13. Januar 2016

Der Boost für Ihr Geschäftsmodell

Der Boost für Ihr Geschäftsmodell│blog.synaix.de

Wie „Security as a Service“ das eigene Geschäftsmodell beflügelt

Digitale Transformation, Lean Startup-Denke und agile Vorgehens-Methoden – unsere Welt scheint sich immer schneller zu drehen. In immer kürzerer Zeit müssen wir unsere Prozesse und sogar ganze Geschäftsmodelle an die neuen Gegebenheiten anpassen, um in der disruptiven Welt auch morgen noch bestehen zu können.

Auf der anderen Seite gibt es immer mehr gesetzliche Anforderungen, Umsetzungsvorschriften und Audit-Erfordernisse, die unser unternehmerisches und gestalterisches Handeln einengen und behindern. Beide Welten in einer Team- oder Unternehmenskultur angemessen zu berücksichtigen, ist faktisch unmöglich.

Bei synaix haben wir uns eine Menge Gedanken zu dieser Divergenz gemacht und Lösungsbausteine entwickelt. Diese unterstützen Unternehmen dabei, den hohen Sicherheitsanforderungen aus der Welt der Gesetze, Audits und der technischen Systemen zu genügen, ohne kreative und agile Vorgehensweisen aufgeben und die Geschwindigkeit aus den Projekten herausnehmen zu müssen.

Die stetig steigenden Anforderungen lassen sich zu drei großen Themenfeldern zusammenfassen:

  • Technische Sicherheit
  • Audit Anforderungen (PCI DSS, ISO 27001)
  • Gesetzliche Anforderungen, insbesondere IT Sicherheitsgesetz

 

Technische Sicherheit

Systemumgebungen sind heute wesentlich komplexer als noch vor einigen Jahren. Eine Ursache dafür ist die steil anwachsende Anzahl miteinander vernetzter Services. Hinzu kommt, dass man durch Multisourcing-Ansätze keine abgeschlossenen Netzwerkzonen als Schutzschild für die eigenen Dienste und Applikationen aufbauen kann.

Schon in der Architekturphase muss jeder Betreiber seine Systemwelt unter dem Aspekt der Applikationssicherheit überprüfen. Die gängigste Methode ist der Penetrationstest (Pentest). Mit ihm lassen sich sowohl konzeptionelle Schwachstellen als auch konkrete Angriffspunkte durch schlechte oder ungenügende Sorgfalt im Bereich Systemadministration aufdecken. Sinnvoll ist daher die regelmäßige Durchführung von Pentests über alle eigenen Systeme.

Noch etwas näher am Alltagsbetrieb ist die Einführung einer Intrusion Detection Lösung (IDS), mit der sich sowohl gezielte Angriffe als auch das ungerichtete Ausnutzen von Sicherheitslücken zuverlässig erkennen lassen. Der Aufbau und Betrieb erfordert eine hohe Integrationstiefe zwischen Betriebspersonal (Admins, OPS) und den Softwareherstellern oder Entwicklern (DEV).

Mit geeigneten Werkzeugen und Prozessen kann mithilfe einer solchen Lösung über einen Zeitraum von einigen Monaten ein zuverlässiger neuer Schutzschild für das eigene Unternehmen aufgebaut werden.

 

Audit Anforderungen (PCI DSS, ISO 27001)

Für spezielle Bereiche, wie die Kreditkarten-Verarbeitung, aber auch für immer mehr allgemeine Bereiche wachsen die Anforderungen durch das Erfordernis von Auditierungen.

Branchenstandards enden meistens in einem neuen Anforderungskatalog an Sicherheitsmaßnahmen, die nur mit einem ausgereiften Risikokontrollsystem gehandelt werden können. Dazu müssen die umzusetzenden Prozesse nicht nur dokumentiert und gelebt werden; es muss auch wirksame Kontrollen in allen relevanten Abläufen geben, die potenzielle Fehler aufdecken und so einen Regelkreis mit immer besseren Prozessen ergeben.

Solche internen Kontrollsysteme (IKS) sind für viele Branchen unerlässlich. Darin auch die Anforderungen aus dem IT-Bereich im eigenen Unternehmen komplett abzudecken, bedeutet einen hohen Aufwand.

Die Auslagerung der richtigen Prozessschritte an einen geeigneten Dienstleister mit einem auf IT-Prozesse und die Integration spezialisierten framework kann in vielen Fällen eine sinnvolle Lösung sein.

Für die Erfüllung von PCI DSS-Anforderungen hat synaix gerade eine Lösung entwickelt, die es Webseitenbetreibern ermöglicht, die eigene Zertifizierung direkt über synaix umzusetzen.

Die Anforderungen der ISO 27001 deckt synaix ebenfalls mit entsprechenden Zertifizierungen ab.

 

Gesetzliche Anforderungen, insbesondere IT Sicherheitsgesetz

Das IT-Sicherheitsgesetz fordert von Betreibern von Web-Angeboten die Meldung von Vorfällen und die Einhaltung einer Reihe von Sicherheitsstandards. Darüber hinaus sind die Betreiber in Zukunft verpflichtet, ausreichende, dem Stand der Technik entsprechende, technische und organisatorische Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme zu ergreifen.

Auf die Unternehmen in den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen kommen als Betreiber Kritischer Infrastrukturen eine Reihe zusätzlicher Anforderungen zu.

Um die gesetzlichen Anforderungen für unsere Kunden kosteneffizient umsetzen zu können, haben wir branchenübergreifende Vorgehensmodelle entwickelt.

Aus unserer Sicht ist es sinnvoll möglich, die hohen prozessualen Anforderungen in allen genannten Bereichen durch die Auslagerung von „Sicherheit als Dienst“ („Security as a Service“) an geeignete Dienstleister umzusetzen, um damit die nötige Fokussierung auf die eigenen werttreibenden Unternehmensprozesse zu ermöglichen.

(Stefan Fritz)

stefan.fritz

Keine Kommentare