Titelbild-Data-Centric-Security-Mann-Cafe-Hipster-84051-unsplash-Hannah-Wei

30.04.2019 – Lesezeit: 5 Minuten

Geschäftsführung / Technologie

IT-Sicherheit: Data Centric Security wird immer wichtiger

Viele Manager vertrauen nach wie vor auf bestehende, veraltete Sicherheitskonzepte. Dabei übersehen sie oft die realen Gefahren, die von Cyberattacken und Malware für ihr Unternehmen ausgehen. Ein Webinar der All for One Group zeigt, wie Sie SAP-Daten effektiv schützen.

Viele Unternehmen wiegen sich in der Sicherheit, dass ihre Daten durch Firewall, Verschlüsselung und Betrieb on-premises oder in der Cloud ausreichend geschützt sind. Viel wichtiger als die Perimeter-Sicherheit ist aber der Schutz der Daten selbst. Denn die Gefahren von Missbrauch oder Diebstahl lauern überall – sowohl von außen als auch von innen. Die Data Centric Security rückt daher bei vielen Mittelständlern in den Vordergrund des Interesses, zumal mit der wachsenden Mobilität der Mitarbeiter auch mögliche Angriffe und versehentliche Datenlecks zunehmen.

Das ist besonders wichtig, wenn es um den Schutz vor Verlust oder Missbrauch von Daten in weltweit verteilten Prozessketten geht. Die All for One Group, Experte für digitale Unternehmenstransformation und Cybersicherheit, sowie der IT-Security-Spezialist Secude haben zusammen eine Lösung auf Basis von Azure Information Protection (AIP) für den sicheren Export von SAP-Daten entwickelt. Gemeinsam laden die beiden Unternehmen am 6. Mai 2019 ab 14 Uhr zu einem Webinar unter dem Titel „Data Centric Security – Schutz vor Datenverlust und -missbrauch in weltweit verteilten Prozessketten“ ein.

Anmeldung zum Webinar "Data Centric Security"

Alarmierende, aktuelle Umfrage-Ergebnisse

Derweil bleiben deutsche Unternehmen recht blauäugig, was ihre IT-Sicherheit betrifft. Neueste Umfrageergebnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) belegen das deutlich und sind alarmierend.

  • Nur jedes zwölfte Unternehmen sieht Cyber-Bedrohungen als Gefährdung
  • Fast 90 Prozent gehen nicht davon aus, dass Cyber-Vorfälle ihren Betriebsablauf stören
  • Aber: 87 Prozent der Betroffenen gaben an, dass es 2018 zu Störungen oder Ausfällen kam
  • Große Unternehmen waren 2018 mit 43 Prozent am meisten betroffen, KMU zu 26 Prozent
  • Malware war mit mehr als 50 Prozent die häufigste Angriffsart, 90 Prozent davon als Anhang oder Links in E-Mails versteckt

Es sind nicht nur die bösen Hacker

Soweit ein Ausschnitt aus der Mitte April 2019 veröffentlichten BSI-Studie (PDF). Gefahren, die von innen ausgehen, finden darin kaum Erwähnung. Dabei müssen es nicht mal missliebige oder ehemalige Mitarbeiter sein, die sich bereichern oder dem Betrieb schaden wollen. Denn mittlerweile ist es praktisch Usus, dass SAP-Anwender vertrauliche oder kritische Dateien und Informationen wie Finanzberichte exportieren, um sie auf lokale Datenträger, in der Cloud oder auf mobilen Geräten zu speichern.

So muss es gar keine böse Absicht sein, dass Daten an Unbefugte oder in die Hände von Hackern fallen. Cyberkriminelle schleichen sich über Links und E-Mails heimlich ein, um Nutzerprofile einzusehen und ungestört Daten abzugreifen. Eine E-Mail-Verschlüsselung ist daher oft wirkungslos. Eine Firewall bietet im Perimeter auch nur unzureichenden Schutz.

Daten im On-Prem-Betrieb nicht unbedingt sicherer

Daher wird es zukünftig immer mehr darauf ankommen, Daten selbst in den Mittelpunkt der IT-Security zu stellen. Es gibt dafür zwei Begriffe: Data Centric Security und Data Centric Audit and Protection (DCAP). Das Beratungsunternehmen Gartner hat eine Reihe von Security-Features ausgemacht, die DCAP-Anbieter für einen oder mehrere Datensilos bereitstellen sollten. Dazu gehören die Klassifizierung und Ermittlung (Discovery) von Daten, ein wirksames Datenschutzmanagement, die Überwachung der Benutzerprivilegien und Zugriffsaktivitäten sowie das Blocken von Daten.

Wie Mario Krukow, Experte für Cybersecurity der All for One Group, in einem Interview sagte, „ist es nicht so, dass Daten sicher sind, solange sie on-premises im Unternehmen liegen“. Verlässliche Sicherheit gebe es nur noch durch den direkten Schutz einzelner Daten auf Basis einer Information Centric Protection.

AIP-Lösung für sicheren SAP-Datenexport

Als IT-Experten für den Mittelstand im deutschsprachigen Raum nutzt die All-for-One-Gruppe nicht nur entsprechende Branchenlösungen, sondern entwickelt sie auch weiter. So hat der IT-Dienstleister aus Filderstadt bei Stuttgart zusammen mit Secude für den sicheren Export von SAP-Daten in Microsoft-Umgebungen „SAP Data Export Protection as a Service“ entwickelt.

Die Lösung basiert auf Microsoft Azure Information Protection und bietet vorgefertigte Templates (Regelwerke), mit denen Informationen sowohl in der Cloud als auch im jeweiligen System on-premises gescannt werden. Schützenswerte Informationen, wie Finanz- oder Personaldaten, Kontonummern, medizinische Interna, Passwörter und dergleichen, werden bei fehlender Zugriffsberechtigung je nach Klassifizierungsklasse automatisch herausgefiltert. Somit sind sie für den jeweiligen Nutzer gesperrt. Das betrifft nicht nur Microsoft-Anwendungen wie Excel und PowerPoint, sondern auch den E-Mail-Verkehr. Dabei müssen Unternehmen, die geschützte E-Mails empfangen, noch nicht mal Microsoft Office 365 oder eine eigene E-Mail-Domain haben – einzig der Absender muss Office 365 im Einsatz haben. Der Schutz kann auch auf Gmail und mit „Secure E-Mail to anyone“ auf private Mails ausgeweitet werden.

Klassifizierung leicht gemacht

„Durch die Klassifizierung mit Azure Information Protection wird die gesamte E-Mail-Kommunikation geschützt“, betont IT-Security-Experte Krukow. Statt aufwändiger Verschlüsselung und Zertifikatvergabe wie bisher mit S/MIME oder PGP (Pretty Good Privacy), kann der E-Mail-Verkehr mit AIP so gesichert werden, dass nur der dafür bestimmte Empfänger die E-Mail öffnen kann – unabhängig vom Endgerät. Fast könne man bei AIP von einer Anwender-zu-Anwender-Verschlüsselung reden, so Krukow. Ist eine Schutzklasse definiert, bei der beispielsweise nur ein Vorstandsmitglied zugangsberechtigt ist, ist es selbst dessen persönlicher Assistenz nicht möglich, Mails zu öffnen oder einzusehen.

In kleineren und mittelständischen Unternehmen werden die Klassifizierungsstufen in der Regel von den Fachabteilungen entwickelt. Wie Krukow sagt, ist dies auch sinnvoll, denn eine HR-Abteilung wisse am besten, wie der Umgang mit den personenbezogenen Daten in Einklang mit der Datenschutzgrundverordnung (DSGVO) gebracht werden kann. Bei den Klassifizierungsrichtlinien sollten Unternehmen – dem Security-Experten zufolge – mit einfachen Hierarchien starten: Die All for One Group stellt Unternehmenskunden oder Fachabteilungen entsprechende Templates für Richtlinien zur Verfügung. Ferner bietet das IT-Beratungshaus haus auch Klassifizierungs-Workshops an.

Webinar-Termin

Mehr zum Thema Data Centric Security und wie Sie damit Ihre Daten in verteilten Prozessketten schützen, erfahren Sie in einem Webinar, zu der die All for One Group und Secude am 6. Mai 2019 zwischen 14:00 und 14:45 Uhr einladen.

Wenn Sie IT-Entscheider, SAP-Sicherheitsexperte, Cybersecurity- oder Compliance-Verantwortlicher sind, melden Sie sich noch heute zu diesem Webinar an – mit Mario Krukow, Senior Architect Cybersecurity & Compliance bei der All for One Group, und Holger Hügel, Vice President Technology der SECUDE International AG, als kompetente Sprecher.

Anmeldung zum Webinar "Data Centric Security"

Quelle: Titelbild unsplash, Hannah Wei