- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Keine digitale Transformation ohne IT-Sicherheit


Sicherheit zu gewährleisten wird immer komplexer: Den Spagat, welchen die IT-Abteilungen schaffen müssen, um die digitale Transformation zu unterstützen ist enorm
Folgen von Krisen und Cyberangriffen, die den Ausfall eines Systems nach sich ziehen, sind heute für die IT-Abteilung kaum noch abzuschätzen oder gar zu beziffern

- Anzeigen -





Autor Holger Müller
Autor Holger Müller Kein ausgeklügeltes Sicherheitskonzept zu haben heißt nicht unbedingt, dass Systeme zu schlecht gesichert sind. Eher gilt es, das richtige Maß an Sicherheit zu finden, Bild: Fritz & Macziol

Von Holger Müller, Business Unit Manager IT Management & Betrieb bei Fritz & Macziol

(26.04.16) - Umbruch wohin man schaut: Technologische Megatrends wie Cloud Computing, Mobility oder Big Data zwingen Unternehmen, ihre Geschäftsmodelle zu überdenken und umzustrukturieren. In der digitalen Transformation sind sämtliche Prozesse einem ständigen Wandel unterworfen, weshalb für Geschäftsentscheider und IT-Abteilungen gleichzeitig an mehreren Stellen Handlungsdruck entsteht. Mit dem gleichen Budget muss in derselben Zeit zusätzlich zum Alltagsgeschäft das Potenzial neuer Technologien genutzt und an den Kunden weitergegeben werden. Darüber hinaus soll das Risiko beim Betrieb der Systeme, wie durch das IT-Sicherheitsgesetz für viele Branchen gefordert, minimiert werden, um volkswirtschaftlichen Schaden zu vermeiden.

IT-Sicherheit steht laut einer IDC-Studie unangefochten auf Platz eins der wichtigsten Technologieanforderungen. Und auch die Bundesregierung gibt mit dem neuen Gesetzentwurf "Zur Erhöhung der Sicherheit informationstechnischer Systeme", kurz IT-Sicherheitsgesetz den gesetzlichen Rahmen vor. Viele Unternehmen stehen unter enormen Druck, den digitalen Wandel zu vollziehen und für Branchen, wie etwa die Energie- und Wasserversorgung oder das Rettungswesen entsteht zusätzlicher Erfüllungsaufwand: Die Einhaltung zusätzlicher IT-Sicherheitsanforderungen, deren Überprüfung sowie für die Einrichtung von Verfahren für die Meldung von IT-Sicherheitsvorfällen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) legt in seinen Berechnungen 2.000 Betreiber kritischer Infrastrukturen zugrunde und schätzt den Aufwand für die Erfüllung der Meldepflicht auf 9,24 Millionen Euro. Viele Unternehmen stehen sicherheitstechnisch unter Zugzwang, da sie völlig neue Arten von Daten schützen müssen, insbesondere Kundendaten sowie Webservices und Applikationen.

Den Spagat, welchen die IT-Abteilungen schaffen müssen, um die digitale Transformation zu unterstützen ist enorm. Einerseits sollen sie maßgeblich zum Geschäftserfolg beitragen, das heißt auf strategischer wie operativer Ebene neue Chancen nutzen und Potenziale erarbeiten. Andererseits ist der Spielraum dafür durch den Kostendruck und die Forderung, die IT-Umgebung sicher "am Laufen zu halten", stark limitiert. Aufgrund der Vielzahl unterschiedlicher Systeme und Arten von Daten, sind vielen Unternehmen die Auswirkungen eines IT-Ausfalls meist nicht in vollem Umfang bewusst. Die Vernetzung der Produktion mit der Auftragsabwicklung, dem Kundenbeziehungsmanagement (CRM) und dem Rechnungswesen ist heute Gang und Gäbe.

Folgen von Krisen und Cyberangriffen, die den Ausfall eines Systems nach sich ziehen, sind heute für die IT-Abteilung kaum noch abzuschätzen oder gar zu beziffern. Nach einer Erhebung von Symantec beziehen nur rund 30 Prozent der Entscheider im Mittelstand die Auswirkungen auf die Disaster-Recovery-Vorsorge für ihre Technologien und Betriebskonzepte mit ein. Erstaunlich, wenn man berücksichtigt wie groß die Abhängigkeit von den IT-Systemen heute ist.

Welchen Schaden richtet ein IT-Ausfall an?
Kein ausgeklügeltes Sicherheitskonzept zu haben heißt nicht unbedingt, dass Systeme zu schlecht gesichert sind. Eher gilt es, das richtige Maß an Sicherheit zu finden. Ansonsten wird für übertriebene Sicherheitsmaßnahmen an den falschen Stellen zu viel bezahlt, während woanders zusätzliche Vorkehrungen notwendig wären. Unternehmen sollten daher Schritt für Schritt ermitteln, welche Maßnahmen für die einzelnen Systeme und Daten notwendig sind – statt vorschnell Sicherheitslösungen von der Stange zu kaufen.

Hier sind IT-Sicherheitsexperten von Nutzen. Sie analysieren die Geschäftsanforderungen sowie die dafür notwendigen Prozesse und IT-Services. Dabei sind Kernprozesse als solche zu verstehen, deren Ausfall kurz- oder mittelfristig das Bestehen der Organisation gefährden würde. Für einige Unternehmen mag es sogar genügen, in der Hauptsache diese Prozesse zu sichern. Meist gibt es aber viele weitere IT-Services, welche beispielsweise die langfristige Unternehmensentwicklung bremsen können. Andere wirken sich vielleicht nur auf die Leistung in Teilbereichen des Geschäftes aus. Es gilt also zu verstehen, welche Rolle ein bestimmter IT-Service für das Geschäft spielt, um zu identifizieren welchen Schaden sein Ausfall anrichten kann.

Differenzierung zwischen Daten und Prozessen
Anhand einer derartigen Analyse der Unternehmens-IT werden die finanziellen Auswirkungen verschiedener Bedrohungsszenarien bewertet. Daraus wird ein Konzept für eine IT-Umgebung entwickelt, das auf die individuellen Geschäftsanforderungen zugeschnitten ist und die zentralen Systeme gegen potenzielle Ausfälle und Katastrophen absichert. Das Vorgehen im Bezug auf Daten ist ähnlich. Es gilt festzustellen, welche Daten besonders zu schützen sind und an welchen Stellen sie das Unternehmen verlassen können, beispielsweise für den Austausch mit Partnern, Dienstleistern oder Kunden. Dies ist vor allem aus Datenschutzgründen wichtig, sei es ob Kundendaten vertraulich bleiben müssen oder zur Absicherung gegen Wirtschaftsspionage. Gerade weil dies durch Schlagzeilen wie zu den NSA-Skandalen stark in den Fokus gerückt ist, wird gerne vergessen, dass auch die Datenintegrität zu schützen ist. Das heißt, es muss sichergestellt sein, dass Daten korrekt sind und nicht durch organisatorische sowie technische Mängel oder sogar Sabotage manipuliert sind. In Zeiten vernetzter Produktion können die Folgen schwerwiegend sein.

Auch dafür muss individuell geprüft werden, welcher Schutzbedarf für einzelne Datentypen besteht und das Schutzkonzept angepasst werden. Es leuchtet ein, dass personenbezogene Kundendaten hohe Sicherheit genießen sollten. Die Frage ist jedoch, ob dies auch für den Speiseplan der Kantine im Intranet gilt – in aller Regel nicht. Auch darüber, welche Daten hochverfügbar sein müssen wird im Rahmen eines Schutzkonzepts entschieden. Während an kritischen Datenpunkten Backups in wenigen Stunden eingespielt werden müssen, kann es für unkritische Informationen länger dauern. Dies wird in den Service Level Agreements (SLAs) mit dem internen oder externen IT-Dienstleister vereinbart.

Der erste Schritt in die digitale Transformation
Kosten zu sparen und mit angemessenem Aufwand für Bedrohungen abzuwenden, ist nur ein Vorteil der fundierten IT-Risikoanalyse. Denn sie bringt darüber hinaus umfassende Erkenntnisse über alle Aktivitäten für den systematischen und effizienten Umgang beim Einsatz von Informationstechnologie. Sie sollte daher als aktives Instrument zur Unternehmenssteuerung verstanden werden. Denn durch das detaillierte Wissen über die Prozesse ergibt sich Optimierungspotenzial für die gesamte IT-Landschaft. Ist dieses Potenzial erst einmal erkannt, kann Schritt für Schritt die Effizienz und somit letztendlich der Geschäftserfolg verbessert werden. (Fritz & Macziol: ra)

eingetragen: 08.04.16
Home & Newsletterlauf: 26.04.16


Fritz & Macziol: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Cyber-Erpressung auf Bestellung

    CryptoLocker, GoldenEye, Locky, WannaCry - Ransomware hat mit der Geiselnahme von Dateien durch Verschlüsselung in den letzten Jahren eine beachtliche und unrühmliche Karriere hingelegt. Und da sich Kriminelle auch bei Digitalisierungstrends wie as-a-Service-Angeboten nicht lumpen lassen, hat die Untergrundökonomie mit Ransomware-as-a-Service (RaaS) rasch ein lukratives Geschäftsmodell für sich entdeckt, das in kürzester Zeit enormes Wachstum erlebt hat. Das Prinzip ist denkbar einfach - wie in der legalen Wirtschaft sind die Dienstleistungen ganz auf die Bedürfnisse einer möglichst breiten Kundschaft zugeschnitten: Auf Ransomware-as-a-Service-Plattformen können nun auch technisch wenig versierte Kriminelle ins Cyber-Erpressergeschäft einsteigen und sich von Schadware-Entwicklern die entsprechende Service-Leistung gegen Abgabe einer festen Gebühr oder einer Provision basierend auf den Lösegeldeinnahmen besorgen.

  • Investitionen in IT-Sicherheit legitimieren

    Wenn man so oft direkt mit unterschiedlichen Unternehmen und Menschen zu tun hat wie der Vertrieb, erkennt man schnell bestimmte Reaktionsschemata. Ebenso wie zuverlässig wiederkehrende Schwierigkeiten beim Implementieren von IT-Sicherheitsmaßnahmen. Den größten Teil unserer Zeit verbringen wir damit zu erläutern warum Cybersicherheit derart wichtig ist und wie ein Unternehmen von bestimmten Maßnahmen am besten profitiert. Trotzdem erhält man regelmäßig dieselben Antworten: "Ich verstehe absolut wovon Sie sprechen, und ich gebe Ihnen sogar Recht. Nur, wie soll ich die zusätzlichen Ausgaben gegenüber der Geschäftsleitung rechtfertigen?" Es gibt allerdings einige grundlegende Argumente die Kunden helfen, Sicherheitsansätze und Lösungen gegenüber der Geschäftsführung oder anderen Zeichnungsbefugten plausibel zu machen.

  • PKI ist im 21. Jahrhundert angekommen

    Um ein IoT-Ökosystem sicher aufzubauen und zu entwickeln, braucht man zwingend Tools und Architekturen, um IoT-Geräte zu identifizieren, zu kontrollieren und zu verwalten. Dieser Prozess beginnt mit dem Festlegen einer starken Identität für jedes IoT-Gerät. Der folgende Beitrag beschäftigt sich mit einigen der Möglichkeiten, wie man die Authentizität von IoT-Geräten verifizieren kann, bevor man sie integriert.

  • Tor-Browser, um IP-Adressen zu verschleiern

    Trotz ausgereifter Sicherheitstechnologien bleiben Anwender für Unternehmen eine empfindliche Schwachstelle, insbesondere deshalb, weil Cyberkriminelle ihre Social Engineering-Angriffe immer weiter verfeinern. Vor allem Phishing zählt zu den Angriffsvektoren, die Unternehmen gegenwärtig Kopfschmerzen bereiten. So werden E-Mails im Namen von Payment-Services, Shopanbietern oder E-Mailservice-Hosts von den kriminellen Hintermännern täuschend echt nachgeahmt, mit dem Ziel, durch das Abfischen von Logindaten weitere sensible, persönliche Daten zu erbeuten. Doch wie sehen die Konsequenzen aus, wenn Nutzerdaten von Mitarbeitern in die falschen Hände geraten und welche Auswirkungen hätte dies auf das Unternehmen? Das Forschungsteam von Bitglass hat versucht, mithilfe eines Experiments unter dem Namen "Cumulus" den Verbreitungswegen illegal erbeuteter Daten auf die Spur zu kommen.

  • PKI ist im 21. Jahrhundert angekommen

    Um ein IoT-Ökosystem sicher aufzubauen und zu entwickeln, braucht man zwingend Tools und Architekturen, um IoT-Geräte zu identifizieren, zu kontrollieren und zu verwalten. Dieser Prozess beginnt mit dem Festlegen einer starken Identität für jedes IoT-Gerät. Der folgende Beitrag beschäftigt sich mit einigen der Möglichkeiten, wie man die Authentizität von IoT-Geräten verifizieren kann, bevor man sie integriert. Die IoT-Entwicklung durchdringt mittlerweile alle Facetten unseres Lebens. Entsprechend rasant ist das Innovationstempo in diesem Bereich. Es existieren viele Anwendungen, die klug und ausgereift sind, aber leider auch solche, die das genaue Gegenteil davon sind. Dessen ungeachtet sind die weitaus meisten Anwendungen sehr wirkungsvoll etwa in der Landwirtschaft oder im Gesundheitswesen. Das IoT ist also nicht mehr weg zu denken. Trotzdem mutet die Entwicklung bisweilen so an, als versuche jemand zu rennen bevor er noch überhaupt laufen gelernt hat. Übersetzt heißt das, IoT-Entwickler vernachlässigen eine Kernkomponente unserer vernetzten Welt, die Sicherheit.