So organisieren Sie Ihre IT-Sicherheit
Große Enterprises wie Tesla haben das Jahr 2019 mit einer rekordverdächtigen Performance an den Aktienmärkten dominiert. Als Grund dafür werden von Investoren im Falle des US-amerikanischen Autobauers nicht die gesteigerten Zahlen der ausgelieferten PKWs genannt, sondern die ständig gesammelten Daten. Mit fortschreitender Digitalisierung rückt der Wert von Daten immer mehr in den Fokus der Unternehmen. Abgesehen von kritischen Informationen der Nutzer sammeln die Betriebe mehr Datensätze als je zuvor: Stammdaten von Kunden, Mitarbeitern, Lieferanten und Geschäftspartner; Informationen zu Leads; Performance- und Produktionsdaten – um nur einige Beispiele zu nennen. Für die IT-Sicherheit bedeutet dies eine große Herausforderung. Der folgende Artikel vermittelt daher einige Aspekte zur IT-Sicherheit.
IT-Infrastruktur auf dem Prüfstand
Wenn es um die Organisation der IT-Sicherheit geht, benötigt es eine spezifische Einschätzung des Risikos sowie der bereits umgesetzten Maßnahmen. Das Bundesministerium für Wirtschaft und Energie empfiehlt dafür in einem ersten Schritt die kritischen Unternehmensdaten zu identifizieren und die Speicherorte zu erfassen. Ebenfalls gilt es die Zugriffsrechte zu überprüfen und ggf. zu aktualisieren. Ein grundsätzliches Security-Audit kann im nächsten Schritt ermitteln, wie gefährdet diese Daten wirklich sind, wo Schwachstellen in der IT-Infrastruktur liegen und durch welche Maßnahmen diese behoben werden können.
Eine wichtige Rolle spielt in diesem Zusammenhang die Frage, auf welche IT-Systeme gesetzt wird. Kommt eine eigene IT-Infrastruktur zum Einsatz, beispielsweise in einem Serverraum gehostet, bietet dies aufgrund von oftmals fehlendem Know-how andere Angriffspunkte als eine Cloud-Infrastruktur, die in spezialisierten Hochsicherheits-Rechenzentren von Profis betrieben wird. Die Studie „Cloud-Security 2019“ von IDG Research kommt daher zu dem Ergebnis, dass bei Cloud-Services die beiden Kriterien „gesicherter Zugriff“ und „Verschlüsselung von Daten“ vor allen anderen Faktoren für eine Entscheidungsfindung genannt werden.
IT-Security in der Cloud
Die bereits genannte Studie beleuchtet unter anderem Hemmnisse bei den Unternehmen, die noch nicht auf Cloud-Dienste setzen. Nach wie vor stehen Sicherheitsbedenken an erster Stelle. Wie die Entwicklung der letzten Jahre zeigt, sind diese aber unbegründet, wenn einige Aspekte beachtet werden. Laut dem bitkom Research „Cloud-Monitor 2019“ setzen inzwischen 73 % der Betriebe in Deutschland auf Cloud-Computing. Die Studie von IDG Research stellte dazu weiter fest, dass von den Anwendern gegenüber den Cloud-Anbietern klare Forderungen hinsichtlich der Datensicherheit und der Konformität von Datenschutzrichtlinien gestellt werden. Von den Befragten erwarten sich 34 % ein höheres Sicherheitsniveau und 32 % stellen die Anforderungen hinsichtlich eines höheren Datenschutzniveaus an die Betreiber. Die Anbieter von Cloud-Diensten kommen dieser Aufgabe gerecht, indem Ressourcen in die aktive Abwehr von Cyberangriffen gesteckt und die getroffenen Maßnahmen zertifiziert werden. Beim Thema Datenschutz ist die DSGVO-Konformität zu einem der wichtigsten Auswahlkriterien avanciert. Laut IDG Research hat die DSGVO-Compliance einen starken Einfluss darauf, wie Unternehmen mit ihren Daten in der Cloud arbeiten.
Geht es um die Entwicklung eines vollständigen Sicherheitskonzeptes für das Unternehmen, stellt vor allem die steigende IT-Komplexität in vielen Betrieben eine zusätzliche Herausforderung dar. Grund dafür ist die heterogene IT-Infrastruktur. Da immer mehr Cloud-Dienste Einzug in die Unternehmen halten, steigen die Herausforderungen hinsichtlich eines vollständigen Zugriffs- und Rechtemanagements sowie der Integration dieser Dienste in kritische IT-Systeme wie CRM oder ERP. Eine Folge dieser heterogenen Unternehmens-IT ist ein mangelnder Automatisierungsgrad, der dazu bei jeder Integration weitere Security-Schwachstellen hervorrufen kann. Es ist daher eine Trendwende weg von heterogenen „best of breed“ Lösungen und hin zu einer ganzheitlichen IT-Infrastruktur festzustellen. Ganzheitliche Cloud-ERP-Systeme bieten sich dafür an, da somit ein grundsätzliches IT-Rückgrat geschaffen werden kann. In Abhängigkeit von dem jeweiligen Geschäftsmodell lassen sich weitere Systeme via API integrieren. Hierbei ist darauf zu achten, dass das bestehende Zugriffs- & Rechtemanagement entsprechend ergänzt wird. Nur so lassen sich Zugänge zentral verwalten. Der Effizienzkiller heterogene IT-Landschaft kann durch ein voll-integrierbares, ganzheitliches Konzept abgelöst und zum Treibstoff der weiteren Digitalisierung avancieren.
Werden systemkritische Komponenten als Managed Service via Cloud bezogen, geht der Aspekt der Hochverfügbarkeit sowie der Organisation der IT-Sicherheit dieser Komponenten auf den externen Anbieter über. Bei der Auswahl des entsprechenden Partners gilt es demnach, die Zertifizierungen und Sicherheitsmaßnahmen genau in Augenschein zu nehmen. Laut der IDG Research Studie hat dies für die befragten Personen sogar eine höhere Relevanz als der Funktionsumfang oder Preis. Aufschluss gibt z.B. der Auftragsverarbeitungsvertrag und insbesondere die technischen und organisatorischen Maßnahmen (TOMs), die vonseiten des Cloud-Dienstleisters und dessen Rechenzentrum getroffen werden.
Ein vollständiges Sicherheitskonzept als Fundament moderner IT
Die Etablierung eines Sicherheitskonzeptes ist ein agiler Prozess im Unternehmen. Analog zu Sprints in der Software-Entwicklung gilt es jeweils spezifische Aspekte zu identifizieren, zu verbessern, zu testen und im Anschluss das Konzept erneut auf den Prüfstand zu stellen. Im Ergebnis gehört die Gewährleistung der IT-Security zu einem der primären Bausteine der Tätigkeiten von den IT-Experten. Ein Sicherheitskonzept kann zwar grundlegend erstellt und getestet werden, es ist demnach aber nie „fertig“ bzw. „abgeschlossen“. Eine weitere Komponente, die hier eine Rolle spielt, ist der Aspekt des Monitorings.
Abschließend lässt sich festhalten, dass die IT-Sicherheit in KMUs ein immer relevanteres Thema darstellt. Mit steigender IT-Komplexität benötigt dieser Aspekt vermehrt Ressourcen, eine hundertprozentige Sicherheit ist fast unmöglich zu erreichen. Komplette cloudbasierte Business Anwendungen, die ERP, CRM und Co. integrieren, stellen eine Alternative dar und erleichtern die Erstellung eines vollständigen Sicherheitskonzeptes. Durch Verringerung der heterogenen IT-landschaft fungiert die Cloud somit nicht nur als Wachstums-, sondern ebenfalls als Security-Treiber in KMU.