Drei Lektionen in Sachen IT-Sicherheit

Eine von SAP gesponserte Studie von IDC zur IT-Sicherheit hat ergeben, dass nur 33 Prozent der Unternehmen einen Prozess für Schwachstellenanalyse und -management implementiert haben, um Sicherheitslücken in Unternehmensanwendungen zu schließen. Dabei nannten fast 40 Prozent der Befragten das Schließen von Sicherheitslücken als hohe Priorität.

Diese Diskrepanz war einer von mehreren interessanten Fakten, über die ich mich kürzlich in meinem Webinar Securing the Intelligent Enterprise mit zwei Sicherheitsexperten unterhalten habe. Dies sind meine drei wichtigsten Erkenntnisse aus unserem Gespräch:

1. Sicherheit muss Teamsache sein

Robyn Westervelt, Research Director of Security and Trust bei IDC, hat beobachtet, dass Unternehmen mit dem Siegeszug von Hybrid- und Multi-Cloud-Umgebungen zunehmend mit schon lange bekannten Problemen konfrontiert werden. Sie müssen sich damit befassen, wie sie mit Verschlüsselung umgehen und Anwendungen vor Sicherheitsrisiken schützen sollen. Neu ist, dass IT-Sicherheitsexperten diese Herausforderungen nicht mehr allein bewältigen müssen.

„Es mangelt an Transparenz und Steuerungsmöglichkeiten, und das nehmen nicht nur die für die Sicherheit zuständigen IT-Experten wahr, sondern auch diejenigen, die für Geschäftsbereichs-IT und operativen Betrieb zuständig sind“, erklärte Westervelt. „Sicherheitsexperten arbeiten immer häufiger mit Datenanalysten und Datenverantwortlichen zusammen – auch im Zusammenhang mit der Datenqualität. Im streng regulierten Umfeld von heute müssen Unternehmen mehr Aufwand als je zuvor betreiben, um Daten zu schützen und vertrauenswürdig zu bleiben. Sie müssen Antworten auf zwei äußerst wichtige Fragen finden: Wo befinden sich meine kritischsten Ressourcen? Wer hat Zugriff darauf?“

2. Grundlegende Sicherheitsmaßnahmen nicht übersehen

Man hört immer häufiger von spektakulären Datenschutzverletzungen und Cyberattacken. Deshalb könnte man annehmen, jedes Unternehmen hätte wenigstens grundlegende Sicherheitsmaßnahmen ergriffen.

Westervelt hat andere Erfahrungen gemacht. Sie erzählte von einem Konsumgüterhersteller, der keine modernen Sicherungssysteme hatte und Opfer eines Ransomware-Angriffs wurde. Das Unternehmen erlitt Verluste in Millionenhöhe.

„Die Produktionslinien konnten nicht laufen … und die Geschäftsleitung musste ehemalige Mitarbeiter aus dem Ruhestand zur Hilfe rufen, um die Formeln mehrerer seit Jahren hergestellter Produkte wieder auszutüfteln“, berichtete sie. „Heute gibt es in dem Unternehmen einen Chief Information Security Officer, der ein ganz neues Sicherheitsprogramm entwickelt – angefangen bei Authentifizierung und Identitäts- und Zugriffsverwaltung bis hin zu Datensicherheit, Verschlüsselung und mehr.“ 

Viele Unternehmen verwenden Daten von vielen verschiedenen Geräten und aus verschiedenen internen und externen Systemen. So ist es kein Wunder, dass mehr als 40 Prozent der von IDC-Befragten angaben, die sichere Verwaltung von Informationszugriff und Integration als Herausforderung zu empfinden. Das ist aber noch lange keine Entschuldigung dafür, nicht wenigstens grundlegende Präventivmaßnahmen wie Patch-Updates zu ergreifen.

Ralph Salomon, Vice President des Bereichs Enterprise Security bei der SAP, erinnerte sich, wie ein Kunde nach einem Ransomware-Angriff schnell wieder zur Tagesordnung übergehen konnte. „Der Infrastrukturverantwortliche rief mich an und sagte: ‚Vielen Dank, dass Sie uns immer wieder daran erinnert haben, die Patches in unserer Umgebung rechtzeitig zu implementieren. Das hat uns unglaublich viel Aufwand erspart.‘ Wir hatten aktuelle Sicherungen, aus denen wir die Daten sehr schnell wiederherstellen konnten“, erzählte er. „Die richtige Implementierung von Anwendungspatches ist sehr wichtig, um eine grundlegende Sicherheitshygiene zu erreichen.“

3. Framework bietet Sicherheit in der Cloud

Beide Experten waren sich einig, dass es für jedes Unternehmen außerordentlich wichtig ist, die kritischsten Sicherheitsrisiken zu ermitteln und entsprechend Ressourcen zuzuordnen. Laut Westervelt legen sich die erfolgreichsten Unternehmen auf ein Sicherheits-Framework fest. Sie nannte verschiedene vertrauenswürdige Frameworks, die bereits hunderttausende Entwickler verwendet.

„Ich glaube an sichere Softwareentwicklung und daran, bereits im frühesten Stadium Sicherheitsmechanismen einzubauen. Nachträglich Sicherheitsmaßnahmen zu ergreifen, ist nämlich sehr kostspielig“, betonte sie.

In der Welt des Cloud Computing ist es laut Salomon von entscheidender Bedeutung, das Bedrohungspotenzial zu betrachten, das aus dem Geschäftsumfeld eines Unternehmens weitergegeben wird. Angreifer können über die Systeme von Kunden oder Partnern in ein Unternehmen eindringen. Diesem Umstand trägt die Gesamtsicherheitsstrategie der SAP Rechnung.

„Wir untersuchen zusammen mit unseren Kunden, welche die wichtigsten Anforderungen sind, damit wir diese in unser Portfolio einfließen lassen können“, führte Westervelt aus. „Wir entwickeln die Sicherheitsmechanismen kontinuierlich weiter. Alles ist mit unserer Unternehmensstrategie verknüpft. Unser Ziel ist es, die Abläufe der weltweiten Wirtschaft und das Leben von Menschen zu verbessern, indem wir das intelligente Unternehmen für unsere Kunden und für die SAP absichern.“

Es wird nicht leichter werden, die Pläne von Cyberkriminellen zu durchkreuzen – ganz im Gegenteil. In der Aufzeichnung gibt es wichtige Empfehlungen dazu, was jedes Unternehmen in Sachen Sicherheit von einem Softwareanbieter verlangen sollte und wie man sich vor den häufigsten Sicherheitsverletzungen schützen kann, denen unvorbereitete Unternehmen immer noch zum Opfer fallen.


Folgen Sie Susan Galer auf Twitter unter @smgaler