Schutz der IT-Systeme vor Angriffen und Zerstörung

Kriminelle Hacker suchen für ihre Angriffe gezielt nach Schwachstellen in den IT-Strukturen – und sehr häufig finden sie die bei den Unternehmen, die bemüht sind alle Systeme aus eigener Kraft zu administrieren und zu schützen. Bei vielen dieser Organisationen stehen der Aufwand für Technologie und die Zahl der Mitarbeiter einerseits und das Know-how und die Aggressivität der Angreifer in einem krassen Missverhältnis.

Dagegen ist es eine der Kernkompetenzen von Cloud-Anbietern Angriffe zu verhindern. Mit enormem Aufwand sichern die SaaS-Anbieter ihre Rechenzentren. Technologisch beispielsweise mit teilweise stündlich aktualisierter Sicherheitssoftware, deren Verbesserungen auf der ständigen Analyse der Angriffe auf die Infrastrukturen beruhen.

Darüber hinaus gewährleisten sie durch den Betrieb von gespiegelten Rechenzenten redundante Sicherheitskonzepte, sowie mit Brandschutztüren und Zutrittskontrollen umfassende Gebäudesicherheit. Weiterhin offerieren sie zusätzlich zu diesen Standards ihren Kunden alle denkbaren zusätzlichen Securityanwendungen und Complianceangebote als Software-Service. Auf diese Weise bieten sie den IT-Leitern ein hohes Maß sowohl an IT-Security und wie auch an Betriebssicherheit, das für viele IT-Abteilungen aus dem eigenem Know-how heraus kaum realisierbar ist.

Denn bei den großen SaaS-Anbietern analysieren tausende Mitarbeiter rund um den Globus die Rechenzentren und halten die Anwendungen sicher. Erkennen sie Schwachstellen etwa in E-Mail-Systemen, werden diese sofort und gleichzeitig rund um die Erde geschlossen. Die SaaS-Kunden verlassen sich darauf, dass alle angebotenen Leistungen jeder Zeit nicht nur auf dem aktuellen Stand sind, sondern auch mehrfach abgesichert laufen.

Neben den fachübergreifenden Incident Response Teams gehört auch ein Security Operations Center und das Security Information and Event Management zu den Einrichtungen, die die SaaS-Angebote sichern. Auch hier spielt die Sicherheit auf einem Level, das sich viele Unternehmen nicht leisten können – und das für sie in vielen Fällen technisch oder finanziell überhaupt nicht umsetzbar ist.

So ist es kein Wunder, dass den IT-Verantwortlichen eine große Last von den Schultern fällt, wenn sie administrative Aufgaben an die Software-Service-Anbieter delegieren. Sie geben vor allem die Bereiche aus dem Haus, in denen tiefe Technologie- und Detailkenntnisse gefragt sind oder bei denen das Schadensrisiko exorbitant hoch ist.

Allerdings verbleibt die Verantwortung für die Basissicherheit in den IT-Abteilungen. Providern wird typischerweise keine Verantwortung für Standardprozesse wie die Berechtigungsverwaltung eingeräumt. Auch die kontinuierliche Kontrolle und der Überblick über die als Service eingekauften Anwendungen – und hier speziell der Kosten – obliegt weiterhin den internen Spezialisten.