BSI: „Zur Vermeidung von Cluster-Risiken kann derzeit nur eine Multi-Cloud-Strategie helfen“
Am 19. Juli 2024 waren weltweit zahlreiche Unternehmen und Organisationen von massiven IT-Ausfällen betroffen. Aufgrund eines fehlerhaften Updates des Cybersicherheitsanbieters CrowdStrike liefen zahlreiche Windows-Rechner weltweit nicht mehr korrekt – mit schwerwiegenden Auswirkungen auf verschiedene Branchen, einschließlich Flughäfen, Banken, TV-Sender und Krankenhäuser. The Guardian titelte daraufhin: „Microsoft crashes the World“. Die Ereignisse vom Juli zeigen, wie verletzlich Wirtschaft und Gesellschaft in Zeiten des Internets sind. Darüber wie diese Risiken minimiert werden können und welche Sicherheitsaspekte und andere mögliche Fallstricke speziell bei der Cloudnutzung dringend beachtet werden sollten, haben wir mit Thomas Caspers, Abteilungsleiter Technik-Kompetenzzentren und maßgeblicher Mitgestalter der BSI-Cloudstrategie beim Bundesamt für Sicherheit in der Informationstechnologie (BSI) gesprochen.
DEKOM: Ist der breitflächige Ausfall der IT auch ein Symptom monopolistischer Strukturen beim Cloud-Angebot und tun die Hyperscaler tatsächlich genug, um sich und vor allem ihre Kunden vor solchen Ereignissen zu schützen?
Thomas Caspers: Man muss hier unterschiedliche Aspekte betrachten: Der Sicherheitsvorfall rund um Crowdstrike und die Behebung der Störung betraf vor allem physische Windows-Rechner und hatte nichts mit einer Cloud-Lösung zu tun. Im konkreten Fall waren zudem „nur“ Kunden von Crowdstrike und deren Kunden betroffen, keine Konkurrenzprodukte. Richtig ist, dass in komplexen IT-Strukturen Abhängigkeiten bestehen, das betrifft gerade in diesem Fall auch das Betriebssystem Windows. Auch im weiterhin stark wachsenden Cloud-Markt gibt es mit AWS (Amazon), Microsoft und Google (und in Asien Alibaba Cloud), mehrere große Anbieter, ein Monopol besteht nicht. Aber auch dort gab und gibt es immer wieder Ausfälle, die erhebliche Einschränkungen für Kunden bedeuteten. In solchen Fällen schlagen die Effekte der Skalierung zu. So kann ein großer Vorteil zu einem Nachteil werden. Das ist den Cloud-Anbietern aus Sicht des BSI auch durchaus bewusst, schließlich ist ihr Geschäftsmodell insbesondere von der hohen Verfügbarkeit abhängig. Insofern sehen wir im BSI bei den Cloud-Anbietern enorme Anstrengungen bei der Sicherheit auf allen Ebenen. Und je größer der Anbieter ist, umso mehr ist er in der Lage in Sicherheit zu investieren, was dann wieder allen Kunden zugutekommt.
DEKOM: Wie lassen sich solche Cluster-Risiken strukturell vermeiden?
Thomas Caspers: Wichtig sind hier insbesondere qualitative Softwareentwicklung und Lieferkettentransparenz. Cloud-Anbieter dürfen nur gut entwickelte und getestete Software veröffentlichen und müssen ihre Abhängigkeiten von Subdienstleister kennen und diese nur benutzen, wenn sie nachweislich ebenfalls so hohe Qualitätsstandards der Softwareentwicklung haben. Das hat das BSI schon im C5: 2016 gefordert.
Wir müssen uns aber auch bewusst machen, dass es 100-prozentige Sicherheit nicht geben kann. Nicht in der Cloud und nicht in anderen Modellen. Dafür sind unsere IT-Systeme mittlerweile schlicht zu komplex. Für kritische Prozesse oder zur Vermeidung von Cluster-Risiken kann den Cloud-Nutzern zum jetzigen Zeitpunkt nur eine Multi-Cloud-Strategie helfen.
DEKOM: Cloud-Angebote werden für alle Unternehmen und die öffentliche Hand immer wichtiger. Sie sollen schneller und günstiger sein, sie kommen besser an die erforderlichen Fachkräfte heran und sie schaffen den Zugang zu KI-Lösungen. Aber: Viele Kunden sind den Anbietern deswegen technisch unterlegen und können die Angebote kaum richtig verstehen. Viele Unternehmen machen zudem die Erfahrung, dass der Markt so intransparent ist, dass sie Angebote kaum vergleichen können. Was kann und muss hier getan werden?
Thomas Caspers: Cloud Computing ist ein Paradigma, also eine bestimmte Art IT zu „denken“. Auf Seiten der Cloud-Kunden spricht man von „Cloud Readiness“: welche Fähigkeiten hat der Cloud-Nutzer bereits erworben, um seine Geschäftsprozesse oder bestimmte Verfahren in einer Cloud abzubilden? Es ist also zunächst ein Wissensaufbau beim Cloud-Kunden notwendig, damit er eine Transformation in die Cloud strategisch angehen kann. Dieser Prozess benötigt Zeit, ist aber unabdingbar für eine gelungene Cloud-Nutzung. Man muss sich als klarmachen, dass erst zu investieren ist, bevor man die Vorteile der Cloud nutzen kann. Dabei kann es aus Sicht des BSI hilfreich sein, externe Unterstützung zu suchen. Auch das BSI bietet für den Sicherheitsaspekt Hilfen an (C5, Mindeststandard Nutzung externer Cloud-Dienste, etc.)
DEKOM: Erste Ergebnisse einer aktuellen Umfrage des Zentrums für nachhaltige Transformation (zNT) an der Quadriga-Hochschule weisen darauf hin, dass Cloud Anbieter durchaus ihre Marktmacht nutzen, um Rabatte anzubieten, die die Kunden zunächst locken, den Ausstieg aber sehr teuer machen. Was kann und muss hier von staatlicher Seite aus getan werden – braucht es hier möglicherweise mehr Transparenz?
Thomas Caspers: Das BSI hat schon im ersten C5:2016 den Aspekt der Portabilität und Interoperabilität für Cloud-Dienste eingeführt, um diesem Problem zu begegnen. Portabilität – und Interoperabilität sowieso – haben allerdings auch Grenzen. Zwar bieten unterschiedliche Cloud-Anbieter oft ähnliche Funktionen an, meist sind aber die Schnittstellen andere. Zu einer guten Cloud-Nutzungsstrategie gehört daher auch die Analyse von Lock-In-Effekten dieser Art Dabei sind die Kosten für die Nutzung der Cloud meist durchaus transparent, der tatsächliche Umfang der Nutzung lässt sich aber oft nur schwer abschätzen. Gleiches gilt für einen Wechsel des Cloudanbieters, denn die meisten Aufwände dafür fallen beim Kunden an. Diese müssen ebenfalls kalkuliert werden.
DEKOM: Was sollte Deutschland tun, damit Cloud zum Wachstumsmotor und nicht zur Bremse wird?
Thomas Caspers: Als BSI sind wir davon überzeugt, dass Cloud Computing eine Schlüsseltechnologie ist. Sie ist das Rückgrat der Digitalisierung! Es gilt, ihr Potential bestmöglich auszuschöpfen. Das BSI fördert die sichere Nutzung der Cloud aktiv. Unsere Cloud-Strategie umfasst dabei vier Aspekte:
In allen vier Aspekten haben wir Vorhaben gestartet, um diese strategischen Ziele zu erreichen. Auch wenn der Fokus zunächst auf der Bundes- und öffentlichen Verwaltung liegt, wird das BSI die Ergebnisse auch für viele andere nutzbar machen. Vielen Dank! (DEKOM, 07.10.2024)