Sicherheit gehört in jede Cloud-Plattform eines Unternehmens – Interview mit Klaus Haller

Hi Klaus: Los geht’s mit dem Warm-Up. Was ist Cloud Security Architecture und weshalb sollte ich mich als CIO, IT-Leiter bzw. Plattformverantwortlicher damit auseinandersetzen?

Wer die grundlegenden Cloud Security Konzepte versteht, kann Security-Vorfälle nicht nur im Nachhinein gegenüber Regulatoren, Geschäftsleitung oder Verwaltungsrat besser erklären, sondern sie im Idealfall auch verhindern. Entscheidend ist, früh die richtigen Fragen zu stellen und Security strukturiert in die Organisation zu integrieren.

Viele Unternehmen beschäftigen heute bereits etablierte IT Security Teams und Enterprise Architekten. Worin liegt der Zusatznutzen eines Cloud Security Architekten?

IT-Security-Teams sind traditionell stark im Incident Management und in der Assurance, also darin, zu prüfen, ob angemessene Schutzmechanismen existieren. Cloud-spezifisches Security Design gehört jedoch selten zu ihrer DNA.

Das Verhältnis von Enterprise und Cloud-Security-Architektur ist etwas komplexer. Kann ein Enterprise Architekt ein guter Cloud Security Architekt sein? Sicher, aber nur, wenn er bereit ist, sich intensiv mit technischen Details auseinanderzusetzen. In der Praxis ist es einfacher, wenn ein erfahrener Cloud-Security-Architekt zusätzlich Aufgaben in der Enterprise-Architektur mit Fokus auf Cybersecurity übernimmt.

In Deinem Buch Cloud Security Architecture sprichst Du davon, dass wir das “Shared Responsibility Model” neu definieren müssen. Weshalb reicht die klassische Aufteilung zwischen Cloud-Provider und Cloud-Customer nicht aus?

Das klassische Modell ist: Der Cloud Provider stellt sichere Cloud-Services bereit, während Kunden diese korrekt konfigurieren und darauf aufbauend sichere Applikationsarchitekturen implementieren.

In der Praxis schützt dieses Modell primär die Cloud Provider vor Vorwürfen, wenn Kunden aufgrund eigener Fehlkonfigurationen gehackt werden. Für CIOs und CISOs stellt sich daher die Frage: Wie können sie ihrer Verantwortung in Organisationen mit Hunderten oder Tausenden von Entwicklern gerecht werden?

Genau hier setzt mein erweitertes Modell an: Sicherheit wird in der Cloud-Plattform des Unternehmens verankert, als zusätzlicher Layer, der Sicherheitsmechanismen standardisiert bereitstellt und weitgehend unabhängig vom einzelnen Entwickler funktioniert. So können sich Entwicklungsteams stärker auf ihre eigentliche Aufgabe konzentrieren, nämlich mittels IT mehr Business Value generieren.

Künstliche Intelligenz (KI) ist allgegenwärtig. Du bezeichnest KI-Sicherheit in Deinem Buch als potenzielles „Karriererisiko“ für Architekten. Was meinst Du damit?

Das Problem ist weniger, dass KI Architekten ersetzt. Kritisch ist vielmehr das Spannungsfeld zwischen Innovationsdruck und Governance: Unternehmen treiben KI-Initiativen aggressiv voran. Risiken müssen kurzfristig bewertet und akzeptiert werden – eine Aufgabe, die dann mangels guter Alternativen oft die Security-Organisation übernehmen soll.

Die Kombination aus zu wenig Zeit, begrenztem Knowhow und hoher Verantwortung wird schnell zu einem reales Karriererisiko für Security-Spezialisten.

Dein Buch fällt durch eine pragmatische Schreibweise und direkte Ansprache auf. Fast auf der letzten Seite erfahre ein Leser, dass verschiedene KI-Tools zum Einsatz kamen. Was genau hat KI in der Redaktion übernommen?

Es entbehrt nicht einer gewissen Ironie, dass ich bei meinem ersten Buch “Managing AI in the Enterprise” deutlich weniger KI einsetzen konnte, da ich es noch vor dem Durchbruch der Large Language Models (LLMs) veröffentlicht habe. Natürlich waren damals die Online-Rechtschreibkorrektur extrem gut, ansonsten konnte ich auf die klassischen Vorteile eines Verlags mit Lektorat und Fachreview setzen.

Für mein neues Buch habe ich intensiv mit LLMs gearbeitet. Inhaltlich korrekte Fachtexte  auf Knopfdruck, das können LLMs (noch) nicht. Dafür prüfen sie Texte nicht nur auf Rechtschreib- und Grammatikfehler,  sondern erkennen auch konzeptioneller Schwächen und inhaltliche Fehler oder helfen beim Stil.

Fachbücher bleiben weiterhin unersetzlich, wenn es um einen strukturierten Überblick geht, wie ihn Experten benötigen. Einzelne Artikel oder ein paar ChatGPT-Prompts können das nicht leisten. Gleichzeitig ermöglicht KI heute eine deutlich effizienteren Weg, ein Buch zu schreiben und publikationsreif zu bekommen, zum Vorteil von Autoren und Lesern.

Letzte Frage: Wenn Du ein weiteres Buch zu Cloud Architecture bzw. IT Security empfehlen würdest, welches wäre das?

Wer als CIO oder CTO mein neues Buch gelesen hat, verfügt über ein solides Verständnis von Cloud Security. In diesem Fall würde ich mein erstes Buch, “Managing AI in the Enterprise”, empfehlen. Viele beschäftigen sich heute täglich mit LLMs. Das Buch hilft, die Potenziale von Machine Learning nicht ganz zu vergessen.

Für Cloud Security Architekten und Engineers habe ich eine andere Empfehlung: praktische Erfahrungen sammeln oder ein Thema gezielt vertiefen, das sie besonders interessiert und in dem sie vielleicht schon passende Erfahrung haben. Ob Netzwerk, Data Loss Prevention (DLP oder Identity and Access Management (IAM) – Cybersecurity ist ein breites Feld, und Spezialisierung zahlt sich aus.

Zur Person Klaus Haller