Was für das eine Unternehmen gut genug ist, reicht dem anderen längst nicht aus. Deshalb muss jedes Unternehmen sein eigenes Risikoprofil entwickeln.
Nicht jedes Risiko ist kalkulierbar. Foto: Jan Schumacher, Fotolia
Steve Durbin hat zwei Smartphones: das eine für dienstliche, das andere für private Zwecke. Ob er denn noch nichts von "Bring your own device" gehört habe? Doch sicher, antwortet der Global Vice President des Information Security Forum (ISF). Und dagegen sei grundsätzlich auch nichts einzuwenden. Durbin beschreibt die Haltung des ISF folgendermaßen: "Wir sagen nicht: Lass es sein, sondern: Sei dir der Risiken bewusst, und triff Vorkehrungen."
Ein mobiles Gerät, das auf Unternehmensdaten zugreift, muss seinerseits den Zugriff des Unternehmens hinnehmen, so Durbin. Zum Beispiel sei es notwendig, dass es sich im Falle eines Diebstahls zentral abschalten lasse, dass Updates automatisch aufgespielt werden könnten und dass die Kommunikation mit dem Firmennetz nur über handverlesene Verbindungen geschieht: "Manche Anwender schrecken, wenn sie das hören, vor dem Gedanken zurück, ihr privates Handy dienstlich nutzen zu wollen." Aber ohne eine strikte Mobile-Strategie gehe es aber nun einmal nicht: "Die ist genauso wichtig wie die Verordnungen zur Gesundheit der Mitarbeiter oder zur Betriebssicherheit."
Auch über die Apps, die der Nutzer auf sein Firmen-Smartphone oder das dienstlich genutzte Privat-Handy lädt, sollte das Unternehmen stets informiert sein, empfiehlt Durbin: "Denn die App-Anbieter nehmen ihre Security-Pflichten unterschiedlich ernst." Der ehemalige Gartner-Analyst empfiehlt den Unternehmen, eine verbindliche "Whitelist" von unbedenklichen und zur Nutzung freigegebenen Apps zu pflegen, oder am besten selbst als App-Shop zu agieren.
Cloud-Checklisten für den CIO
Cloud Computing Checkliste Wenn Fachbereiche ohne Wissen der IT Cloud-Services beschaffen, entsteht früher oder später eine "Schatten-IT". Hier erfahren Sie, wie Sie die Datensicherheit im Unternehmen erhöhen und dieser Schatten-IT entgegenwirken können. Hierzu sollten die Verantwortung und Aufgaben der Cloud-Strategie, Unternehmensleitung und IT-Abteilung klar geregelt sein.
Die zentrale Cloud-Strategie … legt fest, wie eine Private Cloud im Unternehmen organisiert wird.
Die zentrale Cloud-Strategie … bestimmt, welche SaaS-Anwendungen aus der Public Cloud beziehbar sind.
Die zentrale Cloud-Strategie … regelt, wie virtuelle Server in Public Clouds zu nutzen sind (Stichwort IaaS).
Die zentrale Cloud-Strategie … definiert die Zuständigkeiten der Abteilungen bei der Bestellung von Cloud-Leistungen und Vertragsverhandlungen.
Die zentrale Cloud-Strategie … enthält Vorgaben für Datenschutz und Datensicherheit bei der Cloud-Nutzung.
Die zentrale Cloud-Strategie … untersagt den Mitarbeitern den eigenmächtigen Einsatz von Cloud-Services.
Die Unternehmensleitung muss … IT-Richtlinie im Unternehmen erlassen und für die Umsetzung sorgen.
Die Unternehmensleitung muss … das nötige Know-how zu Cloud-Verträgen im Unternehmen sicherstellen - durch Schulungen, Entwicklung von Standards und Musterregelungen.
Die Unternehmensleitung muss … das Zusammenwirken der Abteilungen bei Vertragsverhandlungen koordinieren.
Die IT-Abteilung schließlich … erarbeitet ein detailliertes Sicherheitskonzept für die Unternehmens-IT und prüft es laufend.
Die IT-Abteilung schließlich … untersucht die Möglichkeiten zur Einbindung von Cloud-Services in Unter-nehmens-IT.
Die IT-Abteilung schließlich … berät die Unternehmensleitung bei der Entwicklung der Cloud-Strategie und deren Umsetzung.
Die IT-Abteilung schließlich … wirkt an Verhandlungen zu SaaS- und Cloud-Verträgen mit, prüft laufend deren Einhaltung, löst auftretende Probleme.
Die IT-Abteilung schließlich … schult Mitarbeiter aller Abteilungen zu Datensicherheit.
Cloud als Security-Thema Nummer eins abgelöst
Steve Durbin, Global VP des ISF Foto: ISF
Darüber hinaus müsse jedes Unternehmen die individuellen Verhaltensregeln für die Nutzer in Form einer Security-Policy festhalten, ergänzt Durbin. Das alles koste zwar Zeit und Mühe, aber die Unternehmen kämen nun einmal nicht darum herum: "Sie dürfen sich bloß nicht auf den Standpunkt stellen: Das ist alles viel zu kompliziert; sollen die Anwender doch machen, was sie wollen." Denn damit vernachlässigten sie ihre Sorgfaltspflicht.
Dem Themenkomplex Mobile/Bring your own Device gilt derzeit das Hauptinteresse der rund 300 ISF-Mitglieder. Eng damit verbunden sind die Sozialen Medien, also Facebook und der in den Unternehmen bereits häufig genutzte Internet-Telefondienst Skpye. Der sollte die Sicherheits-Manager in den Firmen besonders interessieren, sagt Durbin. Denn in dessen AGBs stehe ausdrücklich, dass der Service von der Infrastruktur, auf der er läuft, "Gebrauch machen" könne, was de facto bedeute, dass der Service in die Infrastruktur eindringen könne.
Ein drittes heißes Thema ist auch für die ISF-Mitglieder die Sicherheit in der Cloud. "Bis vor einigen Monaten war dies sogar das Thema Nummer eins", erläutert der Vice President, "mittlerweile wurde es durch das Consumerization-Thema abgelöst." Das bedeute allerdings nicht, dass die Security-Probleme der Cloud als gelöst gelten könnten. Wer vermag zu sagen, wo die Daten wirklich liegen? Und wer kontrolliert, ob die Supplier die vereinbarten Sicherheitsvorkehrungen auch einhalten? Solange derartige Fragen nicht schlüssig beantwortet sind, halten viele Unternehmen das Risiko in der Public Cloud für zu hoch. Das gilt besonders für Unternehmen mit hohen Compliance-Anforderungen.
So schützen Sie sich vor Cloud Katastrophen
So schützen Sie sich vor Cloud Katastrophen "Die Cloud hat keine Fehler, die es zuvor nicht auch beim In-House-Betrieb gegeben hat", meint Rackspace CSO Moorman. Eine absolute Sicherheit gibt es auch mit der Cloud nicht. Wer sich dessen bewusst ist, wird nicht unvorbereitet in einen Wolkenbruch geraten. Unsere Tipps für Sie:
Tipp 1: Wenn Sie einen Teil ihrer IT in die Cloud verlagern wollen, sollten sie bei der System-Planung Verluste und Ausfälle von Anfang an berücksichtigen.
Tipp 2: Wenn es um ihre Daten geht, sollte Sie nicht auf andere vertrauen, sondern sich selber darum kümmern. Sorgen Sie selbst für ein Backup und überprüfen sie das Disaster Recovery-Setup Ihres Cloud-Providers.
Tipp 3: Es ist nicht unbedingt nötig, alle Daten doppelt zu sichern. Ein zusätzliches Backup der kritischsten Daten kann aber sinnvoll sein.
Tipp 4: Cloud-Nutzer sollten gründlich auf die Sicherungsmechanismen achten und eventuell vorsorglich eine Backup- oder Offline-Zugriffs-Lösung aufsetzen.
Tipp 5: Bei Cloud-Diensten kann es sinnvoll sein, Daten auf verschiedenen Servern in unterschiedlichen Rechenzentren zu sichern – Es lohnt sich auch, die Dienste mehrerer Provider zu nutzen.
Tipp 6: Sie sollten sich folgende Frage stellen: Ist es für unser Unternehmen tragbar, wenn Geschäftsdaten temporär nicht abrufbar sind?
Aus dem Fall Sony gelernt
Das ISF will seinen Mitgliedern Hilfestellung bei der Entwicklung eigener Policies leisten. Denn letztlich muss jede Organisation selbst entscheiden, was sie zulassen will und was nicht. "Das hängt eben ab vom jeweiligen Risikoprofil", konstatiert Durbin. Und dieses Profil zu definieren sei nicht die Aufgabe des Sicherheits-Verantwortlichen, sondern Vorstandssache: "Der CSO oder wie immer er genannt wird, kann nur Aufmerksamkeit wecken, die Entscheidungen muss das Business treffen."
"Das Thema Security ist erwachsen geworden, es bewegt sich in der Unternehmenshierarchie aufwärts", lautet das Fazit des ISF-Managers. In den Firmen habe sich die Erkenntnis durchgesetzt, dass die Informationssicherheit Business-entscheidend ist. Fälle wir die Sicherheitslücke im Kundendaten-System von Sony hätten massiv zu dieser Bewusstseinsbildung beigetragen - nicht nur in den betroffenen Unternehmen: "Sony hatte vorher keinen Sicherheitsverantwortlichen, jetzt schon."
Die schlimmsten Cloud-Ausfälle
Die schlimmsten Cloud-Ausfälle Unsere Kollegen von der InfoWorld haben die zehn schlimmsten Cloud Katastrophen zusammengetragen, die wir Ihnen nicht vorenthalten wollen
Sidekick Die Besonderheit des Sidekick-Dienstes: Persönliche Daten, Adressen oder Kalendereinträge, können direkt in einer Cloud gesichert werden. So sollen alle Daten auch bei Geräteverlust schnell wiederhergestellt werden. Das versprach zumindest die Werbung. Doch gerade dieser Cloud Service hatte im Herbst 2009 einen Ausfall. Als Folge konnten alle Nutzer eine Woche lang nicht mehr auf Kontakte, Termine und andere Daten zugreifen, die auf Servern gespeichert waren, welche von Microsoft betrieben wurden. Schlimmer noch, es waren nicht einmal Backups angelegt worden. Somit gingen alle persönlichen Daten für immer verloren, sofern sie der Nutzer nicht zusätzlich lokal gesichert hatte.
Googlemail Googlemail ist mittlerweile auch für Geschäftskunden eine lohnende Alternative zu Microsoft Exchange. Aber auch dieser Cloud-Dienst ist vor Ausfällen nicht gefeit. Eine besonders schlimmer Software-Bug sorgte dafür das rund 150000 Google-Kunden auf leere Posteingänge blickten. Alle Nachrichten, Ordner oder Notizen waren weg. Dank einer Reihe von Sicherungen konnte Google zwar alle Daten wiederherstellen, aber nichtsdestotrotz hatten Anwender tagelang keinen Zugriff auf ihre E-Mails.
Hotmail Googlemail ist jedoch nicht der einzige Mail-Dienst mit Ausfällen. Auch Microsofts Hotmail hatte, neben einem Phishing-Angriff, bei dem zehntausend Hotmail-Konten ausgespäht wurden, mit leeren Postfächern zu kämpfen. Ein Script sollte eigentlich nur überflüssige Dummy-Accounts löschen. Leider wurden von diesem Skript auch 17 000 real existierende Accounts gelöscht. Aber auch in diesen Fall wurden alle Daten wiederhergestellt, auch wenn einige Nutzer bis zu sechs Tage auf ihre Neujahrswünsche warten mussten.
Intuit 2010 hatte Intuit mit seinen Cloud-Services wie TurboTax, Quicken oder Quickbooks zwei Ausfälle innerhalb eines Monats. Vor allem eine Störung über 36 Stunden im Juni verärgerte die Kunden. Ein Stromausfall hatte die Systeme inklusive Backups lahmgelegt – leider erlitt Intuit wenige Wochen später einen weiteren Stromausfall.
Microsofts BPOSS Es ist nicht einfach produktiv zu arbeiten, wenn die als SaaS eingebundene Arbeitsumgebung nicht mehr erreichbar ist. Am 10. Mai stocke die Microsoft Business Productivity Online Standard Suite. So gingen E-Mails erst mit neun Stunden Verzögerung ein. Die Störung wurde zwar schnell behoben, trat aber zwei Tage später wieder auf. Noch dazu hatten einige Nutzer nicht einmal mehr die Möglichkeit sich in Outlook einzuloggen.
Salesforce.com Eine Stunde Ausfall klingt nicht nach viel. Wenn aber ein Dienst nicht mehr erreichbar ist, über den zehntausend Firmen ihren Kundendienst laufen lassen, können 60 Minuten sehr lange sein. Der Rechenzentrumsausfall von Salesforce.com im Januar brachte einige wütende Kunden hervor.
Terremark Der Cloud-Anbieter Terremark, der kürzlich für einige Milliarden US-Dollar von Verizon gekauft wurde, geriet Anfang 2010 wegen einer Störung in die Schlagzeilen. Am 17. März kam es zu einem Ausfall in einem Rechenzentrum in Miami. In Folge kollabierte der vCloud Express-Service und auf sämtliche Daten konnte sieben Stunden lang nicht mehr zugegriffen werden.
PayPal Paypal ist ein großer Anbieter im Bereich E-Payment, somit hat ein Ausfall potentiell dramatische wirtschaftliche Folgen. Ein Hardware-Problem legt im Sommer 2009 den Bezahldienst für eine Stunde lang lahm. Keine schöne Erfahrung für Händler wie Kunden, die ihre Waren online ein- und verkaufen wollten.
Rackspace Ende 2009 musste Rackspace drei Millionen Dollar an seine Kunden zurückzahlen. Der Betreiber hatte mit mehreren technischen Problemen zu kämpfen und die gehosteten Websites gingen dabei jedes Mal offline. Für die Kunden wie Justin Timberlake oder TechCrunch eine kostenintensiver Ausfall. Heute achtet Rackspace nicht nur darauf, solche Ausfälle zu vermeiden, sie informieren die Kunden auch, dass manche Ausfälle unvermeidlich sind.
Das ISF in Stichpunkten
Das Information Security Forum (ISF) widmet sich sei 1989 den Fragen der Informations- und IT-Sicherheit.
Es bezeichnet sich als unabängige Non-Profit-Vereinigung von großen und mittleren Unternehmen beziehungsweise Organisationen aus der ganzen Welt.
Rund 300 Mitglieder zählt diese Vereinigung derzeit, darunter zehn der 20 größten deutschen Unternehmen.
Das ISF will nicht nur eine Plattform für den Informations- und Meinungsaustausch zwischen den Mitgliedern bieten, sondern erbringt selbst Services.
Dazu zählen Marktuntersuchungen sowie die Entwicklung von Methoden, Standards und Werkzeuge.
Zu diesem Zweck beschäftigt das ISF derzeit 25 eigene Analysten.