Digitale Transformation

IT-Sicherheit muss neu organisiert werden

Martin Kuppinger ist Gründer des unabhängigen Analystenunternehmen KuppingerCole und als Prinzipal Analyst verantwortlich für den Bereich KuppingerCole Research. In seiner 25 jährigen IT-Erfahrung hat er bereits mehr als 50 IT-Bücher geschrieben und ist ein etablierter Referent und Moderator bei Seminaren sowie Kongressen. Sein Interesse an Identity Management stammt aus den 80er Jahren, als er viel Erfahrung in der Entwicklung von Software-Architekturen sammeln konnte. Im Laufe der Jahre, kamen weitere Forschungsfelder wie Virtualisierung, Cloud Computing, allgemeine IT-Sicherheit u.v.m. hinzu. Durch sein Wirtschaftsstudium in Economics gelingt es ihm seine IT-Kenntnisse mit einer starken Business-Perspektive zu verbinden.
Mit der digitalen Transformation, Industrie 4.0 und dem Internet der Dinge muss die Informations- und IT-Sicherheit neu organisiert und Teil des Business werden.

Wenn Unternehmen vernetzte Dinge (Produkte, Dienste, Geräte, ...) für das Internet der Dinge oder Internet of Things (IoT) produzieren, vertreiben oder nutzen, ist die Sicherheit dieser Dinge und der hiermit verbundenen Daten von hoher Priorität. Wenn Unternehmen sich für Industrie 4.0 entscheiden und damit auch für eine enge Verzahnung von Produktionsprozessen und Geschäftsprozessen einschließlich einer flexiblen Steuerbarkeit der Produktion, ist ein hohes Maß an Sicherheit ebenfalls essentiell.

Die Informations- und IT-Sicherheit muss neu organisiert und Teil des Business werden.
Die Informations- und IT-Sicherheit muss neu organisiert und Teil des Business werden.
Foto: Wichy - shutterstock.com


Haftungsrisiken, Reputationsrisiken und mögliche Schäden an den produzierten Gütern ebenso wie an Produktionsanlagen, aber auch das Risiko von Industriespionage und des Verlustes von geistigem Eigentum erfordern, dass Sicherheit von Beginn an bei allen IoT- und Industrie 4.0-Initiativen berücksichtigt und integriert wird.

Das bedeutet aber auch, dass sich Organisationsstrukturen verändern müssen. Dabei ist zwischen der technischen Umsetzung der Sicherheitsmaßnahmen und der Governance-Funktion zu unterscheiden, die getrennt sein müssen.

Datenzugriff mobil - aber bitte geschützt - Foto: ArtFamily - shutterstock.com

Datenzugriff mobil - aber bitte geschützt

Die Governance-Funktion, also die Aufgabe des Chief Information Security Officer (CISO) im klassischen Sinn - auch wenn dieser heute oft auch operative Aufgaben hat - muss sich dabei auf alle Aspekte der Sicherheit erstrecken. Es geht nicht mehr nur um Informationssicherheit und deren Umsetzung über die IT-Sicherheit auf technologischer Ebene aus Business-Sicht, sondern auch um die Sicherheit von Dingen und der Produktionsinfrastruktur, also der Operational Technology.

Mit der immer stärkeren Vernetzung von Dingen, Produktionssystemen und Geschäftsanwendungen auf der einen Seite und einer weiter wachsenden Mobilität und Öffnung von Systemen für immer mehr Nutzergruppen, kann man Sicherheit für einzelne Bereiche nicht mehr isoliert betrachten.

Von Beginn an mit im Boot

Gleichzeitig muss Sicherheit aber sowohl beim Weg zu Industrie 4.0 und damit der Weiterentwicklung und zunehmenden Vernetzung von Produktionsumgebungen als auch beim IoT von Anfang an ein zentrales Thema sein. Man kann sich weder bei Industrie 4.0 noch bei IoT leisten, erst am Ende noch ein bisschen Sicherheit dazu zu stecken - die Risiken und Kosten einer solchen Vorgehensweise sind zu hoch. "Security as an afterthought", wie es heute noch viel zu oft geschieht, funktioniert nicht mehr.

Das bedeutet aber, dass IT-Sicherheitsexperten Teil der Unternehmensorganisation werden müssen, die sich mit Industrie 4.0 respektive IoT beschäftigt. Also beispielsweise der Produktion, der Produktentwicklung oder auch anderen Kerngeschäftsbereichen, wenn Dinge beispielsweise nur zugekauft und genutzt werden, um Daten von Kunden zu sammeln.

Während die Governance-Funktion, wie oben ausgeführt, zentral bleiben muss, verändert sich damit die Struktur der IT, die dezentraler wird, insbesondere was die technische Umsetzung von IT-Sicherheit bei Dingen und OT betrifft. Damit stellt sich in der Konsequenz auch die Frage nach der zukünftigen Rolle des CIO. Wird der CIO nur noch der CIO für die Business-Organisation? Hat er in einer Querschnittsfunktion auch die Aufgabe, sich um die IT-Aspekte von Produktion (also OT) und Dingen zu kümmern? Oder wächst er in die Rolle eines CDBO oder CDO, also eines Chief Digital Business Officer oder Chief Digital Transformation Officer?

Wie auch immer Unternehmen ihre IT-Organisation und insbesondere die Informations- und IT-Sicherheitsorganisation verändern: Klar ist, dass die Digitale Transformation hier Änderungen erfordert, um sowohl agil zu sein als auch Risiken mitigieren zu können. Nachträgliche, unkoordinierte Sicherheit kostet Geld, verlangsamt Innovation und kann für die Unternehmen sehr teuer werden, wenn vermeidbare Fehler bei der Nutzung von Dingen, bei Industrie 4.0 oder in der Business-IT passieren. (bw)