Immer wieder wird in den Medien über Sicherheitsvorfälle und Datenlecks berichtet: So fand jüngst ein Angriff auf den Fuhrparkservice der Bundeswehr statt, der unter anderem Chauffeurfahrten für Bundestagsabgeordnete übernimmt. Das mag der ein oder andere jetzt als nicht so dramatisch empfinden. Bei Angriffen auf Forschungsinstitute, die z.B. an Corona-Impfstoffen arbeiten, horchen viele eher auf. Und wenn es um ein Datenleck bei einer Fluggesellschaft geht, bei dem unter anderem etwa 2.200 Kreditkarteninformationen inklusive Sicherheitscode abgeflossen sind, steigt das individuelle Besorgnislevel unweigerlich.

Je mehr ein Sicherheitsvorfall die eigene Sphäre kreuzt, desto dramatischer erscheint er. Wie sicher sind unsere Daten in einer Welt voller Smartphone-Apps, Smart Home Gadgets, digitaler Bezahlsysteme oder Online-Vertragsabschlüssen? Und wie spielt Cloud-Technologie hier rein? Dem typischen Endanwender ist nicht klar, wo Daten gespeichert werden und welche Wege diese je nach Anwendungsfall nehmen. Macht es da tatsächlich einen Unterschied, ob Daten auf den Systemen eines public Cloud Anbieters aus Übersee verarbeitet werden oder im gleichen Rechenzentrum (z.B. als „Region Frankfurt“) einen „Käfig“ weiter von einem deutschen Provider? Neben subjektivem Risikoempfinden macht hier typischerweise Regulatorik den Unterschied. Die allgemeine Bedrohungslage spitzt sich für alle Kunden zu und durch die indirekte Natur vieler Angriffe wird das Ausmaß für Versicherungen nicht sofort offensichtlich.

Mythen zur Sicherheit der Cloud

Zunächst einmal: „Die Cloud“ gibt es nicht. In Zukunft werden sämtliche IT-Operations in ein Cloud-Betriebsmodell überführt. Die Grenzen sind fließend, wir reden über hybride Multi-Cloud. Wann etwas in der private vs. public Cloud betrieben wird, entscheiden automatisierte Governance-Controls über unterschiedliche Plattformen – auf Basis entsprechender DevOps- und Security-Vorgaben. Gerade in innovativen Anwendungsfällen, mit denen sich alle Branchen beschäftigen, werden Daten aus den „heiligen Hallen“ (der privaten Cloud) über public Cloud Provider geroutet, harmonisiert und veredelt, um sie für die weitere Nutzung in offenen Ökosystemen z.B. durch fortschrittliche Analytik weiterzuverarbeiten.

Sicherheitsaspekte und -bedenken stellen dabei nach wie vor ein großes Hindernis dar, auch wenn sich die Haltung gegenüber Cloud-Technologien inzwischen grundlegend verändert hat. Erstens weil „die Cloud“ als Enabler für neue Geschäftsmodelle und Innovation unausweichlich ist, und weil zweitens vieles in Bezug auf die regelkonforme Nutzung der Cloud getan wurde.

Für Relativierungen eignen sich typischerweise zentrale Mythen, bzgl. der Cloud wären das insbesondere:

  1. Die Cloud ist unsicher

Cloud-Anbieter verfügen heute in der Regel über mehr Sicherheitserfahrung als klassische Unternehmen und haben zudem größere Budgets für Daten- und Netzwerksicherheit. Welches Versicherungsunternehmen leistet sich ein eigenes Team aus Sicherheitsforschern oder entwickelt eigene Hardware für ihre Zwecke? Physische Sicherheit wird gerne besonders hoch gehalten in Bezug auf „die eigene IT“ – gleichwohl zeigen Studien immer wieder, dass es einfacher ist, sich zu einem Corporate-Rechenzentrum Zutritt zu verschaffen als in ein Rechenzentrum eines public Cloud Providers zu kommen. Und wenn es um unbefugten Zugriff auf Systeme über das Internet geht, macht der Ort, an dem das System steht, keinen Unterschied aus. Bleibt das Unwohlsein, seine Daten in die Hände eines public Cloud Providers zu geben. Hierfür existieren vielfältige Sicherungsmöglichkeiten – neben technischen und organisatorischen Maßnahmen sind jedoch regulatorische und vertragliche Aspekte zu berücksichtigen, die je nach Use-Case nur spezialisierte und erfahrene Juristen beantworten können (und sollten).

2. In der Cloud gibt es mehr Sicherheitsvorfälle

Sicherheitsvorfälle sind in Bezug auf „die Cloud“ nicht bedrohlicher als für jede andere Infrastruktur. Im Gegenteil, prinzipiell sind klassische Hosting-Modelle oftmals sogar anfälliger für Malware oder Botnetze. An vielen Stellen resultieren Sicherheitsvorfälle aus organisatorischen Verfehlungen, z.B. was die Konfiguration oder die Aktualität der zugrundeliegenden Technologien angeht, automatisierte Identifikation und Behebung von unsicheren Konfigurationen kann helfen, resultierende Risiken zu begrenzen.

3. Wenn ich keine Cloud nutze, bin ich besser geschützt

Sicherheitsbedrohungen entstehen nicht dadurch, Anwendungen in der public Cloud zu betreiben, sondern durch Fehler beim Management der Systeme und Infrastrukturen. Autounfälle entstehen auch nicht mehr, nur weil ich das Auto eines Dritten fahre (vs. mein eigenes). Schauen wir uns die eingangs genannten Vorfälle genauer an, war nicht der Ort der Datenspeicherung oder -verarbeitung das Problem. Relevanter sind Fragen wie „Dürfen oder sollten diese Daten überhaupt gespeichert werden?“, „Wie gut sind Personen mit privilegierten Rechten auf Social-Engineering-Angriffe vorbereitet?“ oder „Wie robust ist die Applikationssicherheit – auch in Bezug auf hochspezialisierte Angreifer mit entsprechenden Ressourcen – ausgelegt?“.

4. Die physische Kontrolle der Daten impliziert Sicherheit

Der Zugriff und die dabei relevanten Kontrollmechanismen sind wichtiger als der physische Standort der Systeme und Daten. Social Engineering und Malware machen keinen Halt vor Rechenzentrumsmauern. Und je nachdem, welchen Angriffsvektor man zugrunde legt: Gerade in Bezug auf besonders schützenswerte Daten muss man kritisch hinterfragen, ob Eintrittswahrscheinlichkeit und tatsächliches Schadenausmaß eines (ungewollten) Datenabflusses im Einklang mit den Opportunitätskosten stehen. Eine generelle Fragestellung, die bei der Abwägung von Schutzbedarf und Schutzmaßnahmen sowie public vs. private Cloud beantwortet werden muss.

5. Cloud-Sicherheit ist die Verantwortung des Anbieters

Cloud-Anbieter kümmern sich um die physische Umgebung. Je nach aaS-Modell ist der Kunde für die Sicherheit der darüberliegenden Schichten selbst verantwortlich. Die eigene Fertigungstiefe verändert sich, die Verantwortung jedoch oftmals nicht. „Shared Responsibility“ Modelle sind nichts Neues, nur können sie in Bezug auf Cloud Stacks deutlich feingranularer geschnitten werden und sollten entlang der eigenen Fähigkeiten ausgelegt sein. Versicherungen und ihre internen IT-Provider stehen jedoch weiterhin gegenüber den Kontrollfunktionen und der externen Aufsicht in der Pflicht, angemessene Auslagerungssteuerung zu betreiben, die Erfüllung ihrer Sicherheitsvorgaben durch den (Cloud) Dienstleister sicherzustellen und ihr Risiko durch die Leistungserbringung mit Drittanbietern zu managen.

Es gibt keine 100%ige Sicherheit und es wird sie nie geben. Denn der menschliche Faktor als zentrale Fehlerquelle ist nicht zu verachten. Und ungesteuert kann eine Cloud-Journey das Sicherheitsniveau negativ verändern. Daher ist ein Transformationsbedarf in Bezug auf Funktionen, Tools, Prozesse und Mitarbeiter nicht weg zu diskutieren. Identity Access Management (IAM) sowie (Security) Monitoring und Compliance-Überwachung sind auch ganz ohne Cloud-Technologie schon komplex.

Die Versicherungswelt ist reguliert

Datenschutz ist und bleibt ein hohes Gut und das Thema Regulatorik darf selbstverständlich nie außer Acht gelassen werden. In Deutschland, Österreich und der Schweiz ist der Umgang mit personenbezogenen und -beziehbaren Daten und insbesondere Gesundheits- und Sozialdaten strenger gestaltet als in manch anderen Regionen – und dies hat auch gute Gründe. Gleichzeitig wird der US-amerikanische Cloud Shield/Cloud Act heiß diskutiert, nicht zuletzt dahingehend, wie Zugriffe von Diensten erfolgen (dürfen). Für hiesige Versicherer, die sich mit den Sicherheitsaspekten der Cloud beschäftigen, mag ein „Regioning“ in Europa oder Deutschland möglicherweise nicht ausreichen. Daher sind Hybrid-Multi-Cloud-Ansätze – auch wenn die das IT-Management verkomplizieren – aktuell der einzige Weg, um die Vorteile von public Cloud Angeboten (Innovation, Skalierung, richtig gemacht auch Kosteneinsparung etc.) mit den subjektiven und objektiven Vorteilen einer privaten Cloud zu verbinden.

Security-Aspekte von Beginn an integrieren

Eine Herausforderung von Cloud-Security-Architekturen liegt darin, Cloud-Dienstleistungen und -Provider in das unternehmensweite Sicherheitsmanagement zu integrieren. Dabei stellen sich unter anderem folgende Fragen:

  • Welche Sicherheitsrichtlinien, Frameworks und Methoden müssen aktualisiert werden?
  • Welche relevanten Bedrohungen können oder müssen beim Design und der Einführung von Cloud-Diensten berücksichtigt werden?
  • Welche Maßnahmen greifen beim Fehlen von physischen Kontrollmöglichkeiten?
  • Wie werden (digitale) Identitäten in einem hybriden Multi-Cloud und Ökosystem-Umfeld verwaltet?
  • Wie kann eine Rundumsicht auf sicherheitsrelevante Ereignisse über alle Services erzeugt werden?
  • Welche vertraglichen Kontrollen, z.B. Prüfrechte, sind zu etablieren?

Derartige Fragen sollten am Anfang der Cloud-Journey zielführend beantwortet werden. Sollten Sie zum Thema (Sicherheit in der) Cloud im Finanzdienstleistungssektor Fragen haben, sprechen Sie uns an – auch wenn Sie fundamental anderer Meinung sind als hier dargelegt, stehen wir gerne für ein Gespräch zur Verfügung.