Digitale Transformation: Sicherheitsarchitektur verbessern

Auch mittelständische Unternehmen müssen sich digital transformieren. Das bedeutet allerdings neue IT-Sicherheitsrisiken. Ihnen können die Verantwortlichen mit einer durchdachten Schutzstrategie und dem Einsatz umfassender Sicherheitslösungen entgegentreten.

Auch mittelständische Unternehmen – hier verstanden als Firmen mit 100 bis 1000 Mitarbeitern – müssen sich wie Großunternehmen mit der digitalen Transformation auseinandersetzen, wollen sie weiter erfolgreich im Wettbewerb sein. Dis gilt ganz besonders in Deutschland mit seiner von mittelständischen Spezialisten geprägten Wirtschaft, von denen viele in ihren Bereichen weltweit eine führende Position einnehmen.

HPE Security (Bild: Hewlett Packard Enterprise)Digitale Transformation bedeutet vor allem eine durchgreifende Veränderung der Arbeits- und Kommunikationsprozesse im Unternehmen mit mehr Mobilität: Nach einer Untersuchung von AMI Partners gibt es in 89 Prozent der Firmen mobile Mitarbeiter. Bei der genannten Unternehmensgröße sind rund 16 Mitarbeiter pro Unternehmen vier- bis fünfmal pro Woche geschäftlich unterwegs, bei 56 Prozent der Mittelständler gibt es heute Mitarbeiter, die über eigene mobile Endgeräte auf Firmendaten zugreifen. Dies geschieht häufig im Rahmen sogenannter BYOD (Buy Your own Device)-Programme, bei denen das Unternehmen Listen genehmigter Gerätetypen aufstellt. 67 Prozent der Firmen nutzen Tablets, 93 Prozent Smartphones, damit ihre Mitarbeiter auch unterwegs stets erreichbar sind und Zugriff auf wichtige, zentral gelagerte Daten haben.

Gleichzeitig wächst die Datenabhängigkeit von Unternehmen. Kundendaten liegen in klassischen CRM- (Customer Relationship Management) und ERP- (Enterprise Resource Management) Lösungen. In den Rechenzentren laufen aber auch die Echtzeitdaten der im Rahmen von Internet of Things (IoT)-Initiativen mit Sensoren und Kommunikationsmitteln ausgestatteten Geräten aller Art zusammen, beispielsweise von Produktionsmaschinen, Endkundensystemen oder Fahrzeugen, die genutzt werden sollen.

Insgesamt entstehen so bisher geradezu unvorstellbare Datenmassen, deren Auswertung geschäftlich relevantes Wissen erzeugt und damit neue, digitalisierte Geschäftsprozesse und –modelle ermöglicht. Deshalb gelten Daten als der wichtigste Rohstoff der Zukunft. Doch gleichzeitig stellen die Sicherheits- und Compliance-Anforderungen von Kunden und Regulierungsbehörden. Das wichtigste Stichwort in diesem Zusammenhang ist Europäische Datenschutz-Grundverordnung, die gerade Verluste von Kundendaten empfindlich sanktioniert. Da Mittelständler in der Regel keinen Spezialisten beschäftigten, der sich über die aktuelle Rechtslage auf dem Laufenden hält, müssen die IT-Mitarbeiter auch dieses Thema ständig im Auge haben.

Die Datenabhängigkeit spiegelt sich auch im Investitionsverhalten wieder: Mittelständler haben 2015 mehr als 11,7 Milliarden US-Dollar in die Speicherung von Daten investiert – also in Hardware, Software und Speicherservices, sechs Prozent mehr als 2014. Allein das Investitionsvolumen für Speicher soll zwischen 2015 und 2020 laut der Prognosen von Marktforschern von 1 auf 2,8 Milliarden Dollar anwachsen.

Gleichzeitig wachsen auch die Investitionen in Business Analytics, die in nahezu allen Unternehmensbereichen angewandt werden kann, um aus den Daten neue Erkenntnisse zu gewinnen. Entsprechende Software verwenden bereits 44 Prozent der Mittelständler lokal oder aus der Cloud, 45 Prozent nutzen CRM- und 44 Prozent ERP-Software. Die Ausgaben für Analytics-Software sollen von 3 Milloarden US-Dollar 2015 auf 5 Milliarden Dollar 2020 ansteigen, die Ausgaben für CRM von 2,4 auf 3,7 Milliarden Dollar und die für ERP von 5,3 auf 7 Milliarden Dollar.

Komplexität der IT erzeugt größere Angriffsflächen (Bild: HPE)

Mehr Angriffsfläche verlangt bessere Sicherheitslösungen

Durch all diese Trends erhöht sich allerdings die Angriffsfläche der Unternehmen dramatisch, denn die mobilen Geräte können von Hackern attackiert, durch Viren verseucht, manipuliert und gestohlen werden. Oder gehen verloren und gleichzeitig die auf ihnen gespeicherten Daten. Falls sie nicht ausreichend gesichert sind, erhalten Unbefugte so möglicherweise Zugriff auf Datenbestände im Unternehmen.

Auch die Kunden werden im Rahmen digitaler Geschäftsprozesse durch erweiterte Zugriffsmöglichkeiten stationärer und mobiler Systeme, beispielsweise beim Online- oder Mobil-Payment, verstärkt zum Risikofaktor: Sind Kundengeräte infiziert, gehen sie verloren oder geraten sensitive Kundeninformationen durch unachtsames Verhalten des Kunden in falsche Hände, kann beträchtlicher Schaden entstehen. Das gleiche gilt für Kooperationspartner – etwa Lieferanten oder Händler . Hier ist es die vermehrte digitale Kooperation über Unternehmensgrenzen hinweg, die Risiken erzeugt oder verstärkt.

Kein Wunder also, dass 42 Prozent der Mittelständler in den vergangenen 12 Monaten eine Datenschutz- oder Sicherheitsverletzung meldeten. Die durchschnittlichen Kosten pro Vorfall lagen bei 35.000 Dollar, die maximalen Kosten betrugen 2015 bis zu 100.000 Dollar. 33 Prozent der mittelständischen Unternehmen sind in den vergangenen 12 Monaten Daten dauerhaft verloren gegangen. In Folge solcher Zwischenfälle kommt es häufig zu Systemausfällen und schließlich als Konsequenz sogar zu Kundenverlusten: 25 Prozent der Firmen gaben an, auf diese Weise Kunden verloren zu haben. Das ist riskant, denn die meisten Formen erwirtschaften 80 Prozent ihrer Umsätze mit nur 20 Prozent ihrer Kunden.

Auch Mittelständler müssen sich also mehr denn je auf allen Ebenen gegen Cyberattacken aller Art, Ausspionieren und die unbefugte Nutzung, den Diebstahl, die Manipulation oder auch den ungewollten Verlust ihrer Daten schützen, wenn sie überleben wollen.

Allerdings reichen dazu heute die bisherigen Strategien, die sich auf die Sicherung der Grenzen des eigenen Netzwerks und der Endpunkte fokussierten, nicht mehr aus. Vielmehr ist eine umfassende Strategie mit einem Bündel von Initiativen erforderlich. Dazu gehören Lösungen für die Verbesserung von Bandbreite und internem Zugriff, für die Sicherung und Wiederherstellung von Daten und Systemen, zur Vorbeugung gegen Datenverluste (Data Loss Prevention) und für den Schutz mobiler Geräte. Jede dieser Lösungen wird von 30 bis 45 Prozent der mittelständischen Unternehmen schon verwendet. 70 Prozent von ihnen halten mehrere Initiativen zum Schutz des Business als Teil ihrer IT-Strategie für wichtig. Ebenfalls 70 Prozent der Unternehmen halten geeignete Lösungen für die Sicherung und Wiederherstellung nach einem Ausfall für sehr wichtig.

In drei Phasen zur hochwertigen Sicherheitsarchitektur

Dabei lässt sich die Umsetzung von Sicherheits-Initiativen in drei Phasen einteilen, wobei das Schutzniveau von Phase zu Phase ansteigt. Leider lässt sich feststellen, dass mit der Umsetzung der nächsten Phase in der Regel erst dann begonnen wird, wenn Angriffe, Datenverluste und durch diese verursachte Finanz- und Reputationsschäden eingetreten sind.

In Phase 1, gekennzeichnet durch Virenschutz, Firewalls und externe Speicherlösungen, besteht nur ein grundlegender Schutz – besser als nichts, doch von umfassendem Schutz der Unternehmensdaten und der Infrastruktur kann hier noch nicht die Rede sein. In Phase 2 investieren Unternehmen in weitere Sicherheitslösungen wie Verschlüsselung, Replikation und Archivierung. Sie verbessern Schutz, Ausfallsicherheit und Wiederherstellung von Daten und Infrastruktur. In Phase 3 haben Unternehmen die hohe Bedeutung von Sicherheit und Datenschutz voll verstanden. Sie verwenden ein umfangreiches Lösungsspektrum an den Netzwerkgrenzen und anderen Kontrollpunkten, an denen Daten vorbeifließen. In 60 Prozent der Phase-3-Unternehmen dienen SANs (Storage Area Networks) oder NAS (Network Attached Storage)- Systeme dazu, Anwendungen und Daten verfügbar zu halten. Gleichzeitig sind mehrere Sicherungs-, Wiederherstellungs-, Replikations- und Archivierungslösungen implementiert.

In welcher Phase sich ein Unternehmen sicherheitstechnisch befindet, beeinflusst seine Wachstumsrate: Der Ertrag von Unternehmen in Phase 1 wächst um drei Prozent jährlich, der von Firmen in Phase 2 um 4 und der in Phase 3 um 7 Prozent jährlich. Das kann auch damit zusammenhängen, dass Phase-3-Unternehmen wissen, dass sie sich auch bei Angriffen und Bedrohungssituationen auf ihre Infrastruktur verlassen können und dass es dort bei den unvermeidlichen Attacken nicht oder wenigstens nicht zu längeren, geschäftsschädigenden Ausfällen kommt und keine Daten verlorengehen. Deshalb sollten Unternehmen lieber präventiv eine effektive, umfassende Sicherheitsarchitektur aufbauen statt erst zu handeln, wenn bereits Schäden entstanden sind.

Allerdings müssen Unternehmen ihre Sicherheitsstrategie als erstes gründlich planen und durchdenken, denn Anfangsfehler sind später schwer korrigierbar. Sinnvoll sind integrierte, zuverlässige Lösungen, die Verfügbarkeit, Ausfallsicherheit und Zuverlässigkeit gleichzeitig garantieren. Sie sollten den Schutz des kabelgebundenen und des kabellosen Netzes integrieren. Gegen Notfälle sollten Sicherungs- und Wiederherstellungs-, Archiverungs- und Disaster-Recovery-Lösungen vorhanden sein. Dazu kommt ein ausgefeilter Notfallplan.

Die gewählten Lösungen sollten in jeder Umgebung eingesetzt werden können, Cloud-, virtuelle und physische Assets schützen und modular aufgebaut sein. Anwender müssen ineinandergreifende Bausteine immer dann implementieren können, wenn sie in die nächsthöhere Phase ihrer Sicherheitsinfrastruktur übergehen möchten.

Schließlich sollte der gewählte Hersteller auf langjährige Erfahrung in der Informations- und Sicherheitstechnik zurückblicken und Überlebensfähigkeit auf den sich rasant entwickelnden IT-Märkten bereits bewiesen haben. Ein Beispiel dafür ist Hewlett Packard Enterprise. HPE bietet mit dem Just-Right-IT-Portfolio ein umfassendes modulares Lösungsspektrum speziell für den Mittelstand an. Dazu gehören Aruba-Netzwerkprodukte, HPE ProLiant Gen 9 Server, HPE-Speicher- und -Server-Management-Produkte sowie Support-, Finanzierungs- und Schulungs-Services. Viele der Lösungen kategorisiert Gartner in seinen Magic Quadrants als führend („Leader“-Quadrant). Just Right IT basiert auf einem integrierten Konzept für alle Datenströme im Unternehmen: vom mobilen Endgerät bis ins Rechenzentrum einschließlich der Anwendungen und professioneller Services für das Management der physischen oder virtuellen Daten- und Kommunikationsinfrastruktur und bietet damit eine ideale Lösungsauswahl für Mittelständler, die ihr Unternehmen erfolgreich digital transformieren wollen.

Artikel zum Thema:

Themenseiten: Cloud by HPE, Hewlett Packard Enterprise

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen: