Sicherheitsbedenken sind des wichtigste Argument, wenn Unternehmen noch beim Cloud Computing zögern. Auf der anderen Seite verstärkt der Trend zu Cloud Computing zunehmend auch die Art und Weise, wie Unternehmen ihre IT- und Internet-Sicherheit verbessern. Bereits jedes sechste Unternehmen bezieht Sicherheitsdienste im SaaS-Modell (Software as a Service) aus der Cloud.
Günstiger Zugang zu neuesten Sicherheitstechnologien
Das ergab die Umfrage der Universität Regensburg und des Branchenverbands Bitkom mit dem Titel „Akzeptanz von Security-as-a-Service-Lösungen“. Danach sind es vor allem Services zur Virenbekämpfung und Benutzer-Authentifizierung, die als Cloud-Dienst genutzt werden. Mittelfristig will sogar ein Viertel der befragten Unternehmen „Security as a Service“ (SECaaS) einführen. Der Vorteil läge für Unternehmen auf der Hand, sagt Bitkom-Präsident Professor Dieter Kempf: „Security-as-a-Service eröffnet allen Unternehmen den günstigen, einfachen und maßgeschneiderten Zugang zu Sicherheitstechnologien.“
Vor dem Hintergrund, dass sich deutsche Unternehmen im internationalen Vergleich bislang als eher zurückhaltend erwiesen hätten, sei die verhältnismäßig hohe Akzeptanz von Security as a Service in Deutschland durchaus bemerkenswert. Vorreiter sind nach den Ergebnissen der Umfrage die Finanz- und IT-Dienstleister, die traditionell eine hohe Affinität zu IT-Innovationen aufwiesen. Fast jedes dritte Unternehmen aus diesen Branchen nutzt schon Sicherheitsservices aus der Cloud.
Dabei sind es bisher vor allem sehr kleine oder sehr große Unternehmen, die sich für SECaaS entscheiden – während das Angebot eigentlich besonders für die Ansprüche mittelständischer Unternehmen geeignet erscheint: „Sicherheitstechnologien aus der Cloud versprechen kostengünstige und maßgeschneiderte Lösungen, was insbesondere für Mittelständler enorme Potenziale eröffnet. Gerade diese verhalten sich diesbezüglich allerdings noch erstaunlich zögerlich“, schreibt Studienautor Christian Senk von der Universität Regensburg.
- Wissen weitergeben
Standardisierte Verfahren, um Informationen über akute Bedrohungen sowie die Merkmale bekannter Angriffe auch anderen Unternehmen und Organisationen zur Verfügung zu stellen, helfen bei der Bekämpfung von Cybergangstern. - Prozesse beschreiben, Abläufe automatisieren
Das Zusammenführen, Analysieren und Verwalten der gesammelten Informationen sollte weitestgehend automatisiert erfolgen. Hierzu sind Verfahren und Richtlinien unabdingbar, wie beispielsweise im Falle eines Angriffs vorgegangen wird – ein Katalog mit "Erste-Hilfe-Maßnahmen" kann niemals früh genug erstellt werden. - Topleute finden, Vorgesetzte überzeugen
Wichtig sind zudem die Analyse bekannter Angriffsvektoren und das Know-How innerhalb der Sicherheitsteams in Bezug auf die Auswertung der Datein. Allein technisches Wissen reicht dabei nicht aus, auch die strategisch-analytische Einordnung darf nicht zu kurz kommen - wichtig vor allem für die Kommunikation mit den Vorgesetzten. - Quellen aufbauen
Als nächstes sind interne und externe Quellen auszumachen, aus denen Daten über Cyber-Risiken bezogen und ausgewertet werden könnten. Hier stehen beispielsweise Regierungsbehörden oder öffentlich zugängliche Datenbanken aus Industrie und Handel zur Verfügung. Aber auch interne Dokumente sollten gründlich ausgewertet werden. - Strategische Vermögenswerte erfassen, Risikobewertung vornehmen
Zunächst sollten Unternehmen ihre strategischen Vermögenswerte erfassen und eine Risikoabschätzung vornehmen. Welche Daten und Informationen sind besonders schützenswert? Welche Schäden drohen, wenn diese Daten in die falschen Hände geraten oder anderweitig verloren gehen? - IT-Systeme überwachen
Die konsequente Überwachung der eigenen IT-Umgebung ist ein Muss, um normales und anormales Nutzer- und Netzverhalten voneinander unterscheiden zu können.