Beitrag von Matthias Schorer, Lead Business Development Manager, IoT, EMEA bei VMware über Cyber-Security
Die Cyberwelt ist längst keine Parallelwelt mehr, sondern integrativer Bestandteil unserer heutigen Gesellschaft. Digitale Aspekte beeinflussen die analoge Welt und verändern unser Leben, aber stellt auch neue Anforderungen. Zum Beispiel beim Thema Sicherheit. Zum Auftakt unserer neuen Cyber-Serie zeigen wir Ihnen heute, was Cyber-Security genau bedeutet und warum sie so wichtig ist.
Worum geht es?
Die IT-Sicherheit gehört seit der Umstellung der Datenverarbeitung auf Maschinen (EDV) zu den wichtigsten Aufgaben in Unternehmen. Sie muss die Vertraulichkeit von Informationen garantieren, die Integrität von Daten und Systemen gewährleisten sowie deren Verfügbarkeit sicherstellen. Die klassische IT-Sicherheit umfasst also zwei Dimensionen: die Daten und Informationen sowie die Systeme, mit denen sie erhoben, verarbeitet und gespeichert werden.
Durch Verschmelzung der analogen mit der digitalen Welt wird die IT-Security zur Cyber-Security. Konkret bedeutet dies, dass wir mit der allumfassenden Vernetzung eine neue Dimension für die Sicherheit hinzubekommen haben. Die herkömmlichen Sicherheitskonzepte müssen entsprechend erweitert und zum Teil auch neu erdacht werden. Bereiche wie Cloud, Enterprise Mobility und IoT bereichern unsere Arbeitswelt, müssen aber genauso sicher integriert werden, wie die bisherigen IT-Systeme.
Warum ist das so wichtig?
Die Sicherheitskonzepte zum Schutz von und Informationssystemen beschränken sich heute nicht mehr auf klar definierte physikalische Räume wie den Geschäftssitz eines Unternehmens, sondern müssen die komplette Infrastruktur, mobile Geräte, das Internet der Dinge, also kurz sämtliche Systeme und Daten in der Cloud umfassen. Verantwortlich sind dafür verschiedene Entwicklungen. Zum einen verändert sich unsere Arbeitswelt seit einigen Jahren massiv. Wir arbeiten nicht mehr ausschließlich im Büro, sondern auch im Home-Office und vermehrt auch mobil. Remote Work ist vor allem für jüngere Mitarbeiter bereits zu einem wichtigen Auswahlkriterium des Arbeitgebers geworden. Wer das als Arbeitgeber nicht anbietet oder ermöglicht, hat im Kampf um die jungen Talente schon heute schlechte Karten.
Aber Remote Work und eine hochgradig vernetzte IT-Infrastruktur ist nicht nur eine Frage neuer Arbeitsmodelle, sondern trägt auch immer mehr zur Verbesserung der Wertschöpfung bei. In unserem Beitrag zu hatte ich Ihnen bereits berichtet, wie schnell ich nach einem Verlust meines mobilen Arbeitsgeräts wieder voll einsatzfähig war. Mit einer nicht auf solche Fälle ausgelegten Infrastruktur wäre ein tagelanger Ausfall die unausweichliche Folge gewesen.
Nicht zuletzt müssen sich Unternehmen auch mit der seit dem 25.05.2018 geltenden Datenschutz-Grundverordnung (DSVGO) auseinandersetzen. Alle Daten, die Rückschlüsse auf reale Personen zulassen, müssen besonders geschützt werden. Im Falle eines Cyber-Angriffs mit Zugriff auf personenbezogenen Daten werden empfindliche Strafen fällig, wenn gegen die Datenschutzbestimmungen verstoßen wurde.
Was müssen Sie jetzt tun?
Die neuen Wirkungsbereiche Cloud, Mobile und IoT werden für Unternehmen und deren Mitarbeiter also immer wichtiger. Sie bieten völlig neue Geschäftsmodelle und Arbeitsmöglichkeiten, fordern aber gleichzeitig neue Sicherheitskonzepte, die diese Bereiche vollumfänglich integrieren. Wer diese neue Dimension dagegen vernachlässigt, öffnet Cyber-Kriminellen die Türen. Eine komplette Ablehnung von Cloud, Mobile und IoT stellt übrigens keine Lösung dar. Zum einen wird sich die Entwicklung in diese Richtung nicht durch eine ablehnende Haltung aufhalten, bzw. zurückdrehen lassen. Und zum anderen entstehen durch einen Verzicht schnell Wettbewerbsnachteile. Es gibt bezüglich der Gefahren aber auch eine gute Nachricht: Sie sind beherrschbar!
Falls Sie Ihre Sicherheitskonzepte nicht bereits an die neuen Gegebenheiten angepasst haben, sollten Sie diese unverzüglich auf den Prüfstand stellen. Beziehen Sie dabei nicht nur die IT ein, die sich bei Ihnen im Gebäude befindet, sondern denken Sie zusätzlich auch an Daten und Systeme, die in der Cloud oder auf mobilen Geräten oder Edge-Systemen liegen. Ein erster wichtiger Schritt ist eine lückenlose Dokumentation aller physikalischen und virtuellen IT-Komponenten. Sind diese alle abgesichert, sollten Sie im nächsten Schritt die internen Compliance-Richtlinien entsprechend anpassen. Hier legen Sie genau fest, welche Systeme und Cloud-Anwendungen die Mitarbeiter benutzen dürfen und wer für die Freigabe neuer Dienste zuständig ist. Mit diesen beiden Schritten haben Sie bereits eine gute Basis für Ihre Cyber-Security gelegt. Der dritte Schritt ist dann ein fortlaufenden Maintenance-Prozess. Er besteht aus regelmäßigen Sicherheitsaktualisierungen und dem Einspielen von Software-Updates. Wenn Sie dann noch sicherstellen, dass Ihre Mitarbeiter alle Regeln kennen, verstehen und befolgen, dann sind bereits viele Gefahrenquellen eliminiert.
Warum sich die Risiken allerdings nur minimieren, aber nicht restlos beseitigen lassen, erfahren Sie im nächsten Teil der Serie – Cyber Awareness.
Ich freue mich auf die Diskussion spannender Ansätze mit Ihnen bei LinkedIn, Xing und Twitter. #CyberSerie