Im Rahmen der digitalen Transformation schaffen Unternehmen immer mehr möglicher Angriffsvektoren für Kriminelle. Dazu zählen etwa die Arbeit im Homeoffice, oft mit eigenen Geräten der Beschäftigten, oder die intensivere Nutzung von IoT-Devices. So verwundert es nicht, dass in Deutschland in den vergangenen Jahren jedes zweite Unternehmen zumindest einmal das Opfer einer Cyberattacke geworden.
Der CIO als Risiko- und Krisenmanager
Die Wirtschaft befindet sich seit mehr als zwei Jahren in einem permanenten Krisenmodus. Die Aufgabe des CIO hat sich nicht zuletzt unter dem Druck der zahlreichen extern hervorgerufenen Krisen, wie derPandemie oder dem Ukraine-Krieg, in Richtung Krisen- und Risikomanager gewandelt.
CIOs arbeiten daran, Logistikabläufe, Lieferketten, Geschäfts- und Dienstleistungsmodelle, Partnerschaften und Standorte aufrechtzuerhalten, zu verändern oder zu stärken. In vielen Organisationen wirken indes noch veraltete Vorstellungen und Rollenverständnisse nach. Dort wird (IT-) Security als reine Unterstützungsfunktion und als Cost-Center gesehen.
Heute sind aber andere Rollen und eine andere Wertigkeit des Themas Sicherheit nötig. Denn Security ist ein wichtiger Enabler für die geschäftlichen Ziele eines Unternehmens.
Gatekeeper zum strategischen Business-Partner
Traditionelle Cybersecurity-Strategien und deren Lösungen haben einen eher schlichten Ansatz verfolgt. Es ging in der Regel um rein binäre Entscheidungen über den Zugang zu Daten und Systemen. Entweder gab es eine Erlaubnis oder Zugang und Zugriff wurden blockiert. Damit hatten CIOs und CISOs aus Sicht anderer Abteilungen eine Machtposition inne. Trotz gemeinsamer Ziele herrschen in vielen Unternehmen noch "kämpferische" und "dysfunktionale" Beziehungen zwischen Sicherheitsexpertinnen und -experten und ihren IT-Kollegen.
Security darf heute nicht mehr ausschließlich den Aspekt "Sicherheit" berücksichtigen. Compliance-Vorgaben einzuhalten ist ebenso ein Teil davon. Maßnahmen, die externe Attacken abwehren, tragen in der Regel auch zu mehr Datenschutz und anderen regulatorischen Vorgaben bei. Bezüglich der Resilienz des Unternehmens und des "Business Continuity Management" ist Security eine strategische Aufgabe. Damit ist sie eine wichtige Säule für den Geschäftserfolg.
CIOs sollten innerhalb der Führungsstrukturen des Unternehmens diese Bedeutung unterstreichen und ihre strategische Positionierung stärken. Das beginnt bereits beim Recruiting: Sicherheitsfachleute zeichnen sich in der Regel durch ein umfassendes Fachwissen aus. Das allein genügt jedoch nicht mehr. Genauso wichtig ist geschäftsorientiertes Denken und Verständnis für die Business-Zusammenhänge der Organisation. CIOs sollten das bei der Suche nach Personal berücksichtigen oder die Qualifikationen ihrer Mitarbeitenden in diesen Bereichen stärken.
Security muss agiler werden
Der "Gatekeeper"-Ansatz vieler Security-Lösungen blieb über viele Jahre unangetastet. Das traditionelle Konzept einer Sicherheitsarchitektur sieht vor, einen sicheren Bereich um die Unternehmensressourcen herum aufzubauen und den Datenverkehr zu überwachen. Im Zeitalter der Cloud, vernetzter Mikroservices und IoT-Devices, die physisch an verschiedenen Orten gehostet werden, muss dieses Konzept jedoch löchrig werden. Angreifer haben sich zudem inzwischen auf die geänderte IT-Architektur eingestellt und nutzen selbst die Cloud, um von dort aus Ziele in der Cloud zu bedrohen.
Um Security in diesem Umfeld zu transformieren, gilt es Strategien und Architekturen auszuwechseln. Eine cloudbasierte Sicherheitsarchitektur schützt nicht nur das Unternehmensnetzwerk, sondern auch die Arbeitsplätze der Mitarbeitenden - unabhängig von deren Aufenthaltsort. SD-WAN und Zero Trust Network Access (ZTNA) spielen in diesem Zusammenhang eine wichtige Rolle.
Wird die Sicherheit unabhängiger vom Ort und bezieht sich weniger auf Systeme, sondern stärker auf die Ebene von Dateien und Dokumenten, steigt die Agilität und Flexibilität des Unternehmens insgesamt. Neue Standorte, Geschäftsmodelle oder Partnerschaften lassen sich schneller und unkomplizierter erschließen.
Künstliche Intelligenz (KI) bildet die Basis solcher Architekturen: Security aus der Cloud wird sprichwörtlich intelligenter. KI unterstützt dabei, Anomalien zu erkennen und steuert in Abhängigkeit des jeweiligen Kontexts den Zugang und den Zugriff auf Daten oder die Nutzung von Ressourcen.
Mit einem kontextbezogenen Verständnis von Datentypen und ihrer Verwendung lassen sich Richtlinien mit einer höheren Granularität entwerfen. Der Fokus auf den Daten und nicht einer Anwendung bedeutet mehr Flexibilität und Agilität, denn Geschäftseinheiten können innovativ arbeiten und Produktivitätssteigerungen erzielen, ohne sich durch zeitaufwendige Sicherheitsgenehmigungen kämpfen zu müssen.
Strategisch sollten CIOs deshalb auch über neue Konzepte wie Secure Access Service Edge (SASE) nachdenken.
Auslagern, was nicht strategisch relevant ist
Fokussiert sich Security auf strategische Aspekte, sollten die gesamte bisherige Struktur und alle Prozesse neu bewertet werden. Interne Ressourcen, die keine strategische Bedeutung haben, bieten sich für das Outsourcing an. Häufig sind mit der Auslagerung von Security-Prozessen und Lösungen auch bessere Service-Level sowie Konsolidierung von Tools verbunden. Statt ein Notfall-Team 365 Tage rund um die Uhr selbst zu unterhalten, übernehmen Dienstleister diese Aufgabe. Gemeinsam mit ihnen kann auch geprüft werden, welche On-premises-Lösungen verzichtbar sind, weil diese durch die Services abgedeckt sind.
Somit ergeben sich große Sparpotenziale bei den IT-Kosten. Ein Hebel sind hier etwa geringere Netzwerkkosten, weil Datenverkehr nicht mehr zu Appliances im Rechenzentrum geleitet werden muss. Security trägt so auch ganz unmittelbar zur Erreichung der wirtschaftlichen Ziele bei.
Security beginnt mit einer robusten Organisation
Die Rolle von Security als Business Enabler und Motor für mehr Flexibilität der Geschäftsprozesse beginnt mit einer robusten Organisation, in der Sicherheit nicht als bloßes Beiwerk verstanden wird. Bereits in Entwicklungs- und Betriebsprozessen und Projekten müssen CIOs dafür sorgen, dass die Sicht von Expertinnen und Experten von Anfang an einfließt. Nachträgliche Veränderungen an Konzepten und Code sind immer teuer. Das kann nur funktionieren, wenn es ihm gelingt, Organisationsformen zu etablieren, die zu diesem Ziel beitragen. Der Wandel von DevOps in Richtung von DevSecOps-Prozessen zählt dazu.
Im Zusammenspiel mit agileren Security-Tools können Entwicklungen, Services und Prozesse selbst agiler werden. Ein Patentrezept dafür gibt es leider nicht. Hier muss jedes Unternehmen seinen eigenen Weg finden. Um Dysfunktionalität zu überwinden, können etwa Abstimmungsprozesse und Teamsitzungen etwabliert werden, in denen Fachpersonal sein Wissen einbringt.
CIOs und CISOs haben es in der Hand, die Cybersecurity als Motor für den wirtschaftlichen Erfolg ihrer Organisation zu positionieren, wenn sie klug agieren und durch die optimale Toolauswahl die Sicherheit zu transformieren. (jd)