SECURITY4. Januar 2024

Cloud ist schlicht sicherer als On-Premise-IT: 3 Gründe

Cloud ist schlicht sicherer als On-Premise-IT, meint Daniel Wagenknecht, Partner bei KPMG
Daniel Wagenknecht, Partner bei KPMGKPMG

Die Digitalisierung der Finanzwirtschaft bringt viele Vorteile – aber auch ein Problem: Je mehr Teile des Geschäfts online abgewickelt und je mehr Daten im Netz gespeichert werden, desto attraktiver wird die Branche für Hackerangriffe. Und die Gefahr nimmt zu. Oder wäre es nicht sicherer, Daten und Dienstleistungen aufgrund der aktuellen Bedrohungslage in der eigenen IT-Umgebung zu hosten? Nein, meint Daniel Wagenknecht, die Cloud ist sicherer (Partner Bereich Financial Services KPMG) – und nennt drei Gründe.

Das Bild des klassischen Hackers hat ausgedient. Längst sitzen Cyberkriminelle nicht mehr mit schwarzem Kapuzenpulli unter flackerndem Licht im Keller vor ihrem Rechner und knacken kryptische Codes. Hacker haben sich professionalisiert. Sie agieren über weltweite Netzwerke und gehen bei ihren Attacken enorm systematisch vor. Diese Professionalisierung bleibt nicht ohne Folgen: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt die Bedrohungslage im Cyberraum so hoch ein wie nie zuvor. In seinem Bericht (Website) zählt das Amt …

… rund 250.000 neue Varianten von Schadprogrammen sowie 21.000 infizierte Systeme. Hinzu kommen jeden Tag durchschnittlich 70 neue Sicherheitslücken in Software-Produkten, das sind 24 Prozent mehr als im Vorjahr.”

Entsprechend groß ist die Verunsicherung seitens der Wirtschaft. Laut der Bitkom-Studie (Website) empfinden fast zwei Drittel (62 Prozent) der Unternehmen eine große Bedrohung durch analoge und digitale Angriffe. Mehr als die Hälfte (52 Prozent) sieht durch Cyberattacken gar die Existenz bedroht. Das gab es in der Geschichte des Wirtschaftsschutz-Report seit 2015 noch nie.

Wer sich Hacker noch so vorstellt, liegt grundfalsch …Eugene Sergeev/bigstock.com

Mit zunehmender Digitalisierung der Welt und der Wirtschaft steigt also die Gefahr, Opfer einer Cyberattacke zu werden. Das ist logisch, aber ebenso problematisch. Schließlich sind digitale Prozesse sehr effizient. Sie erhöhen den Servicegrad, tragen zur Reduzierung von Kosten bei und vereinfachen die Abwicklung von Geschäftsabläufen. Auf der anderen Seite setzt die Digitalisierung auch großes Vertrauen voraus. Insbesondere, was den Schutz von Daten anbelangt. Das ist eine Ursache dafür, warum sich die Finanzwelt lange mit der digitalen Transformation schwergetan hat. Schließlich sind die Daten hier besonders sensibel, die Prozesse komplex und der regulatorische Druck vergleichsweise hoch. Allen Widerständen zum Trotz treibt die Branche den digitalen Wandel dennoch immer weiter voran.

Laut diesjährigem Cloud-Monitor von KPMG nutzen mittlerweile 95 Prozent der befragten Finanzunternehmen Cloud-Technologie. Tendenz steigend.”

Trügerische Sicherheit

Für diese Unternehmen, aber auch für die gesamte Branche und ihre Transformationsbemühungen kommt die erhöhte Bedrohungslage durch Cyberkriminelle zur Unzeit. Denn wenn die Gefahr aus dem Netz steigt, wie gefährlich ist es dann, Prozesse und damit auch sensible Daten in Cloud-Dienste und damit auf fremde Server auszulagern? Und wäre es stattdessen nicht viel sicherer, die Systeme weiterhin in der eigenen IT-Umgebung laufen zu lassen, on-premise, auf Servern im Keller des Bank- oder Versicherungsgebäudes?

Autor Daniel Wagenknecht , KPMG
Daniel Wagenknecht ist Partner bei KPMG (Website) im Be­reich Fi­nan­ci­al Ser­vices und ver­ant­wor­tet dort die Sour­cing & Cloud Trans­for­ma­ti­ons­be­ra­tung. Da­bei be­schleu­nigt er die „Cloud Jour­ney“ von Ban­ken und Ver­si­che­run­gen in tech­ni­schen, or­ga­ni­sa­to­ri­schen und recht­li­chen Fra­ge­stel­lun­gen. Vor sei­ner lang­jäh­ri­gen Kar­rie­re bei KPMG fun­gier­te er als Se­ni­or Ma­nage­ment Con­sul­tant bei Atos IT-So­lu­ti­ons and Ser­vices GmbH (ehe­mals Sie­mens IT So­lu­ti­ons and Ser­vices GmbH) und be­glei­te­te gro­ße IT-Out­sour­cing-Vorhaben.
Aus dem Bauch heraus ist diese Frage schnell beantwortet: Natürlich ist die eigene IT-Umgebung besser geschützt vor Cyberangriffen als die Public-Cloud auf den Servern internationaler Softwareunternehmen. Ein Trugschluss, wie ein Blick in die Daten zeigt. So hat der Cloud-Monitor von KPMG ermittelt, dass die eigene IT-Umgebung von Banken oder Versicherungen viel häufiger Ziel von Cyberattacken ist als Public-Clouds – und zwar viermal so oft:

So wurden 26 Prozent der On-Premise-Lösungen im vergangenen Jahr zur Zielscheibe von Angriffen, bei Public-Cloud-Infrastrukturen waren dagegen gerade einmal sechs Prozent betroffen.”

Viele Finanzunternehmen wissen diesen Sicherheitsaspekt mittlerweile zu schätzen. Während sie die Cloud früher eher für ein Wolkenkuckucksheim gehalten und deshalb lieber die Finger von ihr gelassen haben, ist die Sicherheit heute ein wichtiges Entscheidungskriterium für die Nutzung dieser innovativen Technologie.

Automatisierung im Datenhafen

Die Public-Cloud ist für die Finanzwelt ein sicherer Hafen geworden. Und dafür gibt es gleich mehrere gute Erklärungen. Die erste: Die großen Hyperscaler haben im Rahmen ihrer Entwicklungen bereits Milliarden in die Sicherheit ihrer Systeme investiert. Ergebnis dieser Investitionen sind zum einen klassische, aber dafür hochentwickelte Sicherheitsmechanismen wie modernste Firewalls oder Verschlüsselungssysteme.

Zum anderen haben sie mit der Hilfe vielschichtiger Algorithmen Systeme für die Anomalieerkennung entwickelt, die Angriffe fast unmittelbar erkennen.”

Entsprechend schnell können sie darauf reagieren. Hierbei erweist sich die Internationalität großer Provider als Vorteil. Wo auch immer in der Welt ein neuer Trojaner auftaucht, die großen Cloud-Anbieter werden es mitbekommen und global darauf reagieren. Dieser Rückstand an Wissen, aber auch an Investitionsvolumen ist für Finanzunternehmen nicht mehr aufzuholen.

Eine zweite Erklärung findet sich im Aufbau der Sicherheitsinfrastruktur einer Public-Cloud.

Alte On-Premise-Modelle sind oft historisch gewachsen auf den lokalen Servern. Gleiches gilt für deren Sicherheit.”

Das heißt, in diesem alten IT-Hafen der Finanzunternehmen wurde nicht nur jeder Anleger, sondern jede einzelne Komponente – jede Kaimauer, jeder Kran, jedes Förderband – individuell zusammengesetzt. Ist irgendwo ein fehlerhaftes Teil verbaut, stockt der gesamte Betrieb – das Tor für die Hacker geht auf. Vom Cloud-Anbieter erhalten die Hafenbetreiber, sprich die Finanzunternehmen, dagegen vorgefertigte Elemente, die sie beliebig zusammensetzen können. Kündigt sich viel Datenverkehr an und es werden ein paar mehr Kräne benötigt, stellt der Provider sie zur Verfügung. Dabei garantiert er nicht nur die Sicherheit jedes einzelnen Krans, er verspricht auch, dass sie in sämtlichen Konstellationen als Verbund sicher sind. Egal wie viele Kräne, egal wie lang die Kaimauer: Das Einfallstor für Kriminelle bleibt geschlossen. Sollten Saboteure dennoch einmal einen Weg gefunden haben, diesen Sicherheitsmechanismus zu umgehen, tauscht der Cloud-Anbieter das entsprechende Teil aus. Nicht nur an einer, sondern an allen Stellen – und das vollkommen automatisiert.

Die dritte Erklärung für mehr Sicherheit in der Cloud liegt in der erfolgreichen Migration.

Wenn sich die Bank oder Versicherung für den Schritt in die Cloud entscheidet, beginnt sie dort meist auf der grünen Wiese.”

Das heißt, sie kann ihre Architektur neu aufsetzen und Sicherheitsaspekte bereits bei der Entwicklung mitdenken: Security by Design – und zwar state of the art. Zur Erinnerung: In einer klassischen On-Premise-Umgebung sind die Systeme historisch gewachsen. Das heißt, jede IT-Komponente wurde manuell konfiguriert. Dadurch entsteht ein Wildwuchs, der es erschwert, Sicherheitslücken zu identifizieren und, noch schlimmer, sie wieder vollständig zu schließen. Beim Aufbau einer Cloud-Umgebung ist das anders. Hier können die entsprechenden Skripte direkt mitentwickelt werden, die Sicherheitsdienste automatisieren. So sind Sicherheitslücken nicht nur schneller ausfindig zu machen, sondern auch viel effektiver zu schließen.

Mehr Workload in die Cloud

Wer auf die Cloud setzt, weiß all diese Sicherheitsmechanismen längst zu schätzen.

So konnten laut Cloud-Monitor 61 Prozent der Unternehmen, die Dev(Sec)Ops-Methoden einsetzen, die Sicherheit im Unternehmen steigern.”

Deshalb stellt sich nun die Frage, ob On-Premise-Lösungen ausgedient haben?

Aus Sicherheitsperspektive ergibt es immer weniger Sinn, die eigenen Systeme am Laufen zu halten. Doch können gerade historisch gewachsene Finanzinstitute ihre Anwendungen oft gar nicht vollständig migrieren, weil sie einfach viel zu komplex sind.

Komplett verschwinden wird On-Premise-IT in naher Zukunft deshalb voraussichtlich nicht. Nichtsdestotrotz sind Institute gut beraten, dafür zu sorgen, dass insbesondere neue Anwendungen direkt in der Cloud entwickelt werden – und sich der Cloud-Anteil aller Applikationen so nach und nach immer weiter erhöht.”

FinTechs oder Direktbanken sind da zum Beispiel schon einen Schritt weiter und haben bereits ganze Kernbankensysteme Cloud-ready entwickelt. Klassische Institute bewegen sich langsamer dorthin, sollten aber auf Sicht auch immer mehr Workload im sicheren Cloud-Hafen verankern. Für die Cyberkriminellen – egal ob mit oder ohne schwarzen Kapuzenpullover – sind das keine guten Neuigkeiten.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert