Umfassendes Risiko- und Security-Management

Lückenlose Sicherheit als Service

| Autor / Redakteur: Martina Krelaus / Stephan Augsten

Ganzheitliches Sicherheitsmanagement: Nur wenn die Unternehmen ihre Risiken kennen, ausschalten und im Blick behalten, können sie ihre Daten und Systeme schützen.
Ganzheitliches Sicherheitsmanagement: Nur wenn die Unternehmen ihre Risiken kennen, ausschalten und im Blick behalten, können sie ihre Daten und Systeme schützen. (Bild: Surrender - Fotolia.com)

Trends wie mobiles Arbeiten und Cloud Computing bieten neue Angriffsflächen für Cyber-Attacken. Bei einem Flickwerk verschiedener IT-Sicherheitssysteme entstehen zudem undichte Nahtstellen, die Angreifer für sich zu nutzen wissen. Abhilfe schafft ein ganzheitliches Verständnis der Cyber-Sicherheit.

Nach Einschätzung der Marktforschungsgesellschaft IDC wird die Zahl der mobilen Arbeitsplätze im Jahr 2015 weltweit die Marke von 1,3 Milliarden erreichen. Das entspricht knapp 40 Prozent aller Arbeitsplätze. Diese Zunahme ist nicht zuletzt auf den Trend zurückzuführen, dass Mitarbeiter private Smartphones, Tablet-Rechner und Notebooks für berufliche Zwecke nutzen (Bring Your Own Device, BYOD).

Doch warum verwenden Beschäftigte lieber ihre eigenen IT-Geräte, als die im Unternehmen etablierten? Ein Grund sind die Investitionszyklen der Unternehmen. Diese orientieren sich häufig an den vom Gesetzgeber festgelegten steuerlichen Abschreibungsfristen, in der Regel drei bis fünf Jahre.

IT-Abteilungen seien oft nicht dazu in der Lage sind, ihren Mitarbeitern moderne Endgeräte zeitnah zur Verfügung zu stellen, wie Herbert Blaauw, Senior Manager Security bei Atos Deutschland, beobachtet hat: „Die Beschäftigten nutzen moderne, private Smartphones und Notebooks statt der ‘alten Krücken‘, mit denen sie ihr Arbeitgeber ausstattet.“

Weitere Gefahrenquelle: Cloud Computing

Auch das Verlagern von hausinternen IT-Ressourcen in Cloud-Computing-Umgebungen bietet potenziellen Angreifern neue Ansatzpunkte. Ein Beispiel: Die Übertragungswege zwischen den IT-Systemen in den Niederlassungen des Unternehmens und dem Rechenzentrum des externen Cloud-Service-Providers.

Mit der Nutzung der extern bereitgestellten IT-Services sind außerdem weitere organisatorische und sicherheitsrelevante Fragen verbunden:

  • Wer hat Zugriff auf die geschäftlichen Daten, mitunter sogar Mitarbeiter des Service-Providers?
  • Umfasst die Datenverarbeitung durch den Cloud-Service-Provider personenbezogene Daten und wo werden die Daten verarbeitet?
  • Welche IT-Schutzmaßnahmen hat der Service-Provider implementiert und nach welchen Sicherheitsstandards ist er zertifiziert, etwa gemäß ISO 27001?
  • Erfolgt eine regelmäßige Überprüfung der IT-Sicherheitsvorkehrungen beim Service-Provider?
  • Sind die technischen und organisatorischen Schnittstellen zwischen den IT-Ressourcen des Kunden und des Cloud-Service-Anbieters exakt festgelegt? Ebenso die Zuständigkeiten in Bezug auf die Cyber-Security und den Datenschutz?

Gerade kleinen und mittelständischen Unternehmen fällt es schwer, die Sicherheitsmaßnahmen eines Cloud-Service-Providers zu bewerten. Gleiches gilt für eine firmeninterne unter den Aspekten Datenschutz und Datensicherheit sowie Schutz gegen Cyber-Angriffe.

In solchen Fällen empfiehlt sich, ein Audit-Recht zur Durchführung eines Cloud-Security-Assessment zu nutzen – im Idealfall mit Unterstützung von externen Cloud-Security-Spezialisten. Mithilfe von und Vulnerability Scans prüfen sie, ob zum Beispiel ein Webauftritt oder die IT-Systeme Schwachstellen und Angriffsflächen für bieten.

Auf Basis der Assessment-Resultate lassen sich weitergehende Maßnahmen definieren. Dazu zählt das gezielte Absichern von Cloud-Services und der entsprechenden Daten und IT-Systeme.

Wichtig in diesem Zusammenhang ist es, Best Practices anzuwenden, die sich an Sicherheitsnormen wie die ISO/IEC 27001 sowie an den IT-Grundschutzkatalogen des BSI (Bundesamt für Sicherheit in der Informationstechnik) orientieren. Angesichts der Komplexität einer gezielten Absicherung von Cloud-Computing-Umgebungen kann sich die Inanspruchnahme der Expertise eines externen IT-Sicherheitsspezialisten schnell auszahlen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42488927 / Risk Management)