Cybersecurity

Fünf Fragen an IT-Verantwortliche nach den jüngsten Cloudausfällen

Von Stephanie Verena Prager und Peter Gerdemann

Restrukturierungen sind im Normal­fall unter­nehmerische Sonder­situationen. Gleich­wohl sind sie auch eine Chance, über die eigene Aufstellung in strate­gischen Fragen nach­zudenken. Dies gilt – wie jüngste Vorfälle zeigen – in einem besonderen Maße für die IT-Infra­struktur. Die kürzlichen Probleme bei CrowdStrike, die zu massiven welt­weiten Ausfällen führten, sowie frühere Einge­ständnisse von Microsoft verdeutlichen die Anfällig­keit selbst etablierter Cloud­anbieter und unter­streichen die Not­wendigkeit für Unter­nehmen, ihre Cyber­sicherheit zu stärken.

Unsere Daten sind die Basis der digitalen Trans­formation. Unter­nehmen und Regierungen generieren und speichern immense Mengen davon. Daraus werden wertvolle Informa­tionen, die Roh­stoffe unserer Zeit. Diese bieten unter­nehmerische Chancen, sind aber auch begehrte Ziele für Hacker. Mit einer immer stärkeren Nutzung von Cloud­technologien wird die sichere Verwaltung von Daten jedoch immer komplexer und anfälliger für Pannen.

Einfallstor für Angriffe

Große Technologie­unternehmen wie Microsoft, Amazon Web Services (AWS) und Google ermög­lichen uns jeder­zeit Zugriff auf Daten und Informationen in der Cloud. So haben wir unser Wissen, eine schranken­lose Kommunikation und Unterhaltung „at our finger­tips“. Unser Leben wird erleichtert, aber auch risiko­reicher. Denn diese Bequem­lich­keit birgt auch Risiken, wie der jüngste Ausfall durch ein fehler­haftes CrowdStrike-Update eindring­lich zeigte. Der Vorfall hat die extreme Abhängig­keit nicht nur von Cloud­diensten an sich offen­bart, sondern insbe­sondere von einem großen Cloud­anbieter: Microsoft. Während Daten­schutz­vorgaben den recht­lichen Rahmen für die Verar­beitung personen­bezogener Daten regeln, reichen diese nicht aus, um die Sicher­heit unserer Daten zu gewähr­leisten, also die Wahrung der Vertrau­lichkeit, Integrität und Ver­füg­barkeit von Daten. Die Daten­sicher­heit sollte in den Vorder­grund rücken, denn die Daten­sicher­heit ist die Achilles­ferse nicht nur von Unter­nehmen, sondern auch von Regierungen, Verwaltung und kritischer Infra­struktur wie Flug­häfen und Kranken­häusern. Es drängt sich die Frage auf: Muss es immer die Microsoft-Cloud sein? Das ist aber nicht die einzige Frage, die der aktuelle Fall aufwirft.

Keine Entwarnung

In den vergangenen zehn Jahren haben wir nahezu alle Aspekte unseres Geschäfts­lebens digitali­siert und in die Cloud verlagert. Dieser Schritt brachte zwar enorme Effizienz­steigerungen und Flexi­bilität mit sich, offenbarte jedoch auch neue Schwach­stellen. Nun ist es an der Zeit, diese ausge­lagerten Daten cyber­sicher zu machen. Der Weg zu mehr Cyber­sicherheit – sei es durch zusätzliche On-Premise-Lösungen, also z. B. zusätzliche lokale Server, oder die Nutzung einer weiteren Cloud eines konkurrierenden Anbieters – mag zunächst kost­spielig erscheinen. Doch diese Investitionen wiegen die Kosten potenzieller Schäden um ein Viel­faches auf. Wenn nicht nur kritische Infra­strukturen wie Flug­häfen lahm­gelegt werden, Energie­versorger keinen Strom mehr durch die Netze schicken können oder Kranken­häuser nicht mehr wissen, welcher Patient wo liegt und wann er welche Medikamente braucht, bekommt die Daten­sicher­heit eine nie da­gewesene Relevanz.

Aber nicht nur wenn die kritische Infra­struktur betroffen ist, hat dies massiver Auswirkungen, auch IT-Ausfälle bei kleinen und mittel­ständischen Unter­nehmen, die oft als weniger relevant wahr­genommen werden, können als Teil von wichtigen Liefer­ketten erhebliche wirt­schaft­liche Schäden verursachen.

Fünf Fragen sollten sich IT-Verant­wortliche vor diesem Hinter­grund stellen:
 

1. Wie sicher sind von uns genutzte Cloud­platt­formen?

Unternehmen und Regierungs­organisa­tionen sollten ihr Risiko­profil bei der Nutzung von Cloud­lösungen regel­mäßig neu bewerten und ihren Anbieter in die Pflicht nehmen. Zusätz­lich sind Mono­kulturen abzubauen und das Cloud­portfolio ist zu diversi­fizieren. Eine breitere Streuung der Dienste minimiert poten­zielle Angriffs­flächen und erhöht die Wider­stands­fähigkeit gegenüber Cyber­angriffen.

2. Wie robust und resilient ist unsere Sicher­heits­architektur?

Viele Organisationen verwenden ähnliche Sicherheits­systeme wie Microsoft. Denn die Firma ist ein dominanter Anbieter von Cloud­diensten und ihre Sicher­heits­standards sind eine Bench­mark für andere. Microsoft selbst bietet diverse Sicherheits­lösungen an. Gleichwohl sollten Unternehmen und Regierungs­organisationen bei ihrer Sicher­heits­architektur nicht nur einem Anbieter vertrauen, sondern diversi­fizieren. Inter­operabilität der gewählten Lösungen und Vermeidung von Lock-in aufgrund wett­bewerbs­feindlicher Lizenz­praxis sind wichtige Auswahl­kriterien. Die EU will das Thema nun offiziell aufgreifen.

3. Wie können wir unsere Abhängigkeit von einzelnen Cloud­anbietern reduzieren und eine Multi-Cloud-Strategie einführen? 

Unternehmen sollten eine Multi-Cloud-Strategie in Betracht ziehen, bei der Dienste und Daten auf mehrere Cloud­anbieter verteilt werden. Gleichzeitig kann die Integration von On-Premise-Lösungen für kritische Systeme und sensible Daten die Kontrolle und Sicher­heit erhöhen. Diese hybride Heran­gehens­weise ermöglicht es, die Vorteile der Cloud zu nutzen und gleich­zeitig Risiken zu minimieren.

4. Wie können Geschäfts­prozesse gegen einen Ausfall abgesichert werden?

Ein Ausfall von Microsoft 365 oder Azure würde zu erheblichen Unter­brechungen der Geschäfts­prozesse führen. Unter­nehmen brauchen daher Notfall­pläne, die die Diversi­fizierung der wichtigsten Geschäfts­anwendungen umfassen. Schon der Ausfall der Standard-Kommunikations­wege bringt eine Organisation zum Still­stand. Umso schlimmer ist der Verlust der Daten. Schlüssel­techno­logien im Unter­nehmen sollten daher redundant ausgelegt sein. Das ist zwar nicht billig, aber eine sinn­volle Investition. Darüber hinaus ist es ent­scheidend, Notfall­pläne regel­mäßig fortzu­schreiben, zu testen und zu trainieren, um sicher­zustellen, dass sie im Ernst­fall effektiv sind.

5. Wie hoch ist das Risiko, das von Cloudprodukten ausgeht?

Das Risiko eines Ausfalls ist abhängig von verschiedenen Faktoren: Art der Nutzung der Cloud-Lösungen sowie Umfang und Qualität der eigenen Sicher­heits­maßnahmen. Unter­nehmen sollten daher eine Risiko­bewertung ihrer Nutzung von Cloud­diensten, wie z. B. Azure, durch­führen. Darüber hinaus – das zeigt eine aktuelle Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) – fehlt es oft an rudimentären Sicher­heits­vorkehrungen.

Microsoft, AWS, Google heraus­fordern und Mono­kulturen abbauen

Unternehmen wie Microsoft, AWS und Google sind keine un­antast­baren Götter des digitalen Zeit­alters, sondern Unternehmen im Spannungs­feld von eigenen Interessen und Kunden­wünschen. Neue Technologien erweitern die Grenzen des Möglichen, schaffen aber auch neue Gefahren. Unter­nehmen müssen sich dessen bewusst sein und ihre IT-Organisation und Prozess­land­schaft entsprechend (um-)strukturieren und ihre Liefer­ketten gegen Cyber­sicherheits­risiken absichern. Dies mag ein zeit­auf­wändiges und kosten­intensives Unter­fangen sein, sich aber auf die Dauer auszahlen. Zu unserer Verant­wortung für unsere Cyber­sicher­heit gehören der Abbau von Mono­kulturen und das kritische Hinter­fragen von Cloud­anbietern als out­gesourcte Verteidiger unserer Daten. Die großen Cloud­anbieter können gerade auf diesem Gebiet von­ein­ander lernen, um Kunden nicht nur zukunfts­weisende Produkte, sondern vor allem auch immer besseren Schutz vor un­er­wünschten Zugriffen bieten zu können. Dabei sollten sie sich dem offenen Wett­bewerb stellen und so zu einer wirt­schaft­lich vertret­baren Streuung von Risiken für Unter­nehmen und Insti­tutionen bei­tragen. Nur über diese Zusammen­arbeit lässt sich der Schutz der Cyber­sphäre dauer­haft hoch­halten.

 

Der Beitrag erschien im Online-Magarin RestructuringBusiness, Ausgabe 03_2024; Sie finden den Originalartikel hier zum Download.


Stephanie Verena Prager ist Expertin für Restruktu­rierungs­kommunikation bei H/Advisors Deekeling Arndt. Peter Gerdemann, früher Kommunikations­verantwortlicher bei IBM und PwC, ist Experte für IT- und Wirtschafts­kommunikation. Er ist Inhaber des Beratungs­unternehmens gerdemann communication.

Foto: iStock.com/matejmo

Kontakt