job I/O – Virtual Job-Event: Triff 29+ IT-Arbeitgeber live am 10.02.2022 14:00 – 18:00. Jetzt kostenlos anmelden!
Unternehmen suchen nach Dir. LASS DICH JETZT FINDEN!
job I/O – Virtual Job-Event am 10.02: Jetzt kostenlos anmelden!
 

Cloud Security bei KPMG

Vom Hobby-Programmierer zum Cyber Security Experten

Von KPMG AG Wirtschaftsprüfungsgesellschaft

 

 

Das Thema Cyber Security hat mich schon immer fasziniert. Mit KPMG konnte ich mein Hobby zum Beruf machen und bin bei technologischen Entwicklungen immer up-to-date. – Marvin Kroschel, Manager Cyber Security

Im Alter von 12 Jahren hat sich Marvin selbst das Programmieren beigebracht. Einige Jahre später entschloss er sich, seine Karriere nach seinem erfolgreich abgeschlossenen Masterstudium als Cyber Security Spezialist bei KPMG fortzuführen. Seit 2017 unterstützt er das Consulting Team bei KPMG und fokussiert sich vor allem auf die Themen Cloud Security und die Absicherung von digitalen Identitäten von Nutzer:innen. Während sich Cyber Security mit allen Themen der IT-Sicherheit beschäftigt, wie bspw. mit der Härtung von Infrastrukturen, Risikoanalysen und Patchmanagement, fokussiert sich Cloud Security auf Cloud-Infrastrukturen und deren Anbieter. Marvin berichtet Dir hier, warum es wichtig ist, sich das Thema Cloud Security näher anzuschauen, vor allem, wenn personenbezogene oder unternehmenskritische Daten in der Cloud gespeichert werden.

Was genau ist eigentlich eine Cloud – und was ist der Unterschied zu einem "normalen Server"?

Auch die "Cloud" besteht nach wie vor aus einem Verbund von physikalischen Servern. Diese stellen die technische Ressource für den virtuellen Cloud-Server und das sogenannte Cloud-Hosting in einer virtuellen Umgebung dar. So gesehen ist das also eher eine Gemeinsamkeit. Der Unterschied liegt in der Nutzung der Server: Durch den Zusammenschluss der vielen physikalischen Server zu einer Cloud, ist die Verfügbarkeit besser. Vorher lagen alle Daten auf einem einzigen Server, wenn dieser (aus welchen Gründen auch immer) nicht verfügbar ist, ist der Service nicht verfügbar. Natürlich konnte man vor der Verwendung von Clouds mit Loadbalancern und redundanten Systemen das Ganze auffangen. In der Cloud ist es deutlich einfacher, denn mit ein paar Klicks ist der Service georedundant aufgebaut. Sollte ein Rechenzentrum wegfallen, springt automatisch das andere Rechenzentrum oder die andere Instanz ein und es geht nahtlos weiter. 

Ein weiterer Unterschied zur Cloud ist, dass Daten und Webseiten auf einem Server liegen, der in einem Rechenzentrum betrieben und explizit nur für diesen Zweck genutzt wird. Auf diesen Server müssen jedoch regelmäßig Updates eingespielt werden. Dadurch, dass selten die angemieteten oder gekauften Ressourcen zu 100% ausgelastet sind, werden die Server-Ressourcen ineffizient genutzt. Die verfügbaren Hardware-Ressourcen werden nicht mit anderen Kund:innen geteilt. 

Die Cloud hingegen ist ein virtueller Server und setzt genau bei diesem Problem an. Anstatt jede Webseite, jeden Webshop und Daten auf einem eigenen Server zu betreiben oder zu lagern und die Power bzw. die Rechenleistung des Servers ungenutzt zu lassen, ist die Idee, mehrere Prozesse (auch wenn diese von unterschiedlichen Usern stammen) auf der gleichen Server- oder Hardware-Infrastruktur laufen zu lassen. Die verfügbaren Hardware-Ressourcen werden mit anderen Kund:innen geteilt.

Was ist daran der große Vorteil – auch im Hinblick auf die Zusammenarbeit mit Unternehmen?

Der große Vorteil der Cloud ist also, bei Bedarf zusätzliche Ressourcen, etwa Speicherplatz (evtl. auch automatisch) zugewiesen zu bekommen. In bestimmten Lastspitzen kann man so eine schnellere Internetanbindung des Servers bekommen oder einen größeren Arbeitsspeicher zugewiesen bekommen. Wenn die Last wieder abnimmt, werden automatisch die Ressourcen entzogen und somit für andere User:innen verfügbar gemacht. Aufgrund dieser Skalierung ist es möglich, die Ressourcen deutlich effizienter zu verteilen.

Ein weiterer Vorteil ist, dass sich der Funktionsumfang der Clouds deutlich erweitert hat. Zu Beginn lag der Fokus auf virtuellen Rechnern, die beliebig dynamisch erweitert werden könnten und skalierbar waren. Das ist wichtig, um flexibel auf mögliche höhere Nachfrage zu reagieren. Im Laufe der Zeit war es dann möglich, die komplette Infrastruktur eines Unternehmens in der Cloud abzubilden. Man kann, neben den üblichen Servern, auch komplette Netzwerkstrukturen und Firewalls in der Cloud aufbauen. Ich kann meine Identitäten in die Cloud provisionieren, kann also eine Vielzahl von Diensten und Services nutzen und bin am Ende des Tages nur Konsument. Für die Aktualität der eingesetzten Software auf den Servern und deren Betrieb ist der Cloud-Anbieter verantwortlich. Endkund:innen müssen sich nur noch um die Überwachung der Systeme kümmern. 

Das ist einer der Gründe, warum in den letzten zwei bis drei Jahren die Nachfrage nach Cloud-Transformationen und -Migrationen gestiegen ist. Durch eine bessere rechtliche Grundlage zögern die Unternehmen nicht mehr, die Reise in die Cloud zu wagen. Sowohl finanzielle Vorteile als auch vielfältige Funktionen bewegen die Unternehmen dazu, mehr und mehr ihrer Systeme und Dienste in die Cloud auszulagern. Anstatt mit großem Aufwand Drittanbieter-Tools einzukaufen, diese zu installieren und zu konfigurieren, nutzen sie die entsprechenden nativen Cloud-Funktionen. Darüber hinaus wird durch die Cloud-Plattformen die Zusammenarbeit zwischen Unternehmen deutlich vereinfacht. Die Unternehmen müssen nicht mehr Identitäten und Accounts der anderen Unternehmen bei sich anlegen und verwalten, sondern sie laden die originäre Identität des anderen Unternehmens als Gast ein. Den Zugriff des Gasts können sie dann nach den Bedürfnissen und Erfordernissen entsprechend einschränken. So ist es einfacher etwa den Zugriff auf die Cloud-Ressourcen (B2B: business-to-business) zu erteilen. Auch die Zusammenarbeit mit Kund:innen (B2C: business-to-customer) hat sich dadurch deutlich vereinfacht.

Zu schön um wahr zu sein – was ist die Schattenseite des goldenen Cloud-Himmels?

Da die Cloud-Plattform des Anbieters im Internet erreichbar ist, ist die Absicherung der Zugänge zur Cloud-Plattform besonders wichtig. Vor der Nutzung von Cloud-Diensten, sprich als Unternehmen das Hosting von Servern in Rechenzentren selbst übernommen haben, gab es viele physische Kontrollen, um überhaupt Zugang zu den Servern zu erhalten. Die Rechenzentren waren stark abgesichert etwa durch Videoüberwachung, Mauern und viele weitere Elemente. Die Server an sich waren meist ausschließlich aus dem Unternehmensnetzwerk und nicht dem Internet erreichbar. Angreifer:innen mussten sich demnach physisch Zugang zu den Betriebsgebäuden verschaffen, um an die Server zu gelangen.

In der Cloud-Welt ist die Identität, mit der man sich an den Cloud-Diensten anmeldet, besonders schützenswert, da sie meist die einzige Hürde für den Zugriff auf die Cloud-Ressourcen darstellt. Wenn die Zugangsdaten der Identität zur Cloud kompromittiert werden, kann sich der Angreifer oder die Angreiferin mit diesen anmelden, erhält Einsicht in (unternehmens-)interne Dokumente und kann unter Umständen direkt auf die Systeme zugreifen.

Wie werden Daten bestmöglich vor Angriffen geschützt?

Cloud-Ressourcen sind ausschließlich über logische Kontrollen abzusichern. Physische Kontrollen (Mauern, Tore, Videoüberwachung, ...) fallen als Cloud-Nutzer:in weg. Daher müssen Signale, die die Identität während und nach einem Login übermitteln, ausgewertet werden. Anschließend muss risikobasiert entschieden werden, ob diese Signale für einen gültigen Login ausreichen. Einige dieser Signale können z.B. die Uhrzeit, die IP-Adresse, die geografische Region oder das Gerät, mit welchem zugegriffen wird, sein. In der Realität werden sehr komplexe Verknüpfungen von einer Vielzahl von Signalen zu Rate gezogen. 

Um einen effektiven Schutz der Cloud-Ressourcen zu gewährleisten, muss ständig von einem potenziellen "data breach" ausgegangen werden, also Rollenberechtigungen und Zugriffsrechte in der Cloud müssen sehr restriktiv vergeben werden, um dadurch die Hürde für einen erfolgreichen Login zu erhöhen, z.B. durch eine mehrstufige Authentifizierung. 

Nach dem Login gibt es aber noch viele weitere Faktoren, die zur risikobasierten Evaluierungen beitragen, die zusätzlich vom Nutzer oder der Nutzerin abgefragt werden können. Erscheint das Risiko nicht tragbar, kann die Sitzung des Nutzers oder der Nutzerin beendet werden.

Welchen Einfluss hatte die Corona Pandemie auf das Cloud-Business?

Befeuert durch die Corona Pandemie arbeiten viele Cloud-Anbieter an neuen Features, die die Nutzung der Cloud attraktiver machen sollen. Zum Beispiel entwickeln Expert:innen die "verifiable credentials", die dafür sorgen, dass die digitale Identität dezentral auf mobilen Endgeräten verfügbar ist. So kann bspw. der KPMG-Mitarbeiterausweis in der Wallet gespeichert werden und man kann sich damit als valide Mitarbeiter:in ausweisen. Der Arbeitgeber hat jederzeit die Möglichkeit, dieses "Credential" für ungültig zu erklären und aus der Wallet zu entfernen. 

Der Treiber für die "verifiable credentials" ist geprägt durch die Corona Pandemie und den Überlegungen, wie man fälschungssicher einen 24 Stunden alten Antigen-Test oder auch eine gültige Impfung nachweisen kann.

Worauf darf sich ein angehender Cyber Security Manager bei KPMG freuen?

Hier bekommen wir die nötigen Freiheiten, um uns entsprechend der Fachlichkeit weiterzuentwickeln. Wir werden ermutigt, immer "the leading edge" zu sein, sprich von Anfang an Innovationen mitzutreiben. Ich bin regelmäßig der Challenger der Unternehmen. Dinge zu hinterfragen ist eine sehr wichtige Aufgabe, da dies Diskussionen fördert und gemeinsam am Ende zu besseren Entscheidungen führt. 

Wir haben so viele schlaue Köpfe. Für bestimmte Themen findet man nicht ad-hoc den passenden Kollegen oder die passende Kollegin im eigenen oder im größeren deutschen Team. Unser Motto OneKPMG bewahrheitet sich dann direkt. Wir haben ein sehr großes internationales Netzwerk, in welchem man viel Unterstützung und Freundlichkeit erfährt. Diese Art der Zusammenarbeit ist einfach wunderbar. 

Marvins persönlicher Tipp für alle Leser zum Thema Cloud Security:

Versucht nicht die Cloud-Welt auszusitzen und darauf zu hoffen, dass sie wieder weg geht. Sie wird immer wichtiger und je früher man das realisiert und sich mit den Themen beschäftigt, desto höher ist der eigene Gewinn daraus. Frei nach dem Motto "wer nicht mit der Zeit geht, muss mit der Zeit gehen."

Du teilst Deine Leidenschaft für Cyber Security mit Marvin? Dein Daily Business ist die Sicherheit der Systeme? Du hast Lust mit KPMG die Datenwelt sicherer zu machen? Dann starte jetzt als (Junior) Consultant für IT-Sicherheit / IT Security durch oder informiere Dich über Deine Einstiegsmöglichkeiten bei KPMG!

 

Arbeitgeber bewerben sich bei Dir!
Ganz einfach:

Anonymes Profil anlegen
! Unternehmens- anfragen erhalten
C V Kontaktdaten freigeben & durchstarten!

Arbeitgeber bewerben sich bei Dir!
So funktioniert's:

Anonymes Profil anlegen
! Unternehmens- anfragen erhalten
C V Kontaktdaten freigeben & durchstarten!
Es ist kostenlos
Kostenlos registrieren