IT-Sicherheit im Ingenieurbüro: per Cloud die Herausforderungen meistern
Cyberangriffe betreffen nur große Konzerne und staatliche Institutionen? Kleinere Unternehmen sind es nicht wert, gehackt zu werden? Die Antwortet lautet (leider): Nein! Die in 31 Ländern durchgeführte Sophos Studie The State of Ransomware 20221 ergab etwa, dass 2021 zwei Drittel aller Unternehmen einer Ransomware-Attacke zum Opfer gefallen sind. Und damit eine signifikante Bedrohungserhöhung gegenüber 2020 zutage kam.
Durchschnittlich wurden 812.360 $ Lösegeld für die Entschlüsselung sensibler Daten erpresst. Cyberkriminelle scheinen außerdem keinen Unterschied zu machen zwischen großen oder kleinen Organisationen, sondern wissen vielmehr, wo wie viel zu holen ist.
Da die Bedeutung digitaler Infrastruktur in allen Branchen zunimmt, müssen sich auch Ingenieurbüros mit der Frage beschäftigen, wie sie sich vor der Bedrohung schützen und eine zuverlässige IT-Security etablieren können.
Warum IT-Sicherheit in Planungsbüros so wichtig ist
Jedes Ingenieurbüro verarbeitet tagtäglich sensible Daten, etwa bei der Ressourcenplanung oder Angebotserstellung. Überall dort, wo Daten ausgetauscht werden, besteht zugleich die Gefahr, dass unbefugte Dritte sich Zugriff verschaffen und Schaden in Form von Verschlüsselung, Datendiebstahl oder Unternehmensspionage anrichten.
Am Modern Workplace nimmt dieses Risiko aufgrund von ortsunabhängigem Arbeiten und Konzepten wie BYOD (Bring Your Own Device) noch zu. Die umfängliche Sicherung aller Geräte stellt Ingenieurbüros vor gewisse Herausforderungen aufgrund des administrativen und kostspieligen Aufwands.
Datenschutz ist von höchster Bedeutung
Zugleich stellt die DSGVO hohe Anforderungen an den Umgang mit Kundendaten, wie etwa die Aufbewahrungspflicht aller Projektdaten. Sie verpflichtet Unternehmen außerdem zu aufwändigen Maßnahmen, die den Datenschutz zu jedem Zeitpunkt sicherstellen. Bei nachweislichem Verstoß, der zu einem erfolgreichen Cyberangriff geführt hat, drohen empfindliche Strafen.
Die Bedeutung von Daten für zukünftige Geschäftsmodelle und moderne Formen virtueller Zusammenarbeit werden weiter zunehmen. Dabei wächst auch die Notwendigkeit eines tragfähigen Konzepts für die IT-Sicherheit, denn die potenziellen Folgen eines Datendiebstahls oder -verlustes können existenziell sein: beschädigtes Vertrauensverhältnis zu Kunden und evtl. irreparables Image der Unternehmensmarke in der Öffentlichkeit.
Die Herausforderungen für Ingenieurbüros
-
Unternehmen jeder Größe stellen ein potenzielles Ziel dar:
Trotz der Bedrohungslage wähnen sich kleinere Ingenieurbüros in trügerischer Sicherheit: “Wie sollte ein Cyberkrimineller ausgerechnet auf unser kleines Unternehmen aufmerksam werden - es gibt doch viel interessantere Ziele?”. -
Cyberkriminalität läuft systematisch ab:
Moderne Cyberkriminelle haben es selten auf ein Unternehmen abgesehen. Stattdessen arbeiten Sie systematisch Listen aus dem Darknet ab oder werfen wie Fischer ein Netz aus und verbreiten Ransomware - Schadsoftware, die den betroffenen PC sperrt und den Nutzer auffordert, Geld an eine anonyme Zahlungsadresse zu schicken. -
Fehlende Ressourcen erschweren die Entwicklung tragfähiger Konzepte:
Ingenieurbüros, die das Thema IT-Sicherheit angehen wollen, sind in der Umsetzung mit zahlreichen Herausforderungen konfrontiert. Ihnen fehlen ausgebildete Spezialisten, die ein Konzept für die IT-Sicherheit erarbeiten könnten. Gibt es IT-Verantwortliche, erfüllen sie diese Funktion meistens zusätzlich zu ihrem Hauptaufgabengebiet. Sie besitzen keine spezielle Ausbildung, um die komplexer werdenden Anforderungen an die IT-Sicherheit zu bewältigen. Hinzu kommen knappe Budgets, die den Handlungsspielraum weiter einschränken. -
Die Wahl des passenden IT-Anbieters fällt schwer:
Auch das Auslagern der IT-Security an spezialisierte Anbieter gestaltet sich schwierig. Der Markt ist kaum überschaubar. Ohne tiefgreifende Fachkenntnisse lassen sich Angebote nicht bewerten und vergleichen. -
Der Mensch zählt weiterhin zu den größten Sicherheitslücken:
Die ausgefeiltesten Sicherheitskonzepte greifen nur dann, wenn Sie von der gesamten Belegschaft verinnerlicht und angewendet werden. Bis heute ist dieses Sicherheitsbewusstsein unter Arbeitnehmern nicht sehr ausgeprägt, wie beispielsweise die beliebtesten Passwörter der Deutschen zeigen: 123456, password, 123456789. -
Die fortschreitende Digitalisierung schafft neue Datenlecks:
Remote Work und Workations sind durchaus vorteilhaft, bringen jedoch aufgrund unsicherer Netze oder unbefugten Zugriffsmöglichkeiten auf die Geräte der Mitarbeiter auch zahlreiche neue Sicherheitslecks mit sich. -
Mangelhafte Datensicherungskonzepte bergen verheerende Risiken:
Gerade in kleinen und mittelgroßen Unternehmen fehlen bis dato verlässliche Datensicherungskonzepte, sodass unregelmäßige Backups und Datenspeicherung in einem lokalen Serverraum an der Tagesordnung sind. Nach einem Brand oder Cyberangriff wären die aktuellen Daten beschädigt beziehungsweise verloren.
IT-Sicherheitstipps für Ingenieurbüros
IT-Sicherheit im Ingenieurbüro ist ein Marathon und kein Sprint. Aber mit dem Aufbau einer Cloud-basierten Infrastruktur können auch kleine Ingenieurbüros einen langen Atem beweisen.
-
IT-Outsourcing:
Statt die gesamte IT-Kompetenz ins Unternehmen zu holen, lohnt sich ein Blick auf die Managed Services des IT-Providers Ihres Vertrauens. Dank individuell passender Pakete greifen Sie auf ein breites Fachwissen zu, bei sehr überzeugenden Preisen. -
Einfache, zentrale Business Software:
Die IT in kleineren Unternehmen wächst organisch mit dem Unternehmen. Nach und nach kommen neue Tools hinzu, um den wachsenden Anforderungen gerecht zu werden. Das Ergebnis ist ein Flickenteppich, der die Umsetzung eines Sicherheitskonzepts schwierig macht. Mit einer digitalen Businesslösung wie ingo365 vereinen sie all diese Funktionen und verwalten alle Projekte und Kundendaten in einem einheitlichen System. Die Lösung für Ingenieurbüros erlaubt die Steuerung und Verwaltung all Ihrer Geschäftsprozesse (etwa die Abrechnung nach HOAI) in einer Umgebung, die in der Microsoft Azure-Cloud in Europa oder auch in Deutschland gehostet wird und höchste Sicherheitsstandards erfüllt. -
Bewährte Cloud-Anbieter:
Bei der Wahl des Cloud-Anbieters ist günstig nicht immer gut. Besonders preiswerte Angebote gehen oft auf Kosten der Cloud-Sicherheit, da sie zum Beispiel auf georedundante Rechenzentren verzichten. Erst im März 2021 machte ein spektakulärer Fall in Frankreich Schlagzeilen: Ein Rechenzentrum fing Feuer und beschädigte die meisten Server. Da sich die Backupserver im gleichen Gebäude befanden, wurden auch die Sicherungskopien großteils unwiederbringlich zerstört. Betroffen waren vor allem Unternehmenskunden, die auf eine zusätzliche Sicherung ihrer Daten verzichteten und nun mit dem Totalverlust umgehen müssen.
-
Regelmäßige Penetrationstests durchführen
Technik ist laufend in Bewegung. Ein heute sicheres System kann morgen durch einen Exploit kompromittiert werden. Gleichzeitig sind moderne IT-Lösungen so komplex, dass niemand alle Interaktionen überblicken kann. Wie sicher ein System ist, zeigt sich also in der Praxis. Mit einem Pentest machen Sie die Probe aufs Exempel. Hält die aufgebaute Infrastruktur einem echten Angriffsversuch stand?
-
Mitarbeiter schulen und sensibilisieren
Neben der Identifikation von technischen Sicherheitslücken erfüllt der Pentest eine weitere Funktion: Er sensibilisiert Mitarbeiter für IT-Sicherheit - ein Thema, das im Alltag sonst ein abstraktes Konzept bleibt. Zusätzliche Schulungen können daran anknüpfen, das Problembewusstsein vertiefen und wichtige Handlungskompetenzen für den Arbeitsalltag vermitteln.
Das Fazit: IT-Sicherheit im Ingenieurbüro forcieren
Enge Budgets, ein komplexes Arbeitsfeld und interne Widerstände machen die Verankerung von IT-Sicherheit im Unternehmen mitunter zur Mammutaufgabe. Trotz der Schwierigkeiten führt für Ingenieurbüros kein Weg an einem durchdachten Konzept für IT-Sicherheit aus der Cloud vorbei. Zentrale Cloud-Lösungen wie ingo365 sind durchaus attraktiv, denn sie basieren auf der bewährten Microsoft Standard ERP-Lösung "Dynamics 365 Business Central” und werden auf sicheren Microsoft Azure Cloud-Rechenzentren in Europa (Deutschland) betrieben.
Allein auf dieser Basis entsteht bereits ein hohes Niveau an Sicherheitsvorkehrungen für Unternehmen jeder Größe. Am Modern Workplace wird IT-Security auch in Zukunft einen essentiellen Teil des modernen Büros ausmachen. Selbst wenn die Organisation nur aus wenigen Mitarbeitern besteht, brauchen Unternehmen daher ein sinnvolles Sicherheitskonzept.
IT-Sicherheit Cloud FAQ
Cloud Sicherheit
Was versteht man unter Cloud Security?
Unter Cloud Security werden meist 2 Themenbereiche verstanden und zusammengefasst:
-
Identity and access management (IAM)
-
Service Level Agreements (SLA)
Vereinfacht dargestellt, wird über IAM festgelegt, wer Zugriff auf die Cloud-Dienste erhalten soll. Die SLAs regeln wiederum garantierte Verfügbarkeiten, Sicherungen und Ausfallsicherheit.
Risiko
Was sind die Risiken der Cloud-Nutzung?
Für die Nutzung der Cloud-Dienste, ist eine stabile Internetverbindung mit einer angepassten Bandbreite elementar. Ein Ausfall der Verbindung zum Internet stellt somit ein großes Risiko bei der Nutzung von Cloud Computing Services dar. Über passende Failover-Lösungen lässt sich dieses jedoch stark minimieren.
Datenverlust
Können Daten in der Cloud verloren gehen?
Bei einem großen Cloud Provider wie zum Beispiel Microsoft ist dies weitgehend ausgeschlossen. Die Systeme werden lokal- und geo-redundant betrieben. Auch mögliche Ransomware-Angriffe auf die Datenwolke werden durch die Microsoft-Sicherheitssysteme frühzeitig erkannt und unterbunden.
SaaS vs. On-Premises
Ist Software as a Service (SaaS) sicherer als On-Premises?
Eine globale Aussage über alle weltweit verfügbaren SaaS-Dienste ist hier nicht möglich. Wenn wir uns jedoch die Microsoft SaaS-Dienste anschauen, können wir dies ganz klar mit einem JA beantworten. Die Sicherheitsstandards, die in den Microsoft Azure-Datenzentren eingehalten werden, können sich kaum Unternehmen im Mittelstand im eigenen lokalen Betrieb leisten.
Persönliche Einschätzung
Was ist die sicherste Cloud?
Aus unserer Sicht die Microsoft Azure Cloud. Da sie neben den weltweit verfügbaren Datenzentren und der Einhaltung europäischer und deutscher Vorgaben, auch die besten Möglichkeiten bei der Zugriffsverwaltung IAM bietet.
Worauf achten
Was sollten Ingenieur- und Architekturbüros bei einer Cloud beachten?
Gerade in Ingenieur- und Architekturbüros werden eine große Menge an Dokumenten bewegt. Teilweise beinhalten diese sehr vertrauliche Informationen. Gerade der Up- und Download von Dateien kann bei Datenzentren außerhalb Deutschlands oder Österreichs schon etwas länger dauern. Daher sollten Cloud Services bevorzugt werden, die möglichst nahe am/im eigenen Land liegen.
Auch das Teilen von Dokumenten mit Personen außerhalb des eigenen Unternehmens sollte möglichst einfach sein. Hier bietet sich der Microsoft SharePoint-Online Service an. Dieser ist auch bereits vielen Anwendern durch seine Integration in Microsoft Teams bekannt.