Diskussion

Cyber Security als ganzheitlicher Strategieansatz

Jüngste Vorfälle, wie die Exchange-Attacke oder der Rechenzentrumsbrand in Frankreich, haben gezeigt, wie unterschiedlich Bedrohungen auf IT-Systeme sein können. Und wie wichtig dabei eine ganzheitliche Betrachtung der IT-Sicherheit ist.

Unter der Moderation von Martin Szelgrad (Telekom & IT Report) sprachen Peter Reisinger von EPS sowie Gerlinde Macho und Manfred Pascher von MP2 IT-Solutions mit Klaus Veselko (Geschäftsführer von CIS – Certification & Information Security Services GmbH) sowie Ralf Ebenig (RZ-Planung) über aktuelle Anforderungen und Sicherheitskonzepte für Betriebe. Was vor allem deutlich wurde: die Dimension und Bedeutung des Themas Cyber-Sicherheit.

Sicherheit beginnt im Serverraum

Darin sind sich alle Experten einig: Es braucht einen ganzheitlichen Ansatz zur IT-Sicherheit in jedem Unternehmen. Für jene, die auf ihr eigenes Rechenzentrum setzen, anstatt in die Cloud zu wandern, gilt es Sicherheitskonzepte schon bei der Planung einfließen zu lassen. „Sicherheit beginnt bereits bei der Frage nach dem Standort. Zum Beispiel: Welche Risiken und Ereignisse einwirken können – von Naturgewalten bis hin zu menschlichen Bedrohungen. Als Orientierung und Richtlinie gilt die Rechenzentrums-Norm DIN EN 50600“, betont Ralf Ebenig von RZ-Planung.

Bei EPS Electric Power Systems kennt man die komplexen Anforderungen an Rechenzentrumsbetreiber; man betrachtet die Datacenter-Infrastruktur als ganzheitliches System. Viele Gewerke wie Stromversorgung, Klimatisierung und Sicherheitstechnik müssen richtig zusammenspielen, um den gewünschten Schutzlevel zu gewährleisten. Für Peter Reisinger von EPS eine Leistung, die ohne langjährige Erfahrung kaum durchführbar ist: „Schließlich handelt es sich beim Rechenzentrum um das Herzstück eines Unternehmens und seiner Betriebssicherheit.“

White Paper zum Thema

Bei all den Maßnahmen und Sicherheitsvorkehrungen müssen Unternehmen oft knappe Budgets einhalten. Deshalb stellt sich bei Entscheidungsträgern oft die Kosten-Nutzen-Frage. Reisinger empfiehlt, sich vor Augen zu halten, welche Folgen ein IT-Ausfall für das eigene Business hätte und welche Kosten damit verbunden wären.

Schutz von technischen und nicht-technischen Systemen

Manfred Pascher, Geschäftsführender Gesellschafter von MP2 IT-Solutions, erwähnte beim Experten-Talk eine Umfrage aus 2020. Bereits jedes vierte Unternehmen ist in Österreich von Cyberangriffen betroffen. Davon hatten mehr als 25 Prozent nachhaltige Probleme mit Datenverlust und der Aufrechterhaltung des Geschäftsprozesses – Stichwort Business Continuity. Schließlich wissen viele nicht, dass sie attackiert wurden – bei fast 20 Prozent wurden Angriffe durch Zufall festgestellt, so Pascher. Mittlerweile hat sich zurecht ein IT-Sicherheitsbewusstsein etabliert, so dass gar nicht mehr die Frage gestellt wird, ob ein solcher Vorfall auftritt, sondern wann und mit welchen Folgen Unternehmen zu rechnen haben. Präventionsmaßnahmen erfordern eine holistische Betrachtung von IT-Sicherheit – also auch ein Bewusstwerden der möglichen Bedrohungen und Risiken. „Das beginnt beim physikalischen Schutz des Rechenzentrums über die IT-Systeme und Tools bis zu den organisatorischen Maßnahmen und somit der Einbeziehung aller User“, so Pascher.

Neben den klassischen softwareseitigen Sicherheitsmaßnahmen wie Virenschutz, Firewall, Verschlüsselung und Datensicherung gibt es viele interessante Schutzmaßnahmen, von einfach einzurichtenden DNS-Filtern bis zu ausgefeilten SIEM-Lösungen (Security Information and Event Management), die das gesamte Netzwerk auf Anomalien überwachen und rechtzeitiges Reagieren ermöglichen.

Wichtig ist es, die vorhandenen Tools richtig zu kombinieren, um den besten Nutzen daraus zu ziehen. In Kombination mit sinnvollen organisatorischen Maßnahmen gibt es für jede Unternehmensgröße und für jedes Budget einfache Maßnahmen, um die Sicherheit beträchtlich zu erhöhen.

Der Mensch als Sicherheitslücke und -sensor zugleich

Spricht man über Cybersicherheit, denken viele nur an den technischen Part. Neben der physischen und technischen Sicherheit wird die Rolle des Menschen in der Praxis meist unterschätzt. Doch es sind Mitarbeitende, die Benutzer eines Systems sind. Sie können Angriffsziel und Unsicherheitsfaktor sein. Und im Umkehrschluss sind sie zugleich Sicherheitshebel, wenn sie Bedrohungen erkennen und schnell darauf richtig reagieren. „Viele Fehler passieren auf der organisatorischen Ebene, beispielsweise durch unsachgemäße Anwendung oder auch, wenn Bedrohungen nicht rechtzeitig gemeldet werden“, so Gerlinde Macho von MP2 IT-Solutions. „Im Notfall müssen alle wissen, was zu tun ist und an wen sie sich wenden können. Dazu müssen präventiv Maßnahmen gesetzt werden.“ Hilfreiche Tools sind interne Hotlines, Guidelines, Checklisten sowie regelmäßige Notfall-Übungen und ein laufendes Security Awareness. Besonders wichtig ist die Thematik im Homeoffice geworden. Macho appelliert dabei abteilungsübergreifend zu handeln und beispielsweise die Norm für Informationssicherheit als durchgängige Richtlinie zu sehen.

IT-Sicherheit ist eine Frage der Unternehmenskultur

Die Experten sind sich auch hier einig, dass es nicht mehr um die Frage geht, ob etwas passieren könnte, sondern wann es passiert. Doch genau hier können Standards Abhilfe schaffen. Eine Zertifizierung nach der international anerkannten Norm ISO 27001 zur Informationssicherheit dient nicht nur dem Selbstzweck. Diese kann als Guideline und Checkliste für den Einsatz in der unternehmerischen Praxis dienen, um für mehr Sicherheit in der IT zu sorgen. Ergänzend zur Norm der Informationssicherheit hat die Anwendung der Rechenzentrumsnorm EN 50600 in den letzten Jahren stetig zugenommen.

CIS-Geschäftsführer Klaus Veselko nimmt gerne auch die Angst vor komplexen Projekten: „Normen und Standards sind ja per se praxisorientiert. Was wir oft sehen, ist die Sorge vieler Unternehmen vor komplexen Sicherheitsprojekten. Ein guter Weg ist hier die Etablierung eines Sicherheitsbewusstseins – wichtig dafür ist auch das Commitment des obersten Managements. Denn letztlich ist IT-Sicherheit auch eine Frage der Unternehmenskultur“, sagt Veselko.

Cyber Security umfasst organisatorische und technische Maßnahmen von der Infrastruktur und Netzwerke über Server, Daten, Mobilgeräte bis hin zu Awareness Raising. Die Experten beleuchteten das umfangreiche Thema aus verschiedenen Perspektiven. Ziel ist eine ganzheitliche Betrachtung von Cyber Security in der Praxis, um realistische Lösungen für Unternehmen zu schaffen. Normen und Standards sind wichtige Instrumente, die dabei unterstützen. Dass ein ganzheitlicher Blick auf Cyber Security von Bedeutung ist, darüber waren sich die fünf Experten beim Online-Talk am 15. März einig.