Am 19. Juli 2024 waren weltweit zahlreiche Unternehmen und Organisationen von massiven IT-Ausf\u00e4llen betroffen. Aufgrund eines fehlerhaften Updates des Cybersicherheitsanbieters CrowdStrike liefen zahlreiche Windows-Rechner weltweit nicht mehr korrekt \u2013 mit schwerwiegenden Auswirkungen auf verschiedene Branchen, einschlie\u00dflich Flugh\u00e4fen, Banken, TV-Sender und Krankenh\u00e4user. The Guardian titelte daraufhin: \u201eMicrosoft crashes the World\u201c. Die Ereignisse vom Juli zeigen, wie verletzlich Wirtschaft und Gesellschaft in Zeiten des Internets sind. Dar\u00fcber wie diese Risiken minimiert werden k\u00f6nnen und welche Sicherheitsaspekte und andere m\u00f6gliche Fallstricke speziell bei der Cloudnutzung dringend beachtet werden sollten, haben wir mit Thomas Caspers, Abteilungsleiter Technik-Kompetenzzentren und ma\u00dfgeblicher Mitgestalter der\u00a0BSI-Cloudstrategie beim Bundesamt f\u00fcr Sicherheit in der Informationstechnologie (BSI) gesprochen.<\/p>\n\n\n\n
DEKOM:<\/em><\/strong> Ist der breitfl\u00e4chige Ausfall der IT auch ein Symptom monopolistischer Strukturen beim Cloud-Angebot und tun die Hyperscaler tats\u00e4chlich genug, um sich und vor allem ihre Kunden vor solchen Ereignissen zu sch\u00fctzen?<\/em><\/p>\n\n\n\n Thomas Caspers:<\/strong> Man muss hier unterschiedliche Aspekte betrachten: Der Sicherheitsvorfall rund um Crowdstrike und die Behebung der St\u00f6rung betraf vor allem physische Windows-Rechner und hatte nichts mit einer Cloud-L\u00f6sung zu tun. Im konkreten Fall waren zudem \u201enur\u201c Kunden von Crowdstrike und deren Kunden betroffen, keine Konkurrenzprodukte. Richtig ist, dass in komplexen IT-Strukturen Abh\u00e4ngigkeiten bestehen, das betrifft gerade in diesem Fall auch das Betriebssystem Windows. Auch im weiterhin stark wachsenden Cloud-Markt gibt es mit AWS (Amazon), Microsoft und Google (und in Asien Alibaba Cloud), mehrere gro\u00dfe Anbieter, ein Monopol besteht nicht. Aber auch dort gab und gibt es immer wieder Ausf\u00e4lle, die erhebliche Einschr\u00e4nkungen f\u00fcr Kunden bedeuteten. In solchen F\u00e4llen schlagen die Effekte der Skalierung zu. So kann ein gro\u00dfer Vorteil zu einem Nachteil werden. Das ist den Cloud-Anbietern aus Sicht des BSI auch durchaus bewusst, schlie\u00dflich ist ihr Gesch\u00e4ftsmodell insbesondere von der hohen Verf\u00fcgbarkeit abh\u00e4ngig. Insofern sehen wir im BSI bei den Cloud-Anbietern enorme Anstrengungen bei der Sicherheit auf allen Ebenen. Und je gr\u00f6\u00dfer der Anbieter ist, umso mehr ist er in der Lage in Sicherheit zu investieren, was dann wieder allen Kunden zugutekommt. Thomas Caspers:<\/strong> Wichtig sind hier insbesondere qualitative Softwareentwicklung und Lieferkettentransparenz. Cloud-Anbieter d\u00fcrfen nur gut entwickelte und getestete Software ver\u00f6ffentlichen und m\u00fcssen ihre Abh\u00e4ngigkeiten von Subdienstleister kennen und diese nur benutzen, wenn sie nachweislich ebenfalls so hohe Qualit\u00e4tsstandards der Softwareentwicklung haben. Das hat das BSI schon im C5: 2016 gefordert.<\/p>\n\n\n\n Wir m\u00fcssen uns aber auch bewusst machen, dass es 100-prozentige Sicherheit nicht geben kann. Nicht in der Cloud und nicht in anderen Modellen. Daf\u00fcr sind unsere IT-Systeme mittlerweile schlicht zu komplex. F\u00fcr kritische Prozesse oder zur Vermeidung von Cluster-Risiken kann den Cloud-Nutzern zum jetzigen Zeitpunkt nur eine Multi-Cloud-Strategie helfen.<\/p>\n\n\n\n DEKOM:<\/em><\/strong> Cloud-Angebote werden f\u00fcr alle Unternehmen und die \u00f6ffentliche Hand immer wichtiger. Sie sollen schneller und g\u00fcnstiger sein, sie kommen besser an die erforderlichen Fachkr\u00e4fte heran und sie schaffen den Zugang zu KI-L\u00f6sungen. Aber: Viele Kunden sind den Anbietern deswegen technisch unterlegen und k\u00f6nnen die Angebote kaum richtig verstehen. Viele Unternehmen machen zudem die Erfahrung, dass der Markt so intransparent ist, dass sie Angebote kaum vergleichen k\u00f6nnen. Was kann und muss hier getan werden?<\/em><\/em><\/p>\n\n\n\n Thomas Caspers:<\/strong> Cloud Computing ist ein Paradigma, also eine bestimmte Art IT zu \u201edenken\u201c. Auf Seiten der Cloud-Kunden spricht man von \u201eCloud Readiness\u201c: welche F\u00e4higkeiten hat der Cloud-Nutzer bereits erworben, um seine Gesch\u00e4ftsprozesse oder bestimmte Verfahren in einer Cloud abzubilden? Es ist also zun\u00e4chst ein Wissensaufbau beim Cloud-Kunden notwendig, damit er eine Transformation in die Cloud strategisch angehen kann. Dieser Prozess ben\u00f6tigt Zeit, ist aber unabdingbar f\u00fcr eine gelungene Cloud-Nutzung. Man muss sich als klarmachen, dass erst zu investieren ist, bevor man die Vorteile der Cloud nutzen kann. Dabei kann es aus Sicht des BSI hilfreich sein, externe Unterst\u00fctzung zu suchen. Auch das BSI bietet f\u00fcr den Sicherheitsaspekt Hilfen an (C5, Mindeststandard Nutzung externer Cloud-Dienste, etc.)<\/p>\n\n\n\n DEKOM:<\/em><\/strong> Erste Ergebnisse einer aktuellen Umfrage des Zentrums f\u00fcr nachhaltige Transformation (zNT) an der Quadriga-Hochschule weisen darauf hin, dass Cloud Anbieter durchaus ihre Marktmacht nutzen, um Rabatte anzubieten, die die Kunden zun\u00e4chst locken, den Ausstieg aber sehr teuer machen.\u00a0 Was kann und muss hier von staatlicher Seite aus getan werden \u2013 braucht es hier m\u00f6glicherweise mehr Transparenz?<\/em><\/p>\n\n\n\n Thomas Caspers:<\/strong> Das BSI hat schon im ersten C5:2016 den Aspekt der Portabilit\u00e4t und Interoperabilit\u00e4t f\u00fcr Cloud-Dienste eingef\u00fchrt, um diesem Problem zu begegnen. Portabilit\u00e4t \u2013 und Interoperabilit\u00e4t sowieso \u2013 haben allerdings auch Grenzen. Zwar bieten unterschiedliche Cloud-Anbieter oft \u00e4hnliche Funktionen an, meist sind aber die Schnittstellen andere. Zu einer guten Cloud-Nutzungsstrategie geh\u00f6rt daher auch die Analyse von Lock-In-Effekten dieser Art Dabei sind die Kosten f\u00fcr die Nutzung der Cloud meist durchaus transparent, der tats\u00e4chliche Umfang der Nutzung l\u00e4sst sich aber oft nur schwer absch\u00e4tzen. Gleiches gilt f\u00fcr einen Wechsel des Cloudanbieters, denn die meisten Aufw\u00e4nde daf\u00fcr fallen beim Kunden an. Diese m\u00fcssen ebenfalls kalkuliert werden.<\/p>\n\n\n\n DEKOM:<\/em><\/strong> Was sollte Deutschland tun, damit Cloud zum Wachstumsmotor und nicht zur Bremse wird?<\/em><\/p>\n\n\n\n Thomas Caspers:<\/strong> Als BSI sind wir davon \u00fcberzeugt, dass Cloud Computing eine Schl\u00fcsseltechnologie ist. Sie ist das R\u00fcckgrat der Digitalisierung! Es gilt, ihr Potential bestm\u00f6glich auszusch\u00f6pfen. Das BSI f\u00f6rdert die sichere Nutzung der Cloud aktiv. Unsere Cloud-Strategie umfasst dabei vier Aspekte:<\/p>\n\n\n\n In allen vier Aspekten haben wir Vorhaben gestartet, um diese strategischen Ziele zu erreichen. Auch wenn der Fokus zun\u00e4chst auf der Bundes- und \u00f6ffentlichen Verwaltung liegt, wird das BSI die Ergebnisse auch f\u00fcr viele andere nutzbar machen. Vielen Dank! <\/strong>(DEKOM, 07.10.2024) <\/strong><\/p>\n","protected":false},"excerpt":{"rendered":" Am 19. Juli 2024 waren weltweit zahlreiche Unternehmen und Organisationen von massiven IT-Ausf\u00e4llen betroffen. Aufgrund eines fehlerhaften Updates des Cybersicherheitsanbieters CrowdStrike liefen zahlreiche Windows-Rechner weltweit nicht mehr korrekt \u2013 mit schwerwiegenden Auswirkungen auf verschiedene Branchen, einschlie\u00dflich Flugh\u00e4fen, Banken, TV-Sender und Krankenh\u00e4user. The Guardian titelte daraufhin: \u201eMicrosoft crashes the World\u201c. Die Ereignisse vom Juli zeigen, wie […]<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-7989","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/7989","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/comments?post=7989"}],"version-history":[{"count":1,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/7989\/revisions"}],"predecessor-version":[{"id":7990,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/7989\/revisions\/7990"}],"wp:attachment":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/media?parent=7989"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/categories?post=7989"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/tags?post=7989"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
DEKOM:<\/em><\/strong> Wie lassen sich solche Cluster-Risiken strukturell vermeiden?<\/em><\/p>\n\n\n\n