Unternehmen sollten aktuelle Bedrohungen sowie die Debatte um PRISM und Tempora zum Anlass nehmen, mal wieder über ihre IT-Sicherheit nachzudenken. Fast täglich erreichen uns Meldungen über IT-Angriffe auf Unternehmen und öffentliche Institutionen, massenweise gestohlene Daten und immense Wertvernichtung durch Ausfälle.
Trotz der anhaltenden Medienberichterstattung glauben immer noch viele Firmen, dass sie genügend abgesichert sind. Die Virtualisierung der IT ist eine gute Möglichkeit, seine Sicherheit ohne großen Aufwand zu verbessern.
Man kann davon ausgehen, dass gezielte Angriffe auf den Mittelstand weiterhin zunehmen und sich die Frage stellen, wie man sich zukünftig vor bisher unbekannten Trojanern, Malware und Bot-Systemen schützen kann. Laut einer Studie des Ponemon Institute* sind IT und IT-Sicherheitsexperten am häufigsten mit dem Diebstahl von geistigem Eigentum in den Bereichen Forschung und Entwicklung, Geschäftsplanung und Industrieprozesse konfrontiert.
Ein weiteres Ziel von Netzwerkangriffen sind vertrauliche Informationen, die zur Beschaffung von Anmeldedaten dienen, um in Netzwerke und Unternehmenssysteme einzudringen. Hinzu kommt, dass viele kleine und mittelständische Betriebe ihr Sicherheitsniveau und die rechtlichen Folgen oft falsch einschätzen. Abhilfe kann hier, gerade bei kleineren Unternehmen, die Virtualisierung bzw. das Outsourcen der IT schaffen. Mit dem richtigen Anbieter braucht man sich zukünftig nicht mehr um die IT-Sicherheit kümmern und verbessert somit auch noch seine Performance.
Virtualisierung als Sicherheitsstrategie
Die Virtualisierung ist, wie derzeit keine andere Technologie, Wachstumstreiber für Unternehmen. Firmen profitieren dabei von Kosteneinsparungen bis hin zu höherer Flexibilität, Agilität und Skalierbarkeit. Dies bringt aber nicht nur Vorteile: Die Mobilität und Nutzung privater Endgeräte ist ein zusätzliches Sicherheitsrisiko, da geschäftliche Informationen dadurch überall verfügbar sind.
Wer seine IT einem Spezialisten anvertraut, sichert sich gegen solche Gefahren ab. Mit der Virtualisierung lässt sich die IT-Sicherheit enorm verbessern. Daten liegen im deutschen Rechenzentrum des Anbieters seines Vertrauens sicherer, als auf dem eigenen Server im Haus. Zudem nutzt man hochwertige Sicherheitslösungen etablierter Hersteller ohne, dass man mehr dafür bezahlen oder sich darum kümmern muss.
Das Konzept der Desktop-Virtualisierung ermöglicht einen endgeräteunabhängigen Zugriff für jeden Anwender. Virtuelle Windows-Anwendungen und -Desktops liegen nicht mehr auf dem Rechner des Mitarbeiters, sondern werden im externen Rechenzentrum des Anbieters zur Verfügung gestellt und verwaltet.
So wird der sichere Zugriff auf den Desktop-Arbeitsplatz für jeden Mitarbeiter über jedes beliebige private oder unternehmenseigene Endgerät ermöglicht. Durch die Zentralisierung der IT-Ressourcen und die strengen Zugriffskontrollen des Anbieters ist es außerdem sehr viel einfacher, den Verlust von Daten zu vermeiden sowie Compliance und Datenschutzstandards einzuhalten.
Modernste Zugangskontrollen oder mehrfach redundante Serversysteme gehören in Rechenzentren bzw. bei Systemhäusern zur Standardausstattung. Die komplette Protokollierung, Berichterstellung und Überprüfung aller Aktivitäten werden vom jeweiligen Anbieter sichergestellt. Es können Richtlinien festgelegt werden, die die Erfüllung aller Unternehmensanforderungen gewährleisten. Neue Vorgaben werden eingebunden, sobald sie bekannt sind. Auch bei Audits jeglicher Art kann der Dienstleister unterstützen.
Start in die Virtualisierung der IT
Die Grundlage der Desktop-Virtualisierung bildet die Zentralisierung der Arbeitsplätze im externen Rechenzentrum. Noch wirkungsvoller ist eine Auslagerung der gesamten IT. Anbieter solcher Lösungen müssen hohe Sicherheitsstandards einhalten und bieten Sicherheitskonzepte, die viele Unternehmen sich nicht leisten oder nicht selbst verwalten könnten. Die Sicherheit der Unternehmensdaten und der gesamten Kommunikation deckt das IT-Sicherheitskonzept des Anbieters ab. Der Sicherheitsservice wird dabei für eine Vielzahl von Kunden erbracht. Teure Sicherheitstechnologien und aufwändige Maßnahmen belasten das einzelne Unternehmen daher nur zu einem Bruchteil der sonst üblichen Kosten.
Hinzu kommen weitere Vorteile für die Infrastruktur und die damit verbundenen Kosten. Um Ausfälle oder Beeinträchtigungen zu vermeiden, richtet der Anbieter die IT-Systeme so aus, dass es keine Kapazitätsengpässe mehr gibt. Das Unternehmen muss zudem bei Wachstum nicht mehr in neue Hardware investieren, sondern bucht nur noch weitere Kapazitäten bei seinem Serviceanbieter hinzu. Die entstehenden Kosten sind keine langfristigen Kosten, sondern monatliche Fixkosten für die Miete der IT. So erhalten gerade kleinere Betriebe die Chance, ihre IT auf einem überdurchschnittlich hohen Niveau zu nutzen und zu sichern.
Welche Cloud-Lösung ist die Richtige?
Eine eigene private Cloud ist meist eher für größere Unternehmen ab 200 PC-Arbeitsplätzen und gut strukturierter IT-Abteilung sinnvoll, da hier Serverbetriebssysteme, Hardware, Lizenzen und fachliches Know-How bereitgestellt werden müssen. Mit einer IT-as-a-Service-Lösung kann die IT komplett ausgelagert und schlüsselfertig aus der Cloud bezogen werden. Gerade für kleinere und mittelständische Betriebe steckt hinter diesem Serviceangebot ein enormes Potential: Statt einmaligen, großen Investitionen mit hohem Administrationsaufwand, kann so eine flexible IT, inklusive Support, Wartung und Sicherheitskonzept zum monatlichen Festpreis bezogen werden.
Gesetzliche Sicherheitsanforderungen & Sicherheits- und Risikoanalyse
Bei der Auswahl des passenden Anbieters sind mehrere Entscheidungen zu treffen. Noch ist die Zahl der Lösungen und Anbieter vergleichsweise überschaubar. Neben den technischen Rahmenbedingungen und den Vertragsbedingungen sollte zunächst das Vertrauen zum Partner eine große Rolle spielen. Denn das Verhältnis ist sehr viel enger, da das gesamte IT-System auf der Infrastruktur des Anbieters liegt. Insbesondere sollte auch geklärt werden, welche gesetzlichen Sicherheitsanforderungen zu beachten sind.
Gemeinsam mit dem Dienstleister werden diese für die Auslagerung der IT in einer Sicherheits- und Risikoanalyse betrachtet und festgehalten. Es wird ermittelt, welche gesetzlichen und organisatorischen Anforderungen, insbesondere an den Datenschutze, gelten. Aus diesen Informationen können die zu erfüllenden Sicherheitsanforderungen abgeleitet und entschieden werden, welche Strategie für das Unternehmen am besten geeignet ist.
5 Tipps für die Auswahl
1. Serverstandorte erfragen
Wer seine Daten nach den europäischen Vorschriften schützen möchte, sollte sich einen europäischen Anbieter suchen, der das Abkommen unterzeichnet hat. Dieses gewährleistet europäische Sicherheitsstandards.
2. Achtung Datenschutz
Datenschutz sollte immer durch einen Vertrag geregelt sein, den ein guter Service-Anbieter seinen Kunden zur Verfügung stellt. Auftragsdatenverarbeitungsverträge (kurz ADV) regeln die Erfüllung der Anforderungen des Bundesdatenschutzgesetzes an ein Unternehmen. Dies sorgt bei Audits für höchstmögliche Sicherheit.
3. Verschlüsselte Verbindungen
Der gesamte Datenverkehr zum Anbieter sollte verschlüsselt erfolgen. Damit sinkt die Gefahr, ausspioniert zu werden.
4. Beratung von Spezialisten
Wählen Sie einen Cloud-Spezialisten, der viele Jahre Erfahrung in der IT-Virtualisierung vorzuweisen oder ein eigenes System entwickelt hat. Zudem sollte dieser auch eine kompetente Beratung sowie schnellen Support- und Wartungsservices bieten können. Das Angebot kann zusätzlich von einem speziellen Sicherheitsberater geprüft werden.
5. Nachhaltig denken
Bei der Auswahl des passenden Anbieters sollte eine Lösung gewählt werden, die sich problemlos und ohne große Kosten mit dem Unternehmen weiterentwickeln kann.
Quelle:
* Whitepaper „Effizienz neuer Netzwerksicherheitstechnologien“. Vom Ponemon Institute LLC unabhängig 2013 durchgeführt.
Ein gutes Logo ist wirklich entscheidend für den ersten Eindruck eines Unternehmens. Ich habe mich selbst schon oft gefragt, welche…
Auch für mich als Freiberufler gestaltet sich die Projektarbeit für Auftraggeber mit zertifiziertem QM sehr viel einfacher und zielführender als…
Ich checke echt nicht, worum der ganze Stress geht. Ghostwriting ist doch einfach nur 'n Job wie jeder andere.