Thought Leadership
Peter Sakal hat einen Master in Computer Science und arbeitet seit Ă¼ber 20 Jahren im Bereich Cybersecurity. Seit drei Jahren ist er Manager fĂ¼r Cybersecurity & Dataprotection bei der TĂœV SĂœD Akademie. Mit seiner tiefgreifenden Expertise konnte er uns interessante Einblicke darĂ¼ber geben, wie Unternehmen die Herausforderungen, die mit einer Cloud-Lösung einhergehen, meistern können.
Wieso ist die Cloud so wichtig fĂ¼r Unternehmen?
Peter Sakal: Mithilfe der Cloud können innovative Geschäftsmodelle entwickelt werden, welche mithilfe von moderner IT-Infrastruktur agiler und skalierbarer denn je sind. Dennoch birgt die Cloud neue Risiken. Ihre Nutzung erfordert technische und organisatorische Veränderungen in nahezu allen Bereichen des Unternehmens. Informationssicherheits-, Compliance- und DatenschutzmaĂŸnahmen mĂ¼ssen entsprechend ergänzt und angepasst werden.
Wie können sich Unternehmen vor diesen Gefahren schĂ¼tzen?
Peter Sakal: Indem Sie einen CISO mit dieser Aufgabe betrauen. Die Rolle des CISO hat in den letzten Jahren massiv an Bedeutung gewonnen. Einem Angreifer reicht eine einzige Schwachstelle, um erfolgreich zu sein. Der CISO und sein Team mĂ¼ssen eine 360-Grad-Sicht einnehmen, um ein konstant hohes Sicherheitsniveau auf allen Ebenen der Organisation zu gewährleisten. Nur mit einer umfassenden Strategie lassen sich IT-Ausfälle, Cyber-Attacken, VerstĂ¶ĂŸe gegen Datenschutzbestimmungen oder finanzielle Verluste durch BuĂŸgelder und Rufschäden vermeiden.
Erfolgreiche Cloud-Security ist das Ergebnis eines andauernden Prozesses.
Peter Sakal, TĂœV SĂœD
Ein wichtiger Bestandteil dieser Strategie ist die Risikobewertung zur ErfĂ¼llung von Compliance-Anforderungen (beispielsweise Datenschutz, IT-Sicherheitsgesetz, Telemedien-/ Urheberrechtsgesetz) und Informationssicherheitsanforderungen (BSI-Grundschutz und dieISO/IEC 27000 Serie). Der Plan-Do-Check-Act-Zyklus (siehe Grafik) bildet die Grundlage des gesamten Prozesses. Compliance-Anforderungen und Risiken in der Cloud sind dabei auf verschiedene Ebenen zu beachten:
- Gesetze im Land der Cloud-Betreiber, mit Einwirkung auf die Daten (auch auf EU-Servern).
- DatenverfĂ¼gbarkeit hängt allein vom Cloud-Provider ab.
- Angriffsfläche bei Cloud-Strukturen ist häufig grĂ¶ĂŸer als On-Premises, Cyberrisiken wie Ransomware nehmen rasant zu.
- Datenlöschung in der Cloud ist häufig intransparent.
- Erhöhtes Risiko fĂ¼r RegelverstĂ¶ĂŸe, da Mitarbeitern häufig unklar ist, welche Daten wo gespeichert werden.
Welche LĂ¼cke sehen sie in den aktuellen Security-Strategien der Unternehmen?
Peter Sakal: Ein wichtiges aber oft unterschätztes Element der Cyber-Resilience sind Schulungen. Um Mitarbeitenden die Themen beizubringen, die – an den Arbeitsalltag angepasstes – Wissen vermitteln, mĂ¼ssen spezielle Lernstrategien eingesetzt werden. Unterschiedliche Schulungsformate tragen dazu bei, dass Mitarbeitende die Inhalte gemĂ¤ĂŸ ihres persönlichen Lerntypus verinnerlichen und auch anwenden können. Erfolgreiche Cloud-Security ist das Ergebnis eines andauernden Prozesses. Unternehmen, die sich dessen bewusst sind, können die Chancen der Cloud umso besser nutzen.
Herr Sakal, wir danken fĂ¼r das Gespräch.
