#12: Cloud-Strategien: Sicher skalieren mit Stil

Lisa Froehlich: Lisa Froehlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich, ich bin Unternehmenssprecherin bei Link11. Mein Gast heute ist Christina Kraus. Christina ist Mitgründerin von MeshCloud und nicht nur Mitgründerin, sondern aktuell auch verantwortlich für Vertrieb, Customer Success und Marketing als Chief Revenue Officer. Wir haben uns 2021 auf der Hightech Women Conference in Darmstadt an der TU kennengelernt, wo sie einen Vortrag zum Thema Desired State Models, the cloud native way of doing everything gehalten hat, in dem klar wurde, warum ihr Herz für diese komplexen Cloud Umgebungen schlägt und wie diese Technologien bei der Transformation von Unternehmen helfen können. Christina, bevor wir jetzt in das Thema Cloud, Cloud -Strategien und vor allem die Sicherheit in der Cloud eintauchen, stell dich doch bitte kurz unseren Hörerinnen und Hörern vor.

Christina: Christina Ja, hallo und vielen Dank für die Einladung. Ja, ich bin Christina, bin wie gesagt mit Gründerin von Meshcloud und mittlerweile machen wir das seit Ende 2016, also ist schon ein Weilchen her. Vorher habe ich in Darmstadt Wirtschaftsinformatik studiert und dann noch einen Master gemacht im Ausland in Frankreich und Belgien und in Berlin zum Thema Business Intelligence und Datenanalysen und war dann noch eine Zeit lang am DFKI, am Deutschen Forschungszentrum für Künstliche Intelligenz. Aber wie gesagt, seit 2016 gehört mein Herz der Cloud und ich freue mich sehr heute hier zu sein.

Lisa Froehlich: Lisa Froehlich Ja, danke für die kurze Vorstellung. Du hast ja, wie du schon sagtest, mit zwei Mitgründern Meshcloud gegründet und ein Unternehmen, das Lösungen für komplexe Cloud -Umgebungen anbietet. Für viele ist ja die Cloud in erster Linie eine IT -Ressource, die über das Internet zur Verfügung gestellt wird und dabei handelt es sich quasi ein Netzwerk mit verschiedenen verbundenen Servern, die sich in Rechenzentren befinden und von verschiedenen Unternehmen, Organisationen genutzt und auf der anderen Seite natürlich auch betrieben werden. Im Privaten nutzen wir vermutlich fast alle, die ein Smartphone haben, eine Cloud, unsere Bilder abzuladen, damit wir sie nicht lokal auf dem Handy speichern haben und unsere 125 oder 256 Gigabit irgendwie ratzfatz mit Fotos und Videos von Katzen und Kindern voll sind. Und da sind wir natürlich auch sehr dankbar, dass es da unterschiedliche Anbieter gibt. Gleichzeitig gibt es unfassbar viele Unternehmen, die mittlerweile natürlich Cloud -Ressourcen nutzen. Also wir selbst haben natürlich auch eine sogenannte Private Cloud. Da kommen wir aber später gleich noch mal drauf zu sprechen, was der Unterschied zwischen der Public und der Private Cloud ist, wo einfach unsere Sicherheitslösungen angeboten werden und quasi unsere Kunden angebunden sind. Wenn jetzt mehr Unternehmen zunehmend diese Cloud -Ressourcen nutzen, etwa mehr Speicherplatz, mehr Rechenleistungen, mehr Datenleistungen oder einfach nur die Plattformleistungen nutzen zu können, dann mit jedem Nutzer oder jeder Mitarbeiter oder eben jede Entity von der Firma, von überall auf der Welt mit Internetzugang auf diese Ressourcen zugreifen kann, ohne dass das selbst auf dem Computer installiert werden muss, klingt das für mich schon beim Überlegen total komplex. Kannst du uns in wenigen Worten mal erklären, was sind denn eigentlich die Vorteile der Cloud? Und vielleicht kannst du schon mal anschneiden, was es mit so Multicloud-Umgebungen auf sich hat.

Christina: Christina Ja, super gerne. Ja, wenn ich über Cloud nachdenke oder über Cloud-Vorteile, dann gibt es natürlich immer so die Sachen, die auf dem Papier stehen oder so in der Definition von Cloud Computing. Also das Ganze ist skalierbar. Man hat ein flexibles Kostenmodell, sprich ich zahle nur das, was ich benötige. Man kann sehr gut automatisieren, aber normalerweise kann man damit jetzt noch nicht so super viel anfangen als als Laie oder als nicht intensiver Cloud Nutzer in dem Fall. Und ich glaube, dass das wirklich den Unterschied macht oder was wirklich ein Riesenvorteil ist im Vergleich zu früher, ist, dass es super einfach geworden ist, für jeden von uns Zugriff auf Cloud -Infrastruktur zu bekommen. Also wir können alle mit unserer Kreditgarte hingehen, können uns einen Account machen in der Cloud heute Abend 12, wenn wir irgendwie zwei Gleis Wein getrunken haben und uns überlegen, es wäre jetzt total cool, eine App zu entwickeln, dann kriegen wir Ressourcen, die Provider stellen auch ein gewisses Kontingent an Cloud -Ressourcen kostenlos zur Verfügung und wir können einfach loslegen. Ich glaube, das ist ganz gut vergleichbar auch jetzt mit diesem ganzen AI -Hype. Da haben wir das ja auch gemerkt, wie sich einfach diese Technologie, die es ja durchaus schon lange gab, verändert hat oder auch die Wahrnehmung verändert hat, dadurch, dass plötzlich jeder das mal ausprobieren kann. Also, dass jeder hingehen kann, was eintippt und sieht, was sagt denn jetzt Chat -GPT dafür? Also, es ist...

Lisa Froehlich: Lisa Froehlich Hmm.

Lisa Froehlich: Lisa Froehlich Mhm.

Christina: Christina quasi so eine Art Demokratisierung dieser Infrastruktur. Jeder hat die Möglichkeit, dass auszuprobieren und diese Hürde da dranzukommen, ist so niedrig, dass es wirklich jedem zugänglich ist. Und dadurch benutzen es natürlich viel mehr Leute. Das heißt, viel mehr Leute arbeiten an einer solchen Veränderung. Viel mehr Leute können das ausprobieren. Viel mehr Leute können Software entwickeln, diese Software bereitstellen. Wir lernen viel schneller und wir verändern uns viel schneller. Und das...

Lisa Froehlich: Lisa Froehlich Mhm. Ja.

Lisa Froehlich: Lisa Froehlich Mhm.

Christina: Christina führt dann letztlich zu diesem Transformationsprozess. Also, dass ich wirklich dadurch, dass diese Infrastruktur bereitsteht, dass ich nicht mehr irgendwie Server einkaufen muss, ein Rechenzentrum haben muss, etc., sondern dadurch, dass das einfach da ist und wenn ich es brauche, kann ich es mal ausprobieren, haben viel mehr Leute die Möglichkeit, damit zu arbeiten. Und wir können uns viel besser darauf fokussieren, eben spannende neue Anwendungen zu entwickeln und da auch wiederum Feedback einzusammeln, das einzuarbeiten und immer schnellere Lernrate zu haben und uns zu verbessern. Und das ist das Spannende an der Cloud und auch der Grund, weshalb man immer von dieser Transformation spricht und weshalb eben die Cloud ein grundlegendes Werkzeug dafür ist, digitale Infrastrukturen aufzubauen und eine digitale Transformation durchzuführen.

Lisa Froehlich: Lisa Froehlich Ja, das macht für mich so ein bisschen den Eindruck, als wäre die Cloud oder auch Cloud Computing, als wäre das eines der großen Fundamente von der Digitalisierung als solches. Und auch wenn wir ja vielleicht das Gefühl haben, dass wir mittendrin in der Digitalisierung stecken, habe ich eher den Eindruck, dass wir in manchen Bereichen noch ganz, ganz, ganz am Anfang stehen. Also ich aus Gesprächen

Christina: Christina Ja.

Lisa Froehlich: Lisa Froehlich mit Gästen hier im Podcast oder auch zukünftigen Gästen habe ich schon so rausgehört, dass es Bereiche gibt, sei es jetzt irgendwie der deutsche Mittelstand oder im Industriesektor. Da gibt es tatsächlich auch noch Unternehmen, da sprechen wir von Digitalisierung 1 .0, während es natürlich andere Bereiche gibt, wie jetzt zum Beispiel die Cybersecurity, wo wir natürlich von einem ganz anderen Reifegrad auch ausgehen können, der schon sozusagen in der digitalen Transformation vorhanden ist. Und ja, du hast es gesagt, für Unternehmen stehen die Vorteile im Vordergrund wie Flexibilität, Skalierbarkeit, Kosteneffizienz. Cloud -basierte Anwendungen ermöglichen natürlich eine einfache und eine sehr effiziente Zusammenarbeit zwischen Mitarbeitern unabhängig von ihrem Standort. Also man muss eben nicht warten, bis auf der anderen Seite des Globus quasi ...die Sonne aufgeht und der Kollege den Rechner hochfährt, damit man gegebenenfalls an ein und derselben Datei arbeiten kann, sondern das passiert einfach dank der Cloud im Grunde parallel gleichzeitig immer dann, wenn ich die Ressource brauche, ist meine Ressource vorhanden. Was natürlich Kommunikation verbessert, den Informationsfluss verbessert und natürlich am Ende des Tages sicherlich auch zu einer höheren Produktivität bei den Unternehmen führen kann. Jetzt ist ja MeshCloud quasi

Christina: Christina Zum Glück!

Lisa Froehlich: Lisa Froehlich auch sehr, sehr stark in diesem Multicloud-Umgebungssektor unterwegs. Da möchte ich jetzt gleich nochmal drauf eingehen, weil wenn Unternehmen mehrere Cloud -Ressourcen gleichzeitig im Einsatz haben, wird das Ganze ja doch deutlich komplexer, als es mit vielleicht einer Cloud ist. Und für mich oder für die meisten da draußen gibt es natürlich die großen US -amerikanischen Cloud -Anbieter, sei es jetzt Amazon mit AWS oder Microsoft mit Azure oder Google oder IBM.

Christina: Christina Mhm.

Lisa Froehlich: Lisa Froehlich Das sind natürlich vornehmlich US -amerikanische Anbieter, aber ich denke über das Thema Compliance und Datensicherheit unterhalten wir uns später im Laufe des Podcast noch. Zusätzlich zu den großen, zu den Hyperscalern, zu den amerikanischen gibt es natürlich auch noch lokale Cloud -Anbieter. Es gibt kleine Cloud -Anbieter, weil natürlich die unterschiedlichen Angebote der unterschiedlichen Cloud -Anbieter ja nicht immer eins zu eins auf die Unternehmensanforderungen passen und auf die Anwendungsfälle anwendbar sind, die damit verbunden sind. Und so wie ich das richtig verstanden habe, kommt nämlich genau an der Stelle sozusagen eure Meshcloud -Lösung zum Einsatz. Kannst du kurz nochmal erklären, wie können denn Unternehmen von der Lösung profitieren und warum ist es für Unternehmen so wichtig, die Komplexität zu reduzieren? Und das, was ich bei meiner Recherche gemerkt habe, ist ja schon, das beginnt ja schon bei den Namen für bestimmte Projekte innerhalb der einzelnen Clouds. Bei den einen ist es die Subscription, bei dem anderen ist es das Project, bei dem anderen spricht man von XYZ. Also die haben für ein und dieselbe Funktion alle ihre unterschiedlichen Begriffsdefinitionen und vielleicht kannst du uns da einfach mal ein bisschen mitnehmen und uns verraten, was MeshCloud genau macht.

Christina: Christina Klar, gerne. Ja, also diese Frage Single Cloud, Multi Cloud, die stellt sich eigentlich immer am Anfang, wenn ich in die Cloud gehe, welchen Provider möchte ich auswählen, welcher Provider erfüllt meine Anforderungen, zu welchem habe ich vielleicht auch ein gutes geschäftliches Verhältnis oder überhaupt schon ein Vertragsverhältnis mit. Also da gibt es eben viele unterschiedliche Optionen, mit denen ich arbeiten kann. Wobei du hast schon erwähnt, die drei US Hyperscaler sind quasi die Haupt-Anbieter in dem Umfeld. Und oft ist es eben so, dass ich sage, na ja, wenn ich jetzt meine gesamte Infrastruktur in die Cloud verlagere, dann möchte ich das eben nicht nur mit einem Provider tun, sondern ich möchte es ein bisschen verteilen, auch die Abhängigkeit zu reduzieren, einfach flexibel zu sein. Sei es jetzt seine Downtimes, sein es Preiserhöhungen, sein es vertragliche Konstrukte, die mich stören. Also, dass ich einfach die Möglichkeit habe, auszuwählen und auch

Lisa Froehlich: Lisa Froehlich Mmh, mmh, ja.

Christina: Christina mir gewisse Freiheit mir beibehalte und nicht eben in dieser kompletten Abhängigkeit stehe. Allerdings ist das nicht die einzige Komplexität, die dazu kommt. Also auch wenn ich eine Single Cloud Strategie fahre, muss man sich das so vorstellen, dass eine große Cloud Integration in einem großen Unternehmen ist in der Regel ein Riesentransformationsprojekt. Und zwar deswegen, weil quasi ganz alteingesessene Strukturen, Prozesse auf eine neue Technologie stoßen. Also...

Lisa Froehlich: Lisa Froehlich Hm, klar.

Lisa Froehlich: Lisa Froehlich Mmh.

Christina: Christina dieses Phänomen, was ich vorhin beschrieben habe. Also jeder kann darauf zugreifen, mit einer Kreditkarte eben sich schnell einen Account machen. Das ist ja nicht denkbar in einem Unternehmenskontext. Da kriegt nicht jeder eine Kreditkarte, mit der er das gerade mal machen kann. Das heißt, ich muss schauen.

Lisa Froehlich: Lisa Froehlich Ja, ja, ja. Kriegt ja auch nicht unbedingt jeder Zugriff auf die ganzen Cloud -Bereiche. Also das ist sicherlich auch ein Thema, was, oder das stelle ich mir zumindest vor, dass das auch gemanagt werden muss. Wer darf denn auf welche Instanzen oder auf welche Projekte, etc., pp. zugreifen? Wer hat da sozusagen den Hut auf?

Christina: Christina Genau richtig.

Christina: Christina Exakt und quasi diese Welten irgendwo zusammenzubringen, also meine Anforderungen an Kontrolle, an Transparenz, an Sicherheit als Organisation, als zentrale IT in der Regel, wo das Thema aufgehängt ist, mit der Geschwindigkeit dieser niedrigen Barriere eben, diesem Zugang für verschiedene Entwicklungsteams, die sich aber dann wiederum in allen Bereichen der Organisation befinden. Also wenn ich mir das vorstelle, ein Automobilhersteller zum Beispiel, die haben ja quasi ihre Produktionen, wo digitalisiert wird. Die haben aber auch Webseiten, wo eben Car -Konfiguratoren drauf sind. Die haben interne Prozesse. Also die haben IT in den verschiedensten Bereichen. Und alle diese IT -Projekte und IT -Teams konsumieren eben diese Cloud. Und irgendwo muss das zentral zusammenfließen und irgendwo muss diese Transparenz darüber herrschen. Und ich muss halt sicherstellen als Unternehmen, dass so ein Transformationsprojekt startet, dass ich nicht durch

Lisa Froehlich: Lisa Froehlich Mhm. Mhm. Ja, ja, ja.

Christina: Christina meine ganzen internen Prozesse und wie es eben schon die ganze Zeit gelaufen ist, dass ich nicht dadurch diesen großen Vorteil der Zugänglichkeit kaputt mache. Also ich möchte quasi die Geschwindigkeit der Cloud haben, brauche aber gleichzeitig die Kontrolle. Und das ist das, was wir uns auch mit Mesh Cloud zur Aufgabe gemacht haben. Also wir haben ein Tool entwickelt, das nennt sich Mesh Stack. Und das ist letztlich eine Self -Service -Plattform über die

Lisa Froehlich: Lisa Froehlich Mhm, mhm. Mhm.

Christina: Christina Applikationsteams, also genau diese Beispiele aus der Produktion, aus dem Vertrieb, von der Webseite, über die die Cloud -Ressourcen oder Cloud -Umgebungen, du hast eben diese Subscriptions genannt, das gehört jetzt zu Microsoft Azure, in AWS ist das ein Account, in Google ist das ein Projekt, über die diese Umgebungen quasi bestellt werden können, wie in einem Online -Shop, also wie wenn ich mir in Amazon eben Dinge zusammenklicke und oft nicht nur die Umgebungen, sondern auch noch andere Dev -Tools, also ich brauch dann vielleicht

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Christina: Christina ein Repository, wo ich meinen Code speichere. Ich habe Tooling zur Automatisierung. Ich habe vielleicht Monitoring Tools. Ich habe bestimmte Datenbanken, die ich nutzen möchte. Also ich habe so ein ganzes Set an Tools, was ich brauche, überhaupt mit der spezifischen Funktionalität anzufangen, die ich in der Cloud entwickeln möchte. Und unsere Plattform stellt eben diese Baseline quasi bereit. Wir nennen das auch eine sogenannte Landing Zone. Und die können sich die Entwicklungsteams eben im Self -Service bestellen oder provisionieren. Und gleichzeitig hat aber eine zentrale IT diese zentrale Kontrolle. Das heißt, die wissen immer, wer macht eigentlich gerade was, in welcher Cloud. Die haben einheitliche Prozesse für die verschiedenen Clouds. Da kommt dann das Thema Multicloud wieder rein. Das heißt, ich muss mir nicht überlegen, ich integriere jetzt erstmal AWS, da baue ich einen Prozess auf. Wie läuft das? Und dann Azure und der ist aber ganz anders, weil da sind andere Leute für verantwortlich. Sondern ich definiere einmal.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm, mhm.

Lisa Froehlich: Lisa Froehlich Mhm, mhm.

Christina: Christina Was ist denn so mein Cloud Portfolio als zentrale IT, was ich anbieten möchte, und habe dann eine Plattform, über die diese Teams im Self -Service konsumieren können. Genau, und das ist das, was wir mit Mesh Cloud ermöglichen.

Lisa Froehlich: Lisa Froehlich Ja, das Bild, was mir gerade kam, als du das erklärt hast, ist so ein bisschen wie so ein Concierge, der sozusagen die verschiedenen Einheiten zusammenhält, den Überblick hat. Und man tritt erstmal zum Concierge und fragt, okay, wer wohnt in Stockwerk XY und der kann mir dann genau sagen, wo ich wohin muss oder in welchem Büro ich wen finde. Also es ist ja wichtig, dass man sozusagen, wie du schon sagst, an einer Baseline Übersichtlichkeit hat und die Komplexität einfach reduziert wird, damit die Teams, die daran arbeiten, sich eben auf das Wesentliche konzentrieren können. Jetzt ist es aber ja gleichzeitig so. Aus so einer ganz klassischen Sicherheitsbrillenperspektive stelle ich mir natürlich immer die Frage, wenn alle oder...einige, auch mit beschränktem Zugang, aber wenn viele sozusagen von vielen Standorten auf ein und dieselbe Instanz, Ressourcen-Rechenleistungen zugreifen können, dann sehe ich da persönlich immer jede Menge verschiedene Schnittstellen, die alle ein potenziales Einfallstor für Angreifer sein können und mit unterbrauchen, die ja nur Nadelöhr durch das hin durchschlüpfen können. Und klar.

Christina: Christina Mhm.

Lisa Froehlich: Lisa Froehlich Die Risiken können sich mal abgesehen von irgendwie, können sich ja ausweiten. Die können die Daten betreffen, die können die Systeme betreffen, die können die Anwendungen des Unternehmens betreffen. Ja, also Datenlecks ist ja nach wie vor immer noch ein riesen, Riesenthema. Ein ganz aktuelles Beispiel ist ja hier zum Beispiel das Portal Ticketmaster oder jetzt gerade der aktuelle Ransomware-Vorfall mit Snowflake. Also da sind ja unfassbar viele Unternehmen von betroffen und Das ist immer so die Frage. Cloud -Umgebungen sind ja auch nicht vor Malware -Angriffen gefeit oder die Systeme können eben auch mit Schadsoftware infiziert werden. Auch DDoS -Angriffe sind ja für Cloud -Instanzen ein Thema oder für Cloud -Umgebungen. Die Liste ließe sich wirklich relativ lange erweitern, doch das würde wirklich den Rahmen dieses Gesprächs hier sprengen. Deswegen die Frage. Was sind deiner Meinung nach die größten Sicherheitsrisiken in der Cloud oder für die Cloud oder in der Multi-Cloud-Umgebung?

Christina: Christina Hm. Ja, also prinzipiell ist genau das Szenario, was du gerade beschrieben hast. Also es gibt eine Ressource und darauf haben alle Zugriff sehr schlecht. Davon sollte man absehen. Es ist so diese Geschwindigkeit und es geht alles schnell und es ist super einfach, da dranzukommen. Das hat natürlich ein bisschen seinen Preis oder birgt einfach gewisse Risiken. Dadurch, dass die Hürde so niedrig ist, können irgendwie auch einfach...

Lisa Froehlich: Lisa Froehlich Hmm.

Christina: Christina Fehler passieren. Und so die typischsten Fehler und auch Sicherheitsrisiken sind eigentlich falsche Konfigurationen. Also wenn wir über Cloud sprechen oder auch der Bereich, mit dem sich Mesh Stack beschäftigt, da geht es immer Cloud Infrastruktur. Also es sind jetzt nicht fertige SaaS -Lösungen in dem Sinne, sondern es geht eigentlich Infrastruktur, also so Basisservices, virtuelle Maschinen, Datenbanken, Netzwerkservices etc. Die Container-Plattformen, die von

Lisa Froehlich: Lisa Froehlich Mhm, mhm.

Lisa Froehlich: Lisa Froehlich Mhm. Mhm.

Christina: Christina Entwicklungsteams, Applikationsteams konsumiert werden und die dann selbst was darauf aufbauen. Und es ist halt so, dass natürlich so ein Cloud Provider, der stellt diese Ressourcen, diese verschiedenen Typen von Services bereit für alle möglichen Use Cases. Und dann gibt es halt 100 verschiedene Konfigurationsmöglichkeiten und ich muss eben für meinen Anwendungsfall die richtige Konfiguration auswählen. Also es mal konkret zu machen.

Lisa Froehlich: Lisa Froehlich Mhm. Ja, ja.

Christina: Christina Ganz typisches Beispiel sind so Storage Buckets, wo ich zum Beispiel Bilder ablegen kann oder Dokumente ablegen kann. Im Regelfall sollten die private sein, also nicht von außen zugreifbar. In manchen Fällen müssen sie natürlich auch von außen zugreifbar sein, weil irgendwie das Bild auf einer Website ist, dann soll sich das jeder angucken können. Das heißt, es ist wichtig, wenn ich quasi Leuten diesen Zugriff in die Cloud ermögliche, dass ich sinnvolle und sichere Default -Konfigurationen habe.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Genau.

Christina: Christina und damit schon mal so eine Basisabwehr schaffen kann. Dann gibt es natürlich andere Themen, also Zugriff. Jemand verlässt das Unternehmen, hat aber irgendwie immer noch Zugriff auf irgendwelche Ressourcen. So der Klassiker sollte natürlich auch nicht passieren. Das heißt, ich muss immer schauen, dass eben der Zugriff auf meine Cloud -Ressourcen, auf meine Cloud -Umgebungen ...

Lisa Froehlich: Lisa Froehlich Mmh.

Lisa Froehlich: Lisa Froehlich Mhm. Ja.

Christina: Christina einhergeht mit meinem Identity Management, also dass so ein Lebenszyklus einer Identität, jemand kommt ins Unternehmen, jemand verlässt das Unternehmen, auch in der Cloud widergespiegelt wird, sodass ich sicherstellen kann, wenn derjenige oder diejenige das Unternehmen verlassen hat, haben die natürlich auch keinen Zugriff mehr auf die Cloud. Und dann ist auch ganz wichtig, sorry, ja.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Jetzt frage ich mich, Identitätsmanagement, gutes Stichwort. Ich frage mich nämlich immer so, Wahnsinn, weil es gibt ja multinationale Konzerne, die haben 35 .000, 55 .000, 150 .000 Mitarbeitende, die im Zweifel ja auf das Intranet, interne Speicher, Sharepoint, was auch immer Zugriff haben. Und ich kann mir vorstellen, dass es ...

Christina: Christina Mhm.

Lisa Froehlich: Lisa Froehlich sicher vielleicht mit KI dafür eine automatisierte Lösung gibt, dass wenn ein sozusagen Mitarbeitender das Unternehmen verlässt, dass dann automatisch diese ganzen Zugänge gesperrt sind. Aber ich hatte kürzlich ein Gespräch mit einem Kollegen, in dem er genau so einen Fall geschildert hat und gesagt hat, da gibt es sozusagen spezielle Skripte, die genau nach diesen sozusagen, ich sag mal so, nach diesen Lost Emails oder nach den Lost Admins oder wie auch immer. screenen und ich glaube da draußen gibt es noch jede Menge Zugriffsrechte, die eigentlich schon gar nicht mehr Zugriffsrechte sein dürften. Also daher ist es ein guter Punkt, den du da ansprichst.

Christina: Christina Ja, wobei das Thema ja auch kein neues ist. Also wir managen ja schon seit Jahrzehnten Identitäten und Zugriffe auf bestehende Systeme. Und was eben wichtig ist, dass ich für die Cloud eigentlich ähnliche Prozesse einführe, also dass ich auch da sicherstelle, jemand geht, der Zugriff wird entzogen. Und das Schöne an der Cloud ist, weil erst mal denkt man so, Gott, tausend Türen sind offen, es kann so viel passieren. Aber das Gute ist, dass durch diese Fähigkeit der Automatisierung

Lisa Froehlich: Lisa Froehlich Mmh, ja.

Lisa Froehlich: Lisa Froehlich Genau.

Lisa Froehlich: Lisa Froehlich Mhm.

Christina: Christina auch viel bessere Wege bestehen, das Ganze abzuwenden oder zu mitigieren. Das heißt, wenn ich mich damit beschäftige, wenn ich mich damit auskenne, wenn ich das irgendwo, wir sprechen immer von Cloud Foundation, also wenn ich wirklich so eine Grundlage aufbaue, die auch so eine Security Baseline etabliert, dann kann ich das sehr gut automatisiert konfigurieren, dass es ebenso ein Basissicherheits-Setup schon mal gegeben ist. Natürlich schützt mich das nicht vor allem, ja, also das wird nie möglich sein, aber...

Lisa Froehlich: Lisa Froehlich Mhm.

Christina: Christina Ich habe wirklich die Tools über die Cloud Provider, da auch sehr sinnvolle und automatisierte Lösungen zu finden, die jetzt nicht alles viel schwieriger, langwieriger etc. oder unsicherer machen. Im Gegenteil, ich kann es eigentlich sehr gut absichern, ich muss es nur tun. Und das wiegt das Ganze ganz schön wieder auf. Also ja, es gibt viele Möglichkeiten, aber es gibt eben auch viele Ansätze, das Ganze automatisiert abzusichern und dann natürlich...

Lisa Froehlich: Lisa Froehlich Mmh.

Lisa Froehlich: Lisa Froehlich Mmh.

Lisa Froehlich: Lisa Froehlich Mmh.

Christina: Christina wirklich besser dazustehen, als ich es mit einem Server, der jetzt bei mir im Keller umstehen rumstehen täte.

Lisa Froehlich: Lisa Froehlich Jetzt ist natürlich die Frage, die sich mir stellt, wenn wir an diese verschiedenen großen Hyperscaler denken. So wie ich das vermute, haben die alle ihre eigenen Sicherheitsmerkmale, ihre eigenen Sicherheitsfunktionen. Und oftmals ist es ja auch so, dass wenn ich eine Dienstleistung oder vielleicht eine Cloudleistung, eine Rechenleistung einkaufe, dass das Unternehmen oder derjenige, der es einkauft, vielleicht auch ein bisschen das Gefühl hat, so ja, ich habe jetzt hier die Dienstleistung eingekauft oder ich habe meine Cloud -Umgebung eingekauft. Ich habe bei den SLA alles richtig gelesen. Ich habe gesehen, dass der Cloud -Anbieter seine eigenen Sicherheitsmerkmale und Funktionen hat. Da habe ich ein Häkchen dran gemacht. Ich habe da jetzt keine Verantwortung mehr dafür. Wie ist denn das eigentlich? Gibt es spezielle Cloud -Sicherheitsstrategien, die Unternehmen verfolgen können? Oder wie können Unternehmen die Sicherheit ihrer Cloud -Umgebung verbessern? Also, gibt es da bestimmte Maßnahmen, wo du sagst, hey, das ist super sinnvoll? Weil, wie gesagt, dieses Thema IT-Infrastruktur und auch sicherlich Cloud -Infrastruktur ist ja einfach auch vielfach geprägt von, sag ich jetzt mal, Ecken, in die lange keiner mehr hingeguckt hat. Und ich glaube, so eine Transformation von, sage ich jetzt mal, einem statischen System in eine Cloud -Umgebung bietet ja Unternehmen auch eine Riesenchance, sich auch mal mit ihrer Shadow -IT zu beschäftigen und zu gucken, okay, was liegt denn da eigentlich noch alles im Argen? Welche Prozesse habe ich denn? Welche Funktionalitäten brauche ich? Wie kann ich eben sicherstellen, dass sozusagen im Grunde, ja, eine Vertraulichkeit entsteht, dass die Daten nur den autorisierten Benutzern zur Verfügung gestellt werden und wie stelle ich die Verfügbarkeit sicher und so weiter und so fort. Was ist denn deiner Meinung nach da sozusagen die beste vermeintliche Cloud -Sicherheitsstrategie? Gibt es da überhaupt die eine oder gibt es da immer nur so Kombinationslösungen?

Christina: Christina Das ist natürlich jetzt eine große Frage, aber du hast schon ein paar sehr wichtige Begriffe genannt. Also kurze Antwort ist ja, ich brauche auf jeden Fall eine Cloud -Sicherheitsstrategie und diese Cloud -Sicherheitsstrategie sollte auch in Einklang sein mit der Gesamt -Cloud - und Digitalisierungsstrategie, was immer sehr schlecht funktioniert ist, wenn jemand sich überlegt, was kann ich alles Tolles machen mit der Cloud und jemand anderes überlegt sich, was dürfen die eigentlich alles nicht machen mit der Cloud, weil dann...

Lisa Froehlich: Lisa Froehlich Mhm. Mhm.

Christina: Christina blockiert man sich häufig und kommt nicht wirklich voran. Das heißt, das integriert zu betrachten und zu schauen, was ist mein Ziel, wieso setze ich das ein und wie kann ich das möglichst sicher machen, ist eigentlich der richtige Ansatz. Und dann hast du ein Stichwort genannt, nämlich die Verantwortlichkeit. Und das ist ganz kritisch in diesem Kontext. Also man spricht immer, wenn es die Cloud Provider geht, von einer shared responsibility, die der Cloud Provider ist für gewissen Anteil der Sicherheit verantwortlich und ich als Kunde bin natürlich auch für einen gewissen Anteil verantwortlich, weil als Cloud Provider muss ich zum Beispiel entsprechende Tools zur Verfügung stellen, aber das Beispiel mit der Konfiguration ist das Private oder Public, das obliegt natürlich mir, weil beide Möglichkeiten sind da, beide können Sinn machen, es hängt eben davon ab, was ist mein Use Case und wann ist welche Konfigurationsoptionen die richtige und

Lisa Froehlich: Lisa Froehlich Mhm, mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Ja, ja. Ja.

Christina: Christina was viele ein bisschen unterschätzen oder auch nicht klar haben, und das ist eigentlich immer der erste Schritt, ist, wie sieht so eine shared responsibility aus? Nicht zwischen Cloud -Provider und Organisation, sondern innerhalb der Organisation. Also wenn ich wieder zurückgucke und denke, ich habe eine zentrale IT, die ist für Cloud insgesamt verantwortlich, und ich habe dann verschiedene Applikationsteams, die diese Cloud -Umgebungen konsumieren, dann muss ich hier klar haben, wer ist eigentlich für welchen Teil der Security verantwortlich. Und...

Lisa Froehlich: Lisa Froehlich Mhm, mhm.

Christina: Christina Was man eigentlich immer integrieren sollte in seine Cloud -Sicherheitsstrategie ist, dass man eben zentrale, man nennt es auch Guardians oder eben sogenannte Landing Zones, also dass man zentrale Sicherheitsvorkehrungen trifft, über die auch keiner drüber laufen kann. Weil was eben passiert mit der Cloud und der Thematik, dass eben alle plötzlich damit arbeiten können und wollen,

Lisa Froehlich: Lisa Froehlich Mhm. Ja, ja.

Christina: Christina oder sollen, ist, dass natürlich viel mehr Leute, die gar nicht so eine große Expertise haben in dem Umfeld, plötzlich mit diesen Technologien konfrontiert sind. Das heißt, ich habe nicht mehr nur noch meine IT -Experten, die jetzt auf Infrastruktur zugreifen, die das schon seit 20 Jahren machen und wissen, welche Einstellungen man wann wie tätigen soll, sondern ich habe viel mehr Leute, die neu sind in dem Umfeld und die sich quasi zum ersten Mal damit auseinandersetzen. Und das ist auch gut, aber das heißt für mich als zentrale IT.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Christina: Christina dass ich eben andere Vorkehrungen treffen muss. Und da quasi solche Landing Zones oder Guardrails zu definieren, die so die Basis -Themen abdecken oder die sinnvollen und sicheren Defaults setzen. Und nur wenn ich sage, hier, ich weiß, was ich tue, und ich brauche übrigens eine andere Einstellung, dann kann ich vielleicht davon mal abweichen. Aber so prinzipiell, Beispiel, ich darf nur in Deutschland meine Workload deployen oder in Europa.

Lisa Froehlich: Lisa Froehlich Ja, ja.

Christina: Christina das Ganze deployen. Ich darf eben, ich muss alles verschlüsselt haben. Solche Storage Buckets, die stehen nicht im Internet, sondern die sind private. Also, so diese ganzen Basics, die sollten einfach so definiert sein, damit jemand, der das mal ausprobiert, gar nicht so schnell in die falsche Richtung laufen kann und da irgendein Tor öffnen kann. Und ja, ein anderer Aspekt, der auch ganz wichtig ist, und das hattest du vorhin auch erwähnt, ist dieses...

Lisa Froehlich: Lisa Froehlich Hmm.

Christina: Christina Ich habe natürlich unterschiedliche Anwendungsfälle und die sollten irgendwo auch in getrennten Umgebungen laufen. Also ich sollte nicht eine große Cloud -Infrastruktur haben und jeder, der mit Cloud irgendwas zu tun hat, kann darauf zugreifen, sondern ich habe, wie auch bei allen anderen Systemen eigentlich, implementiere ich in der Regel so ein Principle of least Privilege. Das heißt, jeder kriegt nur auf die Dinge Zugriff, mit denen er was zu tun hat und die für ihn relevant sind. Und auch verschiedene Applikationen leben in verschiedenen Cloud -Umgebungen.

Lisa Froehlich: Lisa Froehlich Mhm. Ja, ja.

Lisa Froehlich: Lisa Froehlich Ja, exakt.

Christina: Christina Das heißt, wenn bei der einen was passiert oder da irgendwie ein Incident ist oder sowas, dann hat das keine Auswirkungen auf andere Applikationen der Organisation. Das ist ganz wichtig und so kann ich mich auch ganz gut schützen an der Stelle.

Lisa Froehlich: Lisa Froehlich Ja, das verhindert auch, glaube ich, so ein bisschen so ein Dominoeffekt. Also wenn ich natürlich immer sozusagen, ich will jetzt mal sagen, wenn man jetzt an die Chinese Walls denkt, die so zwischen einzelnen Abteilungen in manchen Unternehmen bestehen oder in Kooperationen, da gibt es ja manchmal auch eben die einen, die nicht mit den anderen reden dürfen, weil es einfach, wie gesagt, gleich mit irgendwelchen legalen oder juristischen Themen verbunden ist, so stelle ich mir das zumindest auch.

Christina: Christina Genau.

Christina: Christina Mhm.

Lisa Froehlich: Lisa Froehlich wie du das eben geschildert hast, in diesen Cloud -Umgebungen vor, dass man eben wirklich ganz genau weiß Nutzer X hat auch nur Zugang zu den Bereichen ABC und User Y hat Zugang zu den Bereichen CDE. Also, dass das ganz klar definiert ist und dass man dann eben auch mit den verschiedenen Identitätsprüfungen und Authentifizierungen und Authentifikationen und diesen ganzen Dingen, die eben sozusagen ja, ja, so eine Sicherheitsstufen, Treppe bilden, dass das dann auch in der Cloud -Umgebung eingehalten wird, wie auch in Nicht -Cloud -Umgebungen. Da gibt es ja ganz viele verschiedene Bereiche.

Christina: Christina Ja, und das spielt dann auch zusammen mit diesem Thema, mit diesem Thema Shadow IT, was du genannt hast. Da gehört natürlich dazu, abgesehen davon, dass ich das absichere und auch trenne, dass ich weiß, wer was macht, also dass ich irgendwo diese Transparenz habe. Wir sprechen da immer von einer Cloud -Tenant -Database, also dass ich ein Register habe, wo ich sehe, welche Cloud -Umgebungen gibt es in meiner Organisation und was läuft eigentlich wo und wer ist dafür verantwortlich. Und dann kann ich nämlich

Lisa Froehlich: Lisa Froehlich Mmh.

Christina: Christina wenn irgendwo was passiert oder es einen Security Breach gibt oder Ähnliches, kann ich gucken, bin ich davon betroffen? Wenn ja, wer ist davon betroffen? Wie kann ich die Leute kontaktieren, die betroffen sind, damit sie sich darum kümmern, das zu fixen? Also diese Informationen brauche ich, diese Transparenz brauche ich, auch eine sinnvolle Security umsetzen zu können.

Lisa Froehlich: Lisa Froehlich Jetzt will ich sozusagen zum Abschluss unseres Gesprächs den zu Beginn angesprochenen Aspekt sozusagen mit der Herausforderung der US -amerikanischen Provider nochmal vorholen und nochmal kurz auf das Thema Compliance eingehen, weil natürlich gerade in Europa haben wir ja besonders strenge Regulierungen zum Thema Datenschutz und die Cloud -Anbieter sind in der Regel große amerikanische Konzerne und erst kürzlich wurde der sogenannte FISA 702, also die Erlaubnis der US -amerikanischen Geheimdienste auf sämtliche Daten bei amerikanischen Unternehmen zuzugreifen, verlängert. Und das bedeutet eben auch, dass natürlich, wenn ich Daten, sage ich jetzt mal, bei einem US -amerikanischen Cloud -Anbieter in der Cloud liegen habe, kann der US -amerikanische Geheimdienst auf diese Daten zugreifen, unabhängig davon, ob ich europäischer Bürger oder eben sozusagen amerikanischer Bürger ist, wobei die amerikanischen Bürger ja ein bisschen besser geschützt sind als die sozusagen nicht -Amerikaner. Wie sind aus deiner Perspektiven diese, ja, wie bewertest du dieses Dilemma? Also auf der einen Seite sind wir natürlich ja alle abhängig von diesen großen US -Konzernen, denn es gibt nichts Vergleichbares auf dem Markt.

Christina: Christina Mhm.

Lisa Froehlich: Lisa Froehlich Die sind technologisch in vielerlei Hinsicht Vorreiter und Marktführer, haben natürlich dann entsprechende Marktmacht. Welche Rolle spielen denn die Cloud -Anbieter im Hinblick bei der Gewährleistung von Compliance-Richtlinien und Regularien?

Christina: Christina Ja, also ich glaube, was ganz wichtig ist oder das Schöne an Cloud Infrastruktur, sagen wir es mal so, wenn ich ein SaaS Produkt habe, dann ist es ja eher so friss oder stirb. Also ich habe quasi ein Tool, ich melde mich an, ich gebe meine Daten da rein und ich muss irgendwie die Bedingungen akzeptieren. Wenn ich selber entwickle in der Cloud, habe ich natürlich mehr Möglichkeiten, auch meine Daten zu schützen. Also ich kann definieren, wie wird das

Lisa Froehlich: Lisa Froehlich Mhm. Mhm.

Christina: Christina verschlüsselt. Ich kann eigene Schlüssel mitbringen, also bring your own key, sodass nicht mehr der US-Provider quasi die Kontrolle über diese Schlüssel hat. Das heißt, ich habe eigentlich ganz gute Mechanismen, mich zu schützen, auch wenn das US-Unternehmen sind, die diese Services bereitstellen. Das ist, denke ich, die guten News und das ist auch eine gute Möglichkeit für Unternehmen Compliance Anforderungen umzusetzen. Nichtsdestotrotz, wir haben vorhin über das Thema Multicloud gesprochen. Man hat ganz oft auch so ein

Lisa Froehlich: Lisa Froehlich Mhm, mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Christina: Christina ja, eine sogenannte Exit -Strategie. Also man möchte sich eben nicht nur auf einen Provider committen, sondern möchte eine gewisse Flexibilität behalten. Und das ist, glaube ich, auch ganz wichtig. Also wichtiger als, dass man sagt, ich mache jetzt irgendwas gar nicht, ist, dass man wirklich diesen Skill aufbaut und diese Flexibilität hat, mobil zu sein, Dinge zu verändern und auch auf bestimmte Geschehnisse zu reagieren. Also dass man wirklich quasi ...der Master seiner Daten und seiner Infrastruktur ist und entscheiden kann, was damit passiert und wie man damit umgeht und sich nicht so angreifbar macht. Und es gibt immer mehr auch lokale Cloud Provider. Du hast es auch schon erwähnt und man kann dadurch aus auch eine Strategie fahren, wo man eben unterschiedliche Provider nutzt für unterschiedliche Use Cases und zum Beispiel ganz sensible Daten auch nur bei deutschen Provideren hostet oder auch.

Lisa Froehlich: Lisa Froehlich Mhm.

Christina: Christina quasi solche Applikationen dann bei deutschen Providern hostet. Und da haben wir auch Kunden, die das tun. Und das ist auch was, was wir zum Beispiel mit unterstützen, dass ich eben angebe, was ist denn das für eine Applikation, was für eine Art von Daten werden dafür arbeitet. Und abhängig von den Angaben werde ich eben in unterschiedliche Kanäle geleitet oder habe unterschiedliche Technologien zur Auswahl, mit denen ich das tun kann. Also ich glaube, es führt keinen Weg.

Lisa Froehlich: Lisa Froehlich Mhm.

Christina: Christina an der Cloud vorbei. Wichtig ist, dass wir lernen, damit umzugehen, dass wir mit den Security -Tools, die die Cloud -Provider uns bieten, arbeiten und dass wir da einfach immer vorne dran sind, entsprechend reagieren zu können. Und dann hat man da auch sehr gute Werkzeuge, sich zu schützen.

Lisa Froehlich: Lisa Froehlich Ja, Christina, vielen, vielen Dank. Also ich glaube, es ist inzwischen unseren Hörerinnen und Hörern klar, dass Cloud und Cloud Computing zum Fundament der Digitalisierung dazugehören. Und mittelfristig werden sicherlich nahezu alle Firmen, Unternehmen Cloud Computing nutzen oder vielleicht auch selbst betreiben, in welchen Umgebungen auch immer, ob das jetzt eine Single - oder eine Multicloud-Umgebung ist. Aber damit...ist ja auch eine Fähigkeit für die Unternehmen verbunden, einfach Technologien auch optimal miteinander kombinieren zu können. Vielen Dank für das spannende Gespräch. Und ich freue mich. Vielleicht haben wir ja noch mal die Gelegenheit, das Thema weiter zu vertiefen. Mir bleibt nur zu sagen, liebe Hörerinnen und Hörer, wenn euch die Folge gefallen hat, dann lasst uns gerne ein Like da, abonniert den Podcast und wir hören uns in der nächsten Folge. Lasst es euch gut gehen. Bis dann. Tschüss.

Christina: Christina Danke dir.

Christina: Christina Ich würde mich freuen.

Christina: Christina Tschüss!