Der aktuelle Cloud-Monitor 2018 des IT-Branchenverbandes Bitkom hat es erneut bestätigt: Die Cloud ist in den Unternehmen angekommen und hat sich als effektiver Vorteilsbringer fest etabliert. Ganze 87 Prozent der deutschen Unternehmen nutzen die Cloud bereits oder planen ihren Einsatz. Die Industrie nutzt die Cloud vor allem, um den Kosten- und Effizienzdruck im IT-Betrieb zu begegnen sowie um neue Kundengruppen, Märkte und Regionen zu erschließen. Darüber hinaus setzen Industrieunternehmen die Cloud ein, um ihre Produkt- und Serviceportfolios zu erweitern und neue Geschäftspartnerschaften zu erschließen. Das ermittelte der IT-Marktbeobachter PAC. 

Durch ihre Schlüsselrolle erfordert die Cloud in Sachen Sicherheit ein besonders kritisches Auge. In der aktuellen Studie „The State of Industrial Cybersecurity 2018“ des Security-Spezialisten Kaspersky gaben 31 Prozent der weltweit befragten Industrieunternehmen an, bereits von Sicherheitsvorfällen betroffen gewesen zu sein. Der zunehmende Cloud-Einsatz sei ein wichtiger Grund, IT-Sicherheit in den Fokus zu stellen und damit verbundene Herausforderungen anzugehen. 54 Prozent gaben an, hier im nächsten Jahr entsprechende Maßnahmen umsetzen zu wollen. Um zu wissen, welche konkreten Risiken mit dem Cloud-Einsatz für das Unternehmen einhergehen, braucht es eine genaue Analyse der Strukturen und Risiken. Laut Cloud-Monitor haben immerhin 71 Prozent der Cloud-Nutzer genau dies durchgeführt und Sicherheitsanforderungen sowie -maßnahmen für Cloud-Anwendungsszenarien in spezifischen Sicherheitskonzepten definiert.

Ganzheitliche Sicherheit wird wichtiger

Ein wesentliches Merkmal des IIoT ist die Vernetzung innerhalb der Fertigungsbetriebe sowie nach außen zu Kunden, Partnern und Zulieferern. Über die Cloud stehen IT-Ressourcen, Daten, Plattformen und Anwendungen jederzeit standortunabhängig zur Verfügung. Schnittstellen und Kanäle nach außen erweisen sich allerdings oft als offene Flanken in der Sicherheit. Diese lassen sich hier nur mit einem sichereren API-Design, Verschlüsselung und auf Infrastrukturseite mittels verschiedener Sicherheitsbausteine durchgängig Ende-zu-Ende herstellen. Dazu gehören grundlegend Firewall, Web Application Firewall (WAF) und Loadbalancer. Zudem sollten kontinuierlich technische Sicherheitsüberprüfungen stattfinden wie etwa Schwachstellen-Scans und Penetration Tests. Darauf aufbauend ist ein Vulnerability Management erforderlich. Zusätzliche Komponenten wie eine Intrusion Prevention und Intrusion Detection zum Abwehren und Aufspüren von Eindringlingen im Netzwerk sind wichtig, um im Ernstfall gewappnet zu sein. Dazu ergänzend ist ein SIEM (Security Information and Event Management) sinnvoll, um Auffälligkeiten zu entdecken, die auf Sicherheitsvorfälle oder Störungen in diesen Bereichen hindeuten. Für Unternehmen ist es empfehlenswert, Anforderungen an die Sicherheit grundlegend zentral zu fixieren und intern zu kommunizieren. Dafür bietet sich ein Information Security Management System (ISMS) an. Ein solches Framework schafft transparente Prozesse, klare Richtlinien und eine zentrale Steuerungsplattform. Ganzheitliche Sicherheitskonzepte werden im IIoT wichtiger. Das zeigt sich auch an der steigenden Bedeutung und Nachfrage nach „Security by Design“. Ursprünglich auf die Software-Entwicklung bezogen, hat sich der Terminus zunehmend für ganzheitlich abgesicherte Systemlandschaften und -architekturen etabliert.

Herausforderung Multi-Cloud

Unternehmen nutzen heute allerdings nicht nur einen einzigen Cloud Service von einem Cloud Provider. Um Abhängigkeiten zu vermeiden, setzen sie oft auf eine Multi-Sourcing-Strategie. Daher existieren oft verschiedene Lösungen parallel, die miteinander zusammenspielen. Der Aufbau und Betrieb von Multi-Cloud-Szenarien sorgt für zusätzliche Komplexität. Um diese zu stemmen, arbeiten Unternehmen daher zunehmend mit Managed-Service-Providern zusammen. Laut PAC-Studie nutzen 45 Prozent der Unternehmen bereits externe Dienstleister, 37 Prozent planen dies und immerhin 18 Prozent diskutieren darüber. In der Zusammenarbeit mit diesen spielen vor allem Datenschutzbedenken eine große Rolle – insbesondere im Hinblick auf die seit Mai geltende EU-Datenschutzgrundverordnung (DSGVO). Deren Einhaltung ist laut dem aktuellen Cloud-Monitor ein „Must-have“. Entschließen sich Industriebetriebe für die Zusammenarbeit mit einem externen Cloud Service Provider, sollten sie aktiv anfragen, wie Sicherheitskonzepte aussehen und die Umsetzung der EU-DSGVO konkret geregelt ist. Ein eigenständiges Zertifikat dafür gibt es derzeit noch nicht. Ende 2017 startete ein Konsortium von Unternehmen und Verbänden, unter anderem das Karlsruher Institut für Technologie und der DIN-Normenausschuss, mit Partnern wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und Trusted Cloud eine „AUDITOR“ genannte Initiative. Ziel ist es, bis Ende 2019 eine EU-weite Datenschutzzertifizierung von Cloud-Diensten zu entwickeln. Im Juni 2018 hat sie erstmals einen Kriterienkatalog dafür vorgelegt. Bis eine solche europaweite Zertifizierung vollständig auf den Weg gebracht ist, geben andere eine Orientierung für sichere Cloud-Lösungen. Grundlegend ist hier die ISO 27001 für Informationssicherheit zu nennen, die auch den Einsatz eines ISMS vorsieht. Der Cloud Computing Compliance Controls Catalogue, kurz C5, des BSI ist ebenfalls ein wichtiges Indiz.

Fazit

Die Cloud baut ihre Position als Schlüsselrolle im Industrial Internet of Things weiter aus. Mit ihr steigen die Anforderungen an die Sicherheit in den Industriebetrieben. Durch die steigende Vernetzung und Komplexität werden ganzheitliche, durchgängige Sicherheitskonzepte wie Security by Design und Ende-zu-Ende immer wichtiger. In der Zusammenarbeit mit Managed-Service-Providern spielt der Einsatz solcher Sicherheitsstrategien eine große Rolle und ist zunehmend ein entscheidendes Auswahlkriterium.