Identity & Access Management
"CISOs brauchen Unterstützung"
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
"Sicherheitsmaßnahmen aus Angst sind Mist"
Das brachte Moderator Martin Bayer zu der Frage, ob sich diese ganzen Anforderungen überhaupt mit einem einzigen, flexiblen System abdecken lassen. Und was, wenn Veränderungen eintreten? Lässt sich etwa flexibel genug auf die Fluktuation in einem Unternehmen reagieren?
"Genau das ist der Mehrwert von Identity- und Access-Management", antwortete Alsbih. "Es gibt keine homogenen Landschaften mehr. Kunden, Partner, Mitarbeiter - alle befinden sich in einem System. Wenn man IAM richtig macht, dann ändern sich die zugewiesenen Rollen bei Bedarf automatisch. Das ist technologisch seit langem möglich."
In erster Linie, so der COO, bestehe beim Identitätsmanagement ein Faulheitsproblem: "Viele sind einfach nicht gewillt, es richtig zu machen, weil es dann eben ein halbes Jahr dauert statt nur zwei Tage. Aber ‚hektisch über den Ecktisch‘ war noch nie eine gute Idee."
An dieser Stelle sah Christian Nern insbesondere auch die Hersteller gegenüber den Kunden in der Pflicht: "Unsere Aufgabe ist es, den Anwenderunternehmen klar zu machen, wie es geht und wie nicht. Wir müssen hier für Transparenz sorgen, zeigen wie es ‚einfach‘ geht und wie die einzelnen - internen und externen - Komponenten zusammenspielen."
Neben dem technologischen Aspekt, sah Fabian Guter eine weitere wesentliche Herausforderung für die Hersteller im IAM-Umfeld: "Jedes System, dass dem Nutzer auferlegt ‚Mach es richtig oder Du bist ein Risiko‘, ist vom Konzept her falsch. Es ist eine der wesentlichen Herausforderungen, dass der Anwender aus der Verantwortung genommen wird. Ein System muss so konzipiert sein, dass es gar nicht mehr falsch bedient werden kann. An dieser Stelle sehe ich im Bereich Access und Authentifizierung großen Handlungsbedarf - auch damit die Hemmungen insbesondere beim Mittelstand fallen."
Mittelstand war genau das richtige Stichwort für Carsten Hufnagel: "Aus meiner Erfahrung kann ich sagen, dass speziell bei mittelständischen Unternehmen der Business-Mehrwert darüber entscheidet, ob ein Projektauftrag zustande kommt oder nicht. Dieser Mehrwert war für viele Unternehmen bei IAM lange nicht auf den ersten Blick erkennbar. Das ändert sich inzwischen jedoch langsam, da der elektronische Austausch der Unternehmen untereinander deutlich zugenommen hat und Identitäten heute auch für ganz neue Business Cases genutzt werden können."
Alsbih kam daraufhin auch auf ein ganz grundsätzliches Problem des IT-Sicherheits-Marktes zu sprechen: "Bisher wurde in Sachen Security einfach zu wenig aus Enablement-Sicht und zu viel mit Angst argumentiert. Aber jede Sicherheitsmaßnahme, die aus Angst heraus implementiert wird, ist Mist. Man muss seinem Kunden die Vorteile argumentativ darlegen und ihm zeigen, welche Vorteile und Chancen der Einsatz bieten kann."
IAM-Projekte brauchen Rückendeckung durch das Management
Christian Nern brachte schließlich auch das Thema Verantwortlichkeiten auf die Tagesordnung: "Um Identity- und Access-Management als Teil einer Gesamtstrategie verankern zu können, muss klar sein, wer für das Thema zuständig ist."
Auf Nachfrage von Martin Bayer, wo diese Aufgabe am sinnvollsten aufgehängt werden könne, sagte Nern: "Im Idealfall gibt es einen CISO mit Durchgriff, der sich mit den Business-Bereichen an einen Tisch setzt und mit ihnen gemeinsam die Umsetzung des Projekts vorantreibt."
Ruedi Hugelshofer liebäugelte beim Thema IAM-Verantwortlichkeit dagegen eher mit dem CDO: "Aus unserer Erfahrung mit vielen Airlock-IAM Projekten ist diese Position prädestiniert dafür, weil der Chief Digital Officer in der Regel die nötige Ausbildung und Erfahrung aus den notwendigen Bereichen mitbringt und auch etwas in Sachen Risikomanagement beitragen kann. Auch ein externer Berater könnte an dieser Stelle hilfreich sein, der die Sicht von außen miteinbringt."
- Coaching
Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind. - Abwechslung
Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen. - Dampf ablassen
Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben. - Karriere-Chancen
Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern. - Fortbildungen
Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind. - Erfolg messen
Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat. - Umgang mit Stress
Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko. - Work Life Balance
Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen. - Interesse aufrechterhalten
Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen. - Gleichbehandlung
Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.
Roland Markowski äußerte jedoch Zweifel, ob ein CDO sowohl Digitalisierung als auch IT Security befriedigend unter einen Hut bringen kann: "Insbesondere für neue CDOs ist es sehr schwierig, in allen Bereichen eines Unternehmens Gehör zu finden. Viele sind gerade einmal ein oder eineinhalb Jahre im Unternehmen und haben einfach keine Hausmacht. Das macht es schwierig, Themen zu lancieren und eine ganzheitliche Denke zu etablieren."
Ein Problem in vielen Unternehmen seien zudem die internen Widerstände bei der Zusammenarbeit, so Markowski. Deswegen würden viele Firmen dazu übergehen, lieber Innovation Labs und Startups auszugründen, als eine Inhouse-Lösung zu finden. "Unsere Erfahrung zeigt: Wer lange im Unternehmen ist, Hausmacht besitzt und die Rückendeckung des Managements genießt, der bekommt so ein Customer-IAM-Projekt hin. Ansonsten wird es schwierig."
Gute und schlechte CISOs
Apropos Management: Ist das Verständnis für das Thema IT Sicherheit auf dem C-Level angekommen? Und: Kann ein Manager, beziehungsweise Entscheider, es sich heute überhaupt noch leisten, kein technisches Verständnis mitzubringen?
Für Amir Alsbih war die Antwort auf diese Fragen klar: "Wenn der CISO seinen Job richtig macht, dann muss kein technisches Verständnis vorhanden sein. Das unterscheidet für mich einen guten von einem schlechten CISO: Ein guter CISO kann Business und Technik. Das Problem ist nur - und das ist mein ganz persönlicher Eindruck - Wir haben in Deutschland wahnsinnig viele CISOs, die dabei Unterstützung benötigen."
Christian Nern widersprach - zumindest was das Thema Security-Awareness auf Vorstandsebene angeht: "Ich glaube sogar, im Mittelstand ist heute weniger Verständnis für Security da. Dort ist es derzeit noch ein reines IT-Thema mit simplem Perimeterschutz und kein Businessthema."
- Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen? - Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern? - Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln? - Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können? - Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit? - Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können? - Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann? - Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen? - Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird? - Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
Dass der Mittelstand Nachholbedarf in Sachen IT Security hat, davon zeigte sich auch Fabian Guter überzeugt, der als Beispiel die Zulieferer der deutschen Automobilindustrie anführte: "Ein maßgeblicher Teil der Innovation der Automobilindustrie findet quasi in kleinen und mittleren Unternehmen statt. Das sind oft Firmen mit bis zu 50 Mitarbeitern, die Kernkomponenten designen, aber in Sachen IT Security nur das Nötigste zur Verfügung haben."
Die OEMs, so Guter weiter, hätten inzwischen erkannt, dass die mittelständischen Zulieferer zum Einfallstor Nummer eins für Hacker geworden seien und würden Maßnahmen ergreifen: "Deswegen muss inzwischen jeder Zulieferer bestimmte Richtlinien erfüllen und das auch im Rahmen eines Audits belegen."