Cloud Computing hat sich mittlerweile für geschäftskritische Anwendungen bei Unternehmen durchgesetzt. Dadurch verlagern sich auch zentrale Sicherheitsfunktionen in die Cloud. Dieser Trend hat sich nicht zuletzt aufgrund des pandemie-bedingten Wandels hin zu mehr Remote- und Hybrid-Konstellationen verstärkt. Und damit ist auch der Cyber-Security-Ansatz ein anderer geworden. IT-Auftraggeber gehen weg von Legacy-Systemen hin zu Cloud-Lösungen. Diese Entwicklung ist in den Projekten der MVI SOLVE-IT bereits Alltag. Doch was bedeutet das für die IT-Sicherheit?
Die Nutzung von Cloud-Diensten kommt trotz aller Vorteile nicht ohne IT-Sicherheits-Risiken. Denn Cloud-Anbieter stellen aufgrund des hohen Datenvolumens ein lohnendes Ziel für Angreifer dar. Die größten Risiken sind DDoS-Hacks (Distributed Denial of Service) – Angriffe, bei denen Cloud Server überlastet werden, was zu Störungen bei den Nutzern führen kann. Diese Angriffe nehmen zu, wie große DDoS-Angriffe auf Microsoft, Amazon und Google 2023 zeigten. C&C-Server (Command and Control) senden dabei aus der Ferne schädliche Befehle an ein Botnet oder ein Netzwerk kompromittierter Computer. Die Botnets können verwendet werden, um sensible Informationen wie Kontonummern oder Kreditkarteninformationen zu sammeln oder eben an einem DDoS-Angriff teilzunehmen. Deshalb sind Schutzmaßnahmen entscheidend, um Erpressungsversuchen und dem Missbrauch von Kundendaten vorzubeugen.
Nurdan Eren, Business Unit Leiterin bei der MVI SOLVE-IT für IT Security, bestätigt: “Ja, immer mehr Firmen nutzen Cloud-Technologien und lagern somit die technische Verwaltung von Nutzerdaten aus. Wenn wir dies auf die IT-Security-Anforderungen beziehen, dann ändert sich vor allem das Thema IAM, Identity Access Management.“
Legacy versus Cloud-Technologie
Im bisherigen Umgang mit Legacy-Systemen war der Eigenbetrieb von Systemen üblich, bei dem technische Sicherheitsfunktionen von Abteilungsverantwortlichen selbstverwaltet und programmiert wurden. Dies führte zu geringer Flexibilität bei notwendigen Anpassungen. Im Gegensatz dazu bieten Cloud-Provider heute schon mehr an Funktionalität im Bereich Sicherheit, auch wenn Nutzer gleichzeitig abhängig von deren IT-Sicherheit werden. Dennoch sei die Sicherheits-Überwachung in der Cloud im Vergleich zu Altsystemen erleichtert. Jetzt schon zählen zu den Standardfunktionen in der Cloud Verschlüsselungsmethoden und Monitoring-Tools. „Dies bedeutet für viele Auftraggeber bzw. IT-Abteilungen, dass sie IT-Sicherheit deutlich moderner und komfortabler in ihre Systeme integrieren können. Doch bei beiden, Legacy und Cloud, muss darauf geachtet werden, dass alle notwendigen Verschlüsselungen bei der Datenübertragung passen,“ erläutert Nurdan Eren.
Herausforderungen bei Cloudsystemen für die IT-Sicherheit
Es gibt verschiedene Besonderheiten, die bei der Implementierung von Cloudsystemen beachtet werden müssen. Dies umfasst zum Beispiel die Notwendigkeit VPCs (Virtual Private Cloud) aufzubauen und entsprechend zu konfigurieren, was bei Legacy-Systemen kein Thema war. Zudem ist eine Schlüsselverwaltung (Key Management) essenziell, um keine sensiblen Daten an Cloudanbieter weiterzugeben. Es gibt auch länderspezifische IT-Sicherheitsanforderungen, die Cloudsysteme erfüllen müssen und bei der Third-Party-Integration, beispielsweise mit externen Dienstleistern, ist es erforderlich ein externes Key Management in die Cloudstruktur zu integrieren.
MVI SOLVE-IT schützt geschäftskritische Systeme eines lokalen OEMs
Die MVI SOLVE-IT setzt diese technischen Anforderungen für eine Vielzahl an Systemen bei den Auftraggebern bereits um. Dazu gehören Kunden- und Kaufsysteme, Systeme mit Designdaten der neuesten Modelle, Geodaten (Navigationssysteme mit VIN-Nummern), Zoll-Systeme mit Schnittstellen zu Behörden und Produktionssysteme – alles geschäftskritische Systeme, die es gilt zu schützen.
„Grundsätzlich kann man sagen: Aus IT-Sicherheits-Perspektive ist die Cloud genauso sicher wie Legacy-Lösungen. Aber: Bei der Cloud muss man richtig konfigurieren, damit es wirklich sicher ist. Wenn man allerdings, wie unsere Entwickler und IT-Consultants, sehr erfahren in der Planung und Umsetzung von Cloud-Architekturen ist, dann stellen die Cloudlösungen einen komfortableren und geeigneteren Weg dar, Sicherheit in seine Systeme zu bekommen“, sagt Nurdan Eren.
Die MVI SOLVE-IT ist darauf spezialisiert, den Schutzbedarf von Unternehmen zu analysieren und bietet umfassende Beratungs- und Überprüfungsleistungen sowie Threat Modelling an. Es werden vollständige System-Audits beim Kunden im Rahmen von Integrations-, Migrations- und Compliance-Projekte sowie Software-Neuentwicklungen durchgeführt.
„Die Expertise erstreckt sich auch auf das Security Incident und Event Management (SIEM), wo wir ganzheitliche Lösungen implementieren, um die Sicherheit in einem Unternehmen zu überwachen“, ergänzt Eren. Gleichzeitig werden die potenziellen Risiken im Bereich IT identifiziert, bewertet, gesteuert und überwacht. Ziel im IT-Risikomanagement ist es, IT-Ressourcen zu schützen und das Sicherheitsrisiko auf ein Minimum zu reduzieren. Die IT-Security Expertin bekräftigt „in mehr als 90 Prozent der IT Security-Projekte ist die Prüfung von Cloudsystemen bereits integraler Bestandteil unserer Dienstleistungen.“
Die Umstellung auf die Cloud ist unumgänglich, da die Legacy-Systeme schrittweise abgeschaltet werden. Obwohl Cloud-Lösungen viele Vorteile bieten, erfordere der Anfang eben einen größeren Projekt-Aufwand gemeinsam mit den Kunden, um die Sicherheitsanforderungen an die Cloud präzise zu definieren und dann umzusetzen.“ Die IT Security ist heutzutage ein entscheidender Aspekt– und gerade immer stärker im Kontext der Cloud.