Aufrufe
vor 3 Monaten

Digital Transformation 2017

  • Text
  • Unternehmen
  • Transformation
  • Digital
  • Digitale
  • Digitalen
  • Digitalisierung
  • Technologien
  • Schweiz
  • Swiss
  • Anwendungen

DOSSIER IT-SICHERHEIT

DOSSIER IT-SICHERHEIT Digitale Transformation und Security – Herausforderungen und Lösungen für den Mittelstand Unternehmen digitalisieren ihre internen Prozesse sowie die Interaktionen mit Kunden und Partnern, um ihre Wettbewerbsfähigkeit zu steigern. Eingesetzt werden neue Technologien und Kommunikationsmöglichkeiten. Menschen werden mit Maschinen oder Maschinen untereinander vernetzt, um einen durchgängigen Prozess zu unterstützen. Damit werden aber auch Applikationen und Daten für jedermann von überall her erreichbar. Eine wirksame IT-Sicherheit ist in diesem Zusammenhang nicht nur unerlässlich, sondern ein Wettbewerbsvorteil. Wie können mittelständische Unternehmen dies bewältigen? Erst kürzlich vorgekommen und vielen Lesern bestimmt bekannt: eine E-Mail mit dem Betreff «Ihr DHL-Paket kommt am Dienstag, 13.00–18.00 Uhr» oder mit einer täuschend echt aussehenden Rechnung von Swisscom im Anhang. In beiden Fällen wurde der Benutzer aufgefordert, einen Link anzuklicken, der einen Schadcode herunterlädt. Im schlimmsten Fall kann dieser mit allen Berechtigungen des betroffenen Benutzers im Firmennetzwerk Schaden anrichten. Diese sogenannten «Phishing Mails» werden immer professioneller und gezielter aufgesetzt, sodass sie eine der grössten Bedrohungen in der IT-Security darstellen. Zuerst wird die Neugierde des Users ausgenutzt, um den Perimeterschutz zu überwinden, danach folgen die technischen Schwachstellen der Systeme oder ungenügende Schutzkonzepte. Ein unbedachter Klick auf einen Link und schon öffnet sich die Tür für Betrug, Datendiebstahl oder Sabotage. Die Folge sind etwa Erpressung durch Verschlüsselung der Daten, Manipulation von Finanztransaktionen, ungewollter Versand von Dokumenten an Dritte, Veränderung von Daten oder Nichtverfügbarkeit eines Dienstes. Der Autor David Spale ist Head of Consulting, Avectris Herausforderung «Internet of Things» Eine neue Herausforderung bildet das «Internet der Dinge» und die damit zusammenhängende Anbindung von Geräten und Sensoren. Oft sind diese geografisch verteilt oder mobil und sind auch nicht in einer beeinflussbaren Umgebung. Die Kommunikation von und zu diesen Geräten ist wirtschaftlich nur über die bestehende, allgemein genutzte Infrastruktur wie Internet oder Mobilfunk sinnvoll. Da diese Geräte bisher meist für die Verwendung innerhalb eines gesicherten Unternehmensnetzwerks entwickelt wurden, sind die eingebauten Schutzmassnahmen zu gering. Somit müssen zusätzliche Sicherheitsmechanismen implementiert werden. Dies ist technisch sehr komplex und kann die ganze Installation verteuern. In einigen Branchen werden entsprechende Mindeststandards für die Sicherheit von Anwendungsfällen definiert, wie etwa den Einsatz von intelligenten Messgeräten in der Energieversorgung. Kompetente und vertrauenswürdige Partner können mittelständische Unternehmen mit den notwendigen Massnahmen gezielt unterstützen. Wichtig für die Wahl des richtigen Partners sind die Kenntnis der IT-Umgebung des Unternehmens, der (Sicherheits-)Kultur sowie der fortlaufende Austausch zur Risikosituation. Massnahmen ans Unternehmen anpassen Um zu vermeiden, dass Kunden geschädigt werden, Unternehmen finanzielle Einbussen erleiden oder bei der Automatisierung der Gerätesteuerung Mensch und Umwelt zu Schaden kommen, sind eine ganze Reihe von Massnahmen notwendig. Es gibt aber keine Standardlösung, die man einfach einkaufen und installieren kann und damit das Problem behebt. Da jede Firma individuell ist, sollten auch die Massnahmen technisch sowie organisatorisch zum Unternehmen passen. Basis dafür ist eine regelmässige Prüfung und Aktualisierung der jeweiligen Risikosituation und Bedrohungslage. Einen ganzheitlichen Schutz gibt es jedoch nicht. Durch die laufende Professionalisierung der Angreifer und wachsende technische Möglichkeiten, verändern sich die Angriffsmethoden stetig. Daher sind sowohl die Erkennung von Angriffen als auch die adäquate Reaktion darauf ebenfalls wichtige Massnahmen, die künftig noch wichtiger werden. 44 DIGITAL TRANSFORMATION

SaaS DOSSIER IT-SICHERHEIT Kundendaten IoT-Daten P P5 P6 P7 P8 P1 P2 P3 P4 Das Risiko bewusstsein in der Unternehmensleitung ist ein kritischer Erfolgsfaktor. Gleichzeitig müssen auch der Schutz vor anderweitige Schadensereignissen und die Einhaltung von gesetzlichen und regulatorischen Vorgaben sichergestellt werden. Das Risikobewusstsein in der Unternehmensleitung ist daher ein kritischer Erfolgsfaktor. Die Identifikation und Anerkennung der unternehmensspezifischen Risiken sowie deren Beurteilung und Behandlung sind nicht delegierbare Verantwortungen der Führung. ∙ Regelmässige Überprüfung des Ist-Zustands der Systeme und zeitnahes Beurteilen und Initiieren von (Sofort-)Massnahmen bei neuen Schwachstellen oder Bedrohungen ∙ Überwachung und Aufzeichnung von Daten zur Erkennung und Prüfung von verdächtigen Ereignissen ∙ Notfallmanagement im Ereignisfall, um den Schaden möglichst zu begrenzen, inklusiv Vor-Ort-Support-Team Lösungen für mittelständische Unternehmen Kann dies ein mittelständisches Unternehmen überhaupt bewältigen? Für alle Unternehmen ist dies eine absolute Notwendigkeit, allerdings mit hohen personellen und finanziellen Aufwänden verbunden. Kompetente und vertrauenswürdige Partner können mittelständische Unternehmen mit den notwendigen Massnahmen gezielt unterstützen. Die Dienstleistungen setzen sich aus einzelnen Bausteinen zusammen und reichen bis zu Full-Service- Lösungen: ∙ Definition der passenden Sicherheitsvorgaben zum Umgang mit IT-Mitteln und Daten ∙ Entwickeln und implementieren von pragmatischen Schutzkonzepten für die kritischen Werte des Unternehmens ∙ Festlegen der Aufgaben und Verantwortlichkeiten, inklusive Schulung der betroffenen Mitarbeitenden (z.B. Management, Fachapplikationsverantwortliche, Systemadmini stratoren) ∙ Benutzer sensibilisieren und korrektes Verhalten aufzeigen ∙ Aufsetzen und Betrieb von Firewalls, Netzwerkzonen, Fernwartungsgateways, verschlüsselten Datenleitungen, Virenschutz und weiteren technischen Schutzeinrichtungen ∙ Sichere Konfiguration von Servern, Clients und Anwendungssoftware, inklusiv regelmässiger Aktualisierung der Software insbesondere Betriebssystem und Browser Attraktiv kann auch das «Mieten» eines CISO sein. Dieser kann als Übergangslösung oder im Mandat Unterstützung bieten: sich dauernd ändernde Geschäftsprozesse und Technologien beurteilen, neue Regulatorien bewerten, Stellungnahmen zur Wirksamkeit der aktuell implementierten Schutzkonzepte verfassen, firmenpolitische Interessen vertreten, dringende Risikoentscheide fällen oder bei Bedarf Spezialisten führen. Wichtig für die Wahl des richtigen Partners sind die Kenntnis der IT-Umgebung des Unternehmens, der (Sicherheits-)Kultur sowie der fortlaufende Austausch zur Risikosituation. So agiert der Partner als Anlaufstelle bei Fragen oder Ereignissen, und die Massnahmen werden jeweils individuell, proaktiv auf das Unternehmen angepasst. ÜBER DEN AUTOR David Spale ist Head of Consulting bei Avectris, einem Full Service Provider und Anbieter von sicheren Cloud-Lösungen. Der diplomierte Mathematiker und Business Engineer ist an der Schnittstelle von Business und IT zuhause. Er bringt umfassende Fachkenntnisse im IT-Management mit – von der Strategieentwicklung über das Enterprise-Architekturmanagement und die IT-Governance bis zum IT-Risikomanagement. Er entwickelte das Informationssicherheitsmanagement der Avectris bis zur Zertifizierung nach ISO 27001 und beriet Schweizer Kernkraftwerke in IT-Sicherheitsfragen. DIGITAL TRANSFORMATION 45