"Ohne Vertrauen geht es nicht", so eröffnete Martin Andenmatten, Präsident von Eurocloud Swiss und CEO von Glenfis das Herbstevent des Fachverbands. Über die Technologie Cloud an sich müsse man heutzutage nicht mehr diskutieren. Jedoch gebe es noch viele Anwender, die an die Cloud herangeführt werden müssen. Hier komme EuroCloud zum Zuge. Man wolle "Brücken" zwischen Anbietern und Anwendern bauen.
Für diese Brücken sei Vertrauen einer der wichtigsten Komponenten - kein blindes Vertrauen, aber ein "stabiles Vertrauen". Dies setzte drei wesentliche Komponenten voraus. Einerseits brauche es Transparenz seitens des Anbieters. Dem Anwender müsse klar vermittelt werden, welche Sicherheitsmassnahmen von Anbietern ergriffen werden.
Zudem brauche es Gewissheit, dass der Provider diese Massnahmen auch umsetzt. Letztendlich müsse auch die Wahrnehmung stimmen. Die Anwender müssen die Präsenz ihres Anbieters spüren können.
Vertraue nicht der Cloud, vertraue den Menschen
Nach der grundsätzlichen Definition des Vertrauensbegriffs beginnen die geladenen Referenten mit ihren Beiträgen. Den Anfang machte Thomas Holderegger, Managing Director von Accenture Security. Für den Ex-Banker ist klar: Vertrauen braucht es nicht in die Cloud als Technologie, sondern in die Menschen, welche die Cloud eines Unternehmens unterhalten.
Vor einem Gang in die Cloud sollten Unternehmen in internen Ausschüssen entscheiden, mit welchen Systemen man in die Cloud gehen will und welche OnPrem gehalten werden sollen. Wichtig sei dabei vor allem, dass nicht nur IT-Menschen in diesen Ausschüssen sitzen, sondern auch Vertreterinnen und Vertreter der Rechts- und Businessabteilung eines Unternemhens.
Auch sollten Unternehmen neue Richtlinien zu den Themen Risk & Compliance speziell für die Cloud festlegen, statt die bestehenden Legacy-Policies zu übernehmen. Denn die Cloud sei anders und brauche entsprechend andere Regulierungen.
Banken in die Cloud
Wie viel sich im Cloud-Bereich schon getan hat, zeigte das Referat von Oliver Wyler, Group CISO der Vontobel Bank. Er begann mit einem Selbstzitat: vor 10 Jahren auf einen möglichen Gang in die Cloud angesprochen, erklärte Wyler "das ist schon aus regulatorischer Sicht gar nicht möglich".
Inzwischen habe sich das jedoch geändert. Heute sagte Wyler: "Ohne Cloud geht es gar nicht mehr." Banken seien inzwischen zu Datenbearbeitungsunternehmen geworden, und die Daten müssen stets verfügbar sein, was nur die Cloud gewährleiste.
Auch weil die meisten Hyperscaler inzwischen auch über Rechenzentren in der Schweiz verfügen, sei es aus regulatorischer Sicht kein Problem mehr, wenn Banken in die Cloud gehen. Nach wie vor gebe es jedoch "latente Ängste", etwa wenn es um den US-CLOUD-Act gehe.
Verteilte Verantwortung
Das nächste Referat hielt Philipp Mangold, CISO von Netrics. Er sprach über das "Shared Responsibility"-Modell der Cloud-Architektur. Wer in die Cloud geht, "muss damit leben können, einen Teil der Kontrolle" abzugeben.
Je nachdem, ob man ein Infrastructure-, Platform- oder Software-as-a-Service-Modell nutze, müsse man weniger oder mehr Kontrolle an seinen Provider abgeben. Auch das verlange ein grosses Mass an Vertrauen gegenüber dem Provider beziehungsweise dem Auslagerungspartner.
Hier sei blindes Vertrauen fehl am Platz. Es brauche regelmässige Überprüfungen und Kontrollen, auf Hardware-, Software- und Serviceebene. Nur so könne die Sicherheit des Cloud-Modells gewährleistet werden.
Der Kanton Zürich in der Cloud
Nach einer Networking-Kaffeepause kam der nächste Anwender zu Wort: Marc Bühler, Leiter IT-Architektur- und Servicemanagement beim Kanton Zürich. Er beschrieb denn Aufbau "seines" Amts und erklärte den Security-Ansatz des Kantons Zürich: Zero Trust.
"Ein internes Gerät ist für uns gleich wenig vertrauenswürdig, wie eines, das aus dem Internet auf unser System zugreift", sagte Bühler. Nur wenn man keinem Nutzer vertraue, könne man der Cloud vertrauen.
Wie genau Zero Trust funktioniert, erklärt hier Nathalie Weiler, Professorin für Cybersecurity an der Ostschweizer Fachhochschule.
Die Risiken und Chancen der Cloud
Zu guter Letzt trat Ernesto Hartmann, Chief Cyber Defence Officer bei Infoguard auf. Er wolle in seinem Referat die Chancen und Risiken der Cloud aus Cybersecurity-Sicht beleuchten. Als Positivbeispiel nannte Hartmann den Microsoft-E-Mail-Service "Exchange".
Unlängst wurden in Exchange einige gravierende Sicherheitslücken gefunden. Als Microsoft über diese Lücken informierte, wurden Kunden, welche den Service im SaaS-Modell über die Cloud beziehen, bereits gepatcht, bevor die Lücken öffentlich gemacht wurden. Wer die Lösung selbst OnPrem betrieb, musste manuell reagieren, während Cyberkriminelle nach Bekanntwerden der Schwachstellen aktiv nach veralteten Systemen suchten. Hier also biete die Cloud den Herstellern eine Chance zum besseren Koordinieren und Ausrollen von Security Patches.
Gleichzeitig stelle die Cloud auch ein Risiko dar, wenn sie von Leuten bedient werde, die sich nicht genug damit auskennen. Hartmann schilderte einen Fall, bei dem ein Unternehmen Opfer einer Ransomware-Attacke wurde, weil ein Systemadministrator mit "unzureichenden Kenntnissen und übermässigen Berechtigungen" ein System in die Cloud transferierte und öffentlich stellte, um die Hilfe eines externen Dienstleisters bei der Konfiguration des Systems einzuholen. Das System wurde zum Einfallstor für Cyberkriminelle, welche einen Schaden von 10 Millionen Franken verursachten.
Es sei daher, wie im ersten Referat der Veranstaltung angesprochen, unabdingbar, dass man den Menschen, welche die Cloud bedienen, vertrauen könne und vor dem Gang in die Cloud definiere, welche Systeme man weiterhin lokal halten muss.
Verschwörungstheorien
Zum Abschluss der Veranstaltung traten alle Referenten noch einmal gemeinsam auf die Bühne, um an einer moderierten Panel-Diskussion teilzunehmen. Zunächst bekam jedoch das Publikum die Möglichkeit, Fragen zu stellen. Schnell kamen die "latenten Ängste" rund um den CLOUD-Act zur Sprache. Wie könne man es verantworten, dass US-Geheimdienste theoretisch "rechtmässig" auf Daten von Schweizer Unternehmen zugreifen könnten.
Die Panel-Teilnehmenden hielten so einen Fall für eher verschwörungstheortisch. Die wahre Gefahr sei der Zugriff durch Cyberkriminelle, welche ein aktives Interesse daran haben, einem Unternehmen zu schaden. Auch sei es so, dass eine NSA oder CIA sich ohnehin Zugang zu Unternehmensdaten verschaffen könnte, wenn sie es denn wolle, egal ob die Daten in der Cloud seien oder nicht.
Nach der durchaus angeregten Diskussion zwischen Panel und Publikum, ergriff noch Giancarlo Palmisani, Mitglied der Geschäftsleitung Swico, das Wort und lud die Teilnehmenden ein, ihre Gespräche beim Apreo Riche weiterzuführen.