Ein Albtraum für jedes Unternehmen: Hacker verschaffen sich Zugang zu den Servern. Wie muss es da wohl erst Expertinnen und Experten ergehen, die zu den besten IT-Ingenieuren dieses Planeten zählen und bei einer Firma arbeiten, die praktisch als Synonym für das World Wide Web steht? 2009 passierte genau das. Damals attackierten chinesische Profi-Hacker in einer Operation, die später Aurora genannt wurde, US-Schlüsselfirmen. Eines der Opfer: Google. Ein Schockmoment!

Wo Google heute steht, erklärte Infrastrukturchef Urs Hölzle an einem Event in Zürich im Januar dieses Jahres. Im voll besetzten Auditorium, das an einen Kinosaal erinnert, sassen über 100 Gäste. Ein Querschnitt der Schweizer ICT-Szene: Kader von Software-Herstellern, IT-Verantwortliche von Firmen und Organisationen, selbst IT-Rechtler waren vor Ort. Hölzle lief vor der Grossleinwand hin und her und erzählte erstaunlich offen über den Security-Vorfall im Jahr 2009. Das einzige Mal, dass Google tatsächlich kompromittiert wurde, sagte Hölzle und fügte an: «Wir hatten Glück!» 

Aurora sei ein Weckruf gewesen. Die Stunde null für Goo­gles IT-Security: Anstatt mit Drittanbietern das Sicherheitskonzept zu überarbeiten, nahm man das Heft selbst in die Hand. Angefangen beim eigenen Netzwerk: Dieses galt es, von Grund auf neu aufzubauen, um sicherzustellen, dass alles sicher und sauber ist und vor allem bleibt. 

Hierfür wurde eigens spezielle Soft- und Hardware entwickelt, wie Sicherheits-Chips, Security für Endanwender, Verschlüsselungstechnik für Unternehmenskunden und automatisierte Kontrollen bei der Produktentwicklung. Nach der Keynote sprach Hölzle mit Partnern und Kunden, für die er vom kalifornischen Sunnyvale nach Zürich gereist war. Dazwischen nahm er sich Zeit, um über die ak­tuellen Entwicklungen in der Cloud-Sicherheit zu diskutieren.Hier das Interview mit unserer Schwester Computerworld.

Urs Hölzle: Viele meinen, die IT-Sicherheit in der Cloud sei entscheidend. Sie ist wichtig, klar! Aber wenn man Berichte von Sicherheitsvorfällen durchliest, stösst man meist auf die eine Person, die auf das Falsche geklickt hat. Dadurch konnten dann Hacker an korrekte Credentials gelangen. Da hilft das stärkste Abwehrsystem nichts, wenn die falschen Leute mit den richtigen Zugangsdaten in ein System eingelassen werden. Daher bilden Endkunden sowie professio­nelle Anwender nach wie vor die grössten Risikogruppen und sind zugleich am wenigsten geschützt. 

Hölzle: Ironischerweise sind Anwenderinnen und User, die ein Chromebook mit Chrome und unseren Sicherheitsschlüssel einsetzen, in einer sichereren Lage als jedes Unternehmen der Welt. Alles ist über SSL-gesichert, Applikationen können lediglich über verifizierte Boots gestartet werden, man erhält automatisch Security-Updates und durch den Sicherheitsschlüssel ist man selbst vor Phishing-Angriffen sicher. Das kann kein Unternehmen heute von sich behaupten. Das ist schade und sogar absurd, in An­betracht der enormen Aufwände, die Firmen und Organisationen leisten, um ihre IT-Systeme zu schützen. 

Hölzle: Natürlich! Immer mehr Entscheider werden sich der Bedeutung von IT-Security wie auch der Folgen im Ereignisfall bewusst. Dadurch verändert sich auch die Sicht auf das Cloud Computing. Noch vor einigen Jahren herrschte in vielen IT-Abteilungen die Einstellung vor, dass On-Premises verwaltete IT sicherer sei als IT in der Cloud. Diese Sichtweise hat sich gewandelt. Man könnte auch sagen: Das Vertrauen in die Cloud steigt. 

Hölzle: In den Unternehmen hat man erkannt, wie viele Sicherheitsmechanismen heute in Cloud-Lösungen implementiert sind, die es On-Premises kaum oder überhaupt nicht gibt. Zum Beispiel verfügen die wenigsten On-Premises-Systeme über Sicherheitsmechanismen wie Zero Trust. 

Hölzle: Zero Trust erkennt, dass Applikation A Software B aufrufen darf, aber nur Leserechte erhält. Die entsprechende Firewall-Konfiguration wird im Hintergrund automatisiert erledigt. Darum muss man sich als IT-Verantwortlicher nicht mehr kümmern. 

Hölzle: Wenn man die Applikation in die Cloud migriert, ändert sich an der grundlegenden Sicherheitseinstellung nichts. Dienst A kann immer noch Service B aufrufen und Daten lesen. Dass sich die Netzwerkeinstellungen in der Zwischenzeit verändert haben, ist dann unser Problem, nicht das des Anwenders. Das ist auch nach einer Dekade sofort klar und nachvollziehbar. Diese Vereinfachung der IT-Security macht es wahrscheinlicher, dass man die Sicherheitsfunktionen korrekt einsetzt. 

Hölzle: Die Frage, die sich IT-Verantwortliche heute stellen, lautet: Bin ich als Anwender in der Lage, die Cloud sicher zu nutzen? In jüngster Zeit gab es immer wieder Vorfälle wie Datenbanken, die praktisch ungeschützt öffentlich zugänglich waren. Kürzlich passierte dies sogar Microsoft mit 250 Millionen Datensätzen aus dem Kunden-Support. Die Lücke wurde nach Bekanntwerden sofort geschlossen. Solche Sicherheitsvorfälle sind aber kein typisches Cloud-Security-Problem im Sinne eines technischen Fehlers, sondern Folgen menschlichen Versagens. 

Hölzle: IT-Verantwortliche entwickeln ein Risikodenken. Man weiss, dass die Cloud-Infrastruktur technisch sicher ist, aber man weiss nicht genau, wie man sie korrekt nutzen muss, um Fehler im Umgang mit der Technik zu vermeiden. Das führt zum Trugschluss, dass die IT beim Betrieb in der Cloud unsicherer ist, als wenn man sie im eigenen Data Center betreibt. 

Hölzle: Darauf gibt es keine einfache Antwort. Tatsächlich sprechen wir hier über eines der grössten Hindernisse beim Einsatz von Cloud Computing. 

Hölzle: Natürlich sind wir dafür verantwortlich, dass unsere Technologien funktionieren. Aber die Frage ist, wie wir Kunden helfen können, keine Datenbank versehentlich öffentlich zugänglich zu machen. Eine Möglichkeit wäre, eine Policy für alle Accounts eines Kundenunternehmens zu setzen. So könnte man etwa verhindern, einen Public Bucket auf einer Google-Cloud-Instanz anzulegen. Hier wird die Gemengelage aber komplex. 

Hölzle: Wenn man die Sicherheit der IT komplett an uns abtreten würde, müssten wir Kunden wiederum Rechte an ihrer IT wegnehmen – das ist weder praktikabel noch wünschenswert. Daher versuchen wir, dieser Situation mit der Vereinfachung und Automatisierung von Rechtevergaben zu begegnen. Wir unterstützen hier die Kunden, sodass es am Ende stets das Regelwerk des Anwenderunternehmens bleibt. Speziell im Hinblick auf die Automatisierung von Cloud-Security braucht es daher eine tiefe Zusammen­arbeit zwischen Anbietern und Anwendern. 

Hölzle: Man muss sich zunächst darüber einig sein, welche Workloads überwacht werden müssen und welche Partei wofür verantwortlich zeichnet. Wir setzen heute bereits Tools ein, die melden, wenn ein Kunde nicht gepatchte Betriebssysteme in virtuellen Maschinen (VMs) betreibt. Da die VMs aber vom Kunden stammen, können wir nicht einfach in diese eindringen und Updates durchführen. Wir bieten hierfür Alternativen. Produkte wie unsere Containerlösung Kubernetes Engine oder die Cloud-Management-Plattform Anthos enthalten VMs. Werden diese eingesetzt, verantworten wir deren Aktualität und Betriebssicherheit. Ein anderes Beispiel: Unser Data Warehouse Big Query läuft auf unseren Compute-Ressourcen in der Google Cloud. Hier ist ganz klar, dass die Verantwortung für die Sicherheit bei uns liegt. Je mehr Services wir für Kunden betreiben, desto mehr können wir sie bei der IT-Security in der Cloud unterstützen.

Hölzle: Neben der Komplexität sehe ich ein Hauptproblem in der Skepsis gegenüber neuer Technik. Container-Systeme sind aktuell die beste Wahl für einen effizienten IT-Betrieb, da bereits VMs, Betriebssysteme, Netzwerkkom­ponenten und so weiter integriert sind. Die Firewall-Kon­figuration fällt für Anwender schon mal weg und dadurch mögliche Lücken in der Cyberabwehr. Ich merke aber – vor allem bei Kunden in Europa –, dass viele an ihren in der On-Premises-Welt bewährten Konzepten festhalten und diese auf die Cloud übertragen wollen. 

Hölzle: Das kann man machen, nur schleppt man dann die gesamte Komplexität der On-Premises-Welt mit in die Cloud. Dabei führt genau diese Komplexität immer wieder zu Sicherheitsproblemen. Der Kardinalsfehler ist, dass sich die Entscheider kaum Zeit nehmen, ihre IT-Architektur an die Cloud anzupassen und zu planen. Um bei dem Beispiel zu bleiben: Containerization bedeutet nicht, dass man alle seine Software auf Micro Services umschreiben muss. Aber es macht Sinn, möglichst viele Workloads über Container zu betreiben. Das erspart einen ganzen Security-Layer, um den man sich nicht mehr selbst kümmern muss. Ähnliches gilt wie erwähnt für die Endpoint-Sicherheit durch den Einsatz von Chromebooks und Chrome in Kombination mit Cloud-Lösungen. Auch hier entfällt ein Teil der Passwort­abfragen. Überdies ist man besser gewappnet gegen Phi­shing als mit klassischen Client-Architekturen. 

Hölzle: Der Initialaufwand für den Systemwechsel ist da, aber die Mühe, sich in diese Welt einzuarbeiten, ist sicher geringer, als noch weitere zwei, drei Jahre Phishing und andere Angriffe zu bekämpfen. Manche scheuen vor dem Schritt auch aus Kostengründen zurück. Aber es lohnt sich durchzurechnen, was über die Jahre günstiger käme. Meist realisiert man dann, dass der Erstaufwand deutlich kostengünstiger ist als die laufenden Sicherheitsmassnahmen und das Loch, das ein Schadensfall nach einer erfolg­reichen Attacke in die Finanzen reissen würde. 

Hölzle: Der Schlüssel zum Vertrauen ist Transparenz. Wenn jemand von uns auf VMs von Kunden zugreift, etwa um eine Datenbank zu reparieren, erscheint dort ein entsprechender Log-Eintrag. Wir informieren also Kunden aktiv über notwendige Massnahmen und darüber, was wir tun. So weiss der Kunde Bescheid, dass wir das waren und niemand Unbefugtes. Das nennen wir Access Transparency. Soweit mir bekannt ist, bieten das bisher nur wir an. Mit Access Approval melden wir uns zuvor beim Kunden und erst wenn dieser uns die Erlaubnis erteilt, greifen wir auf seine Ressourcen für den Support zu. Ich betone es nochmals: Wir greifen nur auf Ihren Wunsch auf Ihre Daten zu! 

Hölzle: Das geht nur, wenn die Prüfung der Sicherheits­bestimmungen automatisiert durchgeführt wird und nicht manuell. Hier zeichnet sich eine interessante Entwicklung ab. Heute werden ein- bis zweimal pro Jahr Sicherheits­-Audits durchgeführt. Was man aber eigentlich anstrebt, ist ein Audit pro Sekunde. 

Hölzle: Noch besser! Security-Probleme lassen sich so verhindern. Bevor beispielsweise ein neuer Software-Release live geht, gibt es noch einen Check. Und wenn dabei fest­gestellt wird, dass eine Compliance-Regel verletzt wurde, wird das Update nicht freigegeben. Auf diese Weise kann man pro­aktiv für Sicherheit sorgen. Wenn man sekündlich ein Audit durchführen kann, verschwindet der Widerspruch zwischen Sicherheit und Geschwindigkeit. Die Engineers werden produktiver, da man sie nicht ständig auf IT-Sicherheit hin trainieren muss. Das ist sozusagen das Nirwana! 

Hölzle: Das kommt ganz darauf an. Auf einem niedrigen technischen Level sind wir dem Ideal relativ nahe. Wenn etwa Daten in der Schweiz bleiben sollen und jemand versucht, einen Datensatz ausserhalb des Landes anzulegen, wird das nicht funktionieren. In so einem Fall greift das Echtzeit-Audit. Eine Finma-Zertifizierung automatisiert zu implementieren, steht hingegen noch in den Sternen. Zukunftsmusik ist es auch, Standards wie die EU-DSGVO automatisiert zu implementieren. 

Hölzle: Ein Grund ist die Auslegungsbreite der Regeln. Es wird ja noch darüber diskutiert, was bestimmte Vorgaben für die Praxis genau bedeuten. Aber selbst wenn die Regeln exakt definiert sind, gibt es Interpretationsspielräume. Zum Beispiel besagt die EU-DSGVO, dass der Benutzer informiert zustimmen muss, dass man seine Daten benutzen darf. Was bedeutet informiert zustimmen? Ist es ein richtiges Einverständnis oder hat man unter Umständen die Anwender getäuscht? Das ist keine technische, sondern eine psychologische Angelegenheit. 

Hölzle: Indem wir einen Dialog anbieten, durch den der Nutzer bewusst informiert ist. Man kann das dann einer Applikation einprogrammieren, dass sie stets diesen Dialog mit dem Nutzer führt, bevor dieser die Anwendung nutzen kann. Dadurch wissen wir, dass der Anwender einen bewussten Entscheid getroffen hat, diese Applikation einzusetzen. Auch wenn man nicht alles automatisieren kann, lässt sich doch die Hälfte der manuellen Arbeiten einsparen. Das ist doch schon ein grosser Schritt vorwärts. 

Hölzle: Die Security-Policys unserer Lösungen werden von Experten erstellt und deren Einhaltung laufend überprüft. Dieses Sicherheitsteam bestimmt, innerhalb welcher Grenzen Entwickler arbeiten können. Für die tägliche Arbeit bedeutet das, dass eine Entwicklerin eine neue Version einer Software programmiert und freigeben kann, auch direkt für den operativen Betrieb. Allerdings kann sie nicht an der Sicherheitskonfiguration schrauben. Zudem setzen wir auf hochsichere Libraries und automatisierte Prüfungen von Code. Auf diese Weise muss man nicht bei jedem Release die Sicherheitseinstellungen zusätzlich manuell prüfen. 

Hölzle: Wir arbeiten agiler und effizienter. Auch verhindern wir so Verzögerungen im Betriebsablauf. Das Sicherheits­team könnte jeden Tag gegen Zehntausende Entwicklerinnen und Coder vorgehen, die Fehler beim Programmieren machen oder Tools bauen, die es ermöglichen, Fehler zu entdecken, sobald man diese begeht. Das ist doch viel effektiver. Einige dieser Tools sind Public Domain und können von jedermann genutzt werden. 

Hölzle: Cross-Site-Scripting ist eine der häufigsten Angriffsmethoden im Web. Hierbei kann ein Angreifer über eine Schwachstelle in der Programmierung einen Schadcode etwa für den unbefugten Zugriff auf einer Website einschleusen. Unsere Prüfwerkzeuge durchleuchten neu produzierte Software während des Abspeicherns in unserer Programmierumgebung und warnen Entwickler umgehend vor Schwachstellen wie ein mögliches Cross-Site-Scripting. 

Hölzle: Anwenderunternehmen werden zunehmend auf hybride Cloud-Architekturen setzen. Dafür müssen sie sich bei der Orchestrierung Dutzender Cloud-Anbieter auf die Sicherheit der einzelnen Dienste verlassen können. Der Markt verlangt danach. Wir müssen hier die Standards anheben. Anthos-basierte SaaS-Lösungen enthalten Sicherheits-Features wie die Authentifizierung nach Policys. In den nächsten fünf Jahren werden Kunden vermehrt darauf achten und von Cloud-Providern einfordern. 

Hölzle: In Bezug auf Cloud-Sicherheit liegt ein entscheidender Vorteil in der Machine-Learning-unterstützten Automatisierung. Beispielsweise kann man verschiedene Access Groups in der Google Cloud Platform einstellen. Ein auf Machine Learning basierendes Werkzeug analysiert die Konfigurationen der Access Groups, aber auch, was die Anwender in den Gruppen tatsächlich mit den Cloud-Anwendungen machen. Basierend auf den Erkenntnissen, empfiehlt das Tool bestimmte Handlungen, beispielsweise, dass in der Zugangsgruppe eins 17 Leute enthalten sind, dabei sollten bestenfalls drei bestimmte Personen für Zugriffe berechtigt sein. Diese Muster müssen maschinell erfasst werden können und für Anwender nachvollziehbar sein. Nur so kann man rasch reagieren und mit der Zeit häufige Fehler erkennen. Das erhöht das Verständnis für Abläufe beim menschlichen Anwender wie bei der lernenden Maschine. 

Hölzle: Genau, denn technisch ist die IT-Security heute sehr gut. Ein Datenpaket oder den Zugriff eines Anwenders zu blockieren, ist technisch gelöst. Nicht gelöst hingegen ist die massive Komplexität der zugrunde liegenden Technik, die zu fehlerhaften Einstellungen führen kann. Die einzige Art, um das Dilemma zu lösen, ist die Einführung eines übergeordneten Levels, um Sicherheitseinstellungen einfach zu justieren, während die darunter liegende Technik automatisiert die korrekten Einstellungen übernimmt. Das sehe ich momentan als den grössten Trend.

Hölzle: Wir sehen ein enormes Interesse an Anthos, ins­besondere von grossen Unternehmen. Der Einsatz einer hybriden Cloud sollte simpel sein und nicht mühsam oder unangenehm. Daher setzen wir auf Open Source. Unser Cloud-Management-Tool ist im Prinzip das erste System, das es einem ermöglicht, für die nächsten zehn Jahre in einer hybriden oder Multi-Cloud-Umgebung einfach zu arbeiten. Dieser Zeithorizont ist wichtig. Wenn Sie sich ein Indus­trieunternehmen wie Siemens ansehen, wird ein Teil der IT stets im Unternehmen bleiben. Dort laufen Daten in Echtzeit zusammen, da will man nicht von der Verbindung zum Internet abhängig sein. 

Hölzle: Es ist jetzt nicht so, dass die Hälfte aller Unternehmen Anthos einsetzt. Wir stehen hier noch am Anfang. Aber wir haben bereits Dutzende grosser Unternehmen, die mit Anthos ihre produktiven Workloads schützen. Es ist also nicht nur ein technisches Projekt, sondern eine strategisch bedeutsame Plattform für Google und seine Partner.