Compliance und Recht sind ein Minenfeld
Foto: Armin Weiler
So ist für die Diskussionsteilnehmer am Security-Roundtable weniger die Sicherheitstechnik eine Frage, sondern eher das Thema Compliance und Recht ein Problemfeld, wenn nicht gar ein Minenfeld. Wer hat Zugriff auf die Daten? Von wo darf er Zugriff haben? Wann exportiert ein Mitarbeiter die Daten? Ist ein Monitoring der Cloud durch den Admin bereits ein Datenabruf? So oder ähnlich lauten die Fragen, mit denen sich die CIOs in ihrer täglichen Arbeit konfrontiert sehen, wenn es um das Thema Cloud und Sicherheit geht. Fragen, die sich unabhängig davon ergeben, ob der Cloud-Partner ein Data Center in Deutschland oder einem anderen Land betreibt. Gerade bei Informationen, die der Exportkontrolle unterliegen, stelle sich die Frage, so Gutau, ob unterwegs der Zugriff auf die Daten dann einen nicht erlaubten Export darstelle.
Dabei treibt Gutau neben dem Thema Datenschutz vor allem die Frage um, wie geistiges Eigentum geschützt wird, "da spielen die Standorte der Cloud-Anbieter eine untergeordnete Rolle. Wichtig ist, ob ein Anbieter unsere Daten effektiv schützen kann. Das Risiko, kritische Daten zu verlieren, können wir nicht eingehen, da behalten wir lieber selbst die Kontrolle." Auch Datenschutzgesetz und andere gesetzliche Regelungen sollen hier keine ausreichende Sicherheit bieten, "denn derartige Gesetze sind in der Umsetzung komplex und können gebrochen werden", führt Gutau weiter aus.
- Fehlende Fachkenntnisse
Die IT-Industrie wächst schneller, als die Universitäten qualifizierte Fachkräfte in den Markt bringen können. So bleiben zahlreiche IT-Abteilungen unterbesetzt und unterqualifiziert. 76 Prozent der von Trustwave für die Studie Befragten fühlen sich deshalb genötigt, sich selbst in ihrer täglichen Arbeit ständig zu übertreffen, um den Fachkräftemangel etwas zu kaschieren. Trustwave-Marketingchef Cas Purdy sieht externe Security-Service-Unternehmen wie sein eigenes in einer guten Position, IT-Abteilungen zu unterstützen. - Ungeduldiger Vorstand
Vier von zehn Security-Experten mögen Vorstandssitzungen überhaupt nicht. Direkt vor oder nach einem solchen Meeting haben sie nämlich den meisten Stress. Damit ist die Zahl derer, die sich von den eigenen Chefs stark unter Druck gesetzt fühlen sogar knapp höher als die Zahl derer, die sich unmittelbar nach einem großen Datendiebstahl gestresst fühlen (39 Prozent der von Trustwave Befragten). - Erkennen vs. vorbeugen
Die Erkennung von Schwachstellen, Malware und schädlichen Netzwerkaktivitäten stellt für jeden zweiten IT-Security-Experten eine Aufgabe im Tagesgeschäft dar, die mit großem Druck verbunden ist. Es geht darum, Hintertüren in den Systemen zu entdecken, die als Einfallstor missbraucht werden könnten und diese zu schließen, bevor es zu einem Sicherheitsvorfall kommt. Ein Katz-und-Maus-Spiel, was einen gewissen Druck entstehen lässt. - Zu frühe Releases
Wenn IT-Produkte veröffentlicht werden, bevor sie wirklich fertig sind – das ist ein Problem, das 77 Prozent der von Trustwave Befragten nur zu gut kennen. Denn zumeist mangelt es den neuen Errungenschaften gerade an einem – an Sicherheit. Dennoch werden Sicherheitsspezialisten häufig von ihren Unternehmen dazu genötigt, das unfertige Produkt so schnell wie möglich aus der Tür zu bringen. - Internet der Dinge
Wenn alles mit allem vernetzt ist und entsprechend viele neue Angriffspunkte entstehen, sind neue Aufgaben für Security-Experten nicht weit. Das Internet der Dinge (IoT) beherrscht viele Unternehmen und stellt IT-Verantwortliche vor die Aufgabe, entsprechende Lösungen zu entwickeln und zu integrieren. Mehr als jeder zehnte Security-Verantwortliche fühlt sich dadurch unter Druck gesetzt, dass ihm gar nicht die Wahl gelassen wird, ob er IoT-Technologie überhaupt als sinnvoll erachtet. Es geht oftmals nur darum, sie schnellstmöglich einzubauen – unter Sicherheitsaspekten alle andere als schnell erledigt. - Big Data
Der Diebstahl von Kundendaten und von Intellectual Property bestimmt die Schlagzeilen – entsprechend groß ist die Angst von Unternehmensverantwortlichen, dass ihnen so etwas auch widerfahren könnte. Security-Verantwortliche haben großen Druck dadurch, fast die Hälfte von ihnen fürchtet sich vor einem Hack im großen Stil – dass erst Kundendaten abhandenkommen, dann auch noch Firmengeheimnisse verschwinden und es anschließend neben dem herben Imageverlust auch noch zu Gerichtsverfahren kommt. Ganz unbegründet ist diese Angst nicht – zahlreiche reale Fälle, die genau so oder ähnlich abgelaufen sind, geben dieser Befürchtung Nahrung. - Angebot und Nachfrage
Dass es an Security-Personal fehlt, wurde bereits deutlich. Der Bedarf an Experten ist dennoch erstaunlich: Fast jeder Dritte für die Trustwave-Studie Befragte wünscht sich eine Vervierfachung des IT- und IT-Security-Personalstamms im eigenen Unternehmen. Jeder zweite immerhin eine Verdoppelung. Ähnlich groß ist der Wunsch nach einem höheren IT-Security-Budget. - Sicherheit des Arbeitsplatzes
Wenn es zu einem Security-Vorfall gekommen ist, fürchtet nur jeder zehnte Verantwortliche um seinen Job – was maßgeblich mit dem Fachkräftemangel zusammenhängt. Sollte doch einmal die Entlassung drohen, finden Security-Experten schnell wieder einen Arbeitgeber. Also immerhin ein Punkt, an dem sich nur wenige größere Sorgen machen müssen.
Ohne Cloud geht es nicht
Foto: Armin Weiler
Angesichts solcher und anderer Unwägbarkeiten kann sich die Diskussionsrunde nur schwer mit dem Gedanken anfreunden, dass in einigen Jahren eine Erbringung von IT-Leistungen ohne Cloud Services eventuell komplett unmöglich ist. So ist etwa Schott überzeugt, dass man künftig um gewisse Cloud-Anwendungen nicht herumkommen werde, nachdem er bereits heute dediziert Cloud-Anwendungen wie zum Beispiel Salesforce einsetzt. Deshalb sei es wichtig die Cloud so kompatibel wie möglich zu den Standards der Anwenderunternehmen zu gestalten, um agil und flexibel handeln zu können. Gutau von Infineon unterstützt dies durchaus, weist aber darauf hin, dass sein Unternehmen Kundenbeziehungen pflege, die geschützt werden müssten.
Dies sei mit den momentan verfügbaren Sicherheitsmechanismen in der Public Cloud nicht gewährleistet. "Und was machen Sie, wenn zwei Unternehmen mergen, die bei unterschiedlichen Cloud-Anbietern sind", fragt Gutau weiter und kommt zu dem Schluss, "die Zusammenführung der Daten kann je nach vertraglicher Situation sehr problematisch sein". Letztlich, so sein Credo, müsse jedes Unternehmen für sich klären, wie es mit diesen Fragen umgeht.