Schlagwort: Security

Drei Beispiele zeigen: Unsere Unternehmens-IT ist sensibel und wir müssen handeln

Der Jahreswechsel ist die Zeit der Reflexion, auch in Sachen Unternehmens-IT. Und obwohl ich bewusst beruflich eine Auszeit genommen habe, haben mich doch einige Ereignisse, Trends und Nachrichten beschäftigt. Im Dezember war es die durch Log4j verursachte Sicherheitslücke, die noch dramatische Folgen haben kann, denn wir wissen nicht, in welchen Systemen derzeit unbemerkt Trojaner schlummern. Die Bedrohung für die Unternehmens-IT durch Log4j und damit verbundene Erpressungsversuche sind also bei weitem nicht vorbei und Unternehmen sollten sich weiterhin die Ratschläge von Domink Bredel zu Herzen nehmen (und zur Sicherheit immer noch ein Backup vor dem 1. Dezember 2021 vorhalten).

An Log4j ist nicht Open Source schuld

Diese Lücke wurde auch benutzt, um gegen Open-Source-Lösungen zu argumentieren und denen das Gerüchle anzuheften, diese seien nicht so sicher. Dabei sollte man doch wissen: Es gab und gibt genug Sicherheitslücken in proprietärer, geschlossener Software. Ist der Code offen, können zumindest theoretisch mehr Entwickler hinein schauen und Fehler beseitigen. Klar wurde durch Log4j natürlich, dass auch Open-Source-Lösungen nicht fehlerfrei sind und auch nicht sein werden. Ist dann entsprechender Code weit verbreitet wie im Falle Log4j, kann es eben entsprechende Auswirkungen haben, die in der Regel hoffentlich nicht so dramatisch sein werden.

Dass Software-Fehler leider- ich muss es so schreiben – zum traurigen IT-Alltag und damit zu unserer aller Alltag gehören, hat dann einmal wieder der Fehler in Microsoft Exchange zum Jahreswechsel demonstriert. Y2K22-Bug stoppt Exchange-Mailzustellung: Antimalware-Engine stolpert über 2022, titelt heise online. Einige Versionen des Exchange-Servers (2016 und 2019) lieferten zu Beginn des Jahres die E-Mails nicht aus, da ein falsches Datumsformat im integrierten Schadsoftware-Scanner nicht verarbeitet werden konnte. Der Fehler ist behoben, jedoch haben manche Server noch Schluckauf und es wird eine Weile dauern, bis sie alle E-Mails verdaut, sprich verschickt haben werden. Einmal mehr ein Indiz dafür, dass Systeme anfällig sind und wir von ihnen abhängen.

Ausfall von AWS legt nicht nur Disney+ und Netflix lahm

Gar nicht so sehr auf dem Radar hatte ich den Ausfall der Amazon Web Services Anfang Dezember 2021, von dem viele Unternehmen an der Ostküste der USA betroffen waren. Jedoch zeigt diese Störung exemplarisch, wie sehr Privatpersonen und Unternehmen von „der Cloud“, in diesem Falle dem Marktführer AWS abhängig sind. Plötzlich funktionierten Disney+, Netflix und die Geräte im Smart Home nicht mehr.

Doch wir befassen uns hier ja mit der Unternehmens-IT und dort mussten Firmen und Behörden feststellen, dass auch sie abhängig sind, selbst wenn sie glaubten, keine Verträge mit Amazon zu haben. Doch plötzlich liefen Trello oder Slack nicht mehr, eben weil diese Lösungen die Amazon Web Services nutzen.

Apropos Abhängigkeit von „der Cloud“: Meistens ist es eben nicht mehr eine Cloud, die Unternehmen nutzen.Wenn wir die Microsoft Office-Produkte im Einsatz haben, Trello oder Slack nutzen, auf SAP S/4 Hana migrieren oder andere Lösungen von HR bis zu den Lieferketten nutzen, haben wir als Unternehmen automatisch verschiedene Cloud-Anbieter im Einsatz, auch wenn es auf den ersten Blick nicht so wahrgenommen wird. Die Multi-Cloud ist heute meist schon Realität. Davon werden auch Unternehmen alleine aus Kostengründen nicht wegkommen. Einen Weg komplett zurück ins eigene Rechenzentrum ist wohl nicht mehr möglich. Stattdessen wird es eben die hybride Cloud-Welt geben, in der verschiedene Cloud-Anbieter sowie die Private Cloud im eigenen Data Center genutzt werden.

Herausforderungen für die Unternehmens-IT: Multi-Cloud, S/4 Hana, Cybersecurity

Alle beschriebenen Vorfälle zeigen, wie sensibel unsere kritischen IT-Infrastrukturen sind, wie schnell und konsequent wir oft reagieren müssen und wie viel Expertise wir beim Aufbau und vor allem dem laufenden Betrieb und dem Management der eigenen Unternehmens-IT benötigen. Cybersecurity ist vielleicht das Thema für 2022, der Aufbau und das Management einer hybriden Multi-Cloud bleibt neben der Migration auf SAP S/4 Hana, die bei vielen Unternehmen ansteht, auf der Agenda. Unternehmen werden sich darüber Gedanken machen müssen, wie sie in der Cloud-Welt möglichst unabhängig bleiben, Lösungen potentiell von einer Cloud in eine andere verschiebbar machen können. Sie werden sich damit befassen müssen, wie wichtig ihnen Ausfallsicherheit ist und was sie dafür bereit sind zu zahlen. Werden sie wirklich das Geld bereit stellen, um die kritischen Systeme in zwei oder gar drei Availability Zone zu betreiben?

Das alles sind besondere Herausforderungen in Zeiten, in denen IT-Fachleute krampfhaft gesucht werden, vom Sicherheitsexpertinnen und -experten bis zur Fachfrau und dem Fachmann für SAP. Ich wage die Prognose, dass Unternehmen und die Verwaltung externe Kompetenz und Partner ebenso benötigen, wie sie über neue Konzepte nachdenken sollten, um Kompetenz zu bündeln und gemeinsam zu nutzen, beispielsweise im Bereich Cybersecurity. Und die Fragen und Herausforderungen können nicht auf die lange Bank geschoben werden. Das haben die beschriebenen Vorfälle gezeigt.

Bild von Schäferle auf Pixabay

Stefan Pfeiffer

… arbeitet in Communications bei Kyndryl Deutschland, dem weltweit führenden Anbieter zum Management kritischer IT-Infrastruktur. Den gelernten Journalisten hat seine Leidenschaft für das Schreiben, Beobachten, Kommentieren und den gepflegten Diskurs nie verlassen. Diese Passion lebt er u.a. in seinem privaten Blog StefanPfeiffer.Blog oder auch als Moderator von Liveformaten wie #9vor9 – Die Digitalthemen der Woche und Podcasts aus. Digitalisierung in Deutschland, die digitale Transformation in der Gesellschaft, in Unternehmen und Verwaltung oder die Zusammenarbeit am modernen Arbeitsplatz sind Themen, die ihn leidenschaftlich bewegen.
Vor Kyndryl hat Pfeiffer in der IBM im Marketing in unterschiedlichen internationalen Rollen gearbeitet. Seine weiteren beruflichen Stationen waren FileNet und die MIS AG. Auf Twitter ist er als @DigitalNaiv „erreichbar“. 

LinkedIN

Das Dilemma von Business, Cyber-Security und Resilienz: Wie Unternehmen die Balance halten.

Unternehmen stehen vor einer großen Herausforderung: Sie sind ständig damit beschäftigt, ihre Produkte anzubieten und sich gleichzeitig zu verändern. Es ist ein Balanceakt – die aktuellen Projekte  am Laufen zu halten und sich gleichzeitig zu transformieren, um zukünftige Chancen zu nutzen. All diese Bemühungen können jedoch bedeutungslos sein, wenn das Unternehmen, seine Kunden und andere wichtige Vermögenswerte nicht angemessen geschützt werden können, Zum Beispiel vor Bedrohungen im Bereiche Cyber-Security.

Deshalb müssen wir zu einem Modell übergehen, das die Widerstandsfähigkeit in den Vordergrund stellt. Ein solches Modell orientiert sich an den Geschäftsergebnissen und unterstützt gleichzeitig das Risikoniveau , das ein Unternehmen zu tragen bereit ist. Dies erfordert jedoch tiefgreifende Änderung in der Kultur und Denkweise der Sicherheitsteams.

Viele denken, dass sie sich an den Bedürfnissen ihres  Unternehmens orientieren. Doch was sind diese Bedürfnisse eigentlich genau? Wir müssen mit den Verantwortlichen der Geschäftsbereiche zusammenarbeiten, um deren Prioritäten und Erfolgsmaßstäbe zu ermitteln.  Solche Gespräche sind die Basis  für eine echte Partnerschaft die eine kontinuierliche Anpassung gewährleistet und die bestmöglichen Ergebnisse liefert. Bei diesem Wandel geht es darum, dass Cyber-Security in das gesamte Unternehmen eingebettet wird. So wird die Sicherheit  gewährleistet, die für  Unternehmen so entscheidend ist.

Aber auch die Sicherheit muss mit den Veränderungen Schritt halten, die für eine nahtlose Bereitstellung innovativer Lösungen erforderlich sind. Und solche Lösungen sind wichtig: Sie ermöglichen eine Differenzierung vom Wettbewerb und eine schnellere Akzeptanz durch die Verbraucher. Wie lange hat es beispielsweise gedauert, bis die Entwicklungs- und Betriebsteams ihren Ansatz von Wasserfall über Agile zu DevOps geändert haben? Unternehmen, die diese älteren Ansätze immer noch verwenden, werden jedoch von ihren Konkurrenten überholt.

Zusammenarbeit verschiedener Geschäftsbereiche für mehr Cyber-Security

Wie kann der Aufbau einer echten Partnerschaft zwischen den verschiedenen Geschäftsbereichen unterstützt werden? Auch  bei diesem Prozess  unterstützt ein  Modell, das über die Sicherheit hinausgeht und sich stattdessen auf die Widerstandsfähigkeit – die Resilienz – im Cyberspace konzentriert. Ein Schlüsselelement dieses Ansatzes ist, Business-Teams zu ermutigen, gemeinsam Prioritäten und Erfolge zu definieren. Viele Unternehmen haben damit begonnen, Informationssicherheitsbeauftragte / CISOs in ihre Geschäftsbereiche einzubinden, um dieses Ziel zu erreichen. Ich stelle immer wieder fest, dass diese Stellen mit hoch ambitionierten und hoch qualifizierten Menschen besetzt werden. Oft fehlt ihnen aber der Unterbau in der Organisation, um effektiv die wichtigsten zentralen Prozesse zur Bereitstellung von Cyber-Security und Cyber-Resilienz aufzubauen. 

Leider werden wir nicht in der Lage sein, alles in gleichem Maße zu schützen. Aber wenn Unternehmen nicht von Anfang an Sicherheit in die innovativen Funktionen, die neu eingeführt werden, einbinden, dann wird die Sicherheit weiterhin aufholen müssen. Es ist von entscheidender Bedeutung, in die Bereiche zu investieren, denen höchste Priorität eingeräumt wird.  Nur so kommt ein Unternehmen weiter voran und kann sich schützen, wenn etwas passiert. Dieser Ansatz ermöglicht es , Sicherheit  in die digitalen Veränderungen im Unternehmen zu integrieren. 

In jüngster Zeit haben wir die Auswirkungen von erzwungenen, schnellen organisatorischen Veränderungen erlebt, die schon seit geraumer Zeit aufgeschoben wurden. Dabei ging es meist um die Frage, wie Mitarbeiter ihre Arbeitspflichten unabhängig von ihrem Aufenthaltsort weiterhin erfüllen können. Darüber hinaus mussten Unternehmen ihre Umstellung auf Cloud-basierte Funktionen beschleunigen. Und die ganze Zeit über taten die Sicherheitsteams ihr Bestes, um mit diesen schnellen  Veränderungen Schritt zu halten.

Lernen aus Veränderungen

Wir haben in kurzer Zeit einige bemerkenswerte Dinge gelernt. Erste Erkenntnis: Es ist entscheidend, sich schnell anzupassen und den sicheren Zugriff auf Systeme, Anwendungen und Daten zu gewährleisten, die die Mitarbeiter benötigen, um das Unternehmen am Laufen zu halten. Und zweitens muss das Unternehmen selbst bei ungünstigen Ereignissen Gestaltungsmöglichkeiten erkennen und diese nutzen, um so  zukünftiges Wachstum zu ermöglichen.

Drittens ist es von entscheidender Bedeutung, dass wir unseren Ansatz von der reinen Cyber-Security und einem schmalen NIST-Modell zu einem Ansatz verlagern, der sich darauf konzentriert, unsere Organisationen widerstandsfähig gegen Cyber-Angriffe zu machen. Unternehmen haben in der Vergangenheit DevOps schnell eingeführt und weiterentwickelt , sind auf Cloud-Umgebungen umgestiegen und haben ihre Bemühungen um die digitale Transformation insgesamt beschleunigt. Dabei wurde die Sicherheit immer wieder vernachlässigt. Infolgedessen nehmen aufsehenerregende Sicherheitsvorfälle stark zu – und dies wird auch zukünftig so  sein. Immerhin hat die digitale Entwicklung dazu geführt, dass die Sicherheit nun auf der Prioritätenliste der C-Level-Führungskräfte nach oben gerückt ist.

Ein hervorragendes Beispiel hierfür ist der „2021 Global Risks Report„, der vom Weltwirtschaftsforum veröffentlicht wurde. Im diesjährigen Bericht ist „Cybersecurity failure“ auf Platz 4 der globalen Risiken aufgestiegen, was die Relevanz und Wahrscheinlichkeit auf kurze Sicht (null bis zwei Jahre) angeht. Nur gesellschaftliche Risiken (wie Infektionskrankheiten) und Umweltrisiken (wie extreme Wetterereignisse) sind von größerer Bedeutung.

Fragen Sie sich, wie Sie Ihr Unternehmen führen und gleichzeitig umgestalten: Habe ich den richtigen Ansatz gewählt, um sicherzustellen, dass wir das Cyber-Risiko für unser Unternehmen reduzieren? Kontaktieren Sie mich gerne per LinkedIn, wenn Sie sich diese Fragen stellen und Antworten suchen.

Florian Walling

Florian Walling ist Senior Solution Sales Specialist  Security & Resiliency Services
bei Kyndryl Deutschland GmbH. Mit seinem Hintergrund als IT-Consultant für komplexe Infrastruktur Change Projekte und Fachmann für Security-Lösungen ist Florian Walling ein gefragter Experte, wenn es um Cyber Resiliency geht.

LinkedIn

Multi-Cloud: Darf es ein bisschen Cloud mehr sein?

Nach dem aktuellen State of the Cloud-Report von Flexera nutzen 92% der großen Unternehmen in Europa ein Multi-Cloud-Modell. Ein Großteil davon kombiniert eine oder mehrere Private Clouds mit einer oder mehreren Public Clouds zu einer Hybrid Cloud.

Diese große Zahl mag zunächst überraschen. Man muss aber bedenken, dass eine Multi-Cloud-Landschaft entweder strategisch gewollt ist, aber auch die Folge  einer fehlenden oder unklaren Cloud-Strategie sein kann. In letzterem Fall hat sich ein Teil der IT-Landschaft eines Unternehmens in eine Art Shadow IT verwandelt. Hier definieren und implementieren Fachbereiche ihre eigenen Standards. Die unternehmenseigene IT erscheint ihnen zu langsam oder nicht flexibel genug.

Multi-Cloud kann auch das Ergebnis eines Unternehmenszusammenschlusses sein. Oder es resultiert aus der Einführung von Office 365 und damit verbunden Azure, während bereits Anwendungen in AWS oder GCP laufen.

Im Schnitt nutzen die Unternehmen Cloud Services von zwei bis drei Anbietern.

Da Multi-Cloud die Realität für die meisten Unternehmen ist, ist es umso wichtiger, sich die Vorteile wie auch die Herausforderungen eines solchen Modells bewusst zu machen.

Häufig genannte Vorteile einer Multi-Cloud sind

  • Verringerter Vendor Lock-in, da man sich unabhängiger von einzelnen Anbietern macht.
  • Kostenvorteile oder erweiterte Funktionalität, da man Services dort beziehen kann, wo sie am günstigsten sind oder wo man die besten Features erhält.
  • Katastrophen-Vorsorge, für den Fall, dass ein Provider ausfällt.
  • Datenschutz, wenn Unternehmen aus Gründen der Datensicherheit Daten in gewissen Regionen halten müssen, die manche Cloud Anbieter unterstützen, andere jedoch nicht.

Der Vorteil der Kostenersparnis in einem Multi-Cloud-Modell lässt sich vermutlich am schwierigsten realisieren. Immerhin benötigt man redundante Netzwerk-Anbindungen an nicht mehr nur eine, sondern zwei oder mehrere Clouds. Zusätzlich benötigt man eventuell noch Anbindungen der Clouds untereinander. Die Aufteilung von Workloads auf mehrere Clouds führt unter Umständen zu schlechteren volumenabhängigen Rabattstaffeln bei den Anbietern. Der Entwicklungs- und Testaufwand steigt, da selbst bei der Verwendung von Terraform und Container-Technologien die Anwendungen auf die Gegebenheiten der unterschiedlichen Clouds angepasst oder zumindest parametrisiert werden müssen.

Aber auch die Katastrophen-Vorsorge in einem Multi-Cloud-Modell sollte man sich genauer betrachten.  Alle Cloud-Dienstleister bieten Disaster Recovery Szenarien innerhalb ihres eigenen Cloud-Verbundes. Diese sind erprobt und werden durch Technologie und Automatisierung unterstützt. Die Anbieter achten sorgfältig darauf, dass die verschiedenen Regionen keine gemeinsamen Komponenten teilen, die zum „Single Point of Failure“ werden können. In einem Multi-Cloud-Modell liegt diese Verantwortung dagegen beim Anwender. Es nützt wenig, seine Anwendung auf zwei Provider zu verteilen, wenn diese sich mit ihren Cloud-Rechenzentren im gleichen Gebäude angesiedelt haben oder eine gemeinsame externe Komponente, z.B. einen Netzwerk-Kontenpunkt, teilen.

Multi-Cloud-Modelle bringen aber noch weitere Herausforderungen mit sich

  • Erhöhte Anforderungen an die Mitarbeiter und damit Schulungsbedarf, um die Technologien mehrere Cloud-Anbieter bedienen zu können.
  • Management Overhead um Standards, Richtlinien und Verfahren für mehrere Cloud Anbieter zu erstellen und zu pflegen.
  • Die Verteilung von Daten auf mehrere Anbieter erhöht die potenzielle Angriffsfläche.
  • Funktionseinschränkungen, wenn man zur Vermeidung des Vendors lock-ins nur auf den kleinsten gemeinsamen Nenner an Funktionalität zwischen den Anbietern setzt.
  • Erhöhter Administrationsaufwand, Komplexität und Schnittstellen bei der Verwendung von operationalen Tools unterschiedlicher Anbieter.

Um die Herausforderungen zu meistern, bietet sich die Nutzung von entsprechenden Management-Plattformen an, die eine Abstraktionsschicht über die verschiedenen Clouds legen. Darüber hinaus können Service Provider (MSP), die sich auf Cloud Workload spezialisiert haben, bei der Umsetzung der Cloud-Strategie helfen.

Thomas Petzke

Senior Solutions Architect, Kyndryl Deutschland GmbH

Linkedin

Kyndryl-Quiz zum European Cyber Security Awareness Month: Welchen Schaden richten Cyber-Angriffe an?

Gerade hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Lagebericht zur IT-Sicherheit in Deutschland 2021 vorgestellt. Der Präsident der Behörde, Arne Schönbohm, bezeichnet die Situation als „besorgniserregend“. Er weist auf „die rasante Entwicklung neuer und angepasster Angriffsmethoden, die massenhafte Ausnutzung schwerwiegender Software-Schwachstellen und die teilweise gravierenden Folgen, die erfolgreiche Cyber-Angriffe auslösen“ hin. Umso wichtiger ist es, dass die Sensibilität für die Thematik wächst und die gemeinsame Verantwortung wahrgenommen wird. Security und Resiliency muss (endlich) ernst genommen werden.

Das BSI hat deshalb dazu aufgerufen, beim European Cyber Security Month (ECSM) im Oktober 2021 mitzumachen. Cyber-Sicherheit soll in den Fokus von Bevölkerung, Unternehmen und Organisationen gerückt werden. Projekte, die IT-Sicherheit fördern, sollen sichtbar gemacht werden. Auch wir wollen diese Aktion fördern und haben deshalb dieses kleine Quiz erstellt.

1 / 11

Und wir geben konkrete Ratschläge, wie sich Unternehmen und öffentliche Verwaltung auf Bedrohungen einstellen sollten, um eine hohe Widerstandsfähigkeit (Resilienz) und Sicherheit zu erzielen. Das Thema ist hochaktuell.

%%footer%%