Urs Hölzle: «Das Vertrauen in die Cloud steigt»

Ein Albtraum für jedes Unternehmen: Hacker verschaffen sich Zugang zu den Servern. Wie muss es da wohl erst Expertinnen und Experten ergehen, die zu den besten IT-Ingenieuren dieses Planeten zählen und bei einer Firma arbeiten, die praktisch als Synonym für das World Wide Web steht? 2009 passierte genau das. Damals attackierten chinesische Profi-Hacker in einer Operation, die später Aurora genannt wurde, US-Schlüsselfirmen. Eines der Opfer: Google. Ein Schockmoment!

Wo Google heute steht, erklärte Infrastrukturchef Urs Hölzle an einem Event in Zürich im Januar dieses Jahres. Im voll besetzten Auditorium, das an einen Kinosaal erinnert, sassen über 100 Gäste. Ein Querschnitt der Schweizer ICT-Szene: Kader von Software-Herstellern, IT-Verantwortliche von Firmen und Organisationen, selbst IT-Rechtler waren vor Ort. Hölzle lief vor der Grossleinwand hin und her und erzählte erstaunlich offen über den Security-Vorfall im Jahr 2009. Das einzige Mal, dass Google tatsächlich kompromittiert wurde, sagte Hölzle und fügte an: «Wir hatten Glück!» 

Aurora sei ein Weckruf gewesen. Die Stunde null für Goo­gles IT-Security: Anstatt mit Drittanbietern das Sicherheitskonzept zu überarbeiten, nahm man das Heft selbst in die Hand. Angefangen beim eigenen Netzwerk: Dieses galt es, von Grund auf neu aufzubauen, um sicherzustellen, dass alles sicher und sauber ist und vor allem bleibt. 

Hierfür wurde eigens spezielle Soft- und Hardware entwickelt, wie Sicherheits-Chips, Security für Endanwender, Verschlüsselungstechnik für Unternehmenskunden und automatisierte Kontrollen bei der Produktentwicklung. Nach der Keynote sprach Hölzle mit Partnern und Kunden, für die er vom kalifornischen Sunnyvale nach Zürich gereist war. Dazwischen nahm er sich Zeit, um über die ak­tuellen Entwicklungen in der Cloud-Sicherheit zu diskutieren.Hier das Interview mit unserer Schwester Computerworld.

Urs Hölzle: Viele meinen, die IT-Sicherheit in der Cloud sei entscheidend. Sie ist wichtig, klar! Aber wenn man Berichte von Sicherheitsvorfällen durchliest, stösst man meist auf die eine Person, die auf das Falsche geklickt hat. Dadurch konnten dann Hacker an korrekte Credentials gelangen. Da hilft das stärkste Abwehrsystem nichts, wenn die falschen Leute mit den richtigen Zugangsdaten in ein System eingelassen werden. Daher bilden Endkunden sowie professio­nelle Anwender nach wie vor die grössten Risikogruppen und sind zugleich am wenigsten geschützt. 

Hölzle: Ironischerweise sind Anwenderinnen und User, die ein Chromebook mit Chrome und unseren Sicherheitsschlüssel einsetzen, in einer sichereren Lage als jedes Unternehmen der Welt. Alles ist über SSL-gesichert, Applikationen können lediglich über verifizierte Boots gestartet werden, man erhält automatisch Security-Updates und durch den Sicherheitsschlüssel ist man selbst vor Phishing-Angriffen sicher. Das kann kein Unternehmen heute von sich behaupten. Das ist schade und sogar absurd, in An­betracht der enormen Aufwände, die Firmen und Organisationen leisten, um ihre IT-Systeme zu schützen. 

Hölzle: Natürlich! Immer mehr Entscheider werden sich der Bedeutung von IT-Security wie auch der Folgen im Ereignisfall bewusst. Dadurch verändert sich auch die Sicht auf das Cloud Computing. Noch vor einigen Jahren herrschte in vielen IT-Abteilungen die Einstellung vor, dass On-Premises verwaltete IT sicherer sei als IT in der Cloud. Diese Sichtweise hat sich gewandelt. Man könnte auch sagen: Das Vertrauen in die Cloud steigt. 

Hölzle: In den Unternehmen hat man erkannt, wie viele Sicherheitsmechanismen heute in Cloud-Lösungen implementiert sind, die es On-Premises kaum oder überhaupt nicht gibt. Zum Beispiel verfügen die wenigsten On-Premises-Systeme über Sicherheitsmechanismen wie Zero Trust.