IT-Security unzureichend auf Cloud-Lösungen eingestellt

Das überraschende und zugleich alarmierende Ergebnis einer Studie, die sich auf die Durchführbarkeit sicherheitsrelevanter Netzwerkprozesse in Zeiten von Cloud Computing fokussierte [1], zeigt, dass 57 % aller in dieser Studie befragten Unternehmen angaben, Datensicherheit sei heutzutage deutlich schwieriger zu erreichen, als noch vor zwei Jahren.

Als meist genannte Gründe hierfür gaben diese 57 % an, dass die Zahl der über Netzwerk eingebundenen Geräte zugenommen habe (66 %), der Traffic sich deutlich erhöht habe (56 %) und neue Anwendungen hinzugekommen seien (51 %). In der Praxis führte dies zu einer Vielzahl heterogener Lösungen, die häufig einzeln, also nicht zentral, geschützt würden. Unterschiedliche Firewalls und eine starke Zunahme der zu administrierenden Anwendungen verschärften das Problem und machten es schwierig eine Compliance der Security-Policys zu gewährleisten.

Hybride Clouds als weitere Herausforderung

Der Trend zur Cloud hat bei vielen Unternehmen dazu geführt, dass nicht mehr nur Teile von Daten in einer Cloud gespeichert werden, sondern dass heute eine bunte Vielfalt verschiedener Cloud-Anbieter die Normalität ist. Auch hybride Clouds, also die gleichzeitige Nutzung firmeninterner Clouds und kommerzieller Cloud-Dienste, ist heute nicht mehr die Ausnahme sondern die Regel. So verfügen bereits 67 % aller befragten Unternehmen über eine eigene Cloud-Lösung und rechnet man andere Dienste wie Infrastructure as a Service (IaaS) und Platform as a Service (PaaS) hinzu, so geben sogar 91 % der befragten Unternehmen an, dies in Zukunft stärker auszubauen.

Das Sicherheitsempfinden der meisten Unternehmen scheint dieser Entwicklung noch hinterherzuhinken. Zwar sind sich 38 % der Unternehmen einig, dass die sichere Einbindung und Administrierung von Cloud-Diensten vorrangiges Ziel der zukünftigen Sicherheitsstrategie sein muss, jedoch besitzt gerade mal jedes dritte betroffene Unternehmen überhaupt ein Konzept, wie diese Sicherheit erreicht werden soll. Und von den Unternehmen, die ein solches Konzept in Form ausgearbeiteter Security-Policys besitzen, haben 60 % erhebliche Schwierigkeiten, dieses auch umzusetzen.

Unübersichtliches Firewallmanagement als Sicherheitsrisiko

Heterogene Lösungen führen in erster Linie dazu, dass Sicherheitsmaßnahmen nicht mehr aus einem Guss erfolgen, sondern ebenso vielschichtig und in der Folge meist unübersichtlich sind. In Zahlen ausgedrückt, gaben 52 % der befragten Unternehmen an, dass sie zwischen 51 und 150 Firewalls in ihrem Unternehmen betreiben. Jede dieser Firewalls besaß zwischen wenigen Dutzend und mehreren Hundert Regeln um gleichzeitig den reibungslosen Betrieb und eine konstante Datensicherheit zu gewährleisten.

Die Notwendigkeit für eine Security-Policy liegt hier ebenso auf der Hand wie das offensichtliche Problem solch eine Policy umzusetzen. An dieser Stelle kommt das Thema Automatisierung von Sicherheitsprozessen ins Spiel. Und bei kaum einem anderen Thema klaffen die Zahlen ähnlich stark auseinander. Während 91 % der befragten Sicherheits-Experten angaben, dass Automatisierung der IT-Security ein absolutes Muss ist, waren nur 41 % der Auffassung auch über ein geeignetes Konzept zur Automatisierung zu verfügen und gerade einmal 13 % waren mit Art und Umsetzung dieses Konzepts dann am Ende auch zufrieden.

Jon Oltsik, Senior Principal Analyst bei ESG fasst die Ergebnisse der Studie zusammen: »Die Studie wurde in Auftrag gegeben um ein besseres Verständnis davon zu erlangen, wie IT- und Security-Beauftragte in Unternehmen die Effizienz der Maßnahmen zur IT-Sicherheit in Unternehmen beurteilen. Die Mehrheit gab an, dass ihr Unternehmen Schwierigkeiten damit hat, den Ausbau der Netzwerk-Infrastruktur zu bewältigen und auf neue Sicherheitsrisiken zu reagieren. Die Studie legt jedoch nahe, dass die Unternehmen sehr wohl Netzwerk-Sicherheit automatisieren möchten um die Sicherheit zu erhöhen.«

[1] Die Enterprise Strategy Group (ESG) hat eine Studie abgeschlossen, die sich auf die Durchführbarkeit sicherheitsrelevanter Netzwerkprozesse in Zeiten von Cloud Computing fokussierte. Auftraggeber war der Netzwerk- und Security-Spezialist Tufin.
Hintergrund-Fakten zur Studie
Die Studie wurde von Tufin bei ESG in Auftrag gegeben und umfasste 150 Mitarbeiter, die in ihren jeweiligen Unternehmen mit der Informationssicherheit befasst oder für sie verantwortlich waren. Kontaktiert wurden Unternehmen ab 1000 Mitarbeitern. Rund die Hälfte der befragten Personen arbeiteten in Unternehmen mit mehr als 5000 Mitarbeitern. Geachtet wurde auf eine breite Verteilung über verschiedene Branchen hinweg. Einen Schwerpunkt der befragten Unternehmen bildeten Finanzdienstleister mit 19 % und produzierendes Gewerbe mit 14 %.

grafik tufin basetrack diagramm