IT-Sicherheit - mehr als Backup & Restore!

1. Die 100% Sicherheit gibt es nicht !

Unternehmen haben immer mehr Angst um ihre Daten. Wenn man sich die teils spektakulären Meldungen und Berichte von Datendiebstählen vor Augen führt, lässt sich das auch nachvollziehen. Da werden Passwörter geklaut, zum Teil gemeinsam mit ganzen Online Identitäten, dann sind es hochsensible Finanzdaten oder Herstellungs- und Produktionsdaten um Produkte zu kopieren. Es gibt viele Beispiele mehr.

Diese Bedrohungen existieren bereits wenn die Daten in einer eigenen IT-Infrastruktur auf eigenen Servern gehalten werden. Was ist dann erst wenn man seine Daten in die Cloud verlagert? Womöglich noch zu einem Cloud-Anbieter, der seinen Geschäftssitz im Ausland hat. z.B. in den USA? Da fühlt man sich doch sehr unwohl, mal ganz abgesehen davon, dass das aus datenschutzrechtlicher Sicht oft gar nicht erlaubt ist.

Aufgrund von Vorkommnissen aus der Vergangenheit, Stichwort “Whistleblower”, auch mehr als verständlich. Nachdem die Safe-Harbor-Entscheidung (Safe-Harbor-Abkommen) vom Europäischen Gerichtshof am 6. Oktober 2015 für ungültig erklärt wurde, befinden sich die Unternehmen hinsichtlich datenschutzrechtlicher Vorgaben und Verordnungen zur Zeit wie in einer Art Vakuum. Kein befriedigender Zustand.

Gott sei Dank sind große Cloud-Anbieter dabei, Rechenzentren in Deutschland bereitzustellen. Microsoft bietet z.B. seine Cloud-Dienste ab 2016 in Rechenzentren in Frankfurt am Main und Magdeburg an. T-Systems, als deutsches Unternehmen, fungiert als Treuhänder, so dass Microsoft selbst gar keinen Zugriff auf die Daten in diesen Rechenzentren hat. Wie man daran erkennt, haben die großen Cloud-Anbieter die Anforderungen der Märkte erkannt und investieren auch dementsprechend in Infrastruktur.

Es zeigt aber noch eines ganz deutlich auf: “Die Cloud ist die Lösung der Zukunft. Daran geht kein Weg vorbei !” Auch wenn heute noch hybride Modelle bevorzugt werden, lassen sich viele Hinweise erkennen, die in Zukunft eindeutig in Richtung Public Cloud tendieren.

Dennoch, solange es kriminelle Energie gibt, wird es die 100% Sicherheit nicht geben! In der Konsequenz bedeutet dies nichts anderes, als dass lediglich ein Maximum an Datensicherheit und -schutz hergestellt werden kann.

2. Hybride Cloud = Private Cloud + Public Cloud

Wie bereits erwähnt, kommen heute in der Regel hybride Lösungen zum Einsatz. Die Unternehmen bauen hierzu eine eigene Private Cloud auf. In diesem Szenario werden die IT-Dienste weiterhin selbst betrieben und ausschließlich den eigenen Mitarbeitern zugänglich gemacht. Dabei werden die unternehmensspezifischen Dienste so zur Verfügung gestellt, dass dem Mitarbeiter bzw. Nutzer alle Vorteile von cloud-basierten Anwendungen zur Verfügung stehen. Das sind in der Regel installations- und wartungsfreie Anwendungen, die über einen Webbrowser genutzt werden können.

Sicherheitsrelevante Daten liegen dann in diesem geschützten Bereich, alles andere bei kostengünstigen, für jedermann zugänglichen Providern. Sehr bekannte Angebote sind z.B. die kostenpflichtigen Services von Microsoft Azure, Microsoft Office 365 oder SAP Business by Design , aber auch Google for Work

Das hört sich doch alles erst Mal richtig gut an. In Deutschland haben wir trotzdem immer noch ein Problem. Um mit solchen Lösung effizient und effektiv zu arbeiten, braucht es schnelle Internetverbindungen. Wissen Sie was ich meine? Ich denke schon, oder? Bei uns in Deutschland gibt es diesbezüglich immer noch große Lücken, gerade und erst recht in ländlichen Gebieten. Wir müssen uns wirklich schämen.

Ich führe das Thema an dieser Stelle nicht weiter aus, sonst rege ich mich nur auf!

Eines muss an dieser Stelle unbedingt gesagt werden. Egal, wie und wo Sie Ihre Daten halten – Sie müssen immer Maßnahmen zur Datensicherheit und zum Datenschutz ergreifen. Natürlich auch in Ihrer eigenen, privaten Cloud-Umgebung. Angriffe von außen sind heute aufgrund moderner Technologie relativ, ich betone relativ, leicht abzuwehren. Unterschätzen Sie bitte aber nicht die Gefahr von innen. Glaubt man unzähligen Studien, so werden ca. 70% der Datendiebstähle bzw. der Wirtschaftsspionage von eigenen, unzufriedenen Mitarbeitern durchgeführt. Ich rate deshalb bei sicherheitsrelevanten Daten grundsätzlich zur Datenverschlüsselung. Aufgrund der heutigen Technik, ist das wirklich keine große Herausforderung mehr. Mit Verschlüsselungstechnik tun Sie sich etwas Gutes !

3. Das kleine 1×1 der IT-Sicherheit

Um etwaigen Schäden vorzubeugen, ist eine aktuelle Datensicherung unabdingbar. Ja genau, dass Backup oder das Image Ihrer Systeme. Sie mögen jetzt vielleicht drüber lächeln, dass ich das erwähne, aber wenn man auf aktuelle Statistiken schaut, dann geben kleinere Unternehmen (< 50 Mitarbeiter) gerade mal 20 € pro Jahr und Mitarbeiter für IT-Sicherheit aus. Sie lesen richtig und ich sage Ihnen noch etwas – meine Erfahrung bestätigt das ! Es reicht gerade für die Lizenzen einer Antivirensoftware.

Und wir sprechen über aktuelle Datensicherung? Wenn es sie denn gibt, hat man jemals probiert die Daten zurück zu spielen? Wo bewahrt man die Sicherung auf? Im Tresor, gibt es überhaupt einen? Was ist wenn es brennt? Fragen an Fragen. In diesem Umfeld ein sehr kritisches Thema, glauben Sie es mir. Das gesamte Dilemma wird regelmäßig erst deutlich, wenn das Kind in den Brunnen gefallen ist. So manchen Unternehmer hat das sogar die Existenz gekostet und wenn nicht die Existenz, dann doch eine Menge Geld.

Bitte, ich möchte dieses Thema nicht dramatisieren. Sie sollten es aber ernst nehmen und nicht an der falschen Stelle sparen. Es ist das Fundament auf dem IT-Sicherheit aufgebaut werden kann. Und – es ist Chefsache !

4. Tipps für eine möglichst sichere Cloud-Nutzung

Eine Sache ist ganz, ganz wichtig. Datensicherheit beginnt bei Ihren MitarbeiternInnen. Es ist zwingend notwendig Ihre MitarbeiterInnen diesbezüglich zu sensibilisieren. Cloud-Dienste sollen es den MitarbeiternInnen möglichst einfach machen, gleichzeitig muss aber auch das Verständnis geschaffen werden, dass private Angelegenheiten nicht auf die Geschäftsebene transportiert werden. Sie haben dort nichts verloren. Verständnis erreichen Sie in erster Linie durch Transparenz und offene, ehrliche interne Kommunikation. Ihre Mitarbeiterinnen sind die Basis und gleichzeitig Dreh- und Angelpunkt für ein Höchstmaß an Datensicherheit und -schutz. Schaffen Sie Vertrauen – Ihre MitarbeiterInnen werden es Ihnen danken. Sie können dadurch Datensicherheit viel einfacher leben !

4.1 Datensicherheit beginnt bei den Menschen !

Machen Sie doch bitte mal einen kleinen Test. Suchen Sie sich abteilungsübergreifend MitarbeiterInnen (da dürfen ruhig auch Führungskräfte mit dabei sein) aus und bitten Sie diese an einem Donnerstagvormittag für 2 Stunden zu einem kleinen Brainstorming zum Thema Datensicherheit. Sie müssen das Thema vorab gar nicht explizit bekannt geben oder formulieren es so, dass man nicht unmittelbar auf das Thema schließen kann. Damit schließen Sie möglichst aus, dass sich Ihre MitarbeiterInnen vorbereiten können.

Sie werden erstaunt sein, wie wenig über Datensicherheit und -schutz überhaupt bekannt ist und wie fahrlässig aus diesem Grund damit umgegangen wird.

Aber jetzt bitte keine voreiligen Rückschlüsse – das ist nicht die Schuld Ihrer MitarbeiterInnen !

Nehmen Sie das Ergebnis zum Anlass um Aufklärungsarbeit zu leisten. Ihren MitarbeiterInnen ist schlichtweg gar nicht bewusst, wie leichtfertig sie mit den Daten des Unternehmens oder auch der Kunden umgehen. Da ihnen das nicht bewusst ist, sind sie sich auch über mögliche Konsequenzen nicht im Klaren, wie auch?

Schulen Sie Ihre Mitarbeiter, schaffen Sie Verständnis, gewinnen Sie Vertrauen !

4.2 Verschlüsseln Sie Ihre Daten !

Ich hatte dieses Punkt bereits weiter oben erwähnt. Durchgängige Informationssicherheit erreichen Sie nur durch ein geeignetes Verschlüsselungsverfahren. Die Verschlüsselung muss vom Transport der Daten in das Rechenzentrum des Providers bis zur dortigen Speicherung gegeben sein. Dabei ist es essentiell, dass der Schlüssel, mit dem Sie Ihre Daten verschlüsseln ausschließlich Ihnen bekannt ist und nicht etwa im Besitz Ihres Cloud-Anbieters ist. Ich denke, ich muss das nicht näher erläutern. Es ist offensichtlich, dass sonst eine Verschlüsselung nicht wirklich Sinn ergeben würde.

4.3 Geben Sie jedem Nutzer seinen Speicher !

Die bekanntesten Cloud-Lösungen basieren auf einem Mandantensystem . Das wiederum bedeutet nichts anderes, als dass einem Nutzer einer von vielen Speicherplätzen in ein und derselben Umgebung zugewiesen wird. Dadurch besteht natürlich immer die Gefahr, dass gegenseitig Daten eingesehen werden können.

Gemacht wird es, weil es die kostengünstigste Lösung ist. Eine isolierte Umgebung für jeden Nutzer eliminiert dieses Risiko vollständig und garantiert zusammen mit einer individuellen, passwortgeschützten Verschlüsselung ein Höchstmaß an Datensicherheit.

4.4 Wählen Sie ein Rechenzentrum in Europa – am besten in Deutschland !

Auch das wurde bereits erwähnt. Datensicherheit und Datenschutz wirft prinzipiell immer rechtliche Frage- und Problemstellungen auf. Schließlich ist der Datenschutz im Grundgesetz verankert.

Er wird dort aus dem allgemeinen Persönlichkeitsrecht abgeleitet. Das Bundesverfassungsgericht spricht vom “Grundrecht auf informationelle Selbstbestimmung”
(Art. 2 Abs. 1, Art. 1 Abs. 1 GG).

Durch die zur Zeit recht unsichere Situation in Bezug auf die geltende Rechtsprechung empfiehlt es sich auf Cloud-Anbieter mit Hauptunternehmenssitz und Rechenzentren in Europa zurück zu greifen.

Wie ich bereits ausgeführt habe, sind die großen Anbieter bereits dabei ihre Infrastruktur den rechtlichen Erfordernissen der jeweiligen Länder anzupassen.

4.5 Machen Sie die IT für Ihre Mitarbeiter zum Erlebnis !

Die Benutzerfreundlichkeit (Usability) Ihrer IT-Lösungen ist das Fundament für gelebte Datensicherheit. Komplizierte Anwendung oder Benutzeroberflächen kosten in der Regel nicht nur Nerven, sondern auch teure Arbeitszeit.

©Rawpixel by photodune.net

Ihre MitarbeiterInnen sollen in die Lage versetzt werden, den Datenaustausch systemübergreifend intuitiv zu handhaben. Alles andere schreckt die Nutzer ab und baut eine Distanz zwischen Mensch und Technik auf.

Funktionen wie die Kalender- und Kontaktverwaltung oder die Versionierung / Archivierung von Dokumenten runden das Bild ab. Alle Funktionalitäten sollten geräteübergreifend zur Verfügung stehen (PC, Tablet, Smartphone).

Wo es möglich ist, erlauben Sie Ihren MitarbeiternInnen ihre eigenen Geräte zu nutzen (BYOD – Bring Your Own Device ). Bitten achten Sie diesbezüglich jedoch sehr sorgfältig darauf, dass keine Schatten-IT entsteht.

4.6 Machen Sie eine sorgfältige Kalkulation und behalten Sie Ihre Kosten im Blick !

Der Einstieg in die Cloud ist kostengünstiger als eigene IT-Infrastruktur vorzuhalten – so, oder so ähnlich, bekommen Sie es doch immer von uns Experten gesagt. Richtig, oder?

Leider kann man diese Aussage nicht unkommentiert stehen lassen. Um Cloud-Dienste professionell nutzen zu können benötigen Sie mehrere (viele) unterschiedliche Funktionen und eine große Anzahl Benutzer. Erst unter diesen Voraussetzungen heben Sie alle Potentiale, die Ihnen eine Cloud-Lösung bietet.

Bei einem Preismodell bei dem pro Benutzer eine Betrag X entrichtet werden muss, steigen Ihre monatliche Kosten schnell in beachtliche Höhen. Bei Preismodellen mit unbegrenzter Nutzeranzahl sieht das natürlich anders aus.

Sei es wie es wolle, die Kostenbetrachtung ist immer aufgrund der individuellen Gegebenheiten unternehmensspezifisch zu erstellen. Pauschale oder beispielhafte Kalkulationen führen im individuellen Fall zu keinen befriedigenden Ergebnissen, können aber als Anhalt dienen, welche Kostenarten in der Kalkulation generell zu berücksichtigen sind.

4.7 Erstellen Sie eine Unternehmens-Guideline für die Cloud-Nutzung !

Anhand der Vielzahl der zu beachtenden Faktoren und Zusammenhänge zum Thema Datensicherheit und -schutz, ergibt sich die Notwendigkeit einer Regulierung eigentlich von selbst.

Geben Sie Ihren MitarbeiternInnen ein vom Unternehmen evaluiertes und freigegebenes Regelwerk an die Hand, nachdem sich Ihre KollegenInnen richten können.

Sie geben ihnen damit die Chance sich auf ihre eigentliche Arbeit zu konzentrieren, ohne sich Gedanken über das Thema Datenaustausch machen zu müssen.

Weisen Sie Ihre MitarbeiterInnen in dieses Regelwerk ein. Schulen Sie sie ! Verkaufen Sie es nicht als Regulierung, sondern als Guideline bzw. als Hilfestellung für den Umgang mit Daten in Ihrem Unternehmen. Sie erreichen so ein hohes Maß an Informationssicherheit !

5. Wrap up

IT-Sicherheit (Datensicherheit und Datenschutz) ist ein Thema mit vielen Facetten. Drei seien an dieser Stellen nochmals erwähnt:

• der Mensch
• Technik und
• rechtliche Rahmenbedingungen, Vorschriften & Gesetze

Daraus resultieren Widersprüche, die es im Unternehmen aufzulösen gilt. Dies ist eine äußerst anspruchsvolle Aufgabe. Nicht umsonst gibt es seit vielen Jahren die Funktion des Datenschutzbeauftragten, der die Geschäftsführung mit Expertenwissen unterstützt.

Auch Freiberufler nehmen heutzutage diese Funktion in Unternehmen wahr. Das ist insbesondere für kleine und mittlere Unternehmen interessant. Zum einen verfügen diese nicht über die finanziellen Mitteln um eine Vollzeitstelle zur Verfügung zu stellen, zum anderen gibt teilweise die konkrete Aufgabenstellung aufgrund ihres Umfangs gar keine Vollzeitstelle her. Das hängt wiederum von ihren unternehmensspezifischen, individuellen Anforderungen ab. Es empfiehlt sich jedoch in jedem Fall fachmännischen Rat einzuholen !

Es ist nicht möglich das Thema IT-Sicherheit in einem solchen Artikel vollumfänglich abzuhandeln. Dazu ist es viel zu breit. Bedingt durch die Digitalisierung im Rahmen von Industrie 4.0, Big Data, Internet of Things – man könnte noch beliebig fortfahren – hat die IT ihren Platz in unserem Lebensalltag längst eingenommen. Denken Sie nur mal an unsere Energieversorgung, unsere Trinkwasserversorgung oder unsere Gesundheitsversorgung und spannen Sie nun mal den Bogen zu IT-Sicherheit. Wird Ihnen die Dimension dieses Themas bewusst? Auch die Gefahren und Risiken, die damit verbunden sind? Ich glaube, das geschieht unweigerlich.

Gehen wir ein paar Stufen nach unten und schauen uns unser alltägliches Leben an. Denken Sie an unsere Autos. Abstandsregeltempomat, Einpark- und Spurhalteassistent, Sprachsteuerung, Komfortschlüssel und, und, und. Denken Sie an Ihren Fernseher ohne Netzwerkanschluss und versuchen Sie diesen mal zu verkaufen. Bezahlen Sie im Supermarkt oder am Parkautomat. Genug der Beispiele. Unser Leben ist vernetzt ! Wir sind vernetzt ! Wir brauchen IT-Sicherheit !!!

Nehmen Sie sich bitte die Zeit und schauen das 10-minütige Video des eBusiness-Lotsen Ostbrandenburg zum 4. IT-Sicherheitstag Mittelstand vom 29. September 2015 in Berlin am Ende meines Artikels an. Denken in einer ruhigen Minute ein bisschen drüber nach. Sie werden sehr schnell merken, wie viele Baustellen sich auftun. Sichern Sie diese Baustellen im Interesse aller ab. Sie werden dadurch sicherlich auch besser schlafen …

Wir unterstützen und beraten Sie sehr gerne rund um das Thema IT-Sicherheit. Kontaktieren Sie uns. Rufen Sie uns an, schreiben Sie uns eine E-Mail oder kommen Sie auf einen Kaffee vorbei. Wir freuen uns auf Sie. Bis dahin …

bleiben Sie uns bitte gewogen …