Digitale Transformation

So wird IT-Sicherheit nicht zum Showstopper

16.11.2016 von Wafa  Moussavi-Amin
Die digitale Transformation verstärkt die technologische Abhängigkeit der Welt. Sie sorgt für deutliche Mehrwerte, schafft aber auch neue Möglichkeiten für böswillige Angriffe und andere Arten des Missbrauchs. Intelligente Gegenspieler warten nur darauf, sich die Taschen zu füllen, indem sie die zugrundeliegenden komplexen Systeme kompromittieren. Wer sich jetzt nicht mit Security-Programmen der nächsten Generation beschäftigt, hat schon verloren.

Die Digitale Transformation stellt der Welt durch den Technologieeinsatz bislang ungeahnte Neuerungen und Funktionen bereit – aber sie hat auch eine Schattenseite: Intelligente Gegenspieler warten darauf, sich die Taschen zu füllen, indem sie die zugrundeliegenden komplexen Systeme missbrauchen oder kompromittieren.

Sicherheit ist die zentrale Herausforderung bei der Digitalisierung.
Foto: wavebreakmedia - shutterstock.com

Über Angriffe auf die IT wird fast täglich berichtet, die Dunkelziffer ist zudem hoch. Der öffentliche Aufschrei hat Aktivisten und Gesetzgeber gleichermaßen mobilisiert, um die Situation in irgendeiner Form in den Griff zu bekommen.

Die zentrale Herausforderung der IT-Security liegt darin, der Sicherheit einen Vorteil zu verschaffen und die Hürden der Vergangenheit zu überwinden. Es geht darum, eine Strategie zu entwerfen, die eine sichere digitale Transformation (sDX) ermöglicht. Dazu muss rational mit dem sehr emotionalen Thema umgegangen werden, das von reichlich Unsicherheit geprägt ist: Wie wahrscheinlich sind im Zusammenhang mit der Technologie erfolgreiche Angriffe und welcher Auswirkungen können diese haben?

Wesentliche Bereiche der IT-Compliance
1. Informationsschutz zur Wahrung der Vertraulichkeit
(insbesondere Zugriffsschutz, siehe § 9 BDSG)
2. Gewährleistung der technischen und organisatorischen Verfügbarkeit
(insbesondere Notfall-planung und Wiederanlaufmöglichkeit durch Redundanz)
3. Schutz der Datenintegrität
(Programmintegrität durch Change Management und Maßnahmen zur Erhaltung der Datenin-tegrität, z.B. Virenschutz)
4. Stabilität und Sicherheit der IT-Prozesse
5. Gewährleistung der physischen Sicherheit
6. Datenaufbewahrung und –archivierung
7. Mitarbeitermanagement im Hinblick auf IT-Sicherheit (Awareness)
8. Wirksames IT-Management durch alle Phasen (Plan-Do-Check-Act)
9. Kontrolle der ausgelagerten Bereiche (Outsourcing)
10. Materieller Datenschutz

IT-Sicherheit ist eine Vorgehensweise, um Kontrollmechanismen in einer IT-Umgebung zu verankern mit dem Ziel, die Risiken zu minimieren, die sich für die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sowie für die Produktivität und Unversehrtheit der Systeme ergeben. IDC geht davon aus, dass die IT-Security heute in den Organisationen eine kritische Rolle spielt. Allerdings ist die Möglichkeit, zwischen einem starken und einem schwachen Sicherheitskonzept zu unterscheiden, durch die hohe Emotionalität des Themas eingeschränkt. CIOs müssen angemessen mit den Emotionen umgehen, um ein robustes Sicherheitskonzept zu etablieren, das auch wirklich Risiken reduziert.

Die drei zentralen Aufgaben

In diesem anspruchsvollen Bereich, den – sind wir ehrlich - niemand wirklich vermissen würde, warten Aufgaben in Hülle und Fülle. FUD (Fear, Uncertainty, Doubt), also Angst, Unsicherheit und Zweifel, sind oft die treibenden Kräfte hinter IT-Security-Entscheidungen. Den Rest übernehmen Compliance-Fragen. Von keinem der beiden Ansätze ist bekannt, dass sie zu starken Schutzkonzepten führen. Auch aus Kostensicht sind diese Kräfte schlechte Ratgeber.

IDC rät CIOs, folgende drei Aufgaben anzugehen:

IDC rät CIOs, Security-Programme aufzubauen, die Risiken auf messbare und langfristige Weise adressieren. Viele Aufsichtsbehörden in aller Welt mischen sich in die Kontrollanforderungen ein. Ein nachweislich starkes Konzept ist der beste Compliance-Nachweis.

Diese Aspekte beeinflussen die Umsetzung

Der Bereich der IT-Sicherheit ist äußerst unübersichtlich. Deswegen lautet die erste Frage, die ein Unternehmen beantworten muss: Möchte es so wirken, als würde alles richtig gemacht? Oder verfügt es wirklich über eine vorbildliche, effiziente und effektive Security? Jeder kennt die richtige Antwort auf diese Frage, es ist zweifellos die Nummer zwei. Trotzdem kommt aus Zweckmäßigkeit und Mangel an Informationen vielerorts der erste Ansatz zum Tragen.

Die wahren Gläubigen, die ernsthaft nach dem optimalen Konzept suchen, werden auf vielfältige Art negativ wie positiv beeinflusst. Zu den wichtigsten Faktoren zählen folgende Aspekte:

Die Ökonomie der Sicherheit

Niemand interessiert sich freiwillig für die Ökonomie der Sicherheit. Die Menschen und Unternehmen wollen einfach geschützt sein. Aber realistisch betrachtet ist die Security häufig ein schwarzes Loch, Sicherheit wird ad hoc und entsprechend der Skills der jeweiligen Entscheider bereitgestellt. Die richtige Lösung für die richtige Aufgabe - dieser Ansatz findet eher weniger Beachtung.

Security-Programme der nächsten Generation müssen in der Lage sein, die vorhandenen Sicherheitsmaßnahmen objektiv zu evaluieren. Sie müssen diese mit neuen Alternativen vergleichen können, um die bestmögliche Risikenreduktion zum günstigsten Preis zu finden.

Skalierbare Sicherheit

Üblicherweise geht Security einher mit Vorschlägen, wie die administrativen Prozesse oder halbautomatische Patch-Prozeduren verbessert werden können. Im echten Leben geht es darum, der Geschwindigkeit und Granularität der Angriffe ein ähnlich schnelles und granulares Konzept bei den Kontrollmechanismen entgegenzusetzen. Sonst besteht kaum Hoffnung auf eine angemessene Abwehr.

Security-Programme der nächsten Generation müssen in der Lage sein, dynamische, verteilte IT-Architekturen mit zentral verwalteten, dezentralen Kontrollmechanismen zu schützen.

Sicherheitsmetriken und Messgrößen

In manchen Organisationen herrscht ein Überfluss an Sicherheitsmetriken. In anderen fehlen sie komplett. Auf jeden Fall kommt es in Unternehmen selten vor, dass alles erfasst wird, was zu einer angemessenen Risikoerkennung beiträgt. Das gilt auch für die Auswirkungen der Risiken auf das Überwachungskonzept.

Sicherheitskonzepte der nächsten Generation müssen ihre Umgebung erfassen, um gute Entscheidungen treffen zu können.

Was bedeutet das konkret?

Während der emotionale Bedarf an Sicherheit von Angst, Unsicherheit und Zweifeln getrieben und durch aktuelle Vorfälle verstärkt wird, versucht der rationale Ansatz des technologischen Risk-Managements, auf objektiverem Weg die Risiken mit möglichst geringem Ressourceneinsatz bestmöglich zu reduzieren. Zwischen den beiden Polen wird immer eine Lücke klaffen, beide Anforderungen stehen oft in Konflikt zueinander. Der erste ist nicht nachhaltig, der zweite kaltherzig.

Da sich Aufsichtsbehörden und externe Auditoren oft auf den Zustand der Security konzentrieren und weniger auf die konkreten Aktivitäten, tragen sie eher zum Problem bei als zur Lösung. Ein rationaler, objektiver und messbarer Sicherheitsansatz ist die einzige Chance für prominente Ziele, die geradezu dazu verdammt sind, gehackt und von der Öffentlichkeit beobachtet zu werden.

So starten Sie Ihr NextGen-Security-Projekt

Um den drängenden Anforderungen der dritten Plattform gerecht zu werden, sollten Unternehmen effiziente und effektive IT-Sicherheitsprogramme auflegen, die sich an den neuen Möglichkeiten ausrichten.

Das sollten Sie sofort erledigen:

Das steht mittelfristig auf Ihrer To-Do-Liste:

Das gehört langfristig auf Ihre Agenda: