Cyber Security

Prozesse für IT-Sicherheit müssen sich ändern

25.01.2019 von Marc Wilczek
CIOs können zwar nicht kontrollieren, wann Sicherheitsverletzungen auftreten. Aber sie können, wie IT-Teams damit verfahren sollen. Effektive und gut eingespielte Prozesse sind das Gebot der Stunde.
  • Obwohl die Infrastruktur auf dem neuesten ist, werden die IT-Service-Management-Funktionen nicht den neuen digital vernetzten Bedingungen angepasst.
  • IT-Teams laufen Gefahr, angesichts der Flut von Warn- und Fehlermeldungen den Überblick zu verlieren und Gefahren richtig zu priorisieren.
  • Weil IT-Sicherheitsexperten künftig noch viel stärker fehlen werden, müssen Datenanalyse, Machine Learning und radikale Automatisierung eingeführt werden.
Der Versuch, das Thema Cyber Security alleine durch Personal zu erschlagen, ist wirtschaftlich ineffektiv und von Anbeginn zum Scheitern verurteilt.
Foto: your - shutterstock.com

Unternehmen aller Branchen sind in vollem Gang digital zu werden. Dennoch sorgen Sicherheitsverletzungen jede Woche für Schlagzeilen, von Hackern, die in Unternehmensnetzwerke eindringen, über Systemausfälle, bis hin zu Kundendaten die offengelegt werden. Die Abhängigkeit von IT-Infrastrukturen hat enorm zugenommen. Pannen sind geschäftskritisch.

Obwohl viele Unternehmen fleißig beschäftigt sind, das digitale Universum zu erobern, neue Plattformen und große Datensilos zu bauen, laufen viele von ihnen Gefahr, ihre Aktivitäten auf dünnem Eis zu agieren. Laut eine Studie von Dimensional Research unter mehr als 400 IT-Experten, berichten 82 Prozent der Befragten, dass Ausfallzeiten digitaler Dienste einen erheblichen Einfluss auf den Umsatz ihres Unternehmens haben.

Tatsächlich beklagen mehr als 90 Prozent der Unternehmen, dass größere Ausfälle mehrmals im Jahr auftreten. Darüber hinaus berichten fast 60 Prozent, dass sie sogar mindestens einmal im Monat auftreten. All dies wohlgemerkt zu Zeiten, in denen IT in den Mittelpunkt von Wertschöpfungsketten rückt und die Verfügbarkeit und Widerstandsfähigkeit an Wichtigkeit steigt.

Infrastruktur aktualisiert, Sicherheitsprozesse bleiben aber die alten

Unternehmen nutzen zunehmend die Vorteile der Cloud, wobei viele digital fortgeschrittene Unternehmen einen "Cloud-First-Ansatz" verfolgen, um Agilität, Flexibilität und Wettbewerbsvorteile zu erzielen. All dies ist gut und schön, aber die Ergebnisse der Studie zeigen, dass nur die Hälfte (52 Prozent) der Unternehmen über ein Incident Response Team verfügen. Darüber hinaus beschäftigen lediglich 44 Prozent der Unternehmen mit dafür dediziertem Personal.

Wenn ein Unternehmen plötzlich mitten in der Nacht mit einem Sicherheitsverstoß oder einem Systemausfall konfrontiert wird, dauert es im Ergebnis viel zu lange, bis die IT-Teams die Situation erfasst und die erforderlichen Genehmigungen für Emergency Changes eingeholt haben.

Die Fähigkeit, IT-Servicekette zu orchestrieren, wird dabei zum größten Engpass und rückt menschliches Versagen in den Mittelpunkt der potenziellen Fehlerquellen. Zwar geben 64 Prozent der Befragten an, maximale Entstörungszeiten definiert zu haben, doch ganze 76 Prozent sind wiederum nicht im Stande diese einzuhalten.

Obwohl die Infrastruktur auf dem neuesten Stand der Technik ist und auf Powerpoint-Folien hervorragend aussieht, werden die IT-Service-Management-Funktionen nicht hinreichend auf den Prüfstand gestellt und den geänderten Gegebenheiten angepasst.

IT-Teams werden mit Warn- und Sicherheitsmeldungen überflutet

Anfang des Jahres veröffentlichte Cisco den 2018 Annual Cybersecurity Report, nachdem zuvor rund 3.600 Sicherheitsexperten weltweit befragt wurden. Von den Unternehmen, die tägliche Sicherheitswarnungen erhalten, werden durchschnittlich 44 Prozent dieser Warnungen erst gar nicht nachgegangen. Von den 56 Prozent, die untersucht werden, werden nur die Hälfte (51 Prozent) behoben. Die andere Hälfte (49 Prozent) schwelt als Gefahrenquelle unter dem Teppich. Zwar wird nicht jede dieser Meldungen notwendigerweise Schaden anrichten - aber einige tun es eben doch. Nun mit dem Finger auf die IT-Teams zu zeigen wäre hingegen ein Trugschluss.

IT-Landschaften nehmen an Komplexität deutlich zu. Ob durch den Betrieb von Multi-Cloud-Landschaften verteilt über mehrere Anbieter, die Öffnung von Plattformen für die Zusammenarbeit mit Dritten, die Verknüpfung von Wertschöpfungskette und Einkaufsprozessen oder Anwendungsfälle im Internet der Dinge mit abertausenden von Geräten.

Die Liste an Beispielen und Ursachen ist denkbar lang. Den Unternehmen fehlen jedoch häufig das Personal, die Werkzeuge, der erforderliche Grad an Automatisierung und die Analytik, um die Nachfrage zu befriedigen und die Flut zu an Fehler- und Warnmeldungen Herr zu werden. Im Umkehrschluss laufen IT-Teams Gefahr, abzustumpfen und den Wald vor lauter Bäumen nicht mehr zu sehen. Wenn dann tatsächlich mal das Dach unter Feuer steht, dauert es zu lange um dies zu erkennen und zu reagieren.

Keine Zeit für russisches Roulette

Der Umgang mit Sicherheits- und Warnmeldungen nimmt für CIOs und andere IT-Führungskräfte an Bedeutung zu. Krisensituationen erfolgreich zu meistern gehört bekanntlich zur Königsdisziplin und in Zeiten des digitalen Geschäfts rückt das Thema mehr denn je ins Rampenlicht. Bisweilen hängen der persönliche Karrierepfad und die Zukunft des Unternehmens von der Leistung während einiger Stunden oder Tage maßgeblich ab.

Dem Cisco-Bericht zufolge standen 55 Prozent der Unternehmen nach Sicherheitsvorfällen öffentlich am Pranger. Mehr als die Hälfte (53 Prozent) der Vorfälle führten zu Schäden von 500.000 US-Dollar oder mehr. Längere Unterbrechungen, schlechte Kommunikation und die schleppende Wiederherstellung des Dienstes können jedoch das Verständnis von Kunden und Aktionären überstrapazieren - was zu dauerhaften Schäden und einem nachhaltigen Reputationsproblem werden kann.

Über die unmittelbaren Auswirkungen auf den Betrieb hinaus kann das Handling von Krisen die Wahrnehmung der Kunden sowie das langfristige Vertrauen in das Unternehmen und seine Produkte erheblich beeinträchtigen. Angesichts des sich ständig verschärfenden Wettbewerbs durch neue Geschäftsmodelle, wachsende Globalisierung, Margendruck im bisherigen Kerngeschäft und steigende Kosten für die Akquise neuer Kunden, sind Kundenbindung und -zufriedenheit entscheidend für eine nachhaltige Geschäftsentwicklung.

Die Mehrheit der Kunden verstehen, dass Technologieprobleme auftreten können - schließlich sind auch sie Anwender und mit ähnlichen Risiken und Abhängigkeiten ausgesetzt. Dennoch bleibt die Gretchenfrage wie mit Pannen umgegangen wird. Unternehmen scheitern häufig nicht an der eigentlichen Krise, sondern aufgrund schlechter Kommunikation in der Krise.

Fazit

Kundenerwartungen ändern sich in Bezug auf die Verfügbarkeit, Leistung und Integrität von IT. Gleichermaßen entwickelt sich parallel die Bedrohungslandschaft. Um all dem Stand zu halten und der Fülle an Fehler- und Warnmeldungen Paroli zu bieten, müssen CIOs umdenken. Schätzungen zu Folge wird sich alleine der Nachfrageüberhang nach Cyber-Experten bis zum Jahr 2021 dazu führen, dass weltweit 3,5 Millionen Jobs unbesetzt bleiben.

Der Versuch, das Thema alleine durch Personal zu erschlagen, ist wirtschaftlich ineffektiv und von Anbeginn zum Scheitern verurteilt, schlicht und ergreifend weil diese in der benötigten Anzahl und Expertise nicht vorhanden sind. Es erfordert vielmehr neue Ansätze und ein Umdenken. Um die schiere Menge an Warnungen und Bedrohungen effektiv zu erkennen und zu bekämpfen, braucht es Datenanalyse, Machine Learning und radikale Automation.

Die erfolgreiche Bewältigung einer Krise kann es einem Unternehmen ermöglichen, schnell wieder zum Normalbetrieb zurückzukehren, die Marktreputation zu wahren und die finanziellen Auswirkungen zu minimieren. Gut bewältigte Sicherheitsvorfälle könnten sogar die Möglichkeit zur kontinuierlichen Verbesserung bieten, indem Schwachstellen konsequent weiter ausgemerzt werden.

CIOs können nicht kontrollieren, wann Sicherheitsverletzungen auftreten. Gleichwohl können sie darauf Einfluss nehmen, wie damit verfahren wird. Service Excellence ist das Gebot der Stunde. Dies umfasst einen effektiven und gut eingespielten Prozess für den Umgang mit Sicherheitsvorfällen, um die Situation schnell in den Griff zu bekommen, die Auswirkungen auf das operative Geschäft einzugrenzen, die Reputation zu wahren, Risiken zu minimieren und um Vertrauen wiederherzustellen.