Aufrufe
vor 5 Monaten

Die letzte Ausgabe des Wirtschaftsmagazins 12/2020

Das B2B Themenmagazin erscheint jetzt als regionale Beilage der WirtschaftsWoche, weil das Wirtschaftsmagazin w.news zum 31.12.2020 von der IHK Heilbronn-Franken eingestellt wurde.

auf die Reaktionszeit

auf die Reaktionszeit auswirkt. Selbst ein Vorfall, der lediglich wenige Tage andauert, kann infolge zusätzlicher finanzieller Belastungen während der Coronakrise das Aus für das Unternehmen bedeuten. VDI als Alternative zum VPN Um IT-Sicherheitsvorfälle zu unterbinden, muss die Angriffskette unterbrochen werden. Dies kann beispielsweise durch einen verstärkten Schutz des VPN-Gateways oder der Arbeitsrechner der Mitarbeiter über Host-Intrusion- Prevention-Systeme (HIPS) erfolgen. Eine andere Möglichkeit besteht in der Verwendung einer Virtual-Desktop-Infrastructure (VDI). Für die Umsetzung wird ein Baseline-Image erstellt. In diesem sind das Betriebssystem sowie wichtige Programme vorinstalliert und konfiguriert. Für die Nutzung selbst wird für jeden Mitarbeiter ein eigenes Image vom Baseline-Image abgeleitet und auf einem Server im Unternehmen gespeichert. Daraufhin kann der Mitarbeiter über einen Client, zum Beispiel eine Software auf dem eigenen Laptop, auf das Image und somit auf die Daten und Anwendungen des Unternehmens zugreifen. Ob sich eine VDI finanziell mittelfristig rechnet, hängt primär von der Anzahl der Mitarbeiter ab. Denn auch die Hardware und Lizenzkosten für die virtuellen Umgebungen und Betriebssysteme sollten berücksichtigt werden. Zudem bringt eine virtuelle Desktop- Infrastruktur auch gewisse Nachteile mit sich. Je nach Nutzerprofil kann die Last auf dem Server unterschiedlich ausfallen. Ein Endgerät mit mehreren hochauflösenden 4K-Monitoren benötigt beispielsweise mehr Ressourcen des Servers und Bandbreite als ein 15-Zoll- Laptop-Display. Darüber hinaus ist die Performance der VM von der Qualität der Anbindung des Clients an das Firmennetzwerk abhängig. Denn für die Rechenoperationen, die bei der VPN-Lösung auf dem Endgerät ausgeführt werden, ist bei der VDI hingegen der VORTEILE EINER VIRTUAL-DESKTOP-INFRASTRUCTURE (VDI): • Der Server für die virtuellen Images wird vom Unternehmen zentral administriert. Somit muss im Falle einer BYOD- Strategie nicht auf die Sicherheit der Arbeitsrechner der Mitarbeiter vertraut werden. • Vereinfachtes Patch- und Update-Management • Für neue Mitarbeiter muss ausschließlich ein neues Image vom Baseline-Image abgeleitet werden, ohne dabei jedem Mitarbeiter einen eigenen Rechner zuzuweisen. • Mitarbeiter können von beliebigen Geräten, zum Beispiel von Thin-Clients aus, auf die virtuelle Maschine (VM) zugreifen. • Die VM wird auf dem Server ausgeführt, was zu einer Abkapselung der unternehmenskritischen Daten vom Client führt. • Bei Verlust des Arbeitsrechners befinden sich keine unternehmensspezifischen Daten auf diesem Gerät. • Der Einsatz einer VDI ist unter Umständen günstiger als eine VPN-Infrastruktur, da Mitarbeitern keine teuren Endgeräte bereitgestellt werden müssen. www.kurz-recycling.de www.heilbronn.ihk.de ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 23 ------------------------------------------------------------------------------------------------------------------------------------------------------------------ DEZEMBER 2020

Titel Server zuständig. Das bedeutet, dass die VM träge erscheint, wenn das Delay zwischen Client und Server hoch ist. Ein weiterer Nachteil der virtuellen Desktopinfrastruktur offenbart sich bei vermehrten Netzausfällen. Mit einer VDI können Mitarbeiter ausschließlich arbeiten, wenn eine stabile Verbindung zum Internet besteht. Bei einer VPN-Lösung ist es hingegen auch während eines Netzausfalls möglich, an den lokal auf dem Laptop gespeicherten Dokumenten weiterzuarbeiten. Somit empfiehlt es sich, die Vor- und Nachteile gegeneinander abzuwägen. Zur Erhöhung der Sicherheit kann mit Blick auf die Anzahl der Authentifizierungsfaktoren sogar eine Kombination von VPN und VDI genutzt werden. Sicherheitsmaßnahmen in Geschäftsprozesse einbinden Grundsätzlich sind Unternehmen, die sich mit der IT-Sicherheit nachhaltig auseinandersetzen, den Angreifern meist nicht schutzlos ausgesetzt. Beispielsweise können einzelne Sicherheitsmaßnahmen aus der folgenden Tabelle in die Geschäftsprozesse eingebunden werden, um die Sicherheit maßgeblich zu erhöhen. Allerdings ersetzt das inkrementelle Schließen von Sicherheitslücken keinesfalls ein ganzheitliches Sicherheitskonzept, das im Einklang mit den Geschäftszielen und auf Basis einer Schutzbedarfs- und Risikoanalyse erstellt wurde. Eine Risikoerfassung wird von einem IT-Risikomanager in Zusammenarbeit mit dem Fachbereich erarbeitet, der die Verantwortung über die in der Anwendung verarbeiteten Daten übernimmt. Anhand des jeweiligen Risikoprofils, das auf die Assets des Unternehmens abgestimmt ist, sowie einer Cost-Benefit-Analyse, werden sinnvolle Sicherheitsmaßnahmen ausgewählt und priorisiert. Bei der Auswahl sind zusätzlich gesetzliche Vorgaben zu prüfen, beispielsweise zur Verschlüsselung personenbezogener Daten. Hierbei gilt es, die künftigen fachlichen SICHERHEITSMASSNAHME TYP FUNKTIONALITÄT BESCHREIBUNG Security-Awareness-Training Administrativ Vorbeugend Zielgerichtete Sensibilisierung der Mitarbeiter für die relevanten Themen der Informationssicherheit im Unternehmen Identity-and-Access-Management (IAM)-Policy Administrativ Vorbeugend IT-Sicherheitsregeln zu Identitäten, Accounts, Authentifizierung und Berechtigungsmanagement Multi-Faktor-Authentifizierung (MFA) Technisch Vorbeugend Starke Authentifizierung von natürlichen Personen und technischen Identitäten Zugriffskontrolle Technisch Vorbeugend Stellt sicher, dass beim Zugriff auf ein System die notwendigen Berechtigungen vorliegen Least-Privilege-Prinzip Administrativ Vorbeugend Jeder Nutzer erhält ausschließlich die für seine Rolle notwendigen Rechte Segregation-of-Duties Administrativ Vorbeugend Funktionstrennung zur Vermeidung möglicher Interessenkollisionen SSL-VPN Technisch Vorbeugend Ermöglicht den gesicherten Remote-Zugriff auf das Firmennetz Virtual-Desktop-Infrastructure (VDI) Technisch Vorbeugend Zentraler Server für die Images der Mitarbeiter Logging / Monitoring Technisch Aufspürend Protokollieren und Überwachen sicherheitskritischer Ereignisse Intrusion-Detection-System (IDS) Technisch Aufspürend Angriffserkennungssystem ergänzend zur Firewall Security-Information-and-Event-Management (SIEM) Technisch Aufspürend Sammelt Meldungen und Logfiles verschiedener Systeme und korreliert die Indicators-of-Compromise (IoC) Vorfall-Meldekette Administrativ Aufspürend Festlegung einer Reihenfolge der Meldung eines Verdachts bzw. eines konkreten Vorfalls Incident-Response-Plan (IRP) Administrativ Korrigierend Vorfallreaktionsplan zur Abwehr und schnellen Eindämmung eines Sicherheitsvorfalls Incident-Response-Team (IRT) Administrativ Korrigierend Hochqualifiziertes und reaktionsschnelles Expertenteam zur Analyse und Bekämpfung von Cyberangriffen Disaster-Recovery-Site Technisch Korrigierend Externer Ausweichstandort zur Wiederaufnahme des Betriebs Penetration-Test Technisch Korrigierend Umfassende Prüfung von IT-Systemen und Netzwerken zur Feststellung der Empfindlichkeit gegenüber Angriffen Governance-Risk-Compliance (GRC)-Tool Tabelle: Erforderliche Sicherheitsmaßnahmen Administrativ Aufspürend Zentrales Instrument zur Steuerung, Erfassung und Rückverfolgung von Schutzbedarfsanalysen, Sicherheitskonzepten und Risiken DEZEMBER 2020 ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 24 ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- www.heilbronn.ihk.de

w.news Wirtschaftsmagazin

Über uns


Monatlich erscheint das von der IHK Heilbronn-Franken herausgegebene und von uns verlegte Wirtschaftsmagazin w.news, das unser Advertorial B4B Themenmagazin (bis 12.2015 Verlagsjournal wirtschaftinform.de) zu unterschiedlichen Schwerpunktthemen enthält. Das Wirtschaftsmagazin w.news wird hier gleichzeitig als Online-Magazin publiziert.