Es gibt draußen kein schlechtes Wetter
Von Gerald Strömer im Auftrag von Oracle Deutschland
… es gibt nur falsche Kleidung. Dasselbe gilt für Geschäftsrisiken. Jede Branche hat hier sein eigenes Päckchen zu tragen. Für einen Bootsverleih ist ein Sturm, der die Kähne am Kai zerschlägt und damit dem Geschäft die Grundlage raubt, ein konkretes Geschäftsrisiko. Mögliche Vorsorge: ein wetterfester Bootsschuppen. Es gibt aber Risiken, die heutzutage fast jedes Business betreffen: Datendiebstahl bzw. Datenverlust. Jedes Unternehmen, das im Betrieb auf elektronisch gespeicherte Daten und Dokumente zurückgreift, ist davon betroffen. Dass die Gefahr besteht, ist nicht zu ändern. Aber Eintrittswahrscheinlichkeit und Schäden lassen sich so gering halten, dass das Unternehmen unbeschadet durchkommt.
Ein Diebstahl sensibler Geschäftsdaten dürfte eines der größten Business Risks überhaupt sein, nicht nur für Unternehmen, die ihren Umsatz mit IT-Dienstleistungen erbringen, sondern für jeden Betrieb, der seine Prozesse auf IT stützt – also praktisch alle. Konkurrenten gelangen so an geheime Entwicklungen oder Vertriebsinformationen, undichte Stellen bringen Interna an die Öffentlichkeit, scheidende Mitarbeiter lassen Kundendaten mitgehen. So etwas wirft nicht nur konkrete praktische Probleme auf, sondern unterminiert auch das Vertrauen der Kunden in die Datensicherheit der Firma und tut dem Image ganz sicher nicht gut.
Teil 1 setzt bei der Gefahr an, die jedes Unternehmen mit Internet-Anschluss betrifft: Datenverlust. Teil 2 geht zum Gegenangriff über und zieht betriebswirtschaftlichen Risiken mit IT-Mitteln den Stachel.
Es muss nicht einmal ein böswilliger Diebstahl sein. Eine versehentliche Datenlöschung oder ein Unfall mit dem Speichermedium kann im Tagesgeschäft ebenfalls das Todesurteil bedeuten. Keineswegs jedes jedes kleine oder mittlere Unternehmen setzt konsequent auf Backups. Wenn dann die ungesicherte Notebookplatte des Chefs samt den Geschäftsdaten der letzten zwölf Jahre abraucht, ist guter Rat teuer.
Der Großteil mittelständischer Firmen dürfte aber konsequent Datensicherung betreiben. Wer diese elementare Sicherheitsmaßnahme nicht ergreift, verdient fast schon, was ihm blüht. Auch bei vernünftigen Backups bleibt zwar immer noch die Gefahr eines Datendiebstahls mit seinen mannigfachen Auswirkungen. Doch auch dagegen ist ein Kraut gewachsen: Durch die Einschränkung von Zugriffsrechten, durch Identitätschecks und eine softwarebasierte Absicherung der Daten selbst lässt sich das Risiko minimieren.
Auf der Basis sicherer Datenbanken
Die Datensicherheit beginnt bei der Datenbank selbst. Das muss nicht immer eine professionelle Lösung wie Oracles Database bedeuten, funktionell können kostengünstige und kostenfreie Einsteiger- oder Open-Source-Lösungen durchaus ausreichen. Allerdings sollten solche Lösungen vor der Anschaffung und Implementierung dann eine sehr genaue Evaluierung durchlaufen – immerhin soll diese Datenbank auf Jahre hinaus die Basis sämtlicher Lösungen sein, die das Unternehmen nutzt. Da wäre es fatal, wenn man zu spät erkennt, dass man am falschen Ende gespart hat.
Das Datenbanksystem sollte zu allen derzeit im Unternehmen genutzten (und, soweit bekannt, geplanten) Anwendungen kompatibel sein; es sollte auch ständig gepflegt und weiterentwickelt werden, so dass man als Kunde nicht in der Sackgasse landet. Und schließlich und letztlich sollte die Datenbank sicher sein: Wo sich Skript-Kiddies ohne große Mühen einklinken können, hat die Lösung inakzeptable Sicherheitslücken. Das ist für Unternehmen nicht nur komplett ungeeignet, sondern angesichts von Compliance und Datenschutz letztlich ungesetzlich.
Die an sich schon sehr sichere Datenbank Oracle Database 11g kann man mit einer ganzen Reihe von Optionen zusätzlich absichern und funktionell erweitern:
- Oracle Active Data Guard verbessert die Servicequalität, indem ressourcenintensive Aktivitäten (z.B. unvorhersehbare Arbeitslasten) von der Produktions- auf eine (oder mehrere) Standby-Datenbanken verlagert werden. Eine solche Standby-Datenbank lässt sich gleichzeitig für Disaster Recovery oder als Testdatenbank nutzen.
- Oracle Advanced Security verschlüsselt Anwendungsdaten oder spezifische sensitive Spalten in der Datenbank (z.B. Kreditkartennummern) und sorgt so für umfassende Sicherheit.
- Oracle Database Vault sorgt dafür, dass auch privilegierte Datenbanknutzer nicht auf Anwendungsdaten zugreifen können.
- Oracle GoldenGate ermöglicht Datenintegration in Echtzeit sowie heterogene Datenbankreplikation.
Oracle bietet umfassende Lösungen und multiple Implementierungsoptionen für IT-Infrastrukturen an, die dem 21. Jh. angemessen sind und das Geschäft aktiv unterstützen. Das Oracle-Portfolio umfasst die besten Applikationssuiten ihrer jeweiligen Klasse, integrierte Hardware- und Softwarelösungen, komplette Systemlösungen und verschiedenste Cloud-basierte Applikationen und Dienste, die entwickelt wurden, um den ROI von IT-Investitionen zu maximieren.
Wer sich über die speziell für den Mittelstand konzipierten IT-Lösungen von Oracle informieren will, stöbert entweder direkt auf der Mittelstandswebseite von Oracle Deutschland. Oder Sie nehmen auf dem Weg dorthin noch unser aktuelles Geschenk für Oracle-Interessenten mit.
ORACLE Deutschland B.V. & Co. KG, Riesstraße 25, D-80992 München, 0800-1824138, dir_ie@oracle.com, www.oracle.de
Ein ganz wichtiger Aspekt der Datensicherheit ist die Frage, wer überhaupt auf betriebskritische Anwendungen und Daten zugreifen darf. Mit einer Lösung wie dem extrem skalierbaren Oracle Identity Management – eine Suite erstklassiger Managementlösungen – können Firmen den Zugang von jedem Gerät außerhalb und innerhalb der Firewall für alle lokale oder in einer Cloud gehosteten Unternehmensressourcen absichern und so die Einhaltung gesetzlicher Vorschriften sicherstellen.
Weil speziell Cloud Computing im Mittelstand für Unbehagen sorgt, gibt es außerdem spezielle Cloud-Dienste, die auf die Sicherheit der Unternehmensdaten in der Wolke abzielen. Das umfassende Beispiel hierfür wäre das Portfolio der Oracle Cloud Security Services. Das Angebot reicht von Identity-Management- über Authentifizierungs- bis hin zu Compliance-Diensten.
Schwarz auf Weiß
Eine ausführliche Darstellung zum Thema Risikomanagement für den Mittelstand gibt Dr. Jürgen Kaack im Ratgeber „Einführung von Risikomanagement“, den Sie als PDF-Vollversion kostenfrei im Pressezentrum des MittelstandsWiki bekommen.
Fazit: Risiken minimieren, im Geschäft bleiben
Wir können uns kein Wetter wünschen und es gibt keine IT ohne Risiken. Datendiebstahl und Datenverlust wird es immer geben. Ein vernünftiges Risikomanagement beklagt nicht die Schlechtigkeit der Welt, sondern geht daran, Vorsorge zu treffen. Geschäftsrisiken lassen sich jeder Branche minimieren, wenn man das Köpfchen anstrengt und die richtigen Werkzeuge nutzt. Im IT-Bereich ist eine ausgefeilte Datenbank letztlich Grundvoraussetzung, am besten spezialisierten Datenbankoptionen, die aufeinander abgestimmt ein Höchstmaß an Sicherheit möglich machen.
- Was die IT dazu beitragen kann, andere unternehmerische Risiken in den Griff zu kriegen, behandelt Teil 2 dieser Serie.