Sichtbarkeit ist die Grundvoraussetzung für Sicherheit

von Rob Sobers

Gestern Abend habe ich eine ausgezeichnete Episode der Show „This Week in Startups“ gesehen, in der Aaron Levie von Box.net zu Gast war. Aaron ist ein bemerkenswerter junger CEO, der den Eindruck hinterlässt, Unternehmenssoftware nicht nur zu verstehen, sondern auch ernst zu nehmen – eine äußerst seltene Kombination.

Eines der Gesprächsthemen war die Tatsache, dass CIOs und IT-Abteilungen in großen Unternehmen die Cloud-Speichernetzwerke immer mehr als Top-Down- & Bottom-Up-Designs in den Betrieb integrieren.

Darüber hinaus stellte er auch fest, dass immer mehr Fortune-500-Unternehmen Cloud-Lösungen entwickeln oder übernehmen, um diese in ihr Produktangebot aufzunehmen (z. B. Oracle übernimmt RightNow, SAP übernimmt SuccessFactors). Der Cloud-Speicher wurde dabei eingehend diskutiert.

Nach ungefähr 23 Minuten Gespräch zogen die ersten Gewitterwolken auf und das Offensichtliche konnte nicht länger geleugnet werden: Wie steht es dabei um die Sicherheit?

Aaron räumte ein, dass auch die fortschrittlichsten Unternehmen nach der Philosophie arbeiten, verschiedenste Geräte (Macs, PCs, iPhones) und beliebige Software-Programme einsetzen zu können, solange die Daten um jeden Preis gesichert sind.

Ein Versagen darin komme einem groben Fehler gleich. Wir reden hier nicht von MP3-Dateien und lustigen Tierfotos, sondern von geistigem Eigentum, Quellcodes, Patenten, Urkunden und Unterlagen der Personalabteilung etc.

Mit der Weiterentwicklung der Definition von „sicher“, stehen alle IT-Unternehmen einer schweren Entscheidung gegenüber.

Wir müssen ein Sicherheitsmodell entwickeln, das zum heutigen Modell der Arbeitsteilung passt. Wo liegt das richtige Gleichgewicht zwischen Sicherheit und Effizienz? Zwischen Verfügbarkeit und Zugriffssperre?

Levie argumentierte weiter, dass neu definiert werden muss, was Sicherheit und die Verwaltung von Sicherheit bedeutet. So kommt man automatisch zu dem Schluss, dass Sichtbarkeit für Sicherheit steht. Eine uneingeschränkte Sichtbarkeit darüber, wo sich Daten befinden und wer sie verwendet, ebenso wie Sichtbarkeit über jeden Zugriff und jede Aktivität ist vielleicht etwas offener, aber Personen werden das Produkt verwenden und ich kann sehen, was mit den Daten geschieht.

Sichtbarkeit alleine bietet noch keine Sicherheit. Wenn ich die Geschäftsberichte und das geistige Eigentum meines Unternehmens in der Cloud speichere und komplette Sichtbarkeit darüber habe, wer auf meine Daten zugreift, habe ich lediglich erzielt, dem Dieb beim Stehlen meiner Daten zuzuschauen. Das ist vergleichbar mit Banken, die auf Überwachungskameras als einzige Sicherheitsausrüstung vertrauen. Vorausgesetzt, dass Überwachungsvideos und Audit-Trails tatsächlich dafür verwendet werden, unerwünschte Aktivitäten zu erkennen und zu bekämpfen; werden sie von Prüfern lediglich als „Kontrollmaßnahmen“ angesehen.

Genauer gesagt ist Sichtbarkeit eine Grundvoraussetzung für Sicherheit. Kontrollmaßnahmen sind ein entscheidender Teil des Puzzles – sie ermöglichen eine intelligente Konfiguration der „Präventionsmaßnahmen“ und sorgen dafür, dass diese wie vorgesehen funktionieren. Die Kombination aus Kontroll- und Präventionsmaßnahmen hilft dabei, Katastrophen zu vermeiden und zeigt Schwachstellen auf, die man möglicherweise komplett übersehen hat.

Wirklich sichere Unternehmen setzen zusätzlich zur Sichtbarkeit auch auf Richtlinien, Verfahren und Kontrollen, einschließlich Prüfungen, Schutz vor Datenverlust, Inhaltsklassifizierung, angemessener Entsorgung, eDiscovery, Disaster-Recovery und vielem mehr. Diese Systeme zur Prävention und Erkennung von Sicherheitsproblemen haben Jahre gebraucht, um ihre aktuelle Leistung zu erzielen.

Der Entwurf des Cloud-Speichers wird ähnlich lange brauchen, um ein vergleichbares Sicherheitsniveau zu erreichen.

Wenn Sie gerade dabei sind, Geschäftsdaten in Cloud-Speichernetzwerke zu kopieren, stellen Sie sich doch einmal folgende Fragen:

• Selbst wenn Ihnen der Cloud-Anbieter uneingeschränkte Sichtbarkeit über die Zugänglichkeit und Nutzung bietet, wie lässt sich diese Funktion in die vorhandene Infrastruktur integrieren? Andere Cloud-Daten?
• Der Überblick über Zugriffskontrollen und Nutzung ist nicht das einzige Kontrollsystem, das Sie benötigen. Inhaltsanalyse, Geschäftskontinuität und Disaster-Recovery, ebenso wie Aufbewahrungsfristen und Berechtigungsprozesse – all diese Themenbereiche müssen beachtet werden.
• Die IT-Abteilung weiß, wie schwer die Überwachung der Infrastruktur ist, die seit Jahren im Einsatz und unter Kontrolle sind, zu vereinheitlichen – Cloud-Anbieter müssen dies erst noch lernen; ihre Kontrollleistungen variieren stark und die Benutzeroberflächen der Anbieter sind ebenfalls unterschiedlich.
• Unternehmen müssen einen Mindestkontrollstandard für jeden Plattform-, Cloud- oder Vor-Ort-Speicher festlegen. Sichtbarkeit der Zugriffskontrolle und automatisierbare Durchführung von Änderungen, vervollständigen eine Prüfung, die mit anderen Technologien, Inhaltsanalyse, automatischer Archivierung etc. verbunden werden kann.

Diese Probleme der Datenverwaltung alleine zu bewältigen, stellt allein schon eine Herausforderung dar; Google, Amazon und Box zu überzeugen, Ihre Regelungen umzusetzen, obwohl diese ihre eigene Agenda und unzählige andere Kunden mit unterschiedlichen Bedürfnissen haben; das ist eine fast unmögliche Aufgabe.

Die Verheißung der Cloud-Speichernetzwerke ist vielversprechend, aber auch nachdem Sichtbarkeit erreicht wurde, ist der Weg zu Sicherheit noch weit.

The post Sichtbarkeit ist die Grundvoraussetzung für Sicherheit appeared first on Varonis Deutsch.