- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Keine digitale Transformation ohne IT-Sicherheit


Sicherheit zu gewährleisten wird immer komplexer: Den Spagat, welchen die IT-Abteilungen schaffen müssen, um die digitale Transformation zu unterstützen ist enorm
Folgen von Krisen und Cyberangriffen, die den Ausfall eines Systems nach sich ziehen, sind heute für die IT-Abteilung kaum noch abzuschätzen oder gar zu beziffern

- Anzeigen -





Autor Holger Müller
Autor Holger Müller Kein ausgeklügeltes Sicherheitskonzept zu haben heißt nicht unbedingt, dass Systeme zu schlecht gesichert sind. Eher gilt es, das richtige Maß an Sicherheit zu finden, Bild: Fritz & Macziol

Von Holger Müller, Business Unit Manager IT Management & Betrieb bei Fritz & Macziol

(26.04.16) - Umbruch wohin man schaut: Technologische Megatrends wie Cloud Computing, Mobility oder Big Data zwingen Unternehmen, ihre Geschäftsmodelle zu überdenken und umzustrukturieren. In der digitalen Transformation sind sämtliche Prozesse einem ständigen Wandel unterworfen, weshalb für Geschäftsentscheider und IT-Abteilungen gleichzeitig an mehreren Stellen Handlungsdruck entsteht. Mit dem gleichen Budget muss in derselben Zeit zusätzlich zum Alltagsgeschäft das Potenzial neuer Technologien genutzt und an den Kunden weitergegeben werden. Darüber hinaus soll das Risiko beim Betrieb der Systeme, wie durch das IT-Sicherheitsgesetz für viele Branchen gefordert, minimiert werden, um volkswirtschaftlichen Schaden zu vermeiden.

IT-Sicherheit steht laut einer IDC-Studie unangefochten auf Platz eins der wichtigsten Technologieanforderungen. Und auch die Bundesregierung gibt mit dem neuen Gesetzentwurf "Zur Erhöhung der Sicherheit informationstechnischer Systeme", kurz IT-Sicherheitsgesetz den gesetzlichen Rahmen vor. Viele Unternehmen stehen unter enormen Druck, den digitalen Wandel zu vollziehen und für Branchen, wie etwa die Energie- und Wasserversorgung oder das Rettungswesen entsteht zusätzlicher Erfüllungsaufwand: Die Einhaltung zusätzlicher IT-Sicherheitsanforderungen, deren Überprüfung sowie für die Einrichtung von Verfahren für die Meldung von IT-Sicherheitsvorfällen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) legt in seinen Berechnungen 2.000 Betreiber kritischer Infrastrukturen zugrunde und schätzt den Aufwand für die Erfüllung der Meldepflicht auf 9,24 Millionen Euro. Viele Unternehmen stehen sicherheitstechnisch unter Zugzwang, da sie völlig neue Arten von Daten schützen müssen, insbesondere Kundendaten sowie Webservices und Applikationen.

Den Spagat, welchen die IT-Abteilungen schaffen müssen, um die digitale Transformation zu unterstützen ist enorm. Einerseits sollen sie maßgeblich zum Geschäftserfolg beitragen, das heißt auf strategischer wie operativer Ebene neue Chancen nutzen und Potenziale erarbeiten. Andererseits ist der Spielraum dafür durch den Kostendruck und die Forderung, die IT-Umgebung sicher "am Laufen zu halten", stark limitiert. Aufgrund der Vielzahl unterschiedlicher Systeme und Arten von Daten, sind vielen Unternehmen die Auswirkungen eines IT-Ausfalls meist nicht in vollem Umfang bewusst. Die Vernetzung der Produktion mit der Auftragsabwicklung, dem Kundenbeziehungsmanagement (CRM) und dem Rechnungswesen ist heute Gang und Gäbe.

Folgen von Krisen und Cyberangriffen, die den Ausfall eines Systems nach sich ziehen, sind heute für die IT-Abteilung kaum noch abzuschätzen oder gar zu beziffern. Nach einer Erhebung von Symantec beziehen nur rund 30 Prozent der Entscheider im Mittelstand die Auswirkungen auf die Disaster-Recovery-Vorsorge für ihre Technologien und Betriebskonzepte mit ein. Erstaunlich, wenn man berücksichtigt wie groß die Abhängigkeit von den IT-Systemen heute ist.

Welchen Schaden richtet ein IT-Ausfall an?
Kein ausgeklügeltes Sicherheitskonzept zu haben heißt nicht unbedingt, dass Systeme zu schlecht gesichert sind. Eher gilt es, das richtige Maß an Sicherheit zu finden. Ansonsten wird für übertriebene Sicherheitsmaßnahmen an den falschen Stellen zu viel bezahlt, während woanders zusätzliche Vorkehrungen notwendig wären. Unternehmen sollten daher Schritt für Schritt ermitteln, welche Maßnahmen für die einzelnen Systeme und Daten notwendig sind – statt vorschnell Sicherheitslösungen von der Stange zu kaufen.

Hier sind IT-Sicherheitsexperten von Nutzen. Sie analysieren die Geschäftsanforderungen sowie die dafür notwendigen Prozesse und IT-Services. Dabei sind Kernprozesse als solche zu verstehen, deren Ausfall kurz- oder mittelfristig das Bestehen der Organisation gefährden würde. Für einige Unternehmen mag es sogar genügen, in der Hauptsache diese Prozesse zu sichern. Meist gibt es aber viele weitere IT-Services, welche beispielsweise die langfristige Unternehmensentwicklung bremsen können. Andere wirken sich vielleicht nur auf die Leistung in Teilbereichen des Geschäftes aus. Es gilt also zu verstehen, welche Rolle ein bestimmter IT-Service für das Geschäft spielt, um zu identifizieren welchen Schaden sein Ausfall anrichten kann.

Differenzierung zwischen Daten und Prozessen
Anhand einer derartigen Analyse der Unternehmens-IT werden die finanziellen Auswirkungen verschiedener Bedrohungsszenarien bewertet. Daraus wird ein Konzept für eine IT-Umgebung entwickelt, das auf die individuellen Geschäftsanforderungen zugeschnitten ist und die zentralen Systeme gegen potenzielle Ausfälle und Katastrophen absichert. Das Vorgehen im Bezug auf Daten ist ähnlich. Es gilt festzustellen, welche Daten besonders zu schützen sind und an welchen Stellen sie das Unternehmen verlassen können, beispielsweise für den Austausch mit Partnern, Dienstleistern oder Kunden. Dies ist vor allem aus Datenschutzgründen wichtig, sei es ob Kundendaten vertraulich bleiben müssen oder zur Absicherung gegen Wirtschaftsspionage. Gerade weil dies durch Schlagzeilen wie zu den NSA-Skandalen stark in den Fokus gerückt ist, wird gerne vergessen, dass auch die Datenintegrität zu schützen ist. Das heißt, es muss sichergestellt sein, dass Daten korrekt sind und nicht durch organisatorische sowie technische Mängel oder sogar Sabotage manipuliert sind. In Zeiten vernetzter Produktion können die Folgen schwerwiegend sein.

Auch dafür muss individuell geprüft werden, welcher Schutzbedarf für einzelne Datentypen besteht und das Schutzkonzept angepasst werden. Es leuchtet ein, dass personenbezogene Kundendaten hohe Sicherheit genießen sollten. Die Frage ist jedoch, ob dies auch für den Speiseplan der Kantine im Intranet gilt – in aller Regel nicht. Auch darüber, welche Daten hochverfügbar sein müssen wird im Rahmen eines Schutzkonzepts entschieden. Während an kritischen Datenpunkten Backups in wenigen Stunden eingespielt werden müssen, kann es für unkritische Informationen länger dauern. Dies wird in den Service Level Agreements (SLAs) mit dem internen oder externen IT-Dienstleister vereinbart.

Der erste Schritt in die digitale Transformation
Kosten zu sparen und mit angemessenem Aufwand für Bedrohungen abzuwenden, ist nur ein Vorteil der fundierten IT-Risikoanalyse. Denn sie bringt darüber hinaus umfassende Erkenntnisse über alle Aktivitäten für den systematischen und effizienten Umgang beim Einsatz von Informationstechnologie. Sie sollte daher als aktives Instrument zur Unternehmenssteuerung verstanden werden. Denn durch das detaillierte Wissen über die Prozesse ergibt sich Optimierungspotenzial für die gesamte IT-Landschaft. Ist dieses Potenzial erst einmal erkannt, kann Schritt für Schritt die Effizienz und somit letztendlich der Geschäftserfolg verbessert werden. (Fritz & Macziol: ra)

eingetragen: 08.04.16
Home & Newsletterlauf: 26.04.16


Fritz & Macziol: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • IoT-Geräte kompromittieren

    Sei es der Kühlschrank, der meldet, wenn die Milch alle ist, oder der Thermostat, der Nutzungsstatistiken aufs Smartphone sendet - verschiedenste Produkte, die traditionell nicht über eine Netzwerkverbindung verfügten, werden mittlerweile damit ausgestattet. Abgesehen von Computer, Telefon, Tablet oder Router gilt grundsätzlich jedes Endanwender-Gerät, das sich mit einem Netzwerk verbinden kann, als IoT-Device. Zu den größten Problemen dieser Entwicklung zählen jedoch immer noch die vielen Sicherheitslücken der Geräte. Zwar bemühen sich Hersteller mittlerweile um Verbesserungen, zugleich zeigen sich neue Bedrohungen wie die Kompromittierung von Anmeldeinformationen durch Schwachstellen in Web- und Mobil-Applikationen bestimmter IoT-Devices.

  • Maschinelles Lernen in der IT-Security

    Artificial Intelligence, zu Deutsch Künstliche Intelligenz (KI), hat sich zum Hypebegriff entwickelt und es scheint fast so, als wären alle IT-Lösungen über Nacht intelligent geworden. KI wird als Antriebsfeder der digitalen Transformation betrachtet, doch steckt sie in ihren Anwendungsbereichen noch in den Kinderschuhen. Im Prinzip geht es darum, menschliche Entscheidungsstrukturen mit Hilfe eines Computers nachzubauen, ihn sozusagen "intelligent" werden zu lassen. Häufig wird die Begrifflichkeit verwendet und dabei absichtlich mit dem Maschinellen Lernen synonym verwendet. Doch Maschinelles Lernen ist eher ein Teilgebiet der KI. Maschinelles Lernen ist im Prinzip auf Algorithmen basierende Software, die darauf spezialisiert ist, sehr große Datenmengen anhand vordefinierter Parameter zu bearbeiten.

  • Geschichte und Zukunft der Ransomware

    Aktuelle Ransomware-Angriffe wie das erneute Aufflammen der GandCrab-Welle oder die Attacke auf den deutschen Maschinenbauer Krauss Maffei, durch den zahlreiche Rechner lahmgelegt und die Produktion wochenlang gedrosselt wurde, zeigen, dass das Geschäftsmodell der Datengeiselnahme für Cyberkriminelle leider nichts an Attraktivität eingebüßt hat. Lösegelderpressung durch Ransomware hat von ihren frühesten Anfängen vor 30 Jahren bis heute eine berüchtigte Karriere hingelegt. Durch die enorme Professionalisierung der Vertriebswege, beispielsweise durch Ransomware-as-a-Service (RaaS), wurden Krypto-Trojaner-Attacken auch für technisch wenig versierte Kriminelle zu einer der lohnenswertesten und erfolgreichsten Angriffsarten.

  • Unterschätzte Bedrohung "Datendiebstahl"

    Datendiebstahl zählt zu den größten Bedrohungen in der Cyberwelt. So wurden im Jahr 2017 rund 2,6 Milliarden Daten gestohlen. Das entspricht einer Zunahme von 88 Prozent im Vergleich zum Vorjahr (1). Trotzdem wird diese Gefahr häufig noch immer unterschätzt. Denn gerade durch das Aufkommen des Internet of Things (IoT) sowie des Industrial Internet of Things (IIoT) können die Folgen solcher ungewollten Datenabflüsse weitaus größere Ausmaße haben als "nur" den reinen Verlust von wichtigen Daten. Dabei haben es die Hacker auf den ersten Blick auf vermeintlich uninteressante Unternehmens- und Mitarbeiterdaten abgesehen.

  • Wer muss die Sicherheitsstrategie mittragen?

    Wir schreiben das Jahr 2019. Daten sind omnipräsent und allein mit unseren Fingerspitzen agieren wir hochgradig transformativ. Das ändert, wie wir unsere Geschäftstätigkeit betrachten, macht uns produktiver und vereinfacht an vielen Stellen unser Leben. Sei es, dass wir sicher nach Hause finden, Lebensmittel online bestellen können oder entscheiden, was wir wann auf welchem Gerät ansehen. Die Möglichkeiten sind schier unendlich sowohl für den privaten als auch für den geschäftlichen Bereich. Und jede Minute kommen neue Optionen dazu. Unglücklicherweise hat jede neue Möglichkeit auch neue Sicherheitsrisiken im Gepäck. Risiken, denen sich Sicherheitsverantwortliche wie CISOs nur allzu bewusst sind. Welche Verhaltensweisen, Methoden und Haltungen sind also besser als andere geeignet das bestmögliche aus unseren Daten herauszuholen und gleichzeitig deren Sicherheit zu gewährleisten?