Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Public Cloud ohne Fettnäpfchen
Die Cloud ist in Organisationen aller Größen mittlerweile eher Regel als Ausnahme. Schon 2016 hatte die Cloud-Nutzung in Deutschland 65% aller Unternehmen erreicht. Wie groß oder klein eine Firma ist, spielt keine Rolle mehr: Während 64% der Organisationen mit 20 bis 99 Mitarbeitern ihre IT aus der Cloud beziehen, sind es in der nächst größeren Gruppe (100 – 1999 Mitarbeiter) 69 Prozent. Unterschiede gibt es eher in der Art der Implementierung. So stellte das Bundesamt für Sicherheit in der Informationstechnik schon 2011 in einer Studie einen Nachholbedarf insbesondere im geordneten Management des IT-Sicherheitsprozesses und hinsichtlich präventiver IT-Sicherheitsmaßnahmen fest. Während große Unternehmen die Cloud-Nutzung, auch wegen komplexer interner Genehmigungsprozesse sehr strukturiert angehen, sehen kleinere Firmen vor allem die schnelle Verfügbarkeit von Cloud-Ressourcen. Schnell landen wichtige Funktionen und Daten eher überstürzt in der Wolke. Das wird aber beim ersten Sicherheitsvorfall, der noch nicht einmal seinen Ursprung in der Cloud haben muss, zu Problemen führen. Dann kommt es unter anderem darauf an, schnell abgrenzen zu können, welche Daten und Unternehmensfunktionen durch die Cloud bereitgestellt werden und wer und in welchem Umfang Zugriff darauf hat.
Die Cloud ist nur ein paar Mausklicks entfernt. Einfache Benutzerschnittstellen und schnelle Bereitstellung haben in den letzten Jahren für eine deutliche Ausweitung von Schatten-IT gesorgt. Damit wird die IT-Nutzung bezeichnet, die an der IT-Abteilung vorbeigeht und durch die Nutzer selbst organisiert wird. Eine IT hinter dem Rücken der IT ist fatal, weil sie nicht in das Sicherheitskonzept des Unternehmens eingebunden ist. Auch wenn die Cloud mit einem Minimum an organisatorischem Aufwand auskommt, sollten Firmen einem geordneten Prozess folgen. Denn wenn es zu Sicherheitsproblemen kommt, ist das Unternehmen selbst verantwortlich. Die Provider sprechen zwar vom Modell der gemeinsamen Sicherheitsverantwortung, sehen ihren Anteil aber vor allem bei der Verfügbarkeit der Plattform und Infrastruktur. Der Kunde hingegen ist und bleibt für den Schutz der Anwendungen und Daten in der öffentlichen Cloud selbst verantwortlich.
Ein Teil der Sicherheitsstrategie muss es ein, die möglichen Angriffswege zu analysieren und mit passenden Maßnahmen, organisatorischen wie technischen, zu begegnen. Welche Sicherheitsprodukte gewählt werden, ist zweitrangig, sie müssen in das eigene Sicherheitskonzept und zum verfügbaren Know-how passen. Für einen umfassenden Schutz sind systemeigene Sicherheitsdienste der Cloud-Provider wie Firewalls, Web Application Firewalls und IPS/IDS (Intrusion-Prevention-System/Intrusion Detection System) ebenso nötig wie VPN-Gateways zum Schutz der Verbindung zwischen Kunde und Cloud. Häufig können diese Produkte sowohl als physisches Gerät als auch als virtuelle Appliance in der Cloud implementiert werden. Welche Ausbaustufe für die Sicherheit notwendig ist, hängt vom Gefährdungsgrad ab und um den zu kennen, ist es wichtig im Vorfeld festzulegen, welche Daten und Dienste in die Cloud wandern dürfen.
Um den maximalen Vorteil aus der Cloud-Nutzung zu ziehen, muss man auch die spezifischen Vorteile der Cloud kennen und akzeptieren. Dazu gehört die Verfügbarkeit, die der Cloud-Provider, je nach Vertrag, garantiert. Wenn in der Cloud immer genug und ausreichend verfügbare Rechenleistung oder Dienste bereitstehen, kann man auf lokaler Seite Hardware entweder abbauen oder anders nutzen. Andererseits werden Ressourcenengpässe nicht über einen Anruf beim Serverhersteller oder Händler gelöst. Wenn mehr oder andere Leistung gefordert ist, müssen im Unternehmen die entsprechenden Prozesse zur Bestellung, zum automatisierten Setup der Cloud-Ressourcen und zur Übertragung der Daten definiert sein. Auch das gehört zu einem umfassenden Cloud-Sicherheitskonzept. Die großen Cloud-Anbieter haben dafür in der Regel eigene Tools und Verfahren im Angebot, die vom Kunden integriert und adaptiert werden müssen.
Wie immer gilt: Sicherheit ist ein ganzheitliches Unterfangen. Einen Teilaspekt bis zum Exzess abzusichern und andere Bereiche bestenfalls mittelmäßig zu betrachten, funktioniert nicht. Ein zentrales Sicherheitskonzept mit einer entsprechend darüber gespannten Managementoberfläche hilft dabei, nichts zu vergessen und die firmenkritischen Informationen und Business-Funktionen bestmöglich zu schützen.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.