- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Keine digitale Transformation ohne IT-Sicherheit


Sicherheit zu gewährleisten wird immer komplexer: Den Spagat, welchen die IT-Abteilungen schaffen müssen, um die digitale Transformation zu unterstützen ist enorm
Folgen von Krisen und Cyberangriffen, die den Ausfall eines Systems nach sich ziehen, sind heute für die IT-Abteilung kaum noch abzuschätzen oder gar zu beziffern

- Anzeigen -





Autor Holger Müller
Autor Holger Müller Kein ausgeklügeltes Sicherheitskonzept zu haben heißt nicht unbedingt, dass Systeme zu schlecht gesichert sind. Eher gilt es, das richtige Maß an Sicherheit zu finden, Bild: Fritz & Macziol

Von Holger Müller, Business Unit Manager IT Management & Betrieb bei Fritz & Macziol

(26.04.16) - Umbruch wohin man schaut: Technologische Megatrends wie Cloud Computing, Mobility oder Big Data zwingen Unternehmen, ihre Geschäftsmodelle zu überdenken und umzustrukturieren. In der digitalen Transformation sind sämtliche Prozesse einem ständigen Wandel unterworfen, weshalb für Geschäftsentscheider und IT-Abteilungen gleichzeitig an mehreren Stellen Handlungsdruck entsteht. Mit dem gleichen Budget muss in derselben Zeit zusätzlich zum Alltagsgeschäft das Potenzial neuer Technologien genutzt und an den Kunden weitergegeben werden. Darüber hinaus soll das Risiko beim Betrieb der Systeme, wie durch das IT-Sicherheitsgesetz für viele Branchen gefordert, minimiert werden, um volkswirtschaftlichen Schaden zu vermeiden.

IT-Sicherheit steht laut einer IDC-Studie unangefochten auf Platz eins der wichtigsten Technologieanforderungen. Und auch die Bundesregierung gibt mit dem neuen Gesetzentwurf "Zur Erhöhung der Sicherheit informationstechnischer Systeme", kurz IT-Sicherheitsgesetz den gesetzlichen Rahmen vor. Viele Unternehmen stehen unter enormen Druck, den digitalen Wandel zu vollziehen und für Branchen, wie etwa die Energie- und Wasserversorgung oder das Rettungswesen entsteht zusätzlicher Erfüllungsaufwand: Die Einhaltung zusätzlicher IT-Sicherheitsanforderungen, deren Überprüfung sowie für die Einrichtung von Verfahren für die Meldung von IT-Sicherheitsvorfällen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) legt in seinen Berechnungen 2.000 Betreiber kritischer Infrastrukturen zugrunde und schätzt den Aufwand für die Erfüllung der Meldepflicht auf 9,24 Millionen Euro. Viele Unternehmen stehen sicherheitstechnisch unter Zugzwang, da sie völlig neue Arten von Daten schützen müssen, insbesondere Kundendaten sowie Webservices und Applikationen.

Den Spagat, welchen die IT-Abteilungen schaffen müssen, um die digitale Transformation zu unterstützen ist enorm. Einerseits sollen sie maßgeblich zum Geschäftserfolg beitragen, das heißt auf strategischer wie operativer Ebene neue Chancen nutzen und Potenziale erarbeiten. Andererseits ist der Spielraum dafür durch den Kostendruck und die Forderung, die IT-Umgebung sicher "am Laufen zu halten", stark limitiert. Aufgrund der Vielzahl unterschiedlicher Systeme und Arten von Daten, sind vielen Unternehmen die Auswirkungen eines IT-Ausfalls meist nicht in vollem Umfang bewusst. Die Vernetzung der Produktion mit der Auftragsabwicklung, dem Kundenbeziehungsmanagement (CRM) und dem Rechnungswesen ist heute Gang und Gäbe.

Folgen von Krisen und Cyberangriffen, die den Ausfall eines Systems nach sich ziehen, sind heute für die IT-Abteilung kaum noch abzuschätzen oder gar zu beziffern. Nach einer Erhebung von Symantec beziehen nur rund 30 Prozent der Entscheider im Mittelstand die Auswirkungen auf die Disaster-Recovery-Vorsorge für ihre Technologien und Betriebskonzepte mit ein. Erstaunlich, wenn man berücksichtigt wie groß die Abhängigkeit von den IT-Systemen heute ist.

Welchen Schaden richtet ein IT-Ausfall an?
Kein ausgeklügeltes Sicherheitskonzept zu haben heißt nicht unbedingt, dass Systeme zu schlecht gesichert sind. Eher gilt es, das richtige Maß an Sicherheit zu finden. Ansonsten wird für übertriebene Sicherheitsmaßnahmen an den falschen Stellen zu viel bezahlt, während woanders zusätzliche Vorkehrungen notwendig wären. Unternehmen sollten daher Schritt für Schritt ermitteln, welche Maßnahmen für die einzelnen Systeme und Daten notwendig sind – statt vorschnell Sicherheitslösungen von der Stange zu kaufen.

Hier sind IT-Sicherheitsexperten von Nutzen. Sie analysieren die Geschäftsanforderungen sowie die dafür notwendigen Prozesse und IT-Services. Dabei sind Kernprozesse als solche zu verstehen, deren Ausfall kurz- oder mittelfristig das Bestehen der Organisation gefährden würde. Für einige Unternehmen mag es sogar genügen, in der Hauptsache diese Prozesse zu sichern. Meist gibt es aber viele weitere IT-Services, welche beispielsweise die langfristige Unternehmensentwicklung bremsen können. Andere wirken sich vielleicht nur auf die Leistung in Teilbereichen des Geschäftes aus. Es gilt also zu verstehen, welche Rolle ein bestimmter IT-Service für das Geschäft spielt, um zu identifizieren welchen Schaden sein Ausfall anrichten kann.

Differenzierung zwischen Daten und Prozessen
Anhand einer derartigen Analyse der Unternehmens-IT werden die finanziellen Auswirkungen verschiedener Bedrohungsszenarien bewertet. Daraus wird ein Konzept für eine IT-Umgebung entwickelt, das auf die individuellen Geschäftsanforderungen zugeschnitten ist und die zentralen Systeme gegen potenzielle Ausfälle und Katastrophen absichert. Das Vorgehen im Bezug auf Daten ist ähnlich. Es gilt festzustellen, welche Daten besonders zu schützen sind und an welchen Stellen sie das Unternehmen verlassen können, beispielsweise für den Austausch mit Partnern, Dienstleistern oder Kunden. Dies ist vor allem aus Datenschutzgründen wichtig, sei es ob Kundendaten vertraulich bleiben müssen oder zur Absicherung gegen Wirtschaftsspionage. Gerade weil dies durch Schlagzeilen wie zu den NSA-Skandalen stark in den Fokus gerückt ist, wird gerne vergessen, dass auch die Datenintegrität zu schützen ist. Das heißt, es muss sichergestellt sein, dass Daten korrekt sind und nicht durch organisatorische sowie technische Mängel oder sogar Sabotage manipuliert sind. In Zeiten vernetzter Produktion können die Folgen schwerwiegend sein.

Auch dafür muss individuell geprüft werden, welcher Schutzbedarf für einzelne Datentypen besteht und das Schutzkonzept angepasst werden. Es leuchtet ein, dass personenbezogene Kundendaten hohe Sicherheit genießen sollten. Die Frage ist jedoch, ob dies auch für den Speiseplan der Kantine im Intranet gilt – in aller Regel nicht. Auch darüber, welche Daten hochverfügbar sein müssen wird im Rahmen eines Schutzkonzepts entschieden. Während an kritischen Datenpunkten Backups in wenigen Stunden eingespielt werden müssen, kann es für unkritische Informationen länger dauern. Dies wird in den Service Level Agreements (SLAs) mit dem internen oder externen IT-Dienstleister vereinbart.

Der erste Schritt in die digitale Transformation
Kosten zu sparen und mit angemessenem Aufwand für Bedrohungen abzuwenden, ist nur ein Vorteil der fundierten IT-Risikoanalyse. Denn sie bringt darüber hinaus umfassende Erkenntnisse über alle Aktivitäten für den systematischen und effizienten Umgang beim Einsatz von Informationstechnologie. Sie sollte daher als aktives Instrument zur Unternehmenssteuerung verstanden werden. Denn durch das detaillierte Wissen über die Prozesse ergibt sich Optimierungspotenzial für die gesamte IT-Landschaft. Ist dieses Potenzial erst einmal erkannt, kann Schritt für Schritt die Effizienz und somit letztendlich der Geschäftserfolg verbessert werden. (Fritz & Macziol: ra)

eingetragen: 08.04.16
Home & Newsletterlauf: 26.04.16


Fritz & Macziol: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Der primäre Anwendungsfall unserer Zeit

    Es scheint ein Widerspruch zu sein: Obwohl die meisten Unternehmen viele ihrer Anwendungen in die Cloud migrieren, erfreut sich das klassische Rechenzentrum nach wie vor großer Beliebtheit. Seit nun mehr als einem Jahrzehnt virtualisieren Unternehmen ihre Rechenzentren und führen Cloud-Technologien ein. Und sagten einige Experten vor gut zehn Jahren voraus, dass das Rechenzentrum der Zukunft vollständig in der Cloud betrieben würde, sehen wir heute, dass dies nicht eingetreten ist. Stattdessen führten Unternehmen Hybrid- und Multi-Cloud-Umgebungen ein, die ihnen die Wahl geben, ihren Anwendungen und Daten das ideale Zuhause zu geben.

  • Modulare Malware: Bösartige Multitalente

    Modulare Malware bietet Cyberkriminellen eine Architektur, die robuster, flexibler und gefährlicher ist als klassische dokumentenbasierte oder webbasierte Malware. Denn die Schadware beinhaltet verschiedene Nutzlasten und Funktionen und kann diese selektiv starten, je nach Ziel und Funktion des Angriffs. Mit dem Aufkommen von Botnetzen, die Befehle von Cyberkriminellen ausführen, und Malware, die für eine umfangreiche Verbreitung geschrieben wurde, ist Modularität zur neuen Norm geworden. Malware-Autoren organisieren sich zunehmend professionell und übernehmen und implementieren Praktiken der Softwareindustrie, einschließlich Qualitätssicherung und Tests, um den Erfolg von Angriffen zu optimieren. Als Reaktion auf die Anforderung, mehrere Fähigkeiten mit einer Malware-Datei zu erfüllen, hat sich modulare Malware zu einer funktionsreichen und flexiblen Angriffslösung für Cyberkriminelle entwickelt.

  • KI-Anwendungen missbraucht

    Malwarebytes veröffentlichte ihren Hintergrundbericht zum Einsatz Künstlicher Intelligenz (KI) innerhalb der Malware-Branche. In diesem Bericht wirft Malwarebytes dabei einen Blick zurück auf die Anfänge von KI, gibt einen Einblick in die Vorteile von KI und Machine Learning innerhalb der Cybersicherheitsbranche, definiert Einsatzgebiete mit Beispielen von KI bei Malware-Angriffen und gibt einen Ausblick, wozu bösartige Angriffe auf KI-Basis in Zukunft im Stande sind. Der komplette (englischsprachige) Hintergrundbericht ist unter diesem Link verfügbar. Als Gesellschaft nutzen wir künstliche Intelligenz bereits in einer Vielzahl von Branchen: Spracherkennung, Wortvervollständigung, Biometrie, maschinelle Lernplattformen. KI ist über den Hype hinaus und wir werden bald feststellen, dass sie mittlerweile weit verbreitet ist. Malwarebytes geht davon aus, dass es einen entscheidenden Zeitraum in der Entwicklung der künstlichen Intelligenz gibt, in dem diejenigen, die diese relativ neue Technologie in die Welt bringen, die Wahl haben, sie verantwortungsbewusst zu nutzen oder ihre Entwicklung einfach um jeden Preis zu beschleunigen. Es ist jetzt an der Zeit, darüber nachdenken, bevor es Cyberkriminelle tun werden.

  • ML: Die geknüpften Erwartungen sind hoch

    Die an Maschinelles Lernen (ML) geknüpften Erwartungen sind hoch, und das mit gutem Grund. Algorithmen, die auf maschinellem Lernen basieren, erlauben es uns beispielsweise enorme Mengen von Sicherheitsvorkommnissen auf Anomalien hin zu sichten. Also Abweichungen von einem als normal definierten Verhalten zu erkennen, die häufig Anzeichen für böswillige Aktivitäten sind. Die Ergebnisse dieses Sichtungsprozesses werden an einen Analysten übermittelt, der sie durchsieht und gründlich überprüft. Anschließend wird das System mit den Ergebnissen gefüttert um es weiter zu trainieren. Mit mehr und mehr in das System eingespeisten Daten entwickelt es sich sukzessive weiter: Es lernt ähnliche Sicherheitsvorkommnisse zu erkennen und letztendlich deren zugrunde liegende Charakteristika eines böswilligen Verhaltens.

  • Angriffsforensik: Post Mortem von Cyberattacken

    Wenn Cyberangriffe die Sicherheit von Endgeräten umgehen, kann es oft Monate dauern, bis Unternehmen die Schwachstelle entdecken. Unternehmen suchen deshalb nach Möglichkeiten, ihre Endgerätesicherheit zu modernisieren und ihre Fähigkeit zu verbessern, Bedrohungen schneller zu erkennen und in komplexen Infrastrukturen effektiver darauf zu reagieren. Um genutzte Sicherheitslücken und blinde Flecken im System zu erkennen, müssen sich Securityteams der Angriffsforensik bedienen, um genau herauszufinden, wie es zu Sicherheitsvorfällen kommen konnte. Sie ist ein Element zur Verbesserung der Endpoint Detection and Response (EDR). Weiß man dank der Angriffsforensik genau, wo die Sicherheitslücken sind und wie sie von Kriminellen ausgenutzt wurden, können Unternehmen Business Continuity besser gewährleisten, Malware schneller erkennen und Sicherheitslücken zukünftig schließen.