„Cloud kommt sicherer daher als herkömmliche Anwendungen“

Ob Online Banking oder ein Backup am Smartphone – Cloud-Anwendungen zu nutzen, ist für viele Menschen Alltag. Doch wie sicher ist das? Carsten Fischer, stellvertretender Chef für Cybersicherheit bei der Deutschen Bank, taucht mit uns ins Thema ein.

Warum die Cloud sicherer ist als viele denken. Erklärt in 99Sekunden

Warum setzen heute so viele Unternehmen auf die Cloud?

Weil die Cloud ein enormes Transformationspotenzial hat. Ihr Vorteil ist Skalierbarkeit. Das heißt: Unternehmen haben über die Cloud jederzeit Zugriff auf riesige Rechenleistungen. Gerade, wenn Firmen stark wachsen, können sie quasi in Echtzeit Kapazitäten erhöhen. Das ist in der digitalen Ökonomie, in der die Verarbeitung von Daten eine große Rolle spielt, unabdingbar. Zusätzlich spart man mit der Cloud Kosten, weil man selbst nicht mehr so viel Rechenleistung für Spitzenzeiten vorhalten muss.

Was ist die größte Schwachstelle der Cloud-Technologie?

Man kann sich das so vorstellen: Auf der einen Seite gibt es die herkömmliche Netzwerkwelt, auf der anderen Seite die Cloud. Wenn eine Firma die Cloud nutzt, gibt es dazwischen eine Verbindung. Und gerade hier muss man aufpassen. Diese Verbindung muss genau so verschlüsselt und gesichert werden wie die Cloud und die herkömmliche Netzwerkwelt. Denn die Fehler passieren meist nicht in der Cloud selbst.

Sondern?

Entweder in dieser Verbindung oder direkt in der herkömmlichen Netzwerkwelt bei den Kunden der Cloud-Anbieter, also den Firmen. Der Cloud-Anbieter schützt etwa vier Fünftel des gesamten Systems. Er bietet vor allem die Verschlüsselung der Daten in der Cloud an. Für den Teil, der beim Kunden des Cloud-Anbieters liegt, und für die Verbindung zwischen seiner herkömmlichen Netzwerkwelt und der Cloud ist der Kunde selbst verantwortlich. Hier werden die meisten Angriffe beobachtet.

Die Fehler passieren meist nicht in der Cloud selbst.

Liegt das daran, dass die Cloud sicherer ist als der Teil, der beim Kunden liegt?

Die Cloud kommt sicherer daher als herkömmliche Anwendungen. Das hat mehrere Gründe: Die Anbieter von Cloud-Dienstleistungen haben sich auf Sicherheit spezialisiert und entsprechend gute Leute. Außerdem übersteigen ihre Budgets die von herkömmlichen Firmen bei weitem. Es ist ihr Geschäftsmodell, eine sichere Cloud zur Verfügung zu stellen. Wenn ihnen das nicht gelänge, würden sie rasch vom Markt verschwinden. Deshalb haben sie so gute Standards.

Wer stellt denn die größte Gefahr für die Systeme dar?

Da gibt es mehrere: Am gefährlichsten sind Hacker, die für Nationen wie beispielsweise Nordkorea oder andere arbeiten. Andere Hackergruppen wollen Geld erbeuten, indem sie Unternehmen angreifen oder versuchen, in den Zahlungsverkehr einzugreifen. Es gibt den Wald-und-Wiesen-Hacker, der ein System knacken will, Auftragshacker und schließlich die netten Hacker. Die schauen nach Schwachstellen, weisen einen darauf hin und machen den Fall erst öffentlich, wenn die Schwachstelle behoben ist.

Am gefährlichsten sind Hacker, die für Nationen (…) arbeiten

Nutzer zögern, ihre Daten in Clouds außerhalb Europas zu speichern. Berechtigt?

Es gibt einen Unterschied zwischen Privatleuten und Unternehmen, die in die Cloud gehen. Während für viele Privatleute Cloud-Dienste kostenlos sind, sie dafür der Nutzung ihrer Daten zustimmen, zahlen Firmen für die Leistung, behalten aber die Datenhoheit. Sie bekommen eine Art eigene Umgebung in der Cloud. Dort können sie viel stärkeren Einfluss auf den Schutz ihrer Daten nehmen. Unternehmen können übrigens vertraglich vereinbaren, dass die Daten europäischer Kunden auch in Europa bleiben.

Was werden in Zukunft die größten Risiken für die Cloud-Sicherheit?

Da sehe ich vor allem zwei Themen: Zum einen Quantencomputer, die die bisherigen Verschlüsselungsverfahren auf einen Schlag knacken und damit überflüssig machen könnten. Allerdings bin ich zuversichtlich, dass die heutigen Cloud-Anbieter hier Schritt halten werden und bereits jetzt geeignete Abwehrmechanismen entwickeln. Die zweite Gefahr resultiert aus der zunehmenden Vernetzung, die wir über das Internet der Dinge erleben.

Firmen können (…) vereinbaren, dass die Daten europäischer Kunden in Europa bleiben

Welche Gefahr droht hier?

Wenn Hacker in das Netzwerk einer Firma einbrechen wollen, suchen sie nach dem schwächsten Punkt. Das könnte eine mit dem Netz verbundene Kaffeemaschine sein wie es sie inzwischen häufiger gibt. Sind die Hacker im Netzwerk, dann suchen sie weitere Schwachstellen. Auch hier gilt: Die Cloud-Technologie an sich ist sehr sicher. Sie erleichtert den Einsatz von vernetzten Geräten, auf deren Sicherheit Unternehmen achten müssen, um kein Einfallstor zu schaffen.

Welchen praktischen Tipp würden Sie uns noch geben?

Genau wie bei den Firmen: Schaffen Sie keine Einfallstore. Nutzen Sie ein VPN, also ein Virtual Private Network, wenn Sie im öffentlichen WLAN unterwegs sind, lassen Sie sich nicht ausspionieren, wenn Sie fremde Geräte benutzen. Und legen Sie sich ein sicheres Passwort zu! Es sollte so stark sein, dass es nicht leicht zu knacken ist, aber so einfach, dass man es sich noch merken kann. Ich nutze dafür unter anderem eine Passwort-App, und beim Zugangscode gilt für mich: jede Stelle mehr zählt.

Dieses Interview wurde geführt von Georg Berger

Über Carsten Fischer

Carsten Fischer ist stellvertretender Chief Security Officer bei der Deutschen Bank und Regional Lead für TDI Deutschland. In der Bank arbeitet er seit fast 25 Jahren in vielen verschiedenen Funktionen, hauptsächlich in der IT, im Risikobereich und seit zehn Jahren in der Cybersicherheit.

Im Chief Security Office treibt er derzeit die neue Threat Driven Strategy voran, unterstützt von seinem Security Architecture Team und vielen anderen, um die Umsetzung der neuen Strategie der Bank in den nächsten drei bis vier Jahren sicherzustellen.

Georg Berger

… ist interessiert daran, wie Cloud Geschäftsmodelle verändert. Gleichzeitig fragt er sich, welche Einfallstore die Technologie schafft und wie man sich am besten schützt.