Der von Unternehmen gezeigte Pragmatismus und die Lösungsorientierung sind grundlegend positiv zu bewerten. Schließlich wurde durch den schnellen Wechsel auf Heimarbeit in vielen Fällen die Geschäftstätigkeit aufrechterhalten. Allerdings wurden häufig wichtige Fragen im Kontext der IT- und Informationssicherheit erst einmal hintenangestellt.

Die Folgen machen sich bemerkbar. Für den Report „The Critical Convergence of IT and OT Security in a Global Crisis“ wurde eine Umfrage unter 1.100 IT-Sicherheitsexperten durchgeführt. Diese brachte zutage, dass sich seit der COVID-19-Pandemie mehr als die Hälfte (56-%) der Industrieunternehmen größeren Cyber-Risiken ausgesetzt sehen. Der Wert in der DACH-Region liegt mit 75% sogar deutlich darüber. Das Thema gewinnt allerdings nicht erst seit der Pandemie an Relevanz. Das Bundeskriminalamt BKA verzeichnete im Jahr 2019 mit 100.514 Fällen einen Anstieg von 15% im Bereich Cyberkriminalität. Der Branchenverband BITKOM schätzt, dass der Wirtschaft 2019 somit ein Schaden von über 100 Milliarden Euro allein durch Cyberangriffe entstanden sei.

Cloud-Computing als Antwort auf die dezentrale Home-Office Strukturen

Die Rechenzentren der Cloud-Anbieter erfüllen sehr hohe technologische Standards. Diese sind gerade für kleine- und mittelständische Unternehmen schwer zu erreichen. In diesen Bereichen kann Cloud-Computing eine passende Antwort auf die Herausforderungen dezentraler Home-Office Strukturen sein. Der Datenverkehr wird durch moderne Firewalls geschützt. Einige Provider bieten eine direkte Verschlüsselung gespeicherter Daten an, andere nutzen künstliche Intelligenz zur Identifikation neuer Hacker-Methoden.

Als positives Beispiel ist die Deutsche Bahn zu nennen. Das Unternehmen hat seine eigenen Rechenzentren aufgegeben und ihre IT komplett in die Cloud von Amazon und Microsoft verlegt. Dabei setzt das Unternehmen auf Verschlüsselung, wobei nur die Bahn selber Zugriff auf die Schlüssel hat, nicht aber die amerikanischen Cloud-Provider. Insbesondere die Public Cloud galt mit Blick auf die IT-Sicherheit und den Datenschutz lange Zeit als riskante Option. Das Vertrauen ist jedoch stark gestiegen. So gaben im Rahmen einer aktuellen Lünendonk-Studie 55% der IT-Verantwortlichen die höheren Sicherheitsstandards als einen Hauptgrund für den „Gang in die Wolke“ an.

Identitätsmanagement – Zugriffskontrolle werden immer wichtiger

Die Infrastruktur-Seite ist ein wichtiger, aber bei Weitem nicht der einzige Aspekt zur Erreichung eines hohen Sicherheitsniveaus. Im Kontext der Cloud kann von „überall“ auf Daten zugegriffen werden. Umso wichtiger ist es zu regeln, wer und in welchem Zeitraum Zugriff auf bestimmte Ressourcen bekommt. Disziplinen wie das Identity Access Management gewinnen somit im Cloud-Zeitalter noch mehr an Bedeutung.  In der ISO/IEC 27000-Reihe zur Informationssicherheit wurde 2015 mit der ISO/IEC 27017 ein Standard veröffentlicht, der Anleitung zu den Informationssicherheitsaspekten von Cloud Computing bietet.

Hier sind insbesondere die Informationssicherheitsbeauftragten gefragt, als zentrale Einheit für die Wahrung und Einhaltung der Anforderungen an die Informationssicherheit. Herausforderung hierbei ist, diese Anforderungen effizient und skalierbar in Form von definierten Prozessen und Vorgaben umzusetzen und zu überwachen. Allerdings sollte auch jeder einzelne Mitarbeiter gegenüber Cyber-Risiken sensibilisiert werden. Die Entwicklung einer Informationssicherheitsstrategie, die den Mitarbeiter in Form einer effektiven Awareness-Kampagne mit einbezieht, ist demnach zu empfehlen. Eine Strategie, die es einer Organisation erlaubt sich nicht nur funktional, sondern auch sicher in einer veränderten Arbeitswelt zu bewegen.