Neue und innovative IT-Technologien verändern die Art und Weise der Zusammenarbeit in und zwischen Unternehmen wie auch den Umgang mit Daten und Informationen. Zudem werden Information nun selbst zu einem Wert und damit verstärkt das Ziel von Angriffen.
Allerdings vernachlässigt die IT häufig die damit verbundenen Sicherheitsanforderungen. Hinzu kommt, dass die Angreifer immer raffinierter werden. Das schreibt Alastair MacWillson, Leiter der Security Group bei der IT- und Managementberatung Accenture, in seinem Beitrag "How secure are your information systems?". Folgende IT-Technologien gefährden die Sicherheit in Unternehmen am meisten:
1. Enterprise Mobility
Smartphones und Tablet-PCs werden sowohl für Business-Zwecke als auch für den Zugriff auf private Social-Media-Accounts genutzt. Doch die Kontrollsysteme sind meist zu lax. Oft erfolgt der Zugriff auf interne IT-Systeme und sensible Firmendaten über unsichere öffentliche Wi-Fi-Hotspots.
Für das mobile Log-In gibt es häufig nur eine vierstellige ID-Nummer, während der stationäre Zugriff über umfassende Authentifizierungsprozesse und komplexe Passwortregeln erfolgt. Deshalb sind mobile Geräte ein ideales Einfallstor für Angreifer, die diese mit Malware infizieren und so in das Firmennetzwerk eindringen.
2. Virtualisierung von Hardware und Software
Die Vorzüge der Virtualisierung liegen auf der Hand: Kostensenkungen durch Serverkonsolidierung, weniger Energieverbrauch und bessere Ausnutzung des Platzangebotes im Rechenzentrum.
Allerdings kommen auf CIOs bei der Virtualisierung von Hardware und Software zusätzliche Sicherheitsanforderungen zu. Da sich virtuelle Maschinen nahezu beliebig generieren und wieder abmelden lassen, ist es für die IT-Organisation oft schwierig, den Überblick über alle Maschinen im Unternehmensnetzwerk zu behalten. Wird das Netzwerk durch Malware infiziert, ist häufig unklar, wie dieses Problem zu lösen ist.
3. Cloud Computing
Auch der Bezug von Software, IT-Services und Rechenleistung aus der Wolke birgt jede Menge Sicherheitsrisiken mit sich. Oft werden interne Sicherheits- und Datenschutzregeln missachtet. Zudem sind diese häufig veraltet und genügen den aktuellen Anforderungen nicht mehr. Lagert ein Cloud-Provider spezielle Aufgaben wiederum an Dritte aus und gibt es hier potenziell unsichere Verbindungen, sinkt das Sicherheitsniveau drastisch. Wenn Aufgaben an mehrere Cloud-Provider vergeben werden, kann es im schlimmsten Fall zu einem "Class Break", dem Versagen von Mechanismen, die Storage, Memory und Routing voneinander trennen, kommen. Das öffnet Datendieben Tür und Tor.
4. Big Data
Firmen horten immer mehr unstrukturierte Daten aus sozialen Netzwerken oder Blogs. Die riesigen Datenmengen werten sie mit komplexen Algorithmen und Predictive-Analytics-Anwendungen aus, um das Kundenverhalten oder wirtschaftliche Entwicklungen voraussagen zu können. Bei Abfragen müssen Hardware und Software dynamisch und sehr schnell reagieren, was hohe Anforderungen an die Ausfallsicherheit stellt. Häufig werden die "Big Data" auch zentral in einem Daten-Pool zusammengeführt. Gelingt Hackern durch das Einschleusen von Malware der Zugriff auf die Big Data, ist dies vergleichbar mit einem Hauptgewinn im Lotto.
5. Collaboration
Die zunehmende kommerzielle Nutzung sozialer Netzwerke und anderer Collaboration-Kanäle multipliziert Sicherheitsrisiken, die den öffentlichen Foren ohnehin schon inhärent sind. Einige Organisationen, die dadurch Opfer von Datenklau oder Industriespionage geworden sind, haben ihren Mitarbeitern verboten, kollaborative Netzwerke zu nutzen.
Viele Unternehmen, die mindestens eine der oben genannten Technologien einsetzen, sind laut MacWillson nicht ausreichend darauf vorbereitet, ihre IT-Infrastrukturen und Daten vor Angriffen zu schützen. Sie halten deshalb strikt formale gesetzliche Regelungen zur IT-Sicherheit ein, um wenigstens Compliance-konform zu sein.
Doch ein solch statischer Sicherheitsansatz führt in die Irre. Er hält Firmen davon ab, flexibel und schnell auf Marktveränderungen zu reagieren.
Zudem herrscht in der IT oft eine Bunkermentalität. Aufwendig gestaltete IT-Systeme und -Architekturen werden hinter einer Firewall eingesperrt. Dieser rigide Ansatz funktioniert in Internet- und Cloud-basierten Umgebungen nicht, denn Anwender wie auch Daten befinden sich außerhalb der "Festungsmauern". Die richtige Balance schaffen CIOs mit einem Risikobewusstsein für Cyber-Attacken, Virtual-Security-Konzepten, kontextsensitiven Kontrollen und einem datenzentrierten Sicherheitsmodell. Die genannten Aspekte müssen dabei laufend in Einklang mit den geschäftlichen Erfordernissen gebracht werden. (hal)