[datensicherheit.de, 30.11.2022] Der eco, Verband der Internetwirtschaft e.V., geht in seiner aktuellen Stellungnahme auf das Ergebnis einer von ihm beauftragten Umfrage ein: Demnach sieht nach einem Jahr „Ampel“-Regierung sieht ein Großteil der Deutschen nicht den erhofften Digitalen Aufbruch. Dies zeigt demnach eine repräsentative Umfrage des Meinungsforschungsinstituts Civey im eco-Auftrag von: Rund 72 Prozent der Befragten hätten angegeben, dass die „Ampel“-Koalition die Digitale Transformation in Deutschland entschiedener vorantreiben müsse. Civey habe in der Zeit vom 28. bis zum 29. November 2022 rund 2.500 Personen befragt – die Ergebnisse seien repräsentativ für die Einwohner der BRD ab 18 Jahren (der statistische Fehler liege bei 3,5 Prozent).

Bild: eco

Oliver Süme: Der erhoffte Turbo für die Digitale Transformation in Deutschland ist bislang ausgeblieben!

eco-Vorstandsvorsitzender fordert, dass Maßnahmen und Ressorts stärker ineinandergreifen sollten

Knapp 15 Prozent zeigten sich unentschieden. Nur 13 Prozent der Befragten hätten den Eindruck, „dass die ,Ampel’-Regierung die Digitalisierung entschieden vorantreibt“. Unter den Wählern der drei Koalitionsparteien wünschten sich vor allem Anhänger der Freien Demokraten mehr Fortschritt bei der Digitalen Transformation: Für 77,4 Prozent der FDP-Wähler gehe dieser Prozess noch nicht schnell genug.

„Der erhoffte Turbo für die Digitale Transformation in Deutschland ist bislang ausgeblieben, ein Paradigmenwechsel in der Digitalpolitik nicht erkennbar“, bilanziert der eco-Vorstandsvorsitzende, Oliver Süme. Grundsätzlich seien Wille und Anstrengung sichtbar, zentrale digitalpolitische Fragestellungen strategisch umzusetzen. Doch müssten hierfür verschiedene Maßnahmen und Ressorts stärker ineinandergreifen. „Die Zersplitterung der digitalpolitischen Zuständigkeiten in verschiedene Ressorts hat sich bereits in den letzten Wahlperioden als Bremsklotz bei zentralen Weichenstellungen für die Digitale Transformation am Standort Deutschland erwiesen“, unterstreicht Süme.

Leider habe es die „Ampel“-Regierung – wie auch schon die „Große Koalition“ vor ihr – verpasst, dem Thema Digitalisierung im Rahmen ihrer Ressortaufteilung eine strategische Schlüsselrolle beispielsweise in Form eines echten Digitalministeriums mit Budgetverantwortung und koordinierender Funktion für die Digitalpolitik, zuzuweisen.

Abbildung: eco

CIVEY-Umfrage: „Ampel“-Koalition und Digitale Transformation

eco moniert: Energieeffizienzgesetz kontraproduktiv für Digitalstandort Deutschland

Dieses Problem setze sich nun auch in dieser Legislaturperiode fort: „Zentrale Fragen für die Internetwirtschaft gehen im Streit verschiedener Ressorts unter“, moniert Süme und erläutert:. „Aktuell kann man das am Beispiel des Vorschlags für das neue Energieeffizienzgesetz sehen, das neue Regelungen für Rechenzentren aufgreift: Der jetzige Entwurf könnte sich mehr als schädlich für die Entwicklung des Digitalstandorts Deutschland erweisen und zur Abwanderung der Branche ins Ausland führen, da er technisch nicht machbare Anforderungen an Rechenzentrumsbetreiber formuliert.“

Mehr als die Hälfte der Deutschen (56,6%) forderten zudem, dass die Bundesregierung die Betreiber Kritischer Infrastruktur wie Rechenzentren im Zuge der Energiekrise stärker als bisher unterstützen sollte – so ein weiteres Ergebnis der aktuellen Civey-Umfrage.

[datensicherheit.de, 06.10.2022] Nach einer aktuellen Untersuchung von CyberArk beabsichtigen 57 Prozent der befragten IT-Entscheider in Deutschland Finanzhilfen, welche sie im Rahmen des sogenannten Aufbau- und Resilienzplans der EU erhalten, in die Sicherheit investieren. Der „2022 Identity Security Threat Landscape Report“ beleuchtet laut CyberArk die Ergebnisse einer Untersuchung, welche das Marktforschungsunternehmen Vanson Bourne im Auftrag durchgeführt habe. Befragt worden seien 1.750 IT-Security-Entscheider in Deutschland, Frankreich, Großbritannien, Italien, Spanien, Australien, Brasilien, Mexiko, Israel, Japan, Singapur und den USA.

Identity Security Threat Landscape: CyberArk publiziert neue Studie

Die EU stellt demnach den Mitgliedstaaten im Hinblick auf die wirtschaftlichen und sozialen Auswirkungen der „Corona-Pandemie“ mehr als 700 Milliarden Euro in Form von Darlehen und Finanzhilfen zur Verfügung. Gefördert werden sollten vor allem Maßnahmen in den Bereichen Klimaneutralität und Digitaler Wandel.

CyberArk hat in der neuen Studie „Identity Security Threat Landscape“ die Frage aufgeworfen, in welchen Segmenten die Unternehmen in der Digitalen Transformation Investitionen tätigen möchten: „Dabei zeigt sich, dass mit 57 Prozent die Mehrheit der deutschen Unternehmen ,Security’ als Priorität sieht.“

CyberArk: Große Gefahren werden vielfach in unbekannten und nicht verwalteten Identitäten gesehen

„Cybersecurity“ sei ohnehin das dominante Thema bei Investitionen in die IT. Ebenfalls 57 Prozent der befragten Unternehmen in Deutschland hätten hierzu in den letzten zwölf Monaten neue Schutzmaßnahmen ergriffen.

Unternehmen reagierten damit auf die steigenden Sicherheitsbedrohungen: „Große Gefahren sehen sie dabei vielfach in den unbekannten und nicht verwalteten Identitäten, die in immer größerer Zahl vorhanden sind.“ Schließlich führe die zunehmende Digitalisierung zu einer höheren Anzahl an Interaktionen zwischen Menschen, Applikationen und Prozessen – und damit auch zu mehr digitalen Identitäten. Für 34 Prozent stellten dabei die Endgeräte der Mitarbeiter – seien es Desktop-PCs, Notebooks oder mobile Geräte – das größte Sicherheitsrisiko dar.

67% befürchten laut CyberArk-Studie, Hacker-Zugriff nicht zuverlässig verhindern zu können

„Die Gefahrenlage betrachtet die deutliche Mehrheit der Befragten als kritisch.“ So meinen 67 Prozent, dass sie den Zugriff von Hackern auf wichtige Unternehmenssysteme und -daten nicht zuverlässig verhindern könnten – und 65 Prozent halten das eigene Unternehmen gegen zielgerichtete Angriffe etwa durch Phishing-E-Mails für nicht ausreichend gewappnet.

„Bei den Sicherheitsmaßnahmen, die Unternehmen ergreifen wollen, nimmt die Zero-Trust-Strategie eine prominente Rolle ein.“ Dabei gehe es in erster Linie um den Einsatz von Identitätssicherheitstools, um den Benutzer vor dem Verbindungsaufbau zum Netzwerk zu identifizieren und zu validieren. Darüber hinaus hätten auch Lösungen für die Anwendungs- und „Workload“-Sicherheit eine hohe Priorität. „Dies betrifft alle ,Workloads’, die mit Anwendungen, digitalen Prozessen oder der Nutzung von ,Public Cloud’-Ressourcen verbunden sind.“

Angriffsfläche der Unternehmen für Hacke immer größer, warnt CyberArk

„Die Angriffsfläche, die Unternehmen Hackern bieten, wird immer größer. Die zunehmende Digitale Transformation oder ,Cloud’-Nutzung sind dafür nur zwei Gründe. Sie führen unweigerlich zu einer höheren Anzahl digitaler Identitäten, die Unternehmen nur mit einem umfassenden Identity-Security-Ansatz zuverlässig sichern können“, betont Michael Kleist, „Area Vice President DACH“ bei CyberArk.

Ein wichtiger Baustein sei dabei das sogenannte Zero-Trust-Prinzip, „das eine Verifizierung sämtlicher Akteure und Prozesse beinhaltet, die eine Verbindung zu kritischen Systemen herstellen wollen“. Abschließend führt Kleist aus: „Unsere Untersuchung zeigt, dass Unternehmen die große Bedeutung von ,Zero Trust’ auch erkennen. Es bleibt zu hoffen, dass der Einsicht nun Taten folgen.“

Weitere Informationen zum Thema:

CYBERARK
The CyberArk 2022 Identity Security Threat Landscape Report / Massive Growth of Digital Identities Is Driving Rise in Cybersecurity Debt

[datensicherheit.de, 03.08.2022] Fast alle Sicherheitsverantwortlichen (96%) hätten innerhalb der letzten 24 Monate einen Anstieg der „Cloud“-Nutzung in ihren Unternehmen verzeichnet. Dies führe dazu, dass immer weniger Daten auf den Endgeräten (10%) gespeichert und sogenannte SaaS-Anwendungen zum am häufigsten genutzten Speicherort würden. Mittlerweile liege dort bei 60 Prozent der Unternehmen der Hauptanteil ihrer Daten.„Für die Sicherheitsteams entstehen auf diese Weise immer größere ,Blind Spots‘, die sie mit traditionellen Sicherheits-Lösungen nicht schließen können“, warnt Michael Scheffler, „Country Manager DACH“ von Varonis Systems, und führt aus: „Jeder zweite Sicherheitsverantwortliche (54%) sieht deshalb seine aktuellen Sicherheits-Ansätze als überholt an, so eine aktuelle von Varonis Systems in Auftrag gegebene Studie der Analysten von Forrester.“

Foto: Varonis Systems

Michael Scheffler: Sich beim Schutz der Cloud-Daten auf den Provider zu verlassen, ist mehr als fahrlässig!

Laut Forrester in nahezu allen Unternehmen Einsatz von SaaS-Tools zugenommen

In nahezu allen Unternehmen habe in den letzten zwei Jahren der Einsatz von SaaS-Tools zugenommen – bei 60 Prozent der Unternehmen sogar „signifikant“. Hierdurch werde jedoch die Identifizierung sensitiver Daten und dadurch auch ihr Schutz wesentlich erschwert.

Scheffler ergänzt: „Hinzu kommt eine mangelnde Transparenz bei den Zugriffsrechten: So sehen 53 Prozent einen Zusammenhang zwischen der zunehmenden Nutzung von ,Cloud‘-Diensten und mangelnden Einblicken in übermäßige Zugriffsrechte.“

40 Prozent hätten keinen Überblick, ob die Mitarbeiter nur Zugriff auf Daten haben, „die sie auch tatsächlich für ihre Arbeit benötigen“. Entsprechend gering sei das Vertrauen in die derzeit umgesetzten Sicherheitsansätze: Nur knapp die Hälfte sehe sich in der Lage zu erkennen, „ob einem User Superadministrator-Zugriff gewährt wurde“. 45 Prozent gingen davon aus, dass sie nicht erkennen könnten, dass in Folge eines Ransomware-Angriffs eine Massenverschlüsselung von Dateien beginne.

Digitale Transformation beschleunigt nach Forrester-Erkenntnissen Übertragung von Daten in SaaS-Anwendungen

„Da sich die Digitale Transformation beschleunigt und immer mehr Daten in SaaS-Anwendungen übertragen werden, benötigen Sicherheitsteams Technologien, die überwachen, wie User mit Daten interagieren und nicht nur, wie sie darauf zugreifen“, betont Scheffler. Sicherheitsverantwortliche müssten schnell identifizieren können, wenn sich ein Mitarbeiter auffällig verhält – und dies könne nur hinreichend geschehen, „wenn dabei sowohl On-Premises- als auch SaaS-Lösungen einbezogen und miteinander in Beziehung gesetzt werden“.

Unternehmen beschritten in Bezug auf die Datensicherheit jedoch zwei unterschiedliche Ansätze: 54 Prozent setzten auf eine integrierte Datensicherheitsstrategie, die On-Premises- und „Cloud“-Daten einbezieht, knapp ein Viertel (24%) auf getrennte Ansätze. Zehn Prozent verfügten lediglich über eine Strategie für die lokal gespeicherten Daten, aber nicht für die „Cloud“.

Einem Angreifer sei es letztlich egal, wo die wertvollen Daten gespeichert sind. Deshalb müssten sämtliche sensitiven Daten eines Unternehmens wirksam geschützt werden, ganz gleich, ob diese sich auf einem Unternehmensserver oder in der „Cloud“ befinden, so Scheffler und warnt: „Sich beim Schutz der ,Cloud‘-Daten auf den Provider zu verlassen, ist dabei mehr als fahrlässig. Diese schützen zwar sehr effektiv die Datenzentren und Infrastruktur, für die Sicherheit der Daten sind allerdings ausschließlich die Kunden bzw. User verantwortlich.“

Empfehlungen von Forrester-Experten:

Für die Experten von Forrester ist es demnach evident, dass die zunehmende Nutzung von „Cloud“-Collaboration-Tools und SaaS-Anwendungen neue Sicherheitsherausforderungen mit sich bringt: „Unternehmen müssen deshalb ihre Datensicherheitsstrategie vereinheitlichen und verbessern, um den Anschluss nicht zu verlieren.“ Hierzu empfehlen sie folgende Punkte:

Kontrollen implementieren, welche direkt auf die Daten ausgerichtet sind
Der Perimeter verliere zunehmend an Bedeutung, weshalb Unternehmen ihre Daten von innen nach außen schützen müssten. Auf diese Weise werde es für Angreifer schwierig, unentdeckt zu bleiben.

Automatisierung der Identifizierung und Klassifizierung sensitiver Daten
Unternehmen müssten schnell erkennen, wo sich die Daten befinden und welche Daten besonders geschützt werden müssen, um jeweils angemessene Kontrollen anwenden zu können. Aufgrund des Volumens und Geschwindigkeit der Daten- und Inhaltserstellung sei hierbei eine Automatisierung unumgänglich.

Abstimmung der Datensicherheit mit Governance-Bemühungen
Diese aufeinander abzustimmen ziele darauf, die bestmögliche Wirkung zu erzielen. Sicherheitsverantwortliche müssten erkennen können, welche Daten wie von welchen Mitarbeitern verwendet werden, und einen übermäßigen Zugriff verhindern. Unternehmen sollten zudem ihre Datenrisiken durch die Löschung bzw. Archivierung veralteter oder überflüssiger Daten reduzieren.

Weitere Informationen zum Thema:

FORRESTER
Take A Data-First Approach To Securing The Cloud

[datensicherheit.de, 25.11.2021] 2021 hat sich offensichtlich bereits als „ein Jahr der Angriffe auf Kritische Infrastrukturen erwiesen“. Die erfolgreichen Cyber-Angriffe auf Colonial Pipeline, JBS USA Holdings Inc. und die Wasseraufbereitungsanlage in Oldsmar (Florida) hätten dazu geführt, dass sich Betreiber Kritischer Infrastrukturen (KRITIS) weltweit in erhöhter Alarmbereitschaft befänden, um ihren laufenden Betrieb zu schützen. Darüber hinaus erwarteten sie eine Verschärfung der gesetzlichen Vorschriften, so Palo Alto Networks in einer aktuellen Meldung.

Absicherung der heutigen KRITIS und OT von größter Bedeutung…

Die Absicherung der heutigen KRITIS und der Betriebstechnologie (OT) sei von größter Bedeutung. Führungskräfte müssten das Sicherheitsrisiko im Zusammenhang mit der nächsten Welle von Infrastrukturen beachten, „die in Planung sind oder bereits online sein könnten“.
Obwohl die Digitale Transformation im Bereich KRITIS/OT nicht so schnell voranschreite wie im IT-Bereich, werde der Wandel von zwingenden geschäftlichen Faktoren bestimmt, wie z.B. der Verbesserung der Serviceverfügbarkeit und Sicherheit sowie der Senkung der Betriebskosten.
Betriebs-, IT- und Sicherheitsteams hätten in der Vergangenheit bei OT-Projekten vielleicht nicht zusammengearbeitet, aber jetzt sei es unerlässlich, dass sie eng zusammenarbeiteten, „um sicherzustellen, dass die Sicherheit bereits im Planungsprozess der digital transformierten KRITIS/OT berücksichtigt wird, anstatt zu versuchen, sie nachträglich einzubauen“.

Palo Alto Networks stellt Konzepte Zero Trust und den Plattformansatz für KRITIS/OT-Sicherheit vor

Palo Alto Networks geht nach eigenen Angaben der Frage nach, „warum eine erfolgreiche Digitale Transformation von KRITIS/OT die Zusammenarbeit der Führungsebene erfordert, um sicherzustellen, dass die Sicherheitstransformation im Einklang mit der OT-Modernisierung erfolgt“.
Außerdem stellt Palo Alto Networks die Konzepte „Zero Trust“ und den „Plattformansatz“ für die KRITIS/OT-Sicherheit vor und erläutert, „warum sie für die Gewährleistung erfolgreicher Geschäftsergebnisse von zentraler Bedeutung sind“.

KRITIS und OT sind hochattraktive Ziele für Cyber-Angriffe

Die zunehmende Häufigkeit von Angriffen auf KRITIS/OT sollte nicht überraschen, „wenn man bedenkt, welche potenziell lähmenden Auswirkungen diese Cyber-Angriffe auf Versorgungsunternehmen, Betreiber von Energieleitungen, Schifffahrtsunternehmen oder Hersteller haben können“.
Die Angreifer wüssten, welchen Einfluss sie hier ausüben könnten. So hätten Cyber-Kriminelle beispielsweise erkannt, dass sie von ihren Opfern beträchtliche Lösegelder erpressen könnten, und Nationalstaaten könnten rivalisierende Länder durch die Demonstration ihrer Fähigkeiten im Bereich der Cyber-Kriegsführung effektiver einschüchtern.
Bei den Angriffen auf Colonial und JBS seien zusammen 15 Millionen US-Dollar Lösegeld gezahlt worden. Die Angreifer hätten es nicht nur zunehmend auf KRITIS/OT abgesehen, sondern investierten auch verstärkt in die Verbesserung ihrer Fähigkeiten, diese Organisationen zu kompromittieren. Palo Alto Networks habe Fälle beobachtet, „in denen KRITIS/OT-spezifische Angriffe, wie ,Crash Override‘ und ,Triton‘, entwickelt wurden“.

Verwundbarkeit der KRITIS wichtiger Aspekt bei Risikokalkulation

Auf der anderen Seite der Angriffe stehe die Verwundbarkeit unserer KRITIS. Dies sei ein wichtiger Aspekt bei der Risikokalkulation. Es gebe viele Quellen für Schwachstellen, darunter die typischerweise nicht segmentierten Netzwerke, offene Richtlinien und die Softwareschwachstellen in den oft ungepatchten / unpatchbaren Altsystemen selbst (z.B. HMI, PLC, ICS, SCADA, DCS, MES).
Häufig mangele es auch an der Zusammenarbeit zwischen IT- und OT-Personal, was zu schwachen, unkoordinierten Sicherheitsprogrammen, unzureichender Finanzierung und geringem Risikobewusstsein führe.
In Anbetracht der Tatsache, dass viele Angriffe auf KRITIS von der IT aus- und dann auf die OT übergingen, könne ein mangelndes Bewusstsein nicht ignoriert werden. Zusammenfassend lasse sich sagen, „dass die zunehmende Zahl von Angriffen und die historisch schlechte Sicherheitslage von KRITIS die Verantwortlichen für den Schutz der heutigen Kritischen Infrastrukturen vor immer größere Herausforderungen stellt“.

Potenzieller Blinder Fleck bei Digitalen Transformation von KRITIS und OT

Fairerweise müsse man sagen, dass in den letzten Jahrzehnten viel geschehen sei, um die Lücken in der KRITIS-Sicherheit zu schließen. „Dabei handelte es sich in erster Linie um eine Nachrüstung, bei der bessere Sicherheitsvorkehrungen an Stellen getroffen wurden, an denen nur minimale oder gar keine Sicherheitsvorkehrungen vorhanden waren.“
KRITIS-spezifische Vorschriften und Standards (z.B. NERC CIP, NIST Cybersecurity Framework, die NIS-Richtlinie und ISA 62443) seien ebenfalls zum Schutz Kritischer Infrastrukturen eingeführt worden – „und es werden wahrscheinlich noch weitere hinzukommen, wenn weitere Ereignisse eintreten“.
Darüber hinaus lernten IT- und OT-Teams, besser zusammenzuarbeiten, während eine stärkere Sensibilisierung der Führungsebene zu einer besseren „Governance“ führe.

KRITIS-Organisationen implementieren nächste Erweiterung ihrer Infrastruktur als Teil Digitaler Transformationsinitiativen

Diese Bemühungen um die Beseitigung der Unzulänglichkeiten der OT in der Vergangenheit sind nach Meinung von Palo Alto Networks „durchaus bewundernswert“, aber bei der Erfüllung der Sicherheitsanforderungen der entstehenden und zukünftigen OT-Infrastruktur komme es auch zu Unstimmigkeiten.
Viele KRITIS-Organisationen hätten damit begonnen, die nächste Erweiterung ihrer Infrastruktur als Teil ihrer Digitalen Transformationsinitiativen zu implementieren, die Namen wie „Industrie 4.0“, „Smart Grids“ und „Digital Oilfields“ trügen.
Diese intelligenten Infrastrukturen sollten die Vorteile von industriellen Automatisierungstechnologien der nächsten Generation wie IoT-Sensoren und Robotik, „Cloud“, „Digital Twins“, 5G und SD-WAN voll ausschöpfen und gleichzeitig die Lieferketten weiter integrieren.

KRITIS-Pilotprojekte oft noch ohne Einbeziehung der Sicherheitsteams

Die Unternehmen seien oft sehr schnell dazu übergegangen, Pilotprojekte und sogar Produktionsimplementierungen zu starten, ohne die Sicherheitsteams einzubeziehen. Sicherlich seien die geschäftlichen Vorteile dieser Technologien überzeugend genug, um die Zeit bis zum ROI zu verkürzen.
Die Einführung dieser neuen Technologien und die zunehmende Konnektivität mit der „Cloud“ und Drittanbietern könnte jedoch viele Schwachstellen mit sich bringen, „wenn sie nicht richtig verwaltet werden“.
Ironischerweise bestehe ein sehr reales Risiko, dass die Fehler der Vergangenheit, als OT ohne Rücksicht auf die Sicherheit gebaut worden sei, sich wiederholen könnten.

Digitale Transformation der KRITIS erfordert auch Transformation der Sicherheit

Palo Alto Networks hält es für unerlässlich, „dass Eigentümer und Betreiber Kritischer Infrastrukturen die Bemühungen zur Umgestaltung von KRITIS nicht von der Cyber-Sicherheit abkoppeln“. Das Risiko, dass diese neuen Angriffsflächen unkontrolliert bleiben, sei zu hoch.
Ein Schlüsselbereich der Sicherheitstransformation sei der organisatorische Bereich, in dem sich die Rahmenbedingungen dafür ändern müssten, wie IT-, OT- und Sicherheitsteams zusammenkommen könnten, um einen gemeinsamen Plan zu diskutieren und zu erarbeiten. Immer häufiger gebe es Konflikte zwischen diesen Teams aufgrund von „Schatten-OT“, „wenn das Unternehmen eine Infrastruktur einrichtet, die nicht von anderen Interessengruppen wie IT und Sicherheit beeinflusst wurde“. Auf der anderen Seite könne das Unternehmen das Gefühl haben, dass die IT/Sicherheit den Kernbetrieb bedrohe und die Kernaufgabe, nämlich die Bereitstellung von Dienstleistungen und/oder die Steigerung der Einnahmen, nicht unterstütze.
Die Motive der Unternehmensleiter mögen gut gemeint sein, aber die Risiken des unkontrollierten Einsatzes dieser fortschrittlichen Technologien seien zu hoch. Ein Teil des erforderlichen Wandels liege daher in der Art und Weise, „wie Unternehmen zusammenarbeiten, um sicherzustellen, dass die Modernisierung von KRITIS/OT auch die RACI-Stakeholder einbezieht, insbesondere Sicherheit und IT“.

KRITIS/OT-Sicherheitsumstellung auch eine Mentalitätsfrage

Ein weiterer wichtiger Aspekt der erforderlichen KRITIS/OT-Sicherheitsumstellung liege in der Denkweise. Viele Unternehmen betrachteten OT als eine von der IT abgeschottete Umgebung – „und alles hinter dieser Mauer ist vertrauenswürdig“. Vielleicht betrachteten sie auch jeden Benutzer, „der sich erfolgreich für den Zugang zu OT authentifiziert hat“, als vertrauenswürdig. Dieses Vertrauensmodell habe sich als fehlerhaft erwiesen.
Man könne bis zum „Stuxnet“-Angriff im Jahr 2010 zurückgehen, als ein wirklich abgeschottetes System durch einen kompromittierten Anbieter angegriffen worden sei. Stattdessen müssten Unternehmen eine „Zero Trust“-Mentalität und -Architektur einführen, die nicht von Vertrauensstufen ausgehe, sondern zusätzlichen Kontext innerhalb des Netzwerkverkehrs erfasse und dann auf der Grundlage dieser Informationen Entscheidungen darüber treffe, „was erlaubt oder verweigert werden soll“.
„Zero Trust“ habe zwar seine Wurzeln in der IT, lasse sich aber auch auf CI/OT übertragen und biete enorme Vorteile bei der Verbesserung der Transparenz und der Verringerung von Cyber-Risiken in Infrastrukturen wie Anlagen und Kontrollzentren.

Auch Angreifer beginnen, sich die Cloud, KRITIS und Automatisierung zunutze zu machen

Darüber hinaus beinhalte die Umgestaltung der Sicherheit von KRITIS/OT die Verbesserung der Effektivität und Effizienz von Sicherheitsmaßnahmen durch einen „Plattformansatz“. Es sind nach Meinung von Palo Alto Networks „neue Fähigkeiten erforderlich, um modernisierte Anlagen zu sichern, die über IoT, Robotik und Verbindungen mit 5G und SD-WANs zu Cloud-Anwendungen wie ,Historians‘ und ,Predictive Maintenance‘ verfügen können“. Ein neuer Sicherheits-Stack sei nötig, um die Funktionalität zur Sicherung dieser neuen Infrastruktur zu adressieren.
Anstatt dies durch das Hinzufügen von punktuellen Lösungen zum Sicherheits-Stack zu lösen, müssten Unternehmen einen Sicherheitsplattform-Ansatz in Betracht ziehen, „bei dem die Sicherheitsfunktionen als Dienste in einer Firewall-Plattform bereitgestellt werden, die das Netzwerk über die erweiterte KRITIS hinweg sichern kann“. Unternehmen sollten nach Plattformen Ausschau halten, welche diese Netzwerk-Sicherheitsinformationen mit „Cloud“- und Endpunktdaten korrelieren könnten, so dass Maschinelles Lernen zur Automatisierung des Erkennungs- und Behebungsprozesses eingesetzt werden könne.
Im Idealfall sei die Plattform in der gesamten IT und OT allgegenwärtig. Es gebe konsistente Sicherheitsansätze, gemeinsame Sicherheitsinformationen und unternehmensweite betriebliche Effizienz. „Die Kehrseite sind unzusammenhängende Einzellösungen, die Informationssilos und manuelle Prozesse aufweisen.“ Diese reichten nicht aus, um mit den ausgeklügelten Angriffen Schritt zu halten, die nur noch ausgeklügelter werden dürften, „da Angreifer beginnen, sich die ,Cloud‘, KRITIS und Automatisierung zunutze zu machen“.

Weitere Informationen zum Thema:

datensicherheit.de, 22.09.2021
IT-Sicherheitsgesetz 2.0: KRITIS benötigt mehr Schutz / Angriffsflächenmanagement kann IT-Sicherheit der KRITIS stärken

datensicherheit.de, 20.07.2021
KRITIS im Visier: Hacker-Angriffe auf das Allgemeinwohl / Bürger im Landkreis Anhalt-Bitterfeld z.B. direkt geschädigt, kommentiert Patrick Englisch

[datensicherheit.de, 21.03.2021] Laut des Veeam Data Protection Reports 2021 untergraben Datenschutzprobleme die Fähigkeit von Unternehmen, Initiativen zur Digitalen Transformation (DX) weltweit umzusetzen. So wurde festgestellt, dass 58 Prozent der Backups fehlschlagen und Daten ungeschützt bleiben. Veeam Software, Anbieter von Backup-Lösungen für Cloud-Datenmanagement, stellte vor dem Hintergrund von COVID-19 und der daraus resultierenden wirtschaftlichen Unsicherheit fest, dass 40 Prozent der CXOs diese als größte Bedrohung für die DX-Initiativen ihres Unternehmens in den nächsten 12 Monaten ansehen. Unzureichender Datenschutz und die durch die Pandemie verursachten Herausforderungen für die Geschäftskontinuität behindern zudem die Transformationsinitiativen von Organisationen.

Mehr als 3000 IT-Entscheider befragt

Der Veeam Data Protection Report 2021 befragte über 3000 IT-Entscheider in globalen Unternehmen – über 300 davon in Deutschland – zu ihren Ansätzen für Datensicherung und Datenmanagement. Die größte Studie ihrer Art untersucht, wie Unternehmen auf die IT-Herausforderungen vorbereitet sind, einschließlich der Reaktion auf Nachfrageänderungen und Serviceunterbrechungen, globale Einflüsse (wie COVID-19) und ambitionierte Ziele der IT-Modernisierung und DX.

Danny Allan, CTO Veeam Software, Bild: Veeam Software

„In den vergangenen 12 Monaten standen CXOs auf der ganzen Welt vor einzigartigen Herausforderungen. Sie mussten sicherstellen, dass Daten in einer hochgradig heterogenen Betriebslandschaft geschützt bleiben“, sagt Danny Allan, Chief Technology Officer und Senior Vice President of Product Strategy bei Veeam Software: „Als Reaktion auf die Pandemie haben wir gesehen, wie Unternehmen ihre DX-Initiativen um Monate, wenn nicht sogar Jahre beschleunigt haben, um im Geschäft zu bleiben. Doch die Art und Weise, wie Daten verwaltet und geschützt werden, hindert gleichzeitig die Umsetzung. Unternehmen werden durch Legacy-IT und veraltete Datensicherungsfunktionalitäten gebremst. Ebenso spielen Zeit und Geld, welche als Reaktion auf die dringendsten Herausforderungen von COVID-19 investiert werden müssen, eine Rolle. Solange diese Unzulänglichkeiten nicht behoben sind, wird sich eine echte digitale Transformation den Unternehmen weiterhin entziehen.“

Dringende Maßnahmen zum Datenschutz erforderlich

Die Befragten gaben an, dass ihre Datensicherungsfähigkeiten nicht mit den DX-Anforderungen ihres Unternehmens Schritt halten können. Das stellt eine Bedrohung für die Geschäftskontinuität dar und kann zu schwerwiegenden Folgen für den Ruf und die Leistung des Unternehmens führen. Trotz der integralen Rolle, die Backups in der modernen Datensicherung spielen, werden 14 Prozent aller Daten überhaupt nicht gesichert und 58 Prozent der Wiederherstellungen schlagen fehl. Das bedeutet, dass Daten von Unternehmen ungeschützt und im Falle eines Angriffes nicht wiederherstellbar sind. Darüber hinaus sind unerwartete Ausfälle keine Seltenheit: 95 Prozent der Unternehmen hatten in den letzten 12 Monaten damit zu kämpfen und bei jedem vierten Server gab es im vergangenen Jahr mindestens einen unerwarteten Ausfall. Mehr als die Hälfte der CXOs gibt an, dass dies zu einem Vertrauensverlust bei den Kunden, Mitarbeitern und Stakeholdern gegenüber ihrem Unternehmen führen kann.

„Es gibt zwei wesentliche Gründe für den geringen Erfolg von Backups und Wiederherstellungen: Backups enden mit Fehlern oder überschreiten das zugewiesene Backup-Fenster, und Wiederherstellungen erfüllen nicht die geforderten SLAs“, so Allan: „Einfach ausgedrückt: Wenn ein Backup fehlschlägt, bleiben die Daten ungeschützt, was für Unternehmen ein großes Problem darstellt, denn die Auswirkungen von Datenverlusten und ungeplanten Ausfallzeiten reichen von Kundenreaktionen bis hin zu sinkenden Aktienkursen des Unternehmens. Erschwerend kommt hinzu, dass sich die digitale Bedrohungslandschaft mit exponentieller Geschwindigkeit entwickelt. Das Ergebnis ist eine unbestreitbare Lücke zwischen den Datenschutzmaßnahmen von Unternehmen und ihren DX-Anforderungen. Angesichts des Drucks, der auf Unternehmen lastet, ihre Nutzung von Cloud-basierten Technologien zu beschleunigen, um Kunden in der digitalen Wirtschaft zu bedienen, ist es dringend notwendig, diese Lücke zu schließen.“

IT-Strategien von COVID-19 betroffen

CXOs sind sich der Notwendigkeit bewusst, einen Cloud-First-Ansatz zu verfolgen und die Art und Weise der IT-Bereitstellung als Reaktion auf die durch COVID-19 verursachte digitale Beschleunigung zu ändern. Viele haben dies bereits getan: 91 Prozent haben ihre Nutzung von Cloud-Services in den ersten Monaten der Pandemie erhöht, und die Mehrheit wird dies auch weiterhin tun: 60 Prozent planen, weitere Cloud-Services in ihre IT-Bereitstellungsstrategie aufzunehmen. Während die Unternehmen die Notwendigkeit erkennen, ihre DX-Initiativen in den nächsten 12 Monaten zu beschleunigen, räumen 40 Prozent jedoch ein, dass die wirtschaftliche Unsicherheit eine Gefahr für ihre Projekte darstellt.

DX beginnt mit digitaler Resilienz

Da Unternehmen zunehmend moderne IT-Services in rasendem Tempo einführen, wird unzureichende Datensicherung dazu führen, dass DX-Initiativen ins Stocken geraten oder sogar scheitern. CXOs spüren die Auswirkungen bereits: 30 Prozent sagten, dass ihre DX-Initiativen in den letzten 12 Monaten verlangsamt oder gestoppt wurden. Die Hindernisse zur Transformation sind vielschichtig, darunter die Tatsache, dass sich die IT-Teams zu sehr auf die Aufrechterhaltung des Betriebs während der Pandemie konzentrieren (53 Prozent), hinzu kommt die Abhängigkeit von Legacy-IT-Systemen (51 Prozent) und die mangelnden Fachkenntnisse der IT-Mitarbeiter zur Implementierung neuer Technologie (49 Prozent). In den kommenden 12 Monaten werden IT-Führungskräfte versuchen, ihre DX-Initiativen wieder in Gang zu bringen, indem sie sofortige Lösungen für ihre kritischen Datenschutzanforderungen finden, wobei fast ein Drittel diese in die Cloud verlagern möchten.

„Eine der größten Veränderungen, die wir in den letzten 12 Monaten gesehen haben, ist zweifellos eine zunehmende digitale Kluft zwischen jenen, die einen Plan für die digitale Transformation hatten, und jenen, die weniger vorbereitet waren, wobei erstere ihre Fähigkeit zur Umsetzung beschleunigten und letztere verlangsamten“, resümiert Allan: „Der erste Schritt im digitalen Transformationsprozess ist, digital resilient zu werden. Unternehmen suchen dringend nach Lösungen zur Modernisierung ihres Datenschutzes durch die Einführung der Cloud. Bis 2023 werden 77 Prozent der Unternehmen weltweit Cloud-First-Backups nutzen, was die Zuverlässigkeit von Backups erhöht, das Kostenmanagement verlagert und IT-Ressourcen freisetzt, um sich auf DX-Projekte zu konzentrieren, die es dem Unternehmen ermöglichen, sich in der digitalen Wirtschaft zu behaupten.“

Weitere Highlights des Veeam Data Protection Report 2021 sind:

• Hybrid-IT – physisch, virtuell und Cloud: In den nächsten zwei Jahren erwarten die meisten Unternehmen, dass sie ihre physischen Server allmählich und kontinuierlich reduzieren, ihre virtualisierte Infrastruktur beibehalten oder verstärken und Cloud-First-Strategien umsetzen. Dies wird dazu führen, dass die Hälfte der Produktions-Workloads bis 2023 in der Cloud gehostet wird, was die meisten Unternehmen dazu zwingt, ihre Datensicherungsstrategie für neue Produktionslandschaften neu zu konzipieren.
  Rasantes Wachstum bei Cloud-basiertem Backup: Die Datensicherung verlagert sich von On-Premises- zu cloudbasierten Lösungen, die von einem Service-Provider verwaltet werden und dies geschieht mit einem erwarteten Wachstum von 29 Prozent im Jahr 2020 auf voraussichtlich 46 Prozent im Jahr 2023.
• Stellenwert von Zuverlässigkeit: Die Zuverlässigkeit zu verbessern war laut 31 Prozent der Befragten der ausschlaggebende Grund für ein Unternehmen, die primäre Backup-Lösung zu wechseln.
• Verbesserung des ROI: Der wichtigste Treiber für einen Wechsel der Datensicherungslösung sei die Verbesserung ihrer Wirtschaftlichkeit, gaben rund 22 Prozent an, einschließlich der Verbesserung des ROI und der Reduzierung der TCO.
• Verfügbarkeitslücke: 80 Prozent der Unternehmen haben eine ‚Verfügbarkeitslücke‘ zwischen der tatsächlichen und der eigentlich angestrebten Dauer für die Wiederherstellung von Anwendungen.
• Realitätslücke: 76 Prozent haben eine ‚Datensicherungslücke‘ zwischen der Häufigkeit der Datensicherung und dem tolerierbaren Datenverlust bei Ausfällen.
• Moderne Datensicherung: 46 Prozent der Unternehmen weltweit werden bis 2023 mit einem Backup-as-a-Service-Anbieter (BaaS) zusammenarbeiten und 51 Prozent planen, im gleichen Zeitraum Disaster Recovery-as-a-Service (DRaaS) einzuführen.

Über den Report

Veeam beauftragte das unabhängige Marktforschungsunternehmen Vanson Bourne mit der Durchführung einer quantitativen Studie zu Trends, Akzeptanz und Wahrnehmung des Marktes für Datensicherheit in Unternehmen weltweit. Die Untersuchung wurde unter 3.000 IT-Entscheidern (in Unternehmen mit mehr als 1.000 Mitarbeitern) aus 28 Ländern durchgeführt. Dabei wurde ein unvoreingenommener und quantitativer Ansatz verwendet, um die Unparteilichkeit der Ergebnisse zu gewährleisten.

Um zu erfahren, wie diese Probleme angegangen werden können, veranstaltet Veeam am 25. und 26. Mai 2021 die virtuelle Veranstaltung zur Modernisierung von Datensicherung – VeeamON 2021. Fast 15.000 Kunden, Partner und Multiplikatoren nahmen im letzten Jahr an der virtuellen Veranstaltung VeeamON 2020 und den regionalen VeeamON Forum-Veranstaltungen auf der ganzen Welt teil.

Weitere Informationen zum Thema:

datensicherheit.de, 28.01.2021
Menschenrecht Datenschutz in Zeiten des Cyber-Informationskrieges

Veeam Software
Website

[datensicherheit.de, 14.02.2021] Im Zuge der sogenannten Digitalen Transformation prägen digitale Technologien offensichtlich immer stärker, wie Firmen Wertschöpfung betreiben, sich mit ihren Kunden vernetzen oder interne Abläufe verbessern. Die Tragweite der dadurch ausgelösten Umbrüche für Firmen, ihre Belegschaft und die Gesellschaft insgesamt lässt sich dabei heute noch kaum abschätzen.

Foto: FH OÖ

Mag. Dr. Alexander Brendel-Schauberger: Professor für Produktmanagement und Industrial Marketing am FH OÖ Campus Wels sowie Studiengangskoordinator Innovations- und Produktmanagement

FH-OÖ-Professor Brendel-Schauberger blickt hinter das Schlagwort „Digitalisierung“ und zeigt Potenzial auf

Mag. Dr. Alexander Brendel-Schauberger, Professor für Produktmanagement und Industrial Marketing am Campus Wels der FH Oberösterreich, wird in seinem Online-Expertenvortrag am Mittwoch, dem 17. Februar 2021 um 17 Uhr hinter das Schlagwort „Digitalisierung“ blicken und aufzeigen, welches gewaltiges Potenzial sich dahinter verbirgt.
Dieser Expertenvortrag findet laut der FH OÖ im Rahmen der „Online Study Talks“ am Campus Wels statt. Genutzt werde hierzu „MS-Teams“ und sei für Interessierte „bequem von zu Hause aus frei zugänglich“.

Expertenvortrag im Rahmen der „Online Study Talks“ der FH OÖ am Campus Wels

Im Anschluss an seinen Online-Vortrag wird Professor Brendel-Schauberger für die Fragen der Zuhörer zur Verfügung stehen.
Für alle an technisch-wirtschaftlichen Studienrichtungen Interessierten sollen dann ab 17.30 Uhr Beratungskanäle zu den Studienrichtungen Agrartechnologie und –management, Bauingenieurwesen im Hochbau, Anlagenbau, Automotive Mechatronics & Management, Innovations- und Produktmanagement, Mechatronik/Wirtschaft, Produktdesign und Technische Kommunikation angeboten werden.

Weitere Informationen zum Thema:

Fh OBERÖSTERREICH
Online Study Talks / Im Februar bequem daheim beraten lassen

datensicherheit.de, 08.10.2019
Digitale Transformation: Hardware, Software und Orgware abstimmen

Ein Beitrag von unserem Gastautor Deepen Desai, CISO & Vice President Security Research bei Zscaler

[datensicherheit.de, 03.02.2021] Das Zscaler ThreatLabZ-Team stellt in seinem State of Cloud Security Report 2020 die Ergebnisse seiner Analyse zur Cloud-Sicherheit vor. Während die Public Cloud nie dagewesene Vorteile hinsichtlich Skalierbarkeit, Leistung und Agilität für Unternehmen jeglicher Größenordnung mit sich bringt und stetig neue Anwendungen auf den Markt drängen, geht die digitale Transformation auch mit Tücken hinsichtlich der Sicherheit einher. Laut der Analyse sind die häufigsten Sicherheitsvorfälle auf Versäumnisse der Unternehmen bei der Implementierung und Nutzung von Cloud-Diensten zurückzuführen.

Deepen Desai, CISO und VP Security Research bei Zscaler, Bild: Zscaler

Analyse zur Cloud-Sicherheit aus anonymen Unternehmensstatistiken

Die Sicherheitsforscher haben für ihren Report anonyme Statistiken von Unternehmen analysiert, die Hunderttausende von Workloads in AWS, Azure und Google Cloud Plattform (GCP) ausführen. Außerdem wurden Einstellungen von Microsoft 365-Kunden ausgewertet. Bei dieser Analyse wurden die folgenden Sicherheitsrisiken durch Fehlkonfigurationen oder Versäumnisse aufgedeckt:

• 63 % der untersuchten Unternehmen verwenden keine Multifaktor-Authentifizierung für den Cloud-Zugang
• 50 % rotieren die Zugangsschlüssel nicht regelmäßig
• 92 % protokollieren den Zugriff auf Cloud-Speicher nicht, wodurch die Möglichkeit zur forensischen Analyse eines Vorfalls entfällt
• 26 % der Workloads exponieren ihre SSH-Ports im Internet und 20 % RDP-Ports

Die Auswertung zeigte ebenfalls, dass ein breites Spektrum an häufig gemeldeten Sicherheitsproblemen in den meisten Umgebungen noch immer nicht ausreichend Beachtung findet.

Protokollierung und Monitoring fehlen

Wenn es zu einer Kompromittierung oder einem Sicherheitsvorfall kommt, werden zuerst die Log-Daten analysiert. Auch ohne einen Sicherheitsvorfall kann eine robuste Protokollierung beim Verständnis helfen, was in der Cloud-Umgebung vor sich geht. CSP-Tools wie AWS CloudTrail und Azure Monitor können dazu beitragen, dass die Verantwortlichen bei Bedarf über relevante Informationen verfügen. Diese Tools funktionieren nur, wenn sie auch aktiviert sind. Die Analyse ergab, dass fast 20 Prozent der Unternehmen CloudTrail nicht aktiviert und mehr als die Hälfte keine Schritte unternommen haben, um ihre Protokollierung über die standardmäßigen 90 Tage hinaus aufrechtzuerhalten.

Exzessive Berechtigungen

Kompromittierte Zugangsdaten sind für die überwiegende Mehrheit von Sicherheitsverletzungen verantwortlich. Es ist also keine Überraschung, dass Cloud-Zugangsschlüssel und -Zugangsdaten ein Hauptziel für Angreifer sind. Unabhängig von der Stärke der Sicherheitsvorkehrungen kann ein Angreifer mit den richtigen Anmeldeinformationen direkt durch die Eingangstür spazieren. Bekanntes Beispiel für ein solches Vorgehen ist Uber, wo die persönlichen Daten von 57 Millionen Nutzern entwendet wurden, als Angreifer hartkodierte AWS-Anmeldeinformationen aus einem GitHub-Repository erbeuteten. Ein hoher Prozentsatz der Unternehmen vernachlässigt die Multifaktor-Authentifizierung und verwendet hartcodierte Zugangsschlüssel, die viel zu lange bestehen, bevor sie rotiert werden.

Storage und Verschlüsselung

Öffentlich zugängliche Cloud-Speicherbereiche waren in den letzten Jahren die Ursache für eine Reihe von öffentlichkeitswirksamen Datendiebstählen. Die L.A. Times, Tesla, die Republikanische Partei und Dow Jones sind nur einige der bekannten Organisationen, die diesen Fehler gemacht haben. Trotz der Berichterstattung über die oben aufgezählten Leidtragenden bleibt Cloud-Storage der häufigste Bereich von Cloud-Fehlkonfigurationen. Zu lockere Zugriffsrichtlinien, fehlende Verschlüsselung, nicht einheitlich angewandte Richtlinien und der Zugriff über unverschlüsselte Protokolle sind nur einige der häufigsten Probleme.

Netzwerksicherheitsgruppen

Netzwerksicherheitsgruppen kontrollieren die Netzwerkkonnektivität jedes Dienstes in einer Cloud-Umgebung und agieren wie eine Netzwerk-Firewall. Leider stellt diese Gruppe nach Cloud-Storage den am zweithäufigsten beobachteten Bereich für Fehlkonfigurationen dar. In einigen Fällen sind diese auf menschliches Versagen zurückzuführen. In anderen Fällen werden Sicherheitsgruppen absichtlich offengelassen, um die Konnektivität zu erleichtern oder um Komplexität zu vermeiden. Extern exponierte Protokolle wie Secure Shell (SSH) und Remote Desktop Protocol (RDP) sind viel zu häufig anzutreffen und geben Angreifern die Möglichkeit, infizierte Systeme zu übernehmen und sich lateral innerhalb einer Cloud-Umgebung von Unternehmen zu bewegen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2020
„State of Encryption 2020“-Report: Verschlüsselte Bedrohungen wachsen um 260 Prozent

Zscaler
The 2020 State of Cloud (In)Security

[datensicherheit.de, 13.01.2021] Laut einer aktuellen Trend-Micro-Umfrage hätten 82 Prozent der deutschen Unternehmen ihre Cloud-Migration intensiviert, fast keines verstehe dabei jedoch seine Verantwortung für die Sicherheit. Diese neuen Umfrageergebnisse bestätigten, dass die „COVID-19-Pandemie“ die Digitale Transformation für 82 Prozent der Unternehmen in Deutschland (88% weltweit) beschleunigt habe. Die zunehmende Verbreitung der Cloud könne jedoch dazu führen, dass Geschäftsdaten unsicher würden. Im Auftrag von Trend Micro habe Sapio Research im Oktober 2020 insgesamt 2.565 Entscheidungsträger in 28 Ländern (davon 100 in Deutschland) aus verschiedenen Branchen und von Unternehmen aller Größenordnungen mit Schwerpunkt auf Großunternehmen befragt.

Modells der geteilten Verantwortung in der Cloud sollte bekannt sein

Die Umfrage unter IT-Entscheidern habe bestätigt, dass ein einfaches Missverständnis zu schwerwiegenden Sicherheitsfolgen führen könne. Während die Cloud-Infrastruktur an sich sicher sei, seien die Kunden für den Schutz ihrer eigenen Daten selbst verantwortlich – dies sei die Grundlage des Modells der geteilten Verantwortung („Shared Responsibility“) in der Cloud.
89 Prozent (92% weltweit) der Befragten gäben an, dass sie sich ihrer Verantwortung für die Sicherheit in der Cloud bewusst seien. Doch fast alle (99% in Deutschland, 97% weltweit) glaubten auch, dass ihr Cloud-Service-Provider (CSP) einen ausreichenden Schutz für ihre Daten biete.

Herausforderungen beim Verständnis der Cloud-Sicherheit

„Es ist ein positives Zeichen, dass die Mehrheit der Unternehmen weltweit die Digitale Transformation vorantreibt und in die Cloud geht“, so Richard Werner, „Business Consultant“ bei Trend Micro. Jedoch zeigten die Ergebnisse ihrer Studie auch die Herausforderungen, die beim Verständnis der Cloud-Sicherheit noch bestünden.
Die Einführung der Cloud sei kein einmaliger Prozess. Werner: „Sie erfordert vielmehr kontinuierliches Management und strategische Konfiguration, um die besten Sicherheitsentscheidungen für ein Unternehmen zu treffen.“

Erhebliche Deckungslücken bei Absicherung der Cloud-Umgebungen

Von den befragten Unternehmen weltweit verwendeten nur 55 Prozent zusätzliche Tools von Drittanbietern, um ihre Cloud-Umgebungen zu sichern. Dies deute darauf hin, dass es erhebliche Deckungslücken geben könnte und bestätige, dass das Modell der gemeinsamen Verantwortung nicht verstanden werde. Frühere Forschung von Trend Micro habe bereits ergeben, dass Fehlkonfigurationen aktuell das größte Risiko für Cloud-Umgebungen seien. Dazu komme es vor allem, wenn Unternehmen ihren Teil des Modells der geteilten Verantwortung unterschätzten.
Die befragten Unternehmen in Deutschland scheinen in Bezug auf ihre Cyber-Sicherheitslage in der Cloud durchaus zuversichtlich:

• 44 Prozent gäben an, dass die Beschleunigung der Cloud-Migration ihren Fokus auf Security-Best-Practices verstärkt habe (51% weltweit).
• 85 Prozent seien überzeugt, dass sie die Sicherheit ihrer Remote-Arbeitsumgebung vollständig oder größtenteils unter Kontrolle hätten (87% weltweit).
• 84 Prozent glaubten, dass sie vollständig oder größtenteils die Kontrolle über die Sicherheit ihres zukünftigen hybriden Arbeitsplatzes haben würden (83% weltweit).

41% sehen Sicherheit als Hindernis für Cloud-Einführung

Trotz dieser Zuversicht gäben viele der Befragten auch zu, dass sie auch Herausforderungen im Sicherheitsbereich hätten:

• 41 Prozent sähen in der Sicherheit ein „sehr signifikantes“ oder „signifikantes“ Hindernis für die Cloud-Einführung (45% weltweit).
• Die drei größten täglichen Probleme deutscher Unternehmen beim Schutz von Cloud-Workloads seien die Sicherung des Datenverkehrs (45%), das Festlegen konsistenter Richtlinien (35%) und eine fehlende Integration mit On-Premise-Sicherheitslösungen (29%).
• Bei der Migration zu cloud-basierten Sicherheitstools würden Mitarbeiterschulung (43%), Datenschutz (42%), und Compliance (37%) von ihnen als die drei wesentlichen Hindernisse wahrgenommen.

Migration in die Cloud: Einsatz intelligenter, automatisierter Sicherheitstools empfohlen

„Die gute Nachricht ist, dass Unternehmen durch den Einsatz intelligenter, automatisierter Sicherheitstools ohne Bedenken in die Cloud migrieren können. Sie haben damit die Möglichkeit, den Datenschutz und die Sicherheit ihrer Daten zu gewährleisten und gleichzeitig die Folgen des Fachkräftemangels abzumildern“, sagt Werner.
Zu den Sicherheitslösungen für Cloud-Umgebungen, die von den befragten Unternehmen in Deutschland als am wichtigsten eingestuft worden seien, gehörten Tools für Netzwerkschutz (50%), „Cloud Access Security Broker“ (CASB, 15%) und „Cloud Security Posture Management“ (12%).

Weitere Informationen zum Thema:

TREND MICRO
Fehlkonfigurationen sind größtes Sicherheitsrisiko für die Cloud / Trend-Micro-Untersuchung zeigt: Cybersicherheit muss bei allen Punkten der Cloud-Migration berücksichtigt werden

datensicherheit.de, 08.08.2020
Cloud-Nutzung: Datenschutz bleibt zentrale Herausforderung / Zunahme der Cloud-Migrationen vermutlich auch Reaktion auf „Pandemie“ und „Lockdown“

datensicherheit.de, 22.04.2020
Whitepaper: Rechtliche Risiken bei Nutzung internationaler Cloudanbieter / Transparenzpflichten, Geschäftsgeheimnisschutz und Schadenshaftung werden international unterschiedlich interpretiert und definiert

Von unserem Gastautor Chris Harris, Sales Engineering Director EMEA bei Thales

[datensicherheit.de, 16.07.2020] Am 25. Mai 2020 jährte sich das Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) zum zweiten Mal – Zeit genug für Unternehmen, diese Verordnung umzusetzen. Dennoch wurden einige von ihnen mit Geldstrafen belegt, weil sie es versäumt hatten, effiziente technische und organisatorische Datensicherheitsmaßnahmen einzuführen. Das wirft die Frage auf: Machen sich Unternehmen genug Gedanken um den Datenschutz? Inwieweit arbeiten sie tatsächlich an der Absicherung ihrer Datensätze?

Um dies herauszufinden, wurden in einer Studie über 500 Führungskräfte in Europa befragt, die für IT- und Datensicherheit verantwortlich sind oder Einfluss darauf haben. Ihre Antworten beleuchten, wie europäische Unternehmen an das Thema herangehen. Der diesjährige 2020 Thales Data Threat Report-European Edition zeigt, dass europäische Unternehmen weiterhin mit zahlreichen Herausforderungen bei der Datensicherheit zu kämpfen haben. Allerdings ist das nur eine Momentaufnahme.

Chris Harris, Sales Engineering Director EMEA, Bild: Thales

Gefährliche Lücken in den Sicherheitsvorkehrungen

Während Unternehmen in der digitalen Transformation neue Geschäftsmodelle und Wettbewerbsvorteile erschließen, sehen sie sich ebenso mit neuen Herausforderungen für die Datensicherheit konfrontiert. Umgesetzt wurde die digitale Transformation bereits von 24 Prozent der befragten Unternehmen. Allerdings macht sie das auch verwundbarer, denn: Je mehr ein Unternehmen digital umgebaut und je mehr es mit dem Internet verbunden ist, desto wahrscheinlicher ist es, dass sich eine Verletzung der Datenschutzrichtlinien ereignet. Zudem kann es Unternehmen während der schwierigen Umstellung treffen, während sie die strategischen, organisatorischen, technologischen und finanziellen Entscheidungen diskutieren, um die digitale Transformation in den nächsten Jahren zu bewältigen. Andererseits kann deren höherer Entwicklungsstand in Bezug auf den digitalen Wandel auch zur Folge haben, dass sie sich stärker bewusst sind, ob eine Datenschutzverletzung vorliegt. Dagegen sind weniger digitalisierte Unternehmen natürlich weniger exponiert, jedoch kann es auch schlicht sein, dass diese über zu wenig Fachwissen verfügen, um zu erkennen, dass die Datensicherheit gefährdet ist.

Mehr als ein Viertel, 28 Prozent, der europäischen IT-Experten gaben zu, im vergangenen Jahr mit einer Datenschutzverletzung konfrontiert worden zu sein. Darüber hinaus haben fast die Hälfte, 48 Prozent, der europäischen Unternehmen zu irgendeinem Zeitpunkt in ihrer Geschichte einen Datensicherheitsvorfall erlebt. Ungefähr ein Viertel, 24 Prozent, der befragten Unternehmen hatten außerdem in den letzten 12 Monaten eine Compliance-Auditierung nicht bestanden. Angesichts dieser Erfahrungen sollte man meinen, dass die Unternehmen ihre Datensicherheit nun ernster nehmen als je zuvor. Dies scheint aber nicht der Fall zu sein. Tatsächlich hat es den Anschein, dass es gefährliche Lücken in den Sicherheitsvorkehrungen gibt.

Zu viele sensible Daten in der Cloud

Bestes Beispiel ist die Frage nach der Cloud: Europäische Unternehmen führten an, dass sie 46 Prozent ihrer Daten in der Cloud speichern und schätzten, dass etwa die Hälfte dieser Informationen, 43 Prozent, sensibler Natur sind. Ungeachtet dieser Werte gab jeder einzelne Befragte zusätzlich zu Protokoll, dass sein Unternehmen einige Daten in der Cloud gespeichert hätte, die nicht durch Verschlüsselung geschützt seien. Dagegen sagten sie, dass ihre Firmen etwas mehr als die Hälfte, 54 Prozent, ihrer Cloud-basierten Daten durch Verschlüsselung absichern. Der Schutz dieser Daten wird angesichts der Komplexität einer Multi-Cloud-Umgebung zu einem noch größeren Problem. Rund 80 Prozent der Befragten gaben an, dass sie zwei oder mehr PaaS-, SaaS- und IaaS-Lösungen verwenden. Mehrere Cloud-Lösungen erschweren es Unternehmen aber, die Sicherheitskontrollen einheitlich in ihren gesamten Umgebungen anzuwenden, wodurch sie sich selbst und ihre Daten angreifbar machen.

Seltsamerweise finden die oben genannten Herausforderungen bei den Befragten nicht die volle Resonanz. Nur sieben von zehn Umfrageteilnehmern, 68 Prozent, erklärten, dass sie sich anfällig für digitale Angriffe fühlen – gegenüber 86 Prozent im Jahr 2018. Dieser Zuwachs an Selbstsicherheit hat zur Folge, dass ein Fünftel der Unternehmen, 20 Prozent, plant, die Budgets für Datensicherheit im nächsten Jahr zu senken. Sie vergessen völlig, dass gegen sie hohe Geldstrafen verhängt werden können, wenn sie nicht über die von der DSGVO und anderen Richtlinien geforderten Sicherheitsmaßnahmen verfügen, die einen erfolgreichen Angriff oder Verstoß gegen den Datenschutz hätten verhindern können.

Bedeutung von quanten-sicherer Verschlüsselung steigt

Der Eindruck, dass die IT-Experten in Europa zu selbstsicher werden, bestärkt sich auch beim Blick auf zukünftige digitale Bedrohungen. Zwar berichteten 93 Prozent der Befragten, dass Quanten Computing die sensiblen Daten ihrer Organisation gefährden könnte. Nur ein Drittel, 31 Prozent, der Befragten aber plant, Bedrohungen durch Quantencomputer dadurch auszugleichen, dass sie von statischer Verschlüsselung oder symmetrischer Kryptographie abrücken – beide Technologien gelten als anfällig oder sogar wirkungslos gegen Quantencomputer. Eine ähnliche Anzahl, 30 Prozent, kündigte immerhin an, dass sie planen, eine Schlüsselverwaltung einzuführen, die einen quanten-sicheren Zufallszahlen-Generator unterstützt. Viele der IT-Experten wissen jedoch nicht, wie sie reagieren sollen. Sie sind sogar offen dafür, einfach alle Lösungen zu testen. Diese Unentschlossenheit ist gefährlich, denn bereits in fünf Jahren könnten derartige Bedrohungen auftauchen.

Fazit

Unternehmen können mehrere Schritte gehen, um ihre Datensicherheit zu erhöhen. Falls deren IT-Umgebung aus mehreren Clouds besteht, sollten sie sich für eine Multi-Cloud-Sicherheitslösung entscheiden, um ihre sensiblen Daten zu schützen. Außerdem sollten sie diese Bemühungen einen Schritt weiter führen und Verschlüsselungslösungen für ruhende Daten einsetzen, Multifaktor-Authentifizierung über ein Authentication-as-a-Service (AaaS)-Angebot anwenden und Programme zur Datenexploration nutzen. Nur auf diese Weise erhalten die Unternehmen einen vollständigen Blick über ihre gespeicherten Informationen.

Weitere Informationen zum Thema:

datensicherheit.de, 15.04.2020
Thales-Analyse zeigt: Cyberangriffe zu COVID-19 folgen der Ausbreitung des Virus

datensicherheit.de, 16.01.2020
Thales: IT-Sicherheitsprognosen für das Jahr 2020

[datensicherheit.de, 09.06.2020] Laut NTT Ltd. sind 48% der Geräte in Unternehmen wegen verlängerter Wiederbeschaffungszyklen und dem Trend zu Multi-Cloud-Umgebungen veraltet oder technisch überholt. 2017 waren es nur 13%.

Trend zu Multi-Cloud-Umgebungen

Der „2020 Global Network Insights Report“ von NTT Ltd. zeigt, dass Unternehmen ihre Anwendungen zunehmend in Multi-Cloud-Umgebungen migrieren und die Cloud-Investitionen die Ausgaben für On-Premises-Infrastrukturen überholt haben. Viele Unternehmen überfordern ihre Netzwerk-Ressourcen und bremsen die Upgrade- und Investitionszyklen für On-Premises-Netzwerke und die Security-Infrastruktur. Dadurch steigt die Zahl veralteter und ungepatchter Netzwerk-Geräte mit riskanten Software-Schwachstellen und damit der Sicherheitsbedrohungen für Unternehmen.

Der Report basiert auf den Daten von über 1.000 Kunden mit insgesamt mehr als 800.000 Netzwerk-Geräten. Er zeigt, dass im gewichteten Durchschnitt rund 48% davon veraltet oder technisch überholt waren – ein enormer Zuwachs gegenüber 13% im Jahr 2017.

Die COVID-19-Krise und der damit verbundene gestiegene Bandbreitenbedarf bedeutet für Netzwerke eine starke Belastung und verschärft nochmal die bereits vorhandenen Herausforderungen. Der rapide Anstieg von Home-Office-Arbeitsplätzen mit dem damit verbundenen Bedarf an Audio- und Video-Services übt einen enormen Druck auf die Unternehmensnetze aus.

Rob Lopez, Executive Vice President, Intelligent Infrastructure, NTT Ltd.

„In dieser neuen Normalität werden viele Unternehmen veranlasst oder sogar gezwungen sein, ihre Netzwerk- und Sicherheitsstrategien samt der Betriebs- und Supportmodelle für ein besseres Risikomanagement zu überprüfen“, erklärt Rob Lopez, Executive Vice President, Intelligent Infrastructure, NTT Ltd. „Wir erwarten einen Strategiewechsel von Business Continuity hin zur Vorbereitung auf eine Zukunft mit gelockerten Lockdown-Beschränkungen. Die Netzwerk-Infrastruktur muss so konzipiert und gesteuert werden, dass sie auch bei ungeplanten Ereignissen funktionsfähig bleibt. Das erfordert einen neuen Blick auf Cloud- und On-Premises-Infrastrukturen, um die Folgen kritischer Ausfälle zu mindern und deren Häufigkeit zu reduzieren.“

Die Sicherheitsrisiken veralteter und überholter Geräte am Arbeitsplatz der Zukunft

Technisch überholte Geräte haben im Schnitt eine zweimal höhere Verwundbarkeit (42%) als veraltete (27%) oder aktuelle Geräte (19%), und verursachen damit unnötige Risiken. Sie werden weiter verschärft, wenn keine Patches oder Betriebssystem-Updates vorgenommen werden. Obwohl Patches relativ einfach durchzuführen und oft kostenloser Bestandteil von Maintainance- oder Garantievereinbarungen sind, verzichten viele Unternehmen darauf.

In der „neuen Normalität“ ist Embedded Resilience der Schlüssel für Unternehmen, die ihre Arbeitsweise neu gestalten. Die Pandemie erfordert einen permanenten Wandel in der Art, wie Unternehmen operieren. Dazu gehört die Implementierung smarter Arbeitsplätze, die die nötige Distanz im Büro ermöglichen, bei gleichzeitiger Forcierung von Home-Office-Arbeitsplätzen. Die wachsende Nutzung neuer Wireless-Infrastrukturen (mit einer jährlichen Steigerung von 13%) und die Zunahme von Home-Office und Co-Working verlangen neue Ansätze für Netzwerk-Architekturen.

Unternehmen benötigen die Tools, das Wissen und die Expertise zur Neukonzipierung von Netzwerken für die kurz-, mittel- und langfristige Evolution der „neuen Normalität“, in der Menschen jederzeit und geräteunabhängig remote arbeiten. Sie brauchen dazu strategische Partner, die ihnen einen Einblick in die Netzwerke der Zukunft vermitteln. Dazu gehört nicht nur der Umgang mit den Räumlichkeiten im Unternehmen, sondern auch mit Arealen in der Öffentlichkeit und im Handel, in denen Social Distancing nur schwer umzusetzen und einzuhalten ist. So können beispielsweise KI und Machine Learning dazu genutzt werden, die Einhaltung der Abstandsregeln zu überwachen – mit dem Netzwerk als Plattform.

Die Evolution des Netzwerks muss Hand in Hand gehen mit der Digitalen Transformation

Fortschrittliche Unternehmen nutzen Netzwerke bereits als Teil ihrer Strategien zur Digitalen Transformation für neue Business-Modelle (etwa das Internet of Things) oder zur Optimierung existierender Arbeitsabläufe (beispielsweise Asset Tracking). Zudem investieren Organisationen in Technologien wie Robotic Process Automation (RPA) zur Kostenoptimierung und zur agilen Skalierung ihrer Services. In jedem Fall hilft die Digitale Transformation dank des Netzwerks bei der Optimierung der Mitarbeiter- und Kundenerfahrungen. Diese Initiativen können nur mit Unterstützung aktueller, sicherer Infrastruktur beschleunigt werden, die sich an den technischen, betrieblichen und finanziellen Voraussetzungen orientiert.

„Das Netzwerk ist die Plattform für die Digitale Transformation im Unternehmen“, ergänzt Rob Lopez. „Es muss universell, flexibel, robust und sicher sein, um sich sowohl an den Wandel anzupassen als auch den Reifegrad der Betriebsumgebung erhöhen zu können. Unternehmen, die einen hohen Grad an Netzwerkautomatisierung und -intelligenz zur Optimierung ihrer Prozesse nutzen, erzielen signifikante Wettbewerbsvorteile und realisieren mit Sicherheit die Vorteile der Cloud-Ökonomie.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.05.2020
DSGVO-Konformität: Drei Herausforderungen für Unternehmen