Am 28.06.2017 traf sich die eco Kompetenzgruppe Sicherheit zu einer gemeinsamen Sitzung mit EuroCloud Deutschland zum Thema „Wir sind in der Cloud, aber sicher!?“. Der Fokus lag auf Lösungen und Strategien zur sicheren Nutzung von Cloud-Diensten.
Nach einer kurzen Begrüßung der Teilnehmer durch den Leiter der eco Kompetenzgruppe Sicherheit – Oliver Dehning und Andreas Weiss von EuroCloud Deutschland stellte Kristina Vervoort, Regional Sales Director DACH bei Netskope Inc., in ihrem Vortrag „CASB: Sicheres Cloud Enablement!“ das Konzept des Cloud Access Security Brokers (CASB) vor. Bei durchschnittlich über 1000 genutzten Cloud-Diensten in den untersuchten Unternehmensnetzwerken, die Netskope in ihrem aktuellen Cloud Report nennt, zeigt sich nicht zuletzt aus Datenschutz und Compliance Gründen die Notwendigkeit für eine Kontrollmöglichkeit. In dem hierzu ursprünglich von Gartner entwickelten Konzept des CASB stehen die 4 Säulen Visibilität, Compliance, Datensicherheit und Threat Protection im Vordergrund. Hieraus ergeben sich die 3 Hauptaufgaben an ein solches System: Aufdecken der Schatten-IT, sicherer Betrieb von IT-freigegebenen Cloud-Diensten und Kontrolle aller Cloud-Dienste und deren Daten.
Im zweiten Vortrag „Sealed Cloud – Versiegelte Verarbeitung ermöglicht sensibelste Anwendungen auch in einer Public Cloud“ ging Dr. Ralf Rieken, Geschäftsführer der uniscon GmbH, der Frage nach wie sich die Sicherheit von Public Cloud-Diensten mit rein technischen Mitteln gewährleisten lässt. Hierzu wurde im Rahmen des vom BMWi geförderten Trusted Cloud Programms das Konzept der „Sealed Cloud“ entwickelt. Deren Ziele waren es, dass niemand außer dem Nutzer selbst auf die Daten zugreifen kann und auch der Zugriff durch die Betreiber und Administratoren technisch ausgeschlossen werden kann. Dies wird durch eine konsequente Verschlüsselung bei der Übertragung und Speicherung der Daten, einer speziellen Verteilung der hierfür notwendigen Schlüssel, eines besonderen Aufbaus der Infrastruktur und neuartiger Wege des Data Clean-Ups sichergestellt. Im Anschluss stellte er einige auf dieser Basis entwickelte Dienste der uniscon vor.
Nach der Kaffee- & Networkingpause stellte Rainer Stecken, Head of Security Services bei Verizon Deutschland, einen Ansatz zur Absicherung der Cloud Nutzung im Netzwerkbereich vor. Zunächst betonte auch er, dass der klassische Perimeterschutz heute nicht mehr ausreichend ist und man bei der Absicherung nicht mehr an separierte Netzwerke denken soll, sondern eher an Bedürfnisse der Nutzer. Eine Lösung stellt hierbei das Konzept des Software Defined Perimeter (SDP) dar, das von einer Arbeitsgruppe der Cloud Security Alliance (CSA) entwickelt wurde. Dieses folgt der Maxime „You cannot attack, what you can‘t see!“. Nach dem Prinzip einer Dark Cloud wird der geschützte Cloud-Dienst erst nach einem mehrstufigen Authentisierungs- bzw. Autorisierungsprozess sicht- und nutzbar. Hierfür muss der Dienst zunächst isoliert werden. Nach einer Authentisierung bzw. Autorisierung auf Geräte- und Nutzerebene wird eine dynamisch provisionierte Verbindung aufgebaut.
Im letzten Vortrag des Nachmittags „Licht in den Dschungel der Cloud Zertifizierungen zu bringen – Welche Zertifizierung nutzt welchem Provider und/oder Kunden?“ beleuchtete Kathrin Odette Meuthen, Senior Manager – Risk Advisory bei der Deloitte Wirtschaftsprüfungsgesellschaft, die Inhalte und Kernaussagen von verschiedenen Zertifizierungen. Im Detail ging sie insbesondere auf das C5 Testat (Cloud Computing Compliance Controls Catalogue) des BSI ein. In dem umfassenden Anforderungskatalog werden hauptsächlich technische Fragestellungen betrachtet. Die Besonderheit beim C5 ist, dass dieses nur durch Wirtschaftsprüfer testiert werden kann, die dabei auch mit in der Haftung stehen. Diese Art der Prüfung ist besonders im Finanzsektor gefragt. Als Ergänzung hierzu sieht sie die ISO/IEC 27018 Zertifizierung, die neben der technischen Betrachtungsweise auch interne Richtlinien und das spezifische Risiko Umfeld zum Gegenstand hat. Im Anschluss betonte Andreas Weiss ebenfalls die Bedeutung von Zertifizierungen sowohl auf Kunden- als auch Anbieterseite und verweis auf die anstehenden Anforderungen zum Nachweis von Datenschutzmaßnahmen in Bezug auf die anstehende Datenschutzgrundverordnung (DSVGO). Generell ist es notwendig, bei der Menge an Zertifizierungen eine gemeinsame Basis zu schaffen (Trusted Cloud Label) und neue Methoden der automatisierten Prüfung (Next Generation Certification – NGCert) anzuwenden.
Nach einer kurzen Abschlussdiskussion endete die Sitzung bei einem entspannten Get-Together und vielen weiteren Diskussionen zwischen den Teilnehmern.
Einige Fotos der Veranstaltung finden Sie auf Flickr.