Ganzheitlicher Ansatz zur
Cybersicherheit
Sicherlich haben Sie es inzwischen selbst festgestellt. Eine Cloud-Umgebung bereit zu stellen, ist gar nicht so einfach. Sie müssen einen Cloud-Provider finden, der zu Ihrem Unternehmen passt; Sie müssen Mitarbeiter in Ihrem Team haben, die die erforderlichen Fähigkeiten mitbringen. Die Reise wird aufregend, soviel ist sicher!
Apropos sicher: Ein Aspekt darf neben allem anderen aber keine Sekunde lang aus dem Sichtfeld geraten: Und zwar die Cloud-Security. In vielen Unternehmen herrscht tatsächlich immer noch der Gedanke vor, die Sicherheit der Cloud könnte mit dem vorhandenen Arsenal an Maßnahmen abgehandelt werden. Das ist ein Irrtum: Cloud-Security erfordert ganz andere Technologien, Prozesse und Richtlinien als bisher. Dieser Blog nennt vier Beispiele, die Sie bei der Implementierung Ihrer Maßnahmen unbedingt beachten sollten.
Angesichts der Meldungen über Cyber-Attacken macht sich bei vielen Unternehmen zunehmend die Erkenntnis breit, dass momentan eine Sicherheits-Lücke klafft, die zunehmend größer wird: Einerseits werden die kriminellen Elemente, die am Werk sind, in ihrem Tun immer raffinierter und damit zerstörerischer, auf der anderen Seite wächst, zum Beispiel durch die Cloud, durch individuelle Endgeräte oder Unachtsamkeit der User, die Anzahl interner Schwachstellen und angreifbarer Punkte in den Unternehmen immer schneller.
Infolgedessen erreichen die wirtschaftlichen Auswirkungen immer neue Rekordwerte: In nur vier Jahren stiegen die Verluste aufgrund von Cyberkriminalität von 500 Milliarden auf 600 Milliarden US-Dollar weltweit.
Zunehmend empfehlen Experten den Organisationen, einen ganzheitlichen Ansatz der Cyber-Security zu verfolgen. Zu sagen, dass die zunehmende Bedrohung damit auch eine gute Seite bekommt, wäre angesichts ihrer destruktiven Energie wohl übertrieben; allerdings kann man sicherlich feststellen, dass die Not erfinderisch macht und den längst überfälligen Paradigmenwechsel in Punkto Sicherheit beschleunigt – weg von einer ungeplanten Verzettelung der Ressourcen, hin zu einer ganzheitlichen, effektiven Sicherheitsstrategie, von der auch andere Bereiche profitieren.
Also: Was kann Ihr Unternehmen tun, um einen solchen Paradigmenwechsel umzusetzen? Zunächst müssen die Gefahrenbereiche eindeutig definiert werden. Vier davon kristallisieren sich aktuell klar heraus:
Das sind zunächst unternehmensinterne Initiativen aus einzelnen Fachabteilungen, die kriminellen Aktivitäten ungewollt Tür und Tor öffnen. So zum Beispiel, wenn hier die digitale Transformation vorangetrieben wird. So erfreulich dieses technologische Engagement auch sein mag, häufig sind damit komplexe Zusammenhänge in der IT, wie SaaS-Anwendungen oder neue, nicht autorisierte Geräte, verbunden. Oftmals fehlt eine unternehmensweite Abstimmung, sowohl bei der Beschaffung, wie vor allem dann auch im Bereich der Security.
Das Ergebnis: Die Verantwortung für die Cybersicherheit liegt bei den jeweiligen Abteilungsleitern, die die Standards hinsichtlich der Gefahrenabwehr oder auch Compliance gar nicht oder nicht genau kennen: Diese selbstbetriebe, interne Ad-hoc-IT schafft – wenig verwunderlich – riesige Schwachstellen; oft ohne dass diese den unternehmensweit Verantwortlichen – wie den CISO oder dem IT Security Manager - überhaupt bewusst sind. Das ist es, was „Shadow IT“ kennzeichnet: Hier wurde eine Tür geöffnet und danach leider offen gelassen.
Die Absicherung der Cloud ist ein komplexer, abstimmungsintensiver und damit zeitaufwendiger Prozess, an dem sowohl die Unternehmen, wie auch die Cloud-Provider beteiligt sein müssen, wenn ein wirklich konsistentes Sicherheitsmodel entwickelt werden soll. Wen Unternehmen ihre Cloud-Migrationsziele vorantreiben, stellen sie jedoch oftmals fest, dass sie einfach nicht über die internen Fach-Ressourcen verfügen, die sie dazu benötigen würden. Doch selbst wenn das Budget für einen FTE im Bereich Security bereit steht, bedeutet das noch lange nicht, dass HR am nächsten Tag eine Reihe von Bewerbern vorstellen kann, unter denen man sich nur den passenden Kandidaten auszusuchen braucht. Weit gefehlt! Bis 2021 wird es 3,5 Millionen unbesetzte Stellen für Cyber-Sicherheitsexperten geben. Wer macht dann eigentlich die Tür zu?
Würde die Entwicklung jeder anderen Software mit derselben Energie vorangetrieben, wie derjenigen für Crypto-Mining, hätte die Menschheit wahrscheinlich schon Rechenzentren auf dem Mars. Natürlich hinkt dieser Vergleich; es soll nur deutlich gemacht werden, mit welcher Rasanz sich ein – in diesem Falle leider – krimineller Bereich entwickelt.
Beim Crypto-Mining geht es - in diesem Zusammenhang ganz kurz zusammengefasst- darum, fremde Rechner, Mobilgeräte, Datenbanken etc. zu infizieren, um so unbemerkt vom Besitzer zu „schürfen“ (das Mining), um Gewinn mit Crypto-Währungen zu machen. Dieses "Crypto-Jacking" gehört zu den allerneusten Formen der Bedrohungen, dies sich zudem rasend schnell ausbreitet: Die Cyber Threat Alliance meldet einen Anstieg der Crypto-Jacking-Aktivitäten um 459 Prozent! Die Anwender bemerken zumeist nicht, wer sich da im System eingegraben hat und mithorcht. Bis endlich alle Daten im Unternehmen verschlüsselt sind, ist es meist zu spät und Forderungen in Crypto-Währung werden gestellt.
Malware-Cocktails: Wieder würde man von einer innovativen Wachstumsbranche reden, wenn es nicht um Kriminalität ginge. Die daran beteiligten kriminellen Elemente optimieren ihr Arsenal unter großem, erfinderischen Energieaufwand unablässig: Malware war gestern – heute werden diverse Malware-Elemente zu einem Cocktail vereint, der die betroffenen Unternehmen gleichzeitig auf mehreren Ebenen angreift. Diese Attacken auf das Unternehmens-Ökosystem sind zugleich verstohlen, hartnäckig und darauf ausgelegt, den Gewinn für die Cyberkriminellen zu maximieren, die ihre Opfer erpressen. Da werden Gespräche belauscht, Informationen an Wettbewerber verkauft oder Emails aus aktuellen Vorgängen an Buchhaltungen geschickt mit der Bitte, Geld zu überweisen. Wenn das Geld dann weg ist, zahlt die Zeche der Wirt.
Wenn Sie Ihre Daten, Ihre Geräte und Ihre Geschäftsprozesse schützen möchten, reicht es nicht, Bollwerke um diese herum zu bauen. Sich lediglich gegen Bedrohungen von außen zu schützen – gemäß der alten Idee, einen Riegel an der Tür zu befestigen – hat noch nichts mit einem ganzheitlichen Ansatz zu tun!
Ein Hauptgrund dafür ist, dass viele Sicherheitsprobleme innerhalb des Unternehmens auftreten - aufgrund neuer Methoden im Umgang mit Daten.
Eine kürzlich durchgeführte Umfrage ergab, dass alarmierende 72 Prozent der Mitarbeiter bereit sind, vertrauliche Unternehmensdaten an externe Organisationen weiterzugeben. Das ist keine böswillige Absicht - es ist ein Produkt der zunehmend kollaborativen Arbeitsplatzkultur von heute. Sie erfordert eine Lösung, die Daten unabhängig von deren Standort schützt. Es fehlt also massiv am Bewusstsein der Anwender – der „Security Awareness“ - dass sie ständig auf der Hut vor Angriffen sein müssen; aber auch an der Bereitschaft der Entscheider, regelmäßig in das Thema Cyber-Security zu investieren.
Managed 365 Security von SoftwareONE unterstützt Sie aktiv bei der Absicherung ihrer Microsoft 365 Umgebung und ermöglicht es Ihnen, Sicherheitsprobleme oder böswillige Aktionen frühzeitig zu erkennen und blitzschnell darauf zu reagieren. Ihre Geschäftsabläufe profitieren damit vom Potenzial, das Microsoft 365 bietet, während alle verbundenen Nutzer, Geräte, Anwendungen und Daten bestens abgesichert sind. Vom Design über die Implementierung bis hin zur kontinuierlichen Überwachung und Verwaltung, deckt Managed 365 Security von SoftwareONE den Schutz der drei wichtigsten sicherheitsrelevanten Bereiche ab: Identitäts- und Zugriffsverwaltung, Absicherung von Endgeräten, und Schutz vor Bedrohungen.
Unsere Kunden können sich dabei beruhigt auf unsere Fachleute verlassen und sich auf ihre Kernprozesse konzentrieren, während wir uns auf die Abwehr von Cyber-Security Attacken fokussieren. Mehr Informationen zum Managed 365 Security von SoftwareONE erhalten Sie hier:
Im Webinar geben wir Ihnen einen detaillierten Überblick zu den Leistungen unseres Managed Services. Wir stellen unser mehrstufiges Sicherheitskonzept und die Implementierung in Ihrer Umgebung vor, damit Ihre Unternehmen von der aktiven Unterstützung unserer Experten profitiert.
Jetzt anmeldenHinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!
Kommentar hinterlassen
