Sie sind hier: HomeTelekommunikation

Die Zukunft der Cyber-Sicherheit: 2015 ist das Jahr der Analyse

Fortsetzung des Artikels von Teil 1.

Incident-Response – Effiziente Reaktion auf Vorfälle

Es ist davon auszugehen, dass das Budget für Informationssicherheit zukünftig erhöht wird, um vermehrt in moderne Nachweismethoden, Reaktion und Forensik zu investieren. Diese Investitionsentscheidung erfordert die Unterstützung des Managements und sollte vom gesamten Unternehmen getragen werden - jeder einzelne Mitarbeiter muss sich seiner Verantwortung bewusst sein. Leider wurde bislang Informationssicherheit nicht als eine Verantwortlichkeit des Einzelnen, sondern als nachgelagerte Verantwortung der IT-Abteilungen betrachtet - dies muss sich ändern. Bereits vor einem Sicherheitsvorfall muss jede Abteilung eines Unternehmens die entsprechende Vorgehensweise im Ernstfall kennen und sich über die erforderlichen Handlungsschritte im Klaren sein. Hier gilt es, über ein strukturiertes Rahmenwerk das Unternehmen auf Risiken vorzubereiten und adäquate Prozesse für Risikomanagement aufzusetzen. Ein ganzheitlicher Ansatz zur Handhabung von Sicherheitsvorfällen kann durch Technologien und Services unterstützt werden, jedoch sind bereits im Vorfeld entsprechende Konzepte, Prozesse, Kommunikation und Expertenteams (Critical-Response-Teams) zu etablieren. Sie gehören somit zu den Cyber-Crime-Themen, die 2015 auf der Agenda stehen.

Digital-Transformation – Cloud-Security und Collaboration

Während die Kerninfrastruktur den Geschäftsbetrieb wie bisher schützt, ist die Nutzung von Cloud-Lösungen inzwischen auf dem Vormarsch. Durch mobile Kollaboration mit mobilem und zentralem Zugriff auf in der Cloud gespeicherte Informationen, einer Vielzahl von Schnittstellen zwischen Cloud- und Legacy-Anwendungen sowie komplexen Nutzer- und Zugriffsrechten erhält die Absicherung dieser Informationen einen neuen Stellenwert in einer ganzheitlichen Sicherheitsstrategie. Die Vorteilte und Möglichkeiten durch hybride und private Cloud-Lösungen in unterschiedlichen Bereichen des Business wie Sales - Customer-Relationship-Management und Social-Marketing, HR - Human-Capital-Management und Recruiting, Service - Ticketing und Incident-Mangement aber auch komplette ERP und Finance-Lösungen mit attraktiven Time-to-Market-Zeiten dominieren schon heute das Denken des Managements moderner Unternehmen und verweisen schwerfällige On-Premise-Lösungen auf die hinteren Ränge. Mit der Nutzung von Cloud-Modellen ist der Schutz von Daten sowie der Zugriff auf kritische Unternehmensdaten (zum Beispiel Finance) von höchster Priorität und bedarf dedizierter Vorkehrungen und Konzepte.

Ein anderer und oft vernachlässigter Aspekt ist in diesem Zusammenhang die Nutzung von Social-Cloud-Lösungen über „Smart Devices“ durch die Mitarbeiter. Die zunehmende Vermischung von privaten und firmeninternen Daten - die sogenannte „Consumerization of IT“ - führt dazu, dass mobile Geräte im Firmennetzwerk für private Zwecke verbunden werden. Gerade diese Geräte erfordern einen erweiterten Schutz, um Datenmissbrauch sowie Angriffe der illegalen Informationsbeschaffung wie Social-Engineering zu verhindern. Über die Profile von Mitarbeitern in sozialen Netzwerken können Hacker beispielsweise wertvolle Informationen über ihren Arbeitsplatz sowie ihre Aufgabe im Unternehmen herausfinden und diese dann in Verbindung mit Phishing für einen unbefugten Zugriff auf das Unternehmensnetzwerk ausnutzen.

Der ganzheitliche Sicherheitsaspekt muss daher vom ersten Tag an in das Cloud-Modell eingebettet und kritisch reflektiert werden.