Sicherheit aus der Cloud: Security as a Service – ein Exkurs

Security as a Service (SecS) ist Teil des Cloud Computing Paradigmas. Es kommt allerdings in der aktuellen Diskus-sion um die Informationssicherheit von Cloud-Services häufig zu kurz, insbesondere auch in der Darstellung ihrer offensichtlichen Vorteile für Unternehmen und Privat-nutzer. Mit Security as a Service wird die Möglichkeit bezeichnet, bestimmte sicherheitsrelevante Techniken

(beispielsweise Proxy, Antispam, Antivirus) aus der eige-nen Netzwerkumgebung in eine Cloud zu verlagern. In diesem Exkurs sollen beispielhaft IT-Sicherheits-Dienst-leistungen beleuchtet werden, die schon heute in der Cloud verfügbar sind.

Die wesentlichen Vorteile liegen bei SecS-Lösungen darin, dass für die zur Verfügung gestellten Sicherheitsfunktio-nen kein eigenes Personal und keine eigeSicherheitsfunktio-nen Hardware-ressourcen mehr benötigt werden. Hierdurch spart der Anwender nicht nur die initialen Anschaffungskosten, sondern auch ggf. anfallende Lizenzkosten für Betriebs-systeme sowie Wartungs- und Erneuerungskosten für die Infrastruktur. Ebenfalls entfallen hier indirekte Kosten für den Betrieb der entsprechenden Server.³⁸ Security as a Service ist somit für diejenigen Unternehmen und Orga-nisationen von Interesse, die die Investitionen in eigene Sicherheitsinfrastrukturen und die Rekrutierung von entsprechenden Spezialisten aus Kostengründen scheuen.

Weiterhin ist die Verfügbarkeit von enormer Relevanz.

Viele Anbieter von Sicherheitslösungen in der „Cloud“

garantieren eine Quote von nahezu 100 Prozent (99,x Pro-zent). Dies wird durch komplex vernetzte Rechenzentren realisiert. Der Zugriff auf administrative Funktionen der jeweiligen Sicherheitslösungen ist von nahezu jedem Ort gegeben. Damit ist die Verwaltung der Lösung nicht mehr an das eigene Unternehmensnetzwerk gebunden.

Beispiel E-Mail-Sicherheit

Eine wichtige SecS-Lösung kommt schon heute im Bereich der E-Mail-Sicherheit zum Einsatz. 90 Prozent des heutigen Emailverkehrs sind unerwünschte Werbe-Mails (Spam). Eine lokale Filterung findet heute noch in vielen Unternehmen statt. Zukünftig werden aber Anti-Spam-Lösungen eher zentral aufgesetzt, wie es heute schon bei den großen Anbietern kostenloser E-Mail-Accounts üblich ist. Der Ansatz vieler Anbieter, Antispam bezie-hungsweise Antivirus in der Cloud abzudecken, zeigt auch bereits Wirkung. Der Vorteil liegt hier klar auf der Hand:

Es wird nur noch der E-Mail-Verkehr an lokale Mailserver

weitergeleitet, der für das Unternehmen relevant ist. Dies spart Ressourcen und administrativen Aufwand.

Außerdem sind Aufgaben wie die Aktualisierung der Lösung, beispielsweise Pattern oder Antispam-Signaturen, nicht mehr abhängig von dem Sicherheitskonzept des einzelnen Unternehmens. Die Expertise im Bereich der Sicherheit ist auch nicht an den jeweiligen Adminis-trator gekoppelt. Auch dies erhöht das Potenzial der Sicherheitslösung.

Bei einer Verlagerung der Sicherheitsfunktionen für E-Mails stellen sich die gleichen Fragen, die sich bei allen Cloud-Services ergeben: Wer hat Zugriff auf meinen E-Mail-Verkehr? Kann man noch unternehmenskritische Daten per E-Mail versenden? Viele Anbieter werden diesen Anfragen zum Beispiel durch Verschlüsselungslö-sungen für die E-Mail-Sicherheit gerecht.

Beispiel E-Mail-Verschlüsselung

Bei Cloud-orientierten Lösungen für die E-Mail-Verschlüsselung hat der Kunde den Vorteil, dass das Schlüssel-Management aggregiert wird und somit keine aufwendigen Austauschverfahren beim Kontakt zu Geschäftspartnern nötig sind. Ebenfalls wird die teils rechenintensive Arbeit des Ver- und Entschlüsselns in den jeweiligen Datenzentren der SecS-Anbieter reali-siert, was zu einer deutlichen Erhöhung der Performanz führt. Einige Dienstleister bieten die Möglichkeit, den Schlüssel-Server lokal zu hosten und diesen somit selbst zu verwalten.

Beispiel „Web-Sicherheit“ – Web Security Appliances

Web Security Appliances sind häufig eine Kombination aus Hardware und Software, über die der Datenverkehr von Unternehmen zentral gefiltert werden kann. Die Appliances schützen vor Viren und Spyware und kön-nen URLs blockieren. Der Vorteil einer Cloud-basierten Lösung liegt vor allem in der hohen Aktualität der

38. Platz im Rack des Serverraums, Kosten für Klimatisierung, Strom etc

Sicherheitslösung und einer optimalen Konfiguration, die sich häufig durch eigenes Personal in der erforderlichen-Qualität nicht erreichen lässt.

Beispiel Endpunktsicherheit

Beim Schutz von Client-Systemen bietet Security as a Service die Möglichkeit, den Sicherheits-Server bzw. die Management- und Konfigurationskomponente in die Cloud zu verlagern. Dies ist insbesondere für kleinere Unternehmen sinnvoll, da hier keine lokalen zusätzlichen Ressourcen wie Hardware, Software oder Personal benö-tigt werden. Ein wesentlicher Vorteil ist die Aktualität von Schadsoftware-Signaturen. Ein weiterer Faktor ist die Mandantenfähigkeit. Fachhändler oder Service-Provider können so auf sehr einfachem Wege Sicherheitslösungen anbieten und mehrere Kundennetze zentral und hoch-verfügbar betreuen. Komplexe Reports und Analysen der Logdateien zählen hier ebenfalls zu den Stärken der Endpunktsicherheit.

Beispiel Ereignis- und Log-Management Ein Ereignis- und Log-Management gestattet es, eine fortlaufende interne Ereignisdokumentation von Netzwerkkomponenten, Betriebssystemen und auch Sicherheitsprodukten des Unternehmens in einer zentralen Plattform zusammenzuführen. Als Ziel sollen Ereignisanomalien und damit Angriffe entdeckt werden, bevor diese eine Auswirkung auf die IT-Systeme des Unternehmens haben. Eine zentrale Verwaltung dieser Daten erhöht die Geschwindigkeit von Sicherheitsnach-forschungen. Zusätzlich können die Daten forensisch

sicher über mehrere Jahre aufbewahrt werden. Auch bei diesem Beispiel hat die zentrale Betreuung in der Cloud wesentliche Vorteile bezüglich Kosten und Qualität der Administration.

Beispiel Penetrationtest

Penetrationtests werden bereits heute regelmäßig von Unternehmen zur Prüfung der eigenen IT-Systeme oder einzelner Komponenten, wie zum Beispiel Webanwen-dungen und Datenbanken, eingesetzt. Cloud-basiertes internes und externes Scannen der Infrastruktur kann über ein zentrales Portal zur Verfügung gestellt wer-den. Der Dienst scannt kontinuierlich auf Schwach-stellen, klassifiziert diese und empfiehlt passende Gegenmaßnahmen.