Schnelle Daten sind schnell entwendet
Von Sabine Philipp im Auftrag von Oracle Deutschland
Das exponentiell wachsende Datenvolumen, Trends wie Cloud Computing und die zunehmende Nutzung mobiler Geräte in Unternehmen bieten Cyberkriminellen enorme Angriffsflächen. Der PwC-CyberCrime-Studie vom September 2013 zufolge stieg die Zahl der Sicherheitsvorfälle in den vorausliegenden zwölf Monaten im Durchschnitt um 25 %. In vielen Fällen sind zentral gespeicherte Datenbestände für Hacker, Wirtschaftsspione und Agenten eine lohnende Beute. Ein solides Datensicherheitskonzept mit entsprechenden Schutzwerkzeugen sollte daher ebenso eine Selbstverständlichkeit sein wie umfangreiche Auditing-Funktionen. Sie regeln den Zugriff und protokollieren, wer wann auf welche Daten zugegriffen hat und was dabei verändert wurde.
Im Big-Data-Umfeld rät Matthias Weiß, Direktor Mittelstand Technologie, Oracle Deutschland, zu einer Lösung, die eine Integration mit oft bereits bestehenden Directory Services ermöglicht, also dem Verzeichnisdienst, der die Zugriffsrechte regelt: „Sobald sich ein Nutzer an seinem PC-Arbeitsplatz anmeldet, kann das System diese Informationen beim Zugriff auf die Big-Data-Informationen verwenden. Sie können Mitarbeitergruppen erstellen und ihnen Zugriffsrechte auf bestimmte Datensätze zuweisen“, erklärt der Experte.
Ein großer Vorteil dieses Vorgehens: „Alle Mitarbeiter können ohne Modifikation mit derselben Anwendung arbeiten“. Sämtliche Big-Data-Datenhaltungssysteme von Hadoop bis zur relationalen Datenbank sollten diese Sicherheitsmechanismen bieten. Gute Lösungen stellen außerdem sicher, dass privilegierte Benutzer wie Administratoren zwar ihre Arbeit verrichten können, aber keinen Einblick in die Daten selbst haben, auch ohne Verschlüsselung. Das ist ein Aspekt, der umso wichtiger wird, wenn die Datenverarbeitung betriebsextern, in einer Cloud stattfindet.
Cloud-Konditionen mit Sicherheitsnachweis
Storage– und Big-Data-Lösungen inhouse zu betreiben, ist aufwendig und oft mit hohen Investitionen in die entsprechend starke Hardware verbunden. Andererseits lassen gerade Mittelständler eine gesunde Vorsicht gegenüber Cloud-Angeboten walten. Das ist durchaus berechtigt. Matthias Weiß rät dazu, Firmendaten nur in dedizierten Teilen eines Servers zu speichern, die klar von den übrigen Bereichen getrennt sind (Stichwort: Mandantenfähigkeit).
Als Alternative dazu nennt der Fachmann eine Private Cloud hinter der Firewall des Kunden: „Die Hardware wird beim Kunden installiert, aber die gesamten Cloud Services werden vom Cloud-Anbieter geliefert.“
Matthias Weiß ist seit 1990 für die ORACLE Deutschland B.V. & Co. KG tätig. Im Laufe der Jahre hatte er dort verschiedene technische und Management-Funktionen im Großkunden- und Partnerbereich inne. Innerhalb des Unternehmens ist er für „Technologie im Mittelstand“ zuständig. Ein Schwerpunkt seiner Tätigkeit ist die strategische IT-Beratung und Partnerunterstützung.
ORACLE Deutschland B.V. & Co. KG, Riesstraße 25, 80992 München, 0800-1824138, dir_ie@oracle.com, www.oracle.de
Grundsätzlich empfiehlt er, Firmendaten nur in Clouds innerhalb der EU zu speichern, schon aus datenschutzrechtlicher Sicht. Denn die EU-Richtlinie 95/46/EG verbietet es, personenbezogene Daten in ein Land außerhalb der EU zu schaffen – außer das Drittland weist ein angemessenes Datenschutzniveau auf (und was das heißt, ist heftig umstritten). Ratsam ist es in Sachen Cloud-Sicherheit auch, darauf zu achten, dass die Datensicherungen verschlüsselt abgelegt werden – und dass sie ebenfalls innerhalb Europas stattfinden.
Mobilzugriff im Identitätsmanagement
Schwierig kann sich der mobile Zugriff auf die Datenbank gestalten, vor allem dann, wenn die Abfragen von Privatgeräten der Mitarbeiter kommen. Der Mobile Device Management Studie 2013 von G Data zufolge setzen von den befragten 4000 Firmen erst 68 % auf eine Sicherheitslösung für ihre Mobilgeräte.
Teil 1 erklärt das Prinzip: Wie man massenweise heterogene Daten für die Analyse nutzbar macht. Teil 2 geht auf die Frage nach der Sicherheit ein – besonders wenn Cloud-Dienste mit im Spiel sind.
Von den nötigen elementaren Sicherheitsmaßnahmen abgesehen, rät Matthias Weiß dazu, das Identity Management in das übergreifende Sicherheitskonzept des Unternehmens einzubinden: „Sobald sich der Nutzer mit seinem mobilen Endgerät anmeldet, gelten für ihn dieselben Sicherheitsmechanismen wie im Unternehmen. Der Administrator kann dann z.B. festlegen, dass der Nutzer keine zusätzlichen Programme installieren oder auch nur die SIM-Karte wechseln kann“.
Für den mobilen Datenzugriff empfiehlt er sogenannte Secure Container. Das darf man sich in etwa so vorstellen, dass die Daten und Anwendungen in einen sicheren Raum gepackt werden, wo nur authentifizierte und autorisierte Nutzer auf sie zugreifen können. Und selbstverständlich sollten die Unternehmensdaten auf dem mobilen Endgerät verschlüsselt sein.
Fazit: Vorteil für den Mittelstand
Moderne Hilfsmittel und der intelligente Einsatz von Cloud-Technologien machen den Schritt in Richtung Big-Data-Analyse und Prognose auch für kleine und mittlere Unternehmen möglich. Gerade diese Marktteilnehmer können die daraus gewonnenen Erkenntnisse rasch umsetzen, schneller auf Veränderungen reagieren, noch flexibler auf Kundenwünsche reagieren und auf diese Weise ihre Branchenplätze behaupten oder ausbauen.
Diesen strategischen Vorteil bildet auch die in Teil 1 eingangs genannte Umfrage von KPMG ab: Wenn dort auch 61 % der befragten Unternehmen mit unerwarteter Konkurrenz rechnen, so sehen im Gegenzug 69 % selbst Umsatzpotenziale in einer anderen Branche.
