Warum Cloud-Infrastrukturen gemäss Elca nicht mit On-Prem-Lösungen nicht zwingend in Konkurrenz stehen

Welche Vorbereitungen müssen Unternehmen treffen, bevor sie in die Cloud gehen?

Fabrice Guye: Sie müssen sich mehrere Fragen stellen. Die ersten sind einfach: Gibt es einen Grund für die Verlagerung in die Cloud, und wird durch eine solche Verlagerung ein geschäftlicher Nutzen geschaffen? Wenn die Antwort "Ja" lautet, und das ist in den meisten Fällen so, dann stellt sich die Frage nach den Risiken. Welchen neuen Risiken ist das Unternehmen durch die Cloud ausgesetzt, und was sind die Kronjuwelen, die in die Cloud verschoben werden? Sobald diese Fragen beantwortet sind, kann eine geeignete Cloud-Strategie für eine erfolgreiche Implementierung entwickelt werden. Die Hauptziele sind immer, den Bedarf und den Zweck zu klären und dann den Übergang zu gestalten.

Welche Sicherheitsrisiken ergeben sich mit einem Wechsel in die Cloud?

Es gibt viele, aber das wichtigste Risiko liegt auf der Hand: Der Wechsel in die Cloud bedeutet, dass man sich in einer Art offenen Umgebung bewegt, die über das Internet zugänglich ist. Es gibt wenig Spielraum für Konfigurationsfehler, da andere (einschliesslich Hacker) live nach Problemen suchen. Eine Fehlkonfiguration könnte oder würde direkt zu einem Datenleck führen, was nicht der Fall ist, wenn Unternehmen ihre Server selbst hosten. Man könnte auch argumentieren, dass Unternehmen durch die Verlagerung in die Cloud ihr Gesamtrisiko erhöhen (was richtig ist) und neue Risiken schaffen, zum Beispiel rechtmässiges Abfangen wie beim US-amerikanischen Cloud Act.

Was sind die grössten Herausforderungen beim Aufbau einer sicheren Cloud-Umgebung?

Es ist immer schwierig, über die grössten Herausforderungen zu sprechen, da sie stark vom jeweiligen Kontext abhängen. Für einige Branchen wie das Finanzwesen ist beispielsweise eine angemessene Ausstiegsstrategie unerlässlich. Im Gegensatz dazu haben einige andere Branchen mehr Bedenken hinsichtlich der Datenresidenz; für andere ist es die Kontinuität des Betriebs. Generell würde ich jedoch das Thema Vendor Lock-in als kritisch und herausfordernd bezeichnen, insbesondere für alles, was mit SaaS-Anwendungen zu tun hat. Wenn ich aber ein Thema spezifizieren müsste, dann wäre es, dass es nicht mehr nur eine einzige Cloud gibt, da die meisten Unternehmen auf eine Mischung aus öffentlichen, privaten und hybriden Umgebungen (IaaS und Saas) setzen. Das bringt natürlich Komplexität in Bezug auf Identitäts- und Zugriffs­management (IAM) sowie Compliance mit sich, aber die Kenntnis mehrerer Umgebungen bedeutet auch zusätzliches, umfangreiches Fachwissen.

Welche sicherheitstechnischen Vorteile bietet eine Cloud-Infrastruktur im Vergleich zu einer On-Prem-Lösung?

Ich bin nicht der Meinung, dass diese konkurrieren sollten, da die Praxis in den meisten Fällen darin besteht, einen hybriden Ansatz zu wählen, der, wie erwähnt, vom Risikoniveau abhängt. Aus der Vogelperspektive könnte man nun argumentieren, dass grosse öffentliche Cloud-Anbieter viel Geld investieren, um sie möglichst sicher zu machen, während kleinere Cloud-Dienstleister dies nicht können. Nichtsdestotrotz bietet die Nutzung eines Cloud-Service-Anbieters mehrere Vorteile: Auf technischer Seite werden alle Lösungen zum Schutz der Kunden eingerichtet und verwaltet, das heisst, sie werden entsprechend der neuen Bedrohungen aktualisiert, und aus organisatorischer Sicht können die Kunden auf die Unterstützung und die umfangreiche Expertise zählen. Und nicht zuletzt – aus Sicht der Einhaltung von Vorschriften und Bestimmungen – auf bestehende Erfahrung und Tools zurückgreifen, die die Komplexität auf ein Minimum reduzieren.

Inwiefern entsteht durch die Nutzung von Multi-Cloud ein Security-Mehraufwand?

Multi-Cloud ist für die meisten Unternehmen Realität, denn laut dem "State of the Cloud Report" von Flexera 2020 haben 93 Prozent von ihnen eine Strategie dafür. Was die Sicherheit betrifft, so hängt sie (wieder) von der Gesamtstrategie ab; wenn eine solche Nutzung geplant wurde, könnte eine angemessene und effiziente Multi-Cloud-Sicherheitslösung eingerichtet worden sein. Ein einfaches Beispiel ist eine Cloud-Konfigurationslösung; einige sind für einen einzigen Cloud-Typ bestimmt, während andere, die nicht teurer sind, mehrere Clouds abdecken können. Ich würde sagen, dass die grösste Herausforderung in den Fähigkeiten liegt: Mehrere Clouds bedeuten mehr Komplexität, was oft verschiedene Profile bedeutet und somit die Personal- und Verwaltungskosten erhöht. Die Lösung solcher Anforderungen ist einfach, indem externe Unterstützung und Managed Services in Anspruch genommen werden.

Was bedeutet ein Wechsel in die Cloud aus datenschutzrechtlicher Sicht?

Der Datenschutz hat mindestens zwei Ziele: die Verhinderung von Datenlecks und die Wahrung der Privatsphäre der Nutzer. Was Datenlecks betrifft, so besteht ein Geschäftsrisiko, und die Anforderungen ergeben sich in der Regel aus regulatorischen Zwängen (z. B. Finma für FSI). Was den Schutz der Privatsphäre der Nutzer betrifft, so ist das Risiko ein anderes, da es sich um Einzelpersonen handelt, aber auch hier gibt es Vorschriften und Gesetze (z. B. GDPR, DSG). Beide Aspekte sollten in der DNA der Cloud-Strategie enthalten sein, und die damit verbundenen Risiken sollten hervorgehoben, verstanden, bewertet und behandelt werden. Es gibt viele Massnahmen, um die Risiken zu verringern; aus technischer Sicht könnten Datenverschlüsselung oder Anonymisierung eingesetzt werden, während aus organisatorischer Sicht der Verbleib der Daten analysiert werden sollte. Neue Technologien wie die Privacy Enhancing Technologies, auch PET genannt, stellen den Status quo infrage und bieten gleichzeitig die Möglichkeit der Cloud-Nutzung.

Die Antworten der weiteren Teilnehmenden des Podiums finden Sie hier.