IT-Strategietage: Was zählt in der Cybersicherheit?

SECURITY INSIGHTS | 18 Februar 2020


IT-Entscheider aus der Finanzwirtschaft sowie aus Handel und Industrie sind sich einig: Wer erfolgreich sein will, muss gezielt in Cybersicherheit investieren. Je nach Branche sehen die Modelle unterschiedlich aus.

Auf den Hamburger IT-Strategietagen 2020 war Myra mit 800 der einflussreichsten CIOs aus der DACH-Region zum Austausch vor Ort. Was bewegt die IT-Entscheider? Hendrik Hoffman vom Sparkassen-Finanzportal (SFP) und Myra-Geschäftsführer Paul Kaffsack diskutierten mit CIOs aus Industrie, Verwaltung und Bankenwesen über Ansätze in der IT-Sicherheit unter dem Thema „Security by Design“. Hier eine Zusammenfassung unseres Expertenaustausches.

Banken und KRITIS: Zertifizierungen schaffen Transparenz und Vertrauen

Zertifizierungen für IT-Sicherheitsdienstleister sind besonders für Unternehmen relevant, die sensible Daten verarbeiten oder deren digitale Geschäftsprozesse als kritisch eingestuft sind. Die höchsten Ansprüche an Datenschutz und IT-Sicherheit bestehen für Firmen und Organisationen, die zu den Kritischen Infrastrukturen zählen (Banken, Versicherungen, Gesundheitswesen, Kommunikation). Sie müssen hochkomplexe Audits bestehen, da potenzielle Ausfälle direkt die Versorgung der Bevölkerung mit essenziellen Gütern sowie das wirtschaftliche und soziale Wohlergehen gefährden. Wenn etwa das Onlinebanking oder ein zentraler Zahlungsservice für längere Zeit ausfallen, sind die betroffenen Kunden massiv im gesellschaftlichen Leben eingeschränkt. Deshalb sind verlässliche Auditierungen und Zertifizierungen bei KRITIS unersetzlich.

Die in den Audits geprüften Sicherheitsstandards gelten bei sensiblen Prozessen außerdem auch für beauftragte Zahlungs- oder Sicherheits-Dienstleister. Zertifizierungsmodelle – etwa die vom BSI – helfen dabei, sich zuverlässige Partner mit ins Boot zu holen.

Auch Versicherer von Unternehmen prüfen die Zertifizierung von externen IT-Anbietern. Um durchgängig hohe Qualität zu gewährleisten, ist eine kontinuierliche Auditierung nötig. Zum einen, weil die Technologie schnell voranschreitet, zum anderen, weil die Gefahr besteht, dass sich Unternehmen auf ihrer Zertifizierung ausruhen.

Aufholbedarf in der IT-Sicherheit

Trotz aller Risiken bleibt IT-Sicherheit bei vielen Unternehmen eine Kosten-Nutzen-Abwägung. Oft begnügen sich Firmen mit rudimentärer Absicherung, bis schließlich Angriffe einen realen Schaden verursachen – dieser kann allerdings existenzbedrohend ausfallen. Speziell im E-Commerce haben technische Probleme im Webshop direkt einen Einfluss auf den Umsatz. Schon geringfügige Performance-Probleme schlagen sich unweigerlich auf die Verkaufszahlen nieder.

Zukunftsweisender ist da der Ansatz aus Teilen der Gesundheitsbranche, wo täglich sensible Patientendaten vor fremden Zugriff bewahrt werden müssen. Dort befindet sich momentan ein branchenspezifisches Auditierungsverfahren in Entwicklung, das die Einhaltung der IT-Sicherheitsstandards in Ärztepraxen gewährleisten soll. Hier haben Akteure die Gefahrenlage erkannt und verfolgen einen großflächigen Ansatz.

Die Standortwahl ist ein Thema

In Zeiten von Cloud Computing und Hochverfügbarkeit ist die Standortwahl scheinbar irrelevant geworden. Das mag zwar für einige Unternehmen gelten, für viele ist aber das Gegenteil der Fall. Dafür gibt es verschiedene Gründe. Der deutsche Mittelstand setzt gerne auf europäische Anbieter von IT-Sicherheitslösungen. Allein schon aufgrund der geographischen Nähe ergeben sich hier Vorteile bei Kontakt und Support. Vor allem für die Finanzindustrie und KRITIS-Unternehmen spielt der Standort des Sicherheitsanbieters eine zentrale Rolle. Viele dieser Unternehmen sind aufgrund von Regularien für Datenschutz und IT-Sicherheit rechtlich an Partner gebunden, die dieselben Regularien erfüllen. Dies können Anbieter leisten, die ihre Infrastruktur und Geschäftsprozesse im selben Rechtsraum, d.h. Deutschland oder Europa, aufgebaut haben.

International tätige Konzerne agieren in dieser Hinsicht freier, bei ihnen spielt der Standort des Lösungspartners weniger eine Rolle, solange regulatorische Vorgaben für DSGVO, Cloud Act und Co erfüllt sind. Einige Unternehmen sehen daher den Lösungsansatz in hybriden (Cloud-)Modellen, die kritische Services lokal und nicht-kritische Dienste global bedienen.

Cybersicherheit ist eine Grundlage für jedes moderne Unternehmen, darin sind sich CIOs einig. Nicht umsonst gehört IT-Sicherheit zu den festen Agendapunkten auf den IT-Strategietagen. Eine erfolgreiche Digitalisierung – egal ob in Wirtschaft, Industrie oder öffentlicher Verwaltung – ist ohne IT-Security by Design nicht möglich.

Myra setzt auf ganzheitliche Sicherheit

Myra hat sich mit seiner globalen SECaaS-Plattform (Security-as-a-Service) als Betreiber und Entwickler zum Ziel gesetzt, das reale Leben vor digitalen Gefahren zu schützen. Die Lösungen von Myra bewahren digitale Geschäftsprozesse vor schadhaften Zugriffen. Neben Online-Anwendungen und Webseiten sichert die Technologie auch die für die Kommunikation erforderlichen DNS-Server und IT-Infrastrukturen vollautomatisch ab. Der Myra DDoS-Schutz ist vom BSI für Kritische Infrastrukturen (KRITIS) qualifiziert und nach ISO 27001 auf der Basis von IT-Grundschutz zertifiziert. Als deutscher Hersteller operiert Myra DSGVO-konform und behandelt sämtliche Anfragen mit höchster Diskretion.

Weitere Informationen zu den Schutzlösungen von Myra

Ähnliche Artikel