21.11.2023 – Kategorie: IT-Sicherheit
Hosting-Fehler: Aus den Fehlern anderer lernen
Quelle: Plutex GmbHKommunikation und Kollaboration im Unternehmen müssen heutzutage jederzeit und von überall möglich sein.
Kein Wunder, dass Cloud-Lösungen immer gefragter werden. Trotz dieses zeitgemäßen Ansatzes begehen Organisationen immer wieder die gleichen Hosting-Fehler, die sich jedoch im Vorfeld vermeiden lassen.
Hosting-Fehler 1: Nur Funktionen im Blick, nicht das Hosting
Bei der Auswahl geeigneter Kommunikations- und Kollaborations-Tools haben viele Organisationen nur die Funktionen im Blick, ignorieren aber, dass es auch essenzielle Anforderungen an das Hosting gibt. So verführerisch die Funktionalität sein mag – bei einer Cloud-Lösung ist sie von den konkreten Hosting-Bedingungen nicht zu trennen. Wollen Unternehmen keine bösen Überraschungen durch Hosting-Fehler erleben, müssen sie wichtige Fragen im Vorfeld klären. Wo ist der Standort der Cloud-Rechenzentren des Anbieters? Wie sieht es mit Betriebssicherheit und Verfügbarkeit aus?
Wie gut ist das Rechenzentrum abgesichert – etwa gegen unautorisierten Zugang, gegen Manipulationen von innen und außen oder gegen physische Gefahren? Weil das hostende Rechenzentrum für die Cloud-Lösung solch eine herausragende Bedeutung hat, kann eine Zertifizierung ein wichtiges Auswahlkriterium sein. Relevant sind hier ISO 9001 und ISO 27001 oder eben auch IT-Grundschutz und Cloud Computing C5. Ebenso sollte eine Organisation initial klären, welche Hosting-Modelle für die Kommunikationslösung überhaupt zur Verfügung stehen: Public Cloud, Private Cloud, Multi Cloud, Hybrid Cloud oder On-Premises.
Fehler 2: Cloud-Provider sind doch (nicht) alle gleich
Viele Tools und Kommunikationslösungen, die heute im Unternehmensalltag zum Einsatz kommen, basieren auf den Angeboten großer US-amerikanischer Cloud-Provider. Für deutsche Unternehmen ist die Nutzung etwa von Azure oder AWS allerdings problematisch. Denn es gibt bis dato keine Rechtgrundlage, auf deren Basis personenbezogene Daten – beispielsweise Name, Standort und Kontaktinformationen der kommunizierenden Personen – in den USA oder von US-Unternehmen verarbeitet werden könnten. Solch ein transatlantischer Datentransfer wäre nach Artikel 44 DSGVO nur zulässig, wenn die USA als Drittland ein angemessenes Datenschutzniveau vorweisen könnten – oder ein Angemessenheitsbeschluss nach Artikel 45 DSGVO vorläge. Beides ist nicht mehr gegeben, seit der Europäische Gerichtshof (EuGH) 2020 das Privacy Shield-Abkommen für ungültig erklärt hat. Bei vielen Public-Cloud-Lösungen besteht prinzipiell die Gefahr eines Datentransfers in die USA oder in andere datenschutzrechtlich „unsichere“ Drittländer. Unabhängig von etwaigen gesetzlichen Entwicklungen ist es ratsam, Software-Anbieter und Cloud-Provider mit Sitz in der EU zu wählen.
Hosting.Fehler 3: Ausfallsicherheit ist doch kein Problem
Gerade wenn es um die mobile Kommunikation und ortsübergreifende Kollaboration in der eigenen Organisation geht, wird digitale Resilienz unerlässlich, wodurch Aspekte wie Ausfallsicherheit und Verfügbarkeit an Bedeutung gewinnen. Selbst wenn bestimmte Dienste einer Organisation bei den Hyperscalern betrieben werden, sind Alternativen als eine Art Sicherheitsnetz nötig. Denn existiert nur eine Kommunikationslösung in einer einzigen Cloud-Umgebung, lassen sich bei deren Ausfall, ganz gleich ob durch höhere Gewalt, menschliches Fehlverhalten oder gezielte Attacken, wichtige Prozesse des Unternehmens – wie die interne Kommunikation – nicht mehr aufrechterhalten. Dies dürfte der weltweite, wenn auch nur punktuelle M365-Ausfall Ende Januar vielen verdeutlicht haben. Darum ist für eine Organisation eine gewisse Redundanz sinnvoll: in Gestalt eines sekundären, entkoppelten Kommunikationskanals in einer separaten Cloud-Umgebung. So können Unternehmen auch in Krisensituationen oder im Fall von Cyberattacken ihre Kommunikations- bzw. Kollaborations-Lösung nutzen und handlungsfähig bleiben.
Fehler 4: Vendor Lock-in statt Datensouveränität
Sich auf einen einzigen Anbieter zu konzentrieren, ist für Unternehmen nicht nur wegen der fehlenden Resilienz in Krisensituationen problematisch, sondern auch aus der Perspektive einer stark eingeschränkten Datensouveränität. Auf eine einzige Lösung zu setzen, bedeutet für ein Unternehmen unweigerlich, dass es sich in eine gefährliche Abhängigkeit von einem einzigen Anbieter begibt. Die absolute Kontrolle und die vollständige Verfügungsgewalt über die eigenen Daten hat eine Organisation dann jedenfalls nicht mehr. Auch wirtschaftlich bringt solch ein selbstgewähltes Vendor Lockin für ein Unternehmen hauptsächlich Nachteile. Meist besteht die weit bessere Strategie darin, die Risken zu splitten und die Kommunikationslösungen zu diversifizieren – um die Datensouveränität stets zu bewahren.
Hosting-Fehler 5: Wir sind für Cyberkriminelle doch uninteressant
Auch der jüngste Lagebericht des BSI belegt: Die Zahl von Hackerangriffen und von Vorfällen, die die Cybersicherheit gefährden, vervielfacht sich. Dennoch mangelt es in vielen Organisationen noch an dem Bewusstsein, dass die eigenen IT-Lösungen ins Visier von Cyberkriminellen geraten könnten. Dabei streuen Kriminelle mit wirtschaftlichen Interessen ihre Angriffe meist maximal breit und warten einfach ab, wo sie Erfolg haben. Es lohnt darum, einen Zero-Trust-Ansatz zu verfolgen und somit Hosting-Fehler zu vermeiden. Dessen Prämisse: Kein Zugriff durch ein Tool, eine Plattform, oder einen Nutzer ist sicher.
Deshalb werden jeder Zugriff und jede Anfrage an das eigene System so geprüft, als kämen sie aus einem offen zugänglichen Netzwerk. Jeder Zugriff wird also vollständig authentifiziert, autorisiert und verschlüsselt. Auch Identität und Endgerät werden jedes Mal geprüft. Umfassende Business Intelligence (BI) und Analytics erkennen Anomalien zudem in Echtzeit und wehren sie ab. Ein konsequent umgesetztes Zero-Trust-Modell macht es für Cyberkriminelle viel schwerer, die Kommunikationslösung einer Organisation als Einfallstor zu nutzen.
Fazit: Gute Kommunikation braucht sicheres Hosting
Die Kommunikationslösung einer Organisation muss sicher, verfügbar, resilient und rechtlich unbedenklich sein. All dies zwingt Unternehmen, bei der Wahl ihrer cloudbasierten Kommunikations- und Kollaborationslösung nicht nur funktionale Kriterien heranzuziehen, sondern auch die Modalitäten des Hostings genau abzuwägen. Es wird Zeit, aus den Fehlern anderer zu lernen und es besser zu machen.
Der Autor Tobias Stepan ist Gründer und Geschäftsführer der Teamwire GmbH.
Lesen Sie auch: Zero Trust: Fünf Schritte zur erfolgreichen Einführung der Architektur
Teilen Sie die Meldung „Hosting-Fehler: Aus den Fehlern anderer lernen“ mit Ihren Kontakten:
