MetaApplicationCenter

Competence-Center

IT-Nachrichten

Cybersicherheit als umfassende Unternehmensaufgabe

Details

Cyber-Terror_90Cyberattacken auf große Unternehmen oder die Entdeckung neuer Superviren bestimmen regelmäßig die Schlagzeilen. Von der Öffentlichkeit kaum beachtet gibt es aber auch immer mehr – vielleicht weniger spektakuläre – Vorfälle, die für die betroffenen Firmen aber dennoch schwere Konsequenzen haben.

Gerade kleineren oder mittelständischen Unternehmen ohne große IT bietet der Cyberspace enorme Chancen und Vorteile für Innovationen, Effizienzsteigerung, Wettbewerbsfähigkeit und Kundenbindung. Vielen Unternehmen fällt es jedoch schwer, die Chancen mit den Risiken des Cyberspace abzuwägen. Beispielsweise möchten sie so schnell wie möglich von neuen Technologien oder Webdiensten profitieren und setzen diese ein, ohne deren Sicherheit vorher ausreichend geprüft zu haben.

Für den Umgang mit Bedrohungen aus dem Cyberspace fehlt ihnen dann oft eine wirksame Strategie. Und das, obwohl die immer schneller wachsenden Möglichkeiten des Internets mit immer komplexeren und gefährlicheren Bedrohungen einhergehen. Durch den sogenannten “Malspace” gibt es heute zudem einen großen und differenzierten Markt für Tools und Know-how für gezielte Attacken. Per “Crime as a Service” lassen sich Cybercrime-Dienstleistungen für fast jeden ganz einfach einkaufen.

Anders als noch vor einigen Jahren ist für Cyberkriminalität also kein IT-Fachwissen mehr erforderlich, kriminelle Energie und das nötige Kleingeld reichen aus. Dazu kommt, dass einzelne Bedrohungen und Methoden immer häufiger kombiniert eingesetzt werden.

Wenn sie die Chancen des Cyberspace nutzen möchten, ist es für Unternehmen jeder Größe also höchste Zeit, sich mit den Risiken auseinanderzusetzen. Dazu sollten sie eine IT- und Cybersicherheitsstrategie entwickeln beziehungsweise ihre bestehende auf den Prüfstand stellen und gegebenenfalls überarbeiten. Weil das Verhalten aller Mitarbeiter die Cybersicherheit beeinflusst, muss das Thema unbedingt als Aufgabe für das gesamte Unternehmen angegangen werden.

Basierend auf den Erfahrungen von mehr als 300 Mitgliedsunternehmen weltweit empfiehlt das ISF Unternehmen deshalb, den klassischen Sicherheitsansatz aufzugeben, bei dem alleine die IT-Abteilung für IT- und Cybersicherheit zuständig ist. Im ISF Cyber Resilience Framework beschreibt die Organsiation ein Konzept, das Unternehmen hilft, Cybersicherheit in ihren Abläufen zu verankern und in mehreren Schritten eine wirkungsvolle und flexible Cybersicherheits-Strategie aufzubauen. Einige Eckpunkte möchte ich näher herausgreifen.

Cybersicherheit auf höchster Ebene

Cyberattacken können für Unternehmen im schlimmsten Fall existenzgefährdend sein. Deshalb sollten Unternehmen zunächst sicherstellen, dass Cybersicherheit zum Zuständigkeitsbereich des Top-Managements beziehungsweise der Geschäftsführer gehört. Darüber hinaus sollte auf höchster Ebene ein Verantwortlicher für Sicherheitsfragen ernannt werden. Dieser sollte sich regelmäßig mit dem Vorstand zu Sicherheitsfragen und -bedürfnissen austauschen und im Falle einer Attacke oder einer Veränderung der Bedrohungslandschaft, die Reaktion des Unternehmens abteilungsübergreifend koordinieren.

Analyse des Status quo

Anschließend sollten Unternehmen ihre aktuelle Situation kritisch auf den Prüfstand stellen. Nur wenn sie ihre eigene Bedrohungslandschaft im Detail kennen, können sie passende, individuelle Maßnahmen ergreifen. Dafür gilt es folgende Fragen zu beantworten: Welche Informationen und Daten des Unternehmens sind für Cyberkriminelle wertvoll? Welche Sicherheitsvorkehrungen und -maßnahmen sind aktuell im Unternehmen implementiert? Wie regelmäßig werden diese auf den Prüfstand gestellt? Wer ist aktuell im Unternehmen für das Thema verantwortlich? Wie sind die Mitarbeiter bislang in das Thema eingebunden? Haben sich bereits Sicherheitsvorfälle ereignet, die ihren Ursprung im Cyberspace hatten?

Maßnahmen und Richtlinien entwickeln

Auf Grundlage der Analyse sollten konkrete Prozesse und Maßnahmen entwickelt werden. Zwar hat jedes Unternehmen individuell Anforderungen und benötigt daher eine individuelle Cyberstrategie, entscheidend ist es jedoch, das Thema fest in die Abläufe des Unternehmens zu implementieren. Wir raten deshalb, Cybersicherheit wie andere kritische Geschäftsrisiken zu behandeln und Cyberbedrohungen als festen Bestandteil in das Risikomanagement zu integrieren.

So sollte das Thema nicht nur regelmäßig auf der Tagesordnung des Top-Managements stehen. Hilfreich sind darüber hinaus Arbeitsgruppen für Cybersicherheit, in denen sich die Mitarbeiter zum Thema austauschen können. Zudem ist ein individueller Notfallplan für den Fall eines Angriffs oder Datenverlusts ein absolutes Muss.

Aufmerksamkeit hoch halten

Cybersicherheit erfordert permanente Aufmerksamkeit – und zwar im gesamten Unternehmen. Dafür ist kontinuierliche Überzeugungsarbeit notwendig. Die IT-Abteilung, Sicherheits- oder Datenschutzbeauftragte sowie andere müssen deswegen sowohl das Management, vor allem aber auch die Belegschaft, immer wieder von der existenziellen Bedeutung des Themas überzeugen.

Hilfreich hierbei sind Hinweise auf aktuelle Vorfälle bei anderen Unternehmen und Szenarien, wie die Konsequenzen im Falle einer Attacke aussehen könnten, aber auch Best-Practices, wie man sich vor welchen Gefahren schützen kann. Bei der Sensibilisierung der Mitarbeiter dürfen außerdem Hinweise darauf nicht fehlen, wie einfach viele Schädlinge in Unternehmen geraten und welche Rolle dabei die Mitarbeiter spielen.

Denn sogar komplexe Schadprogramme wie Flame oder Stuxnet werden häufig über simple Übertragungswege wie USB-Sticks, CDs oder E-Mail-Anhänge in Kombination mit Sorglosigkeit eingeschleust. Wichtig dabei ist, die Mitarbeiter nicht einzuschüchtern, sondern aufzuklären. Sie sollen Chancen und Tools schließlich nutzen.

Zusammenarbeit und Austausch mit Partnern

Gerade weil die Chancen und Vorteile des Cyberspace auf seiner Interaktivität mit externen Partnern beruhen, können Unternehmen Sicherheit im Cyberspace nicht isoliert erreichen. Deshalb sollten sie bei ihrer Sicherheitsstrategie unbedingt mit ihren Partnern, Lieferanten und Kunden zusammenarbeiten. Plattformen wie das ISF bieten Unternehmen darüber hinaus die Möglichkeit, sich vertrauensvoll in Workshops, Meetings und Foren zu ihren aktuellen Problemen und Herausforderungen im Bereich Cyber- und Informationssicherheit auszutauschen. Eine solche Transparenz und gegenseitiger Austausch sind kein Zeichen von Schwäche, sondern machen Unternehmen stark und bieten die Möglichkeit, sich gegenseitig zu unterstützen und von Best-Practices zu profitieren.

Flexibilität bei neuen Bedrohungen

Die Bedrohungslandschaft verändert sich ständig. Unternehmen müssen deshalb ihre implementierten Maßnahmen und Prozesse in regelmäßigen Zyklen unter die Lupe nehmen und gegebenenfalls schnell verändern können. Dabei ist es wichtig, auch potenzielle neue Bedrohungen im Blick zu behalten. Wenn die Entdeckung eines neuen Schädlings wie “Flame” bekannt wird, gilt es, dessen mögliche Auswirkungen schnell und umfassend zu analysieren.

Dazu gehört die Identifizierung der damit verbundenen Bedrohungen sowie möglicher Schwachstellen im eigenen System. Je nach dem muss dann die Cyber- und IT-Sicherheitsstrategie angepasst werden, auch hier helfen Best Practices und die Erfahrung anderer Unternehmen. Gerade wenn Schnelligkeit gefragt ist, muss nicht jeder das Rad neu erfinden.

Fazit

Cyberangriffe lassen sich nicht komplett verhindern. Ganz im Gegenteil – wenn wir auf unseren Bericht “Threat Horizon 2014” schauen, wird die Zahl der Angriffe in Zukunft deutlich zunehmen. Mit gezielten Maßnahmen können Unternehmen ihr Risiko aber deutlich reduzieren und sich bestmöglich auf Bedrohungen und Gefahren einstellen. Cyberkriminelle gehen professioneller, effizienter und organisierter denn je vor. Unternehmen sollten das auch tun. Quelle

Big-Data-Projekte brauchen die richtigen Werkzeuge

Details

Big-Data-2_90Was Big Data für ein Unternehmen bedeutet, kann sich je nach Firmengröße erheblich unterscheiden. Die zu schaffenden Voraussetzungen, um mit den wachsenden Datenmengen und den unterschiedlichen Datenstrukturen zurechtzukommen, sind jedoch ähnlich.

Big Data ist keine vorübergehende Mode, die nach einiger Zeit wieder aus der IT-Diskussion verschwindet. Der Begriff beschreibt Herausforderungen, die viele Unternehmen umtreiben: die explosionsartig zunehmenden Datenmengen, die Geschwindigkeit, mit der neue Daten entstehen, die Unterschiedlichkeit der Quellen und Inhalte und nicht zuletzt der steigende Bedarf an Echtzeitanalysen.

All diese Aufgaben sind nicht leicht zu bewältigen. Sie eröffnen andererseits aber auch Möglichkeiten, die sich Firmen nicht entgehen lassen sollten: Sowohl die Daten aus internen Beständen, als auch die aus externen Quellen stammenden Datenmengen, etwa von RFID-Lesegeräten, aus Sensornetzen in der Fertigung und aus Social-Media-Plattformen, lassen sich für neue, geschäftsrelevante Erkenntnisse, auswerten.

Sicher ist: Big Data verändert die Arbeitswelt. Entscheidend ist, die Datenberge mit den richtigen Methoden und Werkzeugen zu bearbeiten. Was bei Big Data “Big” bedeutet, ist dabei für jedes Unternehmen unterschiedlich. Bei Kleinunternehmen und im Mittelstand können schon mehrere Gigabyte an Daten eine ungewöhnlich große Menge darstellen, die möglichst in Echtzeit zu analysieren ist. Für Konzerne beginnt Big Data dagegen erst bei einer Datenmenge von mehreren Hundert Terabyte.

Gesucht wird aber immer nach Mustern, Ähnlichkeiten, Zusammenhängen und Diskrepanzen. Produzierende Unternehmen aus der Konsumgüterbranche etwa wollen verstehen, wie Verbraucher auf ihre Produkte oder eine konkrete Vertriebskampagne reagieren. Dazu müssen Daten aus internen und externen Quellen in Echtzeit zusammengeführt werden.

Handelsunternehmen können Sonderaktionen auch bei umfangreichem Produktportfolio und einem großen Filialnetz in großer Präzision und Geschwindigkeit planen, deren Wirkung kontrollieren und bei Bedarf nachsteuern. Wichtig dabei ist, auch alle relevanten Einflussfaktoren wie den lokalen Wettbewerb, die Kundenstruktur oder unvorhergesehene Ereignisse zu berücksichtigen.

Dafür müssen Unternehmen aber die technischen Voraussetzungen schaffen, insbesondere auf den Gebieten Daten-Connectivity und Middleware. Beim Datenimport und -export gilt es, die traditionellen relationalen und transaktionalen Systeme, aber auch neuere Verfahren wie NoSQL sowie hochskalierbare Analyseplattformen wie Hadoop oder Map-Reduce einzubeziehen, die eine parallele Verarbeitung großer Datenmengen ermöglichen.

Dabei geht es um typische Einsatzgebiete von Business Intelligence wie Data Warehousing, Data Migration, Data Replication und Data Analysis. Die Datenbankzugriffe und deren Performance sind entscheidend für den Erfolg von Big-Data-Projekten.

Unternehmen benötigen daher standardbasierte, vollständig interoperable Datenbanktreiber, mit denen sie ihre Applikationen funktional erweitern können, ohne dass sie den Programmcode der Anwendungen ändern müssen. Im Bereich der Daten-Connectivity bildet der hochperformante, standardbasierte Zugriff auf alle wichtigen relationalen Datenbanken via ODBC, JDBC oder ADO.NET ein Herzstück. Denn damit entsteht eine ausbaufähige Infrastruktur für einen schnellen und effizienten Datenaustausch bei Big-Data-Anwendungen. Quelle

Risiken von Cloud-Diensten: Vorurteile helfen nicht weiter

Details

Cloud-Dienst_90Europäische Firmen heizen die Diskussion um Gefahren bei der Nutzung globaler Cloud-Angebote an, US-Firmen wiegeln ab oder kontern mit dem Bau von Rechenzentren in Europa.

Die Auslagerung der Erbringung von ICT-Diensten ist im Zuge der Globalisierung und des stetigen Optimierungs- und Innovationsdrucks weit fortgeschritten. Bei bisherigen Outsourcing-Modellen stand allerdings eher die Übergabe oder die Migration von bereits vorhandenen Entwicklungs-, Betriebs- und Wartungsleistungen inklusive Personal und ICT-Infrastrukturen an externe Diensterbringer im Zentrum des Servicemodells. Durch das Angebot von Cloud-basierten Dienstleistungen entsteht dagegen ein neues Auslagerungsmodell, welches auf der Nutzung einer technologisch wesentlich stärker standardisierten, dafür jedoch weitgehend dynamischen, orts- und umgebungsunabhängigen Infrastruktur und Diensterbringung aufbaut.

In diesem Szenario entstehen neue Fragestellungen nach der Definition, Erbringung und Überprüfbarkeit von Risiko- und Sicherheitsleistungen, um das bislang erreichte Schutzni¬veau auch in einem Dienstmodell beibehalten zu können, welches die Grenzen der klassischen Informationssicherheit bezüglich Kontrolle über die Sicherheitsanforderungen und deren Überwachung und Überprüfung deutlich überschreitet.

Clouds und cloud-basierte Dienste

Clouds sind als meist massiv parallele und verteilte Systeme definiert, welche aus einer An-sammlung miteinander vernetzter und oft virtualisierter Computer bestehen. Diese Computer werden dynamisch verwaltet und zugeteilt, erscheinen den Benutzern gegenüber jedoch als vereinheitlichter Service. Die Nutzung basiert auf zuvor ausgehandelten Service Level Agreements und der zugehörigen, meist nutzungsabhängigen Tarifierung und Abrechnung.

Cloud Dienste basieren auf der grundsätzlichen Annahme, dass die ICT-Infrastruktur – Netzwerke und deren Komponenten, Server und deren Basisdienste (Speicher, Rechenleistung) – aber gegebenenfalls auch standardisierte Dienstleistungen wie E-Mail, Web-basierte Anwendun¬gen inklusive der nötigen Datenbewirtschaftung und so weiter, innerhalb einer für den Kunden nicht differenzierbaren “Wolke” gemäss einem definierten Service Level angeboten werden.

Das Geschäftsmodell eines solchen Cloud-Angebots basiert also einerseits auf einer sehr starken “Economy of Scale” mit möglichst vielen Nutzern, welche die Betriebs-, Ausbau- und Erneuerungskosten der Cloud finanzieren, andererseits auf der starken Standardisierung der Dienste in der Cloud, um die Komplexität der Cloud zu beschränken und damit entsprechende Risiken zu minimieren. Damit steht es im deutlichen Gegensatz zur Übernahme von “Legacy”-Systemen in vielen klassischen Outsourcing-Ansätzen.

Cloud Dienste werden heute gemäss einer Hierarchie des Dienstangebots klassifiziert:

  1. Infrastructure as a Service (IaaS): Infrastruktur-Anbieter stellen eine grosse Menge von ICT-Ressourcen zur Verfügung (Sekundärspeicher, Rechenleistung usw.). Durch Virtualisierung können diese Ressourcen Nutzern dynamisch zugeordnet werden und können die jeweiligen Benutzerbedürfnisse zeitnah (und gegebenenfalls kostengünstig, je nach Abrechnung und Tarifmodell, zum Beispiel mit einem Sockelbeitrag plus “pay per use”) abdecken. Gleichzeitig erlaubt dies dem Anbieter auch ein “Overbooking” der verfügbaren Ressourcen – also die Befriedigung von Benutzerbedürfnissen, deren Summe die Kapazität der Ressourcen eigentlich übersteigt. Bei IaaS muss der Benutzer “seinen” Software-Stack selbst erstellen, ausrollen, verwalten und betreiben.
  2. Platform as a Service (PaaS): Anstelle einer virtualisierten Infrastruktur wird auch die Software-Plattform (Betriebssystem und zugehörige Middleware-Komponenten) als Service zur Verfügung gestellt. Die darunterliegende optimale Zuteilung der Hardware und sonstigen Betriebsmittel geschieht für den Benutzer transparent.
  3. Software as a Service (SaaS): In diesem Szenario wird auch die Anwendungssoftware als verwalteter und abrechenbarer Dienst zur Verfügung gestellt. Die darunterliegende Plattform und technische Infrastruktur und deren Zuteilung bleiben vor dem Benutzer verborgen.

Erste Cloud-Ansätze entstanden typischerweise im Umfeld von sehr grossen Technologienutzern und Serviceanbietern, die an einer Zusatzfinanzierung ihrer internen Über- oder “Peak”-Kapazität durch das Angebot einfacher Cloud-basierter Dienste (typischerweise Ablage von Dateien, E-Mail oder ähnliche Dienste) interessiert waren. Durch den Sprung zu “Software-as-a-Service” und die Bereitstellung meist webbasierter Entwick¬lungs- und Betriebsumgebungen in der Cloud können nun jedoch Geschäftsmodelle für das Angebot von komplexen Applikationen entwickelt und umgesetzt werden, welche den kommerziellen Aufbau und Betrieb von Cloud Diensten ohne Querfinanzierung erlauben.

Das Marktforschungsunternehmen IDC prognostiziert, dass Cloud Services ein stark wachsendes Marktpotenzial haben, da Firmen durch die Nutzung von Clouds ihre Infrastruktur- und Betriebskosten sowie die Kosten für die Sicherung, Pflege, Modernisierung, Leistungssteigerung und so weiter einsparen beziehungsweise von einem Fixkosten-Modell auf ein “pay per use”-Modell umstellen können. IDC erwartet weltweit eine Steigerung von circa 16 Milliarden Dollar im Jahr 2008 auf etwa 42 Milliarden Dollar im Jahr 2012. Zudem wird angenommen, dass 2012 etwa 25 Prozent der Kosten für Informatik einer Unternehmung auf die Nutzung von Cloud Services entfallen.

Treiber für Clouds sind also die Reduktion von Komplexität und Fixkosten für den Kunden, mögliche brem¬sende Faktoren sind die Kontrolle/Abhängigkeit von Fremdanbietern (ggf. im Ausland oder mit variablem Ort der Diensterbringung), die Kontrolle der Einhaltung von Dienst- und Qualitätsgarantien, die Aufrechterhaltung der IT-Sicherheit und des Daten-schutzes, die Verfügbarkeit, Qualität und Bezahlbarkeit der nötigen Kapazität sowie die ggf. mangelnde Trans¬parenz der Leistungserbringung und kundenspezifischen Dienstabrechnung.

Implikationen für Informationssicherheit und Risikomanagement

Viele etablierte Elemente der Informationssicherheit und des ICT-Risiko-Managements bei der Auslagerung von Diensten gründen auf der Annahme, dass die relevanten Betriebs- und Kontrollparameter beziehungsweise deren Governance unter der Kontrolle des Auftraggebers verbleiben, während die Umsetzung durchaus auf dem Einsatz von Fremdleistungen basieren kann. Die Einhaltung der Vorgaben für Informationssicherheit und Datenschutz war bereits in traditionellen Auslagerungsmodellen komplex und mit erheblichem Aufwand verbunden. Die Kontrolle der Einhaltung entsprechender Vorgaben in Cloud-basierten Modellen schafft zusätzliche Schwierigkeiten. Sie müssen in die Gesamtrisikobetrachtung bei der Nutzung von Cloud-Diensten prominent einfliessen. Im Folgenden werden typische Problemfelder exemplarisch und ohne Anspruch auf Vollständigkeit diskutiert.

  1. Es gibt keine Kontrolle über den Ort der Diensterbringung (inklusive Transitorte und Netze) und deren Sicherheitsdispositive (von physischem Schutz und Zugangskontrollen bis hin zu den jeweils geltenden betrieblichen IT-Sicherheitskonzepten, Zertifikaten etc) – eine eigentliche “due dilligence” pro betrieblichem Standort und Land ist in einer breit verteilten, dynamischen Cloud also nicht mehr möglich.
  2. Die Frage der dynamisch grenzüberschreitenden Funktionalität gegenüber einer immer noch stark nationalen oder regionalen Gesetzgebung hat direkte Konsequenzen auf die Auswahl eines Cloud-Angebots. In der Schweiz sind zum Beispiel im Gegensatz zu anderen Ländern nicht nur Personendaten, sondern auch Unternehmensdaten geschützt. Auch E-Mails sind in diesem Sinne Personendaten, die dem Datenschutz unterstehen – eine Bekanntgabe ins Ausland kann nur dann erfolgen, wenn am Speicher- oder Aufbewahrungsort ein äquivalentes Datenschutzrecht gilt – bei einer jederzeit ortsveränderlichen Diensterbringung ist diese Überprüfung aufwändig, wenn nicht gar unmöglich.
  3. Die Kontrolle über das in einen Cloud Service eingebrachte geistige Eigentum (zum Beispiel Kundendaten, Herstellungs- oder Berechnungsverfahren etc.) verlangt in gemeinsam von mehreren Kunden genutzten Plattformen und Applikationen besondere Aufmerksamkeit. Insbesondere müssen die Betriebsprozesse in der Cloud gewährleisten, dass keine Verwechslung, Durchmischung oder ein nicht beabsichtigter Abgleich von Daten erfolgt (zum Beispiel in nicht strikt mandantenfähig ausgelegten Applikationen).
  4. Eine auf allgemeine Nutzung ausgelegte Cloud wird in aller Regel auch nur allgemein definierte und implementierte Sicherheitseinrichtungen aufweisen – die zugehörigen Service Agreements sind im gleichem Sinne stark standardisiert und decken die Bereiche Informationssicherheit, Risikomanagement, Betrieb im Krisenfall etc. nur in sehr generischer Form ab. Dementsprechend entstehen für spezifische zusätzliche Sicherheitsanforderungen hohe Zusatzkosten, die in der Regel nicht auf alle anderen Nutzer der Cloud umgelegt werden können, sofern der Cloud Betreiber überhaupt zur Einrichtung zusätzlicher, kundenspezifischer Sicherheitsmerkmale bereit ist.
  5. Die Überwachung des Zustands der Informationssicherheit und der operationellen Risiken in kundeneigenen Security-Information-Management-Umgebungen ist meist nicht Bestandteil der Dienstleistung – entsprechende Reporting-Schnittstellen müssen daher spezifisch definiert und bewirtschaftet werden, sofern die der Cloud unterliegende Infrastruktur diese Daten mandantenfähig und kundenspezifisch trennen und aufbereiten beziehungsweise liefern kann. Das bisher eher feinkörnige Sicherheits- und Risikomanagement, basierend auf kundenspezifischen “Key Performance Indicators”, steht in dieser Form als Führungs- und Entscheidungsunterstützungswerkzeug nicht mehr zur Verfügung.
  6. Die Abhängigkeitskette bezüglich End-zu-End-Verfügbarkeit wird nicht nur länger, sondern für den Kunden durch die starke Dynamik der Diensterbringung (Virtualisierung, Ortsveränderlichkeit usw.) auch intransparenter. Dies muss insbesondere in der Szenarienplanung für die Betriebsweiterführung im Not- und Krisenfall berücksichtigt werden. Da jedoch Cloud Services durch ihre Ausrichtung auf ein standardisiertes Dienstangebot und standardisierte Technologiekomponenten weniger komplex sind als die klassischen Outsourcing-Modelle inklusive dem Betrieb bestehender Legacy-Umgebungen, ist es denkbar, dass sich diese beiden Effekte bezüglich Gesamtrisiko und Aufwand beim Kunden gegenseitig neutralisieren.
  7. Große kommerzielle Cloud Services sind ein Primärziel für Angreifer, wobei die Palette der Motivationen von der Erpressung des Serviceanbieters durch “Denial-of-Service” Angriffe bis hin zum “Mitlesen” und zum Datendiebstahl, gegebenenfalls schon in der Grauzone der Nachrichtendienste (Terrorismusbekämpfung, Geldwäsche, Stärkung des eigenen Wirtschaftsstandortes, …) oder der informationellen Kriegsführung reicht. Ein zusätzliches Problem entsteht durch den grossen Kreis der Betroffenen: In einer zwischen allen Kunden gemeinsam genutzten Infrastruktur und Applikationslandschaft leiden alle Kunden unter einem Angriff, auch wenn nur ein Einzelner angegriffen werden sollte.

Auswirkung auf Rechenzentrumsbetreiber

Auch auf die Betreiber von klassischen Rechenzentren kommen in diesem Kontext neue Anforderungen zu – Anbieter von Cloud-basierten Diensten, welche in kommerziellen Rechenzentren eingemietet sind, werden vermehrt Sicherheitsfragen von Endkunden an den RZ-Betreiber zur Beantwortung weiterleiten. Aus momentaner Sicht werden folgende Fragen von Endkunden besonders häufig gestellt:

  1. Gibt es ein dokumentiertes Sicherheitskonzept für den Betrieb der ICT-Infrastruktur und wie wird mit spezifischen Zusatzanforderungen von Kunden umgegangen?
  2. Wie erfolgt die physische und logische Kundenseparierung im Data Center? Werden Hardware und andere Betriebsmittel der IT zwischen Kundenumgebungen geteilt/verschoben?
  3. Wie kann die Einhaltung der Sicherheitsrichtlinien durch den/die Kunden regelmässig und audit-fähig geprüft werden?
  4. Ist die Chiffrierung von Daten ein zentraler Service des Data-Center-Anbieters, oder muss dies kundenspezifisch einzeln implementiert werden?
  5. Wie werden Zugriffe durch hochprivilegierte Administratoren reglementiert – gibt es dafür ein stringentes Modell für den Rollen- und Zugriffsschutz?
  6. Kann das Data Center sicherstellen, dass einmal gelöschte Daten auch auf allen operativen Backups etc. zuverlässig und permanent gelöscht werden?
  7. Wie wird mit plötzlichen/ungeplanten ICT-Lastveränderungen umgegangen? Gilt das Lastmodell der Cloud auch für geografisch verteilte Data-Center-Standorte?
  8. Kann sichergestellt werden, dass alle Daten, Zugriffe usw. entfernt werden, wenn ein Kunde ein Data Center beziehungsweise den Provider verlässt?
  9. Gibt es technische oder organisatorische Vorkehrungen, um hohe Spitzenlasten von “Denial-of-Service”-Angriffen zu unterscheiden?

Schlussfolgerungen und weiterführende Hinweise

Die oben aufgeführte Listen von Sicherheits- und Risiko-Management-Fragen kann zu dem Schluss führen, dass die Nutzung cloud-basierter Angebote generell nicht angezeigt ist. Dieser Haltung stehen jedoch die möglichen Einsparungen und Skaleneffekte gegenüber, die in einer Risiko-Gewinn- und Verlustrechnung zu berücksichtigen sind. Jedoch müssen die Aspekte der rechtlichen und regulatorischen Rahmenbedingungen und der korrekten Ausübung von Governance- und Compliance-Vorgaben bei Cloud-basierten Services sehr sorgfältig und unter Beizug aller betroffenen Instanzen vor einem allfälligen Servicebezug abgeklärt werden.

Ein möglicher Startpunkt für diese Abklärung aus Sicht der IT kann die “Security Guidance for Critical Areas of Cloud Computing” (PDF) der “Cloud Security Alliance” sein, welche seit November 2011 in der aktualisierten Fassung 3.0 vorliegt. Dieses Dokument spezifiziert die Sicherheitsanforderungen an Cloud-Computing-Umgebungen anhand von 13 Arbeitsbereichen, aufgeteilt nach aufsichtsbezogenen und eher betrieblich orientierten Themen.

Für jeden dieser Arbeitsbereiche werden generische Empfehlungen bezüglich Umsetzung in cloud-basierten Umgebungen gemacht, welche die Grundlage für die Spezifikation von Kundenanforderungen bezüglich Informationssicherheit bilden können. Eine Abbildung auf die bislang dominierenden Standards und “Best Practices” für Informationssicherheit (insbesondere ISO2700x und CoBIT) steht jedoch noch aus. Ebenso fehlen konkrete Nutzungs- und Umsetzungserfahrungen aus dem Betrieb, so dass potenzielle Kunden auch weiterhin gemäss ihrem jeweiligen Risikoprofil zu entscheiden haben, ob sie bezüglich cloud-basierten Diensten als “early adaptor” oder doch eher als “late follower” agieren wollen. Quelle

Hannes P. Lubich


Fünf Regeln für das Knowledge-Management

Details

Knowledge-Management_90Um das vorhandene Wissen möglichst effizient zu nutzen, sollten Unternehmen bestimmte Grundsätze beachten. In der Praxis haben sich fünf "Big Points" für ein erfolgreiches Knowledge-Management bewährt.

Das Wissen der Mitarbeiter beziehungsweise seine Sammlung und Verteilung entwickelt sich zu einem zentralen Aspekt in jeder Firma. Bleibt das Know-how nur in den Köpfen einzelner Mitarbeiter oder auf ihren Rechnern, bremst das die Unternehmen früher oder später aus. Auf der anderen Seite kann niemand zur Weitergabe seines Wissens gezwungen werden. Einzig eine nachhaltige Motivation führt zum Ziel. Monetäre Anreize allein bringen allerdings wenig - es geht vielmehr darum, optimale Rahmenbedingungen für das Enterprise-Knowledge-Management zu schaffen.

1 Freiräume und Technologie

Die wichtigste Grundvoraussetzung für effizientes Knowledge-Management ist genügend Freiraum für Mitarbeiter, um wertvolle Informationen auch im hektischen Alltagsgeschäft niederschreiben zu können. Darüber hinaus muss eine geeignete Plattform geschaffen werden, über die jeder Mitarbeiter sein Wissen erfassen und anderen zugänglich machen kann. Die eingesetzten Tools sollten einfach zu bedienen und unabhängig von lokalen Installationen sein. Ideal sind hier Browser-basierte Lösungen, mit denen Mitarbeiter auch von außerhalb des Firmennetzwerks arbeiten können. Darüber hinaus sollten die Tools auf Smartphones und Tablets nutzbar sein. Um unterschiedlichem Informationsverhalten nachzukommen, sollte jeder Client die Optionen "Push" und "Pull" bieten und neue Einträge entweder automatisch oder auf Abruf bereitstellen. Das Portal zum Knowledge-Management-System sollte sich den Nutzerbedürfnissen anpassen lassen. Dazu gehören beispielsweise Auswahlmöglichkeiten, welche Informationen per Default sichtbar sind oder ausgeblendet werden.

Das Fehlen eines Review-Prozesses vor der Veröffentlichung von Dokumenten wird oft als Hemmnis für effizientes Knowledge- Management gesehen. Die soziale Kontrolle, also die Angst, etwas Falsches zu erfassen, hat sich jedoch in der Praxis als so groß erwiesen, dass etwaiger "Unsinn" im System kaum zum Problem wird. Um die Qualität der Einträge weiter zu steigern, sind aber nachgelagerte Review-Prozesse durch Fachabteilungen sinnvoll. Sie lassen sich mit unterschiedlichen Stati wie zum Beispiel "fast-track released" oder "reviewed" erweitern.

2 Definierte Verantwortlichkeiten

In der Praxis hat es sich als sinnvoll erwiesen, neu erstellte Know-how-Dokumente einem Verantwortlichen zuzuordnen, der bei Veränderungen und beim Veralten eines wichtigen Dokumentes automatisch benachrichtigt wird. In der Regel ist dies der Verfasser. Solche Know-how-Dokumente enthalten zum Beispiel Informationen zum Verfasser, Publikationsort und Gültigkeitszeitraum von Artikeln, Präsentationen und Tabellen. Es lassen sich beispielsweise vier "Alters-Level" definieren: Grün (vier Monate), Gelb (acht Monate), Rot (zwölf Monate), Schwarz (nicht überwacht). Diese Kriterien sollten variabel je nach Dokumententyp auswählbar sein. So veraltet beispielsweise ein Best-Practice-Dokument (große Wichtigkeit für das Unternehmen) schneller als ein einfaches Informationsdokument ("Wie bediene ich den Kopierer?"). Durch die Benachrichtigungen wird Ersteres aktiver geprüft und gepflegt als das zuletzt genannte Dokument. Werden die Informationen häufig von bestimmten Personen geändert, sollten diese in der Folge auch Benachrichtigungen erhalten. Da eine solche Überwachung nur für schnell alternde Dokumente erforderlich ist, sollte sie flexibel einstellbar sein und sich gegebenenfalls auf den Level "nicht überwacht" herabstufen lassen.

3 Klassifizierung von Wissen

Die Zeiten einer komplett unstrukturierten Know-how-Ablage im Enterprise-Knowledge-Management sind lange vorbei. Auch Automatismen, wie zum Beispiel erzeugte Schlagwörter, die aus losen Informationen strukturierte Daten generieren, arbeiten oft nicht zufriedenstellend. Daher müssen sämtliche Informationen sauber klassifiziert werden. Ob dies mittels freier Vergabe von Schlagworten ("Tagging") durch die Nutzer geschehen sollte oder durch eine zuvor definierte Klassifizierung eines Knowledge- Managers, ist individuell zu entscheiden und hängt von der Arbeitsweise innerhalb des Unternehmens ab. Trivadis hat sich als IT-Dienstleister für einen klassisch schweizerischen Kompromiss entschieden - und verwendet beides. Der Grund: Es hat sich gezeigt, dass bestimmte Artikel, Präsentationen oder IT-Trainingskurse gern über vordefinierte Schlagworte aus einem hierarchisch strukturierten Tag-Baum klassifiziert werden. Dennoch verschlagworteten Mitarbeiter einen Artikel zu "Oracle Data Guard" auch mit eigenen Begriffen wie "HA", "Oracle" und "RDBMS". Vermisst ein freiwilliger Knowledge-Worker ein Klassifizierungs-Item, will er sofort ein eigenes festlegen. Die Eingabe eigener Schlagworte beschleunigte die Know-how-Ablage und führte zu einer höheren Motivation, bestehendes Wissen mit anderen zu teilen. Allerdings müssen die Schlagworte gepflegt und Synonyme sowie unterschiedliche Schreibweisen korrigiert werden. In der Folge können sie auch als potenzielle Schlagworte für neue Beiträge angeboten werden und tragen langfristig zu einem individuellen Knowledge-Management bei.

4 Facettierte Suche

Ist eine Suchanfrage via Klassifizierungsstrukturen beantwortbar, ist dies sicher einer der schnellsten Wege zum Ziel. Das bedingt aber, dass der Benutzer die Struktur des Systems verstanden hat. Schwieriger wird es, wenn in einer Vielzahl unstrukturierter oder nur teilstrukturierter Dokumente das Ergebnis durchsucht werden soll. Oft ist die erste Ergebnismenge zu groß, um sie auf den ersten Blick manuell analysieren zu können. Deshalb sollte die Suchfunktion die Möglichkeit bieten, das Suchergebnis nach dynamisch generierten Kriterien weiter einzuschränken. Damit ist nicht gemeint, dass man bei einer Ergebnismenge sagen kann: "Zeige mir nur die Bilder, sonst nichts." Dies wäre eine statische Verfeinerung. Klassisches Beispiel: Ein Mitarbeiter sucht einen Consultant mit Know-how zum Thema Business Intelligence. Als Ergebnis erhält er die Namen von 50 Consultants. Er merkt, dass das Suchergebnis zu umfangreich ausgefallen ist, schränkt auf einen Standort oder eine Abteilung ein und gelangt schließlich zu einem passenden Profil.

5 Generierte Cockpits

Die oben beschriebene Klassifizierung ist nicht nur für die Suche und das Verwalten von Know-how sinnvoll, sondern lässt sich auch für sogenannte Know-how-Cockpits verwenden. Das sind Dokumente, die lediglich Klassifizierungsinformationen enthalten, die gelistete Inhalte erfüllen müssen. Ein Beispiel dazu ist das Know-how-Item "Oracle Real Application Cluster". Sind alle Artikel, Projekte, Vorträge, Know-how-Dokumente sowie Foren und Personen damit klassifiziert, kann ein Cockpit zu diesem Item alle relevanten Informationen anzeigen und so den Einstieg in das Thema erleichtern. Dafür müssen jedoch nicht nur die Dokumente selbst durch das Knowledge-Management-System nach Schlagworten durchsuchbar sein, sondern auch die zugeordneten Metainformationen.

Fazit

Genügend Freiräume, definierte Verantwortlichkeiten, exakte Klassifizierung von Wissen, eine facettierte Suche sowie generierte Cockpits beeinflussen maßgeblich die Akzeptanz von Knowledge-Management-Systemen. Außerdem ist es wichtig, dass Mitarbeiter im Teilen von Informationen einen persönlichen Mehrwert erkennen. Nur dann sind sie bereit, ihr Wissen zu teilen. Es hat sich als förderlich erwiesen, dass Mitarbeiter selbst entscheiden können, ob sie das interne System nutzen oder nicht. Firmen, die professionelles Knowledge-Management betreiben möchten, sollten daher genau prüfen, ob sie ihren Mitarbeitern diese Freiheit einräumen können und wollen. Eines sollte dabei auf jeden Fall gewährleistet sein: Sämtliche Daten sollten bereits bei der Eingabe so gut wie möglich strukturiert und verschlagwortet werden. Welche Software dafür eingesetzt wird, hängt von der Unternehmensstruktur und der Art der Wissensverarbeitung ab. Trivadis setzt eine Mischform aus Wiki, MailSystem, Foren und File-Sharing-Tools ein, die stark erweitert, angepasst und in bestehende IT-Systeme integriert wurden.

Quelle

Hadoop - der kleine Elefant für die großen Daten

Details

Hadoop_Elefant

Big Data in den Griff zu bekommen dürfte in den kommenden Jahren eine der Kernaufgaben der IT sein. Mittlerweile bieten große und kleine Anbieter viele verschiedene Werkzeuge dafür an. Zentraler Bestandteil ist oft Hadoop.

Was ist Hadoop?

Hadoop ist ein in Java programmiertes Software-Framework, mit dessen Hilfe Anwender rechenintensive Prozesse mit großen Datenmengen auf Server-Clustern abarbeiten können. Applikationen können mit Hilfe von Hadoop komplexe Computing-Aufgaben auf tausende von Rechnerknoten verteilen und Datenvolumina im Petabyte-Bereich verarbeiten, so das Versprechen der Entwickler.

Wer hat Hadoop erfunden?

Angestoßen wurde das Hadoop-Projekt von Doug Cutting. Als Google Ende 2004 Informationen über seinen MapReduce-Algorithmus veröffentlichte, mit dessen Hilfe sich komplexe Computing-Aufgaben relativ einfach zerlegen und innerhalb von Server-Clustern parallelisieren lassen, erkannte der Entwickler und Suchmaschinen-Spezialist die Bedeutung dieser Entwicklung und startete Hadoop. Cutting, der zuvor unter anderem bei Excite, Apple und in den renommierten Labors von Xerox Parc an Suchtechniken gearbeitet hatte, war zu dieser Zeit bei Yahoo beschäftigt. Bei dem Internet-Pionier trieb er im Folgenden die Hadoop-Entwicklung weiter voran und kümmerte sich auch um die Implementierung der neuen Technik in die Yahoo-Systeme. Heute ist Cutting bei Cloudera beschäftigt. Der Softwareanbieter offeriert eine auf Hadoop basierende Daten-Management-Plattform. Außerdem fungiert der Entwickler seit September 2010 als Chairman der Apache Software Foundation (ASF), unter deren Dach derzeit die weitere Hadoop-Entwicklung gesteuert wird. Namensgeber für Hadoop war übrigens der Spielzeugelefant von Cuttings Sohn. Daher auch das Logo mit dem gelben Elefanten.

Wer entwickelt Hadoop?

Die Basis für Hadoop bildeten Entwicklungen bei großen Internet-Konzernen wie Yahoo und Google. Diese Unternehmen standen von Beginn an vor der Herausforderung, große Datenmengen zügig bearbeiten zu müssen - eine Anforderung, mit der sich heute mehr und mehr Unternehmen konfrontiert sehen. Google beispielsweise hat schon vor beinahe zehn Jahren sein Google File System (GFS) und den Map-Reduce-Algorithmus entwickelt. Beide Komponenten bilden das Herzstück der internen IT des Suchmaschinenanbieters. Die eigenen Implementierungen haben die Google-Verantwortlichen der Community daher zwar nicht zur Verfügung gestellt, jedoch in den Jahren 2003 und 2004 technische Details ihrer Entwicklungen veröffentlicht. Entwickler haben dies aufgegriffen und wie beispielsweise Cutting mit Hadoop eigene Projekte gestartet. Seit Januar 2008 ist Hadoop ein Top-Level-Projekt der Apache Software Foundation (ASF). Ende 2011 hat das Software-Framework den Release-Status 1.0.0 erreicht. Quelle

  1. NoSQL - die neue (alte) Datenbank-Generation?
  2. 5 Gründe für die Personal Cloud
  3. Zertifizierte Apps aus dem SAP Store
  4. Wann sich SAP in der Cloud lohnt
Aktuelle Seite: Startseite MetadatenManagement News IT-Nachrichten
Copyright © 2024 MetaApplicationCenter. Alle Rechte vorbehalten. Designed by JoomlArt.com. Joomla! ist freie, unter der GNU/GPL-Lizenz veröffentlichte Software.