Cyber Security als ganzheitlicher Strategieansatz

 In der digitalisierten Gesellschaft ist Cyber Security ein vieldiskutierter Begriff. Aktuelle Angriffe und Bedrohungen machen Cybersicherheit zu einem der wichtigsten Themen, und das nicht nur für die IT-Abteilung.  Jüngste Vorfälle, wie die Exchange-Attacke oder der Rechenzentrumsbrand in Frankreich, haben gezeigt, wie unterschiedlich Bedrohungen auf IT-Systeme sein können. Und wie wichtig dabei eine ganzheitliche Betrachtung der IT-Sicherheit ist. Bedrohungen in der virtuellen Welt sind vielfältig – von menschlichem und technischen Versagen über böswillige Angriffe bis hin zu Naturgewalten.

Unter der Moderation von Martin Szelgrad (Telekom & IT Report) sprachen Peter Reisinger von EPS sowie Gerlinde Macho und Manfred Pascher von MP2 IT-Solutions mit Klaus Veselko (Geschäftsführer von CIS – Certification & Information Security Services GmbH) sowie Ralf Ebenig (RZ-Planung) über aktuelle Anforderungen und Sicherheitskonzepte für Betriebe. Der Online-Experten-Talk fand am 15. März mit zahlreichen Zuhörern statt. Was vor allem deutlich wurde: die Dimension und Bedeutung des Themas Cyber-Sicherheit.

 

EPS-MP2-Cyber-Security-Expertentalk

Sicherheit beginnt im Serverraum

Darin sind sich alle Experten einig: Es braucht einen ganzheitlichen Ansatz zur IT-Sicherheit in jedem Unternehmen. Für jene, die auf ihr eigenes Rechenzentrum setzen, anstatt in die Cloud zu wandern, gilt es Sicherheitskonzepte schon bei der Planung einfließen zu lassen. „Sicherheit beginnt bereits bei der Frage nach dem Standort. Zum Beispiel: Welche Risiken und Ereignisse einwirken können – von Naturgewalten bis hin zu menschlichen Bedrohungen. Als Orientierung und Richtlinie gilt die Rechenzentrums-Norm DIN EN 50600“, betont Ralf Ebenig von RZ-Planung.

Bei EPS Electric Power Systems kennt man die komplexen Anforderungen an Rechenzentrumsbetreiber. Die langjährigen Experten für die Errichtung und Wartung individueller Serverraumlösungen betrachten die Datacenter-Infrastruktur als ganzheitliches System. Viele Gewerke wie Stromversorgung, Klimatisierung und Sicherheitstechnik müssen richtig zusammenspielen, um den gewünschten Schutzlevel zu gewährleisten. Für Peter Reisinger von EPS eine Leistung, die ohne langjährige Erfahrung kaum durchführbar ist und daher in die Hände von Profis gehört: „Schließlich handelt es sich beim Rechenzentrum um das Herzstück eines Unternehmens und seiner Betriebssicherheit.“
Bei all den Maßnahmen und Sicherheitsvorkehrungen müssen Unternehmen oft knappe Budgets einhalten. Deshalb stellt sich bei Entscheidungsträgern oft die Kosten-Nutzen-Frage. Reisinger empfiehlt, sich vor Augen zu halten, welche Folgen ein IT-Ausfall für das eigene Business hätte und welche Kosten damit verbunden wären.

Schutz von technischen und nicht-technischen Systemen

Manfred Pascher, Geschäftsführender Gesellschafter von MP2 IT-Solutions, erwähnte beim Experten-Talk eine Umfrage aus 2020. Bereits jedes vierte Unternehmen ist in Österreich von Cyberangriffen betroffen. Davon hatten mehr als 25% nachhaltige Probleme mit Datenverlust und der Aufrechterhaltung des Geschäftsprozesses – Stichwort Business Continuity. Schließlich wissen viele nicht, dass sie attackiert wurden – bei fast 20% wurden Angriffe durch Zufall festgestellt, so Pascher. Mittlerweile hat sich zurecht ein IT-Sicherheitsbewusstsein etabliert, so dass gar nicht mehr die Frage gestellt wird, ob ein solcher Vorfall auftritt, sondern wann und mit welchen Folgen Unternehmen zu rechnen haben. Präventionsmaßnahmen erfordern eine holistische Betrachtung von IT-Sicherheit – also auch ein Bewusstwerden der möglichen Bedrohungen und Risiken. „Das beginnt beim physikalischen Schutz des Rechenzentrums über die IT-Systeme und Tools bis zu den organisatorischen Maßnahmen und somit der Einbeziehung aller User“, so Pascher.

Neben den klassischen softwareseitigen Sicherheitsmaßnahmen wie Virenschutz, Firewall, Verschlüsselung und Datensicherung gibt es viele interessante Schutzmaßnahmen, von einfach einzurichtenden DNS-Filtern bis zu ausgefeilten SIEM-Lösungen (Security Information and Event Management), die das gesamte Netzwerk auf Anomalien überwachen und rechtzeitiges Reagieren ermöglichen. Wichtig ist es, die vorhandenen Tools richtig zu kombinieren, um den besten Nutzen daraus zu ziehen. In Kombination mit sinnvollen organisatorischen Maßnahmen gibt es für jede Unternehmensgröße und für jedes Budget einfache Maßnahmen, um die Sicherheit beträchtlich zu erhöhen.

Der Mensch als Sicherheitslücke und -sensor zugleich

Spricht man über Cybersicherheit, denken viele nur an den technischen Part. Neben der physischen und technischen Sicherheit wird die Rolle des Menschen in der Praxis meist unterschätzt. Doch es sind Mitarbeitende, die Benutzer eines Systems sind. Sie können Angriffsziel und Unsicherheitsfaktor sein. Und im Umkehrschluss sind sie zugleich Sicherheitshebel, wenn sie Bedrohungen erkennen und schnell darauf richtig reagieren. „Viele Fehler passieren auf der organisatorischen Ebene, beispielsweise durch unsachgemäße Anwendung oder auch, wenn Bedrohungen nicht rechtzeitig gemeldet werden“, so Gerlinde Macho von MP2 IT-Solutions. „Im Notfall müssen alle wissen, was zu tun ist und an wen sie sich wenden können. Dazu müssen präventiv Maßnahmen gesetzt werden.“ Hilfreiche Tools sind interne Hotlines, Guidelines, Checklisten sowie regelmäßige Notfall-Übungen und ein laufendes Security Awareness. Besonders wichtig ist die Thematik im Homeoffice geworden. Macho appelliert dabei abteilungsübergreifend zu handeln und beispielsweise die Norm für Informationssicherheit als durchgängige Richtlinie zu sehen.

IT-Sicherheit ist eine Frage der Unternehmenskultur – Standards und Normen sind Basis

Die Experten sind sich auch hier einig, dass es nicht mehr um die Frage geht, ob etwas passieren könnte, sondern wann es passiert. Doch genau hier können Standards Abhilfe schaffen. Eine Zertifizierung nach der international anerkannten Norm ISO 27001 zur Informationssicherheit dient nicht nur dem Selbstzweck. Diese kann als Guideline und Checkliste für den Einsatz in der unternehmerischen Praxis dienen, um für mehr Sicherheit in der IT zu sorgen. Ergänzend zur Norm der Informationssicherheit hat die Anwendung der Rechenzentrumsnorm EN 50600 in den letzten Jahren stetig zugenommen.

CIS-Geschäftsführer Klaus Veselko nimmt gerne auch die Angst vor komplexen Projekten: „Normen und Standards sind ja per se praxisorientiert. Was wir oft sehen, ist die Sorge vieler Unternehmen vor komplexen Sicherheitsprojekten. Ein guter Weg ist hier die Etablierung eines Sicherheitsbewusstseins – wichtig dafür ist auch das Commitment des obersten Managements. Denn letztlich ist IT-Sicherheit auch eine Frage der Unternehmenskultur“, sagt Veselko.
 

Cyber Security umfasst organisatorische und technische Maßnahmen von der Infrastruktur und Netzwerke über Server, Daten, Mobilgeräte bis hin zu Awareness Raising. Die Experten beleuchteten das umfangreiche Thema aus verschiedenen Perspektiven. Ziel ist eine ganzheitliche Betrachtung von Cyber Security in der Praxis, um realistische Lösungen für Unternehmen zu schaffen. Normen und Standards sind wichtige Instrumente, die dabei unterstützen. Dass ein ganzheitlicher Blick auf Cyber Security von Bedeutung ist, darüber waren sich die fünf Experten beim Online-Talk am 15. März einig.

 

Verfügbarkeitsklassen, Bedarfs- und Risikoanalysen

EPS ist seit über 20 Jahren im Bereich der Planung und Umsetzung von hochverfügbaren Serverraumgesamtlösungen tätig. Im Detail umfasst das Unternehmen folgende Bereiche:

  • Serverraum Beratung, Planung & Errichtung
  • Sicherheitsstromversorgung mit USV und Notstromaggregaten
  • Klimatisierung & Erwärmung
  • Brandunterdrückung durch Brandvermeidung oder Löschanlagen
  • Strukturierte Datenverkabelung & 19″ Racks
  • DIN EN 50600 Checks
  • Energieeffizienzanalysen
  • Service, Wartung und Support
Erschienen auf

Artikel teilen

Share on facebook
Share on linkedin
Share on xing
Share on email

Sie haben Interesse an neuen Produkten und Innovationen?
Holen Sie sich unser kostenloses EPS-Info Mail

Durch die Anmeldung zu unserem EPS-Info Mail stimmen sie unserer Datenschutzerklärung zu.

Verwandte Artikel

EPS-Rechenzentrum-Check-Pruefung

Rechenzentrum-Überprüfung RZ Check

Rechenzentrums-Analyse Überprüfung und Optimierung des Serverraums Nach Fertigstellung und Inbetriebnahme eines Server- oder IT-Raumes endet oftmals die ganzheitliche Aufmerksamkeit an der Serverraumlösung. Meist sind es

> Zum Artikel

Länderwahl

Es sieht so aus als ob Sie aus einem anderen Land kommen. Möchten Sie auf eine Länderspezifische Webseite wechseln?