Laut einer aktuellen Umfrage von Bitkom nutzen mittlerweile 65 Prozent aller deutschen Unternehmen Cloud-Technologien – das sind 11 Prozent mehr als im Vorjahr. Gleich ob private, öffentliche oder hybride Clouds, die Vorzüge von Cloud Computing haben die Marktsituation verändert. Zugleich wirft der Wechsel in die Cloud aber auch Sicherheitsrisiken auf.
Foto: Sergey Nivens - shutterstock.com
Die Virtualisierung der Infrastrukturen ist eine entscheidende Herausforderung, die Unternehmen stemmen müssen, um wettbewerbsfähig zu bleiben. Die Digitalisierung ermöglicht schnelle Implementierungen und bedarfsgerechte Skalierbarkeit. Jedoch geht die Entwicklung auch mit neuen Sicherheitsproblemen einher, auf die Unternehmen reagieren müssen. Analysten erwarten, dass bis 2020 86 Prozent des gesamten Datenverkehrs in von Unternehmen betriebenen Rechenzentren in Ost-West-Richtung fließen wird – und damit von den klassischen, am Perimeter orientierten Sicherheitsmechanismen nicht erfasst wird.
Ein Hauptproblem ist die mangelnde Sichtbarkeit und Transparenz in den physischen und virtuellen Infrastrukturen. So sind sich Unternehmen vielleicht nicht bewusst, dass es in ihren Netzwerken im Leerlauf betriebene und verwaiste virtuelle Maschinen (VMs) gibt, die Blind Spots verursachen können. Und da sich virtuelle Server und Rechner so leicht bereitstellen lassen, wissen die Sicherheitsmitarbeiter womöglich gar nichts von deren Existenz.
Zudem besteht die Gefahr, dass Endpunkte nicht richtig verwaltet werden und deshalb die Compliance-Kriterien nicht erfüllen. Eine Studie konstatiert, dass rund ein Drittel der VMs, die Serverressourcen beanspruchen, in diese Kategorien fallen. Mit dem zunehmenden Einsatz von Cloud Computing breiten sich auch unüberwachte Rechner immer mehr aus, und dieses Problem muss gelöst werden, weil Unternehmen sonst gefährdet sind und Ressourcen verschwenden.
Die heutige IT ist unerhört dynamisch und die Einhaltung von Vorschriften dementsprechend schwierig. Wohlmeinende Mitarbeiter können zwar Server hochfahren, aber sie können sie nicht patchen oder dafür sorgen, dass sie den Sicherheitsrichtlinien entsprechen. Zudem ziehen virtuelle Geräte oft um, und Backups, Umstrukturierungsprozesse und andere Aktionen führen zu Veränderungen, sodass die Sicherheitsteams leicht den Überblick über ihre Rechner verlieren können.
Die Herausforderung verstehen
Das Bundesministerium für Wirtschaft und Energie (BMWi) sieht im Cloud Computing eine der wichtigsten Technologien für einen erfolgreichen Übergang ins Zeitalter der Digitalisierung. Das Ministerium erwartet, dass die Zahl der Online-Geräte bis 2030 von derzeit 20 Milliarden auf 500 Milliarden steigen wird.
Die Unternehmen suchen nach den richtigen Strategien für diesen Wandel, müssen dabei aber auch die entstehenden Sicherheitsprobleme in den Blick nehmen. Neben dem bereits bestehenden Mangel an Überblick über die Infrastruktur und der Notwendigkeit zur schnellen Einführung von Cloud-Technologien gibt es noch weitere Aspekte, die aus der Sicherheitsperspektive bedenklich sind, und die IT-Verantwortlichen müssen die Wechselbeziehungen zwischen den einzelnen Entwicklungen verstehen. Und wenn eine Lösung ausgewählt und implementiert wurde, müssen die IT-Mitarbeiter die definierten Strategien auch in die Praxis umsetzen.
Die Umstellung auf die Cloud wird die To-do-Liste enorm verlängern, doch Unternehmen müssen einen Weg finden, die verschiedenen Prioritäten miteinander in Einklang zu bringen. Dabei arbeiten die meisten IT-Administratoren allerdings bereits am Limit. Laut der Global Security Workforce Study (GISWS) von ISC2, für die 19.000 IT-Spezialisten weltweit befragt wurden, fehlt es in 70 Prozent der Unternehmen an Sicherheitsmitarbeitern.
- Coaching
Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind. - Abwechslung
Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen. - Dampf ablassen
Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben. - Karriere-Chancen
Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern. - Fortbildungen
Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind. - Erfolg messen
Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat. - Umgang mit Stress
Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko. - Work Life Balance
Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen. - Interesse aufrechterhalten
Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen. - Gleichbehandlung
Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.
In den meisten Unternehmen hat sich heute ein großes Arsenal von Sicherheitstools angesammelt. Eine Umfrage unter 350 Führungskräften und Consultants im IT-Sicherheitssektor ergab, dass in mehr als der Hälfte der Unternehmen (52 Prozent) über 13 Sicherheitslösungen im Einsatz sind. Für all diese Tools muss Zeit und Personal aufgewendet werden, was wiederum den Spielraum für die Implementierung innovativer neuer Technologien verkleinert.