Sicherheit für den Mittelstand: Auf Nummer sicher in und mit der Cloud
Die Zahlen der Marktforscher von Kelton Research machen klar, dass der anfängliche Hype längst zur festen Größe in unserem Arbeitsalltag geworden ist: Drei Viertel aller deutschen Unternehmen nutzen bereits Dienste aus der Wolke. Das heißt jedoch nicht, dass sie der Technologie auch uneingeschränkt vertrauen. Ganze 63 Prozent der Entscheider haben noch immer Bedenken in Sachen Sicherheit. Dabei können mittelständische Unternehmen ihre IT-Sicherheit mit der richtigen Cloud-Strategie auch bei schmalem Budget spürbar erhöhen.
Ein Blick in ein durchschnittliches mittelständisches Rechenzentrum in Deutschland zeigt ein trauriges Bild: Uralte Server, oft nur PCs, fristen in überhitzten Besenkammern neben Putzutensilien, Wasserrohren und verstaubten Akten ihr tristes Dasein als Rechenknecht. Wer alles Zugang zu der darauf laufenden unternehmenskritischen Anwendung hat, ist kaum nachvollziehbar. Notfallpläne oder regelmäßige Back-ups sind oft Fehlanzeige. Flächendeckendes Wlan ist zwar vorhanden – welchen aktuellen Sicherheitskriterien es entsprechen sollte, weiß jedoch keiner so richtig.
In den Büros selbst stehen Heerscharen von alternden Computern, denn Hardware wird aus Kostengründen genutzt bis sie den Geist aufgibt. Einzig die Virenscanner entsprechen dem aktuellsten Stand. Dass diese die alte PC-Garde beim Durchsuchen nach Malware quasi in einen Standby-Modus versetzen, wird dabei häufig in Kauf genommen. Wer schon einmal an einem Pentium 4 Rechner aus dem Jahr 2004 gearbeitet hat, auf dem gerade der tägliche Full-Scan der neusten Virenscanner-Version läuft, weiß, dass es mit einer Tasse Kaffee holen nicht mehr getan ist. Die pragmatische Lösung des Anwenders in seinem Dilemma zwischen Wirtschaftlichkeit und Sicherheit besteht meist darin, den Scan zu stoppen oder gleich den ganzen Virenscanner zu deaktivieren. Oft hapert es auch an anderen Stellen: Verschlüsselung, Zutrittskontrolle, revisionssichere Archivierung – um nur einige zu nennen.
Vor allem für kleine und mittlere Unternehmen kann in solchen Situationen der Einsatz von Cloud Computing einen Quantensprung bei der Sicherheit bedeuten. Denn auch modernste Sicherheitsverfahren und -technologien lassen sich ohne eigene Infrastruktur und hohe Anfangsinvestitionen mit den neuen Möglichkeiten des Cloud Computings verbrauchsgerecht nutzen. Die IT aus der Steckdose ist längst keine Zukunftsmusik mehr.
Flickenteppich aus Geräten und Anwendungen als größte IT-Herausforderung
Eines der größten Sicherheitsrisiken stellt die wachsende Zahl an unterschiedlichen Geräten und Anwendungen in Unternehmen dar: So verwenden Mitarbeiter an ihrem Arbeitsplatz immer öfter private Laptops oder Smartphones im Rahmen von "Bring your own Device" (ByoD), zum Beispiel zum Empfangen von E-Mails. Entsprechend laden sie damit häufig auch eigenmächtig Lösungen etwa zum gemeinsamen Dateizugriff (so genannte File-Sharing-Lösungen), Projektmanagement- und andere Collaboration Tools und Apps aus der Cloud herunter, um effizienter zu arbeiten. Denn die Möglichkeit, auch mit mobilen Geräten von jedem Ort aus auf IT-Ressourcen zuzugreifen, macht viele Cloud Computing-Services erst richtig lohnenswert.
Von den meisten mittelständischen Firmen wird dies aus Kostensenkungs- und Effektivitätsgründen nicht nur geduldet, sondern sogar unterstützt. Für die IT-Abteilungen kommt es jedoch dem Hüten eines Sacks Flöhe gleich, den entstehenden Wildwuchs ihrer IT-Landschaft zu verwalten. Bei der Einbindung von privaten Endgeräten und cloud-basierten Lösungen in die IT-Infrastruktur müssen sie vielfältige Fragen beantworten, wie:
- Wie kann ich die Endgeräte und die darauf gespeicherten Daten vor dem Zugriff Dritter schützen?
- Wie kann ich verhindern, dass ein privates Gerät Malware in das firmeninterne Netzwerk einschleust?
- Wie kann ich private Geräte in die internen Sicherheitsrichtlinien integrieren?
- Wo sind die kritischen Unternehmensdaten gespeichert und wer hat die Kontrolle darüber?
- Wie sicher ist die Infrastruktur des Cloud-Service-Anbieters und welche Rechte an den Daten behält er sich vor?
- Wie ist unter diesen Voraussetzungen eine Zertifizierung etwa nach ISO oder IT-Grundschutz haltbar?
- Welche lizenzrechtlichen Themen muss ich beachten, wenn zum Beispiel privat kostenfreie Apps und Software kommerziell eingesetzt werden?
- Wie geschäftskritisch sind die Anwendungen und Daten, die ich in die Cloud auslagere?
Die Strategie: Think big, start small
Allein dies zeigt, dass sich praktikable IT-Sicherheit und zuverlässiger Datenschutz nicht mit einzelnen Produkten, sondern nur in einem Prozess sicherstellen lässt, der auf einem umfassenden Gesamtkonzept aufbaut.
(Quelle: Softshell AG)
Dieser Prozess beginnt immer mit der Definition von Sicherheitsrichtlinien, in denen alle weiteren Schritte der IT Security definiert sind. Er umfasst etwa die Auswahl der richtigen Sicherheitsprodukte sowie die Analyse des Ist-Zustands der eigenen IT. Dazu gehört auch das Management von möglichen Schwachstellen, die zwar aufgrund der Natur von Cloud-Diensten weniger transparent sind, sich aber dennoch nicht wesentlich von den Gefahren lokaler IT unterscheiden. Risiken lauern vor allem an folgenden Stellen:
(Quelle: Softshell AG)
Schließlich gilt es, die eingeführten Maßnahmen sowohl wirtschaftlich als auch rechtlich und technologisch entsprechend zu kontrollieren und zu verwalten. Hier kann ein externer Dienstleister mit dem nötigen Weitblick und Know-how wertvolle Schützenhilfe leisten. Dabei ist es unabdingbar, dass die interne IT-Abteilung in jeden Prozessschritt involviert ist, da sie die Cloud-Dienste administrieren muss. Doch auch die enge Zusammenarbeit des Dienstleisters mit der Geschäftsführung und der Rechtsabteilung ist beim Thema Cloud unumgänglich.
Sicher wie die Großen
Mit Hilfe von Cloud Computing-Services sind Mittelständler nun in der Lage, auch auf bislang zu kostspielige Sicherheitslösungen zurückzugreifen. Sogar individuell programmierte Spezialanwendungen können heute als nutzungsabhängiger Service flexibel über das Internet bezogen werden. Dies gilt auch für Anwendungen jenseits der gängigen Standardvorkehrungen, etwa URL- und Web Content Filter, E-Mail-Archivierung oder generelle revisionssichere Archivierung. Richtig zusammengestellt, führen derartige Cloud Computing-Services bei überschaubaren Kosten zu einem Plus an Sicherheit im Mittelstand. Das ergab bereits 2009 die Studie "Cloud-Computing: Sicherheit in der Wolke" des renommierten Fraunhofer Instituts.
Ein Beispiel ist die "Starke Authentifizierung", also das sichere Erkennen der Nutzer beim Zugriff auf die Unternehmenssysteme. Die dafür notwendige Software oder Infrastruktur ist in der Regel sehr teuer und beispielsweise für ein Ingenieurbüro mit fünf Mitarbeitern weder erschwinglich noch sinnvoll. Deutlich zweckmäßiger ist es für das kleine Unternehmen hingegen, die sichere Authentisierung über einen flexibel abrechenbaren Cloud Service zu beziehen und sich so zuverlässig etwa vor Industriespionage zu schützen.
Die Reihe von Technologien, mit denen Cloud-Anbieter ein hohes Maß an Sicherheit gewährleisten können, lässt sich weiter fortführen. Daten lassen sich verschlüsselt übertragen und identitätsbasierende Sicherheitslösungen stellen sicher, dass nur befugte Personen auf die Daten und Systeme zugreifen dürfen. Häufig sind die Daten auch über mehrere Rechenzentren verteilt und so auch bei Serverausfällen sicher. Zudem erfolgt oft ein automatisches Backup in der Cloud. Die Datensicherheit in der Wolke ist daher vielfach sogar höher als bei selbst betriebenen Systemen.
Darüber hinaus könnten Sicherheitsprodukte wie etwa Antiviren-Software ohne den Einsatz von Cloud-Technologien bald sogar keine ausreichende Sicherheit mehr bieten. Denn die Anzahl der Bedrohungen und damit die Anzahl an notwendigen Signaturen wachsen so rasant, dass Signaturdatenbanken in Cloud-Geschwindigkeit aktualisiert werden müssen, um wirklich auf dem neusten Stand zu sein. Lokale Datenbanken werden hingegen in absehbarer Zukunft keinen Bestand mehr haben.
Schon heute versagen die meisten Virenscanner bei neuen Bedrohungen dramatisch. Zudem werden auch die lokalen Rechnerkapazitäten nicht mehr für das starke Wachstum der Signaturdatenbanken ausreichen. Mehr Platz werden die Signaturen dann in der Wolke finden.
Zudem kann der Mittelstand in puncto Compliance durch Cloud-Dienste Vorschriften einhalten, die er wegen Unwissenheit bisher vielleicht gar nicht erfüllt hat. Denn nun profitiert er vom umfassenden IT-Security-Prozess des Cloud-Anbieters, dessen selbstverständliches Kerngeschäft der sichere Betrieb von IT-Strukturen ist. Und diese übertreffen das Sicherheitsniveau eines Großteils der Mittelständler meist deutlich. Ihre IT-Infrastruktur ist mehrfach redundant ausgelegt und sie verfügen über Sicherheitstechnologien und Prozesse, die denen von Großunternehmen gleichen.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER