Wie bei jeder Entscheidung für eine IT-Strategie gilt es im ersten Schritt den aktuellen Status der Unternehmenssicherheit zu analysieren. Parallel dazu wird geprüft, welche Auswirkungen bestimmte Maßnahmen auf die Geschäftsprozesse haben. Danach evaluiert man üblicherweise Risiken und Chancen der verschiedenen Möglichkeiten.
Gerade bei Diensten und Anwendungen aus der Cloud sind die Vorbehalte deutlich größer, da es um Sicherheit - oder eher Unsicherheit - von Unternehmensdaten geht. Dabei wird aber gerne vernachlässigt, die Datenvorhaltung in der eigenen Firma genauso kritisch zu überprüfen wie die unterstellten Sicherheitsrisiken in der „Wolke“. In aller Regel fällt es Unternehmen durchweg leichter Anwendungen auszulagern, die nicht zu den Kernprozessen innerhalb der Wertschöpfungskette gehören. Grundsätzlich gilt es abzuwägen, welche Daten man einem SaaS-Provider anvertrauen will. Wo möglicherweise die Inhouse-Expertise oder die nötigen Ressourcen fehlen, sind Cloud-Lösungen eine Option.
Faktor Zeit: Warum Proxy- und URL-Filter nicht ausreichen
In vielen Firmen ist es bisher üblich, spezifische Einzelprodukte wie Proxy- und URL-Filter an jedem Internet-Breakout zu installieren und sie einzeln in Verzeichnisdienste zu integrieren, manuell für die nötigen Updates zu sorgen und die unterschiedlichen Systeme zu warten. Darin liegt nicht nur ein immenser Verwaltungsaufwand. Es entstehen auch Lücken im Schutzschirm, denn bei neuen Angriffswellen werden die Updates reaktiv ausgebracht. Die Zeitspanne zwischen der Entdeckung einer aktuellen Bedrohung und dem Schließen der Lücke ist ein Sicherheitsrisiko für den Anwender.
Cyberkriminelle variieren ihre Angriffsmuster inzwischen kontinuierlich und vor allem professionell. Der Zeitfaktor spielt eine entscheidende Rolle beim Ausbringen von Sicherheitstechnologien, ebenso wie die große Bandbreite existierender Bedrohungen.
Von einem Sicherheits-Service muss man fordern, dass er das Spektrum an sogenannten „Advanced Threats“ nicht nur erkennen, sondern beseitigen kann. Die Palette reicht hier von aktivem Schadcode, über Botnets, Cookie-Diebstahl bis hin zu Phishing-Attacken und Browser-Exploits. Will man effizient gegen diese Gefahren vorgehen, sind vielschichtige Filtertechniken erforderlich. Sie überprüfen und sichern den Inhalt jeder einzelnen HTTP- oder HTTPS-Transaktion. Im zeitaufwändigen Systembetrieb, in dem sich die IT-Abteilung um das Verwalten und Warten von Hard- und Software kümmert, können gefährliche Sicherheitslücken entstehen.
Bei einem Cloud-Dienst wird die Sicherheitsintelligenz demgegenüber zentral vorgehalten, das Sicherheitsniveau ist jederzeit auf dem aktuellen Stand. Sicherheitslücken durch zu spät durchgeführte Updates seitens der Anwender entfallen bei einer SaaS-Lösung. Dazu kommt, dass Security-as-a-Service verschiedene Erkennungsmethoden dynamisch und ohne Verzögerungen miteinander kombiniert. Das ist besonders wichtig bei vielen aktuellen Bedrohungen, die sich in Websites und Dateien getarnt haben.
Die Inhalte werden bereits in der Cloud gefiltert und dynamisch klassifiziert. iFrames, Cross-Site-Scripting, Phishing-Versuche, Cookie-Diebstahl, Zero-Day Exploits und Botnet-Aktivitäten werden frühzeitig aufgedeckt und abgewehrt. Da schon in der Cloud gefiltert wird, kommen beim Anwender nur die „sauberen“ Webinhalte an.
Fokus Standort/e
Eine Vielzahl von Unternehmen organisiert sich dezentral. Standorte und Zweigstellen sind weltweit verteilt und der mobile, „always-on“- Mitarbeiter ist mittlerweile Alltag. Eine unternehmensweite Sicherheitslösung muss sich dementsprechend über die Grenzen der Hauptniederlassung hinaus erstrecken. Traditionelle Sicherheitsansätze gehen mit einem ausgedehnten Rücktransport des Datenverkehrs, dem sogenannten Backhauling, einher, wenn nur in der Hauptniederlassung die Sicherheitsinfrastruktur zum Scannen des Webverkehrs bereitsteht. Die Folge: substanzielle Latenzzeiten, die mit der Bereitstellung teurer Bandbreite kompensiert werden.
Ein Service-Modell aus der Wolke leitet den kompletten ein- und ausgehenden Web-Verkehr ohne Umweg über die Firmenzentrale direkt durch die Cloud, egal ob der Traffic vom Hauptsitz kommt oder von den einzelnen Niederlassungen, den Home Offices oder den mobilen Mitarbeitern. Die allgemein gültigen Sicherheitsrichtlinien des Unternehmens werden in der Cloud umgesetzt, unabhängig vom Standort oder dem verwendeten Endgerät. Ein unzeitgemäßes Traffic Backhauling wird dadurch obsolet.
Fazit
Eine eigene Infrastruktur für die IT-Sicherheit zu betreiben wird für die meisten mittelständischen Unternehmen aufgrund der damit einhergehenden Kosten eine zunehmende Belastung, aber auch der Zeitaufwand und das benötigte Spezial-Know-How spielen eine Rolle. Security-as-a-Service-Lösungen sind den Kinderschuhen längst entwachsen und geben eine zeitgemäße Antwort auf den permanenten Wandel von Web-basierten Bedrohungen. Um eine SaaS-Leistung zu evaluieren bieten sich Service-Level-Agreements (SLAs) an, in denen die physischen und organisatorischen Rahmenbedingungen der Dienstleistung dargelegt sind.
Wann kommt ein Security-Service für ein Unternehmen in Frage