Interview - IT-Sicherheitsaspekte für Unternehmen
"Eine Schweigepflicht für IT-Dienstleiter und entsprechende Gesetze sind längst überfällig!"
Fortsetzung des Artikels von Teil 1
Abstand vom Cloud-Hype
funkschau: Es vergeht nahezu kein Tag ohne eine Meldung, dass wieder eine Sicherheitslücke in irgendeinem System, insbesondere mobilen Endgeräten entdeckt wurde. Welchen Stellenwert besitzt das Thema IT-Sicherheit in Ihrem Unternehmen?
Semjan: IT-Sicherheit hat bei uns selbstverständlich den höchsten Stellenwert. Wir zeigen unseren Kunden im Vorfeld auf, wie sicherheitskritisch bestimmte Anwendungen sind, oder auch IT-Systeme an sich. Wir prüfen die Anforderungen unserer Kunden auch dahingehend, dass wir versuchen, so viele Elemente der Infrastruktur wie möglich in Deutschland zu lassen, zumindest in Europa, darüber hinaus selbst zu betreiben oder den Betrieb nach deutscher bzw. europäischer Gesetzgebung zu garantieren, an Standorten, die von uns ausgewählt werden, bei denen wir gewährleisten können, dass unter normalen Bedingungen kein dritter Zugriff auf die Daten hat. Dadurch wollen wir die Gefahr zum Beispiel der Wirtschaftsspionage so weit wie möglich für unsere Kunden ausschließen.
Wir empfehlen den Unternehmen, vom dem Cloud-Hype etwas Abstand nehmen und zu verstehen, dass der Betrieb beispielsweise der gesamten internen Kommunikation, sowohl E-Mail als auch Telefonie, aber auch ein ERP-System und auch ein mobiles Endgerätemanagement, in den Unternehmen bleibt oder zumindest in deutschen Rechenzentren betrieben wird. Wenn ich meine Daten einem weltweit agierenden Unternehmen zur Verfügung stelle, das in einem Land ansässig ist, das imperialistisch geprägt ist und so auch im Interesse der eigene Wirtschaft agiert, dann ist die Gefahr immer gegeben, dass die Daten missbraucht werden. Big-Data is watching you! Und ich habe dann auch keine Kontrollmöglichkeit, egal wie oft mir Datensicherheit versprochen wird.
Im Straßenverkehr sorgen Polizeikontrollen dafür, dass die vorgeschriebene Geschwindigkeit eingehalten wird. Wer aber kontrolliert die großen Cloud-Anbieter, wie sie mit Unternehmensdaten umgehen? Keiner. Und das ist auch nicht möglich. Zwar stehen deren Server auch in Amsterdam, Dublin oder Frankfurt. Doch dadurch, dass das Unternehmen global vernetzt ist, lässt sich jederzeit ein Backup in die Zentrale ziehen, das man nicht mehr nachvollziehen kann. Darüber fehlt die Kontrolle.
Die Frage, wo genau die Daten unserer Kunden gelagert werden, nehmen wir sehr ernst und plädieren dafür, Server mit kritischen Applikationen nur dort zu betreiben, wo der Eigentümer der Daten jederzeit einen physikalischen Zugriff darauf hat.
Viele Unternehmen lassen sich bei Ihrer Entscheidung ob Cloud-Anbieter oder nicht, primär von der Kostenerparnis treiben. Das geht immer zu Lasten der Sicherheit. Die Risiken sind allerdings unkalkulierbar und monetär nicht bewertbar, es fehlen uns dazu die Erfahrungswerte.
Man kann noch so viele Sicherheitstools installieren. Der wichtigste Faktor ist nach wie vor, die Hoheit über den eigenen Betrieb zu behalten. Kritische Systeme sollten immer nach dem Vier-Augen-Prinzip betrieben werden. Eine interne Unternehmenskommunikation hat heute einen ähnlich kritischen Stellenwert wie die Finanzdaten des Unternehmens. Ich vertraue auch meine Buchhaltung nicht einem dritten Unternehmen im Ausland an.
Ein anderer Vergleich: Die Atomkraft galt lange Zeit als ein sicherer Weg. Dann gab es die erste Kernschmelze, gefolgt von anderen. Als sicher würde man Kernenergie heute nicht mehr in dem Maße bezeichnen wie vor Fukushima. Zumindest hat das Vertrauen darin arg gelitten. Brauchen wir erst einen virtuellen Supergau, damit man sich von preiswerten aber riskanten Technologien wieder abwendet? Wie würde so ein Zwischenfall aussehen? Das möchte sich niemand vorstellen, der ein Unternehmen leitet.
Natürlich kann man mit einer Cloud-Lösung der großen Anbieter seine Betriebskosten reduzieren. Aber da hört die Rechnung doch nur bei dem auf, der auf die Sicherheit seiner geschäftskritischen Daten nichts gibt. Da reibt sich unter Umständen der Controller im eigenen Unternehmen zur gleichen Zeit die Hände wie der Wirtschaftsspion. Eine schreckliche Win-Win-Situation!
Unsere Beratung beinhaltet deshalb im Kern, dass wir nicht bedingungslos Cloud-Lösungen anbieten, sondern auch fragen: Macht es in dem speziellen Fall überhaupt Sinn und lässt es sich im Hinblick auf die Sicherheit überhaupt rechtfertigen? Und wir weisen auf die Gefahren hin, die dabei entstehen. Man kann sich als Unternehmer auch mal überlegen, ob es unbedingt ein amerikanischer Anbieter sein muss, oder ob ich meine Anwendungen nicht in einer Cloud betreibe, die beispielsweise bei uns in Ulm steht, wo der Kunde auch die Möglichkeit hat, seinen Server physikalisch in Augenschein zu nehmen.
- "Eine Schweigepflicht für IT-Dienstleiter und entsprechende Gesetze sind längst überfällig!"
- Abstand vom Cloud-Hype
- IT-Sicherheit & Bandbreite
Lesen Sie mehr zum Thema
