Aus dem Fall Sony gelernt
Das ISF will seinen Mitgliedern Hilfestellung bei der Entwicklung eigener Policies leisten. Denn letztlich muss jede Organisation selbst entscheiden, was sie zulassen will und was nicht. "Das hängt eben ab vom jeweiligen Risikoprofil", konstatiert Durbin. Und dieses Profil zu definieren sei nicht die Aufgabe des Sicherheits-Verantwortlichen, sondern Vorstandssache: "Der CSO oder wie immer er genannt wird, kann nur Aufmerksamkeit wecken, die Entscheidungen muss das Business treffen."
"Das Thema Security ist erwachsen geworden, es bewegt sich in der Unternehmenshierarchie aufwärts", lautet das Fazit des ISF-Managers. In den Firmen habe sich die Erkenntnis durchgesetzt, dass die Informationssicherheit Business-entscheidend ist. Fälle wir die Sicherheitslücke im Kundendaten-System von Sony hätten massiv zu dieser Bewusstseinsbildung beigetragen - nicht nur in den betroffenen Unternehmen: "Sony hatte vorher keinen Sicherheitsverantwortlichen, jetzt schon."
- Die schlimmsten Cloud-Ausfälle
Unsere Kollegen von der InfoWorld haben die zehn schlimmsten Cloud Katastrophen zusammengetragen, die wir Ihnen nicht vorenthalten wollen - Sidekick
Die Besonderheit des Sidekick-Dienstes: Persönliche Daten, Adressen oder Kalendereinträge, können direkt in einer Cloud gesichert werden. So sollen alle Daten auch bei Geräteverlust schnell wiederhergestellt werden. Das versprach zumindest die Werbung. Doch gerade dieser Cloud Service hatte im Herbst 2009 einen Ausfall. Als Folge konnten alle Nutzer eine Woche lang nicht mehr auf Kontakte, Termine und andere Daten zugreifen, die auf Servern gespeichert waren, welche von Microsoft betrieben wurden. Schlimmer noch, es waren nicht einmal Backups angelegt worden. Somit gingen alle persönlichen Daten für immer verloren, sofern sie der Nutzer nicht zusätzlich lokal gesichert hatte. - Googlemail
Googlemail ist mittlerweile auch für Geschäftskunden eine lohnende Alternative zu Microsoft Exchange. Aber auch dieser Cloud-Dienst ist vor Ausfällen nicht gefeit. Eine besonders schlimmer Software-Bug sorgte dafür das rund 150000 Google-Kunden auf leere Posteingänge blickten. Alle Nachrichten, Ordner oder Notizen waren weg. Dank einer Reihe von Sicherungen konnte Google zwar alle Daten wiederherstellen, aber nichtsdestotrotz hatten Anwender tagelang keinen Zugriff auf ihre E-Mails. - Hotmail
Googlemail ist jedoch nicht der einzige Mail-Dienst mit Ausfällen. Auch Microsofts Hotmail hatte, neben einem Phishing-Angriff, bei dem zehntausend Hotmail-Konten ausgespäht wurden, mit leeren Postfächern zu kämpfen. Ein Script sollte eigentlich nur überflüssige Dummy-Accounts löschen. Leider wurden von diesem Skript auch 17 000 real existierende Accounts gelöscht. Aber auch in diesen Fall wurden alle Daten wiederhergestellt, auch wenn einige Nutzer bis zu sechs Tage auf ihre Neujahrswünsche warten mussten. - Intuit
2010 hatte Intuit mit seinen Cloud-Services wie TurboTax, Quicken oder Quickbooks zwei Ausfälle innerhalb eines Monats. Vor allem eine Störung über 36 Stunden im Juni verärgerte die Kunden. Ein Stromausfall hatte die Systeme inklusive Backups lahmgelegt – leider erlitt Intuit wenige Wochen später einen weiteren Stromausfall. - Microsofts BPOSS
Es ist nicht einfach produktiv zu arbeiten, wenn die als SaaS eingebundene Arbeitsumgebung nicht mehr erreichbar ist. Am 10. Mai stocke die Microsoft Business Productivity Online Standard Suite. So gingen E-Mails erst mit neun Stunden Verzögerung ein. Die Störung wurde zwar schnell behoben, trat aber zwei Tage später wieder auf. Noch dazu hatten einige Nutzer nicht einmal mehr die Möglichkeit sich in Outlook einzuloggen. - Salesforce.com
Eine Stunde Ausfall klingt nicht nach viel. Wenn aber ein Dienst nicht mehr erreichbar ist, über den zehntausend Firmen ihren Kundendienst laufen lassen, können 60 Minuten sehr lange sein. Der Rechenzentrumsausfall von Salesforce.com im Januar brachte einige wütende Kunden hervor. - Terremark
Der Cloud-Anbieter Terremark, der kürzlich für einige Milliarden US-Dollar von Verizon gekauft wurde, geriet Anfang 2010 wegen einer Störung in die Schlagzeilen. Am 17. März kam es zu einem Ausfall in einem Rechenzentrum in Miami. In Folge kollabierte der vCloud Express-Service und auf sämtliche Daten konnte sieben Stunden lang nicht mehr zugegriffen werden. - PayPal
Paypal ist ein großer Anbieter im Bereich E-Payment, somit hat ein Ausfall potentiell dramatische wirtschaftliche Folgen. Ein Hardware-Problem legt im Sommer 2009 den Bezahldienst für eine Stunde lang lahm. Keine schöne Erfahrung für Händler wie Kunden, die ihre Waren online ein- und verkaufen wollten. - Rackspace
Ende 2009 musste Rackspace drei Millionen Dollar an seine Kunden zurückzahlen. Der Betreiber hatte mit mehreren technischen Problemen zu kämpfen und die gehosteten Websites gingen dabei jedes Mal offline. Für die Kunden wie Justin Timberlake oder TechCrunch eine kostenintensiver Ausfall. Heute achtet Rackspace nicht nur darauf, solche Ausfälle zu vermeiden, sie informieren die Kunden auch, dass manche Ausfälle unvermeidlich sind.
Das ISF in Stichpunkten
-
Das Information Security Forum (ISF) widmet sich sei 1989 den Fragen der Informations- und IT-Sicherheit.
-
Es bezeichnet sich als unabängige Non-Profit-Vereinigung von großen und mittleren Unternehmen beziehungsweise Organisationen aus der ganzen Welt.
-
Rund 300 Mitglieder zählt diese Vereinigung derzeit, darunter zehn der 20 größten deutschen Unternehmen.
-
Das ISF will nicht nur eine Plattform für den Informations- und Meinungsaustausch zwischen den Mitgliedern bieten, sondern erbringt selbst Services.
-
Dazu zählen Marktuntersuchungen sowie die Entwicklung von Methoden, Standards und Werkzeuge.
-
Zu diesem Zweck beschäftigt das ISF derzeit 25 eigene Analysten.
-
Mehr Informationen unter www.securityforum.org.