Cloud und Compliance als Basis souveräner IT-Sicherheit

Auf dem it-sa 2021 Messestand von Bundesverband IT-Sicherheit e.V. (TeleTrusT) waren Mitglieder der Initiativen „IT Security made in Germany“ und „IT Security made in EU“ vertreten. Der VIP-Rundgang der it-sa 2021 führte auch an diesem Stand vorbei.

IT-Sicherheitsmessen wie die it-sa 2021 zeigen, dass der Wunsch nach digitaler Souveränität in der IT-Sicherheit besteht, es aber in vielen Bereichen noch an den notwendigen Voraussetzungen fehlt. Dazu gehören die gezieltere Beschaffung im öffentlichen Bereich, entsprechende Compliance-Vorgaben und nicht zuletzt eine souveräne Cloud, die auch in der Security zunehmend die Basis bildet.

Digitale Souveränität auch Thema der Security-Branche

Ein zentrales Thema der Fachmesse für IT-Sicherheit it-sa 2021 war die digitale Souveränität in der Cybersicherheit. Das zeigte sich nicht nur durch den Messestand von Bundesverband IT-Sicherheit e.V. (TeleTrusT), auf dem Mitglieder der Initiativen „IT Security made in Germany“ und „IT Security made in EU“ vertreten waren. Digitale Souveränität war auch Thema mehrerer Vorträge und Konferenzbeiträge auf der it-sa 2021.

Gegenstand der Eröffnungspressekonferenz der it-sa 2021 war zum Beispiel auch die IT-Sicherheitsagenda 2029 von TeleTrusT, die insbesondere fordert, eine technologische Souveränität im Bereich IT-Sicherheit zu schaffen, für eine werteorientierte, sichere und vertrauenswürdige digitale Zukunft.

Gespräche mit Herstellern, Dienstleistern und Distributoren auf der it-sa 2021 machten deutlich, dass das Interesse bei den Anwendern an digitaler Souveränität durchaus vorhanden ist. Den Ausschlag bei der Beschaffung geben aber immer noch der Preis und die Bekanntheit des jeweiligen Anbieters, so der Tenor der Aussagen. Doch es gibt Möglichkeiten, die Nachfrage nach digitaler Souveränität zu erhöhen.

Öffentliche Beschaffung sollte mehr Rückenwind verschaffen

Security-Anbieter aus Deutschland und der EU sind häufig kleinere und mittlere Unternehmen oder sie versuchen als Startups ihren Platz auf dem Markt zu erobern. Im Vergleich zu den USA und zu Israel vermissen die kleineren Security-Anbieter aus Deutschland Möglichkeiten, höhere Investitionen zu erhalten, um sich im Vergleich zu den größeren Anbietern die notwendige Sichtbarkeit zu verschaffen.

Der Branchenverband TeleTrusT fordert gerade den Öffentlichen Bereich auf, mehr IT-Sicherheitslösungen aus Deutschland „in die Praxis“ zu bringen, also bei der Beschaffung noch stärker als bisher Lösungen aus Deutschland und der EU zu berücksichtigen.

Souveräne Security sollte in Compliance-Vorgaben eingefordert werden

Branchen wie das Finanzwesen und Bereiche wie KRITIS (Kritische Infrastrukturen) erfahren eine Regulierung hinsichtlich der Sicherheitsmaßnahmen. Diese betreffen auch andere Branchen, da die regulierten Organisationen die Sicherheitsanforderungen an ihre Lieferanten und Dienstleister weitergeben müssen. Wie wichtig dies ist, haben auch die vermehrten Attacken auf Lieferketten (Supply-Chain-Attacken) gezeigt.

Um die freie Wirtschaft zu schützen, müssten strengere Vorgaben zur Sicherheit gemacht werden, auch hinsichtlich dem Ausschluss jeglicher Backdoors und der Forderung nach technologischer Souveränität, wie Diskussionen auf der Sicherheitsfachmesse deutlich machten.

Eine souveräne Security braucht eine souveräne Cloud

Alleine die Security-Lösung aus Deutschland oder der EU kann aber nicht für eine technologische Souveränität der Cybersicherheit sorgen. Gespräche mit Security-Experten auf der it-sa 2021 brachten auch die Herausforderung zum Vorschein, dass die Hardware und die Betriebssysteme, auf denen die Security-Lösungen laufen, zum größten Teil nicht aus Deutschland und der EU stammen, sondern aus Asien oder den USA.

Auch bei der Cloud als Basis von Security as a Service verhält es sich ähnlich. Die meisten Security-Lösungen, die cloudbasiert angeboten werden, nutzen AWS, Microsoft Azure und Google Cloud. Als weiterer Cloud-Anbieter, der an Bedeutung gewinnt, kann Alibaba Cloud aus Asien genannt werden.

Sicherheitsrelevante Daten und Daten, die dem Datenschutz und anderen Compliance-Vorgaben unterliegen, können und sollten bei der Übertragung in Cloud-Dienste und bei der Cloud-Speicherung verschlüsselt werden. Aber auch die zentrale Phase der Verarbeitung muss geschützt werden gegen denkbare unberechtigte Zugriffe Dritter.

Digitale Souveränität in der Security sollte deshalb auch in Verbindung mit einer souveränen Cloud-Infrastruktur gedacht werden, zum Beispiel mit GAIA-X. Cloud-Anbieter aus der EU wie OVH, einem Aussteller auf der it-a 2021, verweisen auf die Vorteile der Datensouveränität im Cloud Computing, die auch für cloudbasierte Security-Lösungen eine zentrale Rolle spielt.

„Bei OVHcloud sind wir der Überzeugung, dass in unserer digitalen Souveränität der Schlüssel zur Freiheit für die Nutzer unserer Dienstleistungen liegt“, so Michel Paulin, CEO von OVHcloud. „Es geht darum, unsere Zukunft selbst zu gestalten, Arbeitsplätze zu sichern und unsere europäischen Werte aufrechtzuerhalten. Dies sind die Herausforderungen für eine verlässliche Cloud, die die Souveränität strategischer Daten von Behörden, Unternehmen und Bürgern gewährleistet.“

Zertifizierte Clouds als Security-Basis

Cloud-Teste wie C5 können und sollten auch bei Security-Diensten aus der Cloud den Anwendern bei der Lösungssuche helfen.

Ein Beispiel: Palo Alto Networks, Anbieter im Bereich Cybersicherheit, hat ein C5-Testat für seine Cloud-Sicherheitsangebote in Deutschland erhalten. Die mit dem C5-Testat ausgezeichneten Cloud-Services von Palo Alto Networks sind: Cortex Data Lake, Cortex XDR, Prisma Access und WildFire, so der Anbieter.

Für Palo Alto Networks spiegelt das C5-Testat das Engagement des Unternehmens für regionale Anforderungen und die Bereitschaft wider, in vertrauensbildende Maßnahmen für seine Lösungen zu investieren. Der Erhalt des Testats folgt auf die Ankündigung des neuen deutschen Cloud-Standorts von Palo Alto Networks im Juli 2021, der den Bedarf lokaler und globaler Kunden an einer landesweiten Infrastruktur erfüllen soll.

„Was moderne Cybersicherheitskontrollen betrifft, führt kein Weg an der Cloud vorbei. Die Cloud ermöglicht schnellere Updates, ein besseres Bedrohungsbewusstsein, maschinelles Lernen und damit eine effektivere Cybersicherheitsarchitektur. Vielen Unternehmen ist jedoch immer noch nicht klar, wie sich Cloud-Anbieter vor Cyberangriffen schützen und was von ihnen verlangt wird, wenn sie Sicherheit aus der Cloud nutzen. Mit dem C5-Testat möchte Palo Alto Networks unseren Kunden helfen, diese Fragen durch mehr Transparenz zu beantworten“, erklärte Sergej Epp, Chief Security Officer, Central Europe, bei Palo Alto Networks.

Es zeigt sich: Damit die Cybersicherheit in der EU souveräner werden kann, müssen noch weitere Schritte gegangen werden, in der (öffentlichen) Beschaffung, in den Compliance-Vorgaben, bei der Unterstützung von Security-Anbieter aus Deutschland und der EU und nicht zuletzt für eine sichere und souveräne Cloud, die zunehmend die Basis für Security-Lösungen wird.