Internationales Verkehrswesen
iv
0020-9511
expert verlag Tübingen
10.24053/IV-2023-0077
121
2023
754
Wenn Zäune nicht mehr reichen
121
2023
Jerome Evans
Nur wer sein gesamtes Unternehmen und alles, was dazu gehört, richtig absichert, bringt Leistung und hat im engen Wettbewerb Erfolg. Denn: Cyberattacken häufen sich und von diesen geht heutzutage eine
weitaus größere Gefahr aus als von dem altbekannten Einbrecher, der durchs Fenster der Werkshalle einsteigt. Vorsicht ist geboten und die Herausforderung, die Sicherheit aufrechtzuerhalten, nimmt stetig zu. Um diese zu meistern, bietet sich etwa der Weg in die Private Cloud an.
iv7540038
Internationales Verkehrswesen (75) 4 | 2023 38 Wenn Zäune nicht mehr ausreichen Welche Gefahren in der digitalen Welt lauern Cyberangriff, Datensicherheit, Private Cloud Nur wer sein gesamtes Unternehmen und alles, was dazu gehört, richtig absichert, bringt Leistung und hat im engen Wettbewerb Erfolg. Denn: Cyberattacken häufen sich und von diesen geht heutzutage eine weitaus größere Gefahr aus als von dem altbekannten Einbrecher, der durchs Fenster der Werkshalle einsteigt. Vorsicht ist geboten und die Herausforderung, die Sicherheit aufrechtzuerhalten, nimmt stetig zu. Um diese zu meistern, bietet sich etwa der Weg in die Private Cloud an. Jerome Evans N icht erst seit der Corona-Pandemie geht der Trend ganz klar in Richtung Homeoffice beziehungsweise hybride Arbeitsmodelle. Damit einher geht auch der Anstieg des Risikos, möglichen Cyberangriffen zum Opfer zu fallen. Für die Unternehmen bedeutet dies - neben klassischer Absicherung via Zaun, Mauer und Türschloss - mit entsprechenden Maßnahmen für Sicherheit zu sorgen. Das entscheidende Stichwort lautet Cybersecurity. Für viele Unternehmen hat dabei das Thema Cloud-Sicherheit die höchste Priorität. [1] Vor allem gilt es für den Schutz des eigenen Betriebes und die Sicherheit von Mitarbeiterinnen und Mitarbeitern zu sorgen. Dabei darf es keine Rolle spielen, welches Gerät diese nutzen und von wo sie arbeiten. Schon lange geht es für die Kriminellen nicht mehr ausschließlich darum, in die Unternehmensnetze einzudringen und die jeweiligen Daten sowie Geschäftsideen zu erbeuten. Inzwischen stehen die Erpressung von Lösegeld, die Plünderung von Konten oder auch das Lahmlegen ganzer Produktionsstätten ganz oben auf der Agenda. Angriffspunkte und Werkzeuge haben heute eine Variantenvielfalt erreicht, die es Unternehmen umso schwieriger macht, sich gegen diese zu verteidigen. Daher sollten sie unbedingt Vorkehrungen treffen, Netze, Geräte, Kommunikation und Daten von ungebetenen Gästen abzuschirmen. Geht es um Datenverlust oder Offenlegung interner Informationen, wird es für Foto: NoName13 / pixabay INFRASTRUKTUR Digitale Sicherheit Internationales Verkehrswesen (75) 4 | 2023 39 Digitale Sicherheit INFRASTRUKTUR Unternehmen ernst. Im Zuge der Digitalisierung haben sich auch die Möglichkeiten der Angreifer erweitert. Aus diesem Grund setzen Betriebe vermehrt auf moderne Private-Cloud-Infrastrukturen, um ihre Daten dort zu speichern. Deswegen verkörpert der Transfer der eigenen Datenbestände in die „Wolke“ eine gute Möglichkeit, die Informationen des Unternehmens zu sichern. Ganze 81 Prozent der Betriebe nutzen bereits die Private Cloud oder planen den Einsatz. [2] Aber wie lässt sich der Schutz über die Cloud tatsächlich realisieren? Denn auch Anwendungen in der Private Cloud visieren Kriminelle als Ziele an. An dieser Stelle setzt die Redundanz - das Vorhalten zusätzlicher Ressourcen, die bei einem Ausfall der Primärinstanz als Reserve einspringen - an. Trotzdem reicht nur ein Back-up allein nicht aus. Außerdem muss sichergestellt sein, dass sich die Ressourcen an verschiedenen Orten befinden. Ansonsten besteht die Gefahr, dass im Katastrophenfall auch die Absicherungen verloren gehen. Die Duplikate tragen in hohem Maße zur Datensicherheit bei, da sie zum einen bei der Wiederherstellung von Daten helfen und zum anderen je nach Anwendungsfall lokale Kopien von Anwendungen und Datenbanken sind. Art und Aufbau eines Rechenzentrums allein lassen sich nicht als Faktor für die Datensicherheit definieren. Dafür sind die Form der Zugriffssteuerung sowie Maßnahmen wie zum Beispiel Verschlüsselung für geschützte Systeme und Daten verantwortlich. Zudem sorgen revisionssichere Backups und Duplikate dafür, schadhaft oder auch versehentlich gelöschte Daten nicht gleichzeitig auch auf den Absicherungen zu verlieren. Wie wichtig das ist, zeigt ein Blick auf die Zahlen: 84 Prozent der deutschen Unternehmen gaben in einer Umfrage des Digitalverbands Bitkom an, im letzten Jahr von Cyberangriffen betroffen gewesen zu sein. [3] Investitionen in die eigene IT-Infrastruktur gehören also zwingend zum kleinen Einmaleins rund um die Datensicherheit. Das sensibilisiert Mitarbeiterinnen und Mitarbeiter für das Thema und verbessert gleichzeitig die Sicherheit der Software - etwa durch Updates. Spezialisierte Dienstleister sollten sich zudem um den Betrieb und die Wartung der Systeme kümmern. So lagern Betriebe ihre Daten und Anwendungen primär nicht mehr auf hauseigenen Servern, sondern in der Private Cloud. Für kleine und mittelständische Unternehmen stellt der nötige personelle und finanzielle Aufwand einer umfassend vor Angreifern geschützten IT-Infrastruktur sowie zugehöriger Datenhaltung vor Ort eine kaum zu überwindende Hürde dar. Wieder bietet sich die Private Cloud als günstigere Alternative an und spart Risiken aus - zum Beispiel verursacht durch nicht ideal gewartete Infrastruktur. Darüber hinaus ermöglicht sie die schnelle Anpassung von Rechenleistungen und nutzerabhängiges Abrechnen von angefallenen Services. Bestehen dann noch strenge Vorgaben in Sachen Datensicherheit und -verarbeitung oder liegen gar staatliche Vorgaben zugrunde, ist die Private Cloud ideal. Eine besondere Architektur der Cloud Services zum Beispiel durch Hinzunahme von Containerservices wie Kubernetes öffnet Tür und Tor für große Einsparpotenziale. Geschäftlicher wie privater Alltag ist ohne die Private Cloud heute kaum noch denkbar. Nicht nur lagern Unternehmen mehr und mehr Daten in der Private Cloud, sondern sie wickeln zunehmend mehr Dienste über die „Wolke“ ab. Angreifer haben gerade deswegen ihren Fokus auf dahinterliegende Infrastrukturen gelegt. Komplexe Multi-Vektor-Angriffe gehören deswegen inzwischen wie selbstverständlich zu ihrem Handwerkszeug, weil hybride und Multi- Cloud-Umgebungen in naher Zukunft zum Regelfall gehören. Der Schlüssel für Unternehmen und Organisationen ist daher: professionelle Sicherheitsfunktionen und umfassende Transparenz der eigenen IT-Infrastruktur. Datenschutz und IT-Sicherheit beim Cloud-Computing auf allen Ebenen des Zugriffs müssen konsequent umgesetzt werden: von der physischen Absicherung der Server über ein ausgeklügeltes Rechtemanagement bis hin zur vollständigen Verschlüsselung aller Inhalte beim Datentransport zwischen Server und Endgerät des Nutzers - bei der Speicherung sowieso. Bei aller Technik gilt es auch, den Faktor Mensch immer zu berücksichtigen - und zu sensibilisieren: Erhalten Mitarbeiterinnen und Mitarbeiter beispielsweise per E-Mail oder Chat die Aufforderung, ihr Passwort kurz mal zu übermitteln, müssen zwingend die Alarmglocken läuten. Ähnlich verhält es sich bei einer vermeintlichen Systemumstellung, für die es angeblich auf einer Website Name und Passwort bedarf. Letzteres sollte auch in keinem Fall offen herumliegen, zudem dürfen private USB-Sticks nicht eingesteckt werden. Es braucht zwangsläufig die Etablierung einer hierarchieübergreifenden Sicherheitskultur und der regelmäßigen Schulung der Nutzerinnen und Nutzer - wichtige Schritte in Richtung eines wirksamen Schutzes gegen Cyberkriminalität im Bereich des Cloud-Computings. ■ QUELLEN [1] IDC (2022): Cybersecurity in Deutschland, Österreich ubnd der Schweiz 2022. Business stärken mit Digital Trust. Gesponsert von Secunet. November 2022. www.secunet.com/ studie-cybersecurityin-dach-2022 (Abruf: 20.10.2023). [2] KPMG (2022): Cloud-Monitor 2022. Erhebung zur Cloud-Nutzung in Deutschland. Juni 2022. https: / / hub.kpmg.de/ cloud-monitor-2022 (Abruf: 20.10.2023). [3] Bitkom e.V. (2022): Wirtschaftsschutz 2022. August 2022. www.bitkom.org/ sites/ main/ files/ 2022-08/ Bitkom-Charts_Wirtschaftsschutz_Cybercrime_31.08.2022.pdf (Abruf: 20.10.2023). Jerome Evans Geschäftsführer, firstcolo GmbH, Frankfurt am Main info@firstcolo.net Foto: Jarmoluk / pixabay