Cybersicherheit: Chancen für Systemintegratoren
Die Einhaltung der DSGVO (Datenschutz-Grundverordnung) und die Cybersicherheit sind untrennbar miteinander verbunden. Die DSGVO betrifft den Schutz personenbezogener Daten durch die zuständige bundesweite Aufsichtsbehörde, den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Gleichzeitig arbeiten Cyberkriminelle daran, diese Daten zu stehlen und zu verkaufen.
Die Risiken in Verbindung mit der DSGVO-Compliance und unzureichender Cybersicherheit wurden seit Inkrafttreten der Verordnung häufig in der Presse thematisiert. British Airways und Marriott International sind zwei Beispiele für namhafte Unternehmen, die für Schlagzeilen sorgten, nachdem sie Opfer von Cyberangriffen wurden und für den Verlust von Kundendaten zu hohen Strafen verurteilt wurden.
Eine Unternehmensstrategie zur Umsetzung von Cybersicherheitsmaßnahmen wird also immer wichtiger, denn damit können die Geldbußen in Folge von Cyberattacken minimiert werden. Nach EU-Recht können Regulierungsbehörden jetzt Strafen in Höhe von 20 Mio. EUR oder 4 % des globalen Konzernumsatzes einer Firma verhängen, je nachdem, welcher Wert höher ist.
Die Risiken in Verbindung mit Cyberangriffen und Datenschutzverstößen werden immer offenkundiger, ebenso wie die entsprechenden Straf- und Bußgelder, falls das Gericht zu dem Schluss kommt, dass die ergriffenen Cybersicherheitsmaßnahmen unzureichend waren. CSO, ein globaler Anbieter von Nachrichten, Analysen und Forschungsergebnissen im Bereich Sicherheit und Risikomanagement, meldet, dass Cyberangriffe und Verletzungen der Datensicherheit zusammengenommen heute das Geschäftsrisiko Nummer eins darstellen.
Die hohen DSGVO-Bußgelder der letzten Zeit haben Schockwellen durch die Branche geschickt. Neuere Untersuchungen des Datenschutzunternehmens Clearswift haben gezeigt, dass sich die Geldbußen inzwischen sehr wohl auf die Ausgabenpläne von Unternehmensleitungen für Cybersicherheit auswirken. Clearswift zufolge verweisen fast ein Drittel der Unternehmen (32 %) auf die DSGVO-Bußgelder gegen British Airways und Marriott International als wichtigsten Grund für die verstärkte Beteiligung auf Ebene der Firmenleitung und/oder Bereitstellung von Geldern für IT Sicherheit.
Die Vorstände erkennen, dass die Kosten einer Nichteinhaltung, eines Cyberangriffs oder eines Datenlecks gegenüber allen möglichen Einsparungen durch billigere Ausrüstung von einer Organisation ohne erwiesene Cyber-Reife deutlich überwiegen. Strafen, Imageschaden, Dienstblockaden oder der Verlust des Kundenvertrauens haben viel schwerwiegendere Auswirkungen.
Überlegungen im Hinblick auf die Compliance und Chancen für Systemintegratoren
Alle Beteiligten müssen ihren Beitrag zum Schutz der Organisation vor Cyberangriffen leisten. Integratoren von Sicherheitssystemen, die um die Herausforderungen in der Cybersicherheit wissen und ihre Cyber-Reife nachweisen können, genießen unter ihren bestehenden wie potenziellen Neukunden ein größeres Vertrauen.
Gleichzeitig können sich neue Gelegenheiten ergeben, wenn Sie Ihr Angebot so ausrichten, dass es die Risiken von Cyberangriffen durch physische Sicherheitssysteme eindämmt. Wie bei jeder Sicherheitsschicht kann man nicht erwarten, dass diese kostenlos sein wird. Organisationen erkennen immer mehr den Wert, wenn sie Drittparteien für die Unterstützung bei ihrer Cybersicherheitsstrategie bezahlen und die Anfälligkeit gegenüber Angriffen minimieren.
Deshalb bemüht sich die IT um gezieltes Vorgehen und mehr Einfluss. Es ist entscheidend, die Erwartungen der IT-Entscheidungsträger und Sicherheitsabteilungen zu berücksichtigen, die offensichtlich von den Systemintegratoren erwarten, dass sie Verantwortung beispielsweise für System-Updates und Firmware-Patches übernehmen. Kurz gesagt: IT-Manager möchten, dass sich der externe Support wie ein vertrauenswürdiger Partner und nicht nur wie ein Lieferant verhält.
Der Wert eines Service- und Wartungsvertrags
Bei manchen Systemintegratoren hat die Zahl der Service- und Wartungsverträge in den letzten Jahren abgenommen, nicht jedoch bei der Verwaltung von IT-Systemen. In der Realität sind physische und elektronische Sicherheitssysteme heute IT-Systeme, die größtenteils dieselbe Infrastruktur nutzen.
Zur Aufrechterhaltung der Kameratechnologien ist schon lange keine irgendwie geartete Form der mechanischen Überprüfung erforderlich. Das bedeutet aber nicht, dass ein Service- und Wartungsvertrag heute weniger wichtig wäre. Die gleichen Best Practices müssen weiterhin befolgt werden.
Es überrascht nicht, dass immer weniger präventive Instandhaltungen oder gar Verbesserungen über den Garantie- und Gewährleistungszeitraum hinaus umgesetzt werden. Nur wenn Unternehmen keinen Instandhaltungsvertrag haben, wer ist dann für die Cybersicherheit dieser Systeme verantwortlich? Ohne regelmäßige Updates und die Wahrung der Systemsicherheit ist die Frage nicht ob, sondern wann es zu einem Datenleck kommen wird.
Falls Sie zum Service- und Instandhaltungsanbieter des Kunden benannt wurden, wird wahrscheinlich von Ihnen erwartet, dass dies alle Aspekte der Hardware und Software abdeckt – sofern in der Vereinbarung nicht anders angegeben. Zur Klärung des Support-Bedarfs mit Konzentration auf Firmware-Updates und Patches ist es hilfreich, zusammen mit dem Kunden folgende Punkte abzuwägen:
- Falls der Instandhaltungsvertrag keine Firmware-Updates und Patches einschließt: Wer hat dafür zu sorgen? Und welche weiteren Folgen könnte es haben, wenn ein anderer Beteiligter diese Updates in einem System ausführt, für dessen Instandhaltung Sie verantwortlich sind?
- Falls Ihr Angebot keine Firmware- und Patch-Updates umfasst, welche Wirkung hat dies dem Kunden gegenüber, besonders wenn Ihre Mitbewerber diesen Service anbieten können?
Anhand dieser Überlegungen wird klar, dass Systemintegratoren die Herstellerstrategie für Firmware-Updates und Patches verstehen sollten. Das Wissen um die Abläufe, die ebenso einfach wie wirkungsvoll sein können, hilft Ihnen, Ihre Strategie der Cybersicherheit zu vermitteln und zu bestätigen, dass Ihr Angebot sämtliche Sicherheits-Updates und Anforderungen umfasst.
Letzten Endes vermittelt dies bei der Beschaffung ein positives Bild. Indem Sie belegen, dass Sie verstehen, dass Instandhaltungsverträge heute über eine traditionell geplante präventive Instandhaltung hinausgehen, stärken Sie das Vertrauen Ihrer Bestandskunden und können neue Support-Verträge gewinnen.
Warum Firmware und Patch-Updates so wichtig sind
In Großbritannien hat das Information Commissioners Office (ICO), das Gegenstück zu den Datenschutzbehörden der EU-Mitgliedstaaten, einen speziellen Leitfaden für das Patch-Management herausgegeben. Im Leitfaden heißt es: „Die Nichtbeseitigung bekannter Schwachstellen ist ein Faktor, den das ICO bei der Entscheidung berücksichtigt, ob ein Verstoß gegen das siebte Prinzip des Data Protection Act* schwerwiegend genug ist, um eine Geldstrafe zu rechtfertigen.“ (*Datenschutzgesetz, Äquivalent der DSGVO)
Unzureichende Patch-Verwaltungspraktiken, die zu schwerwiegenden Verletzungen des Schutzes von Verbraucherdaten führen, sind für globale Organisationen ein dringendes Problem, das angegangen werden muss. Nicht zuletzt, weil eine Nichteinhaltung Geldbußen zur Folge hat.
Laut einer besorgniserregenden Statistik von CSO betreffen 60 % der Pannen Schwachstellen, die durch verfügbare Patches hätten beseitigt werden können. Wenn ein Systemintegrator nach der Veröffentlichung von Patches und Firmware-Updates die Systeme nicht aktualisiert, ist davon auszugehen, dass dem Systemintegrator als Datenverarbeiter ebenfalls ein Teil des entsprechenden Bußgeldes auferlegt wird.
Wie helfen Ihnen also Ihre Technologiepartner, Ihre Kunden in Sicherheitsfragen zu unterstützen? Ebenso wichtig im Wettbewerbsumfeld: Wie unterstützen sie Sie mit Tools und Services, die Sie effizienter agieren lassen, damit Sie mehr Geschäftschancen im Bereich Cybersicherheit wahrnehmen können?
AXIS Device Manager
AXIS Device Manager ist eine einfache, kostengünstige und sichere Möglichkeit zur Verwaltung vernetzter Geräte. Es bietet Installateuren und Systemadministratoren ein effizientes Tool zur Wahrnehmung sämtlicher Aufgaben in den Bereichen Installation, Sicherheit und Wartung.
Einer der wichtigsten Vorteile von AXIS Device Manager ist seine Fähigkeit, alle mit dem Netzwerk verbundenen Axis Geräte zu „härten“. Dabei reduziert er die Schwachstellen und Schlupflöcher in Übereinstimmung mit dem AXIS OS Hardening Guide. Der Guide berücksichtigt Basis-Nutzungsarten wie CIS Controls Version 6.1, bisher bekannt als „Top 20 Critical Security Controls“ des SANS Institute.
Er ermöglicht den Technikern für die Inbetriebnahme die Zusammenstellung eines Profils mit gehärteten Geräten, das als Konfigurationseinstellung gespeichert und auf die übrigen Geräte der Organisation übertragen werden kann. Das reduziert die Installationszeit deutlich und schafft gleichzeitig eine Strategie mit mehreren Schichten zur Eingrenzung einzelner Schwachstellen, was das System als Ganzes härtet.
Mit der Fähigkeit zur schnellen und effizienten Aktualisierung von Firmware und Patches können die Systemintegratoren Videosicherheitssysteme proaktiv überwachen und sämtliche Updates ohne Beeinträchtigung der aktuellen Integration in vernetzte Systeme durchführen. AXIS Device Manager ermöglicht die Nachverfolgung aller ausgegebenen Firmware-Updates, um häufige Sicherheitsrisiken und -lücken (Common Vulnerabilities and Exposures, CVEs) entsprechend der Axis Vulnerability Management Policy ausräumen zu können.
Firmware-Strategie
Firmware-Updates sollen wichtiger werden als Hardware-Garantievereinbarungen. Das überrascht nicht, wenn man bedenkt, dass die Hardware-Gewährleistung der Hersteller zwischen ein und fünf Jahren schwanken, doch in der Realität erwartet wird, dass die Geräte sieben bis zehn Jahre oder noch länger betrieben werden sollen. Gleichzeitig steigt die Gefahr von Cyberangriffen und Datenlecks in Unternehmen immer weiter. Nur weil die Gewährleistungsfrist für die Hardware abgelaufen ist, bedeutet dies nicht, dass der Hersteller keine Firmware-Updates mehr anbieten sollte.
Ein gutes Beispiel hierfür ist das Gerätelebenszyklus-Management von Axis. Die erste Option ist der aktive Support, der neben der Verbesserung der Cybersicherheit und Stabilität weitere Funktionen bietet. Die zweite Option ist die langfristige Unterstützung (Long-Term Support, LTS). Diese bietet Sicherheit gegen den Verlust der Integrationen, weil bei LTS keine neuen Funktionen hinzugefügt werden. Verfügt das Gerät bereits über die benötigte Funktionalität, ist LTS die empfohlene Support-Option.
Innovationen treiben die technologische Veränderung voran, und wir verstehen diese als neue Geschäftschancen. Den betrieblichen Funktionen zur Lösung geschäftlicher Probleme wird in Organisationen oft ein hoher Stellenwert eingeräumt, aber gleichzeitig benötigt man auch immer ein robustes Geschäftsszenario. Trotzdem werden die Budgets von der Firmenleitung nicht immer genehmigt. Bedenkt man aber die Gefahren, wenn man die Technologien mehr im Hinblick auf die Cybersicherheit statt auf die betriebliche Effizienz optimiert, könnte dies eine wirksamere Strategie zum Investitionsschutz sein.
„End of“-Überlegungen und Chancen
Zwei weitere Überlegungen bei der Unterstützung Ihres Kunden in Sachen Gerätetauschstrategie sind Geräte, die sich dem Ende ihres Lebenszyklus und der Support-Unterstützung nähern. Man muss den Unterschied kennen, um zu erklären, wie Sie Chancen nutzen und Ihren Kunden vorstellen können.
Abgekündigt (Auslaufmodell)
Der Begriff „End of Life“ (EOL, Ende des Lebenszyklus) bedeutet, dass der Hersteller das Produkt nicht mehr verkauft. Meist ist dann ein neueres im Angebot verfügbar. Organisationen, deren Technologien sich dem Ende ihres Lebenszyklus nähert, sollten aber nicht in Panik geraten, denn dies bedeutet, dass es sehr oft bereits eine bessere Alternative gibt. Ebenso wenig sollte EOL sich auf den Garantiezeitraum eines Herstellers auswirken.
End of Support
End of Support (EOS) hingegen bezeichnet die Einstellung der Unterstützung eines Produkts oder Service durch den Anbieter. Dies betrifft in der Regel Hardware und Software. Ein glaubwürdiger Hersteller wird zwar das EOS-Datum nennen, wenn er auf den EOL-Termin eines Produkts hinweist, doch die Organisationen müssen die EOS-Zeiträume der bei sich eingesetzten Technologien immer im Blick behalten. EOS ist nämlich der Zeitpunkt, an dem der Hersteller die Unterstützung durch Firmware-Updates und Patches einstellt, und damit steigt die Gefahr der Ausnutzung von Schwachstellen und Datenlecks. Deshalb ist EOS ein entscheidender Faktor, den die Verantwortlichen für die IT-Richtlinien und Cybersicherheitsstrategien eines Standorts berücksichtigen müssen.
Irgendwann ist jede Software veraltet. An diesem Punkt empfiehlt das britische National Cybersecurity Centre (das Pendant zur Agentur der Europäischen Union für Cybersicherheit ENISA), sie nicht weiter zu nutzen. Der Organisation ist bewusst, dass dies nicht immer möglich ist, aber sie betont die Problematik veralteter Software wie folgt:
- Die Software erhält von ihren Entwicklern keine Sicherheits-Updates mehr, wodurch die Wahrscheinlichkeit steigt, dass Angreifer Schwachstellen finden und ausnutzen.
- Ältere Software enthält nicht die neuesten Sicherheitsverbesserungen. Dadurch sind Schwachstellen leichter auszunutzen, können gravierendere Folgen haben und sind schwerer zu entdecken.
Zusammengenommen bedeuten diese Probleme, dass die Wahrscheinlichkeit für gravierende Sicherheitsvorfälle steigt, etwa durch Malware, die entwickelt wurde, um anfällige Schwachstellen zu finden, was katastrophale Folgen für die gesamte Organisation haben kann.
Die meisten großen Organisationen wissen um die begrenzte Lebensdauer von Software und Hardware und versuchen, eine Hardware-Tauschstrategie in ihre Jahresbudgets einzubauen, um unnötige Risiken auszuschließen. Dadurch erhalten Instandhalter die Möglichkeit, ihre Kunden bei der Suche nach neueren Technologien zu unterstützen.
Bei Organisationen ohne Lebenszyklus-Management-Programm bekommt der Sicherheitssystem-Integrator die Gelegenheit, seine Kunden proaktiv zu unterstützen und ihnen eine notwendige Aktualisierung ihrer Technologie nahezulegen. Das räumt Planungszeit für die Zuordnung der Budgets und die Sicherung der Projekte ein, damit die Sicherheitsintegrität der Systeme gewahrt bleibt.
Demonstrieren Sie Ihre Unterstützung der Cybersicherheit
Die Themen Cybersicherheit und DSGVO-Compliance haben bei den meisten, wenn nicht sogar bei allen Endbenutzern einen hohen Stellenwert. Wenn Sie nachweisen können, dass Ihnen das Problem bewusst ist und Sie Ihre Kunden bei ihrer Cybersicherheitsstrategie unterstützen möchten, können Sie Ihr Angebot noch deutlicher gegenüber den Angeboten von Mitbewerbern abgrenzen.
Mit den kostenlosen Tools von Axis schützen Sie Ihre Kunden nicht nur vor den Gefahren durch Cyberangriffe und Datenlecks, sondern machen sich zu ihrem vertrauenswürdigen Berater und Partner. Mit den Axis Tools können Sie Kunden mit Ablösungsstrategien für EOS-Geräte unterstützen und es den IT-Funktionsträgern ermöglichen, rechtzeitig die notwendigen Budgets bereitzustellen. Das kann bei zukünftigen Projekten die Sichtbarkeit erhöhen und Ihnen mehr Service- und Wartungsverträge bescheren.