Die Erkenntnis, dass mindestens seit Dezember letzten Jahres Schwachstellen in den lokalen Microsoft Exchange Servern in bis dato undenkbarem Umfang von Hackern ausgenutzt wurden, hat viele Unternehmen tief getroffen. Nicht nur die großen, professionellen Hackergruppen waren hier tätig, sondern Kriminelle jeder Art, vom Profiteam bis zum Skript-Kiddy. Und sie alle waren erfolgreich. Überall! Bei großen Konzernen und kleinen Mittelständlern.
In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff |
"Den Exchange modernisieren und zusätzliche Sicherheitsmaßnahmen treffen ist sehr teuer, das können wir uns nicht leisten."
"Wir haben ein Angebot für Microsoft 365 bekommen, in der Microsoft-Cloud wären wir sicher, die war ja nicht betroffen."
"In der Cloud kann das nicht passieren, da kümmert sich ja Microsoft um die Sicherheit."
Die Aussagen der Kunden sind absolut verständlich. Trotzdem raten wir bei yourIT aus der Erfahrung von mehr als 15 Jahren professionellem Datenschutz und fast 20 Jahren Tätigkeit als IT-Systemhaus im Bereich IT- und Informationssicherheit zu einer differenzierteren Sichtweise.
Ja, ein gutes lokales Sicherheitssystem kostet Geld. Aber dieses Geld muss man ins Verhältnis setzen zum Risiko, das dem Unternehmen bei Versagen eines vermeintlich günstigeren Systems droht. In den meisten Fällen wird das Risiko die Existenz des Unternehmens sein.
Ja, laut Microsoft war Exchange Online nicht vom HAFNIUM Angriff betroffen. Aber: Das war nur einer von vielen Hackerangriffen. Auch die kriminelle Seite der IT-"Sicherheit" wird immer professioneller. Analysen von Sicherheitsexperten wie Crowdstrike zeigen, dass hier international aufgestellte Unternehmen agieren, die ihren legalen Couterparts in Bezug auf Strukturen oder technische und personelle Ausrüstung in nichts nachstehen. Der Glaube, in der Cloud (egal welches Anbieters) sei man vor Angriffen automatisch sicher, ist also leider ein Trugschluss.
Ja, Microsoft tut viel dafür, seine Cloud-Anwendungen abzusichern. Sowohl gegen physische Angriffe auf die Rechenzentren wie auch gegen jegliche Form von Cyberkriminalität. Aber zur Sicherheit im digitalen Umfeld gehört auch das lokale Unternehmensnetzwerk. Wer da erfolgreich einbricht hat auch Zugang zum Cloud-Bereich. Wer beispielsweise durch einen Phishing-Angriff Microsoft 365 Zugangsdaten erbeutet, kann sich damit fast immer auch Zugang zum lokalen Netzwerk verschaffen. Das lokale Netzwerk komplett abzutrennen oder gar abzuschaffen ist keine Lösung - es wird für das Funktionieren der Geschäftsprozesse benötigt. Liegt ein Teil der Unternehmensdaten in der Cloud, wird dadurch die lokale Sicherheit nicht weniger wichtig. Im Gegenteil. Und für die lokale Sicherheit ist immer noch das Unternehmens selbst verantwortlich. Microsoft übernimmt das nicht.
Insgesamt bleibt festzuhalten, dass IT-Sicherheit ein zentrales Thema unserer digitalen Zukunft ist und bleibt. Und das es hier keine Standardlösungen out-of-the-Box gibt. Das Sicherheitskonzept muss immer zum Unternehmen passen - technisch wie finanziell. Viele Hersteller bieten theoretisch gute Lösungen an, aber diese sind in der Praxis immer nur so gut wie ihre Umsetzung im Unternehmen. Was nicht passgenau konfiguriert ist und von den Mitarbeitern auch gelebt wird, kann im Unternehmensalltag kaum Wirkung entfalten.
"Wir sind doch hier beim Datenschutzblog der yourIT - was hat das alles mit Datenschutz zu tun?"
Werden sich vermutlich einige von Ihnen Fragen.
Ein Menge. Informationssicherheit - und IT-Sicherheit als die technische Ausprägung hiervon - ist untrennbar mit dem Datenschutz vernetzt. Ein erfolgreicher Hackerangriff zerstört nicht nur die geschäftliche Existenzgrundlage des Unternehmens, es sind immer auch personenbezogene Daten betroffen. Sie gelangen in kriminelle Hände und werden genutzt, um den Betroffenen finanziell zu schaden. Sie werden genutzt, um im Namen der Betroffenen weitere Straftaten zu begehen, die Betroffenen als scheinbare Täter werden öffentlich beschämt und in ihrer privaten wie beruflichen Lebensführung beeinträchtigt. Es werden höchstpersönliche Informationen öffentlich gemacht, Betroffene erpresst oder es gehen ihnen wertvolle Daten verloren. Das alles sind Persönlichkeitsrechtsverletzungen - Datenpannen, für die das gehackte Unternehmen genauso haftet wie für den Verlust oder Missbrauch der nicht-personenbezogenen Unternehmensdaten.
Deshalb hat Informationssicherheit jede Menge mit Datenschutz zu tun. Bei yourIT betrachten wir die beiden Gebiete als Teile eines ganzheitlichen Managementsystems - DSMS und ISMS aus einer Hand. Wenn Sie mehr über unser Managementsystem und unsere Arbeitsweise erfahren wollen - sprechen Sie uns an.
Einen ersten Eindruck von unserer Arbeit bekommen Sie auch in unserer kostenlosen Webinar-Reihe DatenschutzAKTUELL. Im nächsten Termin am kommenden Donnerstag, 21.07.2021, um 11:00 Uhr geht es nochmals um den rechtskonformen Einsatz von Microsoft365.
Wir freuen uns auf Sie!