Neue Sicherheitskonzepte erforderlich
Business-Software: Der Schutzzaun bekommt Löcher
Frage nach Relevanz der Daten
Zu Beginn müssen sich die Verantwortlichen die Frage nach der Relevanz der Informationen stellen: Das tatsächliche Gefährdungspotenzial der Web-Frontend-Schwachstellen hängt stark von verarbeiteten Daten innerhalb der Business-Software ab. Ein unberechtigter Zugriff auf öffentliche Daten ist dabei tendenziell eher unkritisch. Ganz anders ist jedoch der unbefugte Zugriff auf interne Geschäftsunterlagen, Daten von Geschäftspartnern oder personenbezogene Daten zu bewerten.
Das Schadenspotenzial bei Veröffentlichung von internen Geschäftszahlen, der Abfluss von vertraulichen produktionsnahen Daten - Stichwort Industriespionage - kann dabei nur von der betroffenen Organisation selbst beziffert werden. Gehen jedoch Geschäftspartnerdaten oder personenbezogene Daten verloren, greift in Deutschland das Bundesdatenschutzgesetz (BDSG), das im Strafmaß bis zur Haftung der Geschäftsführung reichen kann.
Foto: Ernst & Young
Um diesen wirtschaftlichen und rechtlichen Gefahren zu begegnen, gilt es im nächsten Schritt, zusätzlich zu Infrastruktur-Vulnerability-Scans speziell auf Web-Applikationen zugeschnittene Penetrationstests zu initiieren. Der klassische Vulnerabiltiy Scan endet meist an der Web-Server-Oberkante und kann nur bedingt Websites mit aktiven Inhalten überprüfen. Web-Applikationen selbst lassen sich mit spezialisierten Scannern nur eingeschränkt auf ihre Sicherheit prüfen.
Diese Scanner sind zwar in der Lage, Schwachstellen wie zum Beispiel SQL- Injection oder Cross-Site-Scripting aufzuspüren, können aber keine Mängel im Rollen- und Rechte-Management der Applikation entdecken. Auch können sie nicht bewerten, wie kritisch die erreichbaren Daten sind. Unter Einbeziehung automatisierter Web-Applikations-Scanner lassen sich fundiertere Einblicke gewinnen, welche Schwachstellen vorhanden sind.
Ein ganz neues Gefährdungspotenzial tritt ein, wenn die Business-Software in Cloud-Umgebungen betrieben wird. Die eigenen Daten sind in diesem Fall nicht mehr komplett im eigenen Zugriff. Die Schafe stehen dann also nicht einmal mehr auf der eigenen Weide und werden von fremden Hirten betreut, die man nur bedingt im Blick hat.
Beim Cloud-Betrieb der Software trägt der Cloud-Provider einen nicht zu unterschätzenden Anteil an der Absicherung der Daten. Der Eigentümer der Daten hat nur noch begrenzte Möglichkeiten, die Sicherheit der zugrunde liegenden Infrastruktur zu bestimmen. Selbst Verschlüsselungstechniken lassen sich in der Cloud häufig nur eingeschränkt hochsicher umsetzen, da das dafür notwendige Schlüssel-Management ebenfalls auf den Systemen der Cloud-Provider abgewickelt wird. Für deutsche wie europäische Firmen kann das US-amerikanische Recht beim Cloud-Einsatz zum Problem werden, besonders wenn die Datenverarbeitung in den Vereinigten Staaten oder durch US-Firmen erfolgt. In diesem Fall können US-Behörden auf Basis des Patriot Act rechtlich legimitiert den Zugriff auf Systeme und Daten fordern.
- Mit Teamwork Wissen sammeln und sparen
Mit Social-Business-Software und der Integration von Anwendungen können Unternehmen ihre Effizienz und Gewinne steigern. Allerdings nur dann, wenn "Social Collaboration" von den Mitarbeitern akzeptiert wird. Tipps zur Planung und Softwareauswahl finden Sie hier. - Akzeptanz für Teamarbeit schaffen
Bei zahlreichen Unternehmen und ihren Mitarbeitern konnte das Prinzip der Enterprise 2.0 aufgrund der schnelleren und geradlinigeren Kommunikation sowie einer größeren, geteilten Wissensbasis schon hohe Akzeptanz erlangen. Überzeugt hat ferner die kostensensible Kopplung verschiedener Funktionen, die früher in separaten Lösungen parallel gepflegt werden mussten. - Modulare Softwarelösungen sind von Vorteil
Ist dieser Punkt geklärt, empfiehlt es sich, Anbieter zu vergleichen und eine Social-Softwarelösung auszuwählen, die modular zusammengestellt werden kann. Auf diese Weise ist die Lösung nicht nur maßgeschneidert, sondern zudem jederzeit um zusätzliche Module erweiterbar. - Anwendungsgebiete für den Mittelstand
Eine "Rundum-Sorglos-Lösung", die wirklich jeden Unternehmensbereich abdeckt, ergibt für kleine und mittelständische Betriebe sicherlich erst ab einer gewissen Größe Sinn. So wäre es beispielsweise bei wenigen Mitarbeitern, die alle an demselben Standort arbeiten, eine Lösung überdimensioniert, die Buchhaltung oder Urlaubsverwaltung über eine Enterprise-2.0-Lösung zu betreiben. Hingegen kann es bereits in kleinen Teams sehr sinnvoll sein, Wissen zu sammeln und zu speichern, eine Datenbank zu pflegen und Dokumente zu verwalten. - Positive Gruppenbildung für mehr Kommunikation und Wissen
So greifen in einer Intranet-Enterprise 2.0-Lösung beispielsweise Kommunikationsbausteine ineinander, die ansonsten parallel gepflegt werden müssten. Der Austausch kann über Chats oder Messaging-Funktionen ebenso erfolgen wie über persönliche Nachrichten innerhalb des Systems, die der E-Mail ähnlich sind. - Activity Streams halten auf dem Laufenden
Social-Software-Angebote haben ihren Ursprung oft in Funktionalitäten, die sich an Social-Media-Netzen orientieren. So kann ein mittelständisches Unternehmen seine Mitarbeiter mit sogenannten Activity Streams auf dem Laufenden halten: Direkt auf der Portalstartseite eines Mitarbeiters blendet der Activity-Stream neue Postings oder Aktionen der Organisationsmitglieder ein, auch Aktivitäten in Gruppen werden angezeigt. - Wissens-Pool hilft Zeit und Geld sparen
Wikis, Blogs und Foren, die ihren Ursprung ebenfalls im sozialen Netz haben, können sich auf dieselbe Weise positiv auf die Kommunikation in mittelständischen Firmen auswirken. Klassische Anwendungsbeispiele sind hier Nachfragen zu einem Projektstatus, die für jeden Beteiligten einsehbar sind, Fragen zu Problemen oder Vorgängen, die über diese Wege direkt geklärt werden können, oder der Austausch zu fachspezifischen Themen. - Kundendaten verwalten und Projekte abwickeln
In einer Social-Software-Lösung können Kundenkommunikation, interner Austausch, organisatorische Aufgaben und vieles mehr gleichzeitig abgewickelt werden. So verfügen einige Anbieter über ein integriertes CRM-System, in dem alle Kontakte angelegt und verwaltet werden. Damit werden erforderliche Ansprechpartner über eine Suchfunktion inklusive aller Kontaktdaten schnell gefunden. - Dokumenten-Management integrieren
Auch in der Koordination von Projekten kann Social-Business-Software den Mittelstand unterstützen, und zwar auch über die bereits erwähnten Gruppen hinaus. Zum Beispiel führt ein in die Social-Software integriertes Dokumenten-Management-System dazu, dass Dateien und Dokumente sicher ausgetauscht und versionsgetreu oder parallel bearbeitet werden können. - Buchhaltung, Reisekosten, Urlaubs- und Projektplanung inklusive
Mittelständler, die ihre Buchhaltung intern abwickeln, können die Fibu bei einigen Anbietern direkt mit der Social-Business-Software verknüpfen - wovon auch Mitarbeiter über die Finanzabteilung hinaus profitieren. Dazu legen einige Lösungen zum Beispiel Personalakten je Mitarbeiter an, die jeweils die vertraglich geregelten Arbeitszeiten sowie Urlaubstage dokumentieren.