- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Keine digitale Transformation ohne IT-Sicherheit


Sicherheit zu gewährleisten wird immer komplexer: Den Spagat, welchen die IT-Abteilungen schaffen müssen, um die digitale Transformation zu unterstützen ist enorm
Folgen von Krisen und Cyberangriffen, die den Ausfall eines Systems nach sich ziehen, sind heute für die IT-Abteilung kaum noch abzuschätzen oder gar zu beziffern

- Anzeigen -





Autor Holger Müller
Autor Holger Müller Kein ausgeklügeltes Sicherheitskonzept zu haben heißt nicht unbedingt, dass Systeme zu schlecht gesichert sind. Eher gilt es, das richtige Maß an Sicherheit zu finden, Bild: Fritz & Macziol

Von Holger Müller, Business Unit Manager IT Management & Betrieb bei Fritz & Macziol

(26.04.16) - Umbruch wohin man schaut: Technologische Megatrends wie Cloud Computing, Mobility oder Big Data zwingen Unternehmen, ihre Geschäftsmodelle zu überdenken und umzustrukturieren. In der digitalen Transformation sind sämtliche Prozesse einem ständigen Wandel unterworfen, weshalb für Geschäftsentscheider und IT-Abteilungen gleichzeitig an mehreren Stellen Handlungsdruck entsteht. Mit dem gleichen Budget muss in derselben Zeit zusätzlich zum Alltagsgeschäft das Potenzial neuer Technologien genutzt und an den Kunden weitergegeben werden. Darüber hinaus soll das Risiko beim Betrieb der Systeme, wie durch das IT-Sicherheitsgesetz für viele Branchen gefordert, minimiert werden, um volkswirtschaftlichen Schaden zu vermeiden.

IT-Sicherheit steht laut einer IDC-Studie unangefochten auf Platz eins der wichtigsten Technologieanforderungen. Und auch die Bundesregierung gibt mit dem neuen Gesetzentwurf "Zur Erhöhung der Sicherheit informationstechnischer Systeme", kurz IT-Sicherheitsgesetz den gesetzlichen Rahmen vor. Viele Unternehmen stehen unter enormen Druck, den digitalen Wandel zu vollziehen und für Branchen, wie etwa die Energie- und Wasserversorgung oder das Rettungswesen entsteht zusätzlicher Erfüllungsaufwand: Die Einhaltung zusätzlicher IT-Sicherheitsanforderungen, deren Überprüfung sowie für die Einrichtung von Verfahren für die Meldung von IT-Sicherheitsvorfällen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) legt in seinen Berechnungen 2.000 Betreiber kritischer Infrastrukturen zugrunde und schätzt den Aufwand für die Erfüllung der Meldepflicht auf 9,24 Millionen Euro. Viele Unternehmen stehen sicherheitstechnisch unter Zugzwang, da sie völlig neue Arten von Daten schützen müssen, insbesondere Kundendaten sowie Webservices und Applikationen.

Den Spagat, welchen die IT-Abteilungen schaffen müssen, um die digitale Transformation zu unterstützen ist enorm. Einerseits sollen sie maßgeblich zum Geschäftserfolg beitragen, das heißt auf strategischer wie operativer Ebene neue Chancen nutzen und Potenziale erarbeiten. Andererseits ist der Spielraum dafür durch den Kostendruck und die Forderung, die IT-Umgebung sicher "am Laufen zu halten", stark limitiert. Aufgrund der Vielzahl unterschiedlicher Systeme und Arten von Daten, sind vielen Unternehmen die Auswirkungen eines IT-Ausfalls meist nicht in vollem Umfang bewusst. Die Vernetzung der Produktion mit der Auftragsabwicklung, dem Kundenbeziehungsmanagement (CRM) und dem Rechnungswesen ist heute Gang und Gäbe.

Folgen von Krisen und Cyberangriffen, die den Ausfall eines Systems nach sich ziehen, sind heute für die IT-Abteilung kaum noch abzuschätzen oder gar zu beziffern. Nach einer Erhebung von Symantec beziehen nur rund 30 Prozent der Entscheider im Mittelstand die Auswirkungen auf die Disaster-Recovery-Vorsorge für ihre Technologien und Betriebskonzepte mit ein. Erstaunlich, wenn man berücksichtigt wie groß die Abhängigkeit von den IT-Systemen heute ist.

Welchen Schaden richtet ein IT-Ausfall an?
Kein ausgeklügeltes Sicherheitskonzept zu haben heißt nicht unbedingt, dass Systeme zu schlecht gesichert sind. Eher gilt es, das richtige Maß an Sicherheit zu finden. Ansonsten wird für übertriebene Sicherheitsmaßnahmen an den falschen Stellen zu viel bezahlt, während woanders zusätzliche Vorkehrungen notwendig wären. Unternehmen sollten daher Schritt für Schritt ermitteln, welche Maßnahmen für die einzelnen Systeme und Daten notwendig sind – statt vorschnell Sicherheitslösungen von der Stange zu kaufen.

Hier sind IT-Sicherheitsexperten von Nutzen. Sie analysieren die Geschäftsanforderungen sowie die dafür notwendigen Prozesse und IT-Services. Dabei sind Kernprozesse als solche zu verstehen, deren Ausfall kurz- oder mittelfristig das Bestehen der Organisation gefährden würde. Für einige Unternehmen mag es sogar genügen, in der Hauptsache diese Prozesse zu sichern. Meist gibt es aber viele weitere IT-Services, welche beispielsweise die langfristige Unternehmensentwicklung bremsen können. Andere wirken sich vielleicht nur auf die Leistung in Teilbereichen des Geschäftes aus. Es gilt also zu verstehen, welche Rolle ein bestimmter IT-Service für das Geschäft spielt, um zu identifizieren welchen Schaden sein Ausfall anrichten kann.

Differenzierung zwischen Daten und Prozessen
Anhand einer derartigen Analyse der Unternehmens-IT werden die finanziellen Auswirkungen verschiedener Bedrohungsszenarien bewertet. Daraus wird ein Konzept für eine IT-Umgebung entwickelt, das auf die individuellen Geschäftsanforderungen zugeschnitten ist und die zentralen Systeme gegen potenzielle Ausfälle und Katastrophen absichert. Das Vorgehen im Bezug auf Daten ist ähnlich. Es gilt festzustellen, welche Daten besonders zu schützen sind und an welchen Stellen sie das Unternehmen verlassen können, beispielsweise für den Austausch mit Partnern, Dienstleistern oder Kunden. Dies ist vor allem aus Datenschutzgründen wichtig, sei es ob Kundendaten vertraulich bleiben müssen oder zur Absicherung gegen Wirtschaftsspionage. Gerade weil dies durch Schlagzeilen wie zu den NSA-Skandalen stark in den Fokus gerückt ist, wird gerne vergessen, dass auch die Datenintegrität zu schützen ist. Das heißt, es muss sichergestellt sein, dass Daten korrekt sind und nicht durch organisatorische sowie technische Mängel oder sogar Sabotage manipuliert sind. In Zeiten vernetzter Produktion können die Folgen schwerwiegend sein.

Auch dafür muss individuell geprüft werden, welcher Schutzbedarf für einzelne Datentypen besteht und das Schutzkonzept angepasst werden. Es leuchtet ein, dass personenbezogene Kundendaten hohe Sicherheit genießen sollten. Die Frage ist jedoch, ob dies auch für den Speiseplan der Kantine im Intranet gilt – in aller Regel nicht. Auch darüber, welche Daten hochverfügbar sein müssen wird im Rahmen eines Schutzkonzepts entschieden. Während an kritischen Datenpunkten Backups in wenigen Stunden eingespielt werden müssen, kann es für unkritische Informationen länger dauern. Dies wird in den Service Level Agreements (SLAs) mit dem internen oder externen IT-Dienstleister vereinbart.

Der erste Schritt in die digitale Transformation
Kosten zu sparen und mit angemessenem Aufwand für Bedrohungen abzuwenden, ist nur ein Vorteil der fundierten IT-Risikoanalyse. Denn sie bringt darüber hinaus umfassende Erkenntnisse über alle Aktivitäten für den systematischen und effizienten Umgang beim Einsatz von Informationstechnologie. Sie sollte daher als aktives Instrument zur Unternehmenssteuerung verstanden werden. Denn durch das detaillierte Wissen über die Prozesse ergibt sich Optimierungspotenzial für die gesamte IT-Landschaft. Ist dieses Potenzial erst einmal erkannt, kann Schritt für Schritt die Effizienz und somit letztendlich der Geschäftserfolg verbessert werden. (Fritz & Macziol: ra)

eingetragen: 08.04.16
Home & Newsletterlauf: 26.04.16


Fritz & Macziol: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Ransomware: Es kommt schlimmer

    Seit ich im Jahr 2014 meine erste Keynote zu diesem Thema gehalten habe beschäftige ich mich mit Ransomware-Prognosen. Seinerzeit wagte ich etwa ein Dutzend Vorhersagen und tatsächlich sind alle eingetroffen. Vor kurzem wurde ich gebeten einen Beitrag für das ITSP Magazine beizusteuern. Und dieses Mal sollten die Prognosen nicht nur spezifischer sein, sondern die Sache auf die Spitze treiben. Sprich, welche Prognosen kommen dabei heraus, wenn man die aktuellen Szenarien bis zu Ende denkt. Soviel lässt sich sagen, alle sind einigermaßen beängstigend. Soeben hat eine Analyse von @David Formby eine der schlimmsten Befürchtungen bestätigt: Kritische Infrastrukturen geraten zunehmend ins Visier von Ransomware-Attacken (Targeting Critical Infrastructure for Ransom). Im letzten Frühjahr litten vornehmlich Krankenhäuser unter der sogenannten SamSam-Ransomware, und im Rahmen unserer Incident Containment-Methode haben wir drei Dinge übereinstimmend festgestellt.

  • Von IT-Sicherheitsexperten lernen

    Die Varonis Blog-Autoren haben inzwischen mit etlichen Sicherheitsexperten aus den unterschiedlichsten Bereichen gesprochen: mit Penetrationstestern, Anwälten, CDOs, Datenschützern, IT-Experten und sogar einem IT-Security-Guru. Wir haben die wichtigsten Analysen und Tipps hier für Sie zusammengetragen. Die Weltformel: Das Internet der Dinge (IoT) ist ein guter Ausgangspunkt, um seine Lehren in Sachen IT-Sicherheit zu ziehen. Mit dem IoT, also dem Internet der Dinge mit seiner überwältigen Zahl an Geräten, werden Unternehmen und Endverbraucher mit praktisch allen Datenschutz- und Datensicherheitsproblemen konfrontiert, die man sich denken kann.

  • Lösegeld-Erpressung über Ransomware

    Die Erpressung von Lösegeld war im abgelaufenen Jahr weltweit das häufigste Motiv für Angriffe auf Netzwerke, Server und Anwendungen von Unternehmen und Organisationen. Das geht aus dem jetzt veröffentlichten Global Application and Network Security Report 2016-2017 von Radware hervor, in dem über 40 Prozent der knapp 600 befragten Unternehmen angaben, dass die Lösegelderpressung 2016 der häufigste Grund für Angriffe auf ihre Netzwerke gewesen sei. Speziell in Europa liegt dieser Wert mit 49 Prozent noch deutlich höher als im weltweiten Durchschnitt. Die Erpressung von Lösegeld erfolgt in der Regel über Ransomware oder über Ransom Denial of Service (RDoS). Ransomware nennt man einen Trojaner, einen Wurm oder eine andere Schadsoftware, die ein System unter ihre Kontrolle bringt und den legitimen Zugriff darauf unmöglich macht, bis ein Lösegeld gezahlt wird (und manchmal auch darüber hinaus). In der Regel werden dabei die Daten verschlüsselt, und das Opfer muss für die Entschlüsselung zahlen.

  • Volumetrische DDoS-Angriffe abwehren

    Experten sind sich einig. IoT-Geräte - gerade für Endverbraucher - bekommen mangelnde Sicherheit quasi automatisch mitgeliefert. Und wir in den letzten Wochen die Quittung. Für Sicherheitsspezialisten keine große Überraschung, sie warnen schon lange. Die jüngsten Angriffe aber haben gezeigt, in welche Dimensionen uns IoT-basierte Botnetze bei DDoS-Angriffen katapultieren und welche Schäden sie in der Lage sind anzurichten. Die Attacke auf den DNS-Provider Dyn im Oktober dieses Jahres war ein solcher Weckruf. Das prognostizierte Szenario ist keine bloß theoretische Annahme mehr, sondern real. Und es gibt Handlungsbedarf. Unternehmen und Verbraucher fragen sich angesichts einer steigenden Zahl von im Internet der Dinge verbundenen Geräten wie sie sich besser schützen können. Es ist kein großes Geheimnis, dass IoT-fähige Geräte aus sicherheitstechnischer Hinsicht wenig überzeugend sind. Die überwiegende Zahl von ihnen integriert kaum Sicherheitsmechanismen, und ist mit äußerst simplen Standard-Passwörtern ausgestattet. Das macht die Geräte für potenzielle Angreifer zu einer leichten Beute. Die Folge: Hacker machen sie beispielsweise zum Teil eines Botnetzes von dem DDoS-Angriffe mit enormer Bandbreite ausgehen können.

  • S/MIME und wie es funktioniert

    S/MIME, oder Secure/Multipurpose Internet Mail Extensions, ist eine relativ bekannte Technologie um E-Mails zu verschlüsseln. S/MIME basiert auf asymmetrischer Verschlüsselung, um E-Mails vor unerwünschtem Zugriff zu schützen. Zusätzlich dient S/MIME dazu E-Mails digital zu signieren, um den legitimen Absender einer Nachricht als solchen zu verifizieren. Das macht S/MIME zu einer effektiven Waffe gegen verschiedene Arten von Phishing-Angriffen. Das ist, kurz gefasst, worum bei S/MIME geht. Wenn es allerdings darum geht, S/MIME praktisch einzusetzen, taucht meist noch eine Reihe von Fragen beim Anwender auf.