Digitale Transformation

So wird IT-Sicherheit nicht zum Showstopper

Analyst und Geschäftsführer bei IDC in Frankfurt. In seiner Funktion als Geschäftsführer verantwortet Wafa Moussavi-Amin seit Oktober 2004 die Strategie und Geschäftsentwicklung der International Data Corporation (IDC) in Deutschland und der Schweiz, seit 2013 zeichnet er zudem verantwortlich für die Region Benelux.
Die digitale Transformation verstärkt die technologische Abhängigkeit der Welt. Sie sorgt für deutliche Mehrwerte, schafft aber auch neue Möglichkeiten für böswillige Angriffe und andere Arten des Missbrauchs. Intelligente Gegenspieler warten nur darauf, sich die Taschen zu füllen, indem sie die zugrundeliegenden komplexen Systeme kompromittieren. Wer sich jetzt nicht mit Security-Programmen der nächsten Generation beschäftigt, hat schon verloren.

Die Digitale Transformation stellt der Welt durch den Technologieeinsatz bislang ungeahnte Neuerungen und Funktionen bereit – aber sie hat auch eine Schattenseite: Intelligente Gegenspieler warten darauf, sich die Taschen zu füllen, indem sie die zugrundeliegenden komplexen Systeme missbrauchen oder kompromittieren.

Sicherheit ist die zentrale Herausforderung bei der Digitalisierung.
Sicherheit ist die zentrale Herausforderung bei der Digitalisierung.
Foto: wavebreakmedia - shutterstock.com

Über Angriffe auf die IT wird fast täglich berichtet, die Dunkelziffer ist zudem hoch. Der öffentliche Aufschrei hat Aktivisten und Gesetzgeber gleichermaßen mobilisiert, um die Situation in irgendeiner Form in den Griff zu bekommen.

Die zentrale Herausforderung der IT-Security liegt darin, der Sicherheit einen Vorteil zu verschaffen und die Hürden der Vergangenheit zu überwinden. Es geht darum, eine Strategie zu entwerfen, die eine sichere digitale Transformation (sDX) ermöglicht. Dazu muss rational mit dem sehr emotionalen Thema umgegangen werden, das von reichlich Unsicherheit geprägt ist: Wie wahrscheinlich sind im Zusammenhang mit der Technologie erfolgreiche Angriffe und welcher Auswirkungen können diese haben?

IT-Sicherheit ist eine Vorgehensweise, um Kontrollmechanismen in einer IT-Umgebung zu verankern mit dem Ziel, die Risiken zu minimieren, die sich für die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sowie für die Produktivität und Unversehrtheit der Systeme ergeben. IDC geht davon aus, dass die IT-Security heute in den Organisationen eine kritische Rolle spielt. Allerdings ist die Möglichkeit, zwischen einem starken und einem schwachen Sicherheitskonzept zu unterscheiden, durch die hohe Emotionalität des Themas eingeschränkt. CIOs müssen angemessen mit den Emotionen umgehen, um ein robustes Sicherheitskonzept zu etablieren, das auch wirklich Risiken reduziert.

Die drei zentralen Aufgaben

In diesem anspruchsvollen Bereich, den – sind wir ehrlich - niemand wirklich vermissen würde, warten Aufgaben in Hülle und Fülle. FUD (Fear, Uncertainty, Doubt), also Angst, Unsicherheit und Zweifel, sind oft die treibenden Kräfte hinter IT-Security-Entscheidungen. Den Rest übernehmen Compliance-Fragen. Von keinem der beiden Ansätze ist bekannt, dass sie zu starken Schutzkonzepten führen. Auch aus Kostensicht sind diese Kräfte schlechte Ratgeber.

IDC rät CIOs, folgende drei Aufgaben anzugehen:

  • Dritte Plattform: Ist die Sicherheitsarchitektur nicht genau an der dynamischen, verteilten IT-Architektur ausgerichtet, kann die Security nur schwer skalieren. Auch wenn die Security-Experten alter Schule hinter prozessgetriebener Sicherheit stehen: Hacker nutzen die neuen Technologien; die Verteidigung muss hart arbeiten, um auf deren Aktionen zu reagieren.

  • Aufsichtsbehörden: Öffentliche Security-Konzepte unterscheiden in der Regel wenig zwischen Ergebnissen wie True Positives, True Negatives, False Positivs und False Negatives. Sie haben Schwierigkeiten damit, die Ansätze für ein möglichst hohes Risikoniveau auf Basis der Kosten pro Einheit zu vergleichen und gegenüberzustellen.

  • Risk-Management: Fehlende oder nicht eindeutige Risikoabschätzungen in Relation zu Wahrscheinlichkeit und Auswirkungen erschweren sowohl die Kosten/Nutzen-Rechnung als auch nachfolgenden Kontrollentscheidungen. Viele Organisationen verlassen sich bei der Entscheidungsfindung eher auf äußerst heikle Beurteilungen oder Empfehlungen Dritter als auf wirtschaftliche Analysen.

IDC rät CIOs, Security-Programme aufzubauen, die Risiken auf messbare und langfristige Weise adressieren. Viele Aufsichtsbehörden in aller Welt mischen sich in die Kontrollanforderungen ein. Ein nachweislich starkes Konzept ist der beste Compliance-Nachweis.

Diese Aspekte beeinflussen die Umsetzung

Der Bereich der IT-Sicherheit ist äußerst unübersichtlich. Deswegen lautet die erste Frage, die ein Unternehmen beantworten muss: Möchte es so wirken, als würde alles richtig gemacht? Oder verfügt es wirklich über eine vorbildliche, effiziente und effektive Security? Jeder kennt die richtige Antwort auf diese Frage, es ist zweifellos die Nummer zwei. Trotzdem kommt aus Zweckmäßigkeit und Mangel an Informationen vielerorts der erste Ansatz zum Tragen.

Die wahren Gläubigen, die ernsthaft nach dem optimalen Konzept suchen, werden auf vielfältige Art negativ wie positiv beeinflusst. Zu den wichtigsten Faktoren zählen folgende Aspekte:

  • Die digitale Transformation verstärkt die technologische Abhängigkeit der Welt. Sie sorgt für deutliche Mehrwerte, schafft aber auch neue Möglichkeiten für böswillige Angriffe und andere Arten des Missbrauchs.

  • Die Technologien der dritten Plattform sind zunehmend komplex. Damit gibt es auch viele Angriffsvektoren. Auch steigt die Wahrscheinlichkeit für Einbrüche in die Systeme und ähnliche Vorfälle.

  • Anwender und andere Außenstehende sorgen sich vermehrt um die Sicherheit ihrer digitalen Assets. Dabei stehen besonders personenbezogene Daten im Fokus, die von Unternehmen (zum Teil vielleicht sogar heimlich) gesammelt und gespeichert werden.

  • Die Aufsichtsbehörden sehen sich als Anwalt der Anwender. Sie schaffen Sicherheitsanforderungen, die diese Risiken adressieren - oder auch nicht. Manchmal schließen diese sich auch gegenseitig aus. Es wird immer aufwändiger und teurer, die Compliance-Anforderungen zu erfüllen.

Die Ökonomie der Sicherheit

Niemand interessiert sich freiwillig für die Ökonomie der Sicherheit. Die Menschen und Unternehmen wollen einfach geschützt sein. Aber realistisch betrachtet ist die Security häufig ein schwarzes Loch, Sicherheit wird ad hoc und entsprechend der Skills der jeweiligen Entscheider bereitgestellt. Die richtige Lösung für die richtige Aufgabe - dieser Ansatz findet eher weniger Beachtung.

Security-Programme der nächsten Generation müssen in der Lage sein, die vorhandenen Sicherheitsmaßnahmen objektiv zu evaluieren. Sie müssen diese mit neuen Alternativen vergleichen können, um die bestmögliche Risikenreduktion zum günstigsten Preis zu finden.

Skalierbare Sicherheit

Üblicherweise geht Security einher mit Vorschlägen, wie die administrativen Prozesse oder halbautomatische Patch-Prozeduren verbessert werden können. Im echten Leben geht es darum, der Geschwindigkeit und Granularität der Angriffe ein ähnlich schnelles und granulares Konzept bei den Kontrollmechanismen entgegenzusetzen. Sonst besteht kaum Hoffnung auf eine angemessene Abwehr.

Security-Programme der nächsten Generation müssen in der Lage sein, dynamische, verteilte IT-Architekturen mit zentral verwalteten, dezentralen Kontrollmechanismen zu schützen.

Sicherheitsmetriken und Messgrößen

In manchen Organisationen herrscht ein Überfluss an Sicherheitsmetriken. In anderen fehlen sie komplett. Auf jeden Fall kommt es in Unternehmen selten vor, dass alles erfasst wird, was zu einer angemessenen Risikoerkennung beiträgt. Das gilt auch für die Auswirkungen der Risiken auf das Überwachungskonzept.

Sicherheitskonzepte der nächsten Generation müssen ihre Umgebung erfassen, um gute Entscheidungen treffen zu können.

Was bedeutet das konkret?

Während der emotionale Bedarf an Sicherheit von Angst, Unsicherheit und Zweifeln getrieben und durch aktuelle Vorfälle verstärkt wird, versucht der rationale Ansatz des technologischen Risk-Managements, auf objektiverem Weg die Risiken mit möglichst geringem Ressourceneinsatz bestmöglich zu reduzieren. Zwischen den beiden Polen wird immer eine Lücke klaffen, beide Anforderungen stehen oft in Konflikt zueinander. Der erste ist nicht nachhaltig, der zweite kaltherzig.

Da sich Aufsichtsbehörden und externe Auditoren oft auf den Zustand der Security konzentrieren und weniger auf die konkreten Aktivitäten, tragen sie eher zum Problem bei als zur Lösung. Ein rationaler, objektiver und messbarer Sicherheitsansatz ist die einzige Chance für prominente Ziele, die geradezu dazu verdammt sind, gehackt und von der Öffentlichkeit beobachtet zu werden.

So starten Sie Ihr NextGen-Security-Projekt

Um den drängenden Anforderungen der dritten Plattform gerecht zu werden, sollten Unternehmen effiziente und effektive IT-Sicherheitsprogramme auflegen, die sich an den neuen Möglichkeiten ausrichten.

Das sollten Sie sofort erledigen:

  • Überprüfen Sie das Sicherheitsprogramm in Ihrem Unternehmen. Ermitteln Sie den Reifegrad und Bereiche, in denen sich vielleicht Lücken befinden.

Das steht mittelfristig auf Ihrer To-Do-Liste:

  • Definieren Sie die übergreifenden Ziele des IT-Sicherheitsprogramms im Unternehmen. Identifizieren Sie wichtigsten Risikoindikatoren, die bei der Beurteilung der Zielerreichung helfen.

  • Evaluieren Sie die Security-Architektur hinsichtlich veralteter Perimeter- und Layer-Konzepte. Identifizieren Sie Möglichkeiten, diese durch verteilte Maßnahmen wie Tracer und Tether zu ersetzen.

  • Entwickeln Sie ein Monitoring-Konzept. Dieses sollte Methoden implementieren, um zeitnah Messpunkte für zentrale Entscheidungen zu erhalten

Das gehört langfristig auf Ihre Agenda:

  • Implementieren Sie ein strategisches IT-Security-Programm, das folgendes ermöglicht:

  • Den Wechsel von minimaler Überwachung zu einer Form der maximalen Kontrolle (etwa alles außer dem Spülbecken in der Kaffeeküche), um von dort zur optimalen Kontrolle am richtigen Platz zur richtigen Zeit zu gelangen.

  • Den Übergang von nahezu planlosen Ausgaben des oben erwähnten Was-immer-das-kosten-soll-Ansatzes hin zu einer Planung, bei der jeder investierte Euro auch das Risiko um einen Euro senkt.

  • Den Umstieg von improvisierten Security-Entscheidungen zu sicherheitsgetriebenen Entscheidungen, um dann weiter zu integrierten Entscheidungen auf Basis der Risiken und des Business Value zu gelangen.

  • Den Wechsel von einer Security mit ungestützten Ermessensentscheidungen über die Priorisierung von Abwehrlücken hin zu einem quantitativen Verständnis der Risiken.

  • Den Umstieg von grundlegenden, punktuellen Sicherheitsmaßnahmen mit Fokus auf Netze und Endpoints zu einer Strategie, die den Schwerpunkt auf Identitäten, Daten und Anwendungen unabhängig von deren Ort legt.