es eine ‚gegen böswilliges Löschen‘ geschützte Datensicherung. Aber Risiken und Einschränkungen können sich auch aus gemeinsam genutzten Ressourcen ergeben – etwa fehlender Zugriff auf Sicherheitsprotokolle oder einer Sperrung, wenn eigene Dienste zusammen mit illegalen Dienstleistungen auf einem System betrieben werden.

Seiten: 1 2Auf einer Seite lesen

Das könnte Sie auch Interessieren

Weitere Beiträge

Sicher auf der x-Achse

Mit steigendem Automatisierungsgrad in Produktion und Logistik wächst die Zahl der Anwendungen, in denen eine sichere Absolutposition benötigt wird. Die dafür vorgeschriebene Redundanz mündet oft in hochkomplexer Technik, deren Integration und Betrieb großen Aufwand erfordern. Die Sensoren SafePXV und WCS von Pepperl+Fuchs bieten hier in der Kombination mit der neuen Auswerteeinheit PUS einfachere Lösungen. Mit diesen Geräten lassen sich SIL3 und PLe mit geringem Integrationsaufwand erreichen.

mehr lesen
Bild: Pilz GmbH & Co. KG
Bild: Pilz GmbH & Co. KG
Effiziente Feldkommunikation mit IO-Link Safety

Effiziente Feldkommunikation mit IO-Link Safety

Auf dem Weg zu einer intelligenten und flexiblen Produktion spielt die industrielle Kommunikation eine zentrale Rolle. So muss etwa eine sichere Datenübertragung bis zu jedem Sensor gegeben sein. Mit IO-Link Safety lassen sich nicht nur die Installation und die Inbetriebnahme beschleunigen, sondern auch die Anlagenverfügbarkeit erhöhen. Erste Lösungen sind jetzt auf dem Markt verfügbar.

mehr lesen
Bild: WIBU-Systems AG
Bild: WIBU-Systems AG
Wibu-Systems und Flecs Technologies bringen Schwung in die Zukunft industrieller Apps

Wibu-Systems und Flecs Technologies bringen Schwung in die Zukunft industrieller Apps

Eine Frage, die sich Entscheider in den Unternehmen täglich stellen, ist: Make Or Buy? Das trifft sowohl auf Softwareschutz und Lizenzierung als auch auf die Umsetzung eines App-Stores oder Marktplatzes zu. DieFirmen Wibu-Systems und Flecs sind eine Partnerschaft eingegangen, um die Entscheidung für KMUs einfacher zu machen. Das Ergebnis: Eine Kombination aus Marktplatz-Technologie sowie Softwareschutz- und Lizenzierungssystem.

mehr lesen