Die Server sind weg, die Verantwortung bleibt

«Das Internet wird verschwinden», sagte Ex-Google-CEO Eric Schmidt am World Economic Forum 2015. Es verschwinde, weil IP-Adressen mit dem «Internet of Things» allgegenwärtig würden. Das Internet durchdringe bald alles und werde damit unsichtbar. Die Aussage erinnert an Entwicklungen im IT-Betrieb: Was früher eine IT-Umgebung ausmachte, nämlich Performance von Rechnern, Storage und Netzwerk, ist mit der Cloud zur Selbstverständlichkeit geworden. Die IT wird diffus. Das macht den Betrieb von kritischen Anwendungen nicht einfacher. Denn die Sicherheit erfordert neue Fähigkeiten.

Verschmelzung der Grenzen

Mit wenigen Klicks läuft ein System in der Cloud. CPU, RAM und Storage sind fast unendlich vorhanden. Performance und Uptime sind selbstverständlich. Ausser virtuellen Systemen stellt die Cloud auch den Betrieb von Containern oder ganzen Anwendungen wie einer Datenbank als Service zur Verfügung. Entwickler können Container vom eigenen Notebook direkt in die Produktion verschieben – mit ein paar Skriptzeilen ist eine Datenbank angelegt.

Was früher in Form von Rechenzentren, physischen Servern und Kabeln logisch voneinander getrennt war, verschmilzt in virtuellen Gefilden. Die Gewaltentrennung zwischen Netzwerk- und Serveradministration verwischt. Eine Entkoppelung von Aufgaben wie Betriebssystempflege und Applikationsbetrieb ist nicht mehr möglich und nicht mehr nötig. Selbst Verfügbarkeit und Elastizität von Diensten können als Services aus der Cloud bezogen werden. Dies birgt Risiken, wenn Daten schützenswert sind. Risiken, da es der eigenen Organisation kaum mehr möglich ist, zu wissen, wie die Datenströme fliessen, wo die Daten liegen und wer auf welche Daten Zugriff hat.

Neue alte Aufgaben: Architektur, Überwachung und Access-Management

Aus IT-Betriebssicht hat sich mit der Verschiebung von Anwendungen in die Cloud nichts Grundlegendes geändert. Noch immer ist der unterbrechungsfreie 7x24-Betrieb von Anwendungen das Kerngeschäft einer internen oder externen IT-Betriebsorganisation. Doch die Werkzeuge verändern sich. Expertise und Know-how braucht es neu für Architektur, Überwachung und Access-Management.

Der Architektur gilt mit immer zahlreicheren Services aus der Cloud das Hauptaugenmerk. Welche Daten wo liegen, ist die wichtigste Frage. Je nach Klassifizierung werden sie in der Cloud (aus dem Internet erreichbare Anwendungen ohne Datenhaltung) in verschlüsselten Datenbanken oder in einem sicheren Rechenzentrum gehalten. Immer öfter werden die Optionen in hybriden Modellen verbunden. Das hat zum Vorteil, dass bestimmte Services wie etwa der DDoS-Schutz von den Cloud-Kapazitäten profitieren. Performance und Sicherheit erfordern dann jedoch Layer-2-Verbindungen zwischen der Anwendung in der Cloud und den Daten im Rechenzentrum.

Weiter ist zu bestimmen, wie Betriebssystem und Anwendung getrennt werden. Mit dem Aufkommen von Microservice-Architekturen (SOA) ist man gut beraten, interne Vorgaben zur verwendeten Technologie sowie zu Logging und Monitoring zu definieren. So bleibt die Komplexität der eigenen E-Health-Anwendung überschaubar und der Betrieb kann standardisiert werden.

Auch Back-up und Restore werden anspruchsvoller. IT-Betriebsorganisa­tio­nen müssen wissen, welche Systeme «datenlos» sind und nach Zwischenfällen neu deployed werden können und welche Systeme Daten halten, die bei Bedarf wiederherstellbar sein müssen. Selbst bei datenlosen Systemen ist es sinnvoll, die Konfiguration in zentralen Systemen zu speichern. Back-ups und Restores werden oft mehrstufig umsetzt. Es ist sinnvoll, einzelne Datenbanken zu exportieren und die in sich konsistenten Dumps auf ein weiteres Medium in einer Second Site zu sichern.

Eine Verschlüsselung der Daten vor dem Verlassen des Datenservers kann sinnvoll sein. Gegenüber den Endanwendern sollten die Eckdaten über Speicherdauer und maximal möglichen Datenverlust bekannt gegeben werden. Im Zusammenhang mit der neuen Datenschutzverordnungen GDPR (General Data Protection Regulation, EU) und DSGVO (Datenschutz-Grundverordnung, Schweiz) sollte zudem ein Datenverarbeitungsvertrag aufgesetzt werden.

Zentrale Überwachung

Je dezentraler die Systeme, desto wichtiger ist die zentrale Überwachung. Für das Management von E-Health-Anwendungen müssen Verfügbarkeit, Leistung sowie Ereignisse über alle Systeme und Anwendungen über eine Konsole beobachtet werden können. Dabei sind externe Logs aus der Cloud – etwa von einer Web Application Firewall (WAF) – genauso wichtig wie das Log eines Applikationsservers oder jenes einer Datenbank. Die Logs dienen der Intrusion Detection für Netzwerk und virtuelle Systeme und zur Erkennung von Anomalien oder ungewollten Veränderungen an Systemen und Daten.

Eine zentrale Überwachung liefert zusätzlich auch Leistungszahlen zu Antwort- und Verarbeitungszeit, zur Anzahl aktiver Benutzer und zur Auslastung einzelner Container oder Systeme. Die Herausforderung für den IT-Betreiber liegt darin, Daten zu interpretieren und für Entwickler und Business relevante Informationen und Empfehlungen aufzubereiten.

Access-Management

Wenn Anwendungen auf Cloud und Rechenzentrum verteilt sind, wachsen die Herausforderungen für die Steuerung und Überwachung der Zugänge auf Systeme und Daten. Davon betroffen sind Systemadministratoren und die Aufgaben von Management und Back-End. Solche Arbeiten bedingen meistens persönliche Accounts sowie eine starke Authentisierung. Damit die Sicherheit gewahrt ist, erfolgt die Verwaltung dieser Zugänge und Rechte an einer zentralen Stelle, losgelöst vom Zugang für Endanwender. Alternativ kommen Identity-Access-Management-Systeme zum Einsatz, die ein zentrales Log-in mit Delegation/Federationsdiensten zur Verfügung stellen. Dadurch erfolgen Verwaltung und Log-in an einem Ort und getrennt von der effektiven E-Health-Anwendung. Die Anmeldung in der Cloud-Anwendung erfolgt dann über ein Ticket. Benutzerdaten wie Benutzername oder Passwort werden nicht in der Cloud-Anwendung verarbeitet.

Audit

ISO 27001 und andere Zertifizierungen werden von den E-Health-Anwendern zu Recht gefordert. Damit ist sichergestellt, dass für alle oben erwähnten Aufgaben Regelwerke und Prüfvorgehen existieren und diese jährlich durch externe Stellen kontrolliert werden. Leistungserbringer müssen beispielsweise Anwendungen auf Schwächen überprüfen. Dies wiederum bedingt Systeme, die Zugriff auf alle Konsolen, Server und Anwendungen vor und hinter einer Firewall haben.

Solche Scanner-Systeme und ihre Auswertungen sind wieder besonders schützenswert, da in diesen IP-Adressen, Versionen von verwendeter Software sowie entsprechende Schwächen ersichtlich sind.

Segregation of Duty

Jede Organisation muss Business, Entwicklung und Betrieb sinnvoll trennen. Wer die eigene IT-Betriebsorganisation durch Serviceprovider ergänzt, erhöht die Sicherheit dank des Vier-Augen-Prinzips und erhält Unterstützung, um klare Abläufe im Change-Management umzusetzen. Mit einem externen Serviceprovider lässt sich der Administratorzugang einschränken. Somit ist für die eigenen internen Mitarbeiter die Manipulation von Daten oder Auswertungen kaum mehr möglich. Vorteile bringt eine klare Segregation of Duty auch für eine Zertifizierung, weil so die Verantwortlichkeiten und damit verbundenen Prozesse klar einer Partei zugeordnet sind.

Darin liegt der Kern der Herausforderungen für den IT-Betrieb im Cloud-Zeitalter: Je mehr Systeme verschmelzen und sich Hardware verflüchtigt, desto grösser muss das Bewusstsein für Verantwortlichkeiten sein. Einfordern muss diese Verantwortung der Anwendungsanbieter.