TÜV Rheinland »Private Clouds haben in puncto Security Vorteile«

Hendrik A. Reese, TÜV Rheinland

»Mit der Cloud lagern 
Unternehmen zwar Daten aus, nicht aber die Verantwortung 
für die Sicherheit der Daten.«
Hendrik A. Reese, TÜV Rheinland: »Mit der Cloud lagern Unternehmen zwar Daten aus, nicht aber die Verantwortung für die Sicherheit der Daten.«

Incident-Response-Strategien zählen zu den reaktiven Maßnahmen der IT-Security, die ebenso relevant sind wie die Implementierung eines ISMS (Information Security Management System) oder das Security-Architekturdesign. Doch wie kann Incident Response auch in der Cloud funktionieren?

Hendrik A. Reese, Experte für Cloud-Security und -Strategie bei TÜV Rheinland, nimmt eine Einordnung der Incident-Response-Möglichkeiten bei den verschiedenen Cloud-Services vor.

Markt&Technik: Wie sollten Unternehmen den digitalen Wandel in ihrer eigenen Organisation gestalten?

Hendrik A. Reese: Wichtig ist, dass sie nicht hoffen, "der Kelch" möge irgendwie an ihnen vorübergehen, sondern dass sie sich dem digitalen Wandel aktiv stellen. Wichtig ist auch, sich klarzumachen, dass durch die Einbindung disruptiver Technologien Schnittstellen und damit möglicherweise auch Schwachstellen oder neue Angriffsvektoren entstehen, die eine gezielte Incident Response erforderlich machen können. Denn mit der Cloud lagern Unternehmen zwar Daten aus, nicht aber die Verantwortung für die Sicherheit ihrer Daten.

Was macht eine wirksame Incident-Response-Strategie aus?

Grundlage für wirksame Incident Response ist zunächst einmal die Definition, was die Organisation unter einem Sicherheitsvorfall versteht und welche Prozessschritte bei der Behandlung des Vorfalls einzuhalten sind. Der nächste Schritt ist die Implementierung der Strategie, die Basis dafür ist das automatisierte Erkennen von Sicherheitsvorfällen: durch den Einsatz technischer Tools, die in der Lage sind, das "eine wichtige Signal im großen Grundrauschen" aufzuspüren. Wichtig ist zudem, den Eskalationszeitpunkt zu definieren, zu dem eine gezielte Abwehr - gegebenenfalls auch durch den Einsatz externer Experten - unerlässlich ist.

Wie sieht der ideale Ablauf einer Incident-Response-Strategie in der Praxis aus?

Ein Unternehmen mit wirksamen Incident-Response-Strukturen sollte in der Lage sein, neue Erkenntnisse zu sammeln und zu Analysezwecken zu verwenden. Wichtig sind der Zugriff auf (internes oder externes) Know-how und Ressourcen, um Meldungen und Daten zeitnah auswerten und qualifizieren zu können. Anschließend sind die Incidents zu priorisieren, mit den verfügbaren Datenquellen zu korrelieren und mit Blick auf die Infrastruktur zu bewerten. Außerdem ist zu prüfen, ob angrenzende Systeme betroffen sind. Danach sind alle Sicherheitssysteme entsprechend anzupassen und Workarounds zu erarbeiten, damit die Organisation wieder den Normalzustand erreicht. Die Infektion wird im Hintergrund nachhaltig untersucht und bekämpft sowie detailliert analysiert. Zu empfehlen sind außerdem eine Schwachstellenanalyse sowie präventive Maßnahmen, um vergleichbare Angriffsvektoren zu verhindern.

Die Durchführung dieser Abläufe ist bei Cloud-Strategien stark davon abhängig, wie der Private-Anteil in einer hybriden Cloud aussieht ?

Genau. Im Fokus steht immer die Frage: Kann ich die Ereignisse in der Infrastruktur aktiv selbst überwachen oder muss ich als Cloud-nutzendes Unternehmen dies anderen, also dem Provider, überlassen und darauf vertrauen, dass dieser alles schon richtet? Je nachdem wie die Antworten ausfallen, kann dies für Unternehmen durchaus Compliance-Relevanz haben.

Lassen Sie uns die möglichen Szenarien einmal durchdeklinieren - nehmen wir eine Infrastruktur-as-a-Service-Umgebung.

Gutes Beispiel. Beim Infrastruktur-as-a-Service ist Incident Response eigentlich am besten möglich, denn der User behält auch im Public-Bereich seiner Cloud die Hoheit über die eigenen Systeme. Auf Systemebene ist die Anbindung an das eigene SIEM (Security Information and Event Management) möglich oder aber die APT-Sensoren (Advanced Persistent Threats) tracken in allen virtualisierten Computerhardware-Ressourcen wie Rechnern, Netzen und Speichern den Netzwerkverkehr. Weil wir hier Zugriff auf die Systeminfrastruktur haben, sind Gegenmaßnahmen im Sinne des Incident Response wie etwa die Deaktivierung von Diensten kein Problem. Weil das auf Netzwerkebene für das Cloud-nutzende Unternehmen in der Public Cloud nur eingeschränkt möglich ist, da der Provider in der Regel keinen Zugriff auf seine physische Netzwerkinfrastruktur gestattet, ist zu empfehlen, dass Provider und das Cloud-nutzende Unternehmen eine gemeinsame Response-Strategie entwickeln und ihre Erkenntnisse aus dem physikalischen Netzwerkbereich und der Systemüberwachung innerhalb der Cloud aktiv teilen. Der Zeitfaktor spielt bei Incident Response allerdings eine große Rolle, deshalb geht es nicht ohne abgestimmte Notfallpläne und definierte Eskalationsprozeduren.