asut-Bulletin
Smarte Netze für eine smarte Schweiz
Ausgabe
03/2024
Die Zukunft von Cloud, AI und Sicherheit aus Sicht Schweizer KMUs

(Illustration: piqsels.com)

Von Michael Holzer, Huawei

Schweizer KMU entdecken die Cloud. Doch viele Sicherheitsfragen sind bei deren Nutzung noch offen. Und schon kommt mit der künstlichen Intelligenz eine nächste Technologie auf sie zu, die neue Risiken mit sich bringt, aber auch zu mehr Sicherheit beitragen kann. Wir ordnen ein.

Das Cloud-Geschäftsmodell ist für KMU attraktiv. Sie erhalten vielseitige und flexible Ressourcen für ihre digitalen Infrastrukturen – sei es für Computing, Storage, Applikationen im Software-as-a-Servicemodell oder für Entwicklungsumgebungen digitaler Innovation. Auch Konnektivität funktioniert zunehmend cloud-gestützt, zum Beispiel das Management von IoT Geräten. KMU sind im Hinblick auf die Cloud pragmatisch und weitgehend produktivitätsorientiert. Genutzt wird, was das Geschäftswachstum unterstützt, die Customer Experience verbessert und/oder Abläufe flexibilisiert. Kommt hinzu: Mit der Cloud können fixe Infrastrukturkosten in variable Bezugskosten umgewandelt werden.

Doch für die Schweizer KMU-Szene stellt sich bei der Nutzung der Cloud auch die Sicherheitsfrage. Zwar gilt die Cloud an sich als praktisch ausfallsicher, da sie in der Regel als Dienst über Redundanzen verfügt und über mehrere Clouds, Rechenzentren und Regionen hinweg konzipiert wird. Gleichwohl ist es für jedes einzelne KMU wichtig, sowohl die in den einzelnen Cloud-Umgebungen verfügbaren Sicherheitsfunktionen (z. B. sichere Speicherung, Lastverteilung, geografische Redundanz, Cyberabwehr, Anti-Ransomware, Anti-DDos) als auch die datenschutzrelevanten Aspekte (z. B. Speicherort, internationaler Datentransfer) zu verstehen.

Leitplanken für die Cloud-Sicherheit

Im Mai dieses Jahres veröffentlichte die Cloud Security Alliance (CSA) einen Leitfaden, in dem die Notwendigkeit betont wird, Cloud-Konzepte und -Architekturen zu verstehen, Governance und Risikomanagement zu implementieren, die Verlagerung oder Speicherung von Daten in der Cloud rechtlich zu prüfen, eine Compliance- und Audit-Praxis einzuführen, die Informationssicherheit zu verbessern und andere Prioritäten zu setzen. Und ganz wichtig: Eine der statistisch betrachtet grössten Bedrohungen in der Cloud sind immer noch interne Akteure und lückenhafte Zugriffskontrollen (Verbindung, Authentifizierung, Least Privilege etc.). Deshalb sollten KMU unbedingt berücksichtigen, dass sie sich über die Technologien hinaus mit den menschlichen Faktoren befassen, ihre Mitarbeitenden sensibilisieren, schulen und in ihre Cyber-Resilienz-Konzepte einbeziehen sollten.

Für eine angemessene Risikominderung bei gleichzeitig moderatem Betriebsaufwand können Hybrid- und Multi-Cloud-Lösungen eine Option sein. Im sensibelsten Fall, etwa in regulierten Branchen oder bei streng personenbezogenen Daten, bleibt «On Premises» oder «on-prem» (d.h. der Betrieb in der eigenen IT-Umgebung) gegebenenfalls die beste, weil sicherste Lösung. Doch Hybrid-Umgebungen, die die Daten je nach deren Sicherheits- und Schutzlevel on-prem behalten oder der Cloud zuweisen, erfreuen sich wachsender Nachfrage. Allerdings verfügen viele KMU, vor allem die kleinen, oft nicht über ausreichende Ressourcen und die Experten für den Unterhalt der erforderlichen Infrastruktur. Daher ist der Beizug professioneller Sicherheitsdienstleister empfehlenswert.

Integrierte Sicherheits- und Compliance-Faktoren von Vorteil

Gartner hat dieses Spannungsfeld bereits mit dem 2021 definierten Konzept CNAPP adressiert. Darunter ist eine Cloud-Native-Application-Protection-Platform zu verstehen, die als einheitliches und integriertes Set von Sicherheits- und Compliance-Funktionen dazu dient, die Cloud-nativen Anwendungen in Entwicklungs- und Produktionsumgebungen zu sichern und zu schützen. KMU brauchen diese Konsolidierung, da sie, wenn ihnen schon die Ressourcen für Cloud-Sicherheit fehlen, erst recht nicht über die notwendigen KI-Sicherheitskompetenzen verfügen, um eine sich stetig erweiternde Bedrohungslandschaft zu bewältigen.

Die Entwicklung zu einer KI-gestützten CNAPP wird einen kontinuierlichen Cloud-Sicherheitsbetrieb ermöglichen, der das Potenzial für die Überwachung von Ressourcen, die frühzeitige Erkennung von Schwachstellen und das Potenzial für die automatische Erstellung von Korrekturen zur Unterstützung von Site Reliability Engineering für IT-Operationen oder DevOps für digitale Innovation nutzt.

Cloud und KI – neue Risiken, aber auch neue Möglichkeiten

Der derzeitige Boom von Technologien der künstlichen Intelligenz treibt die Cloudnachfrage weiter voran. Denn nur dank der immensen verfügbaren Public-Cloud-Kapazitäten können die Mengen an Daten verarbeitet und die Algorithmen trainiert werden, die für zweckdienliche KI-Anwendungen notwendig sind.

Die Verflechtung von Cloud und KI geht aber noch viel tiefer. KI liefert ihrerseits Unterstützung für Sicherheitslösungen auf einem Niveau, das sich KMU sonst überhaupt nicht leisten könnten.
Mit der nächsten Generation von KI-basierten Diensten für die Steigerung von Produktivität und Sicherheit werden KMU Zugang zu fortschrittlichen Diensten erhalten, die sonst eher grösseren Unternehmen vorbehalten bleiben.

Doch die damit einhergehenden erforderlichen KI- und Datenstrategien machen zusätzlich spezifische Cloud-Risikobewertungen nötig, da der Bedrohungsperimeter erweitert wird. Regulatorische oder Kundenanforderungen können Perimeterstrategien wie On-Site-, Hybrid-Cloud- und nationale Cloud-Strategien vorantreiben. Die Bewertungen sollten sich auch mit dem so genannten Schattenzugang befassen, bei dem eine erweiterte Basislinie durch unbeabsichtigten oder unbefugten Zugriff auf Systeme und Daten anfälliger werden kann.

Best Practices für KI-Sicherheit verfügbar – Kompetenzen müssen aufgebaut werden

Die Europäische Agentur für Cybersicherheit (ENISA) hat ein mehrschichtiges Rahmenwerk für Best Cybersicherheits-Practices für KI veröffentlicht, in dem die Notwendigkeit einer
Cybersicherheitsbasis, einer KI-spezifischen sowie einer sektoralen Sicherheitsebene hervorgehoben wird. Jede dieser Ebenen muss die flankierenden Ebenen für eine insgesamt gute Praxis nutzen. Die Regulierung kann spezifische Anforderungen festlegen. So enthalt der risikobasierte Ansatz des EU-KI-Gesetzes erhebliche Compliance-Anforderungen, wenn die zu schützenden Dienste in eine hohe Risikokategorie fallen.

Bei dieser Komplexität wird auch rasch klar, dass die Kompetenzen in den KMU in Bezug auf Cloud- und KI-Sicherheitsüberlegungen einen Boost benötigen oder dass professionelle Unterstützung durch einen entsprechenden Servicedienstleister in Anspruch genommen werden muss. Die Integration der neuen Technologien in die Sicherheitsstrategie erfordert die interdisziplinäre Einbindung verschiedener Rollen. Die wichtigsten sind:

KI-Beauftragte
Sie führen KI-Use-Cases ein, fungieren als KI-Implementierer oder Multiplikatoren bereits trainierter
Modelle und sind in der Regel Branchenexperten und -expertinnen.

Datenschutzbeauftragte (DSB)
Sie sind, Nomen est Omen, für den Datenschutz verantwortlich und befassen sich mit der Weitergabe
von Daten für KI-Dienste. Ihr Background ist in der Regel Recht und Compliance.

CTO oder CISO
Sie verantworten die Cloud und Security DevOps und bringen das nötige Technologie-Know-how mit.

Das Foundation Forum, eine Plattform der Global Digital Foundation, hat sich mit diesem Thema auseinandergesetzt. In einem Bericht, der im Anschluss an die Diskussion über sichere KI- und Datenökosysteme verfasst wurde, unterstreicht sie die Notwendigkeit dieses dreidimensionalen Ansatzes für das Risikomanagement sowie für geeignete Cloud- und KI-Sicherheitsstrategien. Der Bericht ist hier verfügbar: Outcome Report.

Kontinuierliche Investition in Sicherheit bei den Lieferanten und Servicedienstleistern

Um mit den stetig steigenden Kundenbedürfnissen, der fortschreitenden Digitalisierung und auch der sich rasant entwickelnden Bedrohungslandschaft in der Cyberwelt mithalten zu können, sind kontinuierliche Investitionen in Innovation, technische und organisatorische Massnahmen sowie Compliance-Kompatibilität notwendig. Technologieunternehmen, die Sicherheit sehr ernst nehmen, stecken heutzutage massive Summen (im Fall von Huawei sind es 23 Prozent des Jahresumsatzes) in Forschung und Entwicklung, damit Security by Design bereits in die Produktentwicklung von neuer Hard- und Software fliessen kann.

Darüber hinaus sind international anerkannte Zertifizierungen für diese Produkte, für darauf aufbauende Services und für den gesamten Betrieb (Lifecycle, Risk Management, etc,) ein wesentlicher Prüfstein dafür, wie sorgfältig sicherheitsrelevante Fragen in den Unternehmen behandelt werden. Die Unabhängigkeit der Audits mit den entsprechenden Nachweisen wird in der Regel durch die ISO-Standards belegt. Relevant sind hier vor allem ISO 27001 und ISO 27017 im Bereich Security, ISO 27018, ISO 27701, ISO 29151 oder ISO 27799 für Privacy, ergänzt durch ISO 22301, womit die Business Continuity sichergestellt werden kann. Nicht nur Schweizer und europäische, sondern auch ausländische und global tätige Technologieunternehmen unterwerfen sich diesen Regelwerken. Für die Cloud ist mit der Cloud Security Alliance (CSA) eine eigenständige Fachzertifizierungsstelle massgeblich – mit Gold als höchster Stufe – und es ist absehbar, dass für die künstliche Intelligenz ebenfalls strengere Regelungen eingeführt werden.

 

An der diesjährigen Global Cyber Conference, die am 26. und 27. November 2024 wiederum im Dolder in Zürich stattfindet, wird Patrick McCarthy, Senior Cyber Security & Privacy Protection Advisor for Emerging Technologies, Cloud, AI and Data Governance am Huawei Cyber Security Transparency Center in Brüssel zu diesem Thema sprechen und es in einem dedizierten Workshop vertiefen.

 

Michael Holzer

Michael Holzer ist als CSO bei Huawei Schweiz für die Cybersecurity und den Schutz der Privatsphäre zuständig.

Artikel teilen: Die Zukunft von Cloud, AI und Sicherheit aus Sicht Schweizer KMUs