Interview mit AWS
Mehr Sicherheit? Die Cloud ist Teil der Lösung
AWS-Expertin Antonia Bruhn über neue EU-Regulierungen, Behördenkooperationen und warum kritische Infrastrukturen in der Cloud sicher sind.
Antonia Bruhn arbeitet im Public Policy Team von Amazon Web Services (AWS) und beschäftigt sich mit Cybersicherheit, digitaler Souveränität und Datenschutz. Im Gespräch erklärt sie, wie AWS Unternehmen bei neuen Compliance-Anforderungen unterstützt und warum die Zusammenarbeit mit Sicherheitsbehörden entscheidend ist.
connect professional: Europa reformiert mit NIS2, DORA und dem Cyber Resilience Act seine Sicherheitslandschaft. Wie bewerten Sie diese Entwicklungen für internationale Cloud-Anbieter? Und wie hilft AWS Unternehmen dabei, die Compliance-Pflichten zu erfüllen?
Antonia Bruhn: Compliance-Anforderungen können auf den ersten Blick überwältigend sein. Mit dem richtigen Partner an der Seite werden sie aber einfacher zu erfüllen. Unser Shared Responsibility Model ermöglicht einen kooperativen Weg: AWS ist für die „Security OF the Cloud“ zuständig – die Sicherheit der Cloud-Infrastruktur selbst. Unsere Kunden sind verantwortlich für die „Security IN the Cloud“ – also die sichere Konfiguration ihrer eigenen Anwendungen und Daten. Beide Seiten leisten ihren Beitrag genau dort, wo die eigene Expertise liegt.
Wichtig ist, dass wir als AWS nicht nur reagieren, sondern proaktiv handeln. Unsere Compliance-Teams antizipieren zukünftige Entwicklungen im Cybersicherheitsumfeld. So unterstützen wir unsere Kunden dabei, auch bei neuen Regulierungen wie NIS2 weiterhin im Einklang mit allen europäischen Vorgaben arbeiten zu können. Unser Partner-Ökosystem bietet hierfür zahlreiche Lösungen und Know-how. Die Beratungsunternehmen und Systemintegratoren können zusätzlich bei der Implementierung unterstützen.
Bei den drei genannten Rechtsakten ist allerdings auch zu beachten: DORA und der Cyber Resilience Act sind bereits in Kraft, NIS2 ist aber noch nicht in Deutschland implementiert. Wir beobachten die konkreten Umsetzungen genau und bereiten unsere Kunden entsprechend vor.
connnect professional: AWS betont regelmäßig die enge Zusammenarbeit mit Sicherheitsbehörden. Können Sie Beispiele für eine solche Kollaboration nennen? Und wie lösen Sie den Konflikt zwischen der European Sovereign Cloud und US-Gesetzen wie dem Cloud Act?
Bruhn: Wir arbeiten weltweit mit vielen Sicherheitsbehörden zusammen. Ganz konkret haben wir etwa erst im März dieses Jahres mit dem BSI eine formale Kooperationsvereinbarung geschlossen. Die Partnerschaft zielt darauf ab, gemeinsam Standards weiterzuentwickeln, insbesondere im Bereich Cybersicherheit und digitale Souveränität. Übrigens waren wir bereits 2016 der erste Cloud-Anbieter, der das C5-Testat des BSI erhielt.
Ein weiteres praktisches Beispiel ist unsere Zusammenarbeit mit CERT-UA, der ukrainischen Cybersicherheitsagentur. Wir haben proaktiv eine Phishing-Kampagne des russischen Auslandsgeheimdienstes gegen ukrainische Regierungsdienste identifiziert. Dafür nutzten die Angreifer gefälschte AWS Domains. Als wir die Attacke entdeckten, haben wir sofort die Beschlagnahmung dieser Domains eingeleitet und so die Operation unterbrochen. CERT-UA veröffentlichte anschließend einen entsprechenden Bericht als Advisory-Report.
Zum Cloud Act selbst haben wir einen dreifachen Ansatz:
- Erstens veröffentlichen wir halbjährlich Transparenz-Berichte zu Cloud-Act-Anfragen. Damit schaffen wir Transparenz in Bezug auf unsere Aktivitäten. Seitdem wir diese Berichte erstellen, gab es keine Datenanfragen an AWS, die zur Offenlegung von Unternehmens- oder Regierungsdaten, die außerhalb der USA gespeichert sind, an die US-Behörden geführt haben.
- Zweitens bieten wir technische Maßnahmen wie Verschlüsselungsmechanismen. So ermöglichen wir unseren Kunden, ihre Daten so zu sichern, dass eine Entschlüsselung technisch unmöglich ist.
- Und drittens wird jede an uns gerichtete Inhaltsanfrage einer Strafverfolgungsbehörde sorgfältig untersucht, um deren Angemessenheit und Gesetzmäßigkeit zu überprüfen. Wenn wir tätig werden müssen, um Kunden zu schützen, werden wir dies weiterhin tun. AWS ist bekannt für seine ablehnende Haltung gegenüber Behördenanfragen nach Kundeninformationen, von denen wir meinen, dass sie zu weit gefasst oder unangemessen sind.
connect professional: AWS-Dienste sind vielfach zertifiziert. Wie transparent ist die operative Umsetzung und wie können Kunden in ihrer individuellen Architektur die Einhaltung überprüfen?
Bruhn: Wir haben über einhundert Zertifizierungen und Testierungen, die wir alle öffentlich in unserem Compliance-Portal darstellen. Konkret können sich Kunden zum Beispiel C5-Berichte herunterladen und einzelne Kontrollen einsehen. Diese Berichte enthalten detaillierte Informationen darüber, welche Sicherheitsmaßnahmen wir konkret implementiert haben.
Unsere Zertifizierungen dienen aber nicht nur als Garantie für unsere Kunden. Unternehmen können auch selbst direkt davon profitieren, wenn sie mit uns zusammenarbeiten. Ein praktisches Beispiel: Doctolib erhielt kürzlich als einer der ersten Healthtech-SaaS-Anbieter in Deutschland das anspruchsvolle C5-Testat Typ 2. Das gelang ihnen deutlich einfacher, weil sie auf unserer AWS Infrastruktur aufbauen, die bereits C5-testiert ist.
Hier zeigt sich auch das Zusammenwirken des Shared Responsibility Models in der Praxis: Wir stellen die sichere Basis, Kunden konfigurieren ihre Anwendungen sicher darauf. Die geteilte Verantwortung bedeutet nicht nur separate Bereiche, sondern echte Zusammenarbeit. Unsere Zertifizierungen bilden das Fundament, auf dem Kunden ihre eigenen Compliance-Ziele erreichen können.
| „Die Cloud macht derzeit nur etwa zehn Prozent der gesamten IT-Infrastruktur aus. [...] Es ist also keineswegs so, dass IT-Infrastruktur bereits übermäßig auf die Cloud konzentriert wäre – die Digitalisierung setzt gerade erst richtig ein.“ |
|---|
connect professional: Immer mehr kritische Infrastrukturen wandern in die Cloud. Kritiker fragen sich: Ist die Cloud für kritische Infrastruktur überhaupt sicher genug? Wie begegnen Sie solchen Bedenken?
Bruhn: Mit Verständnis. Auch wir behalten das im Auge, denn unsere Erfahrung aus der Praxis zeigt: Sicherheitsrisiken nehmen zu. Die Cloud ist aber nicht das Problem, sondern die Lösung. Wir haben bereits heute umfassende Erfahrungen mit KRITIS-Regulierungen – beispielsweise fallen schon heute zwei unserer Services – Amazon Elastic Compute Cloud (Amazon EC2) und Amazon CloudFront – unter die KRITIS-Verordnung. Wir kennen die Risiken und sichern unsere Architektur auch entsprechend ab. Für AWS steht Sicherheit an oberster Stelle und jede unserer Regionen ist von Grund auf sicher aufgebaut nach den AWS Prinzipien Secure by Design und Sovereign by Design.
Die Risiken werden nicht verschwinden, sondern sogar mehr Unternehmen betreffen. Mit NIS2 werden laut BSI beispielsweise deutlich mehr Organisationen als kritische Infrastruktur klassifiziert – möglicherweise bis zu 30.000 in Deutschland. Ähnlich wie in unserem Praxisbeispiel Doctolib wird es aber für diese Unternehmen viel einfacher, den regulatorischen Anforderungen nachzukommen: Sie können auf einer Cloud-Infrastruktur aufbauen, die bereits alle entsprechenden Sicherheitsstandards erfüllt.
Ebenfalls sollte im Blick behalten werden, dass die Cloud derzeit nur etwa zehn Prozent der gesamten IT-Infrastruktur ausmacht. Wir stehen erst am Anfang der Cloud-Transformation. Es ist also keineswegs so, dass IT-Infrastruktur bereits übermäßig auf die Cloud konzentriert wäre – die Digitalisierung setzt gerade erst richtig ein. Jetzt müssen die Weichen in den Unternehmen gestellt werden, um in eine sichere IT-Zukunft zu starten. Dafür stehen wir als AWS mit unserer langjährigen Expertise auch in sicherheitskritischen Bereichen gerne zur Seite.
connect professional: Welches zentrale Thema wird aus Ihrer Sicht das kommende Jahr für Unternehmen, Behörden und Anbieter in puncto digitale Sicherheit und Regulierung dominieren?
Bruhn: Die Kundenanforderungen an Sicherheit bleiben konstant hoch – das wird sich nicht ändern. Entscheidend sind allerdings die Entwicklung und Implementierung der neuen EU-Rechtsakte. Wichtige Gesetze wie NIS2 werden wahrscheinlich in dieser Legislaturperiode in Deutschland umgesetzt und damit kommen einige Herausforderungen auf Unternehmen zu. Immerhin müssen auch etwaige Anpassungen oder Änderungen berücksichtigt werden.
Jetzt ist der richtige Zeitpunkt für Unternehmen, sich intensiv damit zu beschäftigen, wie Cloud Computing bei der Umsetzung dieser Anforderungen unterstützen kann. Mit unserer European Sovereign Cloud haben wir zusätzlich eine Infrastruktur geschaffen, die vollständig von Personal betrieben wird, das in der EU ansässig ist, und die in Worst-Case-Szenarien eigenständig weiterlaufen kann. Darauf können Unternehmen aufbauen.
Ein weiteres wichtiges Thema wird die zunehmende Professionalisierung von Cyber-Angriffen durch KI sein. Das erfordert entsprechende Abwehrmechanismen – ein Bereich, in dem Cloud-Anbieter mit ihren Ressourcen und ihrem Know-how eine entscheidende Rolle spielen werden. Mit uns als Partner bekommen Unternehmen nicht nur die sichere Infrastruktur, sondern auch die notwendige Expertise zur Seite.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
„AWS European Sovereign Cloud“
Amazon verspricht souveräne Cloud in Europa
Millionen-Deals in über zehn Ländern
Westcon-Comstor erweitert AWS Marketplace-Programm in EMEA
Public Cloud für Bundesverwaltung
Bechtle gewinnt gemeinsam mit AWS Rahmenvertrag
Cloud-ERP-Bereitstellung
Grow with SAP künftig auf AWS
AWS Marketplace
Check Point und Westcon-Comstor bauen Partnerschaft aus
AWS-Partner
PCG und Kreuzwerker bündeln Kräfte
