Chancen und Risiken der Cloud für das BCM

Die Cloud ist im Moment das Hype-Thema der IT. Als Wundermittel zur Senkung und Flexiblisierung der IT-Leistungen gepriesen, als offenes Datenleck verschrien. Dabei sind Cloud-Lösungen nur die Rückbesinnung auf althergebrachte Host-Lösungen (Sie erinnern sich?) unter Nutzung der aktuellen Technologien zur Speicherung, Verteilung und Präsentation der Daten. Für das BCM ergeben sich aus Cloud-Lösungen Risiken und Chancen. Die Risiken bestehen in einem Ausfall der Cloud. Die großen offenen Cloud-Anbieter wie Amazon, Google und Microsoft waren in jüngerer Zeit bereits von großen und längeren Ausfällen heimgesucht worden. Daten und Anwendungen waren für die Kunden über Stunden nicht mehr verfügbar. Dies betrifft nicht nur die eigenen Anwendungen, sondern häufig Anwendungen von Drittanbietern, von denen nicht einmal bekannt ist, ob und in welcher Cloud sie gehostet sind. Für kritische Daten und Anwendungen gibt es daher die private oder lokale Cloud, die einen (besseren) Datenschutz und die  direkte Steuerung und Kontrolle der Service Provider ermöglicht. Auf der anderen Seite ermöglichen Cloud-basierte Dienste im Notfall schnell die Kapazität und den Zugriff auf IT-Services zu erhöhen, um die Spitzenbelastungen in einem Notfall abzudecken. Ein Beispiel hierfür ist der neue Cloud-Dienst der SITA (Société Internationale de Télécommunications Aéronautiques), der es  Fluggesellschaften und Flughäfen ermöglicht bei Notfällen und Störungen in kürzester Zeit auf Anwendungen, Programme, Prozesse und Daten der zentralen SITA-Rechenzentren zuzugreifen. Dadurch dass keine spezifischen Hardware-Anforderungen für die Nutzung der Anwendungen erforderlich ist, können in kürzester Zeit eine Vielzahl von Mitarbeitern, unabhängig vom Standort und spezifischer Hardware, auf die IT-Services zugreifen.  Die Abrechnung erfolgt auf Basis der tatsächlichen Nutzung, so dass sich die Kosten hierfür in Grenzen halten. Dies ist einer der Beispiele für nutzenstiftende Anwendungen der neuen Cloud-Technologien aus Sicht des BCM.

[cio: Die zehn schlimmsten Cloud-Ausfälle]

Börse Hongkong von Hackern attackiert

Die News-Seite der Börse Hongkong ist von Hackern angegriffen worden. Für sieben Unternehmen wurde daraufhin der Handel unterbrochen. Die Börse hat eine Dark Site geschaltet. Zu den sieben betroffenen Firmen gehören HSBC, Cathay Pacific Airways sowie Hong Kong Exchanges & Clearing. Diese Unternehmen hatten zuvor für den Handel wichtige Informationen veröffentlicht.

[wsj]

US-Geheimdienste greifen auf europäische Google-Daten zu

Dass US-Geheimdienste auf die Daten von Google in den USA zugreifen können dürfte keine Überraschung sein. Laut dem Bericht der Wirtschaftswoche wiwo.de sind aber auch die europäischen Google-Server hiervon nicht ausgenommen. Google habe von US-Geheimdiensten bereits viele solcher Anfragen erhalten, die von Google vor der Ausführung zunächst geprüft würden.

Vorsicht ist also geboten, wenn und welche Daten insbesondere in den Clouds der großen US-amerikanischen Anbietern gespeichert werden. Zudem ist der Kunde von der Verfügbarkeit des Cloud-Dienstleisters und dessen ausfallsicherer Infrastruktur abhängig. Dass die Infrastruktur auch der renommierten Anbieter nicht ausfallsicher ist, zeigen diese Beispiele.

Hacker zu 12 Jahren Haft verurteilt

Ein Gericht in Kalifornien hat einen Hacker zu 12 Jahren Gefängnis verurteilt. Der 34-jährige Hacker hatte in einer Phishing-Attacke die Bankdaten von 38.000  Kunden abgefischt und die Daten dann weiterverkauft. Mit der hohen Haftstrafe wurde ein deutliches abschreckendes Signal an die Cyber-Kriminellen gegeben, die bei diesen Delikten mit einer hohen Haftstrafe rechnen müssen. Aus ökonomischer Sicht zwingt dies die Hacker jedoch dazu, groß angelegte Hacker-Attacken mit entsprechenden Gewinnspannen durchzuführen, damit sich das Risiko noch lohnt. Nur ein paar Unprofessionelle werden jetzt vielleicht die Finger davon lassen.

[bankinfosecurity.com]

Sicherheitsunternehmen RSA tauscht nach Hackerangriff weltweit Secure-ID Tokens aus

Bei einem Angriff von Hackern auf das Sicherheitsunternehmen RSA im März diesen Jahres wurden offenbar sicherheitsrelevante Informationen zu dem Secure-ID Sicherheitssystem auf Basis von Tokens erbeutet. Diese Informationen wurden dann vermutlich bei einem Angriff auf den Rüstungskonzern Lockheed Martin genutzt.

RSA bietet als Reaktion auf diese mögliche Sicherheitslücke nun seinen weltweit 40 Millionen Nutzern den Austausch der Secure-Tokens an. Viele staatliche Unternehmen, Rüstungskonzerne sowie Prüfungs- und Beratungsunternehmen nutzen das Sicherheitssystem von RSA.

[RSA, Spiegel online]

Planungshilfe und Leitfaden für Betriebssichere Rechenzentren vom BITKOM

BITKOM, der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V., hat einen Leitfaden und eine Planungshilfematrix für betriebssichere Rechenzentren zum kostenlosen Download auf der Webseite zur Verfügung gestellt.

Die Planungshilfe für betriebssichere Rechenzentren ermöglicht einen schnellen Überblick über die Maßnahmen, die zur Gewährleistung einer gewünschten Verfügbarkeitsklasse ergriffen werden müssen. Eine Einteilung in 4 Kategorien erleichtert die Zuordnung und Einschätzung des eigenen Rechenzentrums.

Der BITKOM-Leitfaden „Betriebssichere Rechenzentren” bietet detaillierte Hilfestellung bei der Planung und Implementierung von Rechenzentren. In kompakter Form werden die Themen Verfügbarkeit, IT-Infrastruktur, Energieversorung, Klimatisierung und Brandschutz. Die englische Fassung des Leitfadens steht Ihnen ebenfalls als Download zur Verfügung.

Quelle: BITKOM

Kostenloser Pocketguide “IT-Sicherheit für kleine und mittlere Unternehmen”

IT-Sicherheit ist nicht nur etwas für Großunternehmen. Im Gegenteil, Ausfälle,  Schäden und Betriebsunterbrechungen können kleine und mittelständische Unternehmen wesentlich schneller existentiell gefährden als Großunternehmen.

Für die Zielgruppe der kleinen und mittelständischen Unternehmen hat der Verein Deutschland sicher im Netz e.V. (DSiN) daher den kostenlosen Pocketguide „IT-Sicherheit für kleine und mittlere Unternehmen“ herausgegeben.

Das Thema Business Continuity Management kommt in diesem Pocketguide etwas kurz, aber dafür gibt es ja auch noch den BSI 100-4 als sinnvolle und ebenfalls kostenfreie Ergänzung.

Der Pocketguide kann kostenfrei auf der Webseite des DSiN e.V. heruntergeladen werden.

Durchschnittlich 14 Stunden IT-Ausfall pro Jahr

Auf das Jahr gesehen haben deutsche Unternehmen eine durchschnittliche Ausfallzeit von 14 Stunden für kritische IT-Systeme. Der durchschnittliche Schaden beträgt laut Angaben der 202 befragten deutschen IT-Chefs rund 400.000 Euro. Dies ist das Ergebnis einer Studie von ca Technologies, über die das cio-Magazin berichtet.

Der Gesamtschaden beläuft sich nach diesen Berechnungen für Deutschland auf vier Milliarden Euro, europaweit sind dies sogar 17 Milliarden Euro. Bei den Schäden nimmt Deutschland in Europa eine Spitzenposition nach Frankreich ein.

Die längsten Ausfälle haben Unternehmen des öffentlichen Sektors, die geringsten Systemausfälle sind in der Industrie. Deutsche Unternehmen erleiden durchschnittlich zwei IT-Ausfälle pro Jahr.

Link zur vollständigen Studie von ca

Neuer Blog zur IT-Sicherheit: SecTank

Das IT-Security Blog SecTank ist ein neuer Blog, der über aktuelle Themen der IT-Sicherheit berichtet und auf den ich gerne aufmerksam machen will. Viel Spaß bei der Lektüre.

Aus der Vorstellung der Autoren:

Einer für alle. Alle für einen. Alle für Sie. SecTank ist ein Autoren- und Sicherheits-Spezialistenteam, das schon länger zusammenarbeitet. Wir möchten mit SecTank hauptsächlich die interaktive Kommunikation mit Ihnen. Wir werden interessante Berichte für Sie einstellen, die aktuelle Themen der Spezialgebiete unserer Autoren am Puls der Zeit behandeln. Wir möchten aufmerksam machen, Awareness schaffen, Trends festlegen, beraten und informieren. Manchmal möchten wir auch provozieren.

BS 25999 Documentation Toolkit

Von der Information Security & Business Continuity Academy IS&BCA wird auf deren Webseiten ein BS 25999 Documentation Toolkit angeboten.D ie Templatesammlung soll alle für BS 25999 erforderlichen Dokumentationen abdecken. Die Templates sind einzeln oder im Paket erhältlich. Die Templates sind für kleine und mittlere Unternehmen gedacht und in Englisch erhältlich. Auch für ISO 27001 wird ein Documentation Toolkit angeboten. Wer Erfahrungen mit der Qualität dieser oder vergleichbarer käufllicher Templates hat, mag dies bitte hier kommentieren. Zu Inhalten und Qualität des Angebots kann ich Nichts sagen.