Urs Hölzle: «Das Vertrauen in die Cloud steigt»
Entwicklungen bei der Cloud Security
CW: Welche weiteren Entwicklungen beobachten Sie in Sachen Cloud Security?
Hölzle: Neben der Komplexität sehe ich ein Hauptproblem in der Skepsis gegenüber neuer Technik. Container-Systeme sind aktuell die beste Wahl für einen effizienten IT-Betrieb, da bereits VMs, Betriebssysteme, Netzwerkkomponenten und so weiter integriert sind. Die Firewall-Konfiguration fällt für Anwender schon mal weg und dadurch mögliche Lücken in der Cyberabwehr. Ich merke aber – vor allem bei Kunden in Europa –, dass viele an ihren in der On-Premises-Welt bewährten Konzepten festhalten und diese auf die Cloud übertragen wollen.
CW: Das könnte doch helfen, die Hemmungen gegenüber der Cloud zu überwinden. Was stört Sie daran?
Hölzle: Das kann man machen, nur schleppt man dann die gesamte Komplexität der On-Premises-Welt mit in die Cloud. Dabei führt genau diese Komplexität immer wieder zu Sicherheitsproblemen. Der Kardinalsfehler ist, dass sich die Entscheider kaum Zeit nehmen, ihre IT-Architektur an die Cloud anzupassen und zu planen. Um bei dem Beispiel zu bleiben: Containerization bedeutet nicht, dass man alle seine Software auf Micro Services umschreiben muss. Aber es macht Sinn, möglichst viele Workloads über Container zu betreiben. Das erspart einen ganzen Security-Layer, um den man sich nicht mehr selbst kümmern muss. Ähnliches gilt wie erwähnt für die Endpoint-Sicherheit durch den Einsatz von Chromebooks und Chrome in Kombination mit Cloud-Lösungen. Auch hier entfällt ein Teil der Passwortabfragen. Überdies ist man besser gewappnet gegen Phishing als mit klassischen Client-Architekturen.
CW: Das sehen einige IT-Verantwortliche wohl anders. Auch haben sich ihre Systeme bewährt. Weshalb sollte man also einen derartigen Aufwand stemmen?
Hölzle: Der Initialaufwand für den Systemwechsel ist da, aber die Mühe, sich in diese Welt einzuarbeiten, ist sicher geringer, als noch weitere zwei, drei Jahre Phishing und andere Angriffe zu bekämpfen. Manche scheuen vor dem Schritt auch aus Kostengründen zurück. Aber es lohnt sich durchzurechnen, was über die Jahre günstiger käme. Meist realisiert man dann, dass der Erstaufwand deutlich kostengünstiger ist als die laufenden Sicherheitsmassnahmen und das Loch, das ein Schadensfall nach einer erfolgreichen Attacke in die Finanzen reissen würde.
CW: Wer Workloads und Daten einem Cloud-Anbieter überträgt, gibt ein Stück Kontrolle ab. Hinzu kommen Diskussionen über Begehrlichkeiten von Behörden. Wie nehmen Sie Kunden diesbezügliche Befürchtungen?
Hölzle: Der Schlüssel zum Vertrauen ist Transparenz. Wenn jemand von uns auf VMs von Kunden zugreift, etwa um eine Datenbank zu reparieren, erscheint dort ein entsprechender Log-Eintrag. Wir informieren also Kunden aktiv über notwendige Massnahmen und darüber, was wir tun. So weiss der Kunde Bescheid, dass wir das waren und niemand Unbefugtes. Das nennen wir Access Transparency. Soweit mir bekannt ist, bieten das bisher nur wir an. Mit Access Approval melden wir uns zuvor beim Kunden und erst wenn dieser uns die Erlaubnis erteilt, greifen wir auf seine Ressourcen für den Support zu. Ich betone es nochmals: Wir greifen nur auf Ihren Wunsch auf Ihre Daten zu!
Zur Firma
Google Cloud Platform
Die Google Cloud Platform (GCP) ist Teil von Googles Public-Cloud-Angebot. Auf GCP offeriert Google eine Reihe von Cloud- Computing-Diensten. Neben Management-Tools bietet GCP eine Reihe modularer Cloud-Dienste wie Computing, Daten-speicherung, Analytics und Maschinelles Lernen. Ergänzt wird das Angebot durch Infrastructure as a Service, Platform as a Service und serverlose Computerumgebungen.