Stephan Schwichtenberg, Mitglied des Präsidiums des Bundesverband IT-Mittelstand e.V. (BITMi) und Sprecher der Fachgruppe  IT-Sicherheit, Foto: Presse

Was wird von Unternehmen in puncto Datenspeicherung derzeit noch unterschätzt?

Natürlich sollten Daten so abgespeichert werden, das diese sicher und geschützt sind. Daten sollten aber auch genutzt werden, um Mehrwerte zu generieren. Gerade IT-Security-Maß-nahmen und modernere Konzepte helfen Unternehmen dabei, beide Ziele gleichzeitig zu realisieren.

Worauf sollte bei der Wahl einer Cloud geachtet werden?

Das hängt stark von der Art des Cloud-Angebotes ab. Eine Cloud ist aber nur eine Art „IT-System“, und Unternehmen bleiben selbst dafür verantwortlich, was mit und auf dem gewählten Cloudangebot passiert.  D. h. es gilt die Anforderungen an IT-Sicherheit, DSGVO oder Compliance zu erfüllen. Dabei kann ein Cloud-Angebot Arbeit ersparen, es kommen dafür aber ggf. neue Herausforderungen dazu. 

Welches sind die häufigsten Sicherheitslücken von Unternehmen?

Der Faktor Mensch und Zeit werden von den meisten Unternehmen unterschätzt. Über Social Engineering eröffnen sich für Angreifer die Möglichkeit Informationen zu sammeln und erste Schadsoftware einzuschleusen, lange bevor der eigentliche Angriff geschieht. Angreifer haben besseres Know-how, Ressourcen und Zeit, um sog. Angriffsvektoren zu entdecken und auszunutzen. Angriffe bleiben immer noch viel zu lange unbemerkt.

Prof. Dr. Claudia Eckert, geschäftsführende Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC in München und Professorin der Technischen Universität München, wo sie den Lehrstuhl für IT-Sicherheit in der Fakultät für Informatik inne hat, Foto: Presse

Was wird von Unternehmen in puncto Datenspeicherung derzeit noch unterschätzt? 

Um Daten sicher zu speichern, ist eine entsprechende Verschlüsselung unerlässlich. Das zugehörige Schlüsselmanagement – also die Verwaltung von Schlüsseln und Berechtigungen – wird dabei häufig unter-schätzt. Wann werden Schlüssel erneuert? Wo liegen die Daten? Wer hat Zugriff auf die Schlüssel? Diese Prozesse müssen von Unternehmen klar definiert werden.  

Worauf sollte bei der Wahl einer Cloud geachtet werden? 

Wenn personenbezogene Daten gespeichert und verarbeitet werden, spielt das Thema Datenschutz eine signifikante Rolle. Entscheidend ist, wo der Anbieter die Cloud betreibt – denn daraus resultiert, welchen Gesetzgebungen er unterliegt und welche Kriterien und Standards er erfüllen muss. 

In Deutschland bildet neben der DSGVO beispielsweise der Kriterienkatalog C5 des BSI die Grundlage für die Mindestanforderungen an sicheres Cloud Computing. Für die Cloud-Sicherheits-Zertifizierung in Europa wird das EUCS (European Cybersecurity Certification Scheme for Cloud Services) zukünftig eine große Rolle spielen, die derzeit von der ENISA erarbeitet wird. 

Welches sind die häufigsten Sicherheitslücken von Unternehmen?

Die Liste von Sicherheitslücken ist leider lang. Besonders hervorzuheben sind beispielsweise unsichere Nutzer-Authentisierung durch schlecht gewählte Passwörter oder mangelhaft abgesicherte Zugänge ins Unternehmensnetz. Häufig führt auch ein unzureichendes Rechtemanagement dazu, dass zu viele Zugriffe ermöglicht werden, durch ein fehlendes Patchmanagement wer-den Sicherheitslücken oft zu spät behoben