Neue und innovative IT-Technologien verändern die Art und Weise der Zusammenarbeit in und zwischen Unternehmen wie auch den Umgang mit Daten und Informationen. Zudem werden Information nun selbst zu einem Wert und damit verstärkt das Ziel von Angriffen.
Allerdings vernachlässigt die IT häufig die damit verbunden Sicherheitsanforderungen, auch werden Angreifer immer raffinierter. Das schreibt Alastair MacWillson, Leiter der Security Group bei der IT- und Managementberatung Accenture, in dem Essay "How secure are your information systems?". Folgende IT-Technologien gefährden die Sicherheit in Unternehmen am meisten:
Vierstellige ID für Hacker kein Problem
1. Enterprise Mobility
Smartphones und Tablet-PCs werden sowohl für Businesszwecke wie auch für den Zugriff auf private Social-Media-Accounts genutzt. Doch die Kontrollsysteme sind meist zu lax. Oft erfolgt der Zugriff auf interne IT-Systeme und sensible Firmendaten über unsichere öffentliche Wifi-Hotspots.
Für das mobile Login gibt es häufig nur eine vierstellige ID-Nummer, während der stationäre Zugriff über umfassende Authentifizierungsprozesse und komplexe Passwortregeln erfolgt. Deshalb sind mobile Geräte ein ideales Einfallstor für Angreifer, um diese mit Malware zu infizieren und so in das Firmennetzwerk einzudringen.
2. Virtualisierung von Hardware und Software
Die Vorzüge der Virtualisierung liegen auf der Hand: Kostensenkungen durch Serverkonsolidierung und weniger Energieverbrauch, bessere Ausnutzung des Platzangebotes im Rechenzentrum.
Sicherheit unklar bei Virtualisierung und Cloud
Allerdings kommen auf CIOs bei der Virtualisierung von Hardware und Software auch zusätzliche Sicherheitsanforderungen zu. Da sich virtuelle Maschinen nahezu beliebig generieren und wieder abmelden lassen, ist es für die IT-Organisation oft schwierig, alle Maschinen im Unternehmensnetzwerk zu überblicken. Wird das Netzwerk durch Malware infiziert, ist häufig unklar wie dieses Problem zu lösen ist.
3. Cloud Computing
Auch der Bezug von Software, IT-Services und Rechenleistung aus der Wolke birgt jede Menge Sicherheitsrisiken. Oft werden interne Sicherheits- und Datenschutzregeln missachtet. Häufig sind diese auch veraltet und genügen den aktuellen Anforderungen nicht mehr. Lagert ein Cloud-Provider spezielle Aufgaben wiederum an Dritte aus und gibt es hier potenziell unsichere Verbindungen, sinkt das Sicherheitsniveau drastisch. Wenn Aufgaben an mehrere Cloud-Provider vergeben werden, kann es im schlimmsten Fall zu einem "Class Break", dem Versagen von Mechanismen, die Storage, Memory und Routing voneinander trennen, kommen. Das öffnet Datendieben Tür und Tor.
Big Data, großes IT-Risiko
4. Big Data
Firmen horten immer mehr unstrukturierte Daten aus sozialen Netzwerken oder Blogs. Die riesigen Datenmengen werten sie mit komplexen Algorithmen und Predictive-Analytics-Anwendungen aus, um das Kundenverhalten oder wirtschaftliche Entwicklungen voraussagen zu können. Bei Abfragen müssen Hardware und Software dynamisch und sehr schnell reagieren, was hohe Anforderungen an die Ausfallsicherheit stellt. Häufig werden die "Big Data" auch zentral in einem Datenpool zusammengeführt. Gelingt Hackern durch das Einschleusen von Malware Zugriff auf die Big Data, ist dies vergleichbar mit einem Hauptgewinn im Lotto.
5. Collaboration
Die zunehmende kommerzielle Nutzung sozialer Netzwerke und anderer Collaboration-Kanäle multipliziert Sicherheitsrisiken, die den öffentlichen Foren ohnehin schon inhärent sind. Einige Organisationen, die dadurch Opfer von Datenklau oder Industriespionage geworden sind, haben ihren Mitarbeitern die Nutzung kollaborativer Netzwerke verboten.
Viele Unternehmen, die mindestens eine der oben genannten Technologien nutzen, sind laut MacWillson nicht ausreichend darauf vorbereitet, ihre IT-Infrastrukturen und Daten vor Angriffen zu schützen.
Formale Richtlinien führen in die Irre
Sie halten deshalb strikt formale gesetzliche Regelungen zur IT-Sicherheit ein, um wenigstens Compliance-konform zu sein. Doch ein solch statischer Sicherheitsansatz führt in die Irre. Er hält Firmen davon ab, flexibel und schnell auf Marktveränderungen zu reagieren.
Zudem herrscht in der IT oft eine Bunkermentalität. Aufwendig gestaltete IT-Systeme und -Architekturen werden hinter einer Firewall eingesperrt. Dieser rigide Ansatz funktioniert in Internet- und Cloud-basierten Umgebungen nicht, denn Anwender wie auch Daten befinden sich außerhalb der "Festungsmauern". Die richtige Balance schaffen CIOs mit einem Risikobewusstsein für Cyber-Attacken, Virtual-Security-Konzepten, Kontext-sensitiven Kontrollen und einem Daten-zentrierten Sicherheitsmodell. Die genannten Aspekte müssen dabei laufend in Einklang mit den geschäftlichen Erfordernissen gebracht werden.