Interview „Auch KMU können sicherer werden!“

Redakteur: Simone Käfer

Ist Sicherheit in der IT für kleine Unternehmen nur eine Vision? Nein, sagt Gerhard Schlabschi, Cloud-Architekt bei Oracle. Warum er so überzeugt ist, erklärt er im MM-Gespräch.

Gerhard Schlabschi arbeitet als Cloud-Architekt 
bei Oracle-Deutschland.
Gerhard Schlabschi arbeitet als Cloud-Architekt 
bei Oracle-Deutschland.
(Bild: Oracle)

Gibt es eine Lösung, um die IT von KMU sicherer zu machen?

Schlabschi: Erstens was Banales: Es kommt auf den Einzelfall an. Das ist leider so. Aber: Es gibt klare Empfehlungen, die man allen Unternehmen dieser Größe geben kann.

Welche sind das?

Schlabschi: Erstens – und schon bekannt: Die Digitalisierung unserer Unternehmen lässt die Secu­rity-­Herausforderungen seit Jahren exponentiell wachsen. Security-Angriffe sind heute automatisiert, keine Chance, mit manuellen Mitteln dagegenzuhalten. Der Ausweg ist: ebenfalls automatisieren. Das betrifft nicht nur den Bereich Security, sondern alle Bereiche der IT. Denn was bei der IT schief geht – Security, aber auch Systemausfall oder Datenverlust – , liegt zu über 90 Prozent an Bedienungsfehlern. Das Letzte, was ich gerade erlebt habe, ist, dass ein Mitarbeiter mit einem Knopfdruck 145.000 Datensätze gelöscht hat – ungesichert und somit unwiederbringlich. Wer heute als Mitarbeiter immer noch gedankenlos auf Mail-­Anhänge klickt – der sollte einen Offline-Arbeitsplatz in der Kantine zugewiesen kriegen.

Der Mensch ist als Fehlerquelle bekannt. Welche Empfehlungen haben Sie noch?

Schlabschi: Schauen Sie sich Ihr Data-Center an! Ich kenne Unternehmen, die haben Tausende Datenbanken – unterschiedliche Produkte, Versionen, Anwendungen, unterschiedliche Hardware. Die haben sie mal vor vielleicht 20 Jahren aufgesetzt – meist nicht verschlüsselt, nicht gespiegelt, keine SW-Updates. Wenn da ein Hacker einbricht, ist das der Fuchs im Hühnerstall.

Woran liegt dieser immer noch häufige Fehler gerade bei KMU?

Schlabschi: Ganz einfach: Wenn ich ein Unternehmen mit 250 Mann habe, das Radnaben für die Automobilindustrie schmiedet, bin ich als Inhaber meist Techniker oder Kaufmann. Und dann liegt mein Augenmerk nicht bei der IT – denn die ist mittlerweile so komplex geworden, dass keiner mehr durchblickt. Seien wir ehrlich: Die IT und die Möglichkeiten der Hacker sind so komplex geworden – sorry, daran verzweifeln Großkonzerne –, da hat ein KMU einfach kaum mehr die Chance, etwas gegen die Gefahr zu setzen.

Wer heute immer noch gedankenlos auf Mail-Anhänge klickt, sollte einen Offline-Arbeitsplatz in der Kantine zugewiesen kriegen.

Gerhard Schlabschi

Was ist die Schlußfolgerung? Aufgeben?

Schlabschi: Natürlich nicht, geht ja nicht! Der bessere Rat: Datenbanken in die Cloud der jüngsten Generation verlegen und Spezialisten anvertrauen. Was die hausinterne IT nebenbei erledigen soll, dafür beschäftigen Cloud-Anbieter Legionen von Spezialisten. Um Fehler zu vermeiden und maximale Verfügbarkeit zu gewährleisten, wird automatisiert, was möglich ist, auch Security. Denn alles, was automatisiert ist, ist gegen menschliche Fehler immun.

Die Cloud hat bei Mittelständlern immer noch einen zweifelhaften Ruf: „Da gebe ich ja meine Daten außer Haus und damit aus der Hand ...“

Schlabschi: ... und das ist absolut richtig!

Warum?

Schlabschi: Weil ich sie damit aus der Angriffslinie meines eigenen, vielleicht nur mangelhaft gesicherten Rechenzentrums und Netzwerks nehme! In der Vergangenheit war der Weg in die Cloud sehr aufwendig. Viele Cloud-Services der ersten Generation sind nur einfache „managed Services” und bezüglich Sicherheit und Verfügbarkeit vergleichbar mit Outsourcing. Doch mittlerweile gibt es die Cloud 2.0. Sie bietet exklusive Ressourcen und echte Cloud-Services, vor allem auch im Bereich Datenbanken. Die Daten sind damit vor Fremdzugriff geschützt, das Service-Angebot ist automatisiert, Bedienungsfehler damit ausgeschlossen. Vor allem was die Sicherheit betrifft: Der sicherste Platz für Daten ist heute nicht mehr das eigene Rechenzentrum, sondern die Cloud 2.0 mit Rechenzentren in Europa.

Hat sich also in der Cloud-Technik grundlegend etwas geändert?

Schlabschi: Eindeutig ja. Höchste Sicherheit und Verfügbarkeit, mehr Flexibilität, automatisierte Anwendungen in einer Cloud-Umgebung, mehr Unterstützung für Anwender. Zum Beispiel durch Einsatz von KI für Datenbank­analysen – dabei profitieren Nutzer von der Erfahrung des KI-Systems aus Zigtausenden von Anwendungsfällen. Das sind Dinge, die gehen nur in der Cloud, das kann keine IT-Abteilung eines einzelnen Anwenders mehr liefern. Ganz wichtig ist meiner Erfahrung nach: Die meisten Kunden wenden noch nicht einmal elementarste Methoden zur Datenbanksicherheit an. Und gerade darum muss man sich kümmern – manuell ist das nicht machbar mit der üblichen dünnen Personaldecke. In der „Autonomous Cloud”, der Cloud 2.0 unseres Hauses, überwacht daher ein KI-gestütztes System alle Aspekte der Datenbanksicherheit, etwa wer auf die Daten zugreift. Jeder Unregelmäßigkeit wird automatisch nachgegangen, verändertes Nutzerverhalten automatisch überprüft, Angriffe werden erkannt und automatisch abgewehrt. Alle Daten werden automatisch verschlüsselt und gesichert. SW-Sicherheitsupdates werden im laufenden Betrieb ohne Service-Unterbrechung eingespielt. Haushohe Überlegenheit also im Vergleich zu dem, was heute im Rechenzentrum üblich ist, wo IT-Abteilungen heute mit klassischen Methoden im Schnitt gerade mal ein Viertel der kritischen Security Alerts auswerten können.

Wie viel Arbeitsaufwand bedeutet das für ein KMU?

Schlabschi: Um eine autonome Datenbank aufzusetzen, müssen fünf Fragen beantwortet werden, wie: Name, Passwort, Datenmenge ... Dann richtest du in der Autonomous Cloud deine Datenbank ein: Daten laden, Zugriffe organisieren, Verrechnung mit Abteilungen festlegen. Das war's. Alles andere macht die automatisierte SW in der Cloud 2.0. Auch Nutzer, die nicht viel IT-Ahnung haben, können sofort mit diesen Datenbanken arbeiten. Und das mit nie da gewesener Sicherheit!

* Das Interview führte Christoph Fasel. Dr. Christoph Fasel ist Professor für Journalismus und Öffentlichkeitsarbeit sowie freier Mitarbeiter des MM Maschinenmarkt.

(ID:46834089)