Es vergeht kaum ein Tag, an dem nicht von Cyberattacken auf Unternehmen oder öffentliche Einrichtungen berichtet wird. Wie schützt Scopevisio die Anwendungen und Daten der Kunden? Wir haben mit Christian Hemminghaus, Head of IT-Security bei der Scopevisio AG, gesprochen.
In seinem jüngsten Lagebericht von November 2023 kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu dem Schluss: „Die Bedrohung im Cyberraum ist so hoch wie nie zuvor“. Betroffen sind laut BSI nicht nur große Unternehmen, sondern „zunehmend auch kleine und mittlere Organisationen sowie staatliche Institutionen und Kommunen“.
Eine zentrale Gefahr: Ransomware. Dabei handelt es sich um Schadprogramme, die Funktionen lahmlegen, Daten vernichten und beides nur gegen Lösegeld wieder freigeben. Einen hundertprozentigen Schutz davor kann niemand bieten. Allerdings man kann sich mit einer Vielzahl an Maßnahmen schützen.
Was das Thema Datensicherheit für KMU bedeutet und wie Scopevisio damit umgeht, erläutert Christian Hemminghaus im Interview.
Vor welchen Herausforderungen stehen kleinen und mittleren Unternehmen beim Thema Datensicherheit?
Unabhängig von der Größe eines Unternehmens sind grundsätzlich alle Mitarbeitenden tagtäglich Cyberangriffen ausgesetzt – zum Beispiel durch Phishing oder Spam Mails.
Zudem ist Social Engineering eine stetig wachsende Bedrohung. Hierbei versucht der Hacker das Vertrauen des Opfers zu gewinnen und es so zur Preisgabe von vertraulichen Informationen wie zum Beispiel Passwörtern zu bewegen. Gerade beim Social Engineering werden Cyberkriminelle kontinuierlich besser in ihren Betrugsmaschen.
Klar ist: Durch die zunehmenden Cyber-Bedrohungen stehen Administratoren heute mehr denn je unter Druck. Das gilt vor allem im KMU-Bereich. Denn hier sind für das Thema Datensicherheit meist kleine Teams verantwortlich, die im Alltag aber neben der Administration von IT-Systemen auch noch tausend andere Dinge zu erledigen haben, wie zum Beispiel die Ausstattung von Arbeitsplätzen oder den internen IT-Support.
Worin genau besteht der große Aufwand für IT-Administratoren?
Um ihre Systeme auf den Ernstfall vorzubereiten, müssen IT-Administratoren eine Vielzahl an Aufgaben rund um die Cyber-Security erledigen:
Sie müssen Anwendungen und Systeme fast durchgängig patchen. Dabei müssen dabei schnell sein und dürfen gleichzeitig bestehende Prozesse nicht stören.
Sie müssen einen Überblick über Zugriffe auf Daten des Unternehmens behalten und diese regelmäßig prüfen. Bei selbst gehosteten Systemen ist das wegen der Zugriffssteuerung auf Netzwerk, Datenbank, System und Anwendungsebene komplex und kostet viel Zeit.
Sie müssen Daten regelmäßig sichern (Backups) und kommen aus Zeitgründen meist nicht dazu, diese testweise zurückzuspielen (Restore). Das ist für den Extremfall nicht gut genug.
Zudem müssen Backups außerhalb des Unternehmens gespeichert werden, um wirklich Sicherheit bei einem Angriff zu geben.
Eine Alternative zu gehosteten Systemen sind zertifizierte Cloud-Anwendungen. Das Thema Datensicherheit wird hier auf mehrere Schultern verteilt. Die interne IT wird somit entlastet.
Das bedeutet, Cloud-Anwendungen sind per se sicherer?
Ernstzunehmende Anbieter von Cloud-Anwendungen haben verlässliche Sicherheitsprozesse aufgesetzt – zum Beispiel in Form eines Informationssicherheitsmanagementsystems für ihre Systeme und die Daten ihrer Kunden.
Datensicherheit gehört zum Kerngeschäft von Cloud-Anbietern. Deshalb können sie Schwachstellen- und Patchmanagement, Zugangs- und Zugriffssteuerung sowie Backup- und Restore-Prozesse effizient und effektiv umsetzen.
Cloud-Anbieter beschäftigen Experten, um die Qualität ihrer Sicherheitsmaßnahmen ständig zu verbessern. Und sie setzen ihr Sicherheitskonzept für eine Vielzahl von Kunden um. Ein vergleichbares Sicherheitsniveau im einzelnen Unternehmen lässt sich nur durch unverhältnismäßig große Investitionen im IT-Bereich erreichen.
Das BSI registriert durchschnittlich knapp 70 neue Schwachstellen in Software-Produkten – pro Tag! Kann es solche Schwachstellen auch bei Scopevisio geben?
Wie in jeder anderen IT-Anwendung, tauchen auch in der Scopevisio-Anwendung Schwachstellen auf. Wir schützen unsere eigenen Produkte sowie die von uns verwendeten Software-Abhängigkeiten jedoch auf vielfältige und umfassende Weise.
Für unsere eigenen Produkte lassen wir regelmäßig Penetrationstests durchführen, um ein möglichst gutes Bild über unsere eigenen Schwachstellen zu bekommen. Dort auftretende Mängel werden in einem Verbesserungsprozess systematisch und in Tiefe behoben. Zudem haben wir in unserer Anwendung eine „Defense in Depth“-Architektur implementiert, die die Daten unserer Kunden kapselt und so auch bei schwerwiegenden Schwachstellen schützt.
Schwachstellen in unseren Software-Abhängigkeiten werden von uns durch unser Patch-Management behoben. Dabei ist der Warndienst des BSI eine unserer Quellen. Da wir uns beim Patchen Abhängigkeiten in unseren eigenen Produkte fokussieren können und diese gut kennen, können wir Updates schnell und verlässlich einspielen. Unsere Kunden merken davon gar nichts.
Wie kann Cloud-Software vor den oben genannten Ransomware-Angriffen schützen?
Ransomware Angriffe zielen auf Systeme und Daten innerhalb des Unternehmens ab. Cloud-Software kann durch die eingeschränkten Schnittstellen davon nicht betroffen sein.
Im Falle eines Ransomware Angriffs nutzen Sie als Anwender einfach ein anderes Endgerät um sich bei der Cloud Anwendung anzumelden und können dort Ihre Arbeit mit Ihren Daten fortsetzen.
Für Scopevisio Kunden sind beispielsweise die Prozesse und Daten verschlüsselt in unserem Rechenzentrum hinterlegt. Sie installieren einfach den Scopevisio Client auf Ihrem neuen Endgerät und können Ihre Arbeit fortsetzen. Ihre Dokumente liegen zudem sicher in Teamwork, unserer DMS-Lösung.
Woran erkennt man einen sicheren Cloud-Anbieter? Gibt es Zertifikate?
Sichere Cloud-Anbieter erkennt man an der Transparenz und Offenheit, mit der sie über die Sicherheit ihres Produktes kommunizieren. Anbieter, die sich nie selbst einem Penetrationstest unterzogen haben, wurden noch nie auf Herz und Nieren geprüft. Auch die Frage nach einem Informationssicherheits-Managementsystem (ISMS) oder einem Business Continuity Management (BCM) gibt schnell Auskunft darüber, ob ein Cloud-Anbieter das Thema Daten- und Informationssicherheit ernst nimmt.
Zertifikate wie ISO 27001 für das ISMS stellen sicher, dass das ISMS qualitativen Normen entspricht. Sie sind heutzutage Standard für Cloud-Anbieter. Produkttestate nach dem Kriterienkatalog Cloud Computing C5 des BSI bieten zusätzliche Sicherheit und Transparenz für den Endkunden.
