Prozessmanagement in der Cybersicherheit spielt eine immer größere Rolle – nicht umsonst wird mit Regularien wie NIS2 Cybersicherheit von einer Aufgabe bislang vorrangig für kritische Infrastrukturen zu einer Anforderung des digitalen Wirtschaftsschutzes erhoben, die künftig für viele mittelständische Betriebe gleichermaßen umzusetzen ist.
Doch jedes Managementsystem in der Informationssicherheit kann letztlich nur so gut wie die ihm zugrundeliegenden Produkte sein – und hier wird es aufgrund der seit Jahren zunehmenden Komplexität der IT-Infrastruktur immer schwieriger für Verantwortliche, den Überblick zu behalten. Grund dafür ist vor allem auch die seit einigen Jahren immer stärker zunehmende Cloudification der IT-Infrastruktur.
In ihrem Blog titelt die Telekom gar „Digitalisierung war gestern, Cloudifizierung ist heute“. Und damit hat sie durchaus recht, denn der weltweite Umsatz von Cloud Computing betrug im Jahr 2010 noch lediglich 42,8 Milliarden USD und hat sich prognostisch für das Jahr 2025 auf geschätzte 824,76 Milliarden USD potenziert. Welch ein enormer Umsatzsprung dabei allein in den letzten fünf Jahren vollzogen wurde, belegt der Vergleichswert aus dem Jahr 2020, denn hier summierte sich der weltweite Cloud-Umsatz noch lediglich auf 270,03 Milliarden USD.
Cloud als marktdurchdringendes Geschäftsmodell ohne einheitliche Sicherheitsstandards
Die Cloud ist somit ein hochlukratives Geschäftsmodell, weshalb sich immer mehr Anbieter in diesem Segment tummeln – und dazu gehören schon lange nicht nur Branchengrößen wie AWS oder Azure, sondern nahezu jede App, jedes Startup bedient sich mittlerweile Cloud Computing als zentraler Anforderung, um die Funktionalität von Produkten und Diensten zu gewährleisten. Erheblichen Vortrieb geleistet hat hier in den vergangenen Jahren auch der Wandel hin zu 5G, denn mit dem Mobilfunkstandard ist eine bis zu 10-mal schnellere Datenübertragung als bei LTE und somit Kommunikation in Echtzeit möglich.
Die wirtschaftliche Relevanz des milliardenschweren Cloudmarkts lässt sich auch gut daran verdeutlichen, wie schwer sich die Europäische Union aktuell damit tut, einheitliche Cybersicherheitsstandards für die Cloud durch einheitliche europäische Cybersicherheitszertifizierungsstandards nach dem Cybersecurity Act (CSA) zu definieren, da hier natürlich Branchen- und Lobbyinteressen diesen Prozess in den vergangenen Jahren erheblich beeinflusst und damit letzten Endes auch verlangsamt haben.
Die Crux bei Cloud ist somit: Wir benutzen sie in allen Anwendungen des betrieblichen Alltags mehr und mehr, müssen uns dabei aber gleichzeitig blind auf Sicherheit und damit auch Verfügbarkeit verlassen, denn einheitliche, branchenübergreifende und vor allem europaweit geltende Cybersicherheitsstandards fehlen nach wie vor. Zwar hat das BSI im Jahr 2016 den Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue, auf den Weg gebracht, der jedoch weit davon entfernt ist, als allgemeingültiger Cloud Cybersecurity-Standard angesehen werden zu können, der für alle Anbieter gleichermaßen verbindlich gilt.
Auf der anderen Seite führt die Cloudifizierung bei den von ihr profitierenden Unternehmen und öffentlichen Einrichtungen dazu, Cybersicherheit zunehmend auf die leichte Schulter zu nehmen, denn Verantwortungsauslagerung wird mehr und mehr mit Verantwortungsaufgabe gleichgesetzt. Bestes Beispiel in diesem Jahr: Das Land Niedersachsen, das im Frühjahr das Mantra „IT aus der Steckdose“ ausgerufen hat, indem es ankündigte, umfassend mit Microsoft Cloud Services zu kooperieren. Und nicht nur das, man sehe in diesem Schritt sogar eine „Blaupause“ für die öffentliche Verwaltung. Von den schwerwiegenden Sicherheitsvorfällen, die sich in den letzten Jahren bei der Nutzung von Microsoft Cloud zugetragen haben, hingegen kein Wort.
Beim Gespräch über die Cloud darf die digitale Lieferkette nicht fehlen
Aber das Land Niedersachsen ist hier keine Ausnahme, denn die Cloud und damit auch die digitale Lieferkette hat in unzähligen Unternehmen auf verschiedenste Weise mittlerweile Eingang in die IT-Infrastruktur gefunden, sei es für E-Mail, Office, Betrieb von Datenbanken, Datenspeicherung, Finanz- und Rechnungswesen, CRM, ERP oder auch Sicherheitssoftware. Trotz der Vielfalt potenzieller Cloud-Anwendungen scheint der Weg dabei klar: Der gemeinsame Ansatz geht „over the top“, indem SaaS (Software as a Service)-Lösungen oftmals IaaS (Infrastructure as a Service)-Lösungen vorgezogen werden.
Was zunächst gut klingt, weil es bei den Usern Aufwände reduziert und Kosten senkt, ist auf den zweiten Blick deutlich kritischer zu sehen, weil damit auch eigene IT-Ressourcen und Knowhow massiv abgebaut wird. Und wie gefährlich Fehler in der digitalen Lieferkette sein können, haben wir spätestens seit dem globalen Crowdstrike-Vorfall am 19. Juli 2024 mehr als deutlich gesehen, als der Fehler in einer Sicherheitssoftware mit einem Update Millionen von PCs weltweit lahmlegte, weil es bei dem Unternehmen an angemessenen Maßnahmen zur Qualitätssicherung im Vorfeld fehlte.
IT der Zukunft ohne „Security by Design“: absolut undenkbar!
Und damit gelangen wir zu einer ganz entscheidenden Erkenntnis: Wo einerseits die IT-Ressourcen aufgrund der Cloudification bei den Endkunden zunehmend abnehmen, stehen andererseits die Hersteller von Software und Hardware immer mehr selbst in der Verantwortung, durch angemessene Prozesse schon in der Konzeption und Entwicklung die Sicherheit ihrer Produkte und Dienste zu gewährleisten – „security by design“ genannt.
Dabei gibt es keine einheitliche Definition dieses Begriffs, jedoch sind bestimmte Prozesse eines sicheren und vertrauenswürdigen Software Engineerings unerlässlich: Dazu gehören zu Beginn die Festlegung von Sicherheitszielen und Voraussetzungen, die Verwendung von sicheren Plattformen und Komponenten, das Testen und die Überprüfung des Quellcodes inklusive Penetration Testing sowie die Absicherung von Updates durch Hashwerte, Checksummen und digitale Signaturen – Sicherheit von Anfang an somit für den gesamten Produktlebenszyklus gedacht. Der IT-Branchenverband TeleTrusT beispielsweise hat eine Handeichung zu Security by Design im Jahr 2023 veröffentlicht, die die Anforderungen näher spezifiziert.
Sichere Softwareentwicklung: Später Pflicht, jetzt Kür
Doch Security by Design ist nicht bloß eine freiwillige Selbstverpflichtung im Sinne eines unternehmensinternen Qualitätsmanagements, sondern in naher Zukunft eine handfeste gesetzliche Verpflichtung, deren Nichtbefolgung mit erheblichen Bußgeldern belegt werden kann und die für die gesamte Lieferkette – Hersteller, Importeure und Vertrieb gilt und auch Open Source einbezieht. Bestimmt wird dies durch den neuen europäischen Cyber Resilience Act (CRA), der in der vergangenen Woche durch die Europäische Union beschlossen wurde.
Mit diesem Rechtsakt wird Security by Design endlich zu einer allgemeingültigen Rechtspflicht, die für sämtliche Produkte mit digitalen Elementen nach Ablauf einer 36-monatigen Umsetzungsfrist verbindlich zu realisieren ist. Doch das ist noch lange hin, und umso eher dürfte man für jene Unternehmen, die Security by Design schon jetzt umsetzen, davon ausgehen, dass von Anfang an gedachte Sicherheit nicht nur ein bloßes Feature, sondern entscheidendes Qualitätsmerkmal ist, das die Produkte bei ansonsten gleicher oder ähnlicher Funktionsweise deutlich von ihren Mitbewerbern unterscheidet, indem diese Unternehmen Cybersicherheit wirklich ernsthaft umsetzen und nicht nur auf ein bloßes Verkaufsargument reduzieren.