Categories: CloudCloud-Management

In fünf Schritten zur sicheren Digitalisierung

Kaum zu glauben, aber wahr: Tag für Tag entstehen weltweit 350.000 neue Varianten von Computer-Schadprogrammen, so der IT-Verband Bitkom. Viren, Trojaner und Würmer sind aktuell die größte Bedrohung für Unternehmen und Privatpersonen im Netz. Allein deutsche Firmen erleiden durch digitale Spionage, Sabotage oder Datendiebstahl jährlich einen Schaden in Höhe von 51 Milliarden Euro. Diese immense Summe macht deutlich: Daten über Kunden, Maschinen, Prozesse und Innovationen sind heutzutage das wertvollste Gut von Unternehmen.

Dr. Ferri Abolhassan, der Autor dieses Gastbeitrags für ZDNet, ist Geschäftsführer Service Transformation und verantwortlich für Telekom Security (Bild: DTAG)

Allein im Jahr 2015 wurden 8,6 Zettabyte an Daten verarbeitet. Und diese astronomische Zahl wird weiter steigen, in rasendem Tempo. Höchste Zeit also, dieses wertvolle Gut – und damit auch Netze, Rechenzentren, Endgeräte und Sensoren – angemessen zu schützen. IT-Sicherheit ist ein absolutes Muss. Auch und vor allem, weil es vielen Unternehmen schwerfällt, dies auch tatsächlich umzusetzen. Security gilt als komplex, ein Expertenthema mit immer neuen Anforderungen. Zudem erscheint Security aufwändig und teuer. Es geht aber auch anders: IT-Sicherheit kann, ja muss einfach sein – einfach zu beziehen, zu bedienen und zu betreiben! In der Praxis haben sich dabei fünf Schritte bewährt:

Schritt 1: Die passende Cloud finden

Voraussetzung für eine optimal aufgestellte IT – und damit für die Digitalisierung – ist die Cloud. Das reicht von Services, die in der Cloud entwickelt werden, bis zu kompletten Alt-Systemen, die in die Cloud verlagert werden. Nur sie kann die Masse an Daten zentral sammeln, speichern und auswerten und so maximalen Nutzen aus digitalen Technologien ziehen, selbst wenn der Datenberg weiter wächst.

Ob On-Premise-System, Private, Public oder Hybrid Cloud: Das Zusammenspiel unterschiedlicher Cloud-Lösungen muss zu den individuellen Anforderungen passen und maximal sicher sein. Dies gilt besonders mit Blick auf das Internet of Things (IoT). Beobachtern zufolge werden bis zum Jahr 2020 bis zu 50 Milliarden Dinge vernetzt sein. Die Zahl der Sensoren nimmt drastisch zu. Und damit auch die Datenmenge sowie der mögliche Erkenntniswert aus diesen Daten. Nur mit dem richtigen Cloud-Mix können Unternehmen diese Potenziale nutzen. Und sie können diese Potenziale auch nur dann nutzen, wenn die wachsende Menge an wertvollen Daten bestmöglich geschützt ist.

Schritt 2: Die richtigen Partner für den Umzug in die Cloud wählen

IT-Abteilungen von Unternehmen sehen sich einer kaum überschaubaren Vielfalt komplexer Cloud-Lösungen gegenüber. Dazu kommt die Qual der Wahl bei den Anbietern. Kosten sind meist schwer im Voraus zu kalkulieren. Zudem bindet sich ein Kunde häufig langfristig an einen Dienstleister. Hier lohnt es sich, nach Alternativen Ausschau zu halten.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Die gibt es: Beispielsweise eine sichere Transformation von Legacy-Applikationen zum Festpreis, auch wenn es hier um hunderte bis tausende von Anwendungen geht, die ineinandergreifen – und darüber hinaus geschäftskritische Prozesse und Infrastrukturen betreffen. Und es gibt auch Outsourcing-Anbieter mit kurzer Kündigungsfrist statt mit langer Vertragsbindung. Alleine schafft den IT-Umzug keiner – setzen Sie auf Partner mit Erfahrung, am besten mit eigenen, hochmodernen und zertifizierten Rechenzentren. Wählen Sie einen Dienstleister, der ernsthaft bereit ist, ihrem Unternehmen einen Teil der Planungs- und finanziellen Risiken abzunehmen.

Schritt 3: Die Cloud zuverlässig machen

In der Cloud angekommen, nutzen Kunden deren Vorteile nur dann optimal aus, wenn diese zuverlässig funktioniert. T-Systems setzt dafür auf ein umfassendes Qualitätsprogramm namens „Zero Outage“. Basis ist ein Drei-Säulen-Modell:

Erstens: Prävention. Identifizieren Sie geschäftskritische Punkte auf den Ebenen Plattformen, Prozesse und Personal. Entwickeln Sie Notfallpläne für unterschiedlichste Szenarien. Sorgen Sie dafür, dass das Streben nach größtmöglicher Sicherheit Teil der Unternehmenskultur wird.

Zweitens: Detektion und Alarmbereitschaft. Handlungsfähigkeit im Ernstfall erfordert Übung. Identifizieren und üben Sie regelmäßig die notwendigen Schritte.

Drittens: Reaktion im Ernstfall. Bei jedem Zwischenfall sorgen ein verantwortlicher Manager und eine schnelle Eingreiftruppe rund um die Uhr für die Behebung des Problems, und zwar so lange, bis dieses gelöst ist.

Erst das aufeinander abgestimmte Zusammenspiel von Mensch und Technik ermöglicht stabile und sichere Cloud-Services. Deshalb hat T-Systems Anfang November gemeinsam mit namhaften Technikpartnern einen offenen Verein gegründet, der sich dem Null-Fehler-Prinzip verpflichtet und gemeinsame Regeln für das Qualitätsmanagement aufstellen wird. Denn die industrieübergreifende Zusammenarbeit von Unternehmen kann künftig nur funktionieren, wenn ein weltweit einheitlicher Industriestandard für Qualität in der IT gilt.

Schritt 4: Die Cloud schützen

Das von Dr. Ferri Abolhassan, Geschäftsführer Service Transformation Telekom Deutschland und verantwortlich für Telekom Security herausgegebene Buch „Security Einfach Machen – IT-Sicherheit als Sprungbrett für die Digitalisierung“ enthält praxisnahe Beiträge von Experten aus Wirtschaft, Politik und Gesellschaft. Es ist ab sofort als Hardcover (ISBN 978-3-658-14944-4) und als E-Book (ISBN 978-3-658-14945-1) erhältlich.

Auch im digitalen Zeitalter sind erst einmal klassische Maßnahmen notwendig, um Daten vor Angriffen zu schützen. Erdwälle, Stacheldraht, Kameras, Bewegungsmelder, Vereinzelungsanlagen und Handflächenscanner. Ausschließlich autorisierte Mitarbeiter erhalten Einsicht in die gespeicherten Informationen, die nur nach dem Need-to-know-Prinzip genutzt werden dürfen.

Darüber hinaus schützen Firewalls den Zugang zum Rechnernetz. Um Hacker oder Datendiebe abzuwehren, fließen alle Informationen in einem geschlossenen System durch verschlüsselte IP-VPN-Tunnel, separiert von öffentlichen Netzen. Intrusion-Detection- und -Prevention-Systeme ergänzen die Firewall und analysieren, ob sich Schadcodes in den Datenströmen befinden.

Aber: Diese Burgmauer immer höher, breiter und massiver zu bauen, steigert nicht automatisch das Schutzniveau. Denn irgendwann überwindet ein Angreifer diese Mauer, unterminiert sie oder spaziert einfach über den Personaleingang hinein. Bei der Telekom rechnen wir immer damit, dass der Feind schon innerhalb der Burgmauern ist und haben entsprechende Maßnahmen getroffen.

Eine davon ist Machine Learning. Denn bislang werden Viren erkannt, ihre Mechanismen erforscht und entsprechende Regeln eingerichtet. Inzwischen können aber intelligente Systeme bereits geringe Abweichung von der Norm erkennen und Alarm schlagen. Damit gelingt die Abwehr von Angriffen schneller und mit weniger Personalaufwand. Genauso wie die Angriffe zunehmend automatisch erfolgen, muss auch die Abwehr automatisiert werden. Sonst geraten die Verteidiger ins Hintertreffen.

Schritt 5: Daten schützen, Mitarbeiter schulen, Bündnisse schließen

Hacker erbeuten Kunden- und Unternehmensdaten mit immer ausgefeilteren Techniken. Abhilfe schaffen Sicherheitstechnologien, die automatisch beim Aufspüren von Schwachstellen helfen. Der „beste“ Freund der Automatisierung in der Informationstechnik ist die Cloud. Deshalb sollten nicht nur die Daten selbst, sondern auch ihr Schutz inklusive Firewalls, Intrusion-Protection-Systemen oder Viren- und Schadcode-Schutz in die Cloud wandern. Denn so wird ein Datensicherheits-Service kostengünstiger, schneller … und schlauer: Weil Kunden von den Erkenntnissen der Cyber-Emergency-Response-Teams großer Organisationen profitieren.

Doch selbst die raffiniertesten Sicherheitstechniken können durch einen Faktor ausgeschaltet werden: den Nutzer. Das simpelste Beispiel ist der Telefonanruf eines vermeintlichen Technikers, der vertrauliche Zugangsdaten abfragt – Stichwort Social Engineering. Hier helfen nur Schulungen und Wissensvermittlung. Darüber hinaus sollten Unternehmen Bündnisse in Sachen digitaler Security schmieden, beispielsweise um sich gegenseitig zu warnen, bevor Bedrohungen übergreifen oder sich ausbreiten. Hier gibt es bereits erste Best-Practice-Beispiele: DAX-Konzerne haben sich zum Cyber Security Sharing and Analytics e. V. (CSSA) zusammengeschlossen, um mit dem Tempo von Cyber-Angreifern mitzuhalten, indem sie sich bei Angriffen gegenseitig warnen und gemeinsam Sicherheitsstrategien erarbeiten.

Blick in die Zukunft

Ohne Sicherheit keine Digitalisierung, ohne Digitalisierung keine zukunftsfähige Geschäftsgrundlage. Security ist das Sprungbrett der Digitalisierung, auch vor dem Hintergrund, dass die Automatisierung drastisch zunimmt: Maschinen und Systeme werden in den kommenden Jahren so smart, dass sie in der Lage sind, sich autonom weiterzuentwickeln. Dadurch wäre es auch denkbar, dass sich die Sicherheits-DNA eines Unternehmens kontinuierlich selbst optimiert und an die neuesten Sicherheitsanforderungen und Bedrohungen anpasst. Um diesen Fortschritt nicht zu verpassen, heißt es jetzt: handeln. Sicherheit schaffen mit Tools, die nach dem Plug-and-play-Prinzip funktionieren, sprich Security aus der Steckdose. Sicherheit muss einfach sein – von der Implementierung bis zum Betrieb.

Peter Marwan

Für ZDNet veröffentlicht Peter immer wieder Beiträge zum Thema IT Business.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

1 Tag ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

2 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

2 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

2 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

3 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

4 Tagen ago