Im März 2021 kündigte Google Cloud ein neues Angebot names ” Risk Protection Program ” an, das seinen Cloud-Kunden – zunächst in den USA , demnächst auch in Deutschland – dabei unterstützen soll, Sicherheitsrisiken zu reduzieren.
Source: Google Cloud CISO im Interview: “Kunden waren zu lange selbst verantwortlich”
Dazu hat sich Google mit zwei Partnern zusammengetan, nämlich den Münchner Versicherungsunternehmen Allianz und Munich Re. Die Versicherer haben eine spezielle Cyberversicherungspolice für Google-Cloud-Kunden entwickelt, die sich “Cloud Protection+” nennt.
Das Ziel des Angebots, das laut Google die erste Partnerschaft zwischen einem großen Cloud-Anbieter und führenden Cyberversicherern darstellt, ist es, Vertrauen zu schaffen. Und zwar in erster Linie bei Unternehmen, die eine Verlagerung kritischer Workloads in die Cloud erwägen. Bestandteil ist auch ein neues Sicherheitsdiagnose-Tool namens “Risk Manager”. Damit sollen die Kunden ihr Risiko in der Google Cloud messen und verwalten können sowie ein Reporting über ihre Sicherheitslage erhalten. Das kann potenziell dazu führen, dass Anwenderunternehmen weniger für spezifische Cyberversicherungen investieren müssen.
Unsere US-Kollegen von CSO haben mit Original Posthilvenables/" target="_blank" rel="noreferrer noopener">Phil Venables, Vice President und CISO von Google Cloud und ehemals CISO von Goldman Sachs, über Cloud-Sicherheitstrends und darüber gesprochen, welche Auswirkungen Services wie das neue Google-Angebot haben.
Inwieweit ist es für CISOs ein Problem, Compliance-Fragebögen ausfüllen zu müssen, um die eigene Cloud-Sicherheitslage für potenzielle Partner und Kunden zu zertifizieren?
Phil Venables: Anfragen von Kunden, Prüfern und Aufsichtsbehörden zu beantworten, ist ein notwendiger Bestandteil jedes kritischen Service. Bei der Standardisierung solcher Bewertungs-Frameworks gab es zuletzt große Fortschritte, nicht zuletzt im Hinblick auf die verfügbaren Zertifizierungen von ISO, SOC1/2 und mehr. Ein Vorteil eines Compliance-freundlichen Cloud-Services ist, dass eine Reihe von Zertifizierungen verfügbar sind. Sie helfen dem CISO und seinem Team (oder anderen Teams), indem sie alle notwendigen Informationen als Teil der Nutzung des Services bereitstellen.
Wie adressieren neue Services, wie das kürzlich angekündigte Risk Protection Program, dieses Problem?
Venables: Aufbauend auf dem, was wir für die Analyse des Sicherheitszustands und die Compliance-Berichterstattung tun, ermöglicht das Risk Manager Tool in unserem Risikoschutzprogramm eine effizientere und genauere Messung und Verwaltung der Risiken in Google Cloud. Das Risk Manager Tool generiert einen Bericht, der Unternehmen dabei hilft, ihre Sicherheitsrisikolage zu verstehen und als Indikator für ihre Sicherheits-Grundlinie dient. So müssen Unternehmen weniger Zeit dafür aufwenden, ihre Sicherheitseinstellungen zu kommunizieren und können diese durch das Tool effizienter verwalten. Der Bericht kann dann direkt mit unseren Versicherungspartnern Allianz und Munich Re geteilt werden, um die Eignung für spezielle Cyberversicherungen zu beurteilen.
Welche Rolle spielt die Telemetrie bei der Bewertung der Sicherheitslage eines Unternehmens in der Cloud?
Venables: Eine erhöhte Tiefe, Breite und Häufigkeit in Sachen Observability der Sicherheitskonfiguration ist entscheidend und einer von vielen Sicherheits- und Kontrollvorteilen in der Cloud. Es ist wichtig, die Sicherheitsmetriken und die Genauigkeit bei der Risikomessung zu verbessern. Als Cloud-Anbieter nehmen wir eine Sonderrolle ein, in der wir eine Art digitales Immunsystem für unsere Kunden werden können, da wir Probleme erkennen und schnell Unterstützung bieten können. Ein Bestandteil dieser Arbeit ist es, bessere Metriken und Messungen rund um die Sicherheit zu entwickeln. Ich denke jedoch, dass wir Gefahr laufen, zu sehr davon besessen zu sein, den perfekten Satz an Metriken für jeden Kontext zu finden. Mit dem Risk Manager starten wir ein Programm, das auf Best Practices für die Konfiguration von Cloud-Ressourcen des Center for Internet Security Standards basieren.
Was mich an dem Programm begeistert, ist die Möglichkeit, den Kreislauf zu schließen: Unsere Versicherungspartner werden Daten darüber sammeln, welche Indikatoren mit Verlusten korreliert sind und die Tiefe des Feedbacks, das wir unseren Kunden zum Thema Risiko geben, kontinuierlich verbessern.
- Kristian Beckers, Airbus CyberSecurity
Die Cloud-Risiken sind den Unternehmen nicht bewusst genug. Durch Cloud-Dienste erhöht sich die Zahl der Schnittstellen, und die Gefahr des Datenabflusses ins Internet steigt. Mein Tipp ist, mit Pen-Testing bei Cloud-Diensten mehr Awareness für mögliche Cloud-Schwachstellen zu schaffen. - Andreas Nolte, Arvato Systems
Mir sind Fälle bekannt, wo eine große Zahl von Laptops im Handel gekauft wurden und direkt in den Homeoffices zum Einsatz kamen. Eine sichere Konfiguration fehlte ebenso wie die zuverlässige Versorgung mit Patches. Hätten sich die Unternehmen schon vorher um eine cloudbasierte Lösung bemüht, hätte dies viele zusätzliche Risiken vermieden. - Tobias Olgemöller, Axians
Häufig kümmert sich nicht das Mail-Team um die Sicherheit von Office 365, welches den Schutz der internen Mailserver verantwortet. Stattdessen übernimmt häufig das Azure-Team im Unternehmen die Mail-Sicherheit. Mangels fachlichen Know-how kann es dadurch zu gefährlichen Konfigurationsfehlern kommen. - John-Erik Horn, BDO Cyber Security
Was wir in dem letzten Jahrzehnt erlebt haben, jede Unternehmensfunktion hat sich ihre eigene Lieblings-SaaS-Lösung am Markt ausgesucht. Nun sind die Tools etabliert, und der Enterprise Architect versucht für Datenkonsistenz und effiziente Process Flows zu sorgen. Derweil steht der CISO vor diesem Spaghetti an Schnittstellen und Datentöpfen, schlägt sich die Hände über den Kopf und überlegt sich einen Karrierewechsel. Die Vielzahl und Komplexität der eingesetzten Tools, insbesondere in der Cloud, verlangen nach ganzheitlichen Lösungsansätzen, um ein angemessenes Sicherheitsniveau sicherzustellen. Hier ist der Trusted Advisor gefragt, der nicht vom einzelnen Anbieter abhängt, sondern die optimale Lösung für den Kunden entwickeln kann. - Thomas Uhlemann, ESET
Bei dem Wechsel ins Homeoffice fehlten vielfach betriebliche Endgeräte, BYOD war die Folge. Ohne VPN, Mehr-Faktor-Authentifizierung und mit unzureichendem Cloud-Wissen starteten viele Beschäftigte die Cloud-Nutzung. Viele Systeme waren über die Cloud offen zugänglich. Wir haben eine starke Zunahme an RDP-Angriffen festgestellt. - Christian Nern, KPMG
Als die Beschäftigten ad hoc in großer Zahl ins Homeoffice gewechselt sind, entstanden Risiken hinsichtlich Informationssicherheit bzw. Datenschutz durch unautorisierte Datentransfers, durch die Veränderung von Verhaltensmustern in IT-Netzwerken mussten die Erkennungsregeln für Netzwerkanalysen dringend angepasst werden. - Andre Staffe, NTT
Cloud-Risiken gehen mit Überforderung einher. In vielen Unternehmen müssen die Cloud-Migrationen nicht zuletzt durch Corona zügig ablaufen, bei gleichzeitigem Ressourcenengpass. Fehlerhafte Cloud-Konfigurationen können die Folge sein und Cloud-Sicherheitsvorfälle ermöglichen. - Ibrahim Koese, Spike Reply
Für das Cloud Security Management gibt es viele Konzepte, Vorgaben und Standards, wie die CSA Cloud Control Matrix, Providerempfehlungen oder den Kriterienkatalog C5 des Bundesamtes für Sicherheit in der Informationstechnik. Daran mangelt es nicht, doch die Umsetzung darf nicht fehlen.
Wie viel zusätzliche Transparenz und Sicherheit kann die Telemetrie schon jetzt bieten und was muss geschehen, damit sich das weiter verbessert?
Venables: Das Risk Protection Program ist der erste Schritt, unseren Versicherungspartnern den Zugang zu verwertbaren Daten zu ermöglichen, auf denen sie aufbauen können. Die Daten aus dem Tool helfen ihnen, ihre Underwriting-Prozesse zu optimieren und ihre Versicherungspolicen mit der datengesteuerten Technologie, die ihre Versicherten einsetzen, weiterzuentwickeln.
Ich bin der festen Überzeugung, dass wir die Sicherheitsgrundlage allgemein verbessern können, wenn die Kosten für Kontrollen sinken. Je mehr Kontrollfunktionen unsere Plattform bietet, desto mehr profitieren unsere Kunden davon. Dabei brauchen wir Kunden, die die von uns angebotene Sicherheitstechnologie aktiv annehmen, stehen jedoch in der Pflicht, den jeweiligen Business Case herauszuarbeiten und den Adoptionsprozess zu vereinfachen. Unsere besten Sicherheitsfunktionen sind die, über die der Kunde nie nachdenken muss.
Gehen Cloud-Anbieter dazu über, das Compliance-Reporting zu automatisieren? Was bedeutet das für CISOs und ihre Teams?
Venables: Ein wichtiger Teil des Cloud-Betriebs ist die Möglichkeit, die beabsichtigte Konfiguration deklarativ zu definieren und so die kontinuierliche Einhaltung zu überwachen. Dieser Richtlinien- oder “Controls as Code”-Ansatz ist ein wichtiger Bestandteil des Continuous Controls Monitoring. Zusammen mit der Zuordnung dieser Kontrollen zu den Risiko- und Compliance-Zielen ist dies wiederum die Grundlage für ein automatisiertes Reporting, das den Aufwand, der durch Compliance-Sicherung entsteht, drastisch reduziert.
Wie bedeutsam ist es, dass ein Cloud-Anbieter und Versicherungsunternehmen bei so etwas zusammenarbeiten?
Venables: Dies ist die erste Zusammenarbeit zwischen einem großen Cloud-Anbieter und führenden Cyberversicherungsunternehmen. Zu lange waren die Kunden für den Aufbau effektiver Cloud-Sicherheitsprogramme selbst verantwortlich. Das Ergebnis ist, dass Unternehmen die Cloud als ein zu verwaltendes Risiko angesehen haben, statt als eine Plattform für Risikomanagement. Mit dem Risk Protection Program ermöglichen wir unseren Kunden, das alte Modell der geteilten Verantwortung hinter sich zu lassen und zu einem neuen Modell des geteilten Schicksals überzugehen. Dieses beinhaltet detaillierte Anleitungen zur Optimierung der Cloud-Sicherheit, Tools zur Verwaltung der laufenden Sicherheits- und Compliance-Anforderungen und jetzt auch einen vereinfachten Zugang zu Cyberversicherungen mit Preisen, die direkt an eine starke Sicherheitslage gekoppelt sind.
In der Vergangenheit haben Sie von “strukturellen Veränderungen” wie der Schaffung von Informationsaustausch- und Analyse-Zentren sowie einer Aufwertung der Rolle des CISO gesprochen. Gibt es in letzter Zeit weitere erwähnenswerte Entwicklungen auf dieser Ebene?
Venables: Die Cloud insgesamt ist ein gutes Beispiel dafür. Vor allem die Skaleneffekte der Cloud verändern die IT-Sicherheit grundlegend. Das Tempo der Sicherheitsverbesserung und in dem Sicherheitsfunktionen zu Produkten hinzugefügt werden – zu sicheren Produkten, nicht zu Sicherheitsprodukten – beschleunigt sich. Die anderen Cloud-Anbieter haben natürlich ähnliche Fortschritte gemacht. Diese massive, globale Beschleunigung, um die Sicherheit im Einklang mit Agilität und Produktivität zu erhöhen, ist für alle von Vorteil.
Gibt es weitere vielversprechende neue Technologien oder Prozesse, die Ihrer Meinung nach einen großen Einfluss auf Cloud und Sicherheit haben werden?
Venables: Unternehmen benötigen Echtzeit-Geschäftskontext für Sicherheitsdaten. Die Zuordnung von Sicherheitsproblemen zum Business-Kontext, um eine Risikostufe zu bestimmen, ist ein zeitaufwändiger Prozess. Diese Verzögerung führt letztlich dazu, dass Unternehmen einem höheren Risiko für einen Sicherheitsvorfall ausgesetzt sind. Mit der Cloud geht der Trend in eine positive Richtung, denn die Technologie erleichtert die Risikotransparenz – von gut beleuchteten Sicherheitspfaden über deklarative Ansätze wie Configuration as Code, bis hin zu präziseren Inventaren und Diagnosen. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
- Michael von der Horst, Cisco
„Soll eine Multifaktor-Authentizierung plattform-übergreifend und sicher sein, dann empfiehlt es sich, nicht die eines SaaS-Anbieter zu nehmen. Sehr oft wird auch die Absicherung des Endgeräts vergessen. Habe ich kein sicheres Endgerät, kann ich in Richtung Cloud Security machen was ich will – letztendlich bleibt ein ungeschützter Angriffsvektor. Zusätzlich ist es hilfreich den Rückkanal für Malware zu blockieren, also den DNS-Layer inhaltlich zu schützen.“ - Roman Hugelshofer, Ergon
„Die Preise der großen Cloud-Anbieter für ihre Security- und IAM-Services sind deshalb so gering, weil man damit einen Lock-in der Kunden erreichen will. Wer plant, seine Apps auf eine andere Plattform zu übertragen, oder eine Mutlicloud-Strategie zu fahren, steht am Ende da wie der Esel am Berg. Meiner Meinung nach ist es zielführender, einen Dienstleister zu wählen, der Lösungen unabhängiger Hersteller in der Cloud für seine Kunden betreibt.“ - Dr. Steffo Weber, ForgeRock
„Bei großen Unternehmen würde ich bei 90 Prozent der Anwendungen immer das Least Privilege in Frage stellen, vor allem für die Absicherung der Arbeitsplätze. Als wir noch alle ins Büro gehen konnten, konnte ich ohne weiteres an den Schreibtisch meines Kollegen gehen. Da war nichts abgesichert. Wenn wir also das Ganze managerbar und handhabbar machen wollen, sollten wir dann nicht einfach von diesen überdimensionierten Least-Privilege-Anforderungen einen Schritt zurück gehen und dies einfacher gestalten? Bei der Cloudifizierung geht es ja auch um eine Vereinfachung von Geschäftsprozessen.“ - Sascha Spangenberg, Lookout
„Sehr oft reichen die von der Firma bereitgestellten Services nicht aus. Es beginnt schon beim Teilen einer Datei über Googledrive zum Beispiel. Hat der Empfänger keinen Account, müsste der Sender die Datei für jedermann im Internet freigeben. Und so werden Tools aus der Schatten-IT genutzt. Wenn also keinerlei Cloud-Tools zur Verfügung stehen, wird allein das Datei-Sharing schon extrem schwierig. Und da reden wir noch gar nicht von Collaboration. An solchen Dingen sehe ich, dass viele die Digitalisierung verpasst haben, während andere bereits Tools wie Slack oder Teams nutzen, mit denen man schön zusammenarbeiten kann.“ - Alexander Häußler, TÜV Süd
„Education ist eines der Kernthemen. Der Mangel an Spezialisten ist ein großes Problem, das wir mit der Cloud zum Teil zu lösen versuchen. Ganz nach dem Motto: Wir haben nicht die richtigen Leute, also schieben wir es in die Cloud, dann kümmert sich jemand darum. Dass man diesen Leuten aber auch auf die Finger sehen oder sagen muss, was man eigentlich braucht, um die Daten sicher zu machen, wird übersehen. Und so macht man die Fehler, die man früher im Office-Umfeld gemacht hat, nun in der OT und in der Cloud. Wir scheinen nicht aus den Fehlern gelernt zu haben, die uns die Vergangenheit gezeigt hat.“ - Andreas Müller, Vectra
„Früher war der Gedankenweg: ich baue eine große Mauer und dann passt alles. Bildlich gesprochen sind die Angreifer aber einfach aussen herum gelaufen. Das funktionierte, weil hinten meist ein Tor offen stand. Das ist der große Gedankenfehler, den wir auch heute immer noch machen. Diejenigen, die jetzt für die Cloud Security zuständig sind, stammen aus der selben alten Denke. Deshalb liegt die große Herausforderung genau darin, diese überholte Denkweise über Bord zu werfen und neu anzufangen. Security ist ein geschäftskritischer Prozess. Diese Erkenntnis muss in den Unternehmen ankommen. Erst dann kann man sich um die individuell richtige Antwort auf das Warum, Was und Wie kümmern. Auch weil es technologisch nicht die eine Standardauskunft für alle Gegebenheiten und Eventualitäten gibt.“ - Arno Edelmann, Verizon
„Viele User nutzen Cloud-Dienste auf dem Desktop. Und so ist bei vielen Firmen die Cloud bereits da, obwohl es die Kollegen nicht wissen. Dementsprechend muss ich das ins Kalkül nehmen, bevor ich überhaupt den Weg in die Cloud beschreite. Skandinavien ist uns bei der Cloud-Adaption und bei der Planung um Lichtjahre voraus. Gerade bei Kollegen in Finnland und Norwegen sehe ich Dinge, die ich in der Form in Deutschland selbst bei sehr großen Firmen nur selten finde.“ - André Röhrich, q.beyond AG
„Nachdem man sich darüber im Klaren ist, was man eigentlich schützen will, muss man sich fragen: Können wir das? Wenn nicht, was ist notwendig, damit wir es können? So komisch das auch klingen mag, aber man muss sich fragen, ob die eigene Mannschaft das trotz Aus- und Weiterbildung stemmen kann. Oder kann vielleicht ein externes SOC (Security Operation Center) eine Etappe auf der Cyber-Security-Reise sein, Und das ohne erst fünf Security-Spezialisten einzustellen, die aufgrund des Fachkräftemangels sowieso nicht zu bekommen sind? Denkbar ist auch ein Hybridmodus: die eigenen Mitarbeiter ausbilden und einen Partner dazu nehmen, der einen auf dieser Reise begleitet und die eigenen Mitarbeiter coacht.“
Enjoyed this article? Sign up for our newsletter to receive regular insights and stay connected.