Damit ergibt sich aus Sicht der Analysten ein Paradigmenwechsel in der IT-Sicherheit: Es komme nicht mehr allein auf die Sicherheit des Data Centers an, sondern auf die Absicherung des kompletten Netzwerks Ende-zu-Ende. Aus technischer Sicht sei es dabei unerheblich, ob die Daten im Unternehmen oder beim Provider lagern, solange alle Komponenten vom ServerServer über die Verbindungsleitungen bis hin zum Thin Client, PC, Notebook, Smartphone oder Tablet durchgängig abgesichert sind - und zwar auf der physikalischen Ebene genauso wie auf der Ebene der Netzwerkprotokolle, der Virtualisierungssoftware sowie auch auf Applikationsebene. Alles zu Server auf CIO.de

Sicherheit steuern

Auf Anwenderseite wird die Entwicklung getrieben von den digitalen Wertschöpfungsketten. Steve Janata argumentiert: "Wenn ich einen Großteil meines Kundensupport, meines digitalen Marketings und zunehmend meinen Verkauf über das Internet mache, dann befinden sich die Geschäftsprozesse und Daten ohnehin im Internet. Das heißt: Enterprise-IT und die Internet-Welt wachsen zusammen. Firmen müssen die Sicherheit der Daten und Prozesse auch im Internet, in der Cloud steuern."

Bis vor Kurzem sei es unkritisch gewesen, die unterschiedlichen Teile eines Sicherheitssystems wie Endpoint SecuritySecurity, Identity-Management, Firewall und Intrusion Detection von verschiedenen Herstellern zu beziehen. Das wird in der Cloud nach Einschätzung von Experton schwieriger. Security sollte aus einer Hand kommen und zentral gesteuert werden, weil die Sys-teme besser zusammenspielen müssen. Denn, so Velten: "Die Hacker nutzen gezielt Schwachstellen zwischen den Lösungen verschiedener Anbieter. Bei der Auswahl von Sicherheitslösungen empfehlen wir deshalb, auf ein umfassendes Lösungsportfolio des Anbieters zu achten. Außerdem sollte er die Funktionalität der Systeme gezielt auf den Einsatz in der Cloud ausrichten. Hier hat Trend Micro unserer Ansicht nach derzeit einen Vorsprung vor der Konkurrenz." Alles zu Security auf CIO.de

Als wichtigste Trends im Bereich der Cloud-Sicherheit nennen Velten und Janata drei Themen:

• Software Defined Networks (SDN): Grundsätzlich gilt im Cloud-Bereich: "Follow the logics, not the physics." IT-Sicherheitsexperten müssen viel mehr Komplexität beherrschen. Offen ist aber noch, ob diese zusätzliche Komplexität es auch den Hackern erschwert, konkrete Angriffspunkte zu identifizieren.

• Continuous Penetration Testing: Laut Experton reicht es nicht, alle zwei Jahre einmal einen Hacker-Angriff von Spezialisten des Chaos Computer Clubs oder vom TÜV simulieren zu lassen. Velten: "Die Intervalle müssen stark verkürzt werden." Unternehmen sollten nicht warten, bis sie vom Gesetzgeber verpflichtet werden, Hacks zeitnah zu veröffentlichen. Sie müssen vorher handeln."

• Highscale-Encryption-Management: Zu einer Ende-zu-Ende-Sicherheitsstrategie gehört auch die Verschlüsselung der Daten im Rechenzentrum. Bei sehr großen Datenmengen, die häufig aktualisiert werden, etwa im E-Commerce, erfordert das einen hohen Aufwand und kann die Performance der Systeme beeinträchtigen. Hier sind spezielle Verfahren für Highscale-Encryption-Management gefordert.