Cloud First, Safety First


Logbucheintrag 171204:

In jeder Stunde entsteht in Deutschland ein wirtschaftlicher Schaden von mehr als 100.000 Euro durch Hackerangriffe, Datenverlust und Systemausfälle. Diese Zahl ergibt sich jedenfalls, wenn man den Analysten folgt, die einen Schadenswert von rund einer Milliarde Euro pro Jahr errechnet haben. Dabei sind die nicht gemeldeten oder nicht einmal wahrgenommenen Angriffe auf die Computersysteme von Unternehmen nur geschätzt. Die tatsächliche Zahl der Schäden könnte noch viel höher liegen. Und dass Datenklau zwar nicht zu einem unmittelbaren Schaden führt, aber durchaus zum Verlust eines Wettbewerbsvorteils führen kann, ist in dieser Schätzung ebenfalls noch nicht berücksichtigt.

Die zweite Ungeheuerlichkeit, die Umfragen zufolge im Zusammenhang mit Cybercrime festgestellt wurde, ist die Vermutung, dass drei Viertel der Unternehmen in Deutschland in den vergangenen zwei Jahren schon einmal Ziel eines Hackerangriffs gewesen sein sollen. Das wären also mehr als zwei Millionen Angriffsversuche – oder um es deutlich zu sagen: Straftatbestände! Denn „Hacken“ ist kein Kavaliersdelikt.

Umso unverständlicher, dass Computerzentralen zwar im Hochsicherheitstrakt eines Unternehmens untergebracht sind, die Datenleitungen aber nur unzureichend geschützt sind. Denn das größte Sicherheitsrisiko ist noch immer der Mensch an seinem Arbeitsplatz. In jedem Unternehmen gibt es immer noch mindestens eine Person, die auf jeden Link in einer Email klicken würde.

Sicherheit ist kein statisches Qualitätsziel. Denn wenn sich Prozesse in einer Organisation ändern, ergeben sich schnell auch neue Sicherheitslücken. Dies gilt vor allem in agilen Unternehmen, in denen schnelle Entscheidungen, kurze Lernphasen, ständige Kurskorrekturen und hohes Entwicklungstempo zur Firmenkultur gehören. CIOs müssen bei der Planung ihrer Datacenter deshalb ständig die lebendige Organisation, die sie unterstützen sollen, im Blick haben. Doch damit sind viele mittelständische Unternehmen überfordert.

In der Cloud sind diese Sicherheitsaspekte hingegen hochgradig automatisiert. Microsoft Plattformen wie Azure, Office 365 und Dynamics 365 gehören, bestehen aus weltweit verteilten und skalierbaren Rechenzentren in denen verschiedene Dienste von IaaS bis SaaS angeboten werden. Für diese Rechenzentren und Dienste hat Microsoft über 53 verschiedene Zertifizierungen verschiedenster Organisationen erhalten. (Mehr dazu unter diesem Link: https://www.microsoft.com/de-de/trustcenter ) Dazu gehören globale Zertifizierungen wie die ISO27001, ISO27018 oder auch SOC3 genauso wie Industrie-spezifische Zertifizierungen wie HIPAA, HITRUST und MPAA oder die Berücksichtigung regionaler Anforderungen wie die EU Model Clauses, Canada Privacy Law oder das Grundschutzhandbuch und C5 Testat des deutschen Bundesamts für Sicherheit in der Informationstechnik.

Als führender Cloud-Anbieter gewährleistet Microsoft außerdem, dass bis zum Inkrafttreten der Datenschutzgrundverordnung (DSGVO bzw. GDPR General Data Protection Regulation) am 25. Mai 2018 die Microsoft Cloud-Dienste mit der DSGVO rechtskonform sein werden. Das schließt Produkte wie Office 365, Dynamics 365, Microsoft Azure, SQL Server, Enterprise Mobility + Security (EMS), Windows 10 und Microsoft 365 ein. Die Ziele der DSGVO stimmen mit den bereits bestehenden Zusagen von Microsoft im Hinblick auf Sicherheit, Datenschutz und Transparenz überein. Microsofts Rechenzentren nutzen weltweit einheitliche, geprüfte und bewährte Technologien und bieten die gleichen Service-Level und Sicherheitsstandards, zum Beispiel Datenverschlüsselungen nach aktuellen SSL/TLS-Protokollen. Die Microsoft Cloud bietet damit einen sicheren Weg zur DSGVO-Compliance.

Darüber hinaus investieren wir mit dem Microsoft Cyber Defense Operations Center jedes Jahr über eine Milliarde Dollar in die proaktive Abwehr von Sicherheitsbedrohungen. Dazu gehört auch, in allen Entwicklungs- und Betriebsprozessen von Anfang an das Thema Sicherheit und Datenschutz als Kernbestandteil zu berücksichtigen. Mit Hilfe von Machine Learning und künstlicher Intelligenz können wir selbst solche Angriffsszenarien frühzeitig zu erkennen, die noch nicht bekannt und beschrieben sind.

Es ist geradezu fahrlässig, auf eine solche Sicherheitsumgebung zu verzichten. Mit Microsoft Azure ist die Cloud nicht weniger zuverlässig als das firmeneigene Rechenzentrum. Im Gegenteil, die Cloud schützt vor Angriffen, die nur bei immensen Kosten mit hausinternen Sicherheitsfeatures abgewehrt werden könnten. Man geht ja auch nicht gegen eine komplexe Immunschwäche mit den Mitteln aus der Hausapotheke vor.

 

 


Comments (1)

  1. Markus says:

    Aber auch ein hoch automatisierter Sicherheitsstandard schütz nicht vor Fehlentscheidungen und menschlichem Versagen, wie die kürzlich entdeckte Verwendung eines public key certificate in Dynamics 365 zeigt.

Skip to main content