Netzwerksicherheit

Mit Ausbauten ist es so eine Sache. Denn längst nicht jede der angestrebten Neuerungen verträgt sich mit der vorhandenen Substanz. Was Hausbesitzer längst wissen, trifft digitalisierungswillige Unternehmen und ihre Entscheider häufig wie ein Schlag: Technische und organisatorische Mankos, die in der Vergangenheit keine große Rolle gespielt haben, entpuppen sich heute als Hindernisse für die Innovation und als offene Sicherheitsflanken. 

Wenn das technische und organisatorische Fundament wackelt, liegen die Potenziale umfassender Digitalisierung, Vernetzung und datengetriebener Geschäftsmodelle zwangsläufig brach. Zu dieser Basis gehören Notfallmanagement, Datenverfügbarkeit und die Aufrechterhaltung des Betriebs (Stichwort: Business Continuity), wirksame Prävention und intelligente Nachsorge. Bereiche also, in denen vor allem der deutsche Mittelstand dringenden Nachholbedarf hat. Das besagen Analysen des Bundesforschungsministeriums, das für den Zeitraum 2015 bis 2020 für die IT-Sicherheitsforschung 180 Millionen Euro bereitgestellt hat. 

„Innovation in der Informationstechnologie muss mit der Evolution von IT-Sicherheitsmechanismen Hand in Hand gehen, damit die Verteidiger gegenüber den Angreifern technologisch nicht ins Hintertreffen geraten“, mahnte das Ministerium bereits 2014. Bis die Risikominimierung auf der Prioritätenliste von Unternehmen, Behörden und Einrichtungen ganz oben steht, wird es laut einhelliger Expertenmeinung aber vermutlich noch mindestens drei Jahre dauern.

Netzwerksicherheit: Verantwortung und Pflicht 

Der Schutz von Daten, Geräten und Prozessen ist ein lebendiger, aktiver Prozess, der sich über alle Organisationsebenen und Anwendungen erstreckt. Diesen sollte – allein schon aus Gründen der Gesetzeskonformität der Haftung – die oberste Geschäftsebene vorantreiben und verantworten. In der Praxis ist davon bisher noch nicht viel zu sehen, was gewiss nicht nur an Rechtsunsicherheiten liegt, die das neue deutsche IT-Sicherheitsgesetz aufwirft. Vielen Geschäftsführern ist nicht klar, dass sie bei Datendiebstahl, Pannen, Leaks oder gelungener Sabotage auch juristisch belangt werden können – beispielsweise nach dem KonTraG. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich enthält Prüfungspflichten wie etwa die eines betrieblichen Früherkennungssystems für Risiken. Geht es nach dem Willen der EU, wird eine Verletzung der Sorgfaltspflicht bei Systemsicherheit und Datenschutz bald ein Straftatbestand. 

Was tun mit den Daten 

Bereits jetzt überfrachtet die wachsende Menge an Daten, die aus Sensoren, Maschinen, Geräten, digitalisierten Prozessen oder Medien stammen, die IT-Systeme. Die Verantwortlichen kämpfen mit verteilten Datenspeichern, Datenbanken und -formaten. Dazu kommt dann noch die Anforderung der analytischen Verknüpfung von historischen Daten mit Echtzeitinformationen – Stichwort Big Data. 

Weil ihre Systeme und Datenspeicher nur begrenzt erweiterbar sind, setzen immer mehr Unternehmen auf hybride Cloud-Modelle. So entstehen nicht selten neue Sicherheitslücken und Angriffsflächen. Zwar bieten Rechenzentren im deutschen Rechtsraum ein verlässlicheres Maß an Datenschutz als internationale Cloud-Hosting-Anbieter. Doch auf dem Weg zwischen den Arbeitsplätzen, mobilen Endgeräten und den Hochsicherheitsservern kann trotzdem einiges schief gehen. Zumal, wenn es bei der Endpoint-Security hapert. Die konsequente Verschlüsselung von Endgeräten und der Kommunikation gilt als eine der wichtigsten Hausaufgaben, die erledigt sein sollten, bevor es an die großen Trend- und Innovationsthemen geht. 

Industrie 4.0, die allumfassende Vernetzung im Internet der Dinge, der bedarfsbezogene flexible Bezug von Rechenleistung und Software aus der Cloud, Managed Services und vor allem Data Science/Big Data-Analysen verändern die Spielregeln. Auch für die Lösungsanbieter im Bereich IT-Sicherheit.