Kritische IT-Kontinuitätsplanung für einen sicheren Microsoft 365 National Health Service
Während der britische National Health Service die Sicherheits- und Produktivitätsdienste von Microsoft 365 einführt, lassen sich aus WannaCry und den Ausfallzeiten von Exchange Online Lehren für den Schutz kritischer nationaler Infrastrukturen ziehen.
In einer Zeit, in der eine effiziente Gesundheitsversorgung weltweit zur obersten Priorität geworden ist, müssen wir unbedingt dafür sorgen, dass diese Dienste vor Angriffen oder technischen Ausfällen geschützt sind.
Vor diesem Hintergrund betrachte ich die Ankündigung dieser Woche, dass eine Vereinbarung zwischen NHSX, NHS Digital und Microsoft dem NHS Hunderte von Millionen Pfund einsparen wird, während 1,2 Millionen Mitarbeiter Zugang zu Microsoft 365 Sicherheit (früher bekannt als Office 365) und Produktivitätstools erhalten. Dazu gehören Allgemeinmediziner, Berater, Krankenschwestern, Therapeuten, Sanitäter und Hilfskräfte, die alle Zugang zu den Diensten von Microsoft 365 haben werden.
Dies ist auf jeden Fall eine positive Nachricht. Die digitale Transformation des britischen Gesundheitswesens ist ein gewaltiges und dringend notwendiges Unterfangen - eines, das sicherlich viele Vorteile für die Verbesserung der Produktivität, die Zusammenarbeit und bessere Gesundheitsergebnisse für die Patienten bringen wird. So wurde beispielsweise Microsoft Teams bereits in vielen NHS-Organisationen eingesetzt, um zusammenzuarbeiten, Informationen sicher auszutauschen und neue Arbeitsmethoden während der COVID-19-Pandemie zu unterstützen.
Doch wie die jüngsten Ausfälle von Microsoft-Diensten zeigen, ist kein einziges IT-System unfehlbar, und jedes Unternehmen braucht einen Business-Continuity-Plan für den Fall, dass wichtige Dienste ausfallen.
Exchange Online-Ausfallzeit
Am Montag meldeten Tausende von Microsoft-365-Nutzern in Australien und Neuseeland Probleme beim Zugriff auf den Dienst, gerade als der Arbeitstag begann. Später am Tag traten ähnliche Probleme auch in Europa auf. Beide Vorfälle konnten glücklicherweise innerhalb weniger Stunden behoben werden.
Frustrierte IT-Fachleute nutzten die sozialen Medien , um Frustrationsgeschichten, SLA-Ratschläge und Memes zu teilen und Dampf abzulassen. Und es blieb ihnen nichts anderes übrig, als zu warten, bis Microsoft das Problem bestätigt und dann behoben hatte.
Moment mal... oder gab es etwas, das jedes IT-Team hätte tun können?
Dies ist ein weiteres Paradebeispiel dafür, was passiert, wenn man all seine Schutzmechanismen, Dienste und Anwendungen in einem einzigen abhängigen System zusammenfasst. Microsoft 365 Sicherheit abgesehen von den Bedenken, ist jeder IT-Leiter heute mit der Notwendigkeit einer unabhängigen Sicherung und Kontinuität aufgewachsen, als seine Systeme noch vor Ort waren.
Wie intelligent das neue Cloud-System auch sein mag, es kann zu menschlichen Fehlern oder technischen Ausfällen kommen, so dass Sie der Gnade Ihres ausgelagerten Anbieters ausgeliefert sind. Die Produktivitätsgewinne, die Sie durch die Umstellung auf die Cloud erzielt haben, werden plötzlich zunichte gemacht, und der Ruf der Cloud-Dienste insgesamt leidet darunter.
Es liegt an jedem einzelnen Unternehmen, die Risiken eines Ausfalls von Drittanbieterdiensten zu bewerten und einen geeigneten Sicherungsplan zu erstellen. Das ist nicht Microsofts Problem, sondern Ihres, das der IT-Experten - und es muss im Voraus geplant und geprobt werden.
Diese Risikomessung wird natürlich je nach Branche, Größe des Unternehmens und Managementteam unterschiedlich ausfallen. Einige junge Unternehmen mögen beschließen, ihre Betriebszeit aufs Spiel zu setzen, aber mit wachsenden Kundenbedürfnissen und wachsendem Ansehen der Marke nähern sich die Anforderungen an die Kontinuität denen kritischer öffentlicher Dienste an.
Rückblende zu WannaCry
Vor etwas mehr als drei Jahren raste der WannaCry-Angriff um die Welt und traf das britische Gesundheitswesen mitten ins Herz. Der Angriff zwang die betroffenen Krankenhäuser, Notfallpläne zu aktivieren, Stationen und Notaufnahmen zu schließen, Routinetermine abzusagen und Krankenwagen in benachbarte, nicht betroffene Krankenhäuser umzuleiten. Arztpraxen und Apotheken meldeten ähnliche Probleme.
Schätzungen der Regierung zu den finanziellen Kosten des Anschlags wurden in zwei große Kategorien eingeteilt: während des Anschlags und in der Erholungsphase unmittelbar nach dem Anschlag. Zunächst wurde der Produktionsausfall auf etwa 19 Millionen Pfund geschätzt - ausgehend von 1 % der unterbrochenen Versorgung über einen Zeitraum von einer Woche. Dann wurden zusätzliche IT-Kosten in Höhe von 73 Millionen Pfund ermittelt.
Als WannaCry zuschlug, liefen im NHS noch 4,7 % der Rechner mit XP, obwohl Microsoft den Support für diese Software bereits 2014 eingestellt hatte. Jetzt ist es Windows 7, das nicht mehr willkommen ist, und die neue Einführung von Microsoft 365 wird nun sicherstellen, dass IT-Systeme, die noch nicht auf Windows 10 aktualisiert wurden, dies tun werden.
Besitzen Sie Ihre eigene Betriebszeit
Die Lehre daraus ist, dass jeder neue Dienst, auf den man sich verlässt, neue Abhängigkeitsrisiken mit sich bringt. Microsoft Teams hatte bereits eine Reihe von Ausfällen während der Pandemie. Die E-Mail-Infrastruktur ist von Natur aus komplex und Cyberkriminelle sind stets innovativ. Es werden neue Schwachstellen entdeckt und neue Fehler gemacht. Die Sicherheit von Microsoft 365 wird immer besser, aber das gilt auch für die fortschrittlichen Angriffe, die wir jeden Tag auf die Plattform entdecken.
Anfang dieses Monats habe ich über die große Cloud-Migration und die Notwendigkeit einer auf alles vorbereiteten Denkweise geschrieben. Dieser Ansatz erfordert ein Defense-in-Depth-Sicherheitskonzept, stabile Kontinuitätssysteme und regelmäßig aktualisierte (und getestete) Business-Continuity-Pläne .
Wir müssen akzeptieren, dass ein Ausfall von Kommunikationsdiensten für den NHS direkte Auswirkungen auf die Bereitstellung lebenswichtiger Dienste für die Gemeinschaft haben könnte. Alle Organisationen, die auf die Sicherheits- und Produktivitätsdienste von Microsoft 365 umsteigen, insbesondere wenn sie Teil der kritischen nationalen Infrastruktur sind, sollten weiterhin für ihre eigene Geschäftskontinuität und Ausfallsicherheit verantwortlich sein.
Es ist nicht Aufgabe von Microsoft, mit der Planung für das nächste Ereignis zu beginnen, das unsere Organisationen betrifft. Das liegt an uns.
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!