Fünf Fragen an IT-Verantwortliche nach den jüngsten Cloudausfällen
Von Stephanie Verena Prager und Peter Gerdemann
Restrukturierungen sind im Normalfall unternehmerische Sondersituationen. Gleichwohl sind sie auch eine Chance, über die eigene Aufstellung in strategischen Fragen nachzudenken. Dies gilt – wie jüngste Vorfälle zeigen – in einem besonderen Maße für die IT-Infrastruktur. Die kürzlichen Probleme bei CrowdStrike, die zu massiven weltweiten Ausfällen führten, sowie frühere Eingeständnisse von Microsoft verdeutlichen die Anfälligkeit selbst etablierter Cloudanbieter und unterstreichen die Notwendigkeit für Unternehmen, ihre Cybersicherheit zu stärken.
Unsere Daten sind die Basis der digitalen Transformation. Unternehmen und Regierungen generieren und speichern immense Mengen davon. Daraus werden wertvolle Informationen, die Rohstoffe unserer Zeit. Diese bieten unternehmerische Chancen, sind aber auch begehrte Ziele für Hacker. Mit einer immer stärkeren Nutzung von Cloudtechnologien wird die sichere Verwaltung von Daten jedoch immer komplexer und anfälliger für Pannen.
Einfallstor für Angriffe
Große Technologieunternehmen wie Microsoft, Amazon Web Services (AWS) und Google ermöglichen uns jederzeit Zugriff auf Daten und Informationen in der Cloud. So haben wir unser Wissen, eine schrankenlose Kommunikation und Unterhaltung „at our fingertips“. Unser Leben wird erleichtert, aber auch risikoreicher. Denn diese Bequemlichkeit birgt auch Risiken, wie der jüngste Ausfall durch ein fehlerhaftes CrowdStrike-Update eindringlich zeigte. Der Vorfall hat die extreme Abhängigkeit nicht nur von Clouddiensten an sich offenbart, sondern insbesondere von einem großen Cloudanbieter: Microsoft. Während Datenschutzvorgaben den rechtlichen Rahmen für die Verarbeitung personenbezogener Daten regeln, reichen diese nicht aus, um die Sicherheit unserer Daten zu gewährleisten, also die Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Die Datensicherheit sollte in den Vordergrund rücken, denn die Datensicherheit ist die Achillesferse nicht nur von Unternehmen, sondern auch von Regierungen, Verwaltung und kritischer Infrastruktur wie Flughäfen und Krankenhäusern. Es drängt sich die Frage auf: Muss es immer die Microsoft-Cloud sein? Das ist aber nicht die einzige Frage, die der aktuelle Fall aufwirft.
Keine Entwarnung
In den vergangenen zehn Jahren haben wir nahezu alle Aspekte unseres Geschäftslebens digitalisiert und in die Cloud verlagert. Dieser Schritt brachte zwar enorme Effizienzsteigerungen und Flexibilität mit sich, offenbarte jedoch auch neue Schwachstellen. Nun ist es an der Zeit, diese ausgelagerten Daten cybersicher zu machen. Der Weg zu mehr Cybersicherheit – sei es durch zusätzliche On-Premise-Lösungen, also z. B. zusätzliche lokale Server, oder die Nutzung einer weiteren Cloud eines konkurrierenden Anbieters – mag zunächst kostspielig erscheinen. Doch diese Investitionen wiegen die Kosten potenzieller Schäden um ein Vielfaches auf. Wenn nicht nur kritische Infrastrukturen wie Flughäfen lahmgelegt werden, Energieversorger keinen Strom mehr durch die Netze schicken können oder Krankenhäuser nicht mehr wissen, welcher Patient wo liegt und wann er welche Medikamente braucht, bekommt die Datensicherheit eine nie dagewesene Relevanz.
Aber nicht nur wenn die kritische Infrastruktur betroffen ist, hat dies massiver Auswirkungen, auch IT-Ausfälle bei kleinen und mittelständischen Unternehmen, die oft als weniger relevant wahrgenommen werden, können als Teil von wichtigen Lieferketten erhebliche wirtschaftliche Schäden verursachen.
Fünf Fragen sollten sich IT-Verantwortliche vor diesem Hintergrund stellen:
1. Wie sicher sind von uns genutzte Cloudplattformen?
Unternehmen und Regierungsorganisationen sollten ihr Risikoprofil bei der Nutzung von Cloudlösungen regelmäßig neu bewerten und ihren Anbieter in die Pflicht nehmen. Zusätzlich sind Monokulturen abzubauen und das Cloudportfolio ist zu diversifizieren. Eine breitere Streuung der Dienste minimiert potenzielle Angriffsflächen und erhöht die Widerstandsfähigkeit gegenüber Cyberangriffen.
2. Wie robust und resilient ist unsere Sicherheitsarchitektur?
Viele Organisationen verwenden ähnliche Sicherheitssysteme wie Microsoft. Denn die Firma ist ein dominanter Anbieter von Clouddiensten und ihre Sicherheitsstandards sind eine Benchmark für andere. Microsoft selbst bietet diverse Sicherheitslösungen an. Gleichwohl sollten Unternehmen und Regierungsorganisationen bei ihrer Sicherheitsarchitektur nicht nur einem Anbieter vertrauen, sondern diversifizieren. Interoperabilität der gewählten Lösungen und Vermeidung von Lock-in aufgrund wettbewerbsfeindlicher Lizenzpraxis sind wichtige Auswahlkriterien. Die EU will das Thema nun offiziell aufgreifen.
3. Wie können wir unsere Abhängigkeit von einzelnen Cloudanbietern reduzieren und eine Multi-Cloud-Strategie einführen?
Unternehmen sollten eine Multi-Cloud-Strategie in Betracht ziehen, bei der Dienste und Daten auf mehrere Cloudanbieter verteilt werden. Gleichzeitig kann die Integration von On-Premise-Lösungen für kritische Systeme und sensible Daten die Kontrolle und Sicherheit erhöhen. Diese hybride Herangehensweise ermöglicht es, die Vorteile der Cloud zu nutzen und gleichzeitig Risiken zu minimieren.
4. Wie können Geschäftsprozesse gegen einen Ausfall abgesichert werden?
Ein Ausfall von Microsoft 365 oder Azure würde zu erheblichen Unterbrechungen der Geschäftsprozesse führen. Unternehmen brauchen daher Notfallpläne, die die Diversifizierung der wichtigsten Geschäftsanwendungen umfassen. Schon der Ausfall der Standard-Kommunikationswege bringt eine Organisation zum Stillstand. Umso schlimmer ist der Verlust der Daten. Schlüsseltechnologien im Unternehmen sollten daher redundant ausgelegt sein. Das ist zwar nicht billig, aber eine sinnvolle Investition. Darüber hinaus ist es entscheidend, Notfallpläne regelmäßig fortzuschreiben, zu testen und zu trainieren, um sicherzustellen, dass sie im Ernstfall effektiv sind.
5. Wie hoch ist das Risiko, das von Cloudprodukten ausgeht?
Das Risiko eines Ausfalls ist abhängig von verschiedenen Faktoren: Art der Nutzung der Cloud-Lösungen sowie Umfang und Qualität der eigenen Sicherheitsmaßnahmen. Unternehmen sollten daher eine Risikobewertung ihrer Nutzung von Clouddiensten, wie z. B. Azure, durchführen. Darüber hinaus – das zeigt eine aktuelle Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) – fehlt es oft an rudimentären Sicherheitsvorkehrungen.
Microsoft, AWS, Google herausfordern und Monokulturen abbauen
Unternehmen wie Microsoft, AWS und Google sind keine unantastbaren Götter des digitalen Zeitalters, sondern Unternehmen im Spannungsfeld von eigenen Interessen und Kundenwünschen. Neue Technologien erweitern die Grenzen des Möglichen, schaffen aber auch neue Gefahren. Unternehmen müssen sich dessen bewusst sein und ihre IT-Organisation und Prozesslandschaft entsprechend (um-)strukturieren und ihre Lieferketten gegen Cybersicherheitsrisiken absichern. Dies mag ein zeitaufwändiges und kostenintensives Unterfangen sein, sich aber auf die Dauer auszahlen. Zu unserer Verantwortung für unsere Cybersicherheit gehören der Abbau von Monokulturen und das kritische Hinterfragen von Cloudanbietern als outgesourcte Verteidiger unserer Daten. Die großen Cloudanbieter können gerade auf diesem Gebiet voneinander lernen, um Kunden nicht nur zukunftsweisende Produkte, sondern vor allem auch immer besseren Schutz vor unerwünschten Zugriffen bieten zu können. Dabei sollten sie sich dem offenen Wettbewerb stellen und so zu einer wirtschaftlich vertretbaren Streuung von Risiken für Unternehmen und Institutionen beitragen. Nur über diese Zusammenarbeit lässt sich der Schutz der Cybersphäre dauerhaft hochhalten.
Der Beitrag erschien im Online-Magarin RestructuringBusiness, Ausgabe 03_2024; Sie finden den Originalartikel hier zum Download.
Stephanie Verena Prager ist Expertin für Restrukturierungskommunikation bei H/Advisors Deekeling Arndt. Peter Gerdemann, früher Kommunikationsverantwortlicher bei IBM und PwC, ist Experte für IT- und Wirtschaftskommunikation. Er ist Inhaber des Beratungsunternehmens gerdemann communication.
Foto: iStock.com/matejmo