Das Dilemma von Business, Cyber-Security und Resilienz: Wie Unternehmen die Balance halten.

Unternehmen stehen vor einer großen Herausforderung: Sie sind ständig damit beschäftigt, ihre Produkte anzubieten und sich gleichzeitig zu verändern. Es ist ein Balanceakt – die aktuellen Projekte  am Laufen zu halten und sich gleichzeitig zu transformieren, um zukünftige Chancen zu nutzen. All diese Bemühungen können jedoch bedeutungslos sein, wenn das Unternehmen, seine Kunden und andere wichtige Vermögenswerte nicht angemessen geschützt werden können, Zum Beispiel vor Bedrohungen im Bereiche Cyber-Security.

Deshalb müssen wir zu einem Modell übergehen, das die Widerstandsfähigkeit in den Vordergrund stellt. Ein solches Modell orientiert sich an den Geschäftsergebnissen und unterstützt gleichzeitig das Risikoniveau , das ein Unternehmen zu tragen bereit ist. Dies erfordert jedoch tiefgreifende Änderung in der Kultur und Denkweise der Sicherheitsteams.

Viele denken, dass sie sich an den Bedürfnissen ihres  Unternehmens orientieren. Doch was sind diese Bedürfnisse eigentlich genau? Wir müssen mit den Verantwortlichen der Geschäftsbereiche zusammenarbeiten, um deren Prioritäten und Erfolgsmaßstäbe zu ermitteln.  Solche Gespräche sind die Basis  für eine echte Partnerschaft die eine kontinuierliche Anpassung gewährleistet und die bestmöglichen Ergebnisse liefert. Bei diesem Wandel geht es darum, dass Cyber-Security in das gesamte Unternehmen eingebettet wird. So wird die Sicherheit  gewährleistet, die für  Unternehmen so entscheidend ist.

Aber auch die Sicherheit muss mit den Veränderungen Schritt halten, die für eine nahtlose Bereitstellung innovativer Lösungen erforderlich sind. Und solche Lösungen sind wichtig: Sie ermöglichen eine Differenzierung vom Wettbewerb und eine schnellere Akzeptanz durch die Verbraucher. Wie lange hat es beispielsweise gedauert, bis die Entwicklungs- und Betriebsteams ihren Ansatz von Wasserfall über Agile zu DevOps geändert haben? Unternehmen, die diese älteren Ansätze immer noch verwenden, werden jedoch von ihren Konkurrenten überholt.

Zusammenarbeit verschiedener Geschäftsbereiche für mehr Cyber-Security

Wie kann der Aufbau einer echten Partnerschaft zwischen den verschiedenen Geschäftsbereichen unterstützt werden? Auch  bei diesem Prozess  unterstützt ein  Modell, das über die Sicherheit hinausgeht und sich stattdessen auf die Widerstandsfähigkeit – die Resilienz – im Cyberspace konzentriert. Ein Schlüsselelement dieses Ansatzes ist, Business-Teams zu ermutigen, gemeinsam Prioritäten und Erfolge zu definieren. Viele Unternehmen haben damit begonnen, Informationssicherheitsbeauftragte / CISOs in ihre Geschäftsbereiche einzubinden, um dieses Ziel zu erreichen. Ich stelle immer wieder fest, dass diese Stellen mit hoch ambitionierten und hoch qualifizierten Menschen besetzt werden. Oft fehlt ihnen aber der Unterbau in der Organisation, um effektiv die wichtigsten zentralen Prozesse zur Bereitstellung von Cyber-Security und Cyber-Resilienz aufzubauen. 

Leider werden wir nicht in der Lage sein, alles in gleichem Maße zu schützen. Aber wenn Unternehmen nicht von Anfang an Sicherheit in die innovativen Funktionen, die neu eingeführt werden, einbinden, dann wird die Sicherheit weiterhin aufholen müssen. Es ist von entscheidender Bedeutung, in die Bereiche zu investieren, denen höchste Priorität eingeräumt wird.  Nur so kommt ein Unternehmen weiter voran und kann sich schützen, wenn etwas passiert. Dieser Ansatz ermöglicht es , Sicherheit  in die digitalen Veränderungen im Unternehmen zu integrieren. 

In jüngster Zeit haben wir die Auswirkungen von erzwungenen, schnellen organisatorischen Veränderungen erlebt, die schon seit geraumer Zeit aufgeschoben wurden. Dabei ging es meist um die Frage, wie Mitarbeiter ihre Arbeitspflichten unabhängig von ihrem Aufenthaltsort weiterhin erfüllen können. Darüber hinaus mussten Unternehmen ihre Umstellung auf Cloud-basierte Funktionen beschleunigen. Und die ganze Zeit über taten die Sicherheitsteams ihr Bestes, um mit diesen schnellen  Veränderungen Schritt zu halten.

Lernen aus Veränderungen

Wir haben in kurzer Zeit einige bemerkenswerte Dinge gelernt. Erste Erkenntnis: Es ist entscheidend, sich schnell anzupassen und den sicheren Zugriff auf Systeme, Anwendungen und Daten zu gewährleisten, die die Mitarbeiter benötigen, um das Unternehmen am Laufen zu halten. Und zweitens muss das Unternehmen selbst bei ungünstigen Ereignissen Gestaltungsmöglichkeiten erkennen und diese nutzen, um so  zukünftiges Wachstum zu ermöglichen.

Drittens ist es von entscheidender Bedeutung, dass wir unseren Ansatz von der reinen Cyber-Security und einem schmalen NIST-Modell zu einem Ansatz verlagern, der sich darauf konzentriert, unsere Organisationen widerstandsfähig gegen Cyber-Angriffe zu machen. Unternehmen haben in der Vergangenheit DevOps schnell eingeführt und weiterentwickelt , sind auf Cloud-Umgebungen umgestiegen und haben ihre Bemühungen um die digitale Transformation insgesamt beschleunigt. Dabei wurde die Sicherheit immer wieder vernachlässigt. Infolgedessen nehmen aufsehenerregende Sicherheitsvorfälle stark zu – und dies wird auch zukünftig so  sein. Immerhin hat die digitale Entwicklung dazu geführt, dass die Sicherheit nun auf der Prioritätenliste der C-Level-Führungskräfte nach oben gerückt ist.

Ein hervorragendes Beispiel hierfür ist der „2021 Global Risks Report„, der vom Weltwirtschaftsforum veröffentlicht wurde. Im diesjährigen Bericht ist „Cybersecurity failure“ auf Platz 4 der globalen Risiken aufgestiegen, was die Relevanz und Wahrscheinlichkeit auf kurze Sicht (null bis zwei Jahre) angeht. Nur gesellschaftliche Risiken (wie Infektionskrankheiten) und Umweltrisiken (wie extreme Wetterereignisse) sind von größerer Bedeutung.

Fragen Sie sich, wie Sie Ihr Unternehmen führen und gleichzeitig umgestalten: Habe ich den richtigen Ansatz gewählt, um sicherzustellen, dass wir das Cyber-Risiko für unser Unternehmen reduzieren? Kontaktieren Sie mich gerne per LinkedIn, wenn Sie sich diese Fragen stellen und Antworten suchen.

Florian Walling
Florian Walling

Florian Walling ist Senior Solution Sales Specialist  Security & Resiliency Services
bei Kyndryl Deutschland GmbH. Mit seinem Hintergrund als IT-Consultant für komplexe Infrastruktur Change Projekte und Fachmann für Security-Lösungen ist Florian Walling ein gefragter Experte, wenn es um Cyber Resiliency geht.

Multi-Cloud: Darf es ein bisschen Cloud mehr sein?

Nach dem aktuellen State of the Cloud-Report von Flexera nutzen 92% der großen Unternehmen in Europa ein Multi-Cloud-Modell. Ein Großteil davon kombiniert eine oder mehrere Private Clouds mit einer oder mehreren Public Clouds zu einer Hybrid Cloud.

Diese große Zahl mag zunächst überraschen. Man muss aber bedenken, dass eine Multi-Cloud-Landschaft entweder strategisch gewollt ist, aber auch die Folge  einer fehlenden oder unklaren Cloud-Strategie sein kann. In letzterem Fall hat sich ein Teil der IT-Landschaft eines Unternehmens in eine Art Shadow IT verwandelt. Hier definieren und implementieren Fachbereiche ihre eigenen Standards. Die unternehmenseigene IT erscheint ihnen zu langsam oder nicht flexibel genug.

Multi-Cloud kann auch das Ergebnis eines Unternehmenszusammenschlusses sein. Oder es resultiert aus der Einführung von Office 365 und damit verbunden Azure, während bereits Anwendungen in AWS oder GCP laufen.

Im Schnitt nutzen die Unternehmen Cloud Services von zwei bis drei Anbietern.

Da Multi-Cloud die Realität für die meisten Unternehmen ist, ist es umso wichtiger, sich die Vorteile wie auch die Herausforderungen eines solchen Modells bewusst zu machen.

Häufig genannte Vorteile einer Multi-Cloud sind

  • Verringerter Vendor Lock-in, da man sich unabhängiger von einzelnen Anbietern macht.
  • Kostenvorteile oder erweiterte Funktionalität, da man Services dort beziehen kann, wo sie am günstigsten sind oder wo man die besten Features erhält.
  • Katastrophen-Vorsorge, für den Fall, dass ein Provider ausfällt.
  • Datenschutz, wenn Unternehmen aus Gründen der Datensicherheit Daten in gewissen Regionen halten müssen, die manche Cloud Anbieter unterstützen, andere jedoch nicht.

Der Vorteil der Kostenersparnis in einem Multi-Cloud-Modell lässt sich vermutlich am schwierigsten realisieren. Immerhin benötigt man redundante Netzwerk-Anbindungen an nicht mehr nur eine, sondern zwei oder mehrere Clouds. Zusätzlich benötigt man eventuell noch Anbindungen der Clouds untereinander. Die Aufteilung von Workloads auf mehrere Clouds führt unter Umständen zu schlechteren volumenabhängigen Rabattstaffeln bei den Anbietern. Der Entwicklungs- und Testaufwand steigt, da selbst bei der Verwendung von Terraform und Container-Technologien die Anwendungen auf die Gegebenheiten der unterschiedlichen Clouds angepasst oder zumindest parametrisiert werden müssen.

Aber auch die Katastrophen-Vorsorge in einem Multi-Cloud-Modell sollte man sich genauer betrachten.  Alle Cloud-Dienstleister bieten Disaster Recovery Szenarien innerhalb ihres eigenen Cloud-Verbundes. Diese sind erprobt und werden durch Technologie und Automatisierung unterstützt. Die Anbieter achten sorgfältig darauf, dass die verschiedenen Regionen keine gemeinsamen Komponenten teilen, die zum „Single Point of Failure“ werden können. In einem Multi-Cloud-Modell liegt diese Verantwortung dagegen beim Anwender. Es nützt wenig, seine Anwendung auf zwei Provider zu verteilen, wenn diese sich mit ihren Cloud-Rechenzentren im gleichen Gebäude angesiedelt haben oder eine gemeinsame externe Komponente, z.B. einen Netzwerk-Kontenpunkt, teilen.

Multi-Cloud-Modelle bringen aber noch weitere Herausforderungen mit sich

  • Erhöhte Anforderungen an die Mitarbeiter und damit Schulungsbedarf, um die Technologien mehrere Cloud-Anbieter bedienen zu können.
  • Management Overhead um Standards, Richtlinien und Verfahren für mehrere Cloud Anbieter zu erstellen und zu pflegen.
  • Die Verteilung von Daten auf mehrere Anbieter erhöht die potenzielle Angriffsfläche.
  • Funktionseinschränkungen, wenn man zur Vermeidung des Vendors lock-ins nur auf den kleinsten gemeinsamen Nenner an Funktionalität zwischen den Anbietern setzt.
  • Erhöhter Administrationsaufwand, Komplexität und Schnittstellen bei der Verwendung von operationalen Tools unterschiedlicher Anbieter.

Um die Herausforderungen zu meistern, bietet sich die Nutzung von entsprechenden Management-Plattformen an, die eine Abstraktionsschicht über die verschiedenen Clouds legen. Darüber hinaus können Service Provider (MSP), die sich auf Cloud Workload spezialisiert haben, bei der Umsetzung der Cloud-Strategie helfen.

Thomas Petzke
Thomas Petzke

Senior Solutions Architect, Kyndryl Deutschland GmbH

Kyndryl-Quiz zum European Cyber Security Awareness Month: Welchen Schaden richten Cyber-Angriffe an?

Gerade hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Lagebericht zur IT-Sicherheit in Deutschland 2021 vorgestellt. Der Präsident der Behörde, Arne Schönbohm, bezeichnet die Situation als „besorgniserregend“. Er weist auf „die rasante Entwicklung neuer und angepasster Angriffsmethoden, die massenhafte Ausnutzung schwerwiegender Software-Schwachstellen und die teilweise gravierenden Folgen, die erfolgreiche Cyber-Angriffe auslösen“ hin. Umso wichtiger ist es, dass die Sensibilität für die Thematik wächst und die gemeinsame Verantwortung wahrgenommen wird. Security und Resiliency muss (endlich) ernst genommen werden.

Das BSI hat deshalb dazu aufgerufen, beim European Cyber Security Month (ECSM) im Oktober 2021 mitzumachen. Cyber-Sicherheit soll in den Fokus von Bevölkerung, Unternehmen und Organisationen gerückt werden. Projekte, die IT-Sicherheit fördern, sollen sichtbar gemacht werden. Auch wir wollen diese Aktion fördern und haben deshalb dieses kleine Quiz erstellt.

Und wir geben konkrete Ratschläge, wie sich Unternehmen und öffentliche Verwaltung auf Bedrohungen einstellen sollten, um eine hohe Widerstandsfähigkeit (Resilienz) und Sicherheit zu erzielen. Das Thema ist hochaktuell.