Wie bauen und sichern Sie ein zuverlässiges digitales System?
Jedes digitale System, das mit der Außenwelt verbunden ist, wird ständig bedroht!
Dabei geht es gar nicht um das Ob, sondern definitiv darum, wie oft und woher es angegriffen wird. Anders als in der physischen Welt haben Menschen keine Wahrnehmung für digitale Angriffe. Sie haben keinen Geruch, keine Farbe, keine Form oder irgendetwas Greifbares. Man kann es nicht sehen oder fühlen, wenn man attackiert wird. Wie also können Sie ein zuverlässiges digitales System aufbauen und sichern?
Um dies zu verstehen, müssen Sie die Faktoren verstehen, die dazu beitragen.
- Digitale Systeme sind an die physische Welt gebunden. Sie interagieren entweder mit anderen Systemen, oder Menschen arbeiten direkt oder indirekt mit ihnen.
- Ein digitales System ist Teil eines komplexen Ökosystems, bei dem Sie einschätzen müssen, welche Priorität, Kritikalität oder Empfindlichkeit es hat. Sobald Sie dies wissen, sollten Sie ihm einen bestimmten Platz in der Strategie zur Sicherung Ihrer IT-Umgebung zuweisen
- Ein digitales System kann aus verschiedenen Perspektiven wichtig sein. Einige können sensible Daten enthalten; daher muss ihre Vertraulichkeit geschützt werden. Einige können Daten speichern, die, sobald sie versehentlich oder durch eine externe Partei verändert werden, ein Integritätsproblem auslösen würden. Einige können Teil einer rund um die Uhr laufenden Umgebung sein; daher ist ihre Verfügbarkeit kritisch zu sehen.
- Trotzdem muss ein digitales System zuverlässig und belastbar sein. Sollte dies nicht der Fall sein, können die Konsequenzen sowohl Sie, Ihr Unternehmen als auch Ihre Kunden und Lieferanten betreffen.
Ein sicheres und zuverlässiges digitales System muss also gut geplant, aufgebaut, betrieben und entsprechend gewartet werden. Hier sind einige wichtige Schlüsselaspekte, die hierzu zu beachten sind:
• Wer, außer dem IT-Architekt, kann das System und seine Funktionsweise leicht verstehen?
Idealerweise sollten auch Personen mit weniger Erfahrung überblicken können, wie die Räder innerhalb eines komplexen Systemaufbaus ineinandergreifen.
• Wer hat Zugriff auf das System, wann und wie?
Das Passwortmanagement, die Multi-Faktor-Authentifizierung und die Implementierung von Least Privilegs auf allen Ebenen eines Unternehmens sind wichtig. Auch, oder besser gesagt vor allem, wenn jemand viel Macht in der Organisation hat, dann sollte er/sie nicht überall digitalen Zugriff haben.
• Was sind die Trade-Offs zwischen strategischen Zielen, Anforderungen von Kunden, Partnern oder Regulierung?
Die digitalen Prozesse unterstützen Dienstleistungen, Produktentwicklung, Forschung und vieles mehr. Sie sind aber auch an verschiedene nicht-funktionale Anforderungen gebunden, die sich hauptsächlich auf Eigenschaften wie Sicherheit und Zuverlässigkeit beziehen. Diese werden oft übersehen oder nicht berücksichtigt. Themen wie Service Levels, Kommunikationsschnittstellen oder Monitoring gehören beispielweise dazu.
• Wie flexibel ist die digitale Umgebung gegenüber den ständigen Veränderungen, die die digitale Welt mit sich bringt?
Wie oft werden zum Beispiel Patches installiert, um die Sicherheitslücken zu schließen?
Wenn Ihr Unternehmen eine Cloud-Strategie hat, wie stellen Sie sicher, dass nur die Berechtigten auf die Informationen in der Cloud zugreifen?
• Wie ist das System auf Ausfallsicherheit ausgelegt?
Was passiert, wenn das Unternehmen einen digitalen Ausfall bewältigen muss, sei es durch eine externe Partei oder durch einen Unfall verursacht?
Business Continuity muss geplant und geübt werden
• Wer ist für was verantwortlich, wenn es um die IT und deren Sicherheit und Zuverlässigkeit geht?
Ob interner Service oder einfach ausgelagert, die IT-Kultur ist im digitalen Unternehmen entscheidend. Mitarbeiter und Partner müssen sich über ihren digitalen Fußabdruck im Unternehmen bewusst sein. Darüber hinaus müssen sie verstehen, dass unvermeidliche Ereignisse eintreten und dass ein nachhaltiger Wiederherstellungsprozess nicht nur vorhanden, sondern auch bekannt sein muss. Solche Ziele müssen mit der Unternehmensführung abgestimmt werden, unabhängig von der Größe der Organisation.
• Wer ist verantwortlich, wenn es um den Schutz persönlicher Daten geht (Datenschutzbeauftragter)?
Da Organisationen zunehmend auf (vernetzte) Technologie angewiesen sind, bedeutet deren Sicherheit und Zuverlässigkeit gleichermaßen auch die der Unternehmen selbst.
Dies kann Auswirkungen auf Mitarbeiter, Prozesse und Partner haben. Viele Entscheider glauben, dass eine Antiviren-Lösung, ein Firewall-System oder eine Cyber-Versicherung ausreichen.
Die Realität ist, dass ein aktuelles Schutzniveau keine Garantie gegen die Bedrohungen ist, die am nächsten Tag auftreten können. Daher müssen Sie die Anforderungen an die Cybersicherheit im Auge behalten und die Sicherheitskontrollen, die Sie möglicherweise bereits implementiert haben oder verwenden, weiter ausbauen.
Ovidiu Ursachi
Ovidiu Ursachi ist Geschäftsführer der masernet GmbH und Experte für IT- und Cybersecurity. Er verfügt über mehr als 15 Jahre Erfahrung in der IT-Branche, im Bereich Cybersecurity, Software-Entwicklung und der Umsetzung von Managed Security Services.