Sicherheit in der Cloud - nur heisse Luft?

2. März 2019 - Von Ueli Engler

ISACA | SVIR Fachtagung, 15. Januar 2019, Swissôtel Oerlikon


Traditionsgemäss und als Jahresauftakt-Veranstaltung widmen sich ISACA und SVIR alljährlich einem aktuellen Thema aus der IT und der Internen Revision. Dieses Jahr war es das allgegenwärtige Thema "Sicherheit in der Cloud" verbunden mit der Frage, ob das nur "heisse Luft" sei.

Die Tagung begann mit einer Auslegeordnung von ISACA’s Control Objectives zur Prüfung von Cloud Lösungen. Martin Andenmatten von Glenfis erläuterte eingehend die Herausforderungen an die Business Organisationen im Umfeld von Clouds in der IT. Dabei lehnte er sich an das COBIT Enabler Konzept von COBIT an und zeigte, wie dieses dabei hilft, eine ganzheitliche Sicht auf die notwendigen Governance Strukturen und auf Audit und Assurance von Clouds zu gewinnen.

Dr. Thomas Bolliger von KPMG führte über die Erläuterungen der Charakteristik von Clouds zu entsprechenden Preismodellen und Lieferkonzepten. Damit die Kontrolle über bestellte und gelieferte Leistungen behalten werden kann, wies der KPMG Spezialist immer wieder darauf hin, dass eine dynamische, prozessuale Sicht erforderlich ist und dass die Unternehmen keinesfalls in einer statischen Kontrollsicht erstarren dürfen. Vollkontrolle sei aber Illusion - die Rahmenbedingungen ändern sich immer wieder – dynamische Anpassung ist not­wendig.

Die Frage, ob die Arbeit in und mit der Cloud eine Herausforderung für das IT Management darstellt, erläuterte Aarno Aukia von VSHN – The DevOps Company. Prominent erläuterte er die Veränderung der Funktionen der IT im Zeitalter von Cloud Computing – Standardisierung, Baukastensystem (Container) und Selbstbedienung in der Softwareentwicklung werden die traditionelle Softwareentwicklung aufmischen.

Im Referat "Cloud first – Eigenentwicklung nur wenn nötig" erläuterte Rechtsanwalt Reto Zbinden von Swiss Infosec eindrücklich, wie der Verzicht auf eine eigene, komplexe Systemlandschaft zu Vereinfachung und Transparenz führte, auch wenn die Sicherheitsoptionen zwar zu bewältigen, aber extrem vielfältig und komplex sind. Deutlich erklärte er, dass das Automatisierungspotential enorm ist – und dass die Digitalisierung tagtäglich gelebt werden kann.

Zum Thema Informationsschutz in der Cloud, bezw. zur Data Loss Prevention wurde Thomas Fürling CEO von e3 AG sehr deutlich. Eindrücklich erläuterte er, dass es zur Cloud bereits mittelfristig keine Alternativen mehr gibt. Geschäftsprozesse werden über die Cloud abgewickelt. Als Konsequenz muss dem Vertrauensschutz höchste Priorität zugemessen werden. Dies kann nach Thomas Fürling nur mittels konsequenter Verschlüsselung, funktionierender Compliance und deutlicher Verantwortlichkeitstrennung geschehen.

Das Abschlussreferat hielt Christian Etter vom Museum für Digitale Kunst. Er entführte die Zuhörerschaft in die Schönheit von Algorithmen und zauberte in Kürze ein digitales Bild auf die Leinwand – bloss als Darstellung zweier Funktionen und deren unterschiedlichen Betrachtungsmöglichkeiten. Vielleicht öffnete er uns Revisoren, die wir uns stark an Regeln orientieren, eine neue Sicht auf Regelungen und Regeln: Zugänglichkeit schaffen schlägt Exklusivität – Experimentieren schlägt Spekulieren – Entwirren des digitalen Gewebes, das Daten, Algorithmen und Gesellschaft verbindet. Ja genau, auch so könnte man doch die Aufgaben eine Revisors auch umschreiben.

Mit einem Apero Riche ging eine spannende und sehr anregende Tagung zu Ende.

Copyright by Swiss IT Media 2019