Sicherheit der Cloud-Produktivitätsplattform: Neukonzeption Ihrer IT-Resilienzstrategie für eine Gesellschaft nach der Pandemie
Cloud-Produktivitätssuites boomen in der COVID-19-Ära, während sich Cyberkriminelle weiterhin an die neue Angriffsfläche anpassen. Hier finden Sie einen Überblick über die Risiken der Verlagerung in die Cloud aus der Sicht der Resilienz.
Inmitten der Turbulenzen des Jahres 2020 ist eine stille Revolution im Gange, die die IT-Landschaft für die nächsten Jahrzehnte prägen wird. Und ein Unternehmen wird sowohl während des Lockdowns als auch in der Zeit nach der Pandemie eine wirklich zentrale Rolle spielen.
Jeder IT- und Sicherheitsverantwortliche muss jetzt seine Cyber-Resilienz Strategie für dieses Cloud-first-Unternehmen überdenken. Nein, ich spreche nicht von Zoom.
Trotz des kometenhaften Wachstums und der Bekanntheit des Videokonferenz-Stars ist es Microsoft, das sich sorgfältig positioniert hat, um das lange Spiel der Unternehmenssoftware zu dominieren. Der Twitter-Spruch des Komikers Hasan Minhaj "Du bist ein Verb, das niemand benutzt" über Skype hat sicherlich für einige Lacher gesorgt, aber in Wirklichkeit gibt es inzwischen mehr als 75 Millionen täglich aktive Nutzer von Microsoft Teams.
Der CEO von Microsoft, Satya Nadella, wird also das letzte Wort haben. Er nutzte die jüngste virtuelle Entwicklerkonferenz Build 2020, um seine Vision von Microsoft 365 zu erläutern, die darin besteht, "die Produktivitätswolke der Welt als eine auf den Menschen ausgerichtete, geräteübergreifende und multisensorische Erfahrung aufzubauen". Die Softwareentwickler-Community ist ein wesentlicher Bestandteil dieser Strategie und dieses Publikum hat Microsoft unter Nadella für sich gewonnen. Die 7,5 Milliarden Dollar teure Übernahme von GitHub im Jahr 2018 und das "All-in on Open Source"-Konzept haben diese Tatsache untermauert.
Heute hat sich die Zahl der Unternehmen, die Geschäftsanwendungen von Drittanbietern in Teams integrieren, in den letzten Monaten mehr als verdreifacht. Dieser plattformzentrierte Ansatz, den Microsoft entwickelt hat, wird schwer zu schlagen sein.
Exchange Online ist bereits zum De-facto-Standard für Cloud-E-Mail in Unternehmen geworden. Sein nächster Konkurrent, Googles G Suite, hat sich traditionell als beliebter bei kleineren Unternehmen erwiesen, wie die internen Untersuchungen von Mimecast zeigen. Der pandemische Cloud-Boom trägt jedoch auch dazu bei, das Wachstum sowohl der Google Cloud Platform (GCP) als auch der G Suite zu fördern. Insbesondere Google Meet, das jetzt täglich etwa 3 Millionen Nutzer hinzugewinnt . Wie sich die größere Unternehmensbasis von Google in dieser kostenbewussten Zeit entwickelt, wird sicherlich zu beobachten sein.
Die große Wolkenwanderung
Weltweit führt die Covid-19-Pandemie zu einem radikalen Überdenken der Arbeitsweise von Unternehmen. Wie Mitarbeiter zusammenarbeiten, wie Lieferketten flexibler gestaltet werden können, wie Kunden entdeckt und betreut werden können.
Dies wiederum gibt der heutigen Cloud späten Mehrheit einen Schubs, der an den Aufschwung der Early Adopters im Abschwung von 2008-2009 erinnert, als viele Unternehmen auf der Suche nach schnelleren finanziellen Op-Ex-Anreizen massenhaft zu Software-as-a-Service-Anbietern wechselten. Dies wird noch durch die Tatsache verstärkt, dass viele der traditionell beliebteren Cloud-Dienste besonders gut für pandemische geschäftliche Herausforderungen geeignet sind. Dazu gehören Kommunikations- und Produktivitätstools, CRM, Videokonferenzen, E-Mail und Teamzusammenarbeit.
Es gibt auch erhebliche betriebliche Herausforderungen für die herkömmliche IT-Infrastruktur vor Ort, die ohne erhebliche Investitionen nur schwer schnell skaliert werden kann. Die Datenexplosion des letzten Jahrzehnts hat zu ausgedehnten Archiven vor Ort geführt, die häufig komplexen gesetzlichen Aufbewahrungsanforderungen oder geschäftsorientierten Suchanforderungen unterliegen. Hinzu kommt der Bedarf an qualifizierten Mitarbeitern, um all diese Daten effektiv zu verwalten.
Zusammengenommen ergeben sich daraus enorme Möglichkeiten im Microsoft-Ökosystem, einschließlich der Azure-Cloud-Plattform und des cloudbasierten Produktivitätsangebots Microsoft 365. Erste Indikatoren für diesen Trend sind bereits vorhanden. Ende April meldete Microsoft einen Umsatz von 35 Milliarden US-Dollar , da sein Cloud-Geschäft schneller wächst als erwartet. In dieser Mitteilung wurde bekannt gegeben, dass der Umsatz mit kommerziellen Office-Produkten und Cloud-Diensten um 13 % gestiegen ist, angetrieben durch ein Umsatzwachstum von 25 % bei Microsoft 365 Commercial, und das trotz einiger Währungsschwankungen.
Die große Cloud-Migration wird nicht aufhören. Sie hat bereits mehr als 258 Millionen Unternehmensnutzer auf Office 365 , und ich kann mir leicht vorstellen, dass eine Welt mit nahezu vollständiger Bereitstellung - und, was noch besorgniserregender ist, Abhängigkeit - entstehen wird.
Sicherheitsrisiken in der Cloud
Microsoft eröffnet weiterhin neue Rechenzentren auf der ganzen Welt, um die Flexibilität und Skalierbarkeit für Unternehmen und Behörden zu verbessern. Da jedoch immer mehr Unternehmen ihre E-Mails und Daten zu Microsoft 365 verlagern, besteht ein erhöhter Bedarf an Schutz vor böswilligen oder versehentlichen Datenverlusten.
Was Unternehmen jedoch oft nicht erkennen, ist, dass diese Umstellung mit erheblichen Risiken verbunden ist, wenn sie sich nur auf die Sicherheit und den Datenschutz eines einzigen Anbieters verlassen. Ein einzelner Cloud-Dienst kann für sich genommen ein größeres Risiko darstellen, wenn Sie alle Ihre Schutzmaßnahmen, Dienste und Anwendungen in einem einzigen abhängigen System zusammenfassen. Sie lagern die Kontrolle über dieses Risiko an Microsoft oder Google aus und vertrauen darauf, dass diese die Risiken angemessen mindern.
Die Sicherheitseffizienz der Cloud-E-Mail-Anbieter hat sich jedoch als suboptimal erwiesen, wenn es um fortgeschrittene Phishing-Angriffe und selbst um die grundlegendste Spam-Abwehr geht. Microsoft beispielsweise wird von unabhängigen Analystenfirmen regelmäßig schlecht bewertet, und die Tests von Mimecast zeigen, dass ihre Wirksamkeit nicht vergleichbar ist.
Der jüngste Bericht von SE Labs Email Security Services Protection Report vom März 2020 bewertet sowohl Microsoft 365 als auch den Dienst Advanced Threat Protection mit der Sicherheitsstufe "C". Bewährte Sicherheitsverfahren zur Abwehr von Bedrohungen schreiben die Verwendung mehrerer Sicherheitsebenen vor, die sich architektonisch auch in der Cloud befinden müssen, um effektiv mit Ihrem Exchange Online-Tenant zu arbeiten.
Während der Pandemie haben Bedrohungsakteure ihre Vorgehensweise schnell umgestellt und nutzen Covid-19 Phishing und Imitationen als Köder, um anfällige Organisationen anzugreifen. Exchange Online ist ein einziges großes Angriffsziel, und wir wissen, dass Cyberkriminelle ihre Kampagnen häufig an ihrer eigenen Tenant-Umgebung (d. h. einer Spiegelung Ihrer Umgebung) testen, bevor sie ihre echten Opfer erneut angreifen. Wir haben mit vielen Unternehmen auf der ganzen Welt gesprochen, die in der aktuellen Situation auf Microsoft 365 umgestiegen sind und schnell gemerkt haben, dass sie ihre erweiterte Phishing-Abwehr verstärken müssen.
Kontinuität der Produktivität
Eine weitere Frage, die Sie sich stellen müssen, ist, was mit Ihren wichtigen Diensten passiert, wenn Cloud-Produktivitätsdienste ausfallen oder anderweitig nicht mehr verfügbar sind. Was passiert, wenn Sie plötzlich Ihr CRM, Ihre E-Mail oder Tools für die Zusammenarbeit im Team verlieren? In der Geschäftswelt sind die Auswirkungen in der Regel rein kommerzieller Natur, z. B. Umsatzeinbußen, Produktivitätsverluste der Mitarbeiter und frustrierte Kunden.
Ausfallzeiten bei kritischen nationalen Infrastruktureinrichtungen oder Regierungsstellen können jedoch direkte Auswirkungen auf die Erbringung lebenswichtiger Dienstleistungen für die Gemeinschaft haben. Das Gesundheitswesen, der Kinderschutz, das Wohnungswesen und die öffentliche Sicherheit - und eine ganze Reihe anderer Dienste, auf die sich Beamte und Bürger gleichermaßen verlassen - müssen ständig funktionieren.
Wenn zentrale Kommunikationssysteme ausfallen, ist es auch üblich, dass die Mitarbeiter neue Sicherheitsrisiken und Datenlecks durch Umgehungslösungen schaffen, wobei sie in der Regel ihre eigenen persönlichen digitalen Dienste der Verbraucherklasse nutzen. Während der Covid-19-Krise hat die britische Regierung täglich eine Pressekonferenz mit wichtigen Fragen der Medien und der Öffentlichkeit abgehalten. Aber ein Ausfall des Zoom-Dienstes führte dazu, dass die Journalisten keine direkten Fragen stellen konnten und sich stattdessen darauf verlassen mussten, dass der Wirtschaftsminister sie aus einer E-Mail vorlas.
Warum verlässt sich eine nationale Regierung auf einen einzigen Dienst, ohne dass eine angemessene Sicherung vorhanden ist? Da kritische Sektoren zunehmend Cloud-Dienste wie Zoom oder Microsoft 365 nutzen, muss das Risiko dieser Abhängigkeit von einem einzigen Anbieter für etwas so Wichtiges wie die Kommunikation sorgfältig bedacht werden.
Wie sieht Ihr Plan aus, wenn Ihr E-Mail- oder Team-Collaboration-Tool das nächste Mal ausfällt? Wie lange können Sie es sich leisten, offline zu sein und die Verbindung zu verlieren? Wie können Sie die Sicherheit und Verfügbarkeit Ihrer wichtigen Daten ohne eine unabhängige Kopie gewährleisten? Wie stellen Sie sicher, dass die Dienste, die für einen effektiven Betrieb auf E-Mail angewiesen sind, nicht beeinträchtigt werden?
Die Risikogleichungen müssen sicherlich neu gezeichnet werden, wenn wir die Sättigung bei der globalen Cloud-Nutzung für wichtige Produktivitäts- und Kommunikationsdienste erreichen. Dabei geht es nicht nur darum, dass eine Organisation ihre E-Mail- und Daten-Eier in einen Korb legt, sondern alle Organisationen legen alle ihrer Eier in denselben Korb. Wie bewerten wir nun das kollektive Risiko, dass die Mehrheit der großen Organisationen und Behörden von den Cloud-Diensten von Microsoft abhängig ist?
Der rasante Anstieg der Zahl der Cloud-Abonnenten in jüngster Zeit ist natürlich nicht reibungslos verlaufen. Eine Reihe von Microsoft-Ausfällen allein in den letzten Monaten betraf Teams , Forms und in einem Fall "mehrere Dienste". Inzwischen waren natürlich auch Slack und Zoom betroffen.
Menschliches Versagen, böswillige Handlungen und technisches Versagen werden weiterhin vorkommen und alle Dienste irgendwann beeinträchtigen. Es ist nur eine Frage der Zeit, bis Sie das nächste Mal betroffen sind. Entscheidend ist, ob Sie die Kontrolle über Ihre eigene Betriebszeit übernehmen und einen Ausfallsicherheitsplan für Dritte erstellen wollen oder müssen.
Resiliente Denkweise
Traditionell basieren Disaster-Recovery-Pläne und -Systeme auf der Annahme, dass die IT ausfällt und man immer einen Plan B braucht. Diese Anforderung ist in einer Cloud-first-Welt genau die gleiche, und jedes Unternehmen muss seine individuellen Risiken in Bezug auf Sicherheit, Kontinuität, Verfügbarkeit, Backup und Datensicherheit berücksichtigen.
Die zunehmende Nutzung von Cloud-Diensten wird das Streben nach mehr Flexibilität und Skalierbarkeit unterstützen. Die Cloud ermöglicht auch KI-gesteuerte Bots und intelligente APIs, die Routineaufgaben automatisieren und die Produktivität bei der internen virtuellen Zusammenarbeit steigern können.
Wenn Sie jedoch alles auf eine Karte setzen, sind Sie einem breiten Spektrum von Risiken ausgesetzt, die sich negativ auf Ihre Geschäftstätigkeit auswirken können.
Die einzige Möglichkeit, diese neuen Risiken zu mindern, besteht darin, eine Strategie der Cyber-Resilienz zu verfolgen. Dabei handelt es sich im Wesentlichen um einen mehrdimensionalen Risikomanagementansatz, der den Schutz vor Bedrohungen, die richtige Langlebigkeit und eine geprüfte Wiederherstellbarkeit miteinander verbindet.
Stellen Sie sich diese Fragen, wenn Sie Ihren Plan für die Cyber-Resilienz Ihrer Produktivitätsplattform evaluieren:
- Wo werden Microsoft und Google Productivity Suites Ihrer Meinung nach in 3-5 Jahren stehen?
- Was sind die größten Risiken für Ihr zukünftiges, digital transformiertes Unternehmen?
- Wie werden die Bedrohungsakteure Ihrer Meinung nach auf die Gesellschaft nach der Pandemie reagieren?
- Kann Ihr Unternehmen mit gelegentlichen Ausfällen von Cloud-Diensten zurechtkommen, oder brauchen Sie einen eigenen Plan B?
- Welche Fachkenntnisse sollten Sie im Haus haben und welche sollten Sie auslagern?
- Wie sieht Ihr Notfallplan für wichtige Außendienstmitarbeiter aus, wenn ihr ISP ausfällt?
- Was ist Ihr Ersatzdienst für Videokonferenzen und Teamarbeit?
- Wann hat Ihr Unternehmen das letzte Mal seinen Geschäftskontinuitätsplan getestet?
Diese Liste ist nicht erschöpfend, gibt Ihnen aber hoffentlich einen Anhaltspunkt. Stellen Sie sich, Ihrem Team und Ihren Kollegen die gleichen Fragen.
Es gab selten einen besseren Zeitpunkt für die Vorstandsetage, sich für das Konzept der Widerstandsfähigkeit zu interessieren, und zwar nicht nur für IT-Hardware und -Software, sondern für ein breit gefächertes Gespräch über Cashflow, Lieferketten, IT-Sicherheit, Produktivität und psychische Gesundheit der Mitarbeiter. IT- und Risikoverantwortliche haben die Möglichkeit, sich an die Spitze dieser Agenda zu setzen.
Eine Einstellung, die auf alles vorbereitet ist, kann uns nur helfen, diese globale Krise zu bewältigen und gestärkt und besser vorbereitet als je zuvor daraus hervorzugehen.
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!