Nachhaltiges Wirtschaften ohne aussagekräftige operative Daten geht nicht. Sie liefern Unternehmen das Wissen, um nachhaltig zu handeln. Das können Daten von Maschinen oder Anlagen aus der Produktion sein, die deren Energieverbrauch darstellen - oder Informationen über Wegstrecken, welche die Waren auf dem Weg zum Kunden zurücklegen. Kern einer jeden Nachhaltigkeitsstrategie ist es, solche Daten zu generieren und zu sammeln. Sie liefern dann die Basis für bestimmte Maßnahmen, damit ein Unternehmen noch ökologischer oder sozial bewusster handeln kann.
Thomas Stowasser, Architect Manager Security Service Line bei Microsoft, nennt ein weiteres Beispiel: "Ein Unternehmen, das Windräder betreibt, erfasst beispielsweise Daten zum aktuellen Stromverbrauch oder wie stark gerade der Wind weht. Daraus zieht es dann Rückschlüsse, wie sich das Windrad effizient und somit nachhaltig betreiben lässt. Und es könnte die Steuerung des Rades so regeln, dass sich dieses entsprechend schneller oder langsamer dreht."
Hacker können Windräder manipulieren
Dies zeigt laut Stowasser den Nutzen, aber auch das Gefahrenpotenzial, das mit der Datenerfassung einher geht. Denn die Informationen können auch ein attraktives Ziel für Cyberkriminelle darstellen. Beispiel Windrad: Hier könnten Hacker etwa die Daten für die Steuerung verändern. "Dann dreht sich das Rad zum Beispiel schneller statt langsamer, wird überlastet und fällt aus."
10 Tipps für Zero-Trust-Sicherheit
Bei Zero Trust gelten alle Nutzer und Geräte als nicht vertrauenswürdig. Daher wird das jeweilige Risiko bei jeder Anforderung dynamisch bewertet.
Oder die Angreifer verändern die Informationen, die gesammelt werden. Dann könnte einer solcher Angriff dafür sorgen, dass ein Unternehmen aufgrund manipulierter Daten falsche Entscheidungen trifft. Eine weitere Gefahr besteht darin, dass Hacker die Daten verschlüsseln und erst gegen eine Lösegeldzahlung wieder freigeben.
Damit dekliniert Stowasser die Bedrohungen durch, denen Firmen grundsätzlich ausgesetzt sind. "Das Besondere ist, dass sich dadurch auch Unternehmen nun mit bestimmten IT-Themen beschäftigen müssen, die mit diesen vorher noch nichts zu tun hatten", sagt Stowasser. Damit sei auch die Bedrohungslage eine neue.
Neben Sabotage und Ransomware ist Datenspionage eine weitere akute Gefahr. Cyberkriminelle könnten Intellectual Property durch einen Angriff auf die Nachhaltigkeitsdaten abgreifen und dieses weiterverkaufen. Hinzukommen staatlicher Cyberterrorismus und Hacktivsm - also Angriffe von Aktivisten.
Stowasser weist darauf hin, dass die Angriffe nicht nur das eigene Unternehmen treffen können. Nachhaltigkeitsinformationen beziehen sich oft auf die gesamte Lieferkette. Schließlich verlangt auch der Gesetzgeber dort Transparenz. Dafür braucht es Schnittstellen für den Datenaustausch zwischen allen Partnern in der Lieferkette. Und somit sind dann auch alle involvierten Firmen ein potenzielles Ziel für eine Online-Attacke.
Entscheidend: Klassifizierung der Daten
Für Unternehmen bedeutet das: Datensicherheit sollte Teil jeder Nachhaltigkeitsstrategie sein. Zu Beginn stehen dabei grundlegende Überlegungen - unter anderem in Bezug auf Berechtigungen. Wer hat welche Funktion bezüglich Nachhaltigkeit? Und wer darf dabei auf welche Daten zugreifen?
Der wesentliche Punkt sei dann die Klassifizierung der Daten, sagt Stowasser. Dabei muss geklärt werden, welche Daten sensible beziehungsweise geschäftskritische Informationen enthalten. Und was kann mit diesen gemacht werden? Darf ich etwa eine bestimmte Excel-Liste per E-Mail verschicken?
Es gebe Tools, die Unternehmen dabei unterstützen, so Stowasser. Als Beispiel nennt er die Datenklassifizierungsfunktion in Microsoft 365. Wichtig sei aber auch, die Mitarbeiter miteinzubeziehen. Sie müssten entsprechend sensibilisiert und trainiert werden.
End-to-end-Verschlüsselung und Zero Trust
Hinzu kommt das gesamte verfügbare Portfolio an Security-Maßnahmen und -Technologien. Dazu zählen die End-to-End-Verschlüsselung von Dokumenten, damit gestohlene Daten für die Angreifer unbrauchbar sind, sowie Zero-Trust-Konzepte. Dabei geht es darum, dass grundsätzlich keiner Anforderung vertraut wird - egal von wo sie kommt. Das gilt auch innerhalb der Unternehmens-Firewall.
Firmen sollten sich außerdem laut Stowasser auf das Überprüfen von Identitäten fokussieren. Das heißt, Zugänge per Login und Passwörter möglichst sicher zu gestalten. Des Weiteren können Einsteiger zum Verständnis das so genannte Kill-Chain-Konzept heranziehen. Dabei geht es darum, die verschiedenen Phasen eines IT-Angriffs zu analysieren und auf den unterschiedlichen Ebenen Security-Technik einzurichten, die ein Angreifer erst überwinden muss - im Netzwerk genauso wie in den einzelnen Mailboxen. Interessante Details über dieses Konzept erfahren Sie in diesem 9-minütigen Video:
Herausforderung IoT
Eine Herausforderung in Sachen Sicherheit stellen IoT-Daten dar - also solche Informationen, die von Geräten oder Maschinen kommen. Diese verfügen in der Regel nicht über die nötigen Rechenkapazitäten, um dort Security-Tools zu installieren. Daher fokussiert sich ein mögliches Sicherheitskonzept darauf, den Netzwerkverkehr nach Auffälligkeiten zu untersuchen. Lösungen wie Azure Defender for IoT beispielsweise würden dafür auch mit Machine Learning arbeiten, so Stowasser. Wird ein untypisches Verhalten erkannt, schlägt das System Alarm.
Wer sich einige der Kopfschmerzen bezüglich Sicherheit sparen möchte, dem empfiehlt Stowasser, Daten und Systeme in die Cloud auszulagern: "Jemand, der ein Cloud-Datacenter betreibt, muss sich viel häufiger und intensiver mit Datensicherheit befassen". Die Betreiber unterhalten in der Regel ein größeres Security-Team und analysieren die vielfältigen Angriffe auf alle ihrer Kunden. So können sie Angriffsmuster auf einen Kunden erkennen und für alle Kunden abwehren. Economy of Scale gilt auch bei Cybersicherheit. "Die Sicherheit, die zum Beispiel ein Cloud-Provider wie Microsoft gewährleistet, kann ein einzelnes Unternehmen nur sehr schwierig oder mit viel Aufwand herstellen."
Die Erfassung und der Schutz nachhaltigkeitsrelevanter Daten kristallisieren sich immer mehr als eine Aufgabe heraus, die IT-Organisationen rund um den Globus in den nächsten Jahren beschäftigt halten wird. Im Oktober wird Microsoft seine Cloud for Sustainability vorstellen. Sie soll Unternehmen dabei helfen, ihre Umweltauswirkungen zu erfassen und zu dokumentieren. Einen Eindruck von ihrer Funktionalität können Sie sich bereits heute verschaffen.
Wie Sie geeignete Konzepte in der Cloud aufbauen können, zeigt Ihnen das Webinar "Data-Security? Das müssen Sie zur Datensicherheit bei Nachhaltigkeitsprojekten wissen." Sie erhalten Einblick, warum End-2-End-Security von Anfang an mitgedacht werden sollte und wie Sie Ihre nachhaltigen Lösungen schützen können.
Alle Artikel aus Nachhaltigkeit
Digitalisieren Sie mit Blick auf die Zukunft Ihres Unternehmens. Legen Sie heute den Grundstein für das Business von morgen.