Wie gelingt sicheres Cloud Computing im Zeitalter der digitalen Transformation? Sorgt die Corona-Krise für eine nachhaltige Veränderung bei der IT-Architektur? Dazu haben wir sieben Cloud- und Security Experten im Video-Expert-Talk befragt. [...]
Es ist Fakt: Cloud Computing wächst so stark wie nie. So heißt es im aktuellen Cloud Monitor, veröffentlicht von bitkom und KPMG in Deutschland. Die Cloud-Technologie hat auch durch die Corona-Krise einen enormen Boost und völlig neue Dimension erfahren, urteilen die Experten. Zwar ist die Public Cloud nach den Ergebnissen des Cloud Monitors noch nicht so weit verbreitet wie die Private Cloud, aber die Public-Cloud-Anwender sind größtenteils zufrieden. Acht von zehn (80 Prozent) sehen dadurch eine schnellere Skalierbarkeit ihrer IT-Leistungen. Drei Viertel (76 Prozent) bestätigen eine Verbesserung beim ortsunabhängigen Zugriff auf ihre IT. Für mehr als die Hälfte (54 Prozent) hat die Public Cloud die eigene Datensicherheit verbessert. Jeder fünfte Anwender (18 Prozent) gibt an, dass durch die Public Cloud die IT-Kosten abgenommen haben. Der IT-Verwaltungsaufwand ist für gut ein Drittel (37 Prozent) geringer geworden, für ebenso viele hat der Aufwand durch die Public Cloud aber auch zugenommen (36 Prozent).
All jene Unternehmen, die noch keine Public-Cloud-Lösungen einsetzen, haben Security-Bedenken. Fast drei Viertel fürchten einen unberechtigten Zugriff auf sensible Unternehmensdaten. Zwei Drittel (64 Prozent) haben Angst vor Datenverlusten, jeder zweite Nichtnutzer (51 Prozent) vermutet eine unklare Rechtslage. Immerhin 43 Prozent haben Zweifel an der Integrationsfähigkeit der Public-Cloud-Lösungen mit der internen IT.
Eines ist klar: Das Thema Sicherheit sollte beim Cloud-Einsatz in allen Prozessschritten zentraler Bestandteil sein. Bedenklich ist: Vier von zehn Unternehmen (!), die Cloud Computing einsetzen, planen oder diskutieren, haben keinerlei Sicherheitsanforderungen oder Maßnahmen definiert. Dabei sollten gewünschte Schutzvorkehrungen so früh wie möglich an die Cloud-Provider kommuniziert werden.
IT-Security ist nach wie vor paradoxerweise pro und contra Argument beim Public-Cloud -Einsatz. Dabei ist die Public Cloud, wie auch im Cloud Monitor klar herauskommt, laut Aussagen der Befragten weniger anfällig für Sicherheitsvorfälle als die eigene IT im Unternehmen. Zwar gibt gut ein Viertel (26 Prozent) der Public-Cloud-Nutzer an, dass es in den letzten 12 Monaten zu Sicherheitsvorfällen in den von ihnen genutzten Cloud-Lösungen gekommen ist. Für weitere 27 Prozent bestand ein solcher Verdacht. Aber zum Vergleich: Von Sicherheitsvorfällen in der unternehmensinternen IT berichtet über ein Drittel (37 Prozent) der Unternehmen, ein weiteres Drittel (32 Prozent) hegte solch einen Verdacht.
Corona-Krise: Cloud neu gedacht
Corona hat vieles verändert. Gerade durch Homeoffice erhalten die Themen Daten-Verfügbarkeit und IT-Security, aber auch Workload in und aus der Cloud eine völlig neue Dimension. Wie können IT-Security-Bedenken ausgeräumt werden und wie ist nun sicherees Cloud Computing möglich?
„Wir bei Fortinet nutzen seit längerer Zeit fast ausschließlich Applikationen die zu hundert Prozent cloudfähig sind. Wir sind daher als Team sehr wenig von der Corona-Krise betroffen, exklusive der fehlenden persönlichen Interaktion. Wir versuchen, beim Kunden aktuell die Sensibilisierung zu erreichen. Egal ob Cloud, On-Premise oder Hybrid – der Sicherheits-Aspekt muss immer der gleiche sein. Und für unsere Kunden aus den IT-Operations: es muss ein harmonisierter Übergang sein, es muss automatisiert funktionieren, und der User sollte gar nicht merken ober er jetzt eine Cloud- oder on-Premise- Applikation verwendet. Parallel raten wir allen Unternehmen zu laufenden Awareness-Schulungen der Mitarbeiterinnen und Mitarbeiter und das auch in die Compliance zu integrieren, damit auch die User sehr bewusst wissen, wie sie mit den Daten und Applikationen umgehen“, sagtt Karl Freundsberger, Country Manager bei Fortinet in Österreich.
Verständnis für Security-Sorgen
„Es gibt durchaus Grund, Security- Bedenken zu haben, was die Zugangskontrollen und Datenintegrität angeht“, versteht Klaus Gheri, General Manager für den Netzwerk-Security-Bereich beim US-Anbieter Barracuda – die Zentrale dafür inklusive der Entwicklung ist übrigens an den österreichischen Standorten in Innsbruck und Wien angesiedelt – die Bedenken der Unternehmen. „Aber die Cloud bietet mehr Infrastruktur-Absicherung als man selbst in seinem eigenen Wirkungsbereich erreichen kann. Bei den Applikationen, die in die Cloud geparkt werden, ist es schon so, dass die Cloud-Provider sagen, das liegt im Verantwortungsbereich der Anwender, die selbst darauf schauen müssen. Da gibt es noch viele Fragezeichen. Und flankierend kommt dazu, dass ganz neue Konstrukte entstehen, Serverless Computing und API Gateways, wo es einige dunkle Flecken in punkto Security gibt, die adressiert werden müssen.“
Mario Zimmermann, Country Manager von VEEAM in Österreich, geht ebenfalls ganz konkret auf die Corona-Krise ein: „Die aktuelle Situation treibt die Digitalisierung in Unternehmen an. In den letzten Wochen waren unsere Partner intensiv mit der Frage beschäftigt, wie sie Systeme verfügbar machen können und wie man auf sie zugreifen kann, Stichwort Home-Office: Enduser-Zugänge, SW-Zugänge, Citrix-Zugänge. In dieser Notsituation wurden Überlegungen zu Datenschutz, Daten-Erfassung und dem Zugriff auf mobile Daten ein wenig hintangestellt, aber beim Thema durchgängige Datenverfügbarkeit stellt sich immer die Frage: Was tut man, wenn etwas schiefläuft und wie kommt man rasch wieder auf den Status davor zurück?“
Verfügbarkeit im Homeoffice
„Das größte Thema im Moment ist tatsächlich die Verfügbarkeit“, schließt Dominic Sabaditsch, Head of Cloud bei Ingram Micro, an. Da gehe es jetzt ganz klar um das Thema, wie man im Homeoffice remote gut zusammenarbeiten kann. Sabaditsch: „Bei Collaboration sehen wir einen enormen Zuwachs – Projekte gehen jetzt auf einmal ganz schnell von statten.“ Sabaditsch geht auch auf die Ergebnisse des Cloud Monitors ein: „Wenn ich mir 95 Prozent der lokalen Datacenter und Rechner-Räume ansehe, dann behaupte ich: jede Public Cloud bietet ein höheres Security-Level. Wenn man sich anschaut, wie viele IT-Security-Mitarbeiter etwa bei einer Microsoft sitzen, die tagtäglich daran arbeiten, die Sicherheitssituation zu verbessern – das kann sich kein österreichisches KMU leisten.“ Sabaditsch kritisiert das mangelnde Backup-Bewusstsein der heimischen KMU: „Eines der größten Themen, die bei Österreichs Unternehmen brach liegen, ist das Thema Backup. Eines steht fest: Jedes File ist in der Cloud sicherer aufgehoben als am USB Stick.“
Daniel Tiefenbacher, Systems Engineering Manager bei NetApp, stellt fest, dass vor allem KMUs durch die Krise stark gefordert waren und schnell reagieren mussten: „Die Themen Datenmanagement und Cloud erreichten durch die riesige Nachfrage nach Homeoffice eine neue Dimension. Remote Arbeitsplätze sind ja aktuell allgegenwärtig. Das ist für viele Unternehmen und IT-Abteilungen eine riesige Herausforderung, von heute auf morgen eine virtuelle Desktop-Infrastruktur einfach so bereitzustellen. Wir als NetApp unterstützen unsere Kunden, wobei wir die Daten der Unternehmen und virtuelle Desktops, die bereits vorhanden sind, mit unseren Data Migration Services in die Public Cloud replizieren und verschlüsselt speichern. Anschließend kann der Kunde seine Daten managen und IT-Services aus der Cloud nutzen. Und hier kommt der aktuelle große Mehrwert von Cloud Computing: Ich kann jetzt sehr rasch von zehn auf hundert Arbeitsplätze in der Cloud skalieren. Und wenn es keine Notwendigkeit mehr gibt, repliziere ich die Daten in die Private Cloud und lösche die Umgebung in der Public Cloud. Diese Flexibiliät ermöglichen wir unseren Kunden durch die NetApp Data Fabric – einheitliches und sicheres Data Management in einer hybriden Cloud.“
Werner Thalmeier, Leiter technischer Vertrieb bei Proofpoint, nennt drei Themen, die zu beachten sind: Infrastruktur, die Daten(konsistenz) und die Anwendungen und die Anwender selbst. Gerade auf das letzte Thema, den Menschen, dürfe bei aller Technologie-Diskussion nicht vergessen werden, warnt Thalmeier: „Die Zahl der Angriffe hinsichtlich COVID-19 auf einzelne User ist exponentiell. Die Angreifer nutzen aus, dass die Anwender verunsichert sind. Was dabei ganz wichtig ist, ist das Training der Anwender. Und von der Infrastrukturseite muss sichergestellt werden, dass der Account nicht kompromittiert wird. Die IT-Security hat da eine große Aufgabe – von Null auf hundert.“
Cloud ist kein Allheilmittel
Thomas Masicek, Head der Unit Cyber Security bei T-Systems in Österreich und der Schweiz: „Man hat deutlich an Corona gesehen, dass es einen ganz unterschiedlichen Reifegrad bei den einzelnen Unternehmen gibt. Es gibt welche, die wurden am falschen Fuß erwischt, die mussten über Nacht plötzlich in eine ganz neue Situation wechseln. Da wurden Stand-PCs nach Hause verfrachtet. Dann gab es Kunden, die im Rahmen einer Business Continuity schon vorgesorgt hatten, die waren auf mobiles Arbeiten ausgerichtet, da gab es Laptops und Smartphones für alle Mitarbeiter, da war der Übergang relativ einfach, betreff der technischen Bereitstellung der Infrastruktur.“ Masicek stellt ganz allgemein fest: „Cloud löst generell die Probleme der internen IT nur zum Teil. Wenn ich meine eigenen Hausaufgaben nicht ordentlich gemacht habe – sprich meine Prozesse sauber geregelt, die Berechtigungen sauber definiert und die Schnittstellen klar spezifisiert habe – und ein Service in die Cloud schiebe, kann ich nicht erwarten, dass dadurch automatisch alles besser wird. Natürlich sind die die Plattformen der professionellen Cloud Anbieter immer sicherer als die eigene Infrastruktur zu Hause. Aber passieren kann immer etwas, z. B. beim Gebrauch von Videokonferenzen wie etwa Zoom“, schildert Masicek. Beim US-Anbieter Zoom soll es im April wieder massive Sicherheitsmängel gegeben haben. Heise berichtete etwa, dass Zugangsdaten für hunderttausende Zoom-Accounts zum Kauf im Darknet entdeckt worden waren.
„Wenn Plattformen in der Cloud sind und ein jeder zugreifen kann, erhält das Thema Datensicherheit eine neue Dimension. Auch wenn es um banale Dinge wie eine Communication Plattform oder eine Plattform zum Verwalten von Daten geht, sollte man folgende Fragen bedenken: Wie erfolgt das das Usermanagement? Wie authentifizieren sich die Mitarbeiter? Gibt es eine Single-Sign-On-Funktionalität?“ Masicek fasst zusammen: „Cloud ist ein wichtiger Bestandteil einer IT-Infrastruktur, aber wichtig ist ein gesamtheitlicher Ansatz: was schiebe ich in die Cloud und was brauche ich aber aufgrund der Verfügbarkeit lokal.“ Er rät davon ab, Business-kritische Applikationen mit einer direkten Auswirkung auf die Produktion ohne vorheriger Risikobewertung in die Cloud zu schieben: „Die theoretische Verfügbarkeit der Cloud-Anbieter, wie auch bei uns, liegt bei 99,99 Prozent – aber dazwischen liegt das Internet. Und spätestens seit Corona sieht man, dass die Leitungsnetze bei einigen Anbietern doch an die Grenzen stoßen“, warnt Masicek – und damit wären dann Businesskritische Systeme plötzlich nicht verfügbar. „Wichtig ist, dass die Spielregeln, Grundrahmenbedingungen und Prozesse hingehend Cloud sauber aufgesetzt werden“, empfiehlt der Cybersecurity-Experte.
Cloud-Studie von Barracuda
Klaus Gheri sieht es ähnlich und führt zudem eine aktuelle Studie an, die von Barracuda Networks beauftragt wurde. Ende 2019 wurden dabei 750 Unternehmen weltweit befragt. Demnach betreiben Unternehmen durchschnittlich 45 Prozent ihrer IT-Infrastruktur in der Public Cloud, IT-Verantwortliche erwarten jedoch, dass diese Zahl in den nächsten fünf Jahren auf 76 Prozent ansteigen wird. Zugleich geben 70 Prozent (!) der Befragten an, dass Sicherheitsbedenken (die Sicherheit der Public-Cloud-Infrastruktur, die Auswirkungen von Cyber-Angriffen sowie die Sicherheit von Applikationen, die in der Public Cloud bereitgestellt werden) die Einführung der Public Cloud in ihrer Organisation einschränken. 75 Prozent der Unternehmen sind bereits Ziel eines Cyber-Angriffs gewesen, wird angegeben.
Sichere Hybrid-Cloud-Szenarien
Für die IT-Abteilungen gehe es auch um eine sichere Integration bzw. ein sicheres Management von Public Cloud, Private Cloud und lokaler IT-Enterprise Umgebung. „Corona hat durch die Homeoffice-Situation die Security-Thematik noch verschärft. Wir sehen einen riesigen Anstieg der Support-Anfragen, gerade was den Remote-Access angeht, denn auf einmal muss auch die Buchhaltung nach Hause. Das Erreichbarkeits- und Verfügbarkeitsthema hat sich jetzt auf den einzelnen Anwender verteilt“, betont Klaus Gheri. „Parallel dazu geht es um die Sicherheitssysteme, die man im Unternehmensnetzwerk hat, die verhindern, dass unerwünschte Verbindungen nach außen passieren. Da müssen die Unternehmen jetzt auf Heimarbeitsplätze replizieren – da gibt es ganz, ganz viele Schmerzen. Stichwort IoT: Das ist ein großes Feld, wo wir Systeme haben, die Unternehmen im Zuge ihrer digitalen Transformation unterstützen, z.B. ihre Servicekonzepte zu digitalisieren, etwa wenn Maschinen remote angebunden sind, damit auch die sichere Remote-Wartung möglich ist“, weist Gheri darauf hin, dass auch beim großen Thema IoT unbedingt und von Anfang an auf IT-Security geachtet werden muss.
„Ungeachtet von Corona, merken wir bei vielen Kunden, die die Cloudifizierung angehen: Je besser der Kunde seinen Weg in die Cloud langfristig plant – mit dem Wissen, dass der Kostenaspekt nicht im Vordergrund stehen sollte – desto besser. Es gilt, Prozesse und Awareness bei den Mitarbeitern aufzubauen und intern neue Ressourcen aufzubauen. Der Umgang mit Cloud-Systemen und Cloud-Applikationen braucht eine interne IT, die mit einem anderen Wissen unterstützt“, weist Karl Freundsberger auf die Anforderungen hin. Die Corona-Situation hat da vieles auch in Gang gebracht: „Es wird nach der Krise deutlich mehr an Umdenken geben, im Hinblick auf neue Cloud-Szenarien“, ist sich Freundsberger sicher. Das bestätigt auch Mario Zimmermann: „COVID ist ein Enabler der Digitalisierung, wobei die Herausforderungen bei den Kunden unterschiedlich sind. Unternehmen, die österreichweit oder international aufgestellt sind, hatten weniger Schwierigkeiten z. B. bei IT-Systemumstellungen eines Innendienst-Mitarbeiters auf einen Homeoffice-Mitarbeiter. Unternehmen mit geringem Digitalisierungsgrad allerdings wurden von der Corona-Krise stärker herausgefordert. Cloud-Lösungen sind aber auch abseits der aktuellen Situation ein klarer Trend. In Gesprächen mit unseren Kunden geht es mittlerweile nicht mehr um die Frage Cloud – ja oder nein – sondern vorrangig um die Schnittstellen-Thematik.“
Cloud und Security ist auch eine Frage des sicheren Zugangs, aber wie gelingt es, sicheres Homeoffice zu ermöglichen? „Es ist grundsätzlich nicht mehr zu tun, als wenn die Mitarbeiter im Unternehmen sitzen. Man muss die gleichen Sicherheits-Richtlinien, dieselben Sicherheitsmaßnahmen, die im Netzwerk zentrale Komponenten wie Firewalls und Gateways übernehmen, auf den Endpoint hinausbringen. Wichtig ist ein definiertes Sicherheits-Level, das man auf allen Komponenten erzwingen kann. Damit man Anomalien mitbekommt, die auf Endgeräten auftreten. Und etwa zu schauen, welche Daten müssen zwingend über ein VPN laufen. Wenn man Split-Tunneling betreibt, sollte man überlegen, was man mit dem restlichen Datenverkehr macht“, rät Thomas Masicek.
Keine Behinderung durch IT-Security
Daniel Tiefenbacher geht mehr auf den User ein: „Security Maßnahmen sind in der heutigen Zeit wichtiger denn je – völlig unabhängig von Cloud-Computing. IT-Security sollte für den Enduser völlig transparent dargestellt werden. Wenn der User durch IT-Security-Maßnahmen am Arbeiten gehindert wird, wird er einen Weg finden, diese zu umgehen. Für die IT gilt es, die richtige Balance zwischen Produktivität und IT Sicherheit zu gewährleisten.“
Klaus Gheri schildert aus den eigenen aktuellen Erfahrungen: „Wir hatten die letzten zwei Wochen auf Hochtouren genau damit zu tun. Ein Punkt ist ein Kapazitätsengpass. Der Hardware-Tausch im eigenen RZ ist eher unrealistisch für viele, da sind virtuelle Lösungen sicher besser. Die einfachste Lösung ist, in der Cloud einen Rendezvous-Punkt hochzufahren. Das geht ökonomisch auf Zeitbasis. Die VPN-Clients auszurollen ist sicher ein zentrales Thema, da gibt es einfache Möglichkeiten, wie man das tun kann. Das heißt, die gute Nachricht ist: Es gibt Hilfe, und es gibt sie sogar über den Cloud Usecase – auch wenn man sonst gar nichts in der Cloud macht.“
Auf die Mitarbeiter nicht vergessen
Karl Freundsberger geht auf den „menschlichen Faktor“ ein: „Die großen seriösen Cloud-Anbieter haben alle große Security-Mannschaften und bieten alle zusätzlich Produkte von Security-Anbietern wie Fortinet an. Da wollen wir unseren Kunden die Angst nehmen, dass die Cloud per se unsicherer ist. Es geht darum, wie das Unternehmen und die Mitarbeiter mit den Daten umgehen. Wichtig ist es, die Awareness bei den Mitarbeitern zu schaffen, die Cloud Applikationen richtig zu nutzen.“
Mario Zimmermann schätzt neben den technologischen und Security-Aspekten auch die soziale Dimension im Moment als ganz wichtig ein: „Bei uns bei VEEAM ist es so, dass wir im Team in Österreich zu zehnt remote zusammenarbeiten. Wir sind daran gewöhnt, aber in vielen Unternehmen sind es die Mitarbeiter jetzt nicht. Das Wichtigste ist daher im Moment, die Collaboration und den sicheren Zugang dazu aufrechtzuerhalten – damit die Leute nicht vereinsamen.“
Wie steht es nun mit dem Security-Bewusstsein auf Vorstands-Ebene? Hier bringt Klaus Gheri einerseits seine persönliche Perspektive, als auch die der Kunden mit ein: „Wir haben unseren Gesamtbetrieb, alle 200 Leute in Österreich, ins Homeoffice verlagert, das hat gut funktioniert. Wir sind Security-Hersteller und Security wird bei uns daher sehr ernst genommen. Es gibt dazu jetzt einen täglichen Call, mit allen 30 Standortleitern weltweit. Die zweite Perspektive betrifft unsere Kunden: Viele sind schon komplett auf Kurzarbeit umgestellt – und IT-Security ist da leider auf der Vorstandsebene nicht im Fokus, sondern die ökonomische Überlebensfähigkeit.“
Dem widerspricht Werner Thalmeier ein wenig: „IT-Security ist sehr wohl auf der Vorstandsagenda, aber der erste Schritt ist natürlich Business Continuity.“ Und generell wird ein Umdenken stattfinden, meint Thalmeier: „Der klassische Ansatz mit einem zentralen VPN-Tunnel auf einer zentralen Instanz wird sich überleben. Es wird in Zukunft eine Mesh-Struktur geben und eine IT-Infrastruktur, wo es unerheblich ist, ob der Anwender zu Hause, im Büro oder unterwegs arbeitet – der User wird die gleichen Zugriffsmechanismen nutzen müssen.“
Business Continuity jetzt im Fokus
Auch Dominic Sabaditsch sieht es ähnlich wie Klaus Gheri: „In Bezug auf Business-Continuity ist IT-Security jetzt natürlich zweit- und drittrangig.“ Er stellt Österreichs Unternehmen ein Nachzügler-Zeugnis aus: „Leider sind wir in Österreich in der Digitalisierungs-Adoption im Vergleich zu anderen europäischen Ländern sehr weit hinten. Das macht sich jetzt auch stark bemerkbar. Das Shadow-IT-Thema kocht jetzt natürlich extrem auf, das löst nicht nur Security-Bedenken sondern auch rechtliche Risiken aus, Stichwort DSGVO.“ Sabaditsch fasst zusammen: „Für viele Unternehmen ist es jetzt wichtig, die ersten Schritte in die Digitalisierung zu machen, da sind Cloud-Lösungen sehr gut geeignet. Gezielte SaaS-Lösungen sind auch durchaus Pain-Killer. Der nächste logische Schritt muss es sein, auf den Security -Zug aufzuspringen, und sich Partner an die Hand zu nehmen, die dabei unterstützen.“
Mario Zimmermann ergänzt: „IT ist ja nicht das Kerngeschäft von Unternehmen, sondern rangiert im Bewusstsein der Unternehmensführung primär als Kostenstelle. Was aber stimmt ist, dass die Awareness zunimmt. Einer unserer Gründer hat schon 2013 gesagt, dass jedes Unternehmen zu einem SW-Unternehmen wird. Damit hat er gemeint, dass IT immer wichtiger wird. Das sehen wir jetzt ganz deutlich: Sind Unternehmen nicht digital aufgestellt, haben sie große Schwierigkeiten, ihre Services an den Kunden zu bringen.“ Noch eine Botschaft hat Zimmermann: „Noch vor drei Jahren war vielen Leuten gar nicht bewusst, dass sie mit Office365 ein Cloud-Service nutzen.“ Sein Rat: „Egal ob die Daten On-Prem oder in der Cloud liegen, ein Backup sollte man überall machen.“
Mangelnde IT-Security-Awareness
Thomas Masicek stellt klar: „Auf Vorstandsebene ist die Awareness meist erst dann da, wenn etwas passiert ist. Dann werden Budgets freigeben, dann wird das Thema IT-Security ernst genommen. Viel besser wäre es, wenn man das Thema Sicherheit ganzheitlich und vorweg betrachtet. Es geht darum, die entsprechenden Standards zu definieren, und diese so zu implementieren, dass sie nicht behindern, sondern absichern.“ Der T-Systems-Experte warnt auch vor einer Schatten-IT: „Viele nutzen die Cloud, um ihre Kosten zu sparen und die interne IT-Abteilungen zu reduzieren. Fachabteilungen beauftragen einzelne Cloud-Lösungen. Dann haben wir die genaue selbe Fragmentierung der IT wie intern im Unternehmen. Und damit besteht genauso ein hohes Risiko wie bisher, wo ein Server im Unternehmen unter dem Tisch stand.“ Und noch eines: „Wir haben als Deutsche Telekom knapp 90.000 Mitarbeiter im Homeoffice und es gibt sehr viele Phishing-Attacken“, warnt Masicek. „Da braucht es eine starke Endpoint-Absicherung, sonst verbreiten sich die Angriffe auf die gesamte IT-Infrastruktur.“
Vor massiver Angriffswelle schützen
Klaus Gheri stimmt zu: „Die Aufmerksamkeit steigt definitiv mit dem Schadensvolumen.“ Er rät zu Schutzmaßnahmen: „Gerade für Office365 gibt es übrigens bereits sehr gute E-Mail-Security-Tools. Hier gibt es im Moment zwei große Gefahren: getürkte E-Mails und die Account-Übernahme.“
Karl Freundsberger gibt einen Tipp: Wir sehen, dass die CISO-Rolle bei großen Unternehmen deutlich stärker wird. Für KMUs bieten einige Beratungsunternehmen CISO as a Service bzw. generell Beratungs-Dienstleistungen zu diesem Thema an.“
Werner Thalmeier bringt Zahlen ein: „Mit Corona sehen wir einen Quantensprung bei den Cyber-Angriffen. Aber schon vor Corona betrug der Schaden 26 Mrd. Dollar und es gab 166.000 Angriffe weltweit. Fast alle dieser Attacken sind Social-Engineering-Angriffe. Sie sind heute sehr intelligent und professionell gemacht. Da braucht es Schutz-Technologien und Awareness bei den Anwendern.“
Sicheres Hybrid-Cloud-Szenario
Dominic Sabaditsch steuert zurück zum eigentlichen Thema: „Malware-Angriffe sind jetzt kein Cloud-Phänomen. Wenn es um IT-Security und Cloud geht, müssen sich die meisten Unternehmen jetzt einfach ein sicheres Hybrid-Szenario überlegen. Man kann da kein Patentrezept geben, aber es gibt wirklich sehr gute Berater dazu. Also bitte nicht selbst das Rad erfinden, sondern es ist gut investiertes Geld, da einen erfahrenen Experten zu Rate zu ziehen.“
Mario Zimmermann hat einen pragmatischen Zugang zum Security-Thema: „Ich bin davon überzeugt, dass kein System sicher ist. Es ist nicht die Frage, ob, sondern wann es ein Angreifer schafft, in ein System einzudringen. Für den Unternehmen bedeutet das: Wie schnell komme ich wieder in die Produktivität zurück. Backup und Restore sind da wichtige Maßnahmen. Ich vergleiche das gern mit dem Thema Versicherung: Jeder Mensch hat die eine oder andere Versicherung und wenn etwas passiert, möchte man auf diese zurückgreifen.“
IT-Security von Anfang an
Vorsorge und interne Expertise zu erreichen sei aber nicht ganz einfach, gerade für KMU, meint Thomas Masicek: „Leider ist der Markt an IT-Security-Experten in Österreich ziemlich leergefegt. Experten sind auch nicht günstig. Außerdem haben KMUs meist nicht einmal eine interne IT-Abteilung. Da sind SW-Anbieter gefordert, Lösungen anzubieten, die auch für KMU einsetzbar sind. Diese Werkzeuge müssen daher autark IT-Security mitbringen. Das heißt, der Trend geht auch klar in Richtung Standardisierung.“
Daniel Tiefenbacher nennt eine wichtige Voraussetzung beim Weg in die Cloud: „Meine Erfahrung zeigt mir: Kein Cloud-Projekt ohne Security-Fachabteilung im Unternehmen oder externen Security-Berater. Wir sehen bei allen unseren Cloud-Projekten, dass ein solides und durchdachtes Security-Konzept und die Zusammenarbeit mit Security-Experten über Erfolg oder Misserfolg des jeweiligen Cloud-Projekts entscheidet. Zusätzlich müssen sich Kunden intensiver mit ihren Daten und deren Inhalte beschäftigen und diese klassifizieren. Daten werden nicht mehr an einem Ort gespeichert. Sie befinden sich in unterschiedlichen Systemen und in unterschiedlichen Clouds. Nur wenige wissen, welche Daten wo gespeichert werden und welche Informationen sich in den Daten befinden. Erschwerend kommt hinzu, dass Daten laufend kopiert oder verschoben werden. Dafür hat NetApp ein auf künstliche Intelligenz basierendes Cloud-Service entwickelt. Mit NetApp Cloud Insight und Cloud Compliance können unsere Kunden einen Bericht erstellen, um herausfinden, welche Daten in der Cloud vorhanden sind und ob die Datenschutzbestimmungen ihres Unternehmens eingehalten werden.“
Karl Freundsberger meint abschließend: „Die Investitionen im Bereich Cloud & Security werden definitiv mehr werden, aus unterschiedlichen Aspekten. Verfügbarkeit und Kosteneinsparung sind Treiber. Bei Fortinet ist uns die eigene Security-Awareness ganz wichtig. Wir müssen alle drei bis sechs Monate ein Security-Training machen, wir werden auch laufend selbst getestet, etwa mit dem klassischen CEO Fraud. Da sehe ich auch bei Großunternehmen den CISO in der Verantwortung, sich IT-Security nicht nur technologisch anzusehen, sondern auch Compliance und Prozess-Themen zu beachten. Eines ist klar. Die Angreifer sind keine kleinen Hacker, sondern das ist eine gut organisierte Industrie. Das Ziel dieser Profis sind die Mitarbeiter. Deswegen ist die Security-Awareness so wichtig und Mitarbeiter müssen laufend geschult werden.“
Die Teilnehmer (alphabetisch)
- Karl Freundsberger, Country Manager Österreich, Fortinet
- Klaus Gheri, VP & GM Network Security bei Barracuda Networks
- Thomas Masicek, Head of Portfolio Unit Cyber Security, T-Systems Austria & Switzerland
- Dominic Sabaditsch, Head of Cloud, Ingram Micro
- Werner Thalmeier, VP EMEA Systems Engineering and Technical Sales, Proofpoint
- Daniel Tiefenbacher, Manager Systems Engineering, NetApp Austria
- Mario Zimmermann, Country Manager, VEEAM
Be the first to comment