IT-Risiken wie Log4j lassen sich mit Cloud-Native-Technologien einfach abwehren. Denn: „Managed Services aus der Public Cloud bieten dem Mittelstand viele Sicherheitsvorteile“, sagt Sönke Ruempler von superluminar. „Klassische Security-Mechanismen greifen heute nicht mehr“, sagt Max Wippert von inovex. Was der Mittelstand über die Public Cloud wissen sollte.
Winter in Deutschland – Sommer in der Karibik. Endlich die ersehnte Auszeit, auf die sich der Chef lange gefreut hat. Schließlich brummt die Firma. Also nur schnell E-Mails checken und ab an den Strand. Doch statt Sand unter den Füßen gibts den ins Getriebe. Der Zugang zur Firmen-IT streikt. Vielleicht nur ein kleiner Ausfall? Aber sicher ist bekanntlich sicher. Schnell steht die Telefonleitung zur IT-Abteilung – und die Stirn in Falten. Im Büro kann niemand Dateien öffnen. Das Firmennetzwerk ist offline. Aufträge lassen sich nicht bearbeiten. Alles schlimm genug, wenn da nicht noch die Server runtergefahren wären, die die Produktion steuern: Das Werk steht still.
Log4j: IT-Bedrohungen mit Cloud-Native-Technologien abwehren
Ransomware befällt Firmenserver im Mittelstand – Anfang Dezember alarmierte eine Schwachstelle in der weit verbreiteten Java-Bibliothek Log4j die IT-Welt. Die Lücke macht es Dritten möglich, beliebigen Programmcode auszuführen. Was sich in vielen Unternehmen schnell zum ernsten Problem auswuchs, parierte IT-Dienstleister QAware dagegen recht gelassen: „Wir haben unsere Container einmal gepatcht und dann überall ausgerollt“, sagt Geschäftsführer Dr. Josef Adersberger. „Innerhalb von 24 Stunden hatten wir alle Systeme im laufenden Betrieb aktualisiert.“
Moderne Cloud-Native-Technologien wie Container machen es möglich, Bedrohungen agiler abzuwenden. Wo IT-Mitarbeitende im Mittelstand sonst laufende Geschäftsprozesse unterbrechen müssen, um Patches manuell zu verteilen, lassen sich Applikationen und IT-Systeme in der Public Cloud einfacher administrieren, was zudem Risiken und Aufwände gleichermaßen hin zum Anbieter verschiebt. Und anders als monolithische Alt-Anwendungen setzt sich Cloud-Native-Software aus standardisierten Bausteinen zusammen. Lose gekoppelte Komponenten, die sich, wo immer sie in Betrieb sind, zentral verwalten und – im Falle von Sicherheitsrisiken wie Log4j – ebenso zentral updaten lassen.
Cloud-Native im Mittelstand: Know-how, Tools und Expert:innen
„Managed Services aus der Public Cloud bieten dem Mittelstand viele Sicherheitsvorteile“, sagt Sönke Ruempler, Mitgründer bei superluminar. „Klassische Security-Mechanismen, wie beispielsweise Penetration Tests nach einem Major Release, greifen heute nicht mehr“, sagt Max Wippert, Head of Project Management and Quality Assurance bei inovex. Aktuelle Zahlen der Agentur der Europäischen Union für Cybersicherheit zeigen, wo die Probleme stattdessen liegen: 66 Prozent aller Angriffe zielen auf den Code in der Softwarelieferkette. Code, wie er auch in Log4j schlummerte. „Um das zu verhindern, braucht der Mittelstand Know-how, Tools und allen voran Expert:innen, die wissen, wo sie hinschauen müssen“, sagt Wippert.
Expert:innen wie QAware, superluminar und inovex. Die drei spezialisierten Cloud-Native-Provider stehen stellvertretend für rund 20 weitere, die sich bereits in der Cloud-Native-Initiative EuroCloud Native (ECN) engagieren. Im Jahr 2020 ist die ECN unter dem Dach von EuroCloud Deutschland gestartet, um Interessen der zumeist jungen Unternehmen oder Start-ups zu bündeln, Austausch zu fördern und Transparenz zu schaffen. „Gerade wenn es um Security und Public Cloud geht, gibt es in Deutschland viel Aufklärungsbedarf“, sagt Ruempler. „Zwar fürchten Unternehmen auf der einen Seite technologische Lock-ins, aber ignorieren auf der anderen, dass eigenentwickelte Applikationen genau ein solcher Lock-in sind.“ Lock-ins, mit Folgen für die IT-Sicherheit: Wenn sich Individualsoftware im Serverraum kaum noch aktualisieren lässt, stehen Dritten mit finsteren Absichten Türen offen.
Cloud-Native-Anwendungen im Mittelstand: Agiles Geflecht sicher managen
Egal, ob über Programmierschnittstellen (APIs), Microservices, Open-Source-Software oder Container: „IT-Landschaften von heute vernetzen dezentrale und öffentliche Infrastrukturen“, sagt Wippert. „Die Public Cloud führt alle Fäden zu einem hochleistungsfähigen und agilen Geflecht aus Applikationen, Anwendungen und Services zusammen.“ Ein Gewebe, das es zum einen entsprechend sicher zu managen gilt – denn der Erfolg des großen Ganzen hängt von der Funktion jedes kleinen Bausteins ab. Und ein Netz, das zum anderen nicht nur Geschäftsmodelle flexibilisiert und Wertschöpfung neu definiert, sondern sich automatisch und intelligent selbst steuert, wenn Hacks auf Software zielen. Zentrale Voraussetzung: „Eine stets aktuelle und gepatchte Landschaft“, sagt Wippert. „Sonst können Public-Cloud-Anwendungen rasch kompromittiert sein.“ Warum das so ist: IT-Invasor:innen nutzen die intelligenten und automatischen Mechaniken zum Nachteil aus, um Schlupflöcher aufzuspüren, Angriffe zu skalieren und Schaden zu maximieren.
Public Cloud pariert unerlaubte Logins, vulnerable Bibliotheken und DDoS-Attacken
„Alle Bausteine von Cloud-Native-Anwendungen hängen voneinander ab“, sagt Ruempler. „Wer dabei auf Managed Services setzt, gibt zwar die Verantwortung für Sicherheit an die jeweiligen Cloud-Plattformen ab, nutzt aber den vollen Umfang an Security Features aus.“ So bietet beispielsweise Amazon Web Services (AWS) Services an, die vollautomatisch unerlaubte Credential-Benutzungen und Distributed-Denial-of-Service-Attacken abwehren. Andere Dienste erkennen, wenn Entwickler:innen unbeabsichtigt Datenbanken veröffentlichen oder scannen kontinuierlich nach vulnerablen Bibliotheken und Codepaketen, wie es bei Log4j der Fall war. Anders dann, wenn Unternehmen eigene Apps realisieren, angepasste Container Images verwenden oder Virtual Machines konfigurieren. „Wer individuell programmiert, der muss selbst gewährleisten, dass der eigene Code am Ende sicher ist“, sagt Ruempler. „Individueller Code ist in der Cloud-Native-Welt kein Asset, sondern eine Last, die zu kontinuierlicher Pflege verpflichtet.“
Egal, ob Firewalls, logische Schichten oder das Segregation-of-Duties-Prinzip: „‘Never Change a Running System‘ war einmal“, sagt Wippert. „Cloud-Native-Software ist nie fertig und auch in puncto Security kontinuierlich anzupassen, zu verfeinern, weiterzuentwickeln und zu aktualisieren“, sagt Ruempler. Nur so bleiben Applikationen aktuell und sicher. Anders vielerorts im Mittelstand. Wippert: „Wer Ist-Zustände im Serverraum konserviert, verliert den technologischen Anschluss und passt am Ende sogar noch eigene Unternehmensprozesse an Software an.“ Ein Irrweg und eine Haltung, die Cloud-Native-Technologie zuwiderläuft: „Wer Stillstand kultiviert, den patchen Plattformen irgendwann zwangsweise, um Sicherheitslücken zu schließen“, sagt Ruempler.
Sicherheit in der Softwarelieferkette: Verifizieren, signieren, zertifizieren
„In einem System aus vielen beweglichen Managed-Service-Bausteinen beschränken sich die Risiken nicht nur auf die selbst entwickelten Anwendungen“, sagt Wippert. „Die nun verwendete Supply-Chain muss ebenfalls beachtet werden, was spezielle Kompetenzen und Tools erfordert. Nur so können beispielsweise Security-Risiken durch Kompromittierungen in Open-Source Code gut adressiert werden.“ Beispiel colors.js: Die beliebte Open-Source-Bibliothek färbt Text in Kommandozeilen. Ruempler: „Wer programmiert, behält so leichter den Überblick.“ Anfang Januar machte der Entwickler seine eigene Software unbrauchbar. Nicht, um Schaden anzurichten, sondern, um eine Botschaft zu senden: Zu oft werden Open-Source-Anbietende noch zu schlecht von den Anwendenden bezahlt. „Auch AWS war von dem Problem betroffen“, sagt Ruempler. Nutzen Attacken derartige Mechanismen in böser Absicht aus, zielen sie auf die leichtfertige Selbstverständlichkeit ab, mit der das Cloud-Native-Ökosystem hochautomatisch ineinandergreift. „Daher gilt es, alles, was sich an Daten, Diensten oder Services in der Softwarelieferkette bewegt, kontinuierlich zu verifizieren und zu minimieren, um Angriffsvektoren erst gar nicht auftauchen zu lassen“, sagt Ruempler.
„Was Cloud-Native-Security bedeutet, ist im Mittelstand nur teilweise bekannt“, sagt Dr. Nils Kaufmann, der die ECN leitet. „Oft wollen die Unternehmen einfach nur mal in die Cloud.“ Das Problem: „Wer sich dann nicht richtig auskennt, macht schnell Fehler“, sagt Kaufmann. „Wer AWS zum ersten Mal nutzt, der findet gewissermaßen nur einen Kasten voller Schrauben vor“, sagt Ruempler. „Wer daraus leistungsfähige und sichere Applikationen zusammenbauen möchte, der muss wissen, wie er die Schrauben festzieht.“ Beispiel Open-Source-Produkt superwerker: Gemeinsam mit dem Provider kreuzwerker stellt superluminar ein AWS-Set-up für Einsteiger:innen bereit, das auch die in puncto Security notwendigen Basisdienste enthält. „In der Public Cloud ist zwar alles kaufbar gegen Einwurf kleiner Münze“, sagt Wippert, „aber wer sich in die Cloud-Native-Welt bewegt und in langlaufenden Release-Zyklen denkt, der ist fehl am Platz.“
Kerngeschäft oder Cloudbetrieb: Mittelstand muss priorisieren
Was die Experten dem Mittelstand auf dem Weg in die Cloud empfehlen: „Priorisieren!“, sagt Kaufmann „Und sich fragen, wie entscheidend Applikationen, Anwendungen und Software für das eigene Geschäftsmodell eigentlich sind“, sagt Wippert. „Zwar brauchen alle Strom“, sagt Ruempler, „aber kaum jemand produziert diesen doch selbst, sondern kauft ihn ein.“ Eine aktuelle Gemeinschaftsumfrage von ISG und ECN zeigt: 85 Prozent der Unternehmen, die bereits Cloud- und Cloud-Native-Technologien anwenden oder den Einsatz planen, erachten es bereits als wichtig oder sehr wichtig, mit spezialisierten Cloud-Native-Providern zusammenzuarbeiten. Die IT-Marktforscher:innen hatten 200 IT-Verantwortliche aus Unternehmen ab 50 Mitarbeiter:innen in Deutschland befragt.