- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Keine digitale Transformation ohne IT-Sicherheit


Sicherheit zu gewährleisten wird immer komplexer: Den Spagat, welchen die IT-Abteilungen schaffen müssen, um die digitale Transformation zu unterstützen ist enorm
Folgen von Krisen und Cyberangriffen, die den Ausfall eines Systems nach sich ziehen, sind heute für die IT-Abteilung kaum noch abzuschätzen oder gar zu beziffern

- Anzeigen -





Autor Holger Müller
Autor Holger Müller Kein ausgeklügeltes Sicherheitskonzept zu haben heißt nicht unbedingt, dass Systeme zu schlecht gesichert sind. Eher gilt es, das richtige Maß an Sicherheit zu finden, Bild: Fritz & Macziol

Von Holger Müller, Business Unit Manager IT Management & Betrieb bei Fritz & Macziol

(26.04.16) - Umbruch wohin man schaut: Technologische Megatrends wie Cloud Computing, Mobility oder Big Data zwingen Unternehmen, ihre Geschäftsmodelle zu überdenken und umzustrukturieren. In der digitalen Transformation sind sämtliche Prozesse einem ständigen Wandel unterworfen, weshalb für Geschäftsentscheider und IT-Abteilungen gleichzeitig an mehreren Stellen Handlungsdruck entsteht. Mit dem gleichen Budget muss in derselben Zeit zusätzlich zum Alltagsgeschäft das Potenzial neuer Technologien genutzt und an den Kunden weitergegeben werden. Darüber hinaus soll das Risiko beim Betrieb der Systeme, wie durch das IT-Sicherheitsgesetz für viele Branchen gefordert, minimiert werden, um volkswirtschaftlichen Schaden zu vermeiden.

IT-Sicherheit steht laut einer IDC-Studie unangefochten auf Platz eins der wichtigsten Technologieanforderungen. Und auch die Bundesregierung gibt mit dem neuen Gesetzentwurf "Zur Erhöhung der Sicherheit informationstechnischer Systeme", kurz IT-Sicherheitsgesetz den gesetzlichen Rahmen vor. Viele Unternehmen stehen unter enormen Druck, den digitalen Wandel zu vollziehen und für Branchen, wie etwa die Energie- und Wasserversorgung oder das Rettungswesen entsteht zusätzlicher Erfüllungsaufwand: Die Einhaltung zusätzlicher IT-Sicherheitsanforderungen, deren Überprüfung sowie für die Einrichtung von Verfahren für die Meldung von IT-Sicherheitsvorfällen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) legt in seinen Berechnungen 2.000 Betreiber kritischer Infrastrukturen zugrunde und schätzt den Aufwand für die Erfüllung der Meldepflicht auf 9,24 Millionen Euro. Viele Unternehmen stehen sicherheitstechnisch unter Zugzwang, da sie völlig neue Arten von Daten schützen müssen, insbesondere Kundendaten sowie Webservices und Applikationen.

Den Spagat, welchen die IT-Abteilungen schaffen müssen, um die digitale Transformation zu unterstützen ist enorm. Einerseits sollen sie maßgeblich zum Geschäftserfolg beitragen, das heißt auf strategischer wie operativer Ebene neue Chancen nutzen und Potenziale erarbeiten. Andererseits ist der Spielraum dafür durch den Kostendruck und die Forderung, die IT-Umgebung sicher "am Laufen zu halten", stark limitiert. Aufgrund der Vielzahl unterschiedlicher Systeme und Arten von Daten, sind vielen Unternehmen die Auswirkungen eines IT-Ausfalls meist nicht in vollem Umfang bewusst. Die Vernetzung der Produktion mit der Auftragsabwicklung, dem Kundenbeziehungsmanagement (CRM) und dem Rechnungswesen ist heute Gang und Gäbe.

Folgen von Krisen und Cyberangriffen, die den Ausfall eines Systems nach sich ziehen, sind heute für die IT-Abteilung kaum noch abzuschätzen oder gar zu beziffern. Nach einer Erhebung von Symantec beziehen nur rund 30 Prozent der Entscheider im Mittelstand die Auswirkungen auf die Disaster-Recovery-Vorsorge für ihre Technologien und Betriebskonzepte mit ein. Erstaunlich, wenn man berücksichtigt wie groß die Abhängigkeit von den IT-Systemen heute ist.

Welchen Schaden richtet ein IT-Ausfall an?
Kein ausgeklügeltes Sicherheitskonzept zu haben heißt nicht unbedingt, dass Systeme zu schlecht gesichert sind. Eher gilt es, das richtige Maß an Sicherheit zu finden. Ansonsten wird für übertriebene Sicherheitsmaßnahmen an den falschen Stellen zu viel bezahlt, während woanders zusätzliche Vorkehrungen notwendig wären. Unternehmen sollten daher Schritt für Schritt ermitteln, welche Maßnahmen für die einzelnen Systeme und Daten notwendig sind – statt vorschnell Sicherheitslösungen von der Stange zu kaufen.

Hier sind IT-Sicherheitsexperten von Nutzen. Sie analysieren die Geschäftsanforderungen sowie die dafür notwendigen Prozesse und IT-Services. Dabei sind Kernprozesse als solche zu verstehen, deren Ausfall kurz- oder mittelfristig das Bestehen der Organisation gefährden würde. Für einige Unternehmen mag es sogar genügen, in der Hauptsache diese Prozesse zu sichern. Meist gibt es aber viele weitere IT-Services, welche beispielsweise die langfristige Unternehmensentwicklung bremsen können. Andere wirken sich vielleicht nur auf die Leistung in Teilbereichen des Geschäftes aus. Es gilt also zu verstehen, welche Rolle ein bestimmter IT-Service für das Geschäft spielt, um zu identifizieren welchen Schaden sein Ausfall anrichten kann.

Differenzierung zwischen Daten und Prozessen
Anhand einer derartigen Analyse der Unternehmens-IT werden die finanziellen Auswirkungen verschiedener Bedrohungsszenarien bewertet. Daraus wird ein Konzept für eine IT-Umgebung entwickelt, das auf die individuellen Geschäftsanforderungen zugeschnitten ist und die zentralen Systeme gegen potenzielle Ausfälle und Katastrophen absichert. Das Vorgehen im Bezug auf Daten ist ähnlich. Es gilt festzustellen, welche Daten besonders zu schützen sind und an welchen Stellen sie das Unternehmen verlassen können, beispielsweise für den Austausch mit Partnern, Dienstleistern oder Kunden. Dies ist vor allem aus Datenschutzgründen wichtig, sei es ob Kundendaten vertraulich bleiben müssen oder zur Absicherung gegen Wirtschaftsspionage. Gerade weil dies durch Schlagzeilen wie zu den NSA-Skandalen stark in den Fokus gerückt ist, wird gerne vergessen, dass auch die Datenintegrität zu schützen ist. Das heißt, es muss sichergestellt sein, dass Daten korrekt sind und nicht durch organisatorische sowie technische Mängel oder sogar Sabotage manipuliert sind. In Zeiten vernetzter Produktion können die Folgen schwerwiegend sein.

Auch dafür muss individuell geprüft werden, welcher Schutzbedarf für einzelne Datentypen besteht und das Schutzkonzept angepasst werden. Es leuchtet ein, dass personenbezogene Kundendaten hohe Sicherheit genießen sollten. Die Frage ist jedoch, ob dies auch für den Speiseplan der Kantine im Intranet gilt – in aller Regel nicht. Auch darüber, welche Daten hochverfügbar sein müssen wird im Rahmen eines Schutzkonzepts entschieden. Während an kritischen Datenpunkten Backups in wenigen Stunden eingespielt werden müssen, kann es für unkritische Informationen länger dauern. Dies wird in den Service Level Agreements (SLAs) mit dem internen oder externen IT-Dienstleister vereinbart.

Der erste Schritt in die digitale Transformation
Kosten zu sparen und mit angemessenem Aufwand für Bedrohungen abzuwenden, ist nur ein Vorteil der fundierten IT-Risikoanalyse. Denn sie bringt darüber hinaus umfassende Erkenntnisse über alle Aktivitäten für den systematischen und effizienten Umgang beim Einsatz von Informationstechnologie. Sie sollte daher als aktives Instrument zur Unternehmenssteuerung verstanden werden. Denn durch das detaillierte Wissen über die Prozesse ergibt sich Optimierungspotenzial für die gesamte IT-Landschaft. Ist dieses Potenzial erst einmal erkannt, kann Schritt für Schritt die Effizienz und somit letztendlich der Geschäftserfolg verbessert werden. (Fritz & Macziol: ra)

eingetragen: 08.04.16
Home & Newsletterlauf: 26.04.16


Fritz & Macziol: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Was ist Certificate Transparency?

    Möglicherweise haben Sie schon vor einigen Jahren von Certificate Transparency (CT) gehört, als Google die Anforderung für alle Extended Validation (EV) SSL/TLS-Zertifikate ankündigte, die nach dem 1. Januar 2015 ausgestellt worden sind. Seitdem hat Google die Anforderung auf alle Arten von SSL-Zertifikaten ausgedehnt und zuletzt eine Frist bis zum April 2018 gesetzt. Zertifikaten, die nicht CT-qualifiziert sind und die nach diesem Datum ausgestellt werden, wird in Chrome nicht vertraut. GlobalSign hat im Hintergrund bereits daran gearbeitet, dass alle Zertifikate mit CT ausgestattet werden - Extended Validation (EV) seit 2015, Domain Validated (DV) seit August 2016 und Organisation Validated (OV) ab Oktober 2017 - GlobalSign-Kunden sind damit für den Fristablauf seitens Google gerüstet.

  • Wo ist der Authentifizierungsprozess fehlbar?

    Ich habe den größten Teil meines beruflichen Lebens damit verbracht Authentifizierungslösungen zu programmieren, zu implementieren, weiterzuentwickeln und zu patentieren. Daher nehme ich mir das Recht heraus zu sagen, letzten Endes funktioniert Authentifizierung einfach nicht. Mit "funktionieren" im engeren Sinne meine ich, dass es zu 100Prozent garantiert ist, dass es sich tatsächlich um eine vertrauenswürdige Identität handelt, wenn eine Benutzeridentität von einer Authentifizierungslösung an den betreffenden Partner weitergeleitet wird. Und genau das lässt sich nicht garantieren. Es lässt sich belegen, dass und wie der eigentliche Validierungsprozess innerhalb der Authentisierung funktioniert. Das bedeutet, wir verifizieren mathematisch und empirisch, dass die von einem Authentifizierungsmechanismus zusammengestellte Entität mit den Werten übereinstimmt, die in der Datenbank des akzeptierenden Dritten gespeichert sind, also "matched". Das kann ein Passwort sein, ein Einmal-Passwort, OTP, X.509-basierte Verschlüsselung, biometrische Merkmale, mobile Push-Werte oder eine Gesichtserkennung. In einem Satz: Der Authentisierungsprozess lässt sich validieren und damit auch, dass das technische System korrekt arbeitet.

  • Rollende Sicherheitslücken

    Viele Fahrzeuge sind heutzutage längst zu rollenden Computern geworden, denn bereits jetzt stecken in der Software eines modernen Oberklasse-PKW etwa 100 Millionen Codezeilen. Zum Vergleich: Die Flugsoftware einer Boeing 787 Dreamliner kommt mit etwa 14 Millionen Zeilen aus. Die Erwartungen an das zukünftige autonom fahrende Auto sind vielzählig: Mehr Sicherheit auf den Straßen, mehr Komfort, beispielsweise durch selbstständiges Einparken, die Nutzung eines Autopiloten im Stau oder komplett fahrerlose Roboterautos, welche im Car-Sharing-Verfahren neue Infrastrukturmöglichkeiten bieten könnten. Dem gegenüber stehen die Ängste: Bei Technikfehlern nur noch ein hilfloser Passagier an Board zu sein oder Opfer eines Hacker-Angriffs zu werden.

  • Warum BYOD an den Geräten scheitert

    Bring Your Own Device (BYOD) genießt im Geschäftsumfeld seit einigen Jahren den Ruf als innovatives Konzept. Der zeitlich uneingeschränkte Zugang zu Unternehmensdaten kann Firmen verbesserte Effizienz in den Arbeitsabläufen bescheren und den Mitarbeitern wiederum mehr Komfort im täglichen Arbeiten. Sie können auf ihren gewohnten Geräten arbeiten, zu flexiblen Arbeitszeiten. Insbesondere bei neu gegründeten Unternehmen, in denen die Mitarbeiter viel unterwegs sind, wird es überaus geschätzt, wenn kein weiteres, unternehmenseigenes Gerät mitgeführt werden muss. Die Zufriedenheit der Mitarbeiter mit der Arbeitsweise wiederum trägt auch zur Attraktivität des Unternehmens bei.

  • Offensichtlich lukrativste Angriffsmethode

    In regelmäßigen Abständen sehen wir uns einer neuen Bedrohung gegenüber, die bei Angreifern gerade Konjunktur hat. Gezielte Langzeitangriffe, sogenannte Advanced Persistent Threats (APTs) beherrschen die Schlagzeilen und Unternehmen beeilen sich, diese Attacken zu stoppen, deren Urheber sich gut versteckt durch das Netzwerk bewegen. Neben Phishing ist Ransomware die erfolgreichste und offensichtlich lukrativste Angriffsmethode für Cyber-Kriminelle. Schätzungen zufolge kosteten Ransomware-Scams die Opfer allein im letzten Jahr fast 1 Milliarde US-Dollar weltweit. Und es ist kein Wunder, dass sie so gut funktionieren: Sie beruhen auf dem althergebrachten Modell der Schutzgelderpressung, das bereits lange von Banden und der Mafia genutzt und jetzt in digitalem Format erfolgreich wieder aufgelegt wird. Die digitale Transformation ist nicht nur für Unternehmen Realität, sondern längst auch für Kriminelle eine lohnenswerte Einnahmequelle.