Mit <kes>+ lesen

Quo vadis, Security? Et tu, Sicherheitsstudie? : Abschlusskommentar des Hauptsponsors

Transformation, Digitalisierung, Cloud – ein Trio, das letztlich alles verändert und auch vor der Security selbst nicht haltmacht. Welche Auswirkungen haben moderne Dienste auf die Sicherheit und die Selbst- und Fremdreflexion durch Sicherheitsstudien? Michael Kranawetter erörtert diese Frage in seinem Fazit zur aktuellen /Microsoft-Studie.

Lesezeit 5 Min.

Die Ergebnisse der /Microsoft-Sicherheitsstudie liegen nun wieder vollständig vor. Seit 1986 gibt es diese Studie, seit 2004 unterstützt Microsoft sie als Hauptsponsor – zum einen, um ein Bild über den aktuellen Status der Informations-Sicherheit bei deutschen Firmen zu bekommen und beurteilen zu können, zum anderen, um Unternehmen auch die Möglichkeit zu geben, sich selbst einzuschätzen, sich einmal zurückzulehnen und die aktuelle Situation außerhalb des Tagesgeschäfts zu betrachten. Klar ist, dass es ein nicht unerheblicher Aufwand ist, diese Studie durch das Ausfüllen eines Fragebogens zu unterstützen – ebenso ist es für Unternehmen ein gewisser Aufwand, ihre aktuelle Lage einzuschätzen. Dennoch denken wir, dass die Studie weiterhin unter beiden Gesichtspunkten Sinn macht – mussten dieses Jahr jedoch auch feststellen, dass deutlich weniger Teilnehmer die Zeit dafür fanden, was sehr schade ist (2008: 144 Teilnehmer, 2010: 135, 2012/2014: 133, 2016: 267, 2018: 99).

Hier stellt sich die Frage nach dem Warum: Waren nur Projekte zur Einführung der Datenschutzgrundverordnung oder der übervolle Alltag für den geringeren Rücklauf verantwortlich? Oder ist die Studie womöglich (trotz erhöhter Beteiligung 2016) in ihrer jetzigen Form nicht mehr zeitgemäß? Was könnten wir tun, um sie attraktiver fürs Mitmachen zu gestalten? Was war für Sie persönlich, als offenbar interessierter Leser, der Grund, keine Daten beizusteuern? Was vermissen Sie, was finden Sie überflüssig in unseren Fragen? Sehr gern erhielten wir dazu Ihr Feedback! Wenn Sie also Kritik, Verbesserungsvorschläge oder Ideen haben, sei es zum Umfang, zur Erhebung oder den Inhalten und Resultaten, dann lassen Sie es uns gern wissen – E-Mail an studie@kes.de genügt. Auch ein „Ich finde es gut so, wie es ist – nächstes Mal versuche ich, einen Fragebogen auszufüllen“ hilft uns.

Große Veränderungen

Neben diesem Aufruf möchte ich mir jedoch an dieser Stelle auch Gedanken allgemeinerer Natur zur Einschätzung der Sicherheit machen und Sie daran teilhaben lassen: Wenn wir einen Blick auf die aktuelle Entwicklung der Nutzung und Verwaltung von IT werfen, dann wird umgehend klar, dass die Industrie inmitten einer großen Veränderung steht. Für uns alle ist es keine Überraschung, dass Cloud-Computing aktuell jedes Unternehmen beschäftigt – doch welche Aspekte gehen damit für die Verwaltung, Bewertung und die Architektur von Sicherheit einher?

Auch hier gibt es enorme Veränderungen, denn gerade die Themen Sicherheit und Datenschutz spielen bei jeglicher Auslagerung von Prozessen und Datenverarbeitung eine große Rolle – und zwar nicht nur für die Nutzer, sondern auch für die Anbieter. Cloud-Service-Provider bemühen sich, den „Stand der Technik“ zu erfüllen, wenn nicht sogar zu setzen. Dabei spielen auch Transparenz und Kontrolle eine entscheidende Rolle:

  • Transparenz in dem Sinne, dass einem Nutzer klar ist, was in der Cloud mit seinen Daten und Anwendungen passiert, aber auch in dem Sinne, in welchem Umfang Sicherheitsaspekte zum Einsatz kommen
  • Kontrolle in Bezug auf den Umgang mit Anwenderdaten sowie hinsichtlich Eingriffe in die Verarbeitung oder Bereitstellung von Daten.

In der Folge entsteht ein sehr viel detaillierter ausgearbeitetes Gesamtbild der Sicherheitsmaßnahmen, als man es in der Regel bei einem Eigenbetrieb der Security vorgefunden hätte. Ein weiterer daraus resultierender interessanter Punkt ist die Darstellung des Sicherheitsstatus: Denn es hilft den Anbietern ja nicht, wenn sie alles Mögliche für die Security unternehmen, der Kunde selbst das aber nicht weiß oder nicht mitbekommt – und somit den Mehrwert nicht kennt und auch nicht einschätzen kann.

Big Data, Special Insight

Deswegen haben viele Anbieter Cockpits, Dashboards und diverse Reports zur aktuellen und periodischen Auswertung des Sicherheitsstatus im Angebot. Kunden können damit nicht nur ihren aktuellen Status im Sinne der Sicherheit verfolgen und begutachten, sondern viele Anbieter bieten ihnen zudem auch eine Möglichkeit an, Felder mit potenziellen Verbesserungen aufzuzeigen. Das ist möglich, weil ein Dienstanbieter heute exakt weiß, was der Kunde mit den angebotenen Services macht: Die aktuelle Lage des Dienstes, den der Kunde eingekauft hat, kann er also auf der Basis von harten Daten, Fakten und in Echtzeit betrachten und mit seinem sonstigen Portfolio vergleichen.

Durch die Erfahrungen mit diversen Kunden und diversen Angriffen können Dienstanbieter zudem ein Rahmenwerk für Sicherheit schaffen, dass die akute Angriffsoberfläche des jeweiligen Dienstes exakt abbildet. So exakt wie es ein Kunde selbst wahrscheinlich nur schwer oder nur mit erheblichem Aufwand machen könnte. Nicht wenige Anbieter haben diese Aktivität im Übrigen als Teil ihres Kerngeschäfts identifiziert. In diesem Lichte erscheint fraglich, ob Anwender umgekehrt hier mit der Sicherheit in einen Bereich investieren wollen (und sollten), der in der Regel nicht ihr Kerngeschäft ist und den sie wahrscheinlich nie so professionell wie ein Anbieter bedienen könnten.

Wenn Clouddienste heute verstärkt Security-Informationen anbieten und immer mehr IT-Leistungen von Cloud-Dienstleistern erbracht werden, benötigt man dann noch eine Sicherheitsstudie, um seinen Status zu ergründen? Es klingt verlockend, hier mit „nein“ zu antworten. Aber kann man den Daten von Dienstleistern blind vertrauen, die naturgemäß mit ihren Diensten nicht schlecht dastehen möchten? Hier soll beileibe keinem Serviceanbieter ein Primat der PR oder sogar Arglist unterstellt werden – aber eine gewisse Selektion oder Färbung und Betonung bestimmter Informationen liegt vermutlich nicht selten nahe.

Verantwortung bleibt local

Und braucht man nicht auch eine unabhängige, eigene Einschätzung, um Prioritäten zu setzen und letztlich auch den passenden Dienstleister auszuwählen, der auf dieselben Prioritäten setzt?

Hier kann die /Microsoft-Sicherheitsstudie einen Mehrwert liefern, indem man das eigene Handeln und auch Outsourcen sowie dessen Transparenz hinterfragt: Kenne ich wirklich meinen vollständigen Sicherheitsstatus? Habe ich „alle Antworten“ auf die wichtigen Fragen?

Außerdem ermöglicht die Beschäftigung mit den Fragen, Antworten und Auswertungen den direkten, lokalen Vergleich mit den gefundenen „Mittelwerten“ sowie Erkenntnissen und Problemen anderer. Und die unabhängige redaktionelle Auswertung zeigt Trends und ermöglicht somit das Setzen oder Anpassen eigener Themen und Schwerpunkte für die Zukunft.

In unserer (vermeintlich anzustrebenden) „Shareconomy“ gehört eben das Teilen von Informationen mit dazu! Und besonders im Sicherheitsbereich sehe ich Erfahrungsaustausch und Zusammenarbeit als Notwendigkeit an, um dem gesamten System mehr Qualität geben zu können und somit das Sicherheitsniveau anzuheben.

Natürlich wird auch hier immer abgeschätzt werden, wie sich Daten monetarisieren lassen, jedoch tragen wir alle Verantwortung für die digitale Gesellschaft. Je einfacher die Datensammlung sein kann, zum Beispiel mit der Hilfe von Cloud-Services, umso besser.

Das Teilen von Daten außerhalb der „geschlossenen Nutzergruppen“ kommerzieller Dienste und unter der Ägide der Anbieter hat aber ebenfalls einen speziellen Wert und liefert (teil-)systemübergreifende Einsichten. Wer hierin einen Nutzen sieht, sollte erwägen, seinen Teil beizutragen, um diesen Wert zu erhalten und zu steigern.

Michael Kranawetter ist Head of Information Security und National Security Officer Germany bei Microsoft.

Diesen Beitrag teilen: