Warum der Umzug in die Cloud mehr Sicherheit bietet, als wir annehmen


Anfang der Woche wurde mein Fahrrad aus meinem Mietshaus in London gestohlen. Leider war ich nicht das einzige Opfer, denn einigen meiner Nachbarn wurde ebenfalls das Rad aus dem Fahrradträger im abgeschlossenen Kellerbereich unseres Hauses geklaut. Sie können sich sicherlich vorstellen, wie wütend und traurig wir darüber waren, dass so ein Verbrechen begangen wurde. Vor allem, weil wir angenommen hatten, dass die getroffenen Sicherheitsmaßnahmen, um unsere Räder zu schützen, ausreichend waren. Es mag für uns diesen Anschein gehabt haben, doch in Wahrheit waren unsere Räder nicht sicher und wir hatten einen grundlegenden Fehler beim angeblichen Schutz der Räder übersehen.

Die getroffenen Sicherheitsvorkehrungen waren darauf ausgerichtet, Leute daran zu hindern, in das Gebäude einzudringen; es gab jedoch keine Sicherheitsmaßnahmen, um Leute, die sich bereits im Gebäude befanden, daran zu hindern, Fahrräder zu entwenden und aus dem Wohnblock hinauszuführen. Als mir das bewusst wurde, musste ich unweigerlich an eine ähnliche Situation denken, die mir bereits innerhalb verschiedener Banken aufgefallen ist.

Die Handhabung und Instandhaltung von Rechenzentren

Die Sicherheit ist und wird immer ein kritischer Faktor für Finanzinstitute sein. Angemessene Sicherheitsstandards aufrechtzuerhalten und gleichzeitig riesige Infrastrukturen zu handhaben und zu warten, bleibt eine schwierige, belastende und kostspielige Aufgabe. Banken müssen die Sicherheit über eine Infrastruktur gewährleisten, die Rechenzentren, Computer, Hardware und Speicherstätten umfasst. Die Komplexität dieser Herausforderung wird durch die Dimension, in der Banken sich bewegen, sogar noch gesteigert.

Dazu kommt, dass die laufende Verwaltung von Rechenzentren und der Infrastruktur erfordert, dass neue Hardware und Betriebssysteme kontinuierlich installiert und Router und Firewalls mit zahlreichen Updates laufend konfiguriert werden. Diese Handlungen müssen durchgeführt werden, während gleichzeitig sichergestellt werden muss, dass Anwendungen, Software und Hardware immer auf dem neuesten Stand und immer verfügbar bleiben.

Verizon hat in seinem diesjährigen Data Breach Investigation Report enthüllt, dass, bezogen auf den Finanzsektor, ein Drittel der bekanntgemachten Schwachstellen innerhalb von 12 Wochen geflickt werden, während zwei Drittel der Schwachstellen drei Monate nach ihrer Bekanntgabe noch immer nicht behoben sind. Nur die Intelligentesten setzen auf ein proaktives „Schwachstellen-Management“, wenn es darum geht, die Netzwerksicherheit zu gewährleisten und haben Prozesse für die: Identifizierung, Verifizierung, Milderung und Behebung von Schwachstellen.

Google veröffentlicht regelmäßig Branchenreports, die Schwachstellen identifizieren, die andere Unternehmen und Drittparteien betreffen könnten. Diese Berichte werden normalerweise dann veröffentlicht, wenn bereits der Versuch unternommen wurde, die betroffene Software oder Hardware auszubessern. Was mit Sicherheit gesagt werden kann, ist, dass Finanzinstitute selbst dann noch mit der Instandhaltung der notwendigen Sicherheitsvorkehrungen kämpfen, wenn die Schwachstellen bereits hervorgehoben wurden.

Viele Banken laufen in die Falle, zu glauben, ihre Sicherheitsmaßnahmen seien angemessen und aktuell. Die Wahrheit ist: Sie sind es nicht und es bestehen noch immer viele Sicherheitslücken in vielen Unternehmen. Das falsche Gefühl von Sicherheit breitet sich weiter unter vielen hochrangigen Persönlichkeiten in Banken aus, die glauben, ihr Unternehmen sei sicher, da sie starke Firewalls einsetzen.

Warum die Cloud Sicherheitsmaßnahmen verstärkt

Der Umzug in die Cloud bringt einige entscheidende Vorteile für Banken mit sich, die sich direkt auf die beschriebenen Probleme mit der Infrastruktur und Sicherheit beziehen. Cloud-Anbieter sorgen dafür, dass Router automatisch geflickt werden und dass die Software für all ihre Kunden immer auf dem neuesten Stand ist. Auf sich allein gestellt können Banken dem nicht nachkommen. Im Gegenzug zu einer einzelnen Bank mit ihrer beschriebenen IT-Infrastruktur bieten alle Cloud-Anbieter enorme Größenvorteile bei der Erbringung ihrer Dienste.

Banken ziehen einen großen Nutzen, wenn sie in die Cloud umziehen. Der Transparenzgrad steigt, denn Cloud-Anbieter erklären den Banken, wie die verschiedenen Sicherheitsschichten implementiert und gewartet werden. Das ist ein wichtiger Faktor, wenn es darum geht, den Nutzen einer Cloud-Infrastruktur zu verstehen, weil Banken dadurch in der Lage sind, zu verstehen und zu sehen, wie die Sicherheitsmaßnahmen tatsächlich funktionieren, wodurch mehr Zuversicht und Vertrauen entsteht.

Die Banken, die mehr zu einer Cloud-Einführung tendieren, sind die, die frühere Sicherheitsbedenken erkannt und verstanden haben, dass sie durch diesen Zug Antworten finden. Banken werden sich nicht trauen, ihre Kernsysteme in die Cloud zu verlagern, außer ihnen wurde im Detail erklärt, wie ihre Geschäfte abgesichert sind.

Wir haben drei Gründe identifiziert, warum ein Rechenzentrum bei Google oder Amazon sicherer ist, als ein einzelnes Zentrum, das von der Bank selbst gewartet wird:

    1. Die Cloud ist technisch besser
    2. Die Cloud bietet mehr Transparenz
    3. Die Cloud zwingt Banken, mehr über Sicherheitsfragen nachzudenken

Aus fachlicher Sicht ist die Cloud viel sicherer als alles, was Banken gerade zu bieten haben; zusätzlich dazu, dass Cloud-Anbieter fortlaufende Software-Updates garantieren, haben sie auch einfach mehr Back-Up-Resilienz in das System eingebaut. Cloud-Anbieter stellen außerdem mehr Transparenz her, indem sie ihre Nutzer beraten, wie diese ihre Sicherheit gewährleisten und aus der Cloud maximalen Nutzen herausholen können. Die Sicherheitsvorkehrungen für die Cloud sind öffentlich zugänglich, bleiben aber gleichzeitig äußert sicher und Beispiele für die berühmte „Sicherheit durch Unklarheit“ gibt es nicht.

Cloud-Anbieter sind in Sachen Sicherheit einfach besser als Banken und viele Leute innerhalb der Finanzindustrie sind dabei, dies zu erkennen und zu verstehen. Bevor es Banken gab, war der sicherste Platz für Geld unter der Matratze des eigenen Bettes, bewacht und behütet durch das eigene Schloss und den passenden Schlüssel. Heutzutage verstehen die meisten von uns, dass Banken ein viel sicherer Ort sind, um Geld aufzubewahren; sie sind besser dafür geeignet, unsere Ersparnisse zu einem verhältnismäßigen Preis zu beschützen. In die Cloud zu migrieren ist ähnlich; wir müssen unsere Ängste überwinden und erkennen, dass der Umzug in die Public Cloud eine ähnliche philosophische Reise darstellt. Ein enormer Teil der Belastung für Banken in Sicherheitsfragen kann dadurch behoben werden, in dem zu Cloud-basierten Plattformen gewechselt wird, die besser ausgestattet sind, um mit diesem Druck umzugehen.

Trotz allem sind Banken noch immer zurückhaltend, wenn es darum geht, ihr Geschäft in die Cloud zu verlagern. Doch Banken, die nicht in die Cloud umziehen und die es nicht schaffen, die sichersten und transparentesten Rechenplattformen, die es heute auf der Welt gibt, für sich zu nutzen, untergraben ihre Sicherheit. Wenn sie so weitermachen, sind sie das Ziel für einfallsreiche Cyberkriminelle.

Ich habe in meiner Situation „nur“ mein Fahrrad verloren, weil ich Vertrauen in etwas hatte, von dem ich dachte, es sei eine sichere, lokale Vor-Ort-Lösung. Banken, die viel mehr zu verlieren haben, sollten die richtigen Schritte einleiten, um zur derzeit sichersten Lösung zu wechseln; und mit Scale, Fokus und Best Practice im Hinterkopf kann diese Lösung nur „Cloud“ heißen.