IT-Sicherheit ist ein weites Feld. Kunden wissen oft nicht, welche Lösungen zu ihnen passen, und werden nervös oder verdrängen das Thema. Beide Verhaltensweisen sind verständlich, aber helfen nicht weiter. Wie kann das Grundrauschen der medialen Aufgeregtheit ausgeblendet werden, um zu den wirklich wichtigen Punkten zu kommen?
Jeden Tag können wir in den Medien von einer neuen Schadsoftware und anderen IT-Bedrohungen lesen. Vermutlich sind die Daten des Kunden die wichtigste Stellschraube. Das bedeutet, wie wertvoll beziehungsweise wichtig die Daten sind. Sind wir hier am zentralen Punkt, an dem sich das strategische Vorgehen entscheidet?
Nein, das ist aus meiner Sicht nicht der wichtigste Punkt. Die zentrale Frage lautet: Welche Daten dürfen nicht zerstört oder entwendet werden? Der Kunde nimmt natürlich alle seine Daten als wichtig wahr, denn ohne diese Daten kann er sein Geschäft nicht erledigen.
Sie nehmen folglich eine Priorisierung vor, auch um ein Preis-Leistungs-Verhältnis im Griff zu haben?
Auch hier sehe ich einen anderen Weg. Viel wichtiger als eine Priorisierung ist ein Sicherheits-Gesamtkonzept. Es ist sinnlos wenn ein aktuelles Anti-Viren-Programm installiert ist, dafür aber das Betriebssystem nicht auf dem aktuellsten Stand ist oder keine Firewall das Netzwerk schützt. Das wäre, wie wenn Sie Ihr Haus verlassen, die Türe abschliessen und alle Fenster offenlassen.
Die unterschiedlichen Bausteine der Sicherheitslösungen müssen auf Augenhöhe agieren?
Genau.
Aus welchen Gründen kommen Kunden zu Ihnen?
Es gibt unterschiedliche Gründe. Zwei stechen gerade heraus. In den letzten Monaten hatten wir viele Anfragen, was den rechtlichen Rahmen betrifft. Die Datenschutz-Grundverordnung der EU (DSGVO) hat viele Unternehmensverantwortliche aufgeschreckt. Sie suchen Rat bei uns und dann kommen wir im Gespräch oft auch noch zu anderen Sicherheitsaspekten. Ein zweiter wichtiger Grund ist die Stabilität oder eben die nicht vorhandene Stabilität des IT-Systems. Die Sicherheit von Daten wird dann automatisch angesprochen.
Skizzieren wir doch kurz die unterschiedlichen Stellen, die für IT-Sicherheit wichtig sind. Bei dem Thema Netzwerk steht
die Realtime-Überwachung ganz oben auf der Agenda. Ist dies richtig?
Ja. Realtime-Monitoring ist eine komplementäre Massnahme. Nebst Firewall und den üblichen Vorkehrungen erkennen unsere Techniker beim Realtime-Monitoring sehr schnell, wenn etwas Ungewöhnliches passiert, und können dementsprechend sofort agieren, bevor die Situation aus dem Ruder läuft. Wenn die einzelnen Komponenten eine zu hohe Last aufweisen oder Dienste sich verabschieden, schrillen die Alarmglocken. Im Übrigen überwachen wir alle IT-Systeme unserer Kunden mit Hunderten von Sensoren, die heute bei der Realtime-Überwachung «State oft the Art» sind.
Beim Thema Ausfallsicherheit geht es um Backups beziehungsweise Spiegelung bei Servern?
Die Ausfallsicherheit hat mehr mit Redundanz zu tun. Der Kunde kommuniziert uns, wie lange das System ausfallen darf. Bei den meisten liegt die Schmerzgrenze bei einem Tag. In der Praxis geht es um Situationen, die sich in Zeitfenstern zwischen 30 Sekunden, einer Stunde oder zwei Tagen bewegen.
Was braucht zwei Tage?
Bei einem kompletten Ausfall des Servers müssen Experten vor Ort arbeiten und auch Ersatzteile organisieren und die Struktur wiederaufbauen. Da sind zwei Tage realistisch. Um solche Katastrophensituationen zu vermeiden, werden Server gespiegelt.
Und bei Datensicherheit geht es immer noch um die klassische Firewall?
Die Firewall spielt sicher eine wichtige Rolle. Es ist jedoch notwendig diese auch zu lizenzieren. Die meisten KMU besitzen heutzutage eine Firewall, die sie irgendwann gekauft haben, jedoch die Lizenzen abgelaufen sind. Die Lizenzen garantieren das Funktionieren aller Sicherheitsmassnahmen auf der Firewall. Ohne Lizenzen ist eine Firewall, wie wenn sie ein Schloss in der Türe besitzen, jedoch nicht kontrollieren wer oder was ein- und ausgeht. Zudem ist der der rechtliche Rahmen zum Thema Datenschutz da, wie schon erwähnt, ein zentraler Punkt. Es gilt zu protokollieren, wer wo welchen Zugriff hat. Da ist aber bei vielen Verantwortlichen noch viel Luft nach oben. Bei 60 Mitarbeiterinnen und Mitarbeitern werden die Zugriffsrechte schnell unübersichtlich. Dann kommt es zu absurden Situationen – zum Beispiel, dass ein Mitarbeiter mit dem Lohnblatt des Kollegen auftaucht. Damit sind wir bei der Zweifach-Authentisierung. Die Einführung von zweifachen Authentifikationen, wie beim Onlinebanking, erhöhen die Qualitätsstufe beim Thema Sicherheit. Zudem gibt es immer mehr transportable Hardware, die nicht verschlüsselt ist und gestohlen werden kann. Eine Windows-Lösung kann mit Linux gebootet werden, das Passwort vom Administrator geändert werden und schon hat man Zugriff auf alle Daten …
… Dann sind alle Türen offen. Damit sind wir beim zentralen Thema Weiterbildung. Wie sieht Ihre Position hier aus?
Das ist ganz wichtig. Wir entwickeln Kursprogramme, in denen zum Beispiel ganz praxisnah erläutert wird, wie einfach ein E-Mail oder SMS gefälscht werden kann. Dies erstaunt die Mitarbeitenden und sie werden dementsprechend wachsamer.
Nun gibt es viele Sicherheitsanbieter, die sich in Ihrem Markt tummeln. Wie stellen Sie hier Ihr Unternehmen auf, um in diesem wachsenden, aber auch schwierigen Markt zu bestehen?
Wir treten als Anbieter von Gesamtlösungen auf. Es ist aus meiner Sicht fatal, nur einzelne Aspekte zu beachten. Auch wenn wir mit grossen Partnern zusammenarbeiten, geben wir das Management und die Kontrolle der sicherheitsrelevanten Systeme nie aus den Händen, sei es bei uns in der Cloud oder beim Kunden vor Ort.
Es geht darum, dass auch vergleichsweise kleinere Unternehmen mit starken Partnern ein umfassendes Angebot präsentieren können.
Um es ganz praktisch zu machen. Wir installieren keine Systeme ohne Konzept, bei der die Sicherheit eine zentrale Rolle spielt. Zudem bieten wir unseren Kunden georedundante Backups an.
Was heisst dies für Laien?
Es geht um Datensicherungen, bei der die Systeme und ihre Daten in ein zweites Rechenzentrum gespeichert werden, welches sich an einem anderen Standort befindet. Im Notfall könnten wir die Systeme innerhalb kürzester Zeit in unserer Cloud wieder zur Verfügung stellen.
Die Daten lagern dann aber nicht in den USA?
Nein. Die Daten lagern auf unseren Servern und zertifizierten Datacentern in der Schweiz. Das eine Datacenter befindet sich in der Region Zürich und das andere in der Region Basel.
Wie positionieren Sie sich beim Thema Cloud?
Das kommt stark auf die Bedürfnisse des Kunden und das daraus resultierende Konzept an. Nachdem das Thema Cloud lange mit Vorbehalten behaftet war, herrscht heute fast schon Euphorie. Sicherheitstechnisch wissen zum Beispiel viele nicht, dass bei Office 365 Business kein Backup durchgeführt wird. Die Nutzer von Office 365 sind selbst verantwortlich. Da bieten wir Backup-Lösungen für Office 365 an. Die Verantwortung über die Richtigkeit und Vollständigkeit der Daten bleibt immer beim Cloudbenutzer. Wenn ein Unternehmen zwei verschiedene Standorte besitzt und geeignete Räume für die IT-Infrastruktur hat, können On-Premise-Lösungen (Vor-Ort-Lösungen) weiter Sinn machen.
