Cloud-Security ist kein Ziel, das man erreichen kann, sondern ein Prozess. Eine der Erkenntnisse der Expertenrunde war, dass der Start in eine sicherere Zukunft ressourcenschonender ist, als oft gedacht. Und: Externe Unterstützung ist im Zeitalter des Fachkräftemangels und des schnell wachsenden Knowhows alternativlos. [...]
Ende August fand in den Räumlichkeiten von Fortinet am Wienerberg ein spannender Experten-Roundtable zum Thema Cloud-Security statt. Was die aktuellen Bedrohungen betrifft, so sieht Markus Hirsch, Manager System Engineering Austria bei Fortinet und Gastgeber der Expertenrunde, zwei wesentliche Stoßrichtungen: „Die eine sind sehr gezielte Angriffe auf eher größere Unternehmen, bei denen es aus Angreifersicht Sinn macht, mehr Ressourcen zu investieren, weil der erwartete Ertrag höher ist. Weiters gibt es die ›Spray and Pray‹-Angriffe, also die breit gestreuten Attacken, die nicht zielgerichtet und meist auch fehlerhaft sind. Die Angreifer machen sich nicht einmal Gedanken darüber, ob der Firmenname überhaupt richtig geschrieben ist. Wenn ein Viertel Promille klickt, dann lohnt es sich schon.“
Mario Friedl, Geschäftsführer der MIT-Security, die vor allem kleine und mittelständische Unternehmen betreut, bestätigt, dass sich die organisierte Kriminalität großteils in die Cloud verlagert und ihre Hausaufgaben sehr gut gemeistert hat. „Das sieht man unter anderem an der starken Zunahme erfolgreicher Angriffe. Größere Vorfälle werden medial öfters kommuniziert, von den vielen kleinen und mittelständischen Unternehmen, die Tag für Tag attackiert werden und teils erheblichen Schaden erleiden – es reicht bis zur Unterbrechung der Betriebstätigkeit – hört man nur sehr wenig.“ Wolfgang Zuser sieht in seiner Doppelrolle als Projektmanager von (Cloud) Infrastruktur und Security Projekten bei Antares sowie Produktmanager einer Protokollierungslösung bei iQSol ein deutliches Spannungsfeld: „Und zwar zwischen der Infrastruktur, die bestimmte Funktionalitäten gewährleisten muss, und der Security, die dafür sorgt, alles sicher zu machen, was einen unmittelbaren Impact auf die Funktionalität hat, indem sie diese speziell für den Anwender unbequemer macht. Die Abwägung zwischen Funktionalität und Sicherheit wird mit der Cloud nicht einfacher. Die Frage lautet unter anderem: Worauf muss ich verzichten, um sicher zu bleiben?“
Betroffen sind nicht nur Unternehmen jeder Größe, sondern auch jedes Wirtschaftsbereichs. Frederic Hadjari, Manager IT-Cluster der oberösterreichischen Standortagentur Business Upper Austria, in dem aktuell 191 Partner vertreten sind: „Wir sehen die digitale Transformation branchenübergreifend. Sie betrifft Unternehmen von der Industrie bis zur Lebensmittelbranche. Die Betriebe haben Sorgen, was den Umgang mit den Daten betrifft, oder wenn es um die Sicherheit des Unternehmens selbst geht. Da setzen wir als IT-Cluster an und arbeiten mit unseren Experten und Expertinnen zusammen. Wir haben in unserem Netzwerk rund 40 Unternehmen, die sich rein mit dem Thema IT-Security beschäftigen.“
Historisch gewachsen
Markus Hirsch weist darauf hin, dass Unternehmen zu Beginn des Cloud-Zeitalters davon ausgegangen sind, dass sie mit einem einzigen Cloud-Anbieter zusammenarbeiten. „Im Laufe der Zeit haben die Abteilungen nach bestimmten Funktionen verlangt, die es nur bei einem einzigen Anbieter gibt – und schon hat das Unternehmen drei, vier Cloud-Plattformen im Portfolio, die betreut werden müssen. Hinzu kommen die Daten im eigenen Rechenzentrum. Der Regenschirm, den wir brauchen, um alles im Trockenen zu halten, wird immer größer. Und der erste Windstoß, der kommt, wird uns den Schirm aus der Hand reißen.“
Historisch gewachsen sind auch die Angriffsvektoren in Sachen Lieferkette: „Österreich ist ein Zulieferland mit vielen Second-Tier-Suppliern, speziell in der Automobilindustrie. Hacker greifen oft nicht die oberste Ebene einer Supply Chain an, sondern die Zulieferer, wo sie sich die Daten von den großen Unternehmen besorgen. Man muss also nicht nur die Großen schützen, sondern auch die Second-Tier-Supplier, wo viele KMUs zu finden sind. Das heißt: Auch diese sind gezwungen, den aktuellen Stand der Technik zu erfüllen“, sagt Frederic Hadjari.
Gegenmaßnahmen
Was die Awarness betrifft, so ist diese laut Markus Hirsch eher bei großen Unternehmen anzutreffen. „Hier wird auch auf Vorstandsebene über Security gesprochen. Wie viel Budget bei den Verantwortlichen auf den unteren Ebenen landet, ist eine ganz andere Frage. Im Mittelstand ist die Situation wohl nicht anders, die Security steht nicht an erster Stelle, was ich durchaus verstehe, weil Umsatz und Gewinn am wichtigsten sind.“
Die Experten stimmen darüber überein, dass Unternehmen sich nicht in Unkosten stürzen müssen, um den Weg auf die sichere Seite zu starten. „Es gibt sehr viele Maßnahmen, die man ergreifen kann, die nicht viel kosten oder zahlreiche Ressourcen in Anspruch nehmen“, sagt etwa Mario Friedl. „Es beginnt bei der Passworthygiene, die so gut wie nichts kostet. Dafür nutze ich einen Passwortmanager, der Browser ist definitiv keiner. Ich verschlüssele zudem separat und verlasse mich nicht ausschließlich auf die Lösung des Cloud-Providers, die er in einem Marketing-Prospekt darstellt. Das heißt, ich ergreife zusätzliche Maßnahmen. Dann patchen, patchen, patchen, also die Systeme inklusive Firewalls aktuell halten. Das kann man gar nicht oft genug wiederholen. Absolute Sicherheit wird es nie geben. Aber: Wenn ich 20 Prozent Aufwand betreibe, kann ich 80 Prozent der Gefahren abwehren – das Pareto-Prinzip.“
Wolfgang Zuser weist darauf hin, dass der Zugang zu diversen Cloud-Plattformen mittlerweile als ein sehr wertvolles Gut gesehen wird, das entsprechend zu sichern ist. „Das heißt: Multi-Faktor-Authentifizierungs-Projekte sind momentan sehr stark verbreitet.“ Und: „Bei den vielen Unternehmensprojekten, die wir begleiten, ist eines der großen Thema vor allem in der produzierenden Industrie Segmentierung, auch Mikrosegmentierung. Das Bewusstsein, dass wir unsere Netze auseinanderteilen und mit Netzübergängen versehen, damit wir kontrollieren können, wer wohin gehen darf oder nicht, ist deutlich vorhanden. Es gibt zwar Nachholbedarf, das Thema ist aber bereits angekommen.“
Frederic Hadjari bringt den Begriff Unternehmenskultur in die Diskussion ein: „Stellen sie sich vor, Sie führen ein Fußball-Team mit dem klaren Ziel, Tore zu schießen. Die Angreifer im Unternehmen sind die Abteilungen Key Account, Produktherstellung und Design. Will man im Angriff erfolgreich sein, braucht es eine starke Verteidigung. Daher darf man die IT-Sicherheit nicht vernachlässigen, sonst geht der Schuss nach hinten los. Dazu braucht es das entsprechende Budget und die Unternehmenskultur. Und dafür ist eine Mannschaft mit der passenden Defence notwendig, um den Unternehmenserfolg zu erzielen.“ Außerdem müsse man sich Zeit nehmen, so Hadjari: „Ein Schnellschuss hilft niemandem. Die Daten sind sehr schnell in der Cloud, sie hier zu managen oder das Bedrohungsbild zu verstehen, dauert viel länger. Daher ist der Zeitfaktor ein entscheidender.“
Markus Hirsch unterstreicht die Wichtigkeit des Zusammenspiels der verschiedenen Produkte, Funktionen und Hersteller im Netz des Kunden. „Wir sind natürlich überzeugt, dass dies mit möglichst vielen Produkten von Fortinet sehr gut funktioniert, wissen aber gleichzeitig, dass es nur sehr wenige Kunden gibt, die alles von einem einzigen Hersteller – egal von welchem – beziehen. Daher müssen die unterschiedlichen Elemente im Netz des Kunden sehr gut zusammenarbeiten, um auch hier möglichst viel zu automatisieren. Denn die Anzahl der Menschen, die zur Verfügung stehen, ist begrenzt.“
Für Wolfgang Zuser wäre es am besten, wenn alle Unternehmen ein umfassendes Informationssicherheitsmanagementsystem hätten und das auch nach ISO 27001 auditieren lassen würden. „Das ist zeit- und kostenintensiv, klar, aber: Es würde dazu führen, dass sich Unternehmen mit der Thematik beschäftigen. Was sind die wichtigen Themen? Welche technischen Ansätze sind zielführend? Unter Beachtung der 20-80-Regel ließen sich erste Schritte setzen. Man kommt damit auch auf den Geschmack, man sieht, dass die Maßnahmen zu etwas Positivem führen. Man sollte langsam und mit jenen Dingen beginnen, die ein positives Feedback erzeugen.“
Steigendes Knowhow
„Die Nachfrage nach Outsourcing steigt von Monat zu Monat. Diese Nachfrage zu bedienen, ist eine der großen Herausforderungen, denn das notwendige Knowhow steigt immens“, setzt Zuser fort. „Es gibt immer mehr Cloud-Anbieter. Jeder kocht zudem seine eigenes Süppchen mit eigenen Konzepten und mit unterschiedlichem Wording, um sich vom Mitbewerb zu differenzieren. Das ist gerade im IT-Security-Bereich katastrophal. Denn Sicherheit ist nichts, bei dem man sich abgrenzen soll, sondern zusammenführen muss. Und selbst wenn das Konzept gleich ist, gibt es unterschiedliche Umsetzungen. Es ist ein Horror. Wir können gar nicht so schnell weiter- und umschulen, damit das Knowhow aufrecht bleibt. Das ist ein Thema für die gesamte IT-Branche.“
„Ich kann mir als Unternehmer nicht all die Personen leisten, die alle Security- und Infrastruktur-Themen abdecken“, bestätigt auch Markus Hirsch. „So bleibt nur der Weg Outsourcing oder Managed Services – wie immer man es nennen will. Ich habe zwei linke Hände, wenn es ums Tischlern geht. Würde ich einen Sessel machen, würde meine Frau nie erlauben, dass sich jemand draufsetzt. Auf der anderen Seite versucht ein Tischler Security zu betreiben. In wie vielen Bereichen kann ein einzelner Mensch gut sein? Wir leben in einer hochspezialisierten Welt, daher müssen wir die Spezialisten und Spezialistinnen ihre Arbeit machen lassen.“
„Externe Dienstleister und Experten werden leider oft als Gefahr gesehen, weil dadurch Dinge ans Tageslicht kommen könnten, die vernachlässigt wurden“, betont Mario Friedl. „Es geht auch um die Angst, den Job zu verlieren. Man sollte den Dienstleister erst einmal als Unterstützung sehen. Auch die Geschäftsleitung muss einsehen, dass Unterstützung notwendig ist. Spätestens wenn der Schaden eingetreten ist, ist offensichtlich, wo die blinden Flecken bei den internen Mitarbeitern und Mitarbeiterinnen waren. Besser ist natürlich die Prävention. Es geht darum, zeitgerecht Experten ins Haus zu holen.“
Unterstützung gibt es auch von Verwaltungsseite. Laut Friedl ist inzwischen jedes Bundesland so aufgestellt, dass es für das Thema Cybersecurity sehr gute Förderungen gibt. „Auf Bundesebene bietet ›KMU.Digital‹ die Möglichkeit, speziell im Bereich Cybersecurity eine Potenzialanalyse durchzuführen. Die Kosten dafür sind gering und die Anträge einfach. Nach der Potenzialanalyse gibt es die Möglichkeit einer Strategieberatung. Hier ist sehr viel möglich und auch kostentechnisch interessant. Damit ist die Schwelle, sich mit dem Thema auseinanderzusetzen, sehr niedrig. Auch für die Umsetzung von Maßnahmen gibt es immer wieder sehr interessante Förderungen. Wir informieren unsere Kunden diesbezüglich und helfen auch bei der Antragstellung.“
Frederic Hadjari: „Wir haben eine Ausbildungsreihe gemeinsam mit der Johannes Kepler Universität Linz und dem Software Competence Center Hagenberg gestartet, wo sich Mitarbeiter, die Technik-affin sind und in der Security arbeiten, über die neuesten Trends informieren können – Beispiel Quantencomuputing, bei dem Security eine große Rolle spielt.“ Außerdem biete der IT-Cluster kleinen und mittelständischen Firmen den „KMU Security Quickcheck“, mit dem sich Unternehmen durch Beantwortung eines Fragenkatalogs schnell Überblick über ihre aktuelle IT-Sicherheit verschaffen können. „Der Katalog ist in Zusammenarbeit mit IT- und Security-Experten zustande gekommen. Es sind viele Fragen, für die man sich Zeit nehmen muss. Dafür erhält man Empfehlungen, auf deren Basis sich sehr gut entscheiden lässt, was man selbst tun kann, und was man Externen überlassen sollte.“
Eines ist klar: „Wir kommen um die Cloud nicht herum, wir müssen das beste daraus machen. Es braucht in jedem Projekt jemanden, der die Security nicht nur im Auge hat, sondern dem sie auch am Herzen liegt. Er oder sie muss von Anfang an dabei sein, und nicht erst gegen Schluss hinzustoßen. Security ist nicht, was man erreichen kann. Sie ist ein permanenter Prozess“, so Markus Hirsch abschließend.
Be the first to comment