Datum: 

8 May 2024

Autor: 

PREO AG

On-Premise vs. Cloud


Wie eine konsequente Umsetzung das Sicherheitsniveau deutlich erhöht

Ransomware, Malware, DDoS-Angriffe und vieles mehr – die aktuell größten Cyberrisiken werden aufgrund ihres Gefahrenpotenzials für Unternehmen immer mehr zu einer wirtschaftlich existenziellen Bedrohung. Das bestätigte erst im vergangenen Jahr wieder der neueste Gefahrenbericht der EU-Agentur für Cybersicherheit, ENISA.


Der durch die aktuelle digitale Entwicklung getriebene Ausbau von Cloud-Services und -Infrastrukturen sowie der oftmals zu sorglose Einsatz von cloudbasierten Software-Produkten öffnet Cyberkriminellen zusätzliche Einfallstore in Unternehmensnetzwerke und sorgt für immer komplexere Anforderungen an die IT- und Datensicherheit. Unsere Erfahrungen zeigen, dass bei aller Komplexität immer mal wieder einfache und bewährte Sicherheitsmaßnahmen aus dem Blick geraten. Dabei sorgt deren konsequente Einhaltung im Arbeitsalltag für eine deutliche Erhöhung der Cyberresilienz.


In diesem Blog-Beitrag haben wir deshalb noch einmal acht weitgehend bekannte und innerhalb eines Unternehmens recht einfach zu implementierende Maßnahmen zusammengefasst. Dazu zeigen wir beispielhaft, warum besonders Unternehmen und öffentliche Verwaltungen mit hohen Anforderungen an die Datensicherheit, -hoheit und -verfügbarkeit sowie strengen Compliance-Richtlinien auf den Einsatz gebrauchter Softwarelizenzen von PREO im On-Prem-Betrieb setzen.


IT- und Datensicherheit steigern – acht bewährte Maßnahmen für Unternehmen

1. Regelmäßige Updates und Patches 

Was in der Regel eine Selbstverständlichkeit ist, bekommt in der alltäglichen Praxis doch immer wieder Lücken. Vor allem, weil zwischen der Information, dass ein System- oder Software-Update bereitsteht und der technischen Installation schon mal schnell ein oder mehrere Tage vergehen. Hier helfen eine zentrale Administration, ein automatisiertes Frühwarnsystem und klar definierte Abläufe, um bereitstehende Updates und Patches zum Schließen von Sicherheitslücken so schnell als möglich zu installieren.


2. Basis-Technologien zum Schutz von Endgeräten und Netzwerken

Elementar bleibt die Sicherung der Unternehmensnetzwerke mit Basis-Technologien, insbesondere eine flächendeckende Endgeräte-Sicherung mit aktueller Anti-Virus-Software, eine Perimeter-Firewall für öffentlich verfügbare Server-Endpunkte oder eine Web-Application-Firewall für externe Anwendungen sowie für Anmelde- oder Administrator-Portale, ein Next-Generation-Malware-Schutz auch gegen Phishing und eine sichere VPN-Verbindung für alle Remote-Arbeitsvorgänge.


3. Passwort-Disziplin einfordern

In jedem Unternehmen sollten klare Richtlinien für starke Passwörter existieren, die eine vorgeschriebene Kombination aus Buchstaben, Zahlen und Sonderzeichen enthalten muss. Zudem kann es sinnvoll sein, die Verwendung eines Passwortmanagers oder eine Multi-Faktor-Authentifizierung (MFA) als zusätzliche Sicherheitsstufen zu implementieren. Letzteres empfiehlt sich unter anderem für die Nutzung externer cloudbasierter Software-Anwendungen, damit Benutzerkonten nicht kompromittiert werden.


4. Regelmäßige Sicherheits-Schulungen für Mitarbeitende 

Wissen und dessen praktische Anwendung in alltäglichen Situationen ist der Schlüssel zur Vermeidung von Phishing-Angriffen und anderen Betrugsversuchen. Regelmäßige Schulungen für Führungskräfte und Mitarbeitende erhöhen das Bewusstsein für Cybersicherheit im Unternehmen um ein Vielfaches. Dazu können für besonders sicherheitsrelevante Bereiche auch inkognito durchgeführte Testangriffe zählen, um die Ergebnisse in den Schulungen einzubeziehen und Mitarbeitende auf konkrete Gefährdungsszenarien vorzubereiten.


5. Restriktive Vergabe von Zugriffsberechtigungen und Rollen-Privilegien 

Nicht jeder Mitarbeitende im Unternehmen benötigt sämtliche Zugriffsrechte. Die sparsame Vergabe von Rechten und Privilegien für einzelne Mitarbeitende, Gruppen oder Organisationseinheiten sowie Administratoren-Rollen ist eine wirkungsvolle Maßnahme, um einem unsachgemäßen oder sorglosen Umgang mit Anwendungen und Ressourcen effektiv vorzubeugen.


6. Datensicherheit durch enge Backup-Zyklen 

Regelmäßige, zeitlich eng getaktete Backups von allen relevanten Unternehmensdaten und deren Sicherung, vorzugsweise an einem externen Ort und getrennt vom bestehenden Netzwerk, sorgen in einem Angriffsfall dafür, dass Daten schnell wiederhergestellt und verfügbar gemacht werden können. Dazu sollte ein sogenannter Wiederherstellungsplan mit klar definierten Abläufen und Verantwortlichkeiten erstellt werden, um im Notfall vorbereitet zu sein.


7. Entwicklung eines Incident Response Plans 

Die Entwicklung und Implementierung eines sogenannten Incident Response Plans ist eine weitere wichtige Maßnahme. Dieser enthält klare Anweisungen, wie im Falle eines Sicherheitsvorfalls zu verfahren ist. Der Plan sollte Rollen und Verantwortlichkeiten definieren, Schritte zur Eindämmung des Vorfalls festlegen sowie interne und externe Kommunikationsrichtlinien enthalten, um sicherzustellen, dass alle Beteiligten effektiv zusammenarbeiten, um die Auswirkungen zu begrenzen und den ursprünglichen Zustand wiederherzustellen.


8. Risikobewertung und -management 

Regelmäßige Bewertungen zu potenziellen Gefahren und möglichen Sicherheitslücken innerhalb der IT-Infrastruktur werden immer wichtiger. Basierend auf den Bewertungsergebnissen empfiehlt es sich, eine Risikomanagement-Strategie zu entwickeln. Diese setzt Prioritäten zur Risikominimierung, indem die wahrscheinlichsten und schädlichsten Angriffsszenarien adressiert und bei Bedarf in realen Test-Szenarien durchgespielt werden. In einem weiteren Schritt kann auch die Überprüfung von Drittanbietern und deren Sicherheitspraktiken mit einbeziehen, um sicherzustellen, dass externe Partner die Sicherheitsstandards des Unternehmens erfüllen oder zumindest nicht ungewollt konterkarieren.


Datensicherheit im Unternehmen – die Gefahr von Cloud-Risiken minimieren

Je mehr Unternehmen ihre Arbeitsprozesse in die Cloud verlagern, desto mehr Cyberkriminelle werden versuchen, potenzielle Schwachstellen im Cloud-Computing zu attackieren. Nicht umsonst investieren die großen Global-Player aktuell Milliardenbeträge in ihre Cloud-Infrastrukturen, um für Unternehmen die größtmögliche Datensicherheit und Verfügbarkeit ihrer Cloud-Services zu gewährleisten. Doch neben externen Risiken, wie einer zu großen Anbieterabhängigkeit, die nicht nur sicherheitstechnisch, sondern auch finanziell problematisch werden kann, geht es beim Cloud-Computing auch um das Identifizieren und Minimieren von internen Sicherheitsrisiken, wie Cloud Sprawl oder Schatten-Clouds.


Vor diesem Hintergrund scheuen noch immer viele IT-Verantwortliche den kompletten Gang in die Cloud und setzen überwiegend auf hybride Cloud-Modelle, die in Teilbereichen oder sogar überwiegend weiterhin On-Prem-Software nutzen.  Auch die Fälle, in denen Unternehmen sich nach einigen Jahren sowohl aus Gründen der Datensicherheit, -hoheit und -verfügbarkeit als auch aus finanziellen Erwägungen aus der Cloud verabschieden, nehmen wieder zu. Stattdessen setzen sie auf bewährte und effiziente On-Premise-Software und nutzen die Vorteile gebrauchter Softwarelizenzen, wie das folgende Beispiel eines deutschen Mittelständlers eindrucksvoll bestätigt:


Mehr Sicherheit, weniger Kosten – Swedex setzt auf gebrauchte Software von PREO

Dass eine Total-Cloud-Lösung nicht nur eine sicherheitstechnische Herausforderung darstellt, sondern auch eine mitunter schwer kalkulierbare Kostenspirale nach sich ziehen kann, erlebte der Essener Mittelständler Swedex, einer der europaweit führenden Anbieter im Bereich „document presentation“ mit rund 300 Mitarbeitenden.


Die Konsequenz: Das mittelständische Unternehmen nahm sowohl den dynamischen Kostenanstieg als auch die Abhängigkeit von einem großen Cloud-Anbieter nicht länger hin und entschied sich stattdessen wieder für eine eigenständige und deutlich günstigere Alternative.


Die Folge: Nach drei Jahren in der Microsoft-Cloud kehrten die Verantwortlichen wieder zum On-Prem-Betrieb zurück. Im Ergebnis ließen sich enorme Einsparungen bei den laufenden Lizenzkosten von rund 100.000 Euro durch die Integration


gebrauchter Softwarelizenzen von PREO erzielen. Mehr Infos zu diesem und weiteren Kunden-Cases gibt es hier.



Mit PREO setzen Sie auf einen erfahrenen und seriösen B2B-Anbieter

Als einer der Pioniere im europäischen Handel mit gebrauchten Softwarelizenzen, insbesondere von Microsoft, haben bereits weit mehr als 1.000 Unternehmen von den Vorteilen einer audit- und compliance-sicheren Integration gebrauchter Volumenlizenzen in ihr IT Asset Management profitiert:


  • Hohe Einsparungen bei den laufenden Lizenzkosten von bis zu 70 Prozent gegenüber der jeweiligen Neuversion.
       
  • Generieren von Einnahmen durch den Verkauf brachliegender oder nicht mehr benötigter Lizenzen.  

  • Mehr Nachhaltigkeit im IT-Bereich durch die Förderung einer aktiven Kreislaufwirtschaft und die Senkung des unternehmerischen CO2-Fußabdrucks.

  • 100 Prozent rechts- und auditsicherer Lizenzerwerb mit höchster Transparenz in allen Abwicklungsschritten inklusive kompletter Dokumentation im PREO-Lizenzportal “Easy Compliance“.

  • Langjährige Expertise bei der Integration von gebrauchten Softwarelizenzen in klassische Netzwerkstrukturen oder hybride Lizenzmodelle.

  • Detaillierte Marktkenntnisse und umfangreiche Erfahrungen durch den auditsicheren Transfer von weit über einer Million gebrauchter Softwarelizenzen.

  • Bestehende Kapazitäten zum Software-Lizenzmanagement bei großen IT-Infrastrukturprojekten mit tausenden Arbeitsplätzen und länderübergreifenden Standorten.

  • Überzeugende Referenzprojekte für zahlreiche mittelständische und große Unternehmen aus den verschiedensten Branchen.