IT-Sicherheit im neuen Jahr
Die Security-Trends 2015
Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Gefahr droht auch vermehrt von anderer Seite: der der mobilen Bezahlsysteme. Spätestens mit AppleApple Pay beim iPhoneiPhone 6 könnte Mobile Payment von der "kritischen Masse" akzeptiert werden und zusammen mit konkurrierenden mobilen Zahlsystemen klassischen Bezahlwegen zunehmend den Rang ablaufen. Aber nicht alle der Systeme sind bereits ausreichend auf mögliche Gefahren geprüft und somit für Cyber-Kriminelle attraktiv. Lässt sich hier doch noch mit relativ geringem Aufwand relativ viel Kasse machen. Wir sollten also gewarnt sein. Alles zu Apple auf CIO.de Alles zu iPhone auf CIO.de
- Apple Pay in Websites
...einbinden, können Shopbetreiber seit Sommer 2016. Der Anwender kann die Webseite auch via Mac besuchen, bezahlen muss er dann aber mit seinem iPhone.
Über den Wolken …
Bleibt zum Schluss noch die Cloud, die sich zu einem Dauerbrenner in Sicherheitsfragen entwickelt hat. TK-Dienstleister Verizon sagt voraus, dass die Unternehmens-IT 2015 von Cloud-Deployments kontrolliert werde. Die IT-Abteilung werde zu einer Art "Broker für Cloud-Lösungen", helfe bei der Offenlegung von Bedarf, beschreibe technische Anforderungen und verwalte die verschiedenen Technologie- und Service-Provider im Einsatz. Verizon prognostiziert, dass Cloud-Lösungen immer zielgerichteter wichtige geschäftliche Initiativen unterstützen würden - beispielsweise die Verbesserung der Kundeneinbindung, den operativen Wandel und Technologie-Compliance.
- Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen: - Mangel an Kontrolle
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public Cloud Services. - Unzureichende Transparenz
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen. - Virtualisierung
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter. - Ort der Datenspeicherung
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud Service Providers. - Public Clouds
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet. - Zugriff auf die Cloud von privaten Systemen aus
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile Device Management Software. - Audits und Überwachung von Sicherheitspolicies
Compliance-Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service Provider im Spiel ist, sind entsprechende Audits aufwendig. - Risiken durch gemeinsame Nutzung von Ressourcen
In Cloud-Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.
Sollten diese Vorhersagen eintreten, werden die sichere Speicherung und Verarbeitung von Daten innerhalb von Cloud-Infrastrukturen zum elementaren Bestandteil einer jeden IT-Strategie entwickeln.
Dass das Thema Cloud-Sicherheit im neuen Jahr höchste Priorität besitzt, zeigen auch die Ergebnisse der aktuellen IBM-Umfrage "What’s Top of Mind for Today’s CISO" unter 138 Sicherheitsverantwortlichen und CISOs (Chief Information Security Officers) weltweit: 90 Prozent der befragten Anwender haben mittlerweile Cloud-Lösungen eingeführt oder befassen sich zumindest konkret mit deren Planung. Aus dieser Gruppe wiederum gehen 75 Prozent davon aus, dass ihr Cloud-Sicherheits-Budget in den nächsten drei bis fünf Jahren steigen oder sogar erheblich steigen wird.
Geld ist also wohl weiter da für IT-Security, sogar mehr als vorher. Und das sind durchaus gute Nachrichten.