Interview

»Die Wolke ist auch kein Selbstläufer«

Kunden wie auch Mitarbeiter erwarten von Unternehmen passgenaue Webdienste auf der Höhe der Zeit. Doch stellen diese ein neues Einfallstor für Angreifer dar und verkomplizieren zudem die bestehende IT. Carsten Hoffmann, Manager Sales Engineering bei Forcepoint in München, erläutert, worauf es bei der Absicherung von Webdiensten ankommt und welche Rolle die Cloud bei solchen Services spielen kann.
Ein Internetauftritt ist für Firmen heute eine Selbstverständlichkeit, doch gilt es beim Betrieb der entsprechenden Server einiges zu beachten. Im September ... (mehr)

IT-Administrator: Worin liegen typische Herausforderungen für IT-Verantwortliche bei der Absicherung von Webdiensten?

Carsten Hoffmann: Webanwendungen sind nach wie vor ein beliebtes Einfallstor für Cyberkriminelle, um wertvolle Kundendaten von Unternehmen abzugreifen und in Backend-Systeme vorzudringen. Dabei nutzen die Hacker Schwachstellen in der Anwendung selbst oder der Plattform, auf der sie läuft, aus, um Zugang zu erhalten. Genauso gefährlich, aber oftmals unterschätzt wird das Sicherheitsrisiko Schatten-IT. Der Fokus von Unternehmen muss auf der sicheren Nutzung von Webapplikationen liegen. Anwendungen, die aber unterhalb des Radars der IT-Abteilung laufen und damit weder strategisch noch technisch in die Sicherheitskonzepte der Unternehmen eingebunden sind, sind einerseits durch Angriffe von außen sehr verwundbar. Andererseits können die eigenmächtig genutzten Systeme in Hinblick auf Datensicherheit, Datenintegrität und Datenschutz für Unternehmen zu einer großen Compliance-Herausforderung werden.

Welche typsichen Fehler begehen Firmen dabei in der Regel?

Viele Unternehmen berücksichtigen nicht den Kontext: Es macht allerdings einen gewaltigen Unterschied, ob mit einem Webdienst der Kantinenplan für die nächste Woche oder das Angebot für eine kritische Ausschreibung erstellt wird. Auf die Mitarbeiter bezogen macht es ebenfalls einen Unterschied, ob der Vertriebsleiter auf die sensiblen Ausschreibungsunterlagen zugreift oder jemand aus der Personalabteilung. Eine gute Risikobewertungsmethode unterstützt die Bestimmung individueller Schutzziele – also derjenigen Teile eines Systems, die besonders schützenswert sind. Nur so können die spezifischen Anforderungen erfasst werden. Ein pauschaler Ansatz ist dabei nicht möglich: Wenn Unternehmen alles – unabhängig vom Kontext – verbieten, riskieren sie frustrierte Mitarbeiter. Wenn sie allerdings alles erlauben, riskieren sie durch Hackerangriffe und die

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020