Digitale Souveränität für Unternehmen
Auf der CeBIT 2014 gab Fujitsu erstmals Einblicke in das groß angelegte Forschungs- und Entwicklungsprojekt „Digitale Souveränität“. Der umfassende Ansatz des Projektes soll für ein bislang unerreichtes Sicherheitsniveau sorgen. Mittelfristiges Ziel ist die Bereitstellung einer vollständig gekapselten, hochsicheren Anwendungsumgebung, die weitgehend auf bisherigen IT-Infrastrukturen betrieben werden kann.
Thorsten Höhnke, Head of Security Strategy, Fujitsu Technology Solutions GmbH und Referent auf der 6.Cloud-Konferenz zum Thema Digitale Souveränität und was kleine und mittelständische Unternehmen tun können, um ihre digitale Souveränität zu bewahren.
Herr Höhnke, Sie sind bei der 6. Cloud-Konferenz Referent zum Thema Digitale Souveränität. Welche Bedeutung hat dieses Thema für Fujitsu bzw. welche Rolle spielt es?
Der Schutz von IT-Infrastrukturen und Daten vor unberechtigten Zugriffen ist für Fujitsu ein sehr wichtiges Thema. Schließlich kann die zunehmende Vernetzung von Technologien, Menschen und Infrastrukturen nur dann neue Mehrwerte für Wirtschaft und Gesellschaft hervorbringen und zu der von Fujitsu propagierten „Human Centric Society“ führen, wenn die damit verbundenen Sicherheitsrisiken beherrscht und sensible Daten zuverlässig geschützt werden. Angesicht der Vielzahl von Bedrohungen und möglichen Angriffspunkten in vernetzten Infrastrukturen stoßen herkömmliche Sicherheitskonzepte jedoch an ihre Grenzen bzw. sind nicht mehr mit vertretbarem Aufwand zu administrieren. Gefragt sind gänzlich neue Ansätze. Fujitsu hat daher im Rahmen seines Forschungs- und Entwicklungsprogramms „Digitale Souveränität“ ein vollkommen neues Konzept entwickelt.
Wo liegen aus Ihrer Sicht die häufigsten Angriffspunkte bei der IT-Infrastruktur?
Einfallstore gibt es einerseits durch Sicherheitslücken in den Technologien und andererseits aufgrund von unautorisierten Zugriffen durch die Anwender oder das IT-Personal. Bekannt sind zum Beispiel die Zugriffe auf schlecht oder gar nicht geschützte WLAN-Verbindungen. Weniger bekannt ist hingegen, dass versteckte und verzahnte Prozesse in den Betriebssystemen Funktionen ausführen, die der Nutzer weder einsehen noch beeinflussen kann. Ein Beispiel: Hardware für die Gestensteuerung kann auch 3D-Bilder der sichtbaren Umgebung erzeugen – ohne das Wissen des Nutzers.
Welche Möglichkeiten gibt es, sich gegen solche elektronischen Angriffe bzw. Cyber-Angriffe zu schützen?
Die klassischen IT-Sicherheitskonzepte bestehen aus einer Vielzahl von Einzelmaßnahmen wie Virenscanner, Firewalls und Passwörter. Diese Maßnahmen sind in erster Linie darauf ausgelegt, beim Wettlauf mit den Hackern, Malware-Programmierern und IT-Kriminellen mithalten zu können und noch schneller möglichst viele Sicherheitslücken zu schließen. Fujitsu geht hier einen ganz anderen Weg. Im Rahmen unserer Vision Digitale Souveränität haben wir zum Beispiel eine digitale Tarnkappe entwickelt, mit deren Hilfe Rechenzentren mit herkömmlichen Methoden nicht mehr gefunden werden können. Bei der Zugangskontrolle gehen wir ebenfalls neue Wege: Anstatt mit Passwörtern arbeitet unsere Sicherheitstechnologie PalmSecure mit einer Erkennung des Handvenenmusters. Dadurch wird sichergestellt, dass nur autorisierte Personen Zugriff auf sensible Anwendungen und Daten erhalten.
Wie sollten sich Ihrer Meinung nach kleine bzw. mittelständische Unternehmen aufstellen, um ihre digitale Souveränität zu bewahren?
Um den Aufwand für Sicherheit nicht ins Unermessliche zu treiben, sollte zunächst die grundlegende Frage nach dem Schutzbedarf einzelner IT-Systeme und Daten gestellt werden. Darauf aufbauend gilt es dann, ein praktikables und mehrstufiges Sicherheitskonzept zu entwickeln. Für kleine Unternehmen, die dieses Know-how nicht im eigenen Haus haben, empfiehlt sich die Zusammenarbeit mit einem kompetenten Partner. Daher setzen wir bei Fujitsu stark auf die enge Kooperation mit Fachhändlern und Systemhäusern.
Auch der Bezug von IT „aus der Wolke“ kann für kleinere und mittlere Unternehmen sinnvoll sein, wenn der Cloud-Betreiber ein schlüssiges und effektives Sicherheitskonzept im Einsatz hat. Bei der Nutzung von Cloud Services gilt es daher kritisch zu prüfen, bei wem und wo die Daten tatsächlich liegen und wie der Datenschutz geregelt ist. Hierbei gibt es – nicht zuletzt im internationalen Vergleich – massive Unterschiede.
Vielen Dank, Herr Höhnke.