Darüber, dass Cybersecurity eines der wichtigsten IT-Themen ist, herrscht allgemeiner Konsens – nicht zuletzt wegen der immer häufigeren Cyberangriffe, die den Betrieb massiv beeinträchtigen können. Die Sicherheit der IT ist aber gleichzeitig ein äusserst vielfältiges Feld mit derart zahlreichen Aspekten, dass viele Unternehmen damit schlicht überfordert sind.
Security ganzheitlich betrachten
Mit dem Malwareschutz auf den einzelnen PCs ist es heute längst nicht getan, zumal immer mehr Unternehmen, insbesondere KMU, für die Unterstützung ihres Betriebs komplett auf Cloud-basierte Plattformen setzen. Der klare Marktführer ist hier Microsoft mit Microsoft 365, Dynamics und zahlreichen weiteren Diensten aus der Azure-Cloud. Damit kommt eine zusätzliche Ebene ins Spiel, die von Anfang an in die Security-Strategie einbezogen werden muss.
Bei der Konzeption der IT-Sicherheit muss zudem neben technischen Lösungen auch der Mensch berücksichtigt werden, der bei Security-Experten als grösstes Einfallstor für Angriffe gilt – entweder direkt via Phishing, Social Engineering oder mithilfe von Login-Daten aus dem Darknet, die frühere Angreifer erbeutet haben und gegen Geld oder auch mal gratis anderen Cyberkriminellen zur Verfügung stellen. Auch in diesem Fall stehen hinter den gestohlenen Zugangsdaten oftmals Mitarbeiter des betroffenen Unternehmens, die dazu gebracht wurden, ihre Angaben unbewusst mit Unbefugten zu teilen.
Letzteres kann auch deshalb geschehen, weil das Sicherheitskonzept an einer Stelle übertrieben daherkommt, wie Robert Cavar, Senior ICT Consultant bei LAKE Solutions, anmerkt: "Anstatt auf moderne Authentifzierungsmethoden zu setzen, werden zum Beispiel extrem lange und komplizierte Passwörter verlangt, die auch noch ständig geändert werden müssen." Das regt nicht gerade zu einem sorgsamen Umgang an. Und, wie Cavar weiter ausführt: "Das Unternehmen hat dann vielleicht das Gefühl, alles Nötige unternommen zu haben, aber andere Aspekte der Sicherheit wurden vernachlässigt."
Auf jeden Fall gehört die regelmässige Schulung aller Mitarbeitenden zwingend zu jedem Security-Dispositiv. Unternehmen nutzen dazu Security-Awareness-Trainingsservices und denken oft, damit sei das Problem der nachlässigen User gelöst. In der Praxis kommt es aber oft anders heraus. Viktor Dötzel, Security Engineer bei LAKE Solutions: "Unternehmen haben den Service abonniert und starten Kampagnen, aber danach geschieht nichts weiter. Ergebnisse werden nicht ausgewertet, gezielte Schulungen bleiben aus." Ähnliches dürfte auch für manche anderen Elemente der Cybersicherheit gelten: Man kauft ein Produkt oder abonniert einen Service und meint, damit sei das Thema Security abgehakt.
Für Robert Cavar geht es betreffend nachlässige User auch um ein kulturelles Problem: "Dahinter steht auch eine Firmenkultur, bei der Mitarbeitende keine Fehler machen dürfen und Wissenslücken schnell als Inkompetenz gelten. Ein erfolgreicher Cyberangriff kostet Geld und man sucht anschliessend einen Schuldigen, der oftmals stigmatisiert wird. Aber wenn niemand Fehler machen darf, kommt kein offener Dialog und keine Verbesserung zustande." Eines sollte dabei klar sein: Es braucht im gesamten Unternehmen ein grundlegendes Verständnis für Security. Strategie und Massnahmen müssen laufend weiterentwickelt werden und das Unternehmen muss Zeit und Geld in die Cybersicherheit investieren. "Security ist kein Projekt, das irgendwann abgeschlossen ist, sondern ein fortwährend weiterlaufender und stets neuen Bedingungen anzupassender Prozess."
Cybersicherheit im Cloud-Zeitalter
Von den generellen Betrachtungen zurück zur Security für Unternehmen, die ihre IT in die Cloud auslagern: Empfiehlt es sich, dabei für alles auf ein Angebot eines bestimmten Herstellers zu setzen oder, gerade bei Sicherheitslösungen, verschiedene Produkte nach dem Best-of-Breed-Ansatz zu kombinieren? Die Meinungen der beiden LAKE-Experten gehen in diesem Punkt auseinander.
Robert Cavar ist überzeugt: "Wenn es um auch für kleinere KMU finanzierbare Lösungen geht, sehe ich keine oder wenig umsetz- und betreibbare Alternativen zu Microsoft. Aber auch bei einer Microsoft-basierten Sicherheitslösung, die schnell bereitgestellt ist, muss man sich überlegen, wie man sie genau konfiguriert und wie die Sicherheit optimal gewährleistet werden kann." Er sei sich bewusst, dass früher oder später ein schwerer Angriff erfolgen wird. "Dennoch finde ich es besser, eine Plattform aus einem Guss zu nutzen als halbbatzig etwas Dezentrales aufzusetzen, das komplex und schwierig zu kontrollieren ist." Unabhängig davon betont der Senior ICT Consultant, dass sich jedes Unternehmen zwingend überlegen muss, wie der Betrieb bei einem Ausfall der IT weiterlaufen kann.
Für Viktor Dötzel ist ein Ansatz wichtig, bei dem aus verschiedenen Lösungen und Dienstleistungen, egal ob intern oder extern, ein Gesamtpaket zusammengestellt wird, das alle Aspekte bestmöglich abdeckt. "Wir versuchen immer, einen 360°-Ansatz zu finden, wenn es um Security geht. Wenn ein Kunde findet, dass für ihn das Wichtigste ist, dass seine Cloud funktioniert, wäre es für uns als Service-Dienstleister falsch, ihm im ersten Schritt eine neue, hochmoderne und AI unterstützte Eingangstür zu seinen Büroräumlichkeiten anzubieten, damit die Gebäudesicherheit gestärkt wird. Der Fokus sollte hier zunächst auf Sicherheitsbereiche gelegt werden, welche in einem ersten Assessment deutlich schlechter abschneiden als ihre Counterparts, oder eventuell gar nicht erst bedacht wurden. Kein Kunde sollte gefühlt die Hälfte seines Umsatzes für Security-Produkte ausgeben, die beispielsweise das hacken eines Passwortes unmöglich machen, wenn die Mitarbeiter dann trotzdem jeden Link in ihren Mails anklicken und ihre vermeintlich sicheren Passwörter auf den Phishing-Seiten eintippen."
Es geht für den Security Engineer dabei keineswegs um die Frage "Alles Microsoft oder nicht", sondern darum, sich klarzumachen, welche Punkte überhaupt abgedeckt werden müssen. Dafür gibt es frei verfügbares Know-how wie etwa den IKT-Minimalstandard des Bundes. "Anhand dieser Vorgaben lässt sich erkennen, wo noch Schwächen vorliegen, und man kann diese angehen. Welche Produkte dann konkret eingesetzt werden, kommt erst danach."
Vor- und Nachteile
Dafür, dass Kunden von Microsoft 365 & Co. auch für die Cloud-Sicherheit Microsoft-Lösungen einsetzen, sprechen Argumente wie die globale Threat Intelligence, Automatisierung, State-of-the-Art-Sicherheitstechnologien sowie Compliance und Zertifizierungen. Auf der anderen Seite gibt sich ein Unternehmen damit ganz in die Abhängigkeit von Microsoft (Vendor Lock-in). Auch die Frage der Datenhoheit und des Datenschutzes steht im Raum, weil Microsoft letztlich ein US-amerikanisches Unternehmen ist, das US-Gesetzen untersteht, auch wenn Rechenzentren und eine Niederlassung in der Schweiz bestehen. Mit einem Multi-Cloud-Ansatz könnte man die Abhängigkeit von einem einzigen Anbieter vermeiden. Weitere Alternativen sind der Einsatz von Open-Source-Lösungen oder eine Hybrid Cloud für besonders sensible Daten und Systeme.
Die Zentralisierung auf einen Anbieter ergibt zudem ein attraktives Angriffsziel für Cyberkriminelle – eine Sicherheitslücke in verbreiteten Microsoft-Produkten wird von vielen Hackern ausgenutzt und kann viele Unternehmen schädigen, und auch Cyberkriminelle können die enorme Rechenleistung, die in der Cloud verfügbar ist, für ihre Zwecke missbrauchen. Zum Beispiel, um die Verschlüsselung von Daten zu knacken.
Wichtig in Zusammenhang mit Sicherheit bei der Nutzung von Cloud-Ressourcen und Auslagerung von Aufgaben, ist das Prinzip der geteilten Verantwortung (Shared Responsibility). Für die Sicherheit der IT und vor allem der Daten ist nicht allein der Hersteller der genutzten Lösungen oder der IT-Partner verantwortlich, sondern immer auch das Unternehmen selbst. Wenn in diesem Bereich Unklarheiten bestehen, entstehen zwangsweise Sicherheitslücken. Als Teil des Portfolios bietet die LAKE Solutions ein breites Spektrum an Managed Services an, um Kunden die Auslagerung von Aufgaben - und zugehöriger Verantwortung - zu ermöglichen.
Robert Cavar
Als Leiter des Competence Centers 'Smart Workspace' verantwortet er den Bereich moderner IT-Lösungen. Mit seiner Expertise als Senior Consultant begleitet er Unternehmen auf ihrem Weg zu einer bedarfsgerechten IT, indem er ganzheitliche und umsetzbare Strategien und Konzepte entwickelt, die nachhaltigen Fortschritt und wirtschaftlichen Erfolg fördern.
Viktor Dötzel
Viktor Dötzel fand durch Neugier und Zufall zur IT-Security und spezialisierte sich im Informatikstudium auf Datenforensik und Penetration Testing. Heute liegt sein Fokus auf User Awareness: Er hält Workshops, um Mitarbeiter für Cyberrisiken zu sensibilisieren und die Sicherheitskultur von Unternehmen zu stärken.
(Quelle: Lake Solutions AG)
