Cloud-Migration im regulierten Sektor: Risiken steuern statt eliminieren
Umsatz, Effizienz, Innovationsfähigkeit: Die Motive für einen Umzug von IT-Assets in die Cloud sind in allen Unternehmen ähnlich. Sicherheit gehört dabei zu den größten Herausforderungen. Im regulierten Sektor kommt noch Compliance hinzu. Um Cloud-Potenziale auszuschöpfen, ist vor allem eines wichtig: Den Unterschied zu verstehen zwischen "Risiken eliminieren" und "Risiken mitigieren" – und Cloud-Ressourcen risikobewusst zu clustern und zu betreiben.
In der EMEA-Region rollt in vielen Unternehmen bereits die zweite oder dritte Welle der Cloud-Migration. Nach einer Foundryco-Studie sind bereits die Hälfte der in der Cloud betriebenen Anwendungen speziell für die Cloud entwickelt worden, während die andere Hälfte aus On-Premises-Strukturen dorthin migriert wurde [1]. Als nächstes großes Ziel nannten die Befragten den Umzug von Kern-Applikationen in die Cloud – jene Software, mit der die Unternehmen den Kern ihrer Leistung erbringen.
Im regulierten Sektor, in dem Banken und Versicherungen agieren, wären das jene Systeme, die für Buchungen, Kontoführung, Policen-Management und Kundenmanagement verwendet werden. Während andere Industrien bereits durchgängig die Security als größte Herausforderung beim Umzug in die Cloud nennen, kommen im regulierten Sektor noch erhöhte Anforderungen an die Informationssicherheit hinzu.
In Deutschland hält die Bundesaufsicht für Finanzdienstleistungen (BaFin) ein wachsames Auge über die Finanzwirtschaft. Und deren Ansatz für Informationssicherheit ist sehr umfassend und integrativ. Ausgehend von der IT-Strategie, über das Identitäts- und Rechtemanagement bis hin zum (ausgelagerten) IT-Betrieb möchte die BaFin vor allem eines wissen:
Warum wird welche Maßnahme zum Schutz welcher Informationen ergriffen?
Die Cloud verändert sowohl Technologien als auch Aufgaben für die IT
Auf diese Frage gibt es im Kontext der Frage um eine Cloud-Migration nur unternehmensindividuelle Antworten. Ein Grund ist die technologische Basis: In der Cloud haben sich bestimmte technologische Standards etabliert. Cloud-typische Anwendungen laufen in containerisierten Umgebungen, kommunizieren mit Cloud-Datenbanken und greifen auf Cloud-Infrastruktur wie Serverkapazität und Rechnerkapazität zurück, die virtuell und beinahe unendlich skalierbar bereitgestellt werden kann.
Passend für diese Strukturen entwickeln sich plattform-native Lösungen, um beispielsweise Cloud-Datenbanken schützen zu können. Eine wichtige Aufgabe für Cloud-IT-Administratoren ist es dabei, Lese- und Schreibrechte für sensible Daten besonders restriktiv zu vergeben und Nutzerkreise zusammen mit den Zugriffsrechten streng hierarchisch zu ordnen. Während das Patching und Updating von Infrastruktur in der Cloud wegfällt, kommt den Konfigurationsaufgaben eine viel höhere Bedeutung zu. BaFin-Mängelberichte für Versicherungen deckten jüngst auf, dass gerade der Bereich Identitäts- und Rechtemanagement häufig noch hakt [2].
Warum gerade Mängel im Rechtemanagement ein Problem darstellen, zeigt das Szenario eines Ransomware-Angriffs. Dabei versuchen Angreifer, die Empfänger von Emails dazu zu verleiten, eine Schadsoftware (Verschlüsselungstrojaner) auszuführen. Die Schadsoftware kann sich über Schnittstellen und Netzwerke verbreiten und alle Daten infizieren (verschlüsseln), die sie bearbeiten kann. Werden Rechte nicht restriktiv vergeben, kann im schlimmsten Fall die gesamte Unternehmens-IT von der Schadsoftware infiziert werden – mit sehr hohen Folgekosten.
Modelle für eine Cloud-Migration: Kosteneffizienz überdeckt Compliance-Ziele
Auf der Ebene IT-Strategie haben Unternehmen mehrere Szenarien für eine Cloud-Migration zur Auswahl:
- "Lift and Shift" bedeutet, alte Systeme ohne nennenswerte Änderungen auf Cloud-Infrastrukturen zu (re-)hosten.
- "Cloud Native" bedeutet, Anwendungen von Grund auf neu zu coden, damit sie die Vorteile der Plattformen voll ausschöpfen können.
- "Transform and Shift" (auch: "Refactoring") bedeutet, die Anwendungen vorher für die veränderten Möglichkeiten der Cloud anzupassen.
Wie die Grafik zeigt, findet eine Bewertung dieser Auswahl zumeist unter dem Aspekt der Zeit- und Kosteneffizienz statt. Unter diesem Blickwinkel erscheint das einfache Re-Hosting attraktiv, weil dafür keine zeit- und kostenintensiven Anpassungen nötig sind.
Doch diese Lift-and-Shift-Lösung ist in den meisten Fällen weder nachhaltig noch sicher. Denn Anwendungen profitieren vor allem dann von der Cloud-Umgebung, wenn sie die Skalierbarkeit der verfügbaren Computing-Power auch nutzen können. Dazu wäre aber in der Regel eine Änderung am Code nötig. Damit die Anwendungen mit den von den Plattformen bereitgestellten Management-Tools harmonieren, müssen sie zudem containerisiert werden. Dann lassen sich auch Prozesse wie die Entwicklung, das Patching und das Bereitstellen für verschiedene Nutzer und Clients mit einem hohen Automatisierungsgrad organisieren.
Doch bei all diesen Überlegungen muss über die Kosteneffizienz und Performance hinaus auch noch die Compliance mit einbezogen werden. Nur wenn die Bereitstellung von Software und der damit verbundene Datenzugriff regelbasiert und zudem zugänglich für cloud-basierte Security- und Access-Lösungen funktioniert, kann auch der Regulatorik-Anspruch erfüllt werden.
IT-Sicherheit aus Sicht der Informationssicherheit
Der für regulierte Unternehmen zugrunde liegende Maßstab für IT-Sicherheit ist Informationssicherheit. Es ist für das Verständnis des gesamten Themas eminent wichtig, diese Perspektive richtig zu verstehen. Denn das Schutzziel der Informationssicherheit sind Daten. Genauer gesagt, die drei auf Daten bezogenen Schutzziele lauten:
- Verfügbarkeit: Sind Daten jederzeit technisch zum Abruf bereit?
- Vertraulichkeit: Ist der Zugriff auf Daten logisch-hierarchisch geregelt?
- Integrität: Sind Daten vor Einflüssen geschützt, die sie verwässern oder verfälschen könnten?
Aus dieser dreidimensionalen Perspektive bezieht der Ansatz seinen großen Mehrwert. Denn dadurch wird effizient vermieden, dass Anstrengungen zum Schutz der Daten vor Risiken bezogen auf Verfügbarkeit, Vertraulichkeit und Identität als teurer Selbstzweck ausgeführt werden. In einfachen Worten ausgedrückt: Regulierte Unternehmen, die beispielsweise eigene Server oder USB-Sticks vor Diebstahl schützen, tun dies nicht aus Angst vor dem Hardware-Verlust. Sondern sie schützen die Hardware, weil ein Diebstahl die Verfügbarkeit der Daten gefährdet.
Und die Anstrengungen zum Schutz dieser Daten sind umso höher, je wahrscheinlicher das Risiko des Diebstahls eintritt und je größer der potenzielle Schaden durch den Verlust genau dieser lokal gespeicherten Daten wäre. Aus dieser Perspektive heraus könnte ein Umzug von eigenen Servern auf Cloud-Server auch als Strategie zum Schutz der Verfügbarkeit von sensiblen Daten angesehen werden, die auf eigenen Servern nur mit hohem Kostenaufwand zu schützen wären.
Cloud-Migration erfordert unter dem Aspekt der Informationssicherheit also eine erweiterte Herangehensweise und Perspektive. Zentral ist dabei ein Soll-Ist-Abgleich von Quellsystemen und Zielsystemen. Im Detail müssen Quellsysteme, deren strategische Perspektive und deren Management vor dem Umzug daraufhin analysiert werden, wie sensibel die darin verwalteten Daten sind und wie diese aktuell (Ist) und in der Cloud (Soll) mit dem Fokus auf die Ziele Vertraulichkeit, Integrität und Verfügbarkeit ausreichend geschützt werden können.
Cloud-Migration und Compliance: Cloud-Readiness setzt Datentransparenz voraus
Auf Regulatorik spezialisierte IT-Dienstleister haben für diese systematische Analyse Begriffe wie "Cloud-Readiness-Check" geprägt. Die Experten führen dabei eine Strukturanalyse durch, die sich auf die verarbeiteten Informationen, die etablierten Prozesse und Technologien bezieht (den sog. "Informationsverbund"). Damit lässt sich ein Reifegrad ermitteln, der aussagt, wie gut ein reguliertes Unternehmen bereits heute in der Lage ist, seine kritischen Informationen zu schützen.
Die Voraussetzung für den Schutz von Informationen ist Datentransparenz. Datentransparenz bedeutet, dass das Unternehmen alle Daten kennt, die verarbeitet werden und diese nach Risiko und Schutzbedarf klassifiziert hat. Darauf aufbauend kann das Unternehmen dann grundlegende Prozesse wie das Security-Incident-Management definieren. Ein solcher Prozess beantwortet die Frage, wie relevante Ereignisse für die Informationssicherheit festgestellt und behandelt werden. Ein Security-Incident-Management umfasst einen Detection- und einen Response-Teil.
- Beispiel für einen Detection-Teil ist das Security-Information-and-Event-Management (SIEM). Dieses implementiert anhand von Use-Cases (Gefahrenszenarien) Regeln für die Gefahrenerkennung und kann so auffällige Ereignisse feststellen.
- Auf erkannte Gefahren kann anschließend (im Response-Teil) ein Security-Operations-Center (SOC) mit geeigneten Maßnahmen reagieren. Ein SOC besteht aus Security-Fachleuten, die Signale aus dem SIEM interpretieren und Abwehr-Prozesse starten.
Ob sich die Cloud-Migration unter Compliance-Gesichtspunkten lohnt, hängt schließlich davon ab, ob die nötige Informationssicherheit auf der Zielplattform mit überschaubarem Aufwand organisatorisch und technologisch erreicht werden kann. Häufig schrumpft das Entscheidungsspektrum dann aber zusammen auf den Verbleib der Legacy-IT auf dezentralen On-Premises-Plattformen oder Neukonzeption der Anwendungslandschaft für die Cloud. Der Lift-and-Shift-Ansatz scheidet in aller Regel aus, sowohl was die Wirtschaftlichkeit als auch was die Compliance-Sicherung anbelangt.
Steuern von migrierten Cloud-Ressourcen: Standards sichern die Compliance
Die Beispiele zeigen, wie wichtig ein 360-Grad-Blick auf die Informationssicherheit heute ist, im Rahmen von Cloud-Migrationen, aber auch hinsichtlich des dann folgenden, abgesicherten Betriebs der Cloud-Anwendungen. Hier ist die Realität häufig eine Konstellation, in der mittelständische und auch größere Unternehmen den operativen Infrastrukturbetrieb an spezialisierte Dienstleister auslagern. Auch die geschilderten SIEM- und SOC-Lösungen können gesamthaft von Dienstleistern übernommen werden. Gerade aufgrund der hohen Spezialisierungsgrade der externen Partner ist das oft auch sinnvoll.
Allerdings darf nicht vergessen werden, dass auch in Bezug auf Auslagerungen und Ausgliederungen strenge Vorschriften für die Informationssicherheit gelten. Nach Anforderungen der BaFin muss die gesamte Dienstleistungskette ordentlich nach Sicherheitsaspekten steuerbar bleiben und Standards genügen, die das auftraggebende Unternehmen verantwortet [3]. Dabei ermöglichen es etablierte IT-Standards, dieser Anforderung im IT-Alltag zu entsprechen. Sie liefern Muster für Strukturen und Prozesse, die sich bewährt haben und nach denen sich auch Sicherheitsaspekte ausrichten lassen.
Managed Service Provider mit einer Zertifizierung nach ISO 27001 müssen regelmäßig gegenüber TÜV und anderen Prüfinstanzen nachweisen, dass die internen Prozesse für Informationssicherheit optimiert sind – bis hin zu regelmäßigen Schulungen für die Mitarbeiter. Betriebsmodelle wie ITIL sorgen zudem für eine hohe Transparenz bezüglich der Verteilung der Zuständigkeiten im geregelten IT-Betrieb. Die Anforderungen an die IT-Dienstleister lassen sich in den zugrundeliegenden Service Level Agreements (SLAs) dokumentieren und damit auch als Nachweis für BaFin-Prüfer gestalten.
Fazit: Schlüssel zur erfolgreichen Cloud-Migration sind Risiko-Management und Change-Management
Wie die verschiedenen Beispiele in diesem Beitrag zeigen, ist es unter regulatorischen Gesichtspunkten nicht gefordert, ein Sicherheitsrisiko vollkommen aus der Welt zu schaffen. Das ist unter ökonomischen Gesichtspunkten – und mit Blick auf die Kreativität der Angreifer – auch nicht realistisch. Tatsächlich geht es darum,
- die Risiken für sensible Daten strukturiert erkennen und managen zu können, d. h. einen Datenstrom rund um die Sicherheitslage in allen IT-Systemen produzieren und daraus regelbasiert Schutzmechanismen und Handlungen ableiten zu können, und
- den nötigen Schutz je nach Eintrittswahrscheinlichkeit und Schadenspotenzial eines Risikos zu etablieren. Das bedeutet, dass vor allem die für den Unternehmenskern wichtigen Daten möglichst strukturiert abgeschirmt werden müssen – strategisch, organisatorisch-technisch und auch physisch.
Wie die Ausführungen darüber hinaus zeigen, ist eine Cloud-Migration im regulierten Sektor bei weitem mehr als "nur" ein technisches Unterfangen. Der gesamte Projectscope umfasst auch neue Aufgaben- und Rollenzuschnitte für Mitarbeiter in der IT. Werden Office-Bestandteile oder Kernanwendungen für die Migration verändert, ist auch das Daily Doing der Fachabteilungen betroffen. Das bedeutet: Ein Shift bedeutet in der Regel auch einen Change. Das bedeutet, dass der gesamte Wandel selbst ein Management benötigt. Einerseits, um die Mitarbeiter auf die neuen Prozesse einzustimmen, andererseits auch in Form von angepassten Sicherheitsschulungen – damit schützenswerte Daten nicht in Gefahr geraten.
Die zentrale Erkenntnis für den erfolgreichen Umzug in die Cloud in regulierten Unternehmen lautet: Weil man Risiken nicht eliminieren kann, geht es darum, diese zu "mitigieren", also maßnahmengestützt abzufedern.
- Foundry: 2022 Cloud Computing executive summary
- matrix: VAIT-Prüfungen: BaFin stellt eklatante Mängel in allen Bereichen fest
- BaFin Auslagerung: IT Outsourcing im Fokus der Aufsicht