Weitere Themen

So organisieren Sie Ihre IT-Sicherheit

von David Lauchenauer am 15.05.2020

Große Enterprises wie Tesla haben das Jahr 2019 mit einer rekordverdächtigen Performance an den Aktienmärkten dominiert. Als Grund dafür werden von Investoren im Falle des US-amerikanischen Autobauers nicht die gesteigerten Zahlen der ausgelieferten PKWs genannt, sondern die ständig gesammelten Daten. Mit fortschreitender Digitalisierung rückt der Wert von Daten immer mehr in den Fokus der Unternehmen. Abgesehen von kritischen Informationen der Nutzer sammeln die Betriebe mehr Datensätze als je zuvor: Stammdaten von Kunden, Mitarbeitern, Lieferanten und Geschäftspartner; Informationen zu Leads; Performance- und Produktionsdaten – um nur einige Beispiele zu nennen. Für die IT-Sicherheit bedeutet dies eine große Herausforderung. Der folgende Artikel vermittelt daher einige Aspekte zur IT-Sicherheit.

 

IT-Infrastruktur auf dem Prüfstand

Wenn es um die Organisation der IT-Sicherheit geht, benötigt es eine spezifische Einschätzung des Risikos sowie der bereits umgesetzten Maßnahmen. Das Bundesministerium für Wirtschaft und Energie empfiehlt dafür in einem ersten Schritt die kritischen Unternehmensdaten zu identifizieren und die Speicherorte zu erfassen. Ebenfalls gilt es die Zugriffsrechte zu überprüfen und ggf. zu aktualisieren. Ein grundsätzliches Security-Audit kann im nächsten Schritt ermitteln, wie gefährdet diese Daten wirklich sind, wo Schwachstellen in der IT-Infrastruktur liegen und durch welche Maßnahmen diese behoben werden können.
 
Eine wichtige Rolle spielt in diesem Zusammenhang die Frage, auf welche IT-Systeme gesetzt wird. Kommt eine eigene IT-Infrastruktur zum Einsatz, beispielsweise in einem Serverraum gehostet, bietet dies aufgrund von oftmals fehlendem Know-how andere Angriffspunkte als eine Cloud-Infrastruktur, die in spezialisierten Hochsicherheits-Rechenzentren von Profis betrieben wird. Die Studie „Cloud-Security 2019“ von IDG Research kommt daher zu dem Ergebnis, dass bei Cloud-Services die beiden Kriterien „gesicherter Zugriff“ und „Verschlüsselung von Daten“ vor allen anderen Faktoren für eine Entscheidungsfindung genannt werden.

 

IT-Security in der Cloud

Die bereits genannte Studie beleuchtet unter anderem Hemmnisse bei den Unternehmen, die noch nicht auf Cloud-Dienste setzen. Nach wie vor stehen Sicherheitsbedenken an erster Stelle. Wie die Entwicklung der letzten Jahre zeigt, sind diese aber unbegründet, wenn einige Aspekte beachtet werden. Laut dem bitkom Research „Cloud-Monitor 2019“ setzen inzwischen 73 % der Betriebe in Deutschland auf Cloud-Computing. Die Studie von IDG Research stellte dazu weiter fest, dass von den Anwendern gegenüber den Cloud-Anbietern klare Forderungen hinsichtlich der Datensicherheit und der Konformität von Datenschutzrichtlinien gestellt werden. Von den Befragten erwarten sich 34 % ein höheres Sicherheitsniveau und 32 % stellen die Anforderungen hinsichtlich eines höheren Datenschutzniveaus an die Betreiber. Die Anbieter von Cloud-Diensten kommen dieser Aufgabe gerecht, indem Ressourcen in die aktive Abwehr von Cyberangriffen gesteckt und die getroffenen Maßnahmen zertifiziert werden. Beim Thema Datenschutz ist die DSGVO-Konformität zu einem der wichtigsten Auswahlkriterien avanciert. Laut IDG Research hat die DSGVO-Compliance einen starken Einfluss darauf, wie Unternehmen mit ihren Daten in der Cloud arbeiten.
 
Geht es um die Entwicklung eines vollständigen Sicherheitskonzeptes für das Unternehmen, stellt vor allem die steigende IT-Komplexität in vielen Betrieben eine zusätzliche Herausforderung dar. Grund dafür ist die heterogene IT-Infrastruktur. Da immer mehr Cloud-Dienste Einzug in die Unternehmen halten, steigen die Herausforderungen hinsichtlich eines vollständigen Zugriffs- und Rechtemanagements sowie der Integration dieser Dienste in kritische IT-Systeme wie CRM oder ERP. Eine Folge dieser heterogenen Unternehmens-IT ist ein mangelnder Automatisierungsgrad, der dazu bei jeder Integration weitere Security-Schwachstellen hervorrufen kann. Es ist daher eine Trendwende weg von heterogenen „best of breed“ Lösungen und hin zu einer ganzheitlichen IT-Infrastruktur festzustellen. Ganzheitliche Cloud-ERP-Systeme bieten sich dafür an, da somit ein grundsätzliches IT-Rückgrat geschaffen werden kann. In Abhängigkeit von dem jeweiligen Geschäftsmodell lassen sich weitere Systeme via API integrieren. Hierbei ist darauf zu achten, dass das bestehende Zugriffs- & Rechtemanagement entsprechend ergänzt wird. Nur so lassen sich Zugänge zentral verwalten. Der Effizienzkiller heterogene IT-Landschaft kann durch ein voll-integrierbares, ganzheitliches Konzept abgelöst und zum Treibstoff der weiteren Digitalisierung avancieren.
 
Werden systemkritische Komponenten als Managed Service via Cloud bezogen, geht der Aspekt der Hochverfügbarkeit sowie der Organisation der IT-Sicherheit dieser Komponenten auf den externen Anbieter über. Bei der Auswahl des entsprechenden Partners gilt es demnach, die Zertifizierungen und Sicherheitsmaßnahmen genau in Augenschein zu nehmen. Laut der IDG Research Studie hat dies für die befragten Personen sogar eine höhere Relevanz als der Funktionsumfang oder Preis. Aufschluss gibt z.B. der Auftragsverarbeitungsvertrag und insbesondere die technischen und organisatorischen Maßnahmen (TOMs), die vonseiten des Cloud-Dienstleisters und dessen Rechenzentrum getroffen werden.

 

Ein vollständiges Sicherheitskonzept als Fundament moderner IT

Die Etablierung eines Sicherheitskonzeptes ist ein agiler Prozess im Unternehmen. Analog zu Sprints in der Software-Entwicklung gilt es jeweils spezifische Aspekte zu identifizieren, zu verbessern, zu testen und im Anschluss das Konzept erneut auf den Prüfstand zu stellen. Im Ergebnis gehört die Gewährleistung der IT-Security zu einem der primären Bausteine der Tätigkeiten von den IT-Experten. Ein Sicherheitskonzept kann zwar grundlegend erstellt und getestet werden, es ist demnach aber nie „fertig“ bzw. „abgeschlossen“. Eine weitere Komponente, die hier eine Rolle spielt, ist der Aspekt des Monitorings.
 
Abschließend lässt sich festhalten, dass die IT-Sicherheit in KMUs ein immer relevanteres Thema darstellt. Mit steigender IT-Komplexität benötigt dieser Aspekt vermehrt Ressourcen, eine hundertprozentige Sicherheit ist fast unmöglich zu erreichen. Komplette cloudbasierte Business Anwendungen, die ERP, CRM und Co. integrieren, stellen eine Alternative dar und erleichtern die Erstellung eines vollständigen Sicherheitskonzeptes. Durch Verringerung der heterogenen IT-landschaft fungiert die Cloud somit nicht nur als Wachstums-, sondern ebenfalls als Security-Treiber in KMU.

Über den Autor: Dr. Robert Meyer

Dr. Robert Meyer ist seit 2011 Geschäfts­führer der myfactory International GmbH. Seine Leiden­schaft ist die Vermarktung von moderner Cloud ERP-Software über Online-Medien und Partner­vertrieb. Im Mittelpunkt steht bei ihm immer das Wohl von Anwendern, die eine funktional ausgereifte, leicht zu in­di­vidualisierende, intuitiv zu bedienende, auf allen Devices verwendbare, und mobil ein­setzbare Unternehmens-Software benötigen.

Über den Autor: Rainer Giersbach

Rainer Giersbach stieg 2000 in die IT-Branche über eine technische Hotline zu kfm. Unternehmens­software ein, wenig später übernahm er das Produkt Management für diesen Bereich. 2006 stieß er im Zuge einer Recherche zum Thema "Online-Warenwirtschaft" auf myfactory. Das Thema hat ihn nicht mehr losgelassen und seit 2007 gestaltet er als Program Manager die myfactory Software aktiv mit.

Über den Autor: Timo Bärenklau

Nach seinem erfolgreichen Studium mit Abschluss als Bachelor of Engineering im Studiengang „Internationales Technisches Vertriebsmanagement“ stieß Timo Bärenklau als Lead Spezialist zur myfactory International GmbH hinzu. Schon während seines Studiums entdeckte er seine Leidenschaft für Vertriebsoptimierung, besonders im Hinblick auf CRM-Systeme. Auch seine Bachelor-Arbeit hatte CRM als Schwerpunkt. Seit 2012 betreut er maßgeblich die Leadqualifizierung bei myfactory.

Über den Autor: Tobias Korch

Tobias Korch arbeitet seit März 2011 bei myfactory als Software-Entwickler. Seine Schwerpunkte sind die Produktionsplanung (PPS) und das Modul eCommerce. Er ist ein engagierter Verfechter des myfactory-Konzeptes EasyRelease, mit dem Partner updatesichere Zusatzprogramme zur myfactory Business Software erstellen können. Bei Partnern und Partner-Interessenten sind deshalb seine Programmierer-Schulungen und unterstützende Coachings sehr gefragt. Durch seine vieljährigen Praxiserfahrungen mit komplexen Softwareprojekten hat er den Kontakt zum Mittelstand und das Verständnis für Anforderungen und Problemstellungen der Unternehmen und Anwender. Wenn es nichts zu tun gibt (gibt es das eigentlich?) dann kümmert er sich um seine Familie, macht Musik oder interessiert sich für alles was mit IT zu tun hat.

Über den Autor: Jan Schweighart

Jan Schweighart arbeitete nach einem Software Engineering Studium an der Hochschule Konstanz als Software Entwickler für einen Software Dienstleister. Überzeugt von Produkt und Mentalität, kam er Ende 2013 zu myfactory wo er heute schwerpunktmäßig an der Weiterentwicklung von myfactory.CRM arbeitet. Herr Schweighart hatte früher mal Hobbies, Freunde und ein soziales Leben, so wird zumindest berichtet. Heute ist er Vater einer kleinen Tochter ;)

Über den Autor: Dr. Mathias Hamp

Dr. Mathias Hamp ist Kommunikations- experte und entwickelt Kommunikations- strategien zur Vermarktung von Ideen, Waren und Marken. Seit 2015 verantwortet er für myfactory den Bereich Online Marketing.

Über den Autor: David Lauchenauer

David Lauchenauer (*1963) ist seit 1988 als Unternehmer im Bereich Business Software für KMU tätig. Seit 2008 ist er in der Schweiz Geschäftsführer und VR der myfactory Software Schweiz AG und startete 2009 mit myfactory das professionelle Cloud ERP für den Schweizer KMU-Markt, weshalb er über sehr umfassende Praxiserfahrungen mit Cloud-Computing verfügt. Seit 2016 ist David Lauchenauer auch Geschäftsführer und Gesellschafter der myfactory Gruppe.

Über den Autor: Stefan Girschner

Stefan Girschner (* 1967) berichtet als Fachjournalist seit vielen Jahren über Neuheiten und Trends in der IT-Branche. Seine journalistische Laufbahn startete er 1999 bei der Fachzeitschrift e-commerce magazin (ehemals IWT Magazin Verlag), wo er bis 2003 als Redakteur tätig war. Seit 2004 ist er freiberuflich für verschiedene Fachzeitschriften und Online-Portale in den Bereichen Unternehmens-IT, Computing sowie Wirtschaft und Industrie tätig. Darüber hinaus arbeitet er als Lektor und in der Schlussredaktion für Verlage und Agenturen. Von 2010 bis 2016 hatte er die redaktionelle Leitung des Digitalbusiness Magazin (WIN-Verlag) inne. Seit 2016 schreibt er wieder verstärkt für bekannte IT-Fachzeitschriften und -Portale.

Über die Autorin: Sandra Bültermann

Sandra Bültermann (*1975) ist seit 1999 als Technische Redakteurin tätig. Als langjährige Mitarbeiterin bei Fachzeitschriften, Agenturen und Softwareunternehmen verfügt sie über umfassende Kenntnisse in den Bereichen IT, Kommunikation und Contentmanagement. Ihre Kernkompetenz liegt darin, komplexe, technische Themen verständlich und zielgruppenorientiert aufzubereiten.
Zurück zur Übersicht der Blog-Beiträge

Kommentare


Es wurde noch keine Kommentare abgegeben.
Zurück zur Übersicht der Blog-Beiträge

Weitere Themen

<< < 1 2 3 ... > >>

© myfactory International GmbH 2020. Alle Rechte vorbehalten.

Über uns

myfactory ist die webbasierte Business Software für KMU in den Bereichen ERP, CRM, PPS, MIS, Portal, Shop, Groupware und Finanzbuchhaltung.

Kontakt

Agnes-Pockels-Bogen 1
D-80992 München

09.06.2020
05.06.2020
02.06.2020
29.05.2020
26.05.2020