Was halten Sie von dedizierten Systemen und Netzen, die Rechenzentrums- anbieter Ihren Kunden anbieten, um eine möglichst hohe Sicherheit zu gewährleisten?
Der Hypervisor als Grundlage für Virtualisierung (und damit auch die meisten Cloud-Umgebungen) stellt eine zusätzliche Angriffsoberfläche. Angriffe die einen Ausbruch aus der virtualisierten Umgebung ermöglichen existieren ebenfalls und werden auch gehandelt. In einer Gesamt-Risikobetrachtung haben die meisten Umgebungen dennoch dringendere Herausforderungen als eine möglichst granulare Aufteilung der Virtualisierungsfarmen. Wenn die dringenderen Risiken jedoch bereits adressiert sind, ist die Verfügbarkeit dedizierter Systeme eine relevante Anforderung, um das Gesamt-Risikoniveau weiter zu senken.
Inzwischen gibt es zahlreiche etablierte Security-Produkte und Firewall-Lösungen von namhaften Herstellen wie Sophos, Palo Alto und Cisco. Eine gute IT-Sicherheitsinfrastruktur setzt auch bei Netzwerken und Switchen an. VMware mit NSX gilt als einer der Pioniere im Bereich Netzwerk Virtualisierung, Stichwort SDN (Software Defined Networking). Welche möglichen Effekte und Vorteile versprechen Sie sich von dieser neuen Technologie? Wie hoch ist bisher der Verbreitungsgrad?
Der Verbreitungsgrad ist noch sehr niedrig, die meisten Umgebungen evaluieren die Technologie jedoch. Den Sicherheitszustand der Lösung an sich können wir noch nicht bewerten, die angebotenen Features können allerdings dazu genutzt werden, Netz-Filterungsmaßnahmen an ein Endsystem und nicht eine bestimmte Netzkomponente zu binden. Diese Bindung an Netzkomponenten führt zu hohen operativen Aufwänden, was mit NSX deutlich reduziert werden könnte. Die Abwägung des Aufwandes für den Betrieb von NSX gegenüber dem Aufwand für die Filterungs-Verwaltung muss dabei individuell getroffen werden.
Gibt es eine Art Benchmark im Sinne von einem empfohlenen Invest bezüglich Cyber Security pro User pro Jahr, mit dem ein mittelständisches Unternehmen ungefähr kalkulieren kann?
Keine uns bekannte zuverlässige Kennzahl die wir empfehlen könnten. Wir raten hierbei zu einer für das Unternehmen individuellen Risiko-Analyse.
Deutschland gilt international als eines der Vorbilder, was den Datenschutz und entsprechende Gesetze und Richtlinien, u.a. KRITIS, angeht. Im Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Was ist neu und welche Herausforderungen entstehen für Unternehmen, um beispielsweise deutlich höhere Bußgelder bei Verstößen zu vermeiden?
Der deutsche Datenschutz stellt bereits hohe Anforderungen an Unternehmen, so dass diese grundsätzlich gut vorbereitet sind. Eine vollständige Betrachtung der Änderungen würde eine deutlich umfangreichere Veröffentlichung erfordern, die grundlegendsten Neuerungen bestehen jedoch in den bereits angesprochenen, zukünftig möglichen Bußgeldern, der Notwendigkeit Data Breaches zu melden und umfassendere Dokumentationspflichten.